Wann und wie sich Daten von verschlüsselten Datenträgern wiederherstellen lassen

Wer Werkzeuge einsetzt, sollte sich zuvor mit deren Möglichkeiten und Grenzen vertraut machen. Das gilt insbesondere für Tools im Bereich der IT-Sicherheit und des Datenschutzes. Unsachgemäßer Gebrauch kann größere Sicherheitslücken erzeugen, als zuvor mit dem Tool geschlossen werden sollten.

Das zeigte auch ein Test mit der Verschlüsselungssoftware TrueCrypt. Mit ihr lassen sich verschlüsselte Containerdateien als „Datentresore“ anlegen und verwalten, aber auch komplette Laufwerke durch Verschlüsselung schützen. Anwender schätzen dies insbesondere bei mobilen Endgeräten, bei denen das Risiko des Abhandenkommens und damit die darauf gespeicherten Datenbestände abzusichern ist.

Marko Rogge beschreibt das Testvorgehen auf Searchsecurity folgendermaßen:

Im Test wurde ein USB-Stick verwendet, mit dem bereits Daten transportiert wurden, verschlüsselt oder unverschlüsselt. Die Daten, die sich auf dem Stick befanden, wurden nach dem Transport gelöscht, um Speicherplatz wieder frei zu geben. Dann wurde der USB-Stick mit TrueCrypt formatiert und mit einem neuen Passwort  versehen. Hierbei ist es besonders wichtig zu wissen, dass nicht alle Daten überschrieben werden und die Verschlüsselung somit noch nicht vollkommen greift. Daten die vorher auf dem jetzt neu verschlüsselten Device waren, sind unter forensischen Aspekten wieder herstellbar. Im Szenario wurde getestet, wie sich das Device unter forensischen Gesichtspunkten verhält, nachdem mittels TrueCrypt eine vollständige Formatierung und neue Verschlüsselung durchgeführt wurde. Fast alle Datenblöcke sind überschrieben worden, jedoch nicht alle! Der Test hat gezeigt, dass selbst nach einer Formatierung noch eindeutige Daten einsehbar waren und so Rückschlüsse zulassen.

Man sollte bei der Verwendung von Software zur Datenträger-Verschlüsselung also idealerweise neue, noch nicht anderweitig genutzte Datenträger verwenden und diese komplett durchverschlüsseln, ohne Restkapazität übrigzulassen.

Eine gebrauchte Festplatte sollte zunächst mit einem Tool zur sicheren Datenlöschung wie z.B. Recuva vorbehandelt werden, bevor man anschließend mit TrueCrypt die Containerdatei anlegt oder die Datenträgerverschlüsselung einsetzt.

Grundsätzlich gilt stets, dass Daten, die mit Hilfe betriebssystemeigener Funktionen gelöscht werden, nur als „freier Speicherplatz“ markiert aber nicht wirklich physisch gelöscht und damit abschließend entsorgt werden.

Internet-Security-Vollpakete – ist mehr wirklich mehr?

Wer die aktuelle Ausgabe 5/10 der Fachzeitschrift c’t aufschlägt, findet darin einen interessanten und durchaus provokativen Testbericht (eine gekürzte Version davon ist auch online abrufbar). Die c’t-Tester sind der Frage nachgegangen, was die diversen Security-Vollpakete verschiedener Anbieter tatsächlich taugen. Ausgewählt wurden Anbieter wie Avira, BitDefender G Data, Kaspersky und Norton, deren Virenscanner-Komponente als Standalone-Produkt oftmals bereits kostenlos verfügbar ist und ihre Tauglichkeit in vergangenen Tests bereits unter Beweis stellen konnten. Anbieter also, deren Produkte grundsätzlich gut dazu geeignet sind, ihre Nutzer vor Schadsoftware zu schützen.

Die in der Regel für zwischen 40-60 € für die Jahreslizenz erhältlichen Vollprodukte werden i.A. mit ihrem Mehr an Funktionalität und dem damit möglichen Rundumschutz beworben. Sie bringen Dinge wie Firewall, Spamfilter und einen Kinderschutz für die WWW-Nutzung sowie eine einheitliche integrierte Oberfläche für alles zusammen mit.

Doch der Test ergab für eigentlich alle Produkte löchrige, leicht zu durchdringende Firewall-Komponenten, Spamfilter die Mailkontenpasswörter im Klartext unverschlüsselt versenden, wenn sie auf Mailkonten zugreifen sowie Kindersicherungen, die einfach über das Booten des Rechners im abgesicherten Modus auszutricksen waren.

Und so raten die c’t-Tester ihren Lesern sich zunächst einen guten Antivirenschutz zu installieren und bei Zusatzkomponenten auf das reichhaltige Angebot an kostenlosen und oft genug sehr guten Zusatzprodukten zurückzugreifen Beispielsweise über die Rubrik „Sicherheit“ des Heise Software-Verzeichnisses. Die Security-Vollpakete sind vom technischen Reifegrad her betrachtet meist noch nicht das Geld wert, für das sie angeboten werden.

Sicherheit und Qualität bei wiederverwendbaren Software-Komponenten

Sowohl die Sicherheit als auch die generelle Qualität eines Softwareproduktes können profitieren, wenn bei dessen Entwicklung bereits standardisierte externe Komponenten wieder- und weiterverwendet werden. Und das idealerweise bereits bei der Erstellung der konzeptionellen Architektur des Systems berücksichtigt wird.

Das ist keine wirklich neue Erkenntnis, gewinnt jedoch im Zeitalter von Software as a Service (SaaS), Cloud Computing und serviceorientierten Architekturen (SOA) zunehmend an Bedeutung.

Zu dieser Ansicht kam auch Martin Kuppinger in einem Artikel auf Heise Developer, indem er fünf wesentliche Vorteile für „ausgelagerte“, d.h. letztlich aus standardisierten Bibliotheken oder als Service fremdbezogenen Sicherheitsfunktionen in Softwareprodukten aufzählt.

Zunächst wäre da der Aspekt, dass ausgereifter, bereits vielfach getesteter, wiederholt verwendeter und von zahlreichen Entwicklern peer-reviewter Code für sicherheitsrelevante Funktionen in der Regel auch fehlerärmer ist als selbst entwickelter Code. Was das Risiko von Sicherheitslücken deutlich reduziert. Insbesondere dürfte das für allgemein offengelegten Open-Source-Code reifer OSS-Produkte gelten.

Natürlich reduziert der Einsatz von fertigen Code-Bausteinen auch generell die Gesamtkosten der Entwicklung, was z.B. auch ein intensiveres Qualitätsmanagement (z.B. durch ausführlicheres Testen) eigenentwickelter Produktbestandteile ohne Mehrkosten ermöglichen kann.

Auch die späteren Aufwendungen für Wartung und Betrieb solcher Anwendungen können deutlich niedriger ausfallen, wenn für immer wieder auftauchende Anforderungen wie z.B. das Rechte- und Rollenmanagement oder die Benutzerverwaltung auf allgemeine Standards wie z.B. übergreifende Verzeichnisdienste setzt, anstatt sie für jede Anwendung erneut zu implementieren. Großkunden aus Wirtschaft und Verwaltung fordern das meist ohnehin bereits von vorneherein für ausgeschriebene Entwicklungsaufträge.

Daher lassen sich so oftmals auch zeitliche Aufwände für die Produktabnahme deutlich senken, da standardisierte und externalisierte Sicherheit oftmals leichter und schneller basierend auf bereits vorhandenen Abläufen zu testen ist. Es wird lediglich die korrekte Nutzung der Sicherheit geprüft, nicht aber die (bereits geprüften) externen Sicherheitsdienste an sich.

Letztlich gewinnen auch Compliance-Aspekte und dokumentiertes Risikomanagement als Ausdruck der Erfüllung von kaufmännischen Sorgfaltspflichten zunehmend an Bedeutung. Anwendungen, deren Sicherheit nicht wirklich nachvollziehbar ist, befinden sich mit Blick auf gesetzliche Vorschriften und andere Auflagen zunehmend in einer Grauzone. Selbst codierte und nicht auf etablierten Standards beruhende Sicherheitsfunktionen können ein nicht kalkulierbares Sicherheitsrisiko darstellen.

Dem lässt sich allenfalls entgegnen, dass die konsequente Wieder- und Weiterverwendung sicherheitsrelevanter Produktbestandteile selbst ein Sicherheitsrisiko darstellen kann. Denn darin enthaltene Fehler pflanzen sich über die Weiterverwendung teilweise über Jahre und in viele Produkte und Releases hinweg fort („single point of failure“). Wie man z.B. an etlichen bis heute unbehobenen konzeptionellen Mängeln der TCP/IP-Protokollarchitektur sehen kann.

Es gilt also gerade bei der Entwicklung von Code-Komponenten, die für die Wieder- und Weiterverwendung, als Bibliotheksbestandteil, Plattformkomponente oder als Service-Modul vorgesehen sind, bzgl. des Qualitätsmanagements die strengsten Maßstäbe des aktuellen Standes der Technik anzulegen. Und dies für Kunden und Abnehmer deutlich herauszustellen und prüfbar zu dokumentieren.

Datensaugstelle Krankenkasse

Mit einer heiklen Datenpanne der besonderen Art hat es zur Zeit die Krankenkasse „BKK Gesundheit“ zu tun. Denn heute Abend wird im ARD die Sendung „Kontraste“ laufen, in der u.a. berichtet wird, wie die Krankenkasse durch Datendiebe erpresst wird, wie sie inzwischen auch selbst in einer Pressemeldung einräumen musste. Sie hätten sich Zugriff auf sensible Gesundheits- und Sozialdaten in größerem Umfang verschafft und drohen nun damit, diese zu veröffentlichen, wenn die Kasse sie nicht „zurückkauft“.

Keine Frage – Datendiebstahl hat Hochkonjunktur. Da sich inzwischen sogar der Staat mehrmals an Datenhehlerei beteiligt und Millionenbeträge für gestohlene Datenbestände bezahlt hat (Steuer-CD-Affären), dürfte Cyberkriminelle weltweit begriffen haben, dass Datendiebstahl selbst von Regierungen als lässliches Kavaliersdelikt angesehen wird, dessen man sich fallweise sogar selbst bedient, wenn es opportun erscheint

Allerdings fanden die „Kontraste“-Rechercheure heraus, dass die BKK Gesundheit ziemlich lax mit ihren Patientendaten  umgegangen sein muss. Denn sie hatte den Betrieb ihres Call-Centers an eine Fremdfirma vergeben. Die wiederum hatte einen Subunternehmer mit eingebunden, der ungelernte Hilfskräfte beauftragte. Diese Billiglöhner hätten mit privaten Computern (!) oder Laptops Daten wie medizinische Diagnosen abrufen und speichern können. Und sich wohl rasch etwas „dazuverdient“, indem sie die wertvollen Daten abgegriffen und zum späteren Verkauf mitgenommen haben.

Schlecht bezahltes Leihpersonal, der Wunsch nach möglichst wenig arbeitsvertraglicher Bindung, unkontrolliertes Subunternehmertum sowie ganz allgemein Dummheit und Schlamperei wurden so wohl wieder einmal zum Fall für den Staatsanwalt, bei dem die Krankenkasse inzwischen Strafanzeige erstattet hat.

Und der wohl nicht nur gegen die noch unbekannten Datendiebe ermitteln muss, sondern sicher auch unangenehme Fragen bzgl. der Wahrnehmung gesetzlich vorgeschriebener Kontroll- und Prüfpflichten der Kasse bei Auftragsdatenverarbeitung stellen wird. Und warum die Kasse für Stellen, bei denen mit Gesundheits- und Sozialdaten der höchsten Schutzklassen hantiert wird, Billiglöhner und Subunternehmer oder Leiharbeiter als Erfüllungsgehilfen zulässt. Das dürft wieder interessanten Stoff für den nächsten Tätigkeitsbericht des Bundesdatenschutzbeauftragten ergeben.

Geschichtsforschung für Datenspäher

Forscher am International Secure Systems Lab (ISSL), einem Institut der TU Wien, veröffentlichten vor kurzem ein Paper unter dem Titel „A Practical Attack to De-Anonymize Social Network Users“ (PDF, 800 kb), in dem sie sich mit einer (nicht mehr ganz neuen aber recht wirksamen) Form der Ausspähung von Internetnutzern befassten: der De-Anonymisierung von Social-Network-Nutzern.

Der Internetnutzer als solcher ist zunächst nur ein kleines Element einer gigantischen und zudem rasch wachsenden Masse an Leuten, die im Internet aktiv sind. Doch durch das was er dort tut, welche Seiten er häufiger aufruft, welchen sozialen Netzwerken er sich anschließt und welche Dienste er nutzt, wird er zunehmend individueller und leichter von der Masse abgrenzbarer. Er schafft sich sozusagen einen nutzerindividuellen „Datenfingerabdruck“.

Die Wiener IT-Sicherheitsforscher dokumentieren einen technisch eher simplen Angriff, der eine seit zehn Jahren bekannte Sicherheitslücke ausnutzt. Betroffen sind alle Mitglieder von sozialen Netzwerken, die sich in dort angebotenen Interessensgruppen angeschlossen haben.

Was vielen Menschen unklar sein dürfte: Diese Gruppenmitgliedschaften ergeben ein individuelles Profil, das Angreifer wie einen Fingerabdruck aus dem Browser ablesen können: „In einem sozialen Netzwerk gibt es eben nur sehr wenige Menschen, die in denselben Gruppen eingetragen sind“, erklärten die Wissenschaftler in einem Interview mit Spiegel Online. „Bei Xing sind 1,8 Millionen Mitglieder in etwa 6500 öffentlichen Gruppen organisiert. Über 750.000 davon haben eine einzigartige Gruppenkonstellation, einen eindeutigen Fingerabdruck“, so die Wissenschaftler vom ISSL.

Und diese Daten auf den Rechnern der Teilnehmer lassen sich über eine gut zehn Jahre alten Sicherheitslücke, dem sog. „History Stealing“, zur De-Anonymisierung und Identifizierung der Nutzer verwenden. Denn um bereits angeklickte Links auf einer Webseite in einer anderen Farbe darstellen zu können, erhalten Websites Zugriff auf den Browserverlauf. Und der enthält zahlreiche nutzerspezifische Informationen, aus deren Gesamtheit sich mit sehr hoher Genauigkeit konkrete Personen identifizieren lassen.

„Wir waren richtig überrascht, wie einfach das geht“, sagt Forschungsprojektleiter Wondracek, der zur praktischen Demonstration des Verfahrens eine Experimentierseite ins Web stellte, auf der Interessierte selbst testen können, was sich aus den Daten in ihrer Browser-Historie herausfischen  lässt.

Gegen diese Angriffsart hilft nur strikte Datenhygiene und ein gehöriges Maß Paranoia, so Felix Knoke von Spiegel Online.

Doch was genau machen auf History Stealing basierende Datenspäherprogramme, um Nutzer eindeutig identifizieren zu können? Das beschreibt ein Artikel von Daniel Bachfeld auf Heise Security wie folgt:

Im Wesentlichen macht sich der Test zunutze, dass viele Xing-Nutzer über ihre Zugehörigkeit zu mehreren Gruppen identifizierbar sind. Nach Angaben von Thorsten Holz, Mitinitiator des Experiments, gebe es nur wenige Personen in einem sozialen Netz, die genau den gleichen Gruppen angehören.  […]

Dazu habe man möglichst viele Gruppen in Xing und die dazugehörigen Foren gecrawlt, um einen Überblick über die Anwender von Xing zu erhalten und an URLs für den weiteren Test zu gelangen. […]

Der zweite Schritt ist der eigentliche Test: Durch spezielle Aufrufe der Webseite im Browser kann eine Webseite feststellen, ob eine gegebene Seite auf einem anderen Server vom jeweiligen Besucher in der Vergangenheit aufgerufen wurde (…). Damit lässt sich zunächst ermitteln, welche Gruppenseiten der Anwender besucht hat. In jeder gefundenen Gruppe prüft der Test nun, ob der aktuelle Besucher ein bestimmtes Mitglied der Gruppe (im Forum) ist – ebenfalls wieder mittels Durchprobieren der zuvor gesammelten URLs. Eine mehr oder minder eindeutige Zuordnung soll auch deshalb möglich sein, da es in einem sozialen Netz eindeutige URLs gibt, etwa das persönliche Profil. […]

Vergrößern Zur Ermittlung des “Group Fingerprints” muss der Test laut Bericht nur rund 92.000 URLs durchprobieren, was in weniger als einer Minute erledigt ist. Durch eine Korrelation der Daten lässt sich der Kreis noch weiter einschränken, sodass häufig nur ein einziger Nutzer übrig bleiben soll.

Dabei schlagen die Forscher auch Gegenmaßnahmen vor, mit denen sich Spähangriffe, wie ihrer zumindest erschweren lassen. Serverseitig könnten die Betreiber sozialer Netzwerke zufällige Tokens in die URLs einfügen, die das spätere Durchprobieren von URLs durch Spähprogramme erheblich erschweren. Auch müssten sich die Zugriffscharakteristika von Spähcrawlern beim URLs-Durchtesten mit Hilfe von Web Application Firewalls, Intrusion Detection Systemen u.ä. von denen normaler Nutzer unterscheiden und dann blocken lassen.

Benutzerseitig hilft es, den Zugriff auf die Browser-History zu verwehren, beispielsweise indem man bestimmte Seiten nur im datenarmen Privatmodus aktueller Browser aufruft, zusätzliche schützende Plug-ins wie NoScript zur Filterung von Scriptsprachenfunktionen für den Firefox verwendet oder schlicht regelmäßig die History löscht. Allerdings gehen solche Maßnahmen stets auch mit Bequemlichkeits- und Komforteinbußen einher.