11. Oktober 2009
Zu diesem Ergebnis kam die „PC-Feuerwehr“ eine als Franchise-System bundesweit tätige Firma, die u.a. einen PC-Notdienst für Privat- und Geschäftskunden anbietet. Techniker der Firma waren bundesweit in Wohn- und Gewerbegebieten unterwegs und prüften dort den Verschlüsselungsstatus erreichbarer WLAN-Funknetze (Wardriving). Dabei fanden sie im Durchschnitt etwa 11% komplett offene (unverschlüsselte) WLAN-Netze sowie weitere gut 30%, die lediglich mit dem veralteten und bereits seit Jahren als unsicher geltenden Verschlüsselungsstandard WEP „geschützt“ waren.
Sein WLAN gar nicht oder nur zum Anschein zu schützen kann unangenehme Folgen haben. So ist die Privatsphäre aller Benutzer gefährdet, weil über das unsichere drahtlose Netz ihr gesamter unverschlüsselter Datenverkehr komplett mitgelesen werden kann. Aber auch wenn andere über das Netz Illegales treiben steht der Betreiber des WLAN-Routers über die sog. „Störerhaftung“ mit in der Verantwortung und muss für juristische Konsequenzen geradestehen.
Bei der Absicherung der Netze gibt es den PC-Feuerwehrlern zufolge beträchtliche regionale Unterschiede. So sollen in Bad Schwartau um die 40% der WLANs unverschlüsselt sein. Zu den sichersten Städten zählt dagegen Darmstadt mit nur rund 5% unverschlüsselten Netzen. Was auf Gulli.com zu der Vermutung führte, dass die in dieser Region stark durch Unternehmen, Forschung und Lehre vertretene IT-Sicherheit sich dort positiv auf die allgemeine Awareness der Betreiber und Nutzer auswirkt. Die „rote Laterne“ hinsichtlich WLAN-Sicherheit trägt die Stadt Bad Schwartau davon. Dort fanden die Techniker 40 Prozent aller WLANs ungesichert vor.
Nichtsdestotrotz nimmt das Bewusstsein für Sicherheit in Deutschland weiter zu. Denn die PC-Feuerwehr führt diese Überprüfung der Sicherheitsstandards bereits seit fünf Jahren jährlich durch. Vor vier Jahren fand man noch 36 Prozent aller WLANs ungeschützt vor.
Und inzwischen werden WLAN-Router für den privaten Internetzugang meist mit voreingestellter starker Verschlüsselung ausgeliefert, sodass diese nicht erst manuell aktiviert werden muss (was manchem Nutzer gar nicht klar ist).
„Trotzdem spüren wir in der täglichen Arbeit immer noch Unsicherheiten bei unseren Kunden, wie sie sich und ihren Computer gegen ungewollten Missbrauch schützen können“, weiß Geschäftsführer Michael Kittlitz aus der Praxis seines bundesweit tätigen PC-Notdienstes zu berichten.
Dazu hat die PC-Feuerwehr eine Checkliste mit folgenden Empfehlungen erstellt:
- Im WLAN-Router überprüfen, was als Verschlüsselungsprotokoll voreingestellt ist. Falls da WEP oder gar nichts drinsteht, die bessere Verschlüsselung WPA2 (oder eine andere verfügbare) einstellen.
- Bei einem neuen WLAN-Router sollte das voreingestellte Passwort sofort geändert werden und aus mindestens acht (besser noch mehr) Zeichen – Zahlen, Buchstaben sowie Sonderzeichen – bestehen. Man sollte dieses Passwort regelmäßig ändern. Es ist der Generalschlüssel zum eigenen Netz.Die Stärke des Passwortes, gemessen an allgemeinen Gütekriterien, kann man auf http://passwortcheck.pc-feuerwehr.de/ testen lassen.
- Die Fernkonfiguration der WLAN-Einstellungen sollte man möglichst deaktivieren. Dadurch entledigt man sich einer potentiellen Sicherheitslücke, ohne auf täglich benötigte Funktionalität zu verzichten.
- Das Funknetz kann ohne Bedenken abgeschaltet werden, wenn es gerade nicht benötigt wird, z.B. über eine Steckerleiste. Problematisch wird das allerdings, wenn z.B. auch die Telefonanlage mit dranhängt (Kombigeräte) oder der WLAN-Zugang dauerhaft online sein soll (z.B. in Wohngemeinschaften).
- Die Techniker der PC-Feuerwehr fanden heraus, dass 26 % der WLANs auf Funkkanal sechs, 24% auf Kanal elf und 18% auf Kanal eins liegen. Diese starke gemeinsame Nutzung weniger Kanäle führt in dicht besiedelten Gegenden oft zu langsamen Internetverbindungen oder Störungen. Deshalb empfehlen sie Kanal zehn, vier oder fünf zu nutzen. Diese werden nur von knapp zwei Prozent der Betreiber genutzt.
Kommentar schreiben » | 
Angriff & Abwehr, GABAL, IT-Sicherheit, Privacy | Mit Tag(s) versehen: Access Control, Angriff & Abwehr, Data Leakage, Datenleck, Datenschutz, Fernmeldegeheimnis, GABAL, Internet, IT-Infrastruktur, IT-Risiken, IT-Sicherheit, Kryptografie, Privacy, Sicherheitslücken, Sicherheitspraxis, Verschlüsselung, Wardriving, WLAN | 
Permalink
Verfasst von Guido Strunck
15. September 2009
Vor einigen Jahren sorgte Sony für viel Ärger als man dort auf die schräge Idee kam, Musik-CDs mit einen auf Schadsoftware basierenden Kopierschutzverfahren (XTP – extended copy protection) auszuliefern. Wer eine solche CD auf einem Computer abspielen wollte, musste dazu einen proprietären Player installieren, der dem Rechner u.a. ein Rootkit unterschob. Zumal es rasch Exploits und Trojaner gab, die das Sony-Rootkit für eigene Zwecke nutzten. Der Einsatz von XTC zog weltweit Klagen und Prozesse gegen Sony nach sich, so dass andere Firmen die Finger von der Idee des Einsatzes von Schadsoftware zum Zwecke der Rechtedurchsetzung ließen.
Doch damit ist das Problem nicht vom Tisch. Denn kürzlich verkaufte ein CD-Fan eine solche Schad-CD von Sony und verursachte so ungewollt die Verseuchung eines Rechnernetzes mit Schadsoftware des Typs „rootkit.b“.
Als Folge davon forderte der CD-Käufer vom Verkäufer Schadensersatz in Höhe von 1.500 € für die Wiederinstandsetzung von drei verseuchten Rechnern, Wiederherstellung von Daten, nötige Zuarbeiten durch einen IT-Spezialisten sowie Anwaltskosten und einen durch die Störung entgangenen Gewinn als Freiberufler. Das Amtsgericht Hamburg-Wandsbek verurteilte den Wiederverkäufer der Schad-CD letztlich dazu 1.200 € zu zahlen (Az. 712 C 113/08).
Vor allem in der ersten Hälfte des Jahrzehnts setzte die Musikindustrie großflächig „Kopierschutztechnologien“ ein, von denen sich das Sony-Rootkit am tiefsten in Windowssysteme einnistete. Aber auch einige andere Verfahren versuchten, ohne Wissen des Nutzers Software zu installieren oder Konfigurationen zu verändern, was teilweise zu Funktionseinschränkungen, Sicherheitslücken und diversen anderen Problemen führte. Inzwischen sind „technische Schutzmaßnahmen“ solcher Art, für welche die Rechteverwerter sogar eine EU-Richtlinie und ein Verbot von „Umgehungsmethoden“ im deutschen Urheberrecht erwirkten, zumindest bei Musik-CDs seltener anzutreffen.
Um es klar herauszustellen: Kopierschutzmethoden, die die Verwendbarkeit von Produkten einschränken (fehlende Gebrauchstauglichkeit) oder gar Abspielgeräte des Kunden schädigen, sind Sachmängel und berechtigen den Kunden zur Rückerstattung des Kaufpreises (Umtausch gegen ein mängelfreies Produkt ist i.d.R. ja nicht möglich). Solche Produkte sind im Grunde genommen „defective by design“, d.h. Ausschussware.
Es sein denn der Verkäufer weist klar auf die Nutzungsvoraussetzungen und Defekte hin. Dann darf auch ein schadhaftes Produkt legal verkauft werden. Das genau hatte der CD-Verkäufer nicht getan und deswegen bekam er den Ärger.
So sieht § 95d des Urheberrechts vor, dass Werke, die mit technischen Maßnahmen geschützt werden, sind deutlich sichtbar mit Angaben über die Eigenschaften der technischen Maßnahmen zu kennzeichnen sind. Aber auch dann haftet ein Verkäufer auf Basis von Schuldrecht und Vertragsrecht sowie dem Produkthaftungsgesetz immer für Schäden, die sein Produkt bei bestimmungsgemäßer Nutzung anrichtet.
Es empfiehlt sich daher, grundsätzlich auf den Kauf kopiergeschützter Produkte zu verzichten. Dort wo das nicht möglich ist, sollten die Produkte nach dem Erreichen des Endes ihres Lebenszyklusses nicht weiterverkauft sondern entsorgt werden. Auf die Nutzung kommerzieller Unterhaltungsprodukte auf betrieblich genutzten Produktivsystemen sollte gänzlich verzichtet werden.
Kommentar schreiben » | 
Allgemeines, Compliance, IT-Recht, IT-Sicherheit, Informationssicherheit | Mit Tag(s) versehen: Datenleck, Schadsoftware, Exploits, Sicherheitslücken, Sicherheitspraxis, Urheberrecht, Gericht, Schadcode, IT-Risiken, Immaterialgüterrecht, Verwerterlobby, Rechteinhaber, Malware, Digitale Rechteverwaltung, Digital Rights Management, DRM, Access Control, Kopierschutz, Datensicherheit, Funktionalität, Gebrauchstauglichkeit, Qualitätsprüfung, Lizenzen, funktionale Sicherheit, Rootkit | 
Permalink
Verfasst von Guido Strunck
10. September 2009
Der bekannte IT-Rechtsexperte Thomas Hoeren, Professor am Institut für Informations-, Telekommunikations- und Medienrecht der Universität Münsterund Richter am Oberlandesgericht Düsseldorf, hat eine neue Fassung des Skripts Internetrecht vorgelegt. Die neue Ausgabe liegt auf den Seiten des Instituts für Informations-, Telekommunikations- und Medienrecht der Universität Münster zum kostenfreien Download als PDF-Datei (3,2 MB) bereit.
Obwohl „Skript“ für dieses umfassende, gut 550 Seiten starke Standardwerk zum deutschen IT- und Internetrecht eigentlich heftig untertrieben ist.
Thomas Hoeren gab kürzlich der ZEIT ein Interview, in dem er die überkommenen Strukturen des deutschen Urheberrechts sowie die fragwürdige Praxis des sogenannten „fliegenden Gerichtsstands“ kritisierte und sich zu Ideen wie der Kulturflatrate äußerte.
Kommentar schreiben » | 
Compliance, IT-Recht, Technische Regulierung | Mit Tag(s) versehen: Abmahnung, Access Blocking, Access Control, Bürgerrechte, Compliance, Cyber-Crime, Datenschutz, Immaterialgüterrecht, Internet, Internetbetrug, IT-Grundrecht, IT-Grundschutz, IT-Recht, IT-Revision, IT-Risiken, Kulturflatrate, Netzsperren, Netzzensur, Thomas Hoeren, Urheberrecht | 
Permalink
Verfasst von Guido Strunck
8. September 2009
Cloud Computing ist nicht nur ein neuer IT-Trend. Sondern eine für viele Firmen sehr interessante Sache. Denn mit Hilfe der bedarfsgerecht ausgelagerten und zugekaufen Rechenkapazitäten oder Softwareprodukte lassen sich rasch IT-Kapazitäten aufbauen, ohne eigene Infrastrukturen betreiben und eigenes Personal beschäftigen müssen.
Dummerweise lassen sich die Verantwortung für die Korrektheit der Arbeit in der Cloud sowie die zum Teil sehr weitreichende persönliche Haftung der Verantwortlichen für damit einhergehende Risiken nicht mit in die Cloud wegdelegieren. Schon eine – an sich harmlose – datenschutzrechtliche Auskunftsanfrage kann ein Unternehmen ins Schleudern bringen, wenn es nicht weiß, was genau von wem und wo in der Cloud mit den Daten gemacht wird. Verträge und Vereinbarungen sind da nur begrenzt hilfreich. Sie müssen auch eingehalten und die Einhaltung geprüft und dokumentiert werden. Beispielsweise durch das Monitoring von Kennzahlen und SLA’s mit Hilfe von eigenen Servicemanagern.
Gernot Keckeis, Director Identity & Security Management bei Novell gab hierzu kürzlich dem Compliance-Magazin ein Interview:
„Wenn die Cloud-basierte Verarbeitung von Personendaten außerhalb der EU stattfindet, ist dies laut dem deutschen Datenschutzrecht nicht zulässig. Das geht aus dem aktuellen Jahresbericht des Berliner Datenschutzbeauftragten Alexander Dix hervor. Diese Feststellung ist erschreckend. Im Grunde bedeutet das nämlich, dass sich über kurz oder lang länderspezifische Datenmonopole bilden werden. Das ist nicht nur politisch gefährlich. Vor allem vergrößert sich dadurch die Angriffsfläche von professionellen Hackern, die dann gezielt einzelne Länder anvisieren können.“
Er fürchtet demnach eine (datenschutz)rechtliche Territorialisierung der an sich grenzenlosen Cloud (in der es ja gerade nicht wichtig sein soll, wo und durch wen etwas stattfindet), was für die Unternehmen administrativen Mehraufwand bedeuten könnte. Die Alternative des globalen „race to the bottom“, also eines Wettlaufs um die weltweit niedrigsten Datenschutzstandards ist allerdings mehr als abzulehnen.
„Natürlich haben viele Unternehmen Sicherheitsbedenken, wenn es um Cloud Computing geht. Diese Sorgen sind berechtigt, wenn in Unternehmen keine zusätzlichen Sicherheitsmaßnahmen ergriffen werden. Besonders wenn es um den Schutz von sensiblen Daten geht, ist es unumgänglich zu wissen, wo diese gespeichert werden und wer darauf zugreifen kann. Obwohl dies natürlich keine unbekannten Herausforderungen für IT-Manager sind, rückt die Cloud sie doch noch stärker ins Bewusstsein. Die Verantwortlichen erkennen, dass ihre IT nur als Einheit funktioniert und deshalb auch einheitliche Sicherheits-Policies erfordert“.
Das bedeutet allerdings beträchtliche Investitionen in das IT-Themenfeld Governance, Risk & Compliance (GRC) sowie in Fragen der IT-Sicherheit, des Datenschutzes und der Softwarequalität.
Dazu führt Keckeis weiter aus:
„Bevor IT-Manager sich auf das Erlebnis Cloud Computing einlassen, sollten sie ein detailliertes Risk Assessment durchführen, um sämtliche Probleme und Risiken, die mit der Sicherheit ihrer Daten einhergehen, zu verstehen. Wichtig sind hier vor allem Identitäts- und Access-Management-Lösungen. Wir haben beispielsweise eine Technologie entwickelt, mit der Unternehmen einen Teil der Cloud temporär annektieren und diesen unter Einhaltung der gleichen Sicherheitskontrollen wie denen im eigenen Rechenzentrum nutzen können“.
„Lösungen wie diese sind notwendig. Einerseits, um Datenschützer zu überzeugen und andererseits, um eine länderspezifische Diskriminierung vorzubeugen, die ansonsten in einer geballte Ansiedlung von Cloud-Providern in einzelnen, wenigen Ländern mündet. Sowohl die Anbieter als auch die Nutzer der Wolke müssen verantwortungsvoll handeln, um das Prinzip der freien Cloud nicht schon im Keim zu ersticken“.
Es geht also letztlich darum, das Gleichgewicht zwischen Globalisierung der Unternehmen sowie lokalen Bedürfnissen nach Schutz und Sicherheit vor Datenklau und Wirtschaftswillkür zu finden. Keine einfache Angelegenheit.
Kommentar schreiben » | Compliance, Datenschutz, Informationssicherheit | Mit Tag(s) versehen: Data Leakage, Datenschutz, Informationssicherheit, IT-Sicherheit, Compliance, Datenleck, Sicherheitslücken, IT-Revision, IT-Sicherheitsmanager, CISO, Outsourcing, IT-Risiken, IT-Sicherheitsmanagementsystem, ITSM, Daten, Access Control, Cloud Computing, IuK, CIO, Governance, Territorialisierung, Service Level Agreement, SLA, e-Business, IT-Infrastruktur, Risikomanagement, Software as a Service (SaaS), Servicemanagement | Permalink
Verfasst von Guido Strunck
1. September 2009
Kürzlich veröffentlichte Cyber-Ark, ein Hersteller von Produkten für Identity-Management und sichere Datenaustausch, eine Studie mit brisanten Zahlen. Zwar sind Herstellerstudien immer etwas kritisch zu bewerten, interessante Informationen finden sich in ihnen aber fast immer.
Nicht zuletzt aufgrund der Wirtschaftskrise sinkt die Loyalität der ITler rapide und hat sich die Bereitschaft von IT-Beschäftigen, wichtige Firmeninterna ihres Arbeitgebers zu stehlen beträchtlich erhöht. Etwa bei Fusionsplänen von 7% (2008) auf 47% (2009), bei Forschungs- und Entwicklungsdaten von 13% auf 46% und bei privilegierten Passwörtern von 11% auf 46%.
Zwar basiert die Studie „Trust, Security & Passwords“ mit ihren zentralen Fragen nach Datendiebstahl und dafür in Frage kommenden Informationsarten lediglich auf der Befragung von etwa 400 IT-Mittelmanagern.
Aber es klingt durchaus plausibel, dass Firmen die einerseits zweistellige Renditen und 7-8-stellige Vorstandsgehälter anstreben und andererseits Beschäftigte entlassen oder kurz und kleinsparen, sich nicht mehr auf die Loyalität ihrer Leute verlassen können. Insbesondere wenn sich dort auch externe Mitarbeiter (Consultants, Leihkräfte etc.) mit entsprechender „Söldnermentalität“ sowie Praktikanten und befristet Beschäftigte in Größenordnungen die Klinke in die Hand geben.
Datenklau und Betriebsgeheimnisverrat als Form der „autonomen Lohnerhöhung“? Das dürfte die ohnehin von Datenschutzskandalen gebeutelten Firmen nun wirklich im unpassendsten Moment treffen.
20% der befragten Firmen gaben in der Studie an, bereits Opfer von Insider-Sabotage geworden zu sein, wie auch der Fachinformationsdienst IT-Grundschutz kürzlich berichtete.
Und viele der Firmen rüsten sich sicherheitstechnisch auf. Überwachte Admin-Accounts, verbessertes Rechte- und Rollenmanagement, Zutrittskontrollen und Videoüberwachung hochsensibler Firmenbereiche. Sowie der Einsatz von speziellen Produkten wie z.B. virtuelle sichere Datenräume oder Enterprise Rights Management (eine Art firmeninternes DRM), um nur noch sicheren, überwachten und (für sie Firma) transparenten Datenaustausch zuzulassen.
Das eigentliche Problem scheint aber nicht im Bereich der Technik sondern im Umgang mit den Mitarbeitern und der generellen Unternehmenspolitik zu liegen. Und dort ist es allein mit sicherheitstechnischen Maßnahmen auch nicht zu lösen. Verdorbenes Fleisch wird bekanntlich durch Zugabe von Likör auch nicht besser.
Dumm nur, dass sich die „Schadwetware“ in den Flanelletagen der Unternehmen mit Virenscannern und Pen-Tests nicht wirkungsvoll bekämpfen lässt. Obwohl hier z.B. Betriebsräte bei der Mitbestimung im Rahmen der Inbetriebnahme technischer Schutzmaßnahmen durchaus in der Lage wären, auch eine entsprechende Anpassung unternehmenspolitischer Rahmenbedingungen zu fordern und auch durchhzusetzen.
Eine Zusammenfassung der Studienergebnisse kann man sich bei Cyber-Ark kostenlos herunterladen.
Kommentar schreiben » | Compliance, Datenschutz, Informationssicherheit | Mit Tag(s) versehen: Access Control, Arbeitnehmerdatenschutz, Arbeitsrecht, Betriebsrat, Betrug, CIO, CISO, Compliance, Cyber-Crime, Datendiebstahl, Datenhandel, Datensicherheit, Digitale Rechteverwaltung, Enterprise Rights Management, Identitätsmanagement, Innentäter, IT-Revision, IT-Risiken, IT-Sicherheitsmanagementsystem, IT-Sicherheitsmanager, Leiharbeit, Logging, Mitbestimmung, Passwörter, Risikomanagement, Sicherheitslücken, Social Engineering, Videoüberwachung, Wirtschaftsspionage, Zeitarbeit | Permalink
Verfasst von Guido Strunck
21. August 2009
Datenbanken in Unternehmen sind attraktive Angriffsziele für professionelle Datenräuber. Die in ihnen enthaltenen Informationen lassen sich nicht nur an Wettbewerber verkaufen. Sie sind auch für Phishing und Pharming von Interesse, da man mit genauerer Kenntnis über Unternehmensinterna stark personalisierte Phishing-Mails generieren kann.
Mit konventionellen Schutzansätzen wie Zugriffs- und Rechtekonzepten oder Datenverschlüsselung auf Feldebene kommt man rasch an Grenzen, wenn z.B. die (relativ hochprivilegiert auf die Daten zugreifende) webbasierte Client-Applikation per SQL-Injection oder Cross-Site-Scripting angegriffen wird. Oder ein Innentäter mit entsprechenden Berechtigungen tätig wird. Klassische Möglichkeiten, eine Datenbank mit systemeigenen Mitteln zu schützen, können vor allem durch Schwachstellen in den Applikationen umgangen werden, welche die Datenbank nutzen.
Auf dieses Problem wies Oliver Karow kürzlich in der Fachzeitschrift „IT-Sicherheit“ (2/2009) sowie bereits 2007 auf Computerworld.ch hin.
Mit Database Attack Detection wird seit einiger Zeit ein neuer und zusätzlicher Schutz für die Unternehmensdatenbanken empfohlen. Oft greifen nur wenige, meist größere Systeme auf die Datenbank zu. Etwa ein CRM-System, das ERP-System und ein SAP-HR-Modul sowie eine Onlineshop-Bestellabwicklung. Die von diesen Applikationen verwendeten SQL-Zugriffe bilden meist nur einen kleinen Teil der Möglichkeiten von SQL ab und sind leicht typisierbar, da sie nur eine begrenzte Anzahl von verschiedenen SQL-Befehlen verwenden.
Jede SQL-Anfrage, die außerhalb dieser Grenzen legitimer und üblicher Anfragen liegt, kann als verdächtig angesehen und weiter geprüft werden. Bei der Database Attack Detection wird daher jeder einzelne SQL-Befehl, der an eine Datenbank geschickt wird, auf potentiell gefährlichen Code hin untersucht. Im Prinzip also ein zusätzlicher unabhängiger SQL-Interpreter, der im SQL-Code nach ungewöhnlichen Codefragmenten sucht. Beispielsweise wenn der Onlineshop als Folge einer SQL-Injection nach Personalstammdaten fragt, was im Verlauf einer regulären Bestellabwicklung nicht vorgesehen ist.
Damit diese Untersuchung in Echtzeit oder Quasi-Echtzeit erfolgen kann, wird eine Kopie sämtlicher Datenanfragen an das Database Attack Detection-System weitergegeben. Dieses nimmt die Unterscheidung zwischen legitimen und bösartigen Anfragen durch Formen des maschinellen Lernens wie Real-World-Training vor und laufende Konditionierung während des Einsatzes vor. Ähnlich wie es z.B. auch Bayes-Filter bei der Spambekämpfung tun.
Tritt ein Alarmfall ein, können dann vorgesehene Gegenmaßnahmen ergriffen werden. Beispielweise eine verzögerte Bearbeitung nachdem ein Systemadministrator die Anfrage geprüft hat. Oder ein Transaktionsabbruch mit oder ohne Fehlermeldung.
So erhalten neben Rechnern (Virenschutz), Netzen (Intrusion Detection / Prevention Systeme), Mailserver (Spamfilter) und Internet-Gateways (Content Filter) jetzt auch Datenbanken ihr spezielles „Datenschutz- und Sicherheitskondom“.
Kommentar schreiben » | Angriff & Abwehr, IT-Sicherheit, Informationssicherheit | Mit Tag(s) versehen: Access, Access Control, Angriff & Abwehr, Database Attack Detection, Datendiebstahl, Datenhandel, Datenleck, E-Mail, Hacker, Informatik, Informationssicherheit, Innentäter, IT-Sicherheit, Kryptografie, Pharming, Phishing, Sicherheitslücken, Sicherheitspraxis, SQL, SQL-Injection, Verschlüsselung, Wirtschaftsspionage | Permalink
Verfasst von Guido Strunck
16. August 2009
Heute geht in den Niederlanden das viertägige Hacker-Sommerfestival „Hacking at Random“ (HAR) zuende. Es war bereits vor Wochen ausverkauft. Auch aus Deutschland nahmen viele Hacker, Netzaktivisten und digital Natives daran teil.
Zumal eines der Kernthemen dieses Jahr der digitale Selbstschutz vor Privacy-Gefahren durch Staat und Wirtschaft war. Dazu wurden Projekte wie die „Surveillance Self-Defense“ der Electronic Frontier Foundation (EFF), das Portal für geleakte Geheimdokumente aller Art Wikileaks aber auch selbstgebaute Geräte zum Detektieren von RFID-Lauschern oder eine Demonstration des CCC, wie sich NEDAP-Wahlcomputer anhand kompromittierender Abstrahlung ausspähen lassen. Denn auch Wahlcomputer senden elektromagnetische Strahlen aus, die mit einer entsprechenden Antenne noch aus einigen Metern Entfernung gemessen werden können. Offen ist allerdings noch, welche Informationen sich aus diesen Daten gewinnen lassen.
Auch Methoden zur Umsetzung sowie zur Umgehung von Internetzensur waren ein heiß diskutiertes Thema auf der HAR. Ebenso wie „traditionelle“ Themen aus dem Umfeld der IT-Sicherheit und des kreativen Umgangs mit Technik.
Natürlich durften auch echte Hacker-Wettbewerbe nicht fehlen, bei denen zu diesem Zweck speziell vorbereitete Systeme gehackt werden mussten.
Fast alles was auf der HAR vorgetragen wurde kann im HAR-Wiki nachgelesen oder heruntergeladen werden. Schließlich sollen solche Informationen ja im Sinne der Veranstalter möglichst frei fließen …
Kommentar schreiben » | Allgemeines, Netzkultur | Mit Tag(s) versehen: Access Control, Bürgerrechte, CCC, Datenschutz, Electronic Frontier Foundation, Hacker, kompromittierende Abstrahlung, Kongress, Netzkultur, Netzsperren, Netzzensur, Open Access, Polithacker, Privacy, Seitenkanalangriff, Wahlcomputer | Permalink
Verfasst von Guido Strunck
21. Juli 2009
Zu den immer zahlreicher werdenden Verirrungen des Urheberrechts zählt mittlerweile auch das Löschen gekaufter Bücher auf e-Book-Lesegeräten zentral gesteuert durch den Buchhandel.
So wurde kürzlich bekannt, dass Amazon auf Lesegeräten vom Typ „Kindle“ ohne zuvor das Einverständnis der Besitzer einzuholen, die Orwell-Bücher „1984“ sowie „Farm der Tiere“ ferngesteuert aus dem Speicher der Lesegeräte löschte, obwohl deren Besitzer sie gekauft und bezahlt hatten.
Die Überraschung und Empörung der Benutzer entwickelte sich inzwischen zum PR-Gau für Amazon. Nach massiven Beschwerden der Kunden hat Amazon zumindest die Rückerstattung des Kaufpreises zugesagt.
Nur gut, dass Amazon dieser Lapsus in den USA und nicht in Deutschland unterlief. Hierzulande sind Datenveränderung und Computersabotage (§§ 303a und 303b StGB) strafbar.
Zu sicher sollte man sich aber auch nicht wiegen. Denn zum einen kennen auch die USA entsprechende Straftatbestände sowie noch deutlich härtere Strafen. Und zum anderen versuchen sich Hersteller zunehmend die Durchsetzung ihrer kommerziellen Interessen auf den Rechnern ihrer Kunden mit Hilfe einschlägiger Lizenzverträge, AGBs, EULA’s oder Supportabkommen zu sichern. In der Regel stets auf das Urheberrecht begründet. Viele dieser Verträge würden wohl einer genaueren juristischen Prüfung in Hinblick auf Sittenwidrigkeit oder die Benachteiligung zahlender Kunden nicht standhalten.
Ziel ist es, die Grenze zwischen „mein“ und „dein“ zunehmend zugunsten der Hersteller und Distributoren aufzuweichen. Nur weil jemand etwas gekauft und bezahlt hat, soll es ihm noch lange nicht gehören. Oder die Verfügungsgewalt des Verkäufers darüber enden.
Zumindest sehen das speziell Unternehmen aus der Copyright- und Verwertungsindustrie so. Daher hatte auch der Vorfall bei Amazon urheberrechtliche Gründe. Der Einzelhandelsgigant wurde demnach von Rechteinhabern dazu aufgefordert, die Werke aus seinem Online-Sortiment zu entfernen. Kurz darauf verschwanden die digitalen Bücher auch von den e-Book-Readern der Kunden.
Zum Vorteil von Amazon hat sich für die dubiose Aktion die Mobilfunkverbindung entpuppt, mit der die Kindle-Geräte standardmäßig ihre Daten beziehen. Neben dem hauptsächlichen Zweck der Verteilung von digitalen Werken scheint man auf diese Weise die Bücher auch löschen zu können. Welche weiteren „Hintertürchen“ die Kindle-Reader noch haben und welche Steuerungsoptionen auf diesem Weg in die Geräte eingespeist werden können, ist noch unklar.
Dies zeigt ein generelles Problem solcher Geräte auf. Ihre Hersteller wollen sich zur Durchsetzung ihrer Ansprüche, Möglichkeiten offenhalten, die ihnen nach gesundem Rechtsempfinden nicht zustehen. Und die diese Geräte zu unverkäuflichem Elektronikschrott machen würden, legte man sie offen.
Neben dem Kindle dürfte es auch in anderen Consumergeräten wie Spielkonsolen, Smartphones etc. ähnliche eingebaute Sicherheitsprobleme geben. Schließlich basieren sie i.d.R. auf proprietärer Technologie und nicht offengelegten Quellcodes. Eine unabhängige Analyse ist daher nicht möglich.
Da dürfte durch so manchen „Wartungszugang“ eine vom Kunden weder gewollte noch bewusst herbeigeführte (z.B. im Rahmen der Auslieferung von Updates oder Patches) Verbindung zu Hersteller-Rechnern möglich sein, mit der Anweisungen zur einseitigen Interessensdurchsetzung des Herstellers gegenüber seinen Kunden auf deren Systemen landen und dort zur Ausführung kommen.
Ein weiterer Grund, um freie (keine kommerziellen Interessen, keine „Urheberrechts“-Risiken) und quelloffene (unabhängig prüfbar, keine versteckten „Hintertürchen“) Systeme zu bevorzugen. Und auf allerneueste Technik (Probleme noch unentdeckt und ungelöst) zu verzichten, wo diese nicht unbedingt erforderlich ist.
Zudem sollte Consumer-Elektronik grundsätzlich nicht in Unternehmens-IT mit eingebaut werden. Meist ist sie für die dort höheren Ansprüche an Verfügbarkeit, Zuverlässigkeit, dauerhaften Betrieb sowie Betrieb mit Lastspitzen gar nicht ausgelegt.
Gleichzeitig wird so klar, dass es Produkte mit einem eingebauten Rechtemanagement (DRM) mit dem der Hersteller einseitig seine Interessen auch gegen den Willen des Kunden durchdrücken kann, am Markt immer schwerer haben werden. Entweder wird man deutliche „Minderwertigkeits-Preisabschläge“ wie bei Mängelware und Ausschuss vornehmen müssen. Oder die Produkte bleiben gleich unverkäuflich.
Warum auch sollten Kunden für Produkte mit eingeschränkter Funktionalität und Gebrauchstauglichkeit den vollen Preis bezahlen?
Kommentar schreiben » | Allgemeines, Informationssicherheit, Netzkultur | Mit Tag(s) versehen: Access, Access Control, Datenleck, Datensicherheit, Digital Rights Management, Digitale Rechteverwaltung, DRM, e-Business, Funktionalität, Gebrauchstauglichkeit, Immaterialgüterrecht, IT-Risiken, Kopierschutz, Lizenzen, Open Source, Patches, Rechteinhaber, Sicherheitslücken, Urheberrecht, Usability, Verwerterlobby | Permalink
Verfasst von Guido Strunck
19. Juni 2009
Die Piratenpartei ruft zu Demonstrationen gegen das „Zugangserschwerungsgesetz“ auf, das heute vom Bundestag verabschiedet wurde.
Dirk Hillbrecht, Bundesvorsitzender der Piratenpartei, erläutert das vom Gesetz missachtete Demonstrations-Motto „Löschen statt sperren – Stoppt die Internet-Zensur!“: „Wir verlangen wirksame Maßnahmen gegen Kinderpornographie und das heißt: Die Inhalte müssen aus dem Netz verschwinden und nicht hinter Stoppschildern versteckt werden. Außerdem protestieren wir gegen die Einführung einer Zensurinfrastruktur im deutschen Internet. Vielfacher Protest im Vorfeld und die erfolgreichste Petition in der Geschichte der Bundesrepublik haben die Regierung nicht interessiert. Die einzigen Reaktionen von SPD und CDU sind Unverständnis und hämische Kommentare. Es wird Zeit, auf die Straße zu gehen!“
Zusammen mit anderen Parteien und zivilgesellschaftlichen Organisationen hat die Piratenpartei bereits im Vorfeld scharfen Protest geübt.
Dazu Hillbrecht: „Das Gesetz etabliert eine Zensurinfrastruktur, wie es sie im freiheitlich-demokratischen Deutschland noch nie gegeben hat. Kinderpornographie lässt sich damit aber in keiner Weise verhindern oder eindämmen, wie es von den Befürwortern behauptet wird. Stattdessen sind die missbrauchten Kinder nur billiges Vehikel, um den Wünschen von Musikindustrie und politischen Hardlinern nach einer umfassenden Internetzensur populistischen Nachdruck zu verleihen. Mit diesem Internetzensurgesetz werden die Grundfesten der Meinungsfreiheit in Deutschland irreparabel geschädigt.“
In Berlin, Hamburg, München, Düsseldorf, Frankfurt, Hannover und weiteren Städten finden deshalb am Samstag, 20. Juni 2009, um 12:00 Uhr Protestdemonstrationen statt. Genauer Ort sowie das Programm finden sich auf www.LoeschenStattSperren.de. Die Piratenpartei ruft alle demokratischen Kräfte auf, sich an diesen Veranstaltungen zu beteiligen. Die letzte parlamentarische Möglichkeit, diesen Wahnsinn zu stoppen, liegt jetzt beim Bundesrat. Je stärker und zahlreicher unsere Demonstrationen sind, desto schwieriger wird es für die Abgeordneten, die Stimme des Volkes zu ignorieren.
Quelle dieses Textes: Piratenpartei.de
3 Kommentare | Allgemeines, Netzkultur | Mit Tag(s) versehen: Access Blocking, Access Control, Bürgerrechte, Internet, IT-Recht, Kinderpornografie, Netzkultur, Netzsperren, Netzzensur, Piratenpartei | Permalink
Verfasst von Guido Strunck
14. Juni 2009
In der Krise stehen reihenweise Unternehmen beim Staat an, um sich per Kredit, Bürgschaft oder anderer Förderung unter die Arme greifen zu lassen. Meist läuft das aber aufgrund der formalen Verfahren und den Prüfungen bis rauf auf EU-Ebene zumindest recht öffentlich ab. Im Wochentakt berichtet die Presse darüber.
Etwas klandestiner verläuft dagegen seit einiger Zeit die Einrichtung eines „Förderprogramms“ der besonderen Art zur finanziellen Stabilisierung der kommerziellen Kinderpornografie auf Kosten des Steuerzahlers.
Dazu gab die Piratenpartei Deutschland kürzlich eine Pressemeldung heraus, die ich hier wiedergebe. Es bleibt jedem selbst überlassen, ob er in den darin kommentierten Plänen unserer Regierung nur Dummheit und Ignoranz sieht. Oder aber eine tiefergehende Absicht …
Internet-Sperren helfen Straftätern
Das von der Bundesregierung geplante Gesetz zur Bekämpfung der Kinderpornografie im Internet schadet nach Ansicht der Piratenpartei dem eigentlichen Zweck. Durch das Sperren werden Listen mit brisanten Seiten generiert, die als eine Art „Einkaufsliste“ von Straftätern missbraucht werden können und zudem als Frühwarnsystem für Betreiber illegaler Inhalte dienen.
Mit frei zugänglichen Netzwerk-Werkzeugen lässt sich mit geringem Aufwand, völlig automatisch die Liste der brisanten, gesperrten Seiten ermitteln, und damit eine Art „Kinderpornografie-Katalog“ erstellen. Auf diese Art wurden bereits Sperrlisten in anderen Ländern trotz strenger Geheimhaltung ermittelt und kursieren seitdem im Internet. Das wird nach unserer Einschätzung auch mit der deutschen Sperrliste der Fall sein. Der Zugang zu kinderpornographischen Angeboten würde so sogar erleichtert statt erschwert.
Andreas Blochberger von der Piratenpartei erklärt: „Für Betreiber illegaler Seiten eröffnen Internetsperren außerdem die Möglichkeit, zu überprüfen, ob ihr Angebot bereits unter Verdacht geraten ist. Damit wird den Betreibern ein Frühwarnsystem an die Hand gegeben, welches die Strafverfolgung massiv erschwert.“
Jens Seipenbusch, stellv. Vorsitzender der Piratenpartei erklärt zu dem Vorhaben: „Am 18. Juni soll im Bundestag die zweite und dritte Lesung zum Gesetz stattfinden, damit es noch vor der Sommerpause abgesegnet werden kann. Die auffällige Eile und die Tatsache, dass die Lesungen an einem Tag zusammengelegt werden, legen die Vermutung nahe, dass hier schnell ein Gesetz unter fadenscheinigen Vorwänden durchgepeitscht werden soll, noch bevor die öffentliche Debatte stattgefunden hat. Die Online-Petition gegen das Gesetz mit knapp 120.000 Unterzeichnern ist einmalig und sollte von der Regierung ernst genommen werden!“
Die Piratenpartei fordert die Regierung auf, Kindermissbrauch und dessen Dokumentation im Internet effektiv aber ausschließlich mit rechtsstaatlichen Mitteln zu bekämpfen: Da kriminelle Angebote gelöscht werden müssen, gibt es keinen Grund, sie bloß zu verstecken. Gegen die Täter muss wirksam strafrechtlich ermittelt werden. Die internationale Zusammenarbeit im Sinne der Kommunikation der Sicherheitsbehörden zum Abschalten der Angebote muss verbessert werden. Grundgesetzwidrige Maßnahmen oder das Umgehen der Gewaltenteilung sind in diesem Zusammenhang absolut nicht hinnehmbar. Die kontraproduktiven Vorschläge der Bundesregierung müssen gestoppt werden.
FoeBud-Seite zum Thema Internetzensur
Arbeitskreis Internetzensur
1 Kommentar | Allgemeines, Informationssicherheit, Netzkultur | Mit Tag(s) versehen: Computerforensik, IT-Forensik, Webanwendung, Webapplikation, Cyber-Crime, Netzwerk, Webhoster, Netzkultur, Internet, Kinderpornografie, Ermittlung, Fahndung, DNS-Server, Domain Name System, Access Control, Webserver, Bürgerrechte, Piratenpartei, Access, Netzsperren, Netzzensur, Access Blocking | Permalink
Verfasst von Guido Strunck
