Safe the Date – 13. Linux-Infotag in Augsburg

18. März 2014

Am kommenden Samstag den 22.03. ist es wieder soweit. Die Open-Source-Enthusiasten Süddeutschlands treffen sich zum 14. jährlichen Linux-Infotag in Augsburg. Die Linux User Group Augsburg (LUGA) e.V. veranstaltet gemeinsam mit der Hochschule Augsburg in der dortigen Fakultät für Informatik ein inhaltlich reichhaltiges Vortragsprogramm sowie eine Begleitausstellung.

Das Programm umfasst in diese Jahr u.a. Themen wie den Einsatz von Open Source in Unternehmen, 3D-Drucken mit offener Hard- und Software, die auf quelloffener Software basierende Bitcoin-Währung sowie Möglichkeiten zur sicheren und unabhängigen Datenverwaltung in der eigenen Cloud. Für Entwickler und Techies gibt es auch Vorträge zu Programmierthemen wie Web Frameworks, Ruby on Rails oder die Nutzung von Wireshark zum Testen selbst gebauter Hardware.

Für ITler, Informatiker, Hacker, Techies und Nerds im süddeutschen Raum fast schon ein Pflichttermin.


Wird hier noch gebloggt?

7. Juni 2013

Hier auf meinem Blog ist schon länger kein neuer Artikel mehr erschienen. Ich habe das Bloggen jedoch nicht aufgegeben sondern nur deutlich eingeschränkt. Denn ich habe mich bereits Ende 2011 dazu entschlossen ein berufsbegleitendes Masterstudium an der FOM Hochschule für Oekonomie und Management aufzunehmen.

Berufsbegleitend zu studieren bringt neben einer vollzeitigen Tätigkeit beträchtlichen Zeitbedarf für Studienaktivitäten aller Art mit sich, wie ich bereits bei meinem ersten Studium erfahren konnte. Daher setze ich Prioritäten und blogge kaum noch. Auch Anfragen zu Produkttests, Artikel für andere Medien, Messekooperationen oder ähnliches kann ich daher zeitlich nicht unterbringen.

Wenn die Dinge plangemäß laufen, werde ich im ersten Quartal 2014 meinen Masterabschluss (M.A.) in IT-Management entgegennehmen und dieses Projekt zu einem erfolgreichen Abschluss gebracht haben. Dann wird es hier voraussichtlich auch wieder mehr zu lesen geben.


Die BSI-Schwachstellenampel für Mängel in Softwareprodukten

29. April 2012

Verbraucherschützer fordern sie schon länger: Die Ampel aus deren Rot-Gelb-Grün-Schema man leicht nachvollziehen kann, wie es um die Inhaltsstoffe von Lebensmitteln, das Hygieneverständnis von Gastronomen usw. bestellt ist. Und Wirtschaftslobbyisten arbeiteten in der Vergangenheit ebenso vehement wie erfolgreich dagegen an. Die Ampel sei zu einfach, zu grob und überhaupt schade zu viel Transparenz dem Geschäft und würde Verbraucher nur verunsichern.

Währenddessen hat kürzlich das Bundesamt für Sicherheit in der Informationstechnik (BSI) ein solches Ampelsystem zur Bewertung von Schwachstellen in verbreiteten Softwareprodukten veröffentlicht. Im Rahmen der sog. „BSI-Analysen zur Cyber-Sicherheit“ soll dieser Ampel-Indikator einen raschen Überblick über Sicherheit und Qualität der so gerateten Softwareprodukte geben. Derzeit werden für die Schwachstellenampel Sicherheitslücken in Produkten dieser Hersteller berücksichtigt:

•    Adobe Systems (Adobe Reader, Adobe Acrobat und Adobe Flash Player)
•    Apple Inc. (OS X, Safari und Quicktime)
•    Google Inc. (Google Chrome)
•    der Linux-Kernel
•    Microsoft Corporation (Windows, Office und Internet Explorer)
•    Mozilla Foundation (Firefox und Thunderbird)
•    Oracle Corporation (Java Development Kit (JDK) und Java Runtime Environment (JRE))

Das BSI ist der wohl zutreffenden Ansicht, dass Mängel in diesen Produkten aufgrund deren weiten Verbreitung in Unternehmen, Behörden sowie bei Privatanwendern potenziell schwerwiegende und flächendeckende IT-Sicherheitsvorfälle nach sich ziehen können. Die Behörde verfolgt daher u.a. auch den Lebenszyklus von Schwachstellen von der Entdeckung bis zur Beseitigung mit.

Daher bewertet es im Rahmen einer regelmäßig aktualisierten Schwachstellenampel offene Schwachstellen sowie deren Schweregrad auf einer 10er-Skala und visualisiert das entsprechend. Die Schwachstellenampel wird vom BSI regelmäßig aktualisiert. Die Termine der Aktualisierungen orientieren sich dabei hauptsächlich an den Patchdays und Aktualisierungszyklen der Anbieter. Zusätzlich werden Links auf weiterführende Sicherheitshinweise der Hersteller angeboten.

In dieser Form bietet die BSI-Schwachstellenampel einen guten ersten Überblick zur Sicherheits- und Qualitätslage von verbreiteter Standardsoftware. Wobei auffällt, wie gut vor allem quelloffene Open-Source-Produkte wie der Linux-Kernel oder Firefox und Thunderbird abschneiden. In jedem Fall kann so Druck auf die Hersteller entstehen, verstärkt auf die Sicherheit und die generelle Qualität ihrer Softwareprodukte zu achten.


Klemmt bald ein Trojaner Tausende vom Internet ab?

15. Januar 2012

Im November letzten Jahres konnte das amerikanische FBI einen großen Ermittlungserfolg verzeichnen. Im Rahmen der multinational koordinierten Operation „Ghost Click“ gelang es ein Bot-Netz mit ca. vier Millionen von zusammengeräuberten Rechnern verteilt auf ca. 100 Ländern durch Einnahme der C&C-Server in New York stillzulegen.

Über einen Trojaner namens „DNS-Changer“ wurden die Rückmeldungen aus DNS-Abfragen auf den betroffenen Rechnern so manipuliert, dass sie zu den C&C-Servern des Botnetzes statt auf reguläre DNS-Server führten. Im Code von DNS-Changer fand man u.a. eine IP-Adresse, die zum Netzwerk des estnischen Providers Esthost gehörte. Esthost ist ein Tochterunternehmen von Rove Digital. Unter den vom FBI im November verhafteten Personen befand sich auch eine Führungskraft von Rove Digital. Laut der IT-Sicherheitsfirma Trend Micro sei bereits 2008 bekannt gewesen, dass das Unternehmen diverse kriminelle Kunden habe. Man habe diese Informationen aber vor der Öffentlichkeit zurückgehalten, um die Arbeit der Ermittlungsbehörden nicht zu stören.

Die gut Hundert vom FBI in New York in einem Rechenzentrum sichergestellten Server wurden zunächst weiter betrieben, auch wenn keine Botnetz-Aktivitäten mehr darüber abgewickelt werden. Doch am 8. März sollen die noch verbliebenen Botnetz-Server endgültig vom Netz gehen. Damit den infizierten Bots dadurch mangels korrekter DNS-Serververbindung nicht dasselbe wiederfährt, wäre es für deren Besitzer inzwischen an der Zeit, zu klären ob sie mit „DNS-Changer“ infizierte Rechner haben oder nicht.

Daher hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) zusammen mit der Telekom unter www.dns-ok.de eine Schnelltest-Website eingerichtet, mit der man prüfen kann, ob der eigene Rechner befallen ist oder nicht. Dabei wird keine Software gestartet oder heruntergeladen. Die Seite überprüft nur, ob der eigene Rechner über einen der DNS-Server des Bot-Netzes geleitet wird oder nicht.

Ist das aber der Fall werden die Dinge schwierig. Zwar können viele Antivirenprogramme wie z.B. der kostenlose DE-Cleaner des Anti-Botnet-Beratungszentrums den DNS-Changer deaktivieren. Da sich dieser Trojaner jedoch per Rootkit-Funktionen sehr tief im befallenen System verankert, kann er oftmals nicht mehr rückstandsfrei entsorgt werden. Die verbleibenden Schadcodereste stellen jedoch ein Sicherheitsrisiko dar, das man nur noch durch ein komplettes Neuinstallieren des betroffenen Systems wieder los wird.


FIFF-Jahrestagung 2011 – Dialektik der Informationssicherheit

14. November 2011

Vom 11.-13.11. fand die Jahrestagung des „Forums InformatikerInnen für Frieden und gesellschaftliche Verantwortung“ (FIFF e.V.) in den Räumen der Hochschule München statt. Das Leitthema der 2½ tägigen Veranstaltung war in diesem Jahr „Dialektik der Informationssicherheit — Interessenskonflikte bei Anonymität, Integrität und Vertraulichkeit“. Es ging also um die zahlreichen Interessenskonflikte, die es im Bereich der Informationssicherheit in den Unternehmen, auf politischer Ebene sowie in der Gesellschaft gibt.

Eröffnet wurde die Tagung Freitag abend mit einer Keynote des bayerischen Landesbeauftragten für Datenschutz Dr. Thomas Petri, in der er die Auswirkungen EU-rechtlicher Entwicklungen (bsp. EU-Richtlinie zur Vorratsdatenspeicherung) samt dazugehöriger Rechtsprechung auf das deutsche Datenschutzrecht darstellte. Konkret ersichtlich ist das z.B. an der Debatte über unterschiedliche Wege der Umsetzung („Quick Freeze“ vs. „Mindestspeicherung“) in Deutschland. In wie weit sich per EU-Richtlinie grundgesetzwidrige Gesetze in Deutschland notfalls EU-rechtlich erzwingen lassen, ist auch eine solche Konfliktfrage.

Dem folgte eine Podiumsdiskussion in der Michael George (Bayerisches Landesamt für Verfassungsschutz), Prof. Dr. Rainer W. Gerling (IT-Sicherheits- und Datenschutzbeauftragter der Max-Planck-Gesellschaft), Constanze Kurz (Sprecherin des CCC), Dr. Thomas Petri (Bayerischer Landesbeauftragter für den Datenschutz) und Enno Rey (Geschäftsführer der IT Sicherheitsfirma ERNW) über die Spannungsfelder und Konflikte im Bereich der Informationssicherheit diskutierten.

Am Samstag fanden acht Workshops statt – jeweils vier parallel am Vormittag und vier am Nachmittag. Man konnte also an zweien teilnehmen. Ich entschied mich für die Themen Absicherung mobiler Daten und Endgeräte sowie Kritische Infrastrukturen. Aber auch europäische (IT-)Sicherheitspolitik und -forschung, Faire IT, Facebook und Co und meine Daten im WWW, Rüstung und Informatik und Data-Mining im Internet wurden angeboten.

Das Ergebnis meines Workshops zur Absicherung mobiler Datenträger und Endgeräte fiel eher ernüchternd aus. Prof. Dr. Rainer W. Gerling (IT-Sicherheitsbeauftragter der Max-Planck-Gesellschaft in München) stellt kurz gefasst da, dass zwar technisch sehr viel getan werden kann, um mobile Unternehmensdaten vor dem Abhandenkommen zu schützen. Dass aber in vielen Ländern (z.B. der USA) Ermittlungsbehörden ganz offiziell den Auftrag zur Wirtschaftsspionage besäßen. Und in nahezu der halben Welt der Einsatz von Kryptografie und anderen Werkzeugen des technischen Datenschutzes entweder ganz verboten ist oder auf von den jeweiligen Regierungen freigegebene (für deren Geheimdienste unproblematische) Werkzeuge beschränkt sei. Wer das ignoriert, muss mit Problemen bei der Einreise sowie der Beschlagnahmung seiner Geräte rechnen. Idealerweise gibt man Mitarbeitern, die in entsprechende Länder reisen, daher nur frisch aufgesetzte Geräte mit, auf denen nur unkritische, im Prinzip öffentliche Daten liegen. Eine Hashbildung über die Festplatte ermöglicht es Veränderungen (Schadcode) an der installierten Software zu erkennen. Eine gründliche Geräteinspektion einschließlich Wiegen auf einer Präzisionswaage erkennt Veränderungen an der Hardware (z.B. Einbau zusätzlicher Komponenten). Schlussfolgerung: Tagungen auf denen sensible Informationen ausgetauscht werden, sollte man nur in sicheren Rechtsräumen stattfinden lassen. Das schont auch das Reisekostenbudget und grenzt informationstechnische Schurkenstaaten gezielt vom internationalen Informationsaustausch aus.

In der Mittagspause traf ich auf Studierende, die an einer Initiative zur Einführung eines Masterabschlusses im Bereich „Informatik und Gesellschaft“ arbeiten und die dazu Einzelaktivitäten an Hochschulen wikiartig zusammentrugen. Das Studienfeld „Informatik und Gesellschaft“ befasst sich mit den sozialen, kulturellen, politischen und individuellen Auswirkungen und Wechselwirkungen von Informationstechnik in einer interdisziplinären Weise. Es hatte seinen Höhepunkt in Deutschland in den 80er Jahren, ist stark an einzelne Persönlichkeiten gebunden, die inzwischen das Pensionsalter erreichen und droht daher langsam „auszusterben“. Zumal viele Universitäten an einem eher drittmittelarmen Forschungsfeld ohne konkrete Beschäftigungsperspektive außerhalb der Hochschulwelt kaum Interesse zu haben scheinen. Andererseits zeigen netzpolitische Debatten rund um digitale Medien, elektronisches Publizieren, Open Access, die Frage des geistigen Eigentums, Plagiate und Langzeitarchivierung oder auch Open Source oder IT-Compliance in Unternehmen die unmittelbare Relevanz des Studienfeldes „Informatik und Gesellschaft“ auf.

Der Workshop zum Thema Kritische Infrastrukturen wurde von Claus Stark (FifF) und Bernhard C. Witt (Sprecher der GI-Fachgruppe Management von Informationssicherheit) geleitet. Sie brachten mir auf kompetente Weise einen Einblick in ein Thema, dass Aspekte der Informationssicherheit mit e-Government und europäischer Sicherheitspolitik verbindet. Bei kritischen Infrastrukturen geht es um Dinge wie Energieversorgung, Verkehrssysteme, Telekommunikation, Ernährung und Gesundheitsversorgung oder auch das Finanzwesen. Ihnen allen ist gemein, dass sie irgendwie zur Daseinsvorsorge gehören, massiv vom Funktionieren informationstechnischer Systeme abhängen und im Falle von Störungen oder Ausfällen rasch negative Auswirkungen auf große Teile der Bevölkerung spürbar wären. Ideale Ziele also für Terrorangriffe oder Sabotage. Das Bundesministerium des Inneren sowie das dem BMI zugeordnete BSI geben einige Einstiegsinformationen zum Thema kritische Infrastrukturen heraus. Wer sich für speziellere Details interessiert, wird jedoch rasch feststellen, dass sich zwar zahlreiche Menschen in diversen Organisationen damit beschäftigen, jedoch durch Geheimschutzabkommen zur Verschwiegenheit verpflichtet wurden. Zu solchen Details zählen u.a. die Ergebnisse der praktisch jährlich mit unterschiedlichen Schwerpunkten stattfindenden LÜKEX-Krisenreaktionsübungen, mit denen das Handeln von Institutionen zur Krisenreaktion und Krisenbewältigung geübt wird. Erkenntnisse aus den Lükex-Übungen werden in einem abschließenden Auswertungsbericht zusammengefasst, der jedoch nicht veröffentlicht wird.

Fachliteratur zum Thema kritische Infrastrukturen ist eher knapp. Institutionellen Austausch, wissenschaftliche Begleitforschung und Debatten in der Fachöffentlichkeit gibt es dazu kaum. Jedoch beschäftigt sich u.a. in der Gesellschaft für Informatik (GI e.V.) im Rahmen der Fachgruppe IT-Sicherheitsmanagement ein Arbeitskreis Kritische Infrastrukturen (AK KRITIS) mit dem Thema.

Beim Schutz kritischer Infrastrukturen hat man im Prinzip ganz ähnliche Probleme wie in der Informationssicherheit generell. Zwar können mit Hilfe von Instrumenten wie Verschlüsselung, Härtung der Systeme und wirksamen Integritätsschutzes gute Schutzniveaus erreicht werden. Aber auch hier können schwache Sicherheitskonzepte, Implementierungsfehler sowie mathematische oder technische Schwächen Grenzen aufzeigen und Lücken für Angreifer reißen.

Der Tag endete mit dem Vortrag von Frau Hansmeier (Sicherheitsbeauftragte eines DAX-Konzerns), die die Konflikte der IT-Sicherheit in Unternehmen bei der Entwicklung und Umsetzung ambitionierter IT-Sicherheitskonzepte. Dazu gehört u.a. der unternehmenskulturelle Konflikt, dass starke Informationssicherheit und regulierter Informationszugang oftmals nur schwer mit einer von Transparenz und Offenheit geprägten Unternehmenskultur zusammengeht. Oder auch Effizienzprobleme, da viele als vertraulich klassifizierte und daher nur wenigen Personen zugängliche Daten dazu führen können, dass es in großen Organisationen redundante Mehrfachprojekte gibt, da sprichwörtlich „die linke Hand nicht weiß was die rechte tut“. Ein Umstand, den ich aus der früheren Arbeit für große Industriekonzerne selbst kenne.

Alles in allem war die „Dialektik der Informationssicherheit“ ein spannendes Themenfeld, zu dem ich gern noch einige Workshops mehr mitgenommen hätte.


Hoeren-Skript zum IT- und Internet-Recht aktualisiert

10. November 2011

IT-Rechtsexperte Thomas Hoeren, Professor am Institut für Informations-, Telekommunikations- und Medienrecht der Universität Münster und Richter am Oberlandesgericht Düsseldorf, hat seine im April 2011 zuletzt erschienenes Skripten zum IT- und Internet-Recht in überarbeiteter Fassung vorgelegt.

„Skript“ ist dabei stark untertrieben. Tatsächlich sind die beiden Hoeren-Skripte jeweils mehrere Hundert Seiten umfassende gewichtige IT-rechtliche Fachlektüre. Wohl dem, der ein Tablet oder einen e-Book-Reader damit bestücken kann.

Da speziell das Recht im Internet sich ähnlich dynamisch entwickelt wie das Netz selbst, waren erneut an etlichen Stellen Aktualisierungen nötig. Hoeren hat dazu Themen wie Social Media, Domainrecht, etliche Detailfragen aus dem Urheberrecht, das DE-Mail-Gesetz Verbraucherschutz bei Online-Geschäften, das Datenschutzrecht oder Fragen zu EDV-Verträgen überarbeitet oder neu mit aufgenommen. Aktualisiert wurden auch Kommentierungen aktueller Rechtsprechung, neuer relevanter Urteile sowie zahlreiche Literaturhinweise.

Hoeren weist bereits im Vorwort seines Buches darauf hin, „dass das Internet eine Dynamik hat, die die klassischen Buchverleger überfordert“. Eine gedruckte Ausgabe der beiden Skripte wäre daher wahrscheinlich bereits zum Zeitpunkt ihres Erscheinens veraltet. Eine digitale Publikation dagegen ermöglicht rasche Fortschreibungs- und Aktualisierungszyklen.

Auch die neue Fassung steht auf den Seiten des Instituts für Informations-, Telekommunikations- und Medienrecht der Uni Münster kostenlos zum Download bereit.


Das Problem mit den Updates

23. Oktober 2011

Der Grad an relativer Sicherheit bzgl. Gefahren durch Schadsoftware auf dem eigenen PC hängt stark damit zusammen, in wie weit man dafür sorgt, dass das verwendete Betriebssystem sowie die installierte Software jeweils auf dem aktuellsten Stand ist.

Hersteller verbreiteter Softwareprodukte werden laufend auf Schwachstellen, Fehler u.ä. ihrer Programme hingewiesen. Manche davon so gravierend, dass rasche Updates ausgeliefert werden müssen.

Am besten stehen da die Nutzer von Linux da. Linux bringt eine Paketverwaltung mit, die ohne weitere Aktivität des Anwenders Buch darüber führt, ob alle installierten Pakete aktuell sind, ob Updates vorliegen und eingespielt werden müssen und ob das Austauschen einzelner Komponenten währen eines Aktualisierungslaufs andere Programme in ihrer Funktionsweise beeinträchtigt (Abhängigkeitsauflösung).

Das fehlt bei Windows. Windows kann zwar so konfiguriert werden, dass es die regelmäßig veröffentlichten Updates für Microsoft-Produkte selbsttätig findet, herunterlädt und installiert – für die diversen sonstigen auf dem Rechner installierten Anwendungen leistet es das jedoch nicht. Darum hätte sich der Nutzer selbst zu kümmern (bzw. den hoffentlich vorhandenen und aktivierten Auto-Update-Funktionen seiner Programme zu vertrauen). Abhängigkeitsauflösungen und Kompatibilitätstest auf Verträglichkeit einzelner Updates mit anderen, bereits vorhandenen Programmen gibt es erst recht nicht.

Doch gerade aus der Sicherheitsperspektive betrachtet, ist es sehr wichtig, dass veraltete oder als mit bekannten Schwachstellen belastete Software zügig ersetzt wird. Für die Programmierer von Schadsoftware sind speziell Browser und verbreitete Anzeigeprogramme für Mediendateien ein beliebtes Angriffsziel. Sie sind auf fast allen Rechnern vorhanden, arbeiten überall in gleicher Weise und können so Schadcode den Zugriff auf den vollen Rechner eröffnen. Ein Großteil aller entdeckten Schwachstellen entfällt dabei auf nur wenige, dafür aber sehr weit verbreitete Softwareprodukte.

In Unternehmen mit zahlreichen windowsbasierten Arbeitsplatzrechnern werden daher kommerzielle Softwareverteil- und -paketiersysteme eingesetzt und die genutzten Softwarebestände im Rahmen von geregelten Release- & Rollout-Management-Prozessen verwaltet und aktuell gehalten.

Für Privatanwender bietet die Firma Secunia mit dem kostenlosem Personal Software Inspector (PSI) ein meiner Ansicht nach sehr nützliches Programm zum Download an. Der PSI inventarisiert nach dem ersten Start die auf dem PC vorhandenen Programme und gleich deren Versionsstände mit seiner Versionsdatenbank ab. Auf diese Weise entdeckt er schon rasch veraltete Programme, mehrere parallel installierte Versionen und andere potentielle Sicherheitsdefizite. Für die meisten bietet er auch gleich Links an, um Updates für die betroffenen Programme von den Webseiten der jeweiligen Anbieter herunterzuladen. Manche kann PSI sogar selbsttätig finden und einspielen. Auf diese Weise kann das im Hintergrund laufende Programm dazu genutzt werden, den Rechner automatisch mit Updates der gängigsten Programme versorgen zu lassen, sobald diese veröffentlicht werden. Ein manuelles Nachführen ist dann nicht mehr notwendig.

Leider bringt nicht jedes obsolet gewordene Programm einen eigenen Uninstaller mit. Und die Softwareverwaltung von Windows ist beim „Aufräumen“ nicht immer allzu gründlich. Oft bleiben auch nach einer Deinstallation noch Dateien, Verzeichnisse und Registrierdateneinträge übrig. Das ist zwar im Zeitalter der Terabyte-Festplatten bzgl. des belegten Plattenspeichers kein echtes Platzproblem. Allerdings kann jedes auf dem Rechner vorhandenes Stück Software ein potenzielles Einfallstor für Angriffe per Schadcode werden.

Wer die PC-Hygiene daher sorgfältiger betreiben will, kann dazu auf die ebenfalls kostenlosen Tool Revo Uninstaller (kostenlose Basisversion, deinstalliert Programme) und CCleaner (findet und beseitigt Datenmüll) einsetzen. Für Schadsoftware wird es auf einem solchermaßen aktuell gehaltenen Rechner deutlich schwieriger, sich festzusetzen.


Folgen

Erhalte jeden neuen Beitrag in deinen Posteingang.

Schließe dich 128 Followern an