6. Februar 2010
Forscher am International Secure Systems Lab (ISSL), einem Institut der TU Wien, veröffentlichten vor kurzem ein Paper unter dem Titel „A Practical Attack to De-Anonymize Social Network Users“ (PDF, 800 kb), in dem sie sich mit einer (nicht mehr ganz neuen aber recht wirksamen) Form der Ausspähung von Internetnutzern befassten: der De-Anonymisierung von Social-Network-Nutzern.
Der Internetnutzer als solcher ist zunächst nur ein kleines Element einer gigantischen und zudem rasch wachsenden Masse an Leuten, die im Internet aktiv sind. Doch durch das was er dort tut, welche Seiten er häufiger aufruft, welchen sozialen Netzwerken er sich anschließt und welche Dienste er nutzt, wird er zunehmend individueller und leichter von der Masse abgrenzbarer. Er schafft sich sozusagen einen nutzerindividuellen „Datenfingerabdruck“.
Die Wiener IT-Sicherheitsforscher dokumentieren einen technisch eher simplen Angriff, der eine seit zehn Jahren bekannte Sicherheitslücke ausnutzt. Betroffen sind alle Mitglieder von sozialen Netzwerken, die sich in dort angebotenen Interessensgruppen angeschlossen haben.
Was vielen Menschen unklar sein dürfte: Diese Gruppenmitgliedschaften ergeben ein individuelles Profil, das Angreifer wie einen Fingerabdruck aus dem Browser ablesen können: „In einem sozialen Netzwerk gibt es eben nur sehr wenige Menschen, die in denselben Gruppen eingetragen sind“, erklärten die Wissenschaftler in einem Interview mit Spiegel Online. „Bei Xing sind 1,8 Millionen Mitglieder in etwa 6500 öffentlichen Gruppen organisiert. Über 750.000 davon haben eine einzigartige Gruppenkonstellation, einen eindeutigen Fingerabdruck“, so die Wissenschaftler vom ISSL.
Und diese Daten auf den Rechnern der Teilnehmer lassen sich über eine gut zehn Jahre alten Sicherheitslücke, dem sog. „History Stealing“, zur De-Anonymisierung und Identifizierung der Nutzer verwenden. Denn um bereits angeklickte Links auf einer Webseite in einer anderen Farbe darstellen zu können, erhalten Websites Zugriff auf den Browserverlauf. Und der enthält zahlreiche nutzerspezifische Informationen, aus deren Gesamtheit sich mit sehr hoher Genauigkeit konkrete Personen identifizieren lassen.
„Wir waren richtig überrascht, wie einfach das geht“, sagt Forschungsprojektleiter Wondracek, der zur praktischen Demonstration des Verfahrens eine Experimentierseite ins Web stellte, auf der Interessierte selbst testen können, was sich aus den Daten in ihrer Browser-Historie herausfischen lässt.
Gegen diese Angriffsart hilft nur strikte Datenhygiene und ein gehöriges Maß Paranoia, so Felix Knoke von Spiegel Online.
Doch was genau machen auf History Stealing basierende Datenspäherprogramme, um Nutzer eindeutig identifizieren zu können? Das beschreibt ein Artikel von Daniel Bachfeld auf Heise Security wie folgt:
Im Wesentlichen macht sich der Test zunutze, dass viele Xing-Nutzer über ihre Zugehörigkeit zu mehreren Gruppen identifizierbar sind. Nach Angaben von Thorsten Holz, Mitinitiator des Experiments, gebe es nur wenige Personen in einem sozialen Netz, die genau den gleichen Gruppen angehören. […]
Dazu habe man möglichst viele Gruppen in Xing und die dazugehörigen Foren gecrawlt, um einen Überblick über die Anwender von Xing zu erhalten und an URLs für den weiteren Test zu gelangen. […]
Der zweite Schritt ist der eigentliche Test: Durch spezielle Aufrufe der Webseite im Browser kann eine Webseite feststellen, ob eine gegebene Seite auf einem anderen Server vom jeweiligen Besucher in der Vergangenheit aufgerufen wurde (…). Damit lässt sich zunächst ermitteln, welche Gruppenseiten der Anwender besucht hat. In jeder gefundenen Gruppe prüft der Test nun, ob der aktuelle Besucher ein bestimmtes Mitglied der Gruppe (im Forum) ist – ebenfalls wieder mittels Durchprobieren der zuvor gesammelten URLs. Eine mehr oder minder eindeutige Zuordnung soll auch deshalb möglich sein, da es in einem sozialen Netz eindeutige URLs gibt, etwa das persönliche Profil. […]
Vergrößern Zur Ermittlung des “Group Fingerprints” muss der Test laut Bericht nur rund 92.000 URLs durchprobieren, was in weniger als einer Minute erledigt ist. Durch eine Korrelation der Daten lässt sich der Kreis noch weiter einschränken, sodass häufig nur ein einziger Nutzer übrig bleiben soll.
Dabei schlagen die Forscher auch Gegenmaßnahmen vor, mit denen sich Spähangriffe, wie ihrer zumindest erschweren lassen. Serverseitig könnten die Betreiber sozialer Netzwerke zufällige Tokens in die URLs einfügen, die das spätere Durchprobieren von URLs durch Spähprogramme erheblich erschweren. Auch müssten sich die Zugriffscharakteristika von Spähcrawlern beim URLs-Durchtesten mit Hilfe von Web Application Firewalls, Intrusion Detection Systemen u.ä. von denen normaler Nutzer unterscheiden und dann blocken lassen.
Benutzerseitig hilft es, den Zugriff auf die Browser-History zu verwehren, beispielsweise indem man bestimmte Seiten nur im datenarmen Privatmodus aktueller Browser aufruft, zusätzliche schützende Plug-ins wie NoScript zur Filterung von Scriptsprachenfunktionen für den Firefox verwendet oder schlicht regelmäßig die History löscht. Allerdings gehen solche Maßnahmen stets auch mit Bequemlichkeits- und Komforteinbußen einher.
Kommentar schreiben » | 
Angriff & Abwehr, Datenschutz, Informationssicherheit, Netzkultur, Privacy | Mit Tag(s) versehen: Angriff & Abwehr, Browser, Data Leakage, Data-Mining, Daten, Datendiebstahl, Datenleck, Datenschutz, Datensicherheit, Exploits, Firefox, History Stealing, Identitätsdiebstahl, Identitätsmanagement, Informationssicherheit, Internet, Intrusion Detection System, Intrusion Prevention System, IT-Risiken, Kundendaten, Plugins, Privacy, Sicherheitslücken, Sicherheitspraxis, Web 2.0, Web Application Firewall, Webanwendung, Webapplikation | 
Permalink
Verfasst von Guido Strunck
30. Januar 2010
World-of-Warcraft-Spieler waren bereits häufiger Ziel cyberkrimineller Aktivitäten, was einige unter ihnen inzwischen datenschutztechnisch sensibilisiert hat. Als daher der Betreiber des Spiels Blizzard Entertainment vor einiger Zeit dem Spiel mit der sog. „Armory“ eine Funktion hinzufügte, die es um Social-Network-Funktionen erweiterte, wurden sie so allmählich wach. Die Armory ist eine allgemein, d.h. nicht nur für Spielteilnehmer erreichbare Suchfunktion, die neben zahlreichen Informationen zu Spieldetails auch Profile der teilnehmenden Charaktere liefert. Wer also wissen will, was ein bestimmter Avatar so erlebt hat, bekommt es mit dieser Suchfunktion heraus. Und kann damit sogar nachvollziehen, wann und wie häufig jemand im Spiel aktiv ist. Zwar liefert die Funktion keine Zuordnung von Spielern zu Avataren. Aber wenn ein Spieler zu einem früheren Zeitpunkt die Namen seiner Avatare preisgegeben hat, lassen sich mit der Armory leicht Rückschlüsse auf sein Spielverhalten ziehen.
Was z.B. Arbeitgeber bzgl. krankgemeldeter Arbeitnehmer und Auszubildende durchaus interessieren könnte (vgl. Beispielfall einer wegen privater Facebook-Nutzung gekündigten Arbeitnehmerin). Datenhungrigen Unternehmen ist ja inzwischen praktisch alles zuzutrauen. Und mit Recht und Gesetz wird es da oft ebenso wenig genau genommen wie mit Ethik und Moral (vgl. die zunehmenden Fälle von inszenierten Bagatellkündigungen zur Umgehung des Kündigungsschutzgesetzes)
Netzsherriff.de zum Thema Armory im WoW:
Jetzt koennen Eltern ihre Kinder, Freunde ihre Freunde, Arbeitgeber ihre Azubis oder Arbeitnehmer noch einfacher ueberwachen. Sobald ich weiss wer welchen Charakter spielt kann ich ab sofort und je nach Aktivitaet auch noch auf Jahre zurueck nachvollziehen was wann gemacht wurde. Nicht jeder Login und jede verspielte Minute aber immer noch genug fuer ein interessantes Profil. Vermutlich wird es nicht mehr lange dauern bis Blizzard die /played Information integriert – die insgesamt aufaddierte Spielzeit in Stunden/Tagen/Monaten pro Charakter.
Zudem ist nicht vorgesehen, dass WoW-Spieler die Veröffentlichung ihrer Spieldaten deaktivieren können. Was sie inzwischen zunehmend auf die Palme bringt und zu Protesten in Spielerforen veranlasst.
Zumal anzunehmen ist, dass diese eigenmächtige und mit niemandem abgestimmte Aktion von Blizzard rechtlich durchaus angreifbar ist, wie z.B. Florian Kretzer in einer lesenswerten Kommentierung im IT-Sicherheitsblog datenschutzrechtlich und vertragsrechtlich erläutert.
(die in seinem Artikel erwähnte EU-Datenschutzrichtlinie 95/46/E, das Fundament des europäischen Datenschutzrechts, gibt es hier im Volltext)
Es bleibt also abzuwarten, ob Blizzard die Armory freiwillig entschärft. Oder ob Spieler Beschwerden bei Datenschutzbeauftragten gegen Blizzard einreichen und diese Überprüfungen veranlassen, Bußgelder verhängen und Gewinne abschöpfen.
Einmal mehr zeigt sich ein Phänomen, das man „digitale Konvergenz“ nennen könnte. Reale und virtuelle Welt kommen einander immer näher. Was in der einen Welt geschieht, hat zunehmend Auswirkungen auf das Geschehen in der anderen. Sich in eine virtuelle Welt zurückzuziehen, um sich der Misslichkeiten der Realität zu entledigen, klappt immer weniger.
Andererseits soll es ja tatsächlich engagierte WoW-Spieler geben, die ihr so generiertes Spielerprofil als gutes Mittel zum Beleg ihrer Kompetenzen als Raidleiter für ihre Bewerbung auf dem Arbeitsmarkt sowie als Bestandteil ihrer generellen Online-Reputation ansehen. Allerdings ist die Anzahl der zu besetzende Positionen in Wirtschaft und Verwaltung, in denen es auf nachweisbare WoW-Handlungskompetenz ankommt, noch recht überschaubar.
Kommentar schreiben » | Allgemeines, Datenschutz, Informationssicherheit, Netzkultur, Privacy | Mit Tag(s) versehen: Computerspiele, Cyber-Crime, Data Leakage, Datendiebstahl, Datenhandel, Datenleck, Datenschutz, Datenschutzbeauftragter, Internet, IT-Recht, IT-Risiken, Online-Reputation, Privacy, Social Engineering, Spieleindustrie, Unternehmen, Web 2.0, Webanwendung, Webapplikation, World oft Warcraft, WoW | Permalink
Verfasst von Guido Strunck
27. Januar 2010
Diese Frage warf vor ein paar Tagen der Newsletter des Fachinformationsdienstes „Datenschutz-Praxis“ auf. Denn gerade in Unternehmen ist es keineswegs immer so, dass der IT-Sicherheitsbeauftragte und der Datenschutzbeauftragte stets an einem Strang ziehen. Zwar werden diese beiden Funktionen der Einfachheit halber und wegen der inhaltlichen Schnittpunkte gerne in einer Person zusammengelegt. Das aber kann Interessenskonflikte mit sich bringen, da der Datenschutzbeauftragte die Arbeit des IT-Sicherheitsbeauftragten bzgl. des Datenschutzes zu bewerten hätte. Und sich als „Doppelbeauftragter“ dann selbst zu kontrollieren hätte.
Zumal es z.B. Sachverhalte geben kann, bei denen z.B. aus Sicht der IT-Sicherheit manche Auswertungen, Datenzugriffe und Überwachungsfunktionen unerlässlich scheinen, während der Datenschutzbeauftragte vor einem anlasslosen, massenhaften Screening von Mitarbeiteraktivitäten warnt.
Doch zum eigentlichen Sicherheitsproblem kann der IT-Sicherheitsbeauftragte vor allem dann werden, wenn er sich bei der „internen Vermarktung“ berechtigter Anliegen der IT-Sicherheit vor Entscheidungsträgern im Unternehmen schwertut. Gerne verfallen IT-Sicherheitsbeauftrage dabei in Verhaltensmuster wie diese:
- Sie geben viel zu detaillierte technische Informationen, deren Aufnahme viel Zeit in Anspruch nimmt und die Entscheidungsträger eher verwirren oder abschrecken.
- Dagegen können sie für Entscheidungsträger wichtige technische Zusammenhänge nur unzureichend oder gar nicht erläutern.
- Sie verbreiten Horrorbotschaften über die neuesten Gefahren für die interne IT, ohne einen echten Bezug zur konkreten Situation im Unternehmen herzustellen.
- Sie liefern rein problemorientierte Sicherheitsberichte ab, denen weder realistische Bewertungen noch Lösungsvorschläge für bestehende Probleme entnommen werden können.
- Sie verfassen Sicherheitsrichtlinien, die unverständlich und umständlich in der Umsetzung sind, deren Ausführung eher den Betrieb lahmlegen würde als die Sicherheit zu verbessern, mit denen sie Betriebsräte und Beschäftigte gegen sich aufbringen und an die sich dann letztlich keiner hält.
So bekommen Datensicherheit und IT-Sicherheit letztlich doch nicht den erforderlichen Stellenwert und das Thema IT-Sicherheit wird in den Augen der Geschäftsleitung zum unverständlichen, lästigen und produktivitätshemmenden Sitzungsballast, der mit einer fadenscheinigen Begründung aufgeschoben oder weggekürzt wird. Bis es dann zu einem echten Problem kommt und Datenschutzlöcher oder ausgespähte Firmengeheimnisse eingestanden werden müssen (und Schuldige gesucht und gefunden werden sollen).
Der Fachinformationsdienst Datenschutz-Praxis rät daher Datenschutzbeauftragten das kollegiale Gespräch zu den Sicherheitsbeauftragen zu suchen, sie für Belange des Datenschutzes zu sensibilisieren und ihnen bei der Darstellung und Vermittlung der berechtigten Anliegen von IT-Sicherheit und Datenschutz im Unternehmen zu helfen.
Kommentar schreiben » | Compliance, Datenschutz, IT-Sicherheit, Informationssicherheit | Mit Tag(s) versehen: Datenschutz, Datenschutzbeauftragter, Datensicherheit, Informationssicherheit, IT-Controlling, IT-Sicherheitsmanager, Risikobewertung, Risikomanagement, Sicherheitslücken, Sicherheitspraxis | Permalink
Verfasst von Guido Strunck
24. Januar 2010
Erst kürzlich wurde zehntausenden Nutzern von EC-Karten mal wieder bewusst gemacht, was es bedeuten kann, wenn Software gravierende Fehler aufweist und nicht richtig funktioniert. Dabei sind die Programme auf den EC-Kartenchips, die zu Jahresbeginn zu massiven Problemen im Zahlungsverkehr führten, noch recht überschaubar, wie Informatiker Prof. Holger Hermanns von der Uni Saarbrücken befindet: „Zu Recht ärgerten sich Millionen Bankkunden über die stümperhafte Software auf ihren Kreditkarten. Offensichtlich ist das passiert, was viele bereits zur Jahrtausendwende 1999 auf 2000 befürchtet hatten: ein Software-Crash!“. Zwar sind Fehler in komplexen Softwaresystemen leider immer möglich. Jedoch erklärte der Experte für verlässliche Systeme und Software, in einem Interview mit Heute.de: „In dem konkreten Fall der EC-Karten wäre dieser Fehler aber durchaus vermeidbar gewesen. Denn die Programme auf den Kartenchips sind so klein und übersichtlich, da muss das nicht sein.“
Tatsächlich beschäftigen sich Informatiker seit Jahrzehnten damit, formale Methoden zu entwickeln, mit deren Hilfe sich die Korrektheit von Software nicht nur testen und prüfen sondern mathematisch beweisen lässt. Jedoch funktioniert das bislang nur für Programme von überschaubarem Umfang und Komplexität. Daher forscht man an der Uni Saarbrücken im Rahmen des Projekt AVACS (Automatic analysis and verification of complex systems) damit, Methoden zu entwickeln, um insbesondere komplexe softwarebasierte Systeme wie Fahrzeuge und medizinische Großgeräte aber auch kritische Infrastrukturen wie Kraftwerke und Verkehrstechnik ausfallsicherer zu machen. Denn während die streikende EC-Karte nur lästig ist, kann ein Absturz des Bordcomputers im ICE rasch lebensgefährlich werden.
Doch viele Qualitätsprobleme sind hausgemacht und daher mit technischen Lösungen nicht zu beseitigen. Prof Hermanns hierzu: „Leider gibt für Computerprogramme bisher noch kein Qualitätssiegel und Programme werden häufig unter Zeitdruck geschrieben.“
„Damit Denk- oder Schreibfehler in einer Software nicht zu unerwarteten Pannen oder gar Katastrophen führen müssen Unternehmen in die Aus-, Fort und Weiterbildung ihrer Mitarbeiter investieren. Pannen passieren immer wieder, weil unter Zeitdruck gearbeitet wird und zu wenig Qualitätskontrollen durchgeführt werden. Leider werden aus Kostengründen zu viele mäßig ausgebildete Fachinformatiker und Programmierer eingestellt. Die Guten sind oftmals zu teuer oder nicht mehr auf dem Markt.“
Es ist also wie auch in anderen Bereichen der Wirtschaft das alte Problem. Qualität kostet Geld und Kunden sind nicht bereit für Qualität extra zu bezahlen, da sie es aus anderen Lebensbereichen gewohnt sind, dass auch ein preiswertes Produkt einwandfrei zu funktionieren hat. Was allerdings häufig eher hoher Regulierungsdichte (Produkthaftung, Zulassungsbedingungen, verbindlicher qualitativer „Stand der Technik“, kein völlig freier Markzugang für jeden …) zu verdanken ist.
Kommentar schreiben » | Allgemeines, Informationssicherheit, Softwarequalität | Mit Tag(s) versehen: Defect-Tracking, Fehlersuche, field defect, Fortbildung, funktionale Sicherheit, Funktionalität, Informatik, kritische Infrastruktur, Qualifizierung, Qualitätsprüfung, Safety, Smartcard, Softwareentwicklung, Softwarequalität, Softwarequalitätssicherung, Softwaretest | Permalink
Verfasst von Guido Strunck
22. Januar 2010
Neben Viren, Trojanern, Rootkits und anderer Schadsoftware bekommt es der unbedarfte Internetnutzer zunehmend auch mit Trickbetrug zu tun. Eine recht verbreitete Variante besteht darin, zunächst scheinbar kostenlos Leistungen auf einer Webseite anzubieten, für deren Nutzung eine Registrierung mit vollständiger ladungsfähiger Postadresse erforderlich ist (für einen Newsletter reicht an sich eine Mailadresse, für eine geschlossene Benutzergruppe ein Pseudonym).
Später erhält man an diese Adresse dann ein Schreiben geschickt, wonach man ein Abo für irgendwas abgeschlossen hat, dass längere Zeit läuft und für das eine 2-3stellige Gebühr anfällt. Zahlt man nicht, werden die Betreiber rasch pampig und drohen mit Mahnungen, Inkasso, Schufa-Scherereien usw.
Tatsächlich ist man auf eine Form von Betrug hereingefallen und könnte diese Schreiben ignorieren, bis eventuell ein echter Mahnbescheid eingeht. Dem widerspricht man fristgemäß, der Mahnende hätte dann auf eigenes Risiko in ein (rechtlich aussichtsloses) Klageverfahren zu gehen, in dem er die Berechtigung seiner Mahnforderung zu belegen hätte (was er nicht kann und daher auch bleiben lässt) und die Sache ist erledigt. Viele zahlen aber weil sie für den meist überschaubaren Geldbetrag die ständigen Scherereien und Drohungen loswerden wollen. Ähnlich wie Abmahnbetrug sind so auch Abofallen zur Gelddruckmaschine für zwielichtiges Gesindel geworden. Zwar sind Verstöße gegen die Preisangabenverordnung juristisch sanktionierbar. Aber die Seiten werden dann eben geschlossen und unter anderem Namen neu aufgemacht.
Doch seit einigen Monaten gibt es dagegen einen wirksamen Schutz: Ein Browser-Plugin, kostenfrei verfügbar für den Internet Explorer und Firefox, gibt beim Versuch eine Abzock-Seite aufzurufen, eine Warnmeldung aus, in der erklärt wird, warum die Seiten als gefährlich eingestuft wird. Danach kann man entscheiden, ob man sie trotzdem aufrufen oder ihr fernbleiben will.
Das Plugin namens „Computerbild Abzockschutz“ wurde von der Zeitschrift Computerbild in Kooperation mit den Verbraucherzentralen, dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und einigen Fachanwälten entwickelt. Die Warnliste basiert auf redaktionell geprüften Informationen von Nutzern des Programms.
Man kann es hier herunterladen. Die Inhalte der Warnliste sind online abrufbar. Sie werden bei jedem Start des Browsers automatisch aktualisiert. Ähnlich wie bei signaturbasierten Virenscannern werden neue Abzockseiten so noch nicht erkannt. Allerdings bewirkt der Input durch die Nutzer selbst eine rasche Aktualisierung der Datenbasis des Programms.
Alles in allem eine gute und sinnvolle Sache. Allerdings sollte man es generell angewöhnen auf Gewinnspiele im Internet, Downloadseiten und alles, bei dem ohne ersichtlichen Grund eine volle Adresse anstatt nur einer Mailadresse angegeben werden soll, zu verzichten. Man führt dann ein erheblich ruhigeres Surferleben.
Kommentar schreiben » | Allgemeines, Angriff & Abwehr, Datenschutz, IT-Recht, IT-Sicherheit, Privacy, Tools | Mit Tag(s) versehen: Abmahnbetrug, Abmahnung, Abofalle, Access Blocking, Access Control, Angriff & Abwehr, Betrug, Browser, BSI, Cyber-Crime, Datenschutz, Firefox, Informationssicherheit, Internet Explorer, Internetbetrug, IT-Risiken, Plugins, Schufa, Sicherheitspraxis, Tools, Web 2.0 | Permalink
Verfasst von Guido Strunck
20. Januar 2010
Obwohl es bereits im April letzten Jahres von der damaligen großen Koalition verabschiedet wurde, blieb das „Elena-Verfahrensgesetz“ in bürgerrechts- und datenschutzsensiblen Kreisen zunächst lange unbemerkt. Die anstehende Bundestagswahl sowie Themen wie Internetzensur oder Vorratsdatenspeicherung absorbierten einen Großteil der politischen Kapazitäten der informationstechnischen Zivilgesellschaft.
Doch als zu Jahresbeginn mit Elena alle Firmen, die Arbeitnehmer im weitesten Sinne beschäftigten, damit begannen, Sozialdaten bis hin zu Abmahnungen, Fehlzeiten und Streikteilnahmen an eine zentrale speichernde Stelle weiterzugeben, wurde doch so manchem mulmig. Gewerkschaften erkannten, dass sich die hier wieder hemmungslos zutage tretende Datengier des Staates direkt gegen sie wenden könnte und kündigten Verfassungsklagen an. Zivilgesellschaftliche Organisationen diskutieren in ihre Mailinglisten über mögliche Formen des Protestes und des zivilen Ungehorsams. Und Informationsveranstaltungen zum Thema Elena finden (für ein zunächst trocken wie Lohnabrechnung wirkendes Thema) enorme Nachfrage.
So nahm ich gestern an einer Infoveranstaltung im DGB-Haus München teil, welche nur per Mailverteiler einige Wochen vorher angekündigt worden war (aber dann ihren Weg auf eine Mailingliste der Münchner Piraten gefunden hatte). Etwa 80 Leute und damit mehr als doppelt so viele wie sonst auf solchen Gewerkschaftsvorträgen üblich hatten den Weg gefunden. Peter Ellner, ein Anwalt und Steuerberater mit Tätigkeitsschwerpunkt Lohnabrechnung gab einen kurzen Überblick über das Elena-Thema. Doch rasch wandte sich die Aufmerksamkeit und das Fragen der Zuhörer weg von den Grundlagen und hin zu der Frage „Was tun wir dagegen?“. Sollte doch das Treffen nicht nur informatorischen Charakter haben, sondern zur Gründung einer gewerkschaftlichen Arbeitsgruppe führen, die sich politisch gegen diese zweite Vorratsdatenspeicherung einsetzt. Denn so groß Gewerkschaften von außen erscheinen mögen – in ihrem Inneren funktioniert wenig bis nichts ohne engagierte Ehrenamtliche, die dem Apparat inhaltliche Impulse geben und auf allen Ebenen mitarbeiten.
Der erste Schritt ist demnach die inhaltliche Aufklärung und politische Einordnung des Themas, wozu auch ich in meinem Blog bereits einige Artikel eingestellt habe.
Als Nächstes wird der DGB oder eine Einzelgewerkschaft wohl demnächst eine Verfassungsklage gegen Elena auf den Weg bringen, um so politisch Druck aufzubauen. Datensätze wie die Erfassung von Streikteilnahmen können durchaus geeignet sein, die grundgesetzlich verbürgte Koalitionsfreiheit sowie das Streikrecht zu beeinträchtigen, weshalb die Regieung bereits Nachbesserungen versprach (die aber noch nicht Gesetz und damit nicht rechtswirksam sind).
Gewerkschaften sind auch gute Plattformen zur Erstellung und Verbreitung von Informationen. Die Mitgliederzeitschriften „metall“ (IG Metall) und „publik“ (Verdi) erscheinen in Millionenauflage und erreichen jedes Mitglied. Daneben können Gewerkschaften auch als Plattform zur Organisation von Multiplikatorenschulungen (Betriebsräte, Vertrauensleute, hauptamtliche Gewerkschafter und interessierte Mitglieder) dienen.
Eine interessante Frage am Rande war das Verhalten der Gewerkschaften, die ja als Arbeitgeber für ihre Angestellten auch selbst Elena-Daten abliefern müssen, um korrekte Lohnabrechnungen generieren zu können.
Aber auch Betriebsräte können das ihre beitragen, indem sie Elena zum Thema auf Betriebsversammlungen machen. Es betrifft schließlich alle Arbeitnehmer – vom Lehrling bis zum angestellten Geschäftsführer. Viele mit Elena an die speichernde Stelle zu übertragende Daten sind zudem nicht verpflichtend sondern fakultativ. Ihre Lieferung ist entweder freiwillig (z.B. ausfüllbare Freitextfeder für Kommentare) oder an Bedingungen geknüpft, die in manchen Unternehmen zutreffen, in anderen nicht. Über diesen Anteil der Daten können Betriebsräte ein Mitbestimmungsrecht zur Ausgestaltung des Gesetzes auf betrieblicher Ebene geltend machen. Da solche Dinge oftmals erst arbeitsgerichtlich ausgefochten werden müssen, bis es jeder betroffene Arbeitgeber gelesen und auch verstanden hat, stehen demnächst wohl interessante Urteile an.
Denkbar wären auch regelmäßige datenschutzrechtliche Auskunftsanfragen an die speichernde Stelle, deren personelle Kapazität bei Millionen von auskunftsberechtigten Bürgern rasch an ihre Grenzen käme – falls der Staat da nicht mit einer Ausnahmeregelung zum § 19 BDSG für Elena das Auskunftsrecht der Betroffenen einschränkt oder ganz aushebelt.
Und natürlich gilt es bei gleicher Zielsetzung mit anderen zivilgesellschaftlichen Organisationen wie dem Chaos Computer Club, dem Arbeitskreis Vorratsdatenspeicherung, dem FoeBud, der humanistischen Union oder der Piratenpartei zusammenzuarbeiten.
Dann kann auch Elena zu Fall gebracht und der Sicherheits- und Datenkrakenstaat in seine Schranken gewiesen werden.
Update vom 28.01.2010:
Die Piratenpartei Deutschland hat unter stopptelena.de eine Aktionsseite ins Netz gestellt, auf der sie Informationen zum Elena-Gesetz, einen Pressespiegel sowie einen Aktionskalender veröffentlicht. Zudem hast sich ein von zahlreichen zivilgesellschaftlichen Organisationen getragenes Aktionsbündnis Wider die Datensammelwut gebildet, das neben Elena auch andere Formen staatlichen Datenhungers wie SWIFT, INDECT, die Vorratsdatenspeicherung oder biometrische Ausweise thematisiert und dazu Gegenaktionen plant.
5 Kommentare | Allgemeines, Datenschutz, Netzkultur, Privacy | Mit Tag(s) versehen: Arbeitnehmerdatenschutz, Arbeitskreis Vorratsdatenspeicherung, Arbeitsrecht, CCC, Compliance, Daten, Datenleck, Datenschutz, Datensicherheit, DGB, e-Government, elektronische Signatur, Elena, Foebud e.V., Gewerkschaft, Humanistische Union, IG Metall, IT-Risiken, Kryptografie, Piratenpartei, Sicherheitslücken, Staat, Trust-Center, Verdi, Verschlüsselung, Vorratsdatenspeicherung | Permalink
Verfasst von Guido Strunck
17. Januar 2010
Im Internet Explorer existiert eine bisher unbekannte kritische Sicherheitslücke. Die Schwachstelle ermöglicht Angreifern, über eine manipulierte Webseite Schadcode in einen Windows-Rechner zu schleusen und zu starten. Der in der vergangenen Woche bekannt gewordene Hacker-Angriff auf Google und weitere US-Unternehmen hat vermutlich diese Sicherheitslücke ausgenutzt.
Betroffen sind die Versionen 6, 7 und 8 des Internet Explorer auf den Windows-Systemen XP, Vista und Windows 7. Microsoft hat ein Security Advisory herausgegeben, in dem es Möglichkeiten der Risikominimierung beschreibt und arbeitet bereits an einem Patch, um die Sicherheitslücke zu schließen. Das BSI erwartet, dass diese Schwachstelle in kurzer Zeit für Angriffe im Internet eingesetzt wird.
Mit dieser klaren Ansage warnt das Bundesamt für Sicherheit in der Informationstechnik (BSI) vor dem Einsatz des Internet Explorers von Microsoft. Solche Warnungen werden von Bundesbehörden eher selten veröffentlicht und erreichen noch seltener die Presse, was einmal mehr dafür spricht, sie ernst zu nehmen.
Was aber ist geschehen?
Zunächst mal fügt das BSI in der Pressemeldung noch an, dass das bloße Herunterschalten des Internet Explorers in den „geschützen Modus“ sowie das Abschalten von Active Scripting den Angriff zwar erschwert aber nicht unmöglich macht. Microsoft wird in seiner Security Advisory (979352) etwas konkreter:
The vulnerability exists as an invalid pointer reference within Internet Explorer. It is possible under certain conditions for the invalid pointer to be accessed after an object is deleted. In a specially-crafted attack, in attempting to access a freed object, Internet Explorer can be caused to allow remote code execution.
Kein konkreter Programmierfehler sondern eine eher generelle Schwäche der Implementierung des Browsers bzw. seiner Speicherverwaltung gab mal wieder die Chance auf einen Exploit her, der durch Schadcode von entsprechend präparierten Websites eingeschleppt werden kann. An einem Patch wird gearbeitet. Es dürfte aber noch etwas dauern, bis er verfügbar ist. Bis dahin sollte man dem Rat der BSI-Experten folgen und den Internet Explorer nicht nutzen. Der gut beratene Internetnutzer hat ohnehin mehrere Browser auf seinem Rechner installiert.
Die BSI-Warnung steht im Kontext der in den letzten Tagen bekanntgewordenen Hack-Attacken gegen US-Unternehmen wie Google, bei denen bislang noch unbekannte Sicherheitslücken (Zero-Day-Exploits) im Microsoft-Browser als Grundlage für Angriffe eingesetzt wurden. Angestellte dieser Firmen hätten dazu E-Mails erhalten, die sie dazu bringen sollten, mit dem Internet Explorer eine präparierte Website zu besuchen. Das bloße Aufrufen dieser Seite, hätte dann für die Infiltration des Rechners genügt – eine typische Drive-By-Attacke. Die Angreifer nutzten den Exploit dazu einen Trojaner-Dropper auf den angegriffenen Rechnern abzusetzen, der dann selbsttätig über eine SSL-Verbindung weitere Module von einem C&C-Server nachlädt – darunter ein Fernzugriffstool, mit dem die Angreifer die Rechner unter ihre Kontrolle bringen können.
Microsoft nimmt an, dass die aktuelle Sicherheitslücke bisher noch nicht gegen Privatrechner eingesetzt worden sei, sondern nur sehr gezielt gegen bestimmte Unternehmen. Egal ob diese Annahme zutrifft oder nicht – bald schon dürfte sie obsolet werden.
Kommentar schreiben » | Angriff & Abwehr, Informationssicherheit | Mit Tag(s) versehen: Angriff & Abwehr, Botnetz, Browser, BSI, C&C-Server, Cyber-Crime, Drive-by-Download, Exploits, Hacker, Informationssicherheit, Internet, Internet Explorer, IT-Risiken, Malware, Microsoft, Patches, Phishing, Schadcode, Schadsoftware, Sicherheitslücken, Sicherheitspraxis, Softwarequalität, SSL-Verschlüsselung, Trojaner | Permalink
Verfasst von Guido Strunck
14. Januar 2010
Spiegel Online berichtet über einen Hack der peinlichen Art, der dem Chaos Computer Club kürzlich gelang. CCC-Hacktivisten führten für die ARD-Sendung „Kontraste“ vor, wie man mit einem programmierbaren RFID-Reader für etwa 200 € beim Umherwandern im Flughafen die Informationen aus RFID-Identkarten der dort Beschäftigten auf Distanz auslesen kann. Mit diesen „aus der Luft gegriffenen“ Identitätsdaten im Gerät (das wahlweise als Karte oder als Leser eingesetzt werden kann) ist es je nach Berechtigungsstufe des Karteninhabers möglich, sich Zugang über Zufahrtstore, Straßen, Terminals und Gates direkt aufs Vorfeld und natürlich auch in ein Flugzeug zu verschaffen, wie es auch ein Mitarbeiter des Flughafens Hamburg den Kontraste-Reportern bestätigte.
Betroffen sind Flughäfen, die das Zugangssystem „Legic Prime“ der Schweizer Firma Legic Identsystems AG einsetzen. Was bei zahlreichen Airports der Fall ist. Dessen bislang geheim gehaltene und daher wohl auch nicht durch Peer Review geprüfte Kryptoalgorithmen entsprechen dem Stand der Technik von 1992 und wurden vom CCC durch Reverse Engineering geknackt, wie Legic inzwischen einräumen musste.
Der CCC machte bereits im 26C3 Ende letzten Jahres auf die Schwäche der Legic-Karten aufmerksam. „Wir waren schlicht schockiert, überhaupt keine Hürden zu finden, die wir hätten überwinden müssen“ so ein daran beteiligtes CCC-Mitglied. Das “Security by Obscurity” bei Kryptoverfahren seine Grenzen hat, ist allerdings bereits seit langem Konsens in der Community der damit befassten Experten.
Die Betreiber der Flughäfen sind sich erstaunlicherweise der Löchrigkeit ihrer Sicherheitssysteme sogar bewusst, setzen aber darauf mehrere Sicherheitsverfahren zu koppeln. Die ID-Karten komplett durch ein System zu ersetzen, das zeitgemäßen technischen Standards entspricht, ist ihnen schlicht zu teuer.
Was die Gewerkschaft der Polizei einmal mehr in ihrer Forderung bestärkte, die Flughafensicherheit als originäre staatliche Aufgabe zu werten und durch Polizeibeamte anstatt private Sicherheitsleute wahrnehmen zu lassen. Allerdings beklagt auch die Polizei des öfteren Mängel in ihrer Sachausstattung. So gibt es bis heute keinen halbwegs abhörsicheren digitalen Polizeifunk für Deutschlands Ordnungshüter.
Kommentar schreiben » | Angriff & Abwehr, IT-Sicherheit, Informationssicherheit | Mit Tag(s) versehen: Access, Access Control, Angriff & Abwehr, CCC, Datensicherheit, funktionale Sicherheit, Hacker, Identitätsdiebstahl, Identitätsmanagement, Informationssicherheit, IT-Risiken, IT-Sicherheit, Kryptografie, Reverse Engineering, RFID, security by obscurity, Sicherheitslücken, Smartcard, Sniffing, Verschlüsselung | Permalink
Verfasst von Guido Strunck
9. Januar 2010
Seit September letzten Jahres ist unter www.projekt-datenschutz.de eine Website erreichbar, auf der Datenschutzvorfälle in Unternehmen, Organisationen und Behörden und Datenschutz-Aktivitäten der Politik veröffentlicht werden. Betrieben wird sie von der Münchner PR-Agentur PR-COM. Diese will mit ihrem Projekt eine Übersicht über große und kleine Datenschutzvorfälle ermöglichen, die entweder bereits in der Tagespresse erschienen oder die den Betreibern aus glaubwürdigen Quellen zugetragen werden.
Geordnet nach Datum, Ort, Datenherkunft, Organisation, Zahl der Betroffenen sowie versehen mit einer Kurzbeschreibung werden die gesammelten Datenschutzsünden aus Politik, Wirtschaft und Verwaltung hier veröffentlicht. So soll eine zunehmende Sensibilisierung der datenverarbeitenden Organisationen erreicht werden, da Datenschutzsünden auf diese Weise nicht mehr unter den Tisch gekehrt und verschwiegen werden können. Dies erscheint auch vor dem Hintergrund interessant, dass das Bundesdatenschutzgesetz im neu geschaffenen § 42a eine Publizitätspflicht für Datenschutzverstöße vorsieht, so dass die Anzahl offiziell anzuzeigender und publik werdender Datenschutzverstöße künftig deutlich zunehmen dürfte.
Ähnliche Seiten gibt es im internationalen Umfeld bereits seit längeren, so z.B. die Data Loss DB der Open Security Foundation.
Kommentar schreiben » | Compliance, Datenschutz, Netzkultur, Privacy | Mit Tag(s) versehen: Arbeitnehmerdatenschutz, Bürgerrechte, Compliance, Cyber-Crime, Data Leakage, Data Loss Prevention, Daten, Datendiebstahl, Datenhandel, Datenleck, Datenschutz, Datenschutzbeauftragter, Datensicherheit, IT-Recht, Netzkultur, Privacy, Webanwendung, Webapplikation, Webservice | Permalink
Verfasst von Guido Strunck
6. Januar 2010
Als Anbieter von Softwareprodukten an deren Qualität von zu sparen kann richtig teuer, zum Teil sogar existenzgefährdend werden. Diese Erfahrung macht derzeit die Firma Gemalto, die sich selbst bescheiden als „Weltmarktführer in digitaler Sicherheit“ bezeichnet. Sie hatte für deutsche Banken und Sparkassen Millionen EC- und Kreditkarten produziert, die in den ersten Tagen des neuen Jahres den Dienst einstellten und nicht mehr zum Bezahlen oder Geldabheben benutzt werden konnten.
Doch was war geschehen?
Die mit einem programmierten Chip versehenden Karten hatten ein Datumsproblem. Sie konnten das Jahr 2010 nicht korrekt verarbeiten und blockierten daher bei der Kartennutzung die Auszahlung von Geld.
Die neuen, goldfarbenen EMV-Chips (Europay, MasterCard und VISA) sind gut auf der Vorderseite der Karten zu erkennen. Sie speichern und verarbeiten Daten, die vom Lesegerät an die Karte übergeben werden. Die Chips basieren auf dem noch relativ neuen EMV-Standard, sollen Kartenfälschung und Betrug deutlich erschweren und so bargeldloses Bezahlen sicherer machen, als der zuvor eingesetzte passive Magnetstreifen.
Doch die in ihnen hardcodierte und daher nicht mehr nachträglich änderbare Software hatte wohl (mindestens) einen gravierenden Bug, der erst beim Einsatz durch den Kunden auffiel. Gemalto übernahm bereits nach kurzem die Verantwortung und arbeitet seitdem eng mit den Banken zusammen, um das Problem in den Griff zu bekommen. Als ersten Workaround wurden Bankautomaten umprogrammiert, so dass sie den Kartenchip ignorieren und sich rein an den Daten auf dem Magnetstreifen orientieren. Einzelhändler begannen bei defekten Karten den Chip per Klebestreifen zu überkleben, so dass ihre Kassenterminals stattdessen auch wieder den Magnetstreifen verarbeiten. Was natürlich den Sicherheitsgewinn durch die EMV-Technologie wieder aufgibt.
Doch das sind nur Workarounds, um Zeit für eine grundsätzliche Lösung zu gewinnen. Inzwischen scheint es wohl darauf hinauszulaufen, dass nahezu alle Karten mit Chip ausgetauscht werden müssen. Bei geschätzten 5 – 10 € Transaktionskosten pro Kartentausch und einer zweistelligen Millionenzahl an betroffenen Karten eine teure und zeitaufwendige Angelegenheit. Zumal die Geldinstitute zunehmend unter öffentlichen Druck von Politik, Verbraucherschützern und des Einzelhandels geraten, den die hohen Gebühren für die Zahlungsabwicklung schon länger verärgern.
Für den Fachmann zeigen sich gleich zwei Problemfelder der Softwarequalität in diesem Fall. Offenbar hat man bei Gemalto die Kartensoftware nicht hinreichend genau getestet, bevor sie für den Rollout freigegeben und in die Chips hart eincodiert wurde. Obwohl Software im Finanzbereich aufgrund des höheren Regulierungsniveaus und etlicher Branchenstandards im Allgemeinen umfangreicher getestet wird. Und die Nutzung in Form hardcodierter Bauteile, in die kein Patch und kein neues Release eingespielt werden kann, deutlich höhere Qualitätsanforderungen an die Entwicklungsprozesse stellt.
Was genau und aus welchem Grund bei Gemalto schiefgelaufen ist, dürfte allerdings noch länger im Unklaren bleiben. Im Gegensatz zum Jahrtausendwechsel, der insbesondere älteren Programmen Probleme bereitete, sollte das Jahr 2010 für Computerprogramme jedoch keine besondere Herausforderung sein. Insbesondere, wenn sie neu entwickelt wurden.
Andererseits können gerade bei der Wieder- und Weiterverwendung von Codeteilen sowie bei der Nutzung von Frameworks und Bibliotheken darin enthaltene und bislang unentdeckte Fehler über lange Zeit und in zahlreiche Anwendungen weitergetragen werden, bis sich die Umstände ergeben, unter denen der Fehler zum Problem wird. Daher sollten insbesondere solche wiederverwendeten Codeteile und Bibliotheken mehrfach, gründlich und von verschiedenen Instanzen auf Qualitätsprobleme untersucht werden.
Doch auch die abnehmenden Kreditinstitute haben offenbar bei den Abnahmetests für die neue Kartengeneration entweder komplett auf den Lieferanten vertraut oder zumindest nicht hinreichend genau getestet. Gerade Datumsangaben sind häufig Gegenstand von Fehlern (und daher auch von Testfällen), da es sehr viele mögliche Formate für sie gibt. Und man mit dem Datum auch rechnen, vergleichen, es als Bedingung für Entscheidungen verwenden, es numerisch oder alphanumerisch darstellen und noch vieles mehr machen kann.
So oder so – es zeigt sich einmal mehr, dass eine Art Produkthaftung auch im Softwaresektor unumgänglich ist, um Qualitätskosten als Notwendigkeit der Entwicklung und Produktion anstatt als lästiger, unnötiger und gern mal „wegoptimierter“ Kostenfaktor zu sehen. Wie auch in anderen Bereichen der Wirtschaft, reagieren Unternehmen oftmals leider nur auf Druck, drohende Wettbewerbsnachteile und harte (managerhaftungsrelevante) Regulierung.
1 Kommentar | Allgemeines, IT-Sicherheit, Informationssicherheit, Softwarequalität | Mit Tag(s) versehen: Bankdaten, Debugging, Funktionalität, Kreditkartenbetrug, Qualitätsprüfung, Smartcard, Softwarequalität, Softwaretest, Standard, Testdaten, Testmanagement | Permalink
Verfasst von Guido Strunck
