Linke Polithacker knacken weltweit aktives Neonazi-Netzwerk

Politische Konflikte ziehen immer auch Hackergruppen an, die den Kampf dann im Internet weiterführen. Das bekam auch die internationale, in Deutschland verbotene Neonazi-Gruppierung „Blood and Honour“ („Blut und Ehre“ – Leitspruch der Hitlerjugend) zu spüren. Deren Server wurde linksgerichteten Hackern geknackt und der erbeutete Inhalt – Nutzerkennungen, Foren, Fotos, Adressen etc. – im Internet veröffentlicht und in Tauschbörsen zum Download angeboten. Auch hat der Angriff sogenannte Red-Watch-Listen zu Tage gefördert: Auf diesen Listen sammeln Neonazis Namen, Adressen und andere Informationen über ihre politischen Gegner.

Insgesamt erbeuteten die Hacker, die sich selbst „Daten-Antifa“ nennen, nach eigenen Angaben etwa 32.000 Datensätze der Neonazis. Nach ihren Aussagen sei es den linksgerichteten Computerhackern „in einer aufwendig vorbereiteten Nacht-und-Nebel-Aktion“ und in Zusammenarbeit mit befreundeten Gruppen aus dem In- und Ausland gelungen, sich Zugriff auf den bislang streng abgeschirmten Server des Blood- and-Honour-Netzwerks zu verschaffen, auf den sonst nur Mitglieder mit Passwort Zugriff haben. Zur Veröffentlichung der Daten habe man sich entschlossen, als klar wurde, dass es „Monate dauern würde, diese Datenflut auszuwerten“.

Das Blood-and-Honour-Netzwerk wurde ursprünglich in Großbritannien gegründet, hat sich aber mittlerweile weltweit ausgedehnt. Es dient Neonazis vorwiegend als Plattform zur Organisation von Konzerten von Neonazi-Bands sowie zur Weiterverbreitung rechtsextremen Gedankenguts. Auf ihrer Startseite bezeichnet sich die Organisation als musikbasiertes Widerstandsnetzwerk, das keiner Partei oder politischen Organisation verpflichtet ist.

Günther Hoffmann vom Zentrum Demokratische Kultur sagte der „Frankfurter Rundschau“, die Tragweite dieses Schlags gegen den militanten Rechtsextremismus sei überhaupt noch nicht absehbar: „Jetzt werden einige Leute im rechtsextremen Umfeld, darunter sicher auch Aktivisten der NPD, sehr nervös werden.“

Inzwischen interessieren sich auch staatliche Organe für den spektakulären Hack. Gerd Lang, Sprecher des Thüringer Verfassungsschutzes, sagte dem Sender MDR 1 Radio, seine Behörde sei an den Ergebnissen der Aktion von Neonazi-Gegnern „interessiert“. „Sollten sich die Einschätzungen bewahrheiten, wären die Daten von großem Interesse, um Strukturen aufzuhellen“, sagte Lang.

Es könne auch strafrechtlich relevant sein, wenn jemand in Gruppen aktiv sei, die verboten sind. Als Beweis könnten die Daten allerdings nicht gelten, da sie illegal beschafft wurden.

Frankfurter Rundschau: Hacker knacken weltweites Neonazi-Netz

Indymedia.org: Blood&Honour Forum hacked!

Spiegel.de: Linke Hacker knacken Neonazi-Datenbank

Spiegel.de: Verfassungsschutz interessiert sich für Neonazi-Daten

Was man gegen Bankdatenmissbrauch und Kartenbetrug tun kann

Im Zuge der Datenmissbrauchsskandale der letzten Wochen wird immer deutlicher, dass sich hier eine bereits seit längerem existierende Datenmafia, bestehend aus Adressdealern, Kreditkartenbetrügern, dubiosen Firmen und diversen anderen Ausprägungen von Wirtschaftskriminalität entwickelt hat. Und diese nur durch Zufall so öffentlich sichtbar wurde, wie derzeit zu beobachten ist.

Politiker fordern parteiübergreifend eine Verschärfung des Datenschutzes, wohl wissend dass es oftmals der Staat war, der durch Massendatenerfassung, Vorratsdatenspeicherung in Verbindung mit lax gehandhabten Bestrebungen zu Daten- und Verbraucherschutz, erst die Plattform für diese Art des Betrugs geschaffen hat.

So berichtet die Wirtschaftswoche in ihrer aktuellen Ausgabe 35/20087 ausführlich über die Probleme mit Kontendatenmissbrauch, Kreditkartenbetrug, untergeschobenen Verträgen etc. Sehr nützlich erscheinen mit in diesem Zusammenhang die praktischen Tipps mit denen man sich selbst davor schützen kann, beim Umgang mit EC- und Kreditkarten übervorteilt zu werden:

1.    Mehrfachkartentricks: Besitzt man mehrere Karten, so sollte man beim Gang zur Bank mit der einen die Eingangstür öffnen und mit einer anderen am Automat Geld abheben. Wenn ein Betrüger die Kartendaten am Eingang liest und am Automaten die Geheimzahl abgreift, kann er diese beiden Informationen nicht zu einer gültigen Karte zusammenführen.

2.    Verdeckte PIN-Eingabe: Beim Eingeben der Geheimzahl sollte man sich weder von anderen Personen noch von einer Videoüberwachung zusehen lassen.

3.    Mehrfache PIN-Eingabe: Wenn man sich sicher ist, die richtige PIN eingegeben zu hab en, sollte man sie diese trotz Aufforderung dazu nicht mehrmals eingeben.

4.    PIN-Nummer auswendig lernen: Die eigene PIN wird nirgendwo festgehalten! Weder als Zettel im Tresor noch als Telefonnummer im Handy. Beides hat bereits zur Ablehnung von Regresszahlungen vor Gerichten geführt. Gedächtnistipp für PINs: Sich zur Zahl auch die Bewegungsabfolge beim Eintippen in die Handy- oder Automatentastatur einprägen. Das hilft enorm!

5.    Vertauschte Karte: Darauf achten, dass man nach einem Bezahlvorgang an einer Kasse die eigene Karte zurückbekommt und nicht eine wertlose andere.

6.    A la Carte nur am Tisch: Wer im Restaurant per Karte bezahlt, sollte darauf bestehen, den Bezahlvorgang persönlich am Tisch abzuwickeln, anstatt die Karte dem Ober zur Theke mitzugeben. Sie könnte sonst rasch und unbemerkt kopiert werden.

7.    Keine Blanko-Karten: Neue Karten sollte man zügigst nach Erhalt unterschreiben und nicht blanko mit sich führen.

8.    Kartensperrhotline: Die Telefonnummer der Kartensperrhotline – 116 116 – sowie die eigene Kontonummer sollte man mehrfach bei sich haben. Beispielsweise im Handy und im Geldbeutel.

9.    Kartensperrung mit Zeugen: Sicherheitshalber sollte man beim Sperren einer Karte einen Zeugen dabeihaben und sich Name, Zeitpunkt und Namen des Ansprechpartners am Telefon festhalten. Die Kartensperrung sollte man immer direkt und persönlich bei der Hausbank, nicht über Dritte machen.

10.    Fristen beachten: Wer mehrere Wochen unterwegs ist, sollte dafür sorgen, dass Kontoauszüge abgeholt und regelmäßig an ihn nachgesendet werden. Sonst verfallen u.U. Reklamations- und Interventionsfristen, um unrechtmäßige Abbuchungen ohne größere Scherereien wieder zurückholen zu können.

11.    Kontoauszüge regelmäßig kontrollieren: Abbuchungs-Betrüger bauen darauf, dass viele Leute ihre Auszüge nicht lesen. Und dass unregelmäßig wiederkehrende kleinere Buchungen von etwa 20-50 € nicht so schnell bemerkt werden. Die Praxis zeigt, dass sie mit beidem Recht haben.

12.    Karten-Check-Up: Regelmäßig prüfen, ob man noch alle Karten bei sich hat – insbesondere bei der Teilnahme an Großveranstaltungen.

13.    Polizei als Inkassoschreck: Manche Betrüger sind besonders dreist. Sie versuchen das geklaute Geld im Falle einer Rückbuchung sogar per Inkassofirma einzutreiben. Oder der Verkäufer, bei dem Kartendiebe mit Ihrer Karte etwas bezahlt haben, aktiviert eine Geldeintreiberfirma. Da die betrügerische Aktion der Inkassofirma nur schwer klarzumachen ist, hilft oft eine Strafanzeige gegen unbekannt bei der Polizei. Kann  man die Anzeige vorweisen, bremst dass das Engagement der Inkassobetreiber oft beträchtlich. Sie sehen, dass oder Sache oft den Aufwand nicht wert ist und sie im Falle einer Klage auf ihren Kosten sitzen bleiben werden. Stattdessen erstattet dann auch noch das Inkassounternehmen ebenfalls Anzeige gegen unbekannt und stellt die Tätigkeit bis zu deren Klärung ein.

IT-Sicherheit im Spielesektor

Heute beginnt in Leipzig die vom 21.-24.08. gehende Games Convention, eine Fachmesse der Computerspiele-Hersteller. Bereits seit längerem kann man auf Heise.de dazu Hintergrundinformationen zur Messe und zur wirtschaftlichen Lage der Spieleindustrie finden. Diese Gelegenheit will ich heute nutzen, um mal was zum Thema Spiele zu schreiben.

Viele Leute, die heute in der IT-Sicherheit tätig sind oder die dem „freischaffenden Hackertum“ zugeordnet werden können, sind ursprünglich über das Hacken von Computerspielen dazugekommen. Das ist auch heute noch ein, gerade für junge Leute beliebter Einstiegspunkt in die Materie der IT. Egal ob es um das klassische „cracken“, also um das Entfernen von Kopierschutzmechanismen geht. Oder ob man zu einem Spiel Modifikationen entwickelt, durch die ein Spieler Vorteile wie Unverwundbarkeit, mehr Geld, zusätzliche Fähigkeiten usw. erhält.

Man möchte meinen, dass die Spieleindustrie dieses Treiben ungern sieht. Zum Teil ist das auch so. Aber viele Spiele erlangten erst durch die Verbreitung von Kopien überhaupt ihre Popularität. Und z.B. Doom – einer der ersten Ego-Shooter – ereichte seine weltweite Bekanntheit erst dadurch, dass der Hersteller den Quellcode sowie andere interne Informationen dazu freigab. So konnten engagierte Dritte Zubehör wie Editoren und zusätzliche Spielebenen  (sog. „Mods“) entwickeln, die das Spiel erst zur Legende machten.

Das Zeitalter kopiergeschützter Spiele, die man nur lokal auf einen Rechner installiert und spielt, neigt sich aber ohnehin zunehmend dem Ende zu. Heute werden Spiele wie World of Warcraft immer beliebter, bei denen man gegen Zahlung eines monatlichen Betrags über das Internet in einer Art virtuellen Welt zusammen mit Hunderttausenden anderen spielt. Das Thema kopiergeschützter Client hat sich damit weitgehend erledigt, da man zur Teilnahme am Spiel ein eigenes Nutzerkonto beim Betreiber der Spieleserver braucht.

Aus Hackerperspektive sind vor allem solche Spiele interessant, die Schwachstellen aufweisen. Oder die eine Programmierschnittstelle bereitstellen. In WoW in beides gegeben, was man schon daran sieht, dass der Anbieter Blizzard regelmäßig Patches ausliefert und in seinem lokalen WoW-Client Sicherheitsmaßnahmen gegen Codemanipulationen während der Laufzeit implementiert hat. WoW-Spieler können Handlungsabläufe durch Batchbefehle automatisieren oder mit Hilfe der Scriptsprache Lua Erweiterungen und Plugins entwickeln, die den Umgang mit WoW erleichtern. Es gibt bereits zahlreiche Plugins, die man im Internet finden kann.

Auch die virtuelle Welt Second Life hat eine Programmierschnittstelle in Form der Linden Scripting Language (LSL). Mit ihr können Gegenstände, Gebäude oder besondere Verhaltensmuster der Avatare entwickelt werden. LSL-Scripts sind in Second Life bereits zur Handelsware geworden, die in Form von modischerem Aussehen des Avatars sowie virtuellen Gebrauchsgütern und Immobilien den Besitzer wechselt.

(Kurzeinführung in LSL und Modellierung von Objekten in SL)

So wies Michael Thumann von ERNW Enno Rey Netzwerke GmbH bereits 2007 auf der Systems in München in einem Vortrag „Hacking SecondLife“ auf die Angriffsmöglichkeiten hin, die LSL sowie die Architektur von Second Life dem „unkonventionellen“ Nutzer so bietet.

Zusammenfassend lässt sich sagen, dass Computerspiele nach wie vor eine Plattform zur Erprobung von Hackerfertigkeiten bleiben werden. Die zunehmende Komplexität und ökonomische Relevanz von Online-Spielen wie World of Warcraft sowie von virtuellen Welten wie Second Life werden zudem bei den Betreibern neuen Bedarf für IT-Sicherheit und damit im Zusammenhang stehende Produkte und Dienstleistungen schaffen.

Das Zwiebelschalenmodell

In immer mehr Firmen wird darüber nachgedacht, ein IT-Sicherheitsmanagementsystem (ISMS) nach ISO 27.000 einzuführen. Es soll dabei helfen, die IT-Sicherheit systematisch und verlässlich zu organisieren und zu gewährleisten. Die ISO-Norm selbst ist noch relativ neu, die möglichen Vorgehensweisen aber zum Teil bereits sehr alt und in vielen Lebensbereichen gebräuchlich. Eines dieser sehr weit verbreiteten Sicherheitsmodelle ist das sog. „Zwiebelschalenmodell“.

Man findet es in der Planung militärischer Anlagen (Schutz vor Terrorismus und Infiltration) ebenso wie von der Ablauforganisation von Kindertagesstätten (Reduzierung von Möglichkeiten des sexuellen Missbrauchs der Kinder) oder im Design „gehärteter“ Betriebssysteme (Eindämmung von Angriffen auf das System). Bereits mittelalterliche Burgen wurden nach dem Zwiebelschalenmodell geplant und gebaut (Lage auf einem Hügel, meist linksdrehender Weg nach oben, Burggraben, mehrere Wehrmauern).

Beim Zwiebelschalenmodell werden um den zu schützenden Kern mehrere Schalen (Sicherheitsperimeter) herumgelegt. Ein von außen kommender Angreifer, der an das Innere heranwill, muss dazu nacheinander jede Schale durchdringen. Mit jeder neuen Schale stößt er auf zahlreichere und schwieriger zu überwindende Sicherheitsvorkehrungen. Auf diese Weise soll der Angriff möglichst kompliziert, ressourcenaufwendig und zeitraubend gestaltet werden, so dass das Ganze abschreckend wirkt und der Angriff möglichst ganz unterbleibt. Oder den Verteidigern Zeit gegeben werden kann, um gegen den Angreifer vorzugehen.

Für den findigen Angreifer – sei er nun Terrorist, Pädophiler oder Hacker – zeigt sich hier jedoch auch die Schwäche des Zwiebelschalenmodells: Es ist gegen von außen eindringende Attacken konzipiert worden. Gegen Innentäter, die mehrere oder gar alle Sicherheitsperimeter problemlos überwinden können, ist das Zwiebelmodell relativ wirkungslos.

Wie zufällig ist der Zufall?

In vielen Krypto-Verfahren spielt der Zufall eine wichtige Rolle. Beispielsweise zur Generierung von Session-Keys bei IPSec und SSL, für Initialisierungsvektoren bei der Blockverschlüsselung, bei der Signaturerstellung oder zur Generierung von Zufallspassworten.

Daher sollte der Zufall (meist in Form zufälliger Zahlenwerte oder Bitfolgen) auch tatsächlich möglicht „zufällig“, d.h. nicht vorhersehbar oder reproduzierbar sein. Leider ist dem in der Praxis oft nicht so, da es Zufallsgeneratoren von unterschiedlichster Güte gibt. Diesem Problem widmet auch die Fachzeitschrift <kes> in der Ausgabe 3/2008 mehrere Artikel. So ist z.B. die unlängst durch die Presse gegangene OpenSSL-Schwäche bei der Erzeugung von Krypto-Keys letztlich auf eine Unachtsamkeit bei der Codepflege zurückführbar, durch die die Zufälligkeit der Schlüssel voraussagbar und damit leicht zu brechen wurde.

Schwache Krypto-Schlüssel unter Debian, Ubuntu und Co.

Auch Kevin Mitnick, ein bekannter Hacker und IT-Sicherheitsexperte, beschreibt in seinem Buch „Die Kunst des Einbruchs“ (eine Sammlung spektakulärer Hacks und Angriffe auf IT-Systeme) u.a. einen erfolgreichen Angriff auf  Geldspielautomaten in Spielhallen, der im Wesentlichen auf der Ausnutzung einer Schwäche der Zufallsgeneratoren in den Geräten beruhte, welche sich die Hacker zunutze machten, um Spielfolgen mit hohen Auszahlungen voraussagen zu können.

Mitnick Security Consulting, LLC – Products, Services, and Training to stop Information Theft.

Die entscheidende Größe bei der Feststellung der Güte eines Zufallsgenerators ist die Entropie, ein Begriff der – bezogen auf die Informatik – weitgehend mit „Grad an Unordnung / Fehlen von Strukturen“ übersetzt werden kann. Und der in der Informationstheorien für den (fehlenden) Informationsgehalt und damit die Zufälligkeit von Datenmengen steht. Je mehr Entropie eine mit einem Zufallsgenerator erzeugte Datenmenge aufweist, desto zufälliger ist sie. Und desto zweckdienlicher ist der Zufallsgenerator.

Wie aber misst man nun die Entropie und damit die „Güte” des Zufalls? Dazu wurden zwischenzeitlich mehrere Verfahren entwickelt. Eines – der Random-Pair-Test – beruht darauf eine längere Folge von Zufallszahlen als X/Y-Koordinaten aufzufassen und in ein Koordinatensystem einzutragen. Als Ergebnis sollte eine zufällig verteilte Punktwolke ohne auffällige Häufungen oder Muster herauskommen. Nur dann ist der getestete Zufallsgenerator wirklich zufällig.

Auch andere statistische Tests, wie z.B. der Frequenztest (Häufigkeit von 0en und 1en in Zufallsbitfolgen) oder der Pokertest (Häufigkeit vorgegebener Bitfolgen) können zur Verifizierung der Zufälligkeit herangezogen werden.

Zum Umgang mit der Zufälligkeit von Zufallsgeneratoren lässt sich daher abschließend Folgendes raten:

1.    Es sollten möglichst standardisierte offengelegte kryptografische Mechanismen und Verfahren genutzt werden, die schon lange erprobt und durch Peer-Review in der Entwickler-Community auf Fehler geprüft wurden.

2.    Die Entropie eines Zufallsgenerators sollte eher konservativ geschätzt und umso besser genutzt werden.

3.    Ein Zufallsgenerator sollte nicht automatisch sondern unter genau definierten und kontrollierten Bedingungen initialisiert werden.

4.    Alle vom Zufall abhängigen Bestandteile und Abläufe eines Programms sollten sorgfältig getestet werden.

Sicherheitsleck Zeitarbeit?

Wie Spiegel online berichtet, ist der Bankdatenskandal, der aktuell die Presse beherrscht letztlich auf Schmu in einem Callcenter zurückführbar, den ein mutiger Zeitarbeiter aufgedeckt hat.

Detlef Tiegel, der als Informant an dem Spiegel herantrat und der auch dem Verbraucherschutz eine CD mit 17.000 Kundendatensätzen zukommen lies, besitzt demnach noch etwa 1,5 Mio weiterer illegal erhobener Kundenbankdaten.

Doch wie kam er da dran?

Er hat vor einigen Wochen als Zeitarbeitnehmer bei einer Callcenter-Firma in Hamburg angefangen. Dort händigte ihm der Geschäftsführer die offenbar illegal erhobenen Daten aus und wies ihn an, die Leute mit Hilfe eines Telefonskriptes der Reihe nach anzurufen, um ihnen Lotterielose zu verkaufen.

Zu seiner Motivation, den Daten-Missbrauch ans Licht zu bringen, sagte der 36-Jährige, der am Mittwoch seine Kündigung eingereicht hat: „Ich will, dass solche Machenschaften aufhören, deshalb mache ich sie jetzt öffentlich.“

Was natürlich die Frage aufwirft, wie der Geschäftsführer an die Daten kam? Und warum er so vertrauensselig war, diese illegalen Materialien frisch eingestellten Leiharbeitern auszuhändigen.

In diesem Fall ging es für die Allgemeinheit gut aus. Tiegel stellte seine Zivilcourage über sein Arbeitsverhältnis und ging damit an die Öffentlichkeit. In vielen anderen Fällen wird das wohl nicht so sein. Und auch für Firmen in denen alles mit Recht und Ordnung zugeht, stellt sich die Frage, ob es sinnvoll ist, (oft schlecht bezahlten und prekär beschäftigten) Leiharbeitern hochsensible Firmeninterna anzuvertrauen, die in den falschen Händen vom hohen Wert zum hohen Schaden werden können. Hier können rasch Personalpolitik, IT-Sicherheit und Datenschutz in einen Interessenskonflikt geraten.

Update zum Bankdaten-Missbrauch

Der Datenschutzskandal, über den auch hier kürzlich berichtet wurde, zieht weitere Kreise. Inzwischen hat sich der mutmaßliche Datendieb offenbar gestellt. Die Staatsanwaltschaft Mönchengladbach bestätigte Medienberichte, wonach sich ein Mann aus Hannover bei der Polizei gemeldet habe.

In dem Skandal um die Weitergabe von Bankdaten tausender Menschen hatten Ermittler am Mittwochabend ein Callcenter in Lübeck durchsucht. Dabei wurden nach Aussage der Staatsanwaltschaft Lübeck gegenüber der Presse Rechner und Datenbestände sichergestellt.

Die Durchsuchung in Lübeck geht auf eine Strafanzeige des schleswig-holsteinischen Datenschutzbeauftragten Thilo Weichert zurück. Ein Unternehmen im nordrhein-westfälischen Viersen hatte ebenfalls Besuch von den Behörden.

Weichert geht davon aus, dass es sich nicht um Einzelfälle handelt sondern dass Bankdaten in noch beträchtlich größerem Umfang missbräuchlich genutzt wurden. Man hätte ihm bereits weiteres Material zugespielt, äußerte er gegenüber heise.de. Der Bundesverband der Verbraucherzentralen will sich dazu am kommenden Montag äußern.

Inzwischen wurde auch Bertelsmann in die Datenschutz-Affäre verwickelt. Offenbar hatte ein Subunternehmer per Callcenter und geklauter Daten Leute angerufen und ihnen – angeblich ohne Wissen und Zustimmung der Bertelsmänner – Mitgliedschaften in einer Lottospielgemeinschaft, dem BC Bonus Club untergeschoben, die zum Bertelsmann-Konzern gehört. Auf den Schreiben an die unfreiwilligen „Kunden“ fanden sich auch Bankverbindungsdaten, welche diese nie herausgegeben hatten.

Der BC Bonus Club hat Verbrauchern Mitgliedschaften untergeschoben vermuteten die Verbraucherschützer. Sie mahnten den BC Bonus Club ab und forderten ihn zur Abgabe einer Unterlassungserklärung auf.

Inzwischen äußern sich zunehmend Stimmen aus der Politik kritisch zum Handel mit Kundendaten. So forderte Ulrike Höfken (Grüne) ein generelles Verbot des Datenhandels. „Wir haben eine unsägliche Datensammlungswut“, sagte die Grünen-Politikerin am Donnerstag im Deutschlandradio Kultur. Das gelte für den Staat wie für Unternehmen. Nötig sei eine Informationspflicht der Firmen, wenn Kundendaten erhoben worden seien. „Auf jeden Fall brauchen wir erheblich stärkere Kontrollen“.

Das Bundesverbraucherministerium setzt sich für eine gesetzliche Regelung ein, die Verbraucher davor schützen soll, im Internet unbewusst Verträge abzuschließen. „Der Vertragsabschluss soll erst möglich sein, wenn der Verbraucher durch das Anklicken eines besonderen Bestätigungsfeldes dokumentiert hat, dass er die Kostenpflicht zur Kenntnis genommen hat“, teilte eine Sprecherin mit. Auf diese Weise soll das sich seuchenartig ausbreitende Übel der „untergeschobenen“ Verträge eingedämmt werden.

Es zeigt sich einmal mehr, dass Fragen der IT-Sicherheit und des Datenschutzes nicht nur Sache großer Firmen mit eigenen Rechenzentren sind. Sondern dass sie zunehmend auch den einzelnen Bürger betreffen, der das Internet nutzt und am Wirtschaftsleben teilnimmt.

Sollen Arbeitnehmer für IT-Risiken haften?

Diese Frage warf Frank Pallas vom Institut für Wirtschaftsinformatik an der TU Berlin auf der Konferenz D-A-CH Security 2008 auf.

Dabei geht er von der (zutreffenden) These aus, dass die Komplexität und Dynamit unseres Wirtschaftslebens immer rascher zunimmt. Und so auch die Ansprüche an die IT-Sicherheit in Unternehmen immer mehr zunehmen werden. Deshalb schlägt er vor, auch die Beschäftigten selbst für unvorsichtiges oder gar fahrlässiges Verhalten bzgl. der IT-Sicherheit in Haftung zu nehmen. So sollen Verstöße gegen SLAs, Passwortschlampereien oder nachlässiger Umgang mit Firmendaten  durch negative ökonomische Anreize wie Gehalts- und Bonuskürzungen sanktioniert werden. Wissenschaftlich begründet Pallas seine Idee mit der Prinzipal-Agent-Theorie wonach Handungsgehilfen eher im Sinne ihres Auftraggebers handeln, wenn dazu ökonomische Anreize für sie gesetzt werden. Etwas schlichter soll also ökonomischer Druck Mitarbeiter zu sicherheitsbewussterem Verhalten führen. Derjenige der einen Schadewn verursacht, soll auch dafür geradestehen.

Zum einen lässt sich die Steuerwirkung von Bonus-Systemen durchaus bezweifeln, wie es z.B. auch der Managementberater und Buchautor Reinhard K. Sprenger in seinem Buch Mythos Motivation tut (S. 96 ff.). Auch tragen solche Regularien nicht eben zur Motivation der Mitarbeiter sowe zum progressiven Umgang mit neuen Technologien im Unternehmen bei.

Zum anderen dürfte die Umsetzung von Pallas’ Ideen auch am  deutschen Arbeitsrecht scheitern, das die Arbeitnehmerhaftung an relativ strenge Voraussetzungen wie z.B. Vorsatz oder grobe Fahrlässigkeit bindet sowie in Relation zum bezogenen Einkommen setzt. Da der Arbeitgeber vom Arbeitnehmer das Direktionsrecht übertragen bekommt, ist er auch dafür verantwortlich wie er damit umgeht. Und da der Arbeitgeber die Arbeitsmittel zur Verfügung stellt und die Rahmenbedingungen der konkreten Tätigkeit selbst festsetzt, ist er auch dafür zuständig, sicherzustellen wie damit umgegangen wird. Völlige Narrenfreiheit für den Arbeitnehmer bedeutet das freilich nicht. Nur eine ausgewogene Teilung der Haftung, welche die wirtschaftliche Situation der Beteiligten sowie ihre Handlungsspielräume berücksichtigt.

Pallas scheint das ebenfalls vorausgesehen zu haben. Denn er schlägt auch vor, die Haftungsfrage ggf. auch durch einschlägige Versicherungen zu regeln. Allerdings sind solche Policen in der Praxis recht teuer und mit so vielen Ausschlüssen behaftet, dass sie als Instrument der Risikovorsorge meist ausscheiden.

Hinzu kommt ein weiteres Problem: Sollten Arbeitgeber tatsächlich Mittel und Wege finden, IT-Risiken haftungsrechtlich oder per Lohnkürzung an ihre Beschäftigten weiterzugeben, so werden bald darauf Betriebsräte massiv bei fast jeder Neueinführung von IT-Verfahren ihr ganzes Register an Beteiligungsrechten einsetzen, um die Arbeitnehmerhaftung auszuschließen. Auch dürfte dies die Einführung neuer IT-Systeme spürbar verzögern.

Zumal auch die Gestaltung von Bonus-Systemen – sofern nicht bereits in Tarifverträgen geregelt – Gegenstand der Mitbestimmungsrechte der Betriebsräte ist. Und spätestens sobald auf diesem Wege Tariffragen tangiert werden, könnten sich auch die Gewerkschaften zunehmend für das Thema Arbeitnehmerhaftung für IT-Risiken interessieren.

Die Zusammenfassung von Pallas’ Vortrag auf der D-A-CH Security 2008 zum Download: Aktuelle Sicherheitsparadigmen und ökonomische Konflikte

Massenhafter Bankdaten-Missbrauch wurde bekannt

Erneut durchwabert ein größerer Datenschutzskandal die veröffentlichte Meinung des Landes. Kürzlich wurde der Verbraucherzentrale Schleswig-Holstein eine CD mit etwa 17.000 Datensätzen, bestehend aus Namen, Geburtstagen, Adressen, Telefon- und Kontonummern zugespielt.

Die Daten wurden von einer Firma in Nordrhein-Westfalen an andere Unternehmen verkauft. Sie könnten laut Verbraucherzentrale im Zusammenhang mit einer Reihe von Betrugsfällen in den vergangenen Tagen stehen, bei denen Leuten unerlaubt Geld von ihren Konten abgebucht wurde. Zwischenzeitlich wurde die Staatsanwaltschaft Mönchengladbach eingeschaltet. Solche Datensammlungen laden erfahrungsgemäß regelrecht zum Diebstahl und Missbrauch von Identitäten ein.

Dabei kristallisierte sich zudem ein Schwachpunkt in der Art und Weise heraus, wie Banken ihren Zahlungsverkehr organisieren. Wenn ein Unternehmen Geld vom Konto seiner Kunden einziehen will, muss es einen Vertrag mit der Bank schließen. In dem ist festgelegt, dass die Firma nur dann Geld abbuchen darf, wenn der Kunde der Firma eine Einzugsermächtigung erteilt hat. Ob die jedoch vorliegt oder nicht, wird von den Banken i.d.R. nicht geprüft. Dazu sind sie vertraglich auch nicht verpflichtet. Dadurch öffnet sich ein Einfallstor für betrügerische Aktivitäten.

Peter Schaar, der Bundesbeauftragte für den Datenschutz hierzu: „Es ist ein Problem, dass die Institute Einzugsermächtigungen nicht prüfen – das lädt zum Missbrauch ein.“

Und so wurden in den vergangenen Tagen anscheinend rund 1.000 Betroffenen Geldbeträge von ihren Konten gestohlen. Zwar können diese solche Buchungen von der Bank rückgängig machen lassen. Das Sicherheitsleck im Zahlungsverkehr bleibt aber erst mal bestehen.

Daten- und Verbraucherschützer fordern daher, dass Banken vor Abbuchungen prüfen müssen, ob eine Einzugsermächtigung vorliegt. Ihrer Meinung nach muss dies gesetzlich geregelt werden, wenn die Banken weiter blockieren. Schließlich profitierten die Geldinstitute vom elektronischen Zahlungsverkehr – er erleichtert den Banken das Geschäft.

Bis es aber soweit ist, rät Thilo Weichert, der Leiter des Unabhängigen Landeszentrums für Datenschutz (ULD) Bankkunden folgendes um den Missbrauch von Kontodaten zu verhindern: „Bei der Preisgabe der privaten Kontoverbindung sollte man absolut zurückhaltend sein, v. a. im Internet oder am Telefon. Mindestens alle zwei Wochen sollten die eigenen Kontoauszüge kontrolliert werden, ob unerwünschte bzw. unberechtigte Abbuchungen vorgenommen wurden; diesen muss umgehend bei der eigenen Bank widersprochen werden. Sobald jemand erfährt, dass Unbefugte die eigenen Kontodaten nutzen, sollte die Verbraucherzentrale oder die zuständige Datenschutzbehörde – in Schleswig-Holstein also das ULD – mit weiteren Ermittlungen beauftragt werden. Denn von solchen Datenmissbräuchen sind zumeist viele Tausend Menschen betroffen.“

Heise.de: Verbraucherzentrale – Massenhafter Missbrauch von Bankkonten-Daten

Pressemitteilung der Verbraucherzentrale Schleswig-Holstein, Callcenter sind im Besitz von Kontodaten

Spiegel Online:
Tarnfirmen sollen Kontodaten missbraucht haben
Datenschützer attackieren Banken

Der „Bastard Assistant from Hell“(B.A.f.H.)

Vielen Leuten erscheinen IT-Sicherheit, Systemadministration usw. als eher trockene Themen zu denen man kaum Zugang findet. Doch für Freude des fiesen Humors in Sachen IT gibt es schon lange eine Art „Pflichtlektüre“: den „Bastard Assistant from Hell“ von Florian Schiel bzw. sein englischsprachiges Vorbild den „Bastard Operator from Hell“ von Simon Travaglia.

Hauptperson in diesen sowohl in gedruckter Form als auch online verfügbaren Kurzgeschichten ist Leisch, ein Dämon den ein Auftrag des Teufels zum Systemverwalter einer deutschen Uni gemacht hat. Als solcher arbeitet er als wissenschaftlicher Assistent und streut Sand ins Getriebe des akademischen Alltags. Hauptsächlich durch Manipulationen der IT, die man wohl politisch korrekt und diplomatisch untertrieben  als „Security Incident“ bezeichnen würde…

Alle Texte des Bastard

The Bastard Operator from Hell Official Archive

Florian Schiel Verlag (Bastard Verlag)

Ursprünglich als Kolumne im Internet begonnen, haben die B.A.f.H.-Geschichten inzwischen unter Studenten und SysOps Kultstatus erreicht.

Gerade dem genervten IT-Securitöter kann eine kleine B.A.f.H.-Geschichte zwischendurch wieder die Laune zurückbringen.

Und allen anderen zeigt sie deutlich und in klarer Sprache, was sich in den Tiefen der IT-Administration an Gefahren für die eigenen Daten verbergen kann. Auch wenn man nicht an Dämonen sondern nur an die Fehlbarkeit des Menschen glaubt…