IT-Sicherheit

Der Cyberwar geht weiter

Posted on by Sociobilly

Anfang Juli habe ich im Beitrag „Der digitale 09/11 ist nahe“ in einem Szenario den Cyberwar skizziert, wie er zum Teil schon tobt und künftig noch toben wird. Lord West of Spithead, Staatssekretär im britischen Innenministerium und zuständig für Sicherheit und Terrorabwehr, sagte der Times gegenüber, dass es heute schon täglich Tausende von Angriffen auf das Computernetzwerk von Stromversorger und das britische Stromnetz NationalGrid, Rüstungskonzernen, Telekommunikationsunternehmen und Banken durch Kriminelle und Terroristen gäbe. Das ist natürlich Wasser auf meine Mühlen. Trotzdem wäre es mir lieber, mit meiner Einschätzung nicht Recht zu haben.

Daneben geht der Cyberwar Russlands gegen das Computernetzwerk der Regierung Georgiens unvermindert weiter und auch China wird sich nach dem Ende der olympischen Spiele wieder vermehrt der Spionage und der Kriegsführung über das Internet widmen.

Referendum gegen Überwachungsstaat und Identitätsdiebstahl

Posted on by Sociobilly

Freiheitskampagne gegen biometrische Pässe und IdentitätskartenGemäss dem Willen des Bundesrats und der Mehrheit des Parlaments (siehe Bundesbeschluss vom 13.06.2008) sollen ab dem 1. März 2010 alle Schweizer Pässe und Identitätskarten zwingend mit biometrischen Daten und einem RFID-Chip versehen werden. Zusätzlich sollen all diese Daten in einer zentralen Datenbank des Bundes gespeichert werden und ausländische Regierungen und private Unternehmungen sollen Zugriff auf diese persönlichen und vertraulichen Informationen der Schweizer Bürger erhalten. Dagegen hat ein überparteiliches Komitee das Referendum ergriffen. Und was machen die übrigen, lethargischen Eidgenossen?

Continue reading

Sicher im Internet unterwegs

Posted on by Sociobilly

(Dieser Beitrag wurde zuletzt am 17.08.2008 aktualisiert)

Immer wieder werde ich bei Problemen im Zusammenhang mit Computer und Internet um Rat gefragt. Der voliegende Beitrag ist eine Zusammenfassung meiner Erfahrungen dazu. Er zeigt die Probleme, welchen wir im und durch das Internet ausgesetzt sind, und liefert einfache Lösungen (sozial, technisch, rechtlich).

Datenschutz und ein Recht auf Privatsphäre und informationelle Selbstbestimmung gibt es zwar auf dem Papier. Diese Rechte aber in der Praxis durchzusetzen, ist alles andere als einfach. Zudem ist es schon erschreckend, mit welcher Unbedarftheit und Naivität manche Zeitgenossen Informationen über sich und ihr soziales Umfeld im Web mehr oder weniger freiwillig preisgeben. Auch mit dem sicheren Umgang mit Internet-Applikationen sowie der Einrichtung der Infrastruktur tun sich viele äusserst schwer. Trotzdem hält die Mehrheit der PC-Nutzer Daten im Netz für sicher, obwohl der Besuch im Web immer gefährlicher wird. Die Meisten kümmern sich erst wirklich darum, wenn sie bereits Opfer von Persönlichkeitsverletzungen wie Cyberbullying, Datendiebstahl wie Passwortklau beziehungsweise Phishing, Spam oder sonstigen Attacken, Betrug oder Datenmissbrauch geworden sind, oder erst dann, wenn ihr Rechner einem Virus oder Trojaner zum Opfer gefallen ist oder zum ferngesteuerten Zombie-Rechner in einem Botnetz geworden ist.

Dabei wäre es gar nicht so schwer, mit bereits minimalsten Vorkehrungen das Leben im Cyberspace relativ sicher zu gestalten (obschon eine 100 prozentige Sicherheit gar nicht möglich ist). Deshalb habe ich im Folgenden ein paar grundsätzliche Verhaltensregeln, Anwendungen und Konfigurationsbeschreibungen zusammengestellt, die ein weitgehend sicheres Wandeln im Internet ermöglichen, auch ohne auf datenschutzproblematische, werbefinanzierte Dienstleistungen verzichten zu müssen.

Dieser Beitrag richtet sich auch an technisch weniger versierte Benutzer mit minimalsten IT-Grundkenntnissen und soll ihnen einen sichereren Umgang mit dem Internet sowie den Zugang zu weiter führenden Informationen ermöglichen. Daher ist der ganze Text gespickt mit Links. Wer Details zu einem betreffenden Stichwort wissen möchte, folgt einfach diesen Links. Zusätzlich finden sich Links zu anderen Websites und lesenswerten Beiträgen am Ende des Artikels.

Continue reading

Pages: 1 2 3 4 5 6 7 8 9 10 11 12

Der digitale 09/11 ist nahe

Posted on by Sociobilly

So wie die Flugzeuge, die am 9. September 2001 in die Türme des World Trade Centers in New York flogen, die ganze Weltwirtschaft und das Sicherheitsverständnis der westlichen Zivilisation erschütterten und zugleich nachhaltig veränderten, könnte schon bald das Gleiche mit noch um ein Vielfaches weitreichenderen und nachhaltigeren Konsequenzen im Internet in Form eines digitalen 09/11 passieren. Ein über das Internet geführter Krieg könnte innert wenigen Tagen die Welt verändern. Horror-Szenario eines Science-Fiction Romanautors? Mitnichten! Ganz nach Murphy’s Gesetz geschehen unliebsame Ereignisse und Katastrophen nicht, weil sie geschehen müssen sondern weil sie geschehen können, ohne dass es einen genauen Zeitplan dazu gibt.

Die technischen Möglichkeiten sind vorhanden und wenn jetzt auch noch jemand oder gar eine ganze Gruppe von Leuten mit dem dafür nötigen Fachwissen und genügend krimineller Energie das Eintreten eines solchen Ereignisses mit allen Mitteln forciert, ist es wohl nur noch eine Frage der Zeit, bis es wirklich eintritt. Schliesslich hatte auch niemand damit gerechnet, dass jemals zwei Passagierflugzeuge ins WTC fliegen könnten. Aber es ist dennoch passiert. Zu allem war die Ausführung dieses Flugkünstsücks gar nicht einmal so einfach. Das Internet lahm zu legen, wäre dagegen schon fast ein Kinderspiel oder eine herausfordernde Übung für Informatik-Studenten. Schliesslich sind Ingenieure bekanntlich die bessereren Terroristen und über 80 Prozent der Unternehmen geben zu, für Hacker-Angriffe verwundbar zu sein.

Continue reading

Missbrauch von Videoüberwachung leicht gemacht

Posted on by Sociobilly

Sicherheit durch Überwachung scheint sich immer mehr zum (auch staatlich verordneten) Standard zu werden. Die Luzerner Jungsozialisten haben im Vorfeld der Abstimmung über ein Reglement zur Videoüberwachung vom 1. Juni mit nur einem Laptop sowie einem handelsüblichen Empfangsgerät ausgerüstet Videoüberwachungskameras in verschiedenen Geschäften und anderen Orten der Stadt angezapft. Bei vielen Installationen wird das Videosignal nicht über ein Kabel sondern ungesichert mittels Funk übertragen, weil das viel günstiger ist. Wie leicht Videoüberwachung anzuzapfen und zu missbrauchen ist, dokumentiert der folgende Beitrag:

Weshalb nur die Jusos, die jungen Grünen und die Gewerkschaft Unia (unterstützt von ein paar weiteren kleinen Gruppen) sich für die rechtsstaatliche Freiheit engagieren und das Referendum gegen die Überwachungsvorlage ergriffen und innert kürzester Frist auch zustande gebracht haben, kann ich als parteiloser Ingenieur nicht so recht verstehen. Wo bleibt die Opposition der sonst so freiheitsliebenden SVP gegen das Reglement zur Videoüberwachung im öffentlichen Raum?

Und plötzlich werden Leute, die früher tendenziell den Pflastersteine werfenden Chaoten näher standen, zu Bewahrern der Rechtsstaatlichkeit und der Privatsphäre. tempora mutantur … Ist das etwa so etwas wie die „neue linke Bünzligkeit“? Wo bleiben die bürgerlichen Parteien? Sind diese schon zu lethargischen Polit-Zombies mutiert? Ich verstehe bald die Welt nicht mehr.

Schutz von Unternehmensdaten

Posted on by Sociobilly

Am 10. April luden die PGP Deutschland und Secure Computing zu einer halbtägigen Referatsreihe zum Thema „Strategien zum Schutz von Unternehmensdaten für Finanzdienstleister und Banken“ ein. Erfreulicherweise war dies nicht einfach eine von den vielen als „Seminar“ getarnten Verkaufspräsentationen (auch wenn es uns als Seminar verkauft wurde) und auch das Catering war ausgezeichnet. Neben Michael Rudrich (Secure Computing) und Thomas Hemker (PGP Corporation) hielt auch Bruno Wildhaber (Forte Advisors) ein Referat über IT-Sicherheit in der Finanzindustrie.

Continue reading

Gesetz gegen RFID-Sicherheitslücke

Posted on by Sociobilly

Wie man die Sicherheitsmängel bei RFID mit einem neuen Gesetz bekämpft, demonstriert uns die Politik: Im US-Bundesstaat Washington ist vom Gouverneur (bzw. von der „Gouverneurin„) ein Gesetz gegen das illegale Auslesen von RFID-Daten aus Ausweispapieren unterzeichnet worden. Wer dagegen verstösst, auf den wartet eine Haftstrafe bis zu 20 Jahren. Die spinnen doch, die Amis! Kein Gesetz der Welt wird RFID-Spionage jemals verhindern. Aber vielleicht kommt mal einer auf die Idee, RFID sicher zu machen oder ein Gesetz zu erlassen, das minimale Sicherheitsstandards vorschreibt. ROTFL … :-)=)

Malware Honeypots locken mit heisser Story

Posted on by Sociobilly

HonigtopfFindigen Cyberkriminellen gehen die Ideen anscheinend nie aus. Heute habe ich ein E-Mail von einer angeblichen „Alicia Doran [vassals5@giriofer.com]“ bekommen, in der von einer Explosion in einem Atomkraftwerk in der Nähe von Genf und einer „sich erstreckenden Strahlungswolke“ die Rede ist. Die Behörden würden versuchen, die Informationen darüber zu unterdrücken, und hätten sogar zeitweise den „Strohm“ (Original-Schreibfehler) abgeschaltet. Die Angelegenheit würde aber von „Amtsträgern“ inoffiziell bestätigt. Continue reading

Was passiert, wenn das Netz kollabiert?

Posted on by Sociobilly

Stellen wir uns vor, das Internet bricht zusammen! Bereits beim Gedanken daran bekommen viele Zeitgenossen ein mulmiges Gefühl. Zu sehr haben wir unsere Geschäftsmodelle von diesem Kommunikationsmedium abhängig gemacht, als dass wir einfach darauf verzichten könnten. Das Internet funktioniert bis auf wenige Ausnahmen meist recht gut und wir betrachten dies als eine Selbstverständlichkeit. Aber spätestens wenn das Netz einmal (wenn auch nur für kurze Zeit) nicht verfügbar ist, wird manch einem Geschäftsleiter, Informatikleiter, Risikomanager oder COO bewusst, dass es sich lohnen könnte, sich etwas mehr mit Krisenmanagement zu befassen.

So fürchtet zum Beispiel das Government Accountability Office (GAO) einen weltweiten Internet-Knockout aufgrund physischer Vorfälle wie einer Naturkatastrophe oder einem Angriff auf die Rechneranlagen von Internet-Knotenpunkten. Das GAO hat deshalb aufgrund einer aktuellen Studie das Department of Homeland Security (DHS) aufgefordert, einen Reaktionsplan auszuarbeiten. Auch gemäss Lawrence G. Roberts (ehemaliger Leiter des Entwicklungsteams beim Internet-Vorläufer Arpanet, heute Gründer und CEO von Anagran Inc.) ist die Wahrscheinlichkeit, dass das Netz kollabiert, relativ hoch, denn der Kapazitätsbedarf steigt schneller als die Preise sinken und längst machen Filesharing über Peer-to-Peer-Netze, Spam, Anfragen von Suchrobotern und Denial Of Service Attacken den Hauptanteil des Datenverkehrs aus. Wenn dann auch noch bandbreitenhungrige IP-TV Provider wie Zattoo ihre Infrastrukturkosten auf die Peer-to-Peer-Netze auslagern, ist der Punkt nicht mehr weit, an dem wir über neue Finanzierungsmodelle für die Infrastruktur des Internets verhandeln müssen.

Continue reading

Die Unheimlichen Herrscher des Internets

Posted on by Sociobilly

Das Internet erfreut uns täglich durch die Reichhaltigkeit seiner Inhalte und die Schnelligkeit der Informationen. Solange wir nicht Opfer eines Online-Verbrechens werden, machen wir uns keine Gedanken darüber. Wie schon Darth Wader in Star Wars von der dunklen Seite der Macht in Beschlag genommen wurde, so werden aber auch einige Zeitgenossen auf die dunkle Seite des Internet gezogen. In der (vermeintlichen) Anonymität des Netzes begehen sie Identitätsdiebstahl und -fälschungen, erpressen Schutzgeld von Websitebetreibern, die auf die Verfügbarkeit des Mediums angewiesen sind, und räumen fremde Bankkonten ab oder bestellen Waren auf Rechnung anderer. Die Kriminalität verlagert sich zunehmend ins Internet, denn das Risiko ist geringer als im Drogenhandel oder Waffenschmuggel und die Gewinne sind mindestens so lukrativ. Die schiere Grenzenlosigkeit des Internet ermöglicht die grenzenlose Entfaltung krimineller Energien und nicht einmal Computerspezialisten sind wirklich ganz gefeit davor. 150 Millionen Computer sollen schon unter der Herrschaft von Botnetzen ihren Dienst als willenlose Zombies verrichten. Computer Hygiene ist daher eine Grundvoraussetzung aber keine Garantie für den Schutz vor der Cyberkriminalität. Über die Risiken der Online-Welt berichten Oliver Schmidt und Markus Seitz in ihrer Dokumentation „Betrüger, Erpresser, Terroristen – Die unheimlichen Herrscher des Internets“ beim hr-fernsehen:

[stream provider=video flv=x:/www.sociobilly.net/rsc/videos/datenschutz_ueberwachung/20070303_betrueger_erpresser_terroristen.flv embed=false share=false width=480 height=360 dock=true controlbar=over bandwidth=high autostart=false /]
(Achtung: Filegrösse ca. 233 MB)

Wenn in Zukunft die ganze Welt über das Internet vernetzt sein wird und jedes Smartphone, jeder Boardcomputer, jeder Kühlschrank und jede Klimaanlage jederzeit von überall erreichbar und somit auch attackierbar sein wird, werden wir in jeder Lebenslage online angreifbar. Noch eine Dimension brisanter wird es, wenn es sich um kritische Infrastrukturen wie Zahlungsverkehr und Wertschriftenhandel, Flugsicherung oder Stromversorgung handelt. Erst wenn wir uns das potentielle Schadenausmass der neuen Kriminalität vor Augen führen, wird uns unsere Abhängigkeit von Energie und Internet bewusst.

Wohin führt uns das? Brauchen wir in Zukunft einen Computerschein wie wir heute schon einen Führer- oder Waffenschein benötigen? Kann das Problem mit der totalen Online-Überwachung durch die Polizei gelöst werden? Ich denke nicht, denn jeder Polizeistaat hat systembedingt mehr Lücken und Schwachstellen als ein demokratischer Rechtsstaat. Also kommen wir nicht daran vorbei, uns über andere Lösungsmöglichkeiten Gedanken machen zu müssen. Die Technologie dabei ist ebenso gefordert wie die Politik und Gesetzgebung. Das wäre doch eine richtige Lebensaufgabe für gelangweilte Politiker, oder?

Nachtrag:

Cyber-Kriminelle bieten ihre Dienstleistungen mittlerweile zu Schnäppchenpreisen im Kombipaket an: Spam-Versand und gleichzeitiges Lahmlegen der Server der Konkurrenz mit einem DDoS-Angriff (Distributed Denial of Service). Exploits und darauf spezialisierte Trojaner werden hingegen zu Höchstpreisen für mehrere zehntausend Euro gehandelt. Identitätsdiebstahl geht aber auch ohne Internet, wie der Inquirer zu berichten weiss.