Saure Milch im Kaffee – Wie Hacker Microsofts Forensik-Tool auskontern

Vor einiger Zeit wurde bekannt, dass Microsoft eine Toolsammlung namens „Computer Online Forensic Evidence Extractor“ (COFEE) entwickelt hat. Und sie bereits seit längerem an Strafverfolgungsbehörden zur Sammlung forensischer Informationen abgibt. Das Tool fand rasch seinen Weg in die Community und wurde dort analysiert.

Inzwischen gibt es ein erstes Programm, das den Einsatz von Cofee behindern soll. So nutzten Hacker die Gunst der Stunde und entwickelten mit „Decaf“ (Detect and Eliminate Computer Assisted Forensics) ein Abwehrprogramm, dass beim Einstecken eines mit COFEE bestückten USB-Sticks automatisch Gegenmaßnahmen ergreifen und Beweise verschleiern soll, indem es etwa temporäre Dateien löscht,  die von COFEE generierten Logdaten manipuliert oder gleich den USB-Port abschaltet. Auch wurde eine Art „Lockdown“-Modus implementiert, mit dem es möglich sein soll, einen gerade ausgespähten Rechner intern zu verriegeln, forensisch verwertbare Datenspuren zu beseitigen und das System nach dem Deaktivieren  von USB-Ports, Disketten- und CD-Laufwerken, Drucker- und Netzwerkanschlüssen  „verschlossen“ herunterzufahren.

„Wir wollen einen gesunden, ungehinderten freien Fluss von Daten im Internet fördern und zeigen, wieso die Ermittlungsbehörden sich nicht allein auf Microsoft verlassen sollen, um ihre Beweissicherung zu automatisieren“ so einer der Decaf-Entwickler.

Ob das Tool hält, was es verspricht, wurde bislang noch nicht umfassend untersucht – der Ansatz jedenfalls ist für einige  interessant, für manch Andere eher beunruhigend. Allerdings ist es wohl nur eine Frage der Zeit, bis das geklärt ist. Herunterladen und testen kann man Decaf u.a. unter decafme.org.

Allerdings legten die Entwickler den Quellcode von Decaf nicht offen, so dass das genaue Tun des Programms nicht per Codereview analysiert werden kann. Zudem untersagen sie in der Lizenzvereinbarung des kostenfrei verbreiteten Programms explizit die Disassemblierung und das Reengineering der Software. Nach Aussagen der Entwickler sollen so die im Programm  verwendeten Signaturen geschützt werden, mit deren Hilfe das Tool beim Einsatz wohl die Rechnerumgebung analysiert.

Kommt die staatliche Zwangsimpfung für PCs?

Bei Landwirten ist die staatliche Zwangsimpfung für Kälber gegen Blauzungenkrankheit aufgrund der Nebenwirkungen durchaus umstritten. Daher sorgte auch ein Vorschlag des eco – Verband der deutschen Internetwirtschaft e.V. auf dem IT-Gipfel kürzlich in Stuttgart für Diskussionsstoff.  Der eco schlug dort vor, unter dem Label „Deutsche Anti-Botnetz-Initiative“ eine Art Beratungs- und Unterstützungsangebot für Benutzer einzurichten, deren PCs von Schadsoftware befallen wurden.

Der eco dazu in einer Pressemeldung:

Ziel der Initiative ist, dass Kunden der teilnehmenden Internet Service Provider, deren PC ohne ihr Wissen Teil eines Bot-Netzes wurde, von ihrem Provider hierüber informiert werden und zugleich kompetente Unterstützung bei Beseitigung der Schadsoftware erhalten.

Die Unterstützung erfolgt in gestufter Form: Zunächst kann der betroffene Kunde eine Webseite besuchen, auf der er Informationen und Hilfsmittel zur Selbsthilfe zur Verfügung gestellt bekommt. Die zweite Stufe des Unterstützungsangebots stellt ein anbieterübergreifendes Beratungszentrum dar, das Kunden mit weitergehendem Beratungsbedarf telefonisch durch die erforderlichen Schritte zur Beseitigung des Schadprogramms sowie zur nachhaltigen Absicherung des PCs führt. Die Benachrichtigung der betroffenen Kunden soll nach Möglichkeit auf mehreren Kanälen erfolgen, sodass ein zuverlässiger Eingang beim Empfänger sichergestellt ist, etwa durch eine Vorschaltwebsite beim Öffnen des Browsers sowie zusätzlich per Post.

An sich eine gute Idee. Die sich aber rasch zu einen Problem für Datenschutz und Bürgerrechte entwickeln könnte. Denn Internetprovider wollen dazu den Datenverkehr ihrer Kunden analysieren, um diese dann zu kontakten und zu warnen. Und diesen Kunden ggf. den Internetzugang zu sperren, wenn sie nicht zusehen, dass sie mit Hilfe der angebotenen Unterstützung (0900-Nummer?) das Problem loswerden. Da ist sie also wieder: Die Internetsperre als Disziplinierungsinstrument. Kein Wunder, dass Vertreter der Regierung die Idee rasch als „gelungenes Beispiel privatwirtschaftlicher Verantwortungsübernahme für die Gesamtgesellschaft“ lobten.

„Zentrale Frage für uns ist, ab wann dürfen wir Internetnutzer sperren?“, so Sven Karge, Fachbereichsleiter beim eco daher auch zu Journalisten von Welt online. Im Eco sind schließlich viele Provider vertreten. Denn zu dieser Sanktion würden die Provider gerne greifen, wenn ihre Kunden sich auch nach Hinweisen durch die Unternehmen weigern, etwas gegen Schadsoftware auf ihren Rechnern zu unternehmen.

Um die Idee umzusetzen, müssten die Provider jedoch zunächst einmal Geld in die Hand nehmen. Weshalb ihnen auch das Innenministerium bereits eine Anschubfinanzierung und das Bundesamt für Informationstechnik (BSI) technische Unterstützung zusagten. Zudem müsste man an Verträge und AGBs ran. Denn bislang sind Internetprovider genau dafür zuständig, dem zahlenden Kunden eine funktionierende Internetverbindung in vereinbarter Qualität zur Verfügung zu stellen. Nicht mehr. Doch schon länger streben die Bitschieber nach neuen Aufgabenfeldern, da die reine Datenspedition eine recht austauschbare und daher dem Preiswettbewerb voll ausgesetzte Leistung ist. Beratungsdienste (zunächst kostenlos, später kostenpflichtig oder gleich per 0900-Nummer), die der Kunde in bestimmten Situationen in Anspruch nehmen muss, könnte da ein interessantes Zusatzangebot sein.

Technisch wäre das Überwachen von Kundenrechnern auf Auffälligkeiten für die Provider kein echtes Problem. Man könnte z.B. nach, für bestimmte Formen von Schadsoftware charakteristischen, Veränderungen im Lastprofil von Kunden suchen (vermehrter Traffic auf bestimmten Ports, Nutzung unüblicher Dienste / Protokolle …). Oder auch per Deep-Packet-Inspection (DPI) die Inhalte von Datenpaketen auffällig gewordener Rechner z.B. nach Befehlssequenzen zur Botnet-Steuerung durchsuchen, die zwischen Kontrollrechner und Bot hin und hergehen. DPI ist eine aus Gründen des Datenschutzes umstrittene Technik, die neben der Bespitzelung der Kunden auch zur Aufweichung der Netzneutralität durch das Wegfiltern oder Verzögern bestimmter Dienste (z.B. P2P-Datenverkehr oder unerwünschte Sprachtelefoniedienste) missbraucht werden kann.

Andererseits haben solche Ansätze auch ihre technischen Grenzen. Veränderungen im Nutzungsverhalten und im Inhalt von Datenpaketen können schließlich auch durch Installation neuer Programme, dem Einsatz von Zweitrechnern mit anderem Betriebssystem oder dem Teilen des Internetzugangs per WLAN in einer WG zustandekommen.

Und so sah sich der eco inzwischen zu einer Klarstellung genötigt. Zumal sich bereits etliche Stimmen aus der Politik kritisch zu den bürgerrechts- und datenschutzbezogenen Folgen des  Vorhabens geäußert hatten. Was auch zeigt, wie skeptisch und dünnhäutig die Menschen nach fortwährenden internetpolitischen Angriffen auf ihre Freiheiten im Netz inzwischen geworden sind.

So erläuterte Gisela Piltz (FDP) Heise online: „Natürlich ist es richtig und notwendig, die IT-Sicherheit zu verbessern, Spam zu bekämpfen und Malware aufzuspüren. Allerdings muss man sich schon einmal fragen dürfen, ob es eine staatliche Aufgabe ist, Steuergelder für ein Call-Center zum IT-Support bereitzustellen“. Es gebe ja auch keine staatlich finanzierte Hotline für Probleme mit dem eigenen Auto.

Stefan Krempl von Heise online weiter über Frau Piltz:

Die Innenpolitikerin machte zudem deutlich, dass auch im Kampf gegen infizierte Computer von Heimanwender der Datenschutz gewahrt bleiben müsse. „Eine generelle Überwachung des Internet-Datenverkehrs darf es nicht geben, dies ist auch im Koalitionsvertrag vereinbart“, betonte Piltz. Das mögliche Kappen von Netzzugängen oder eine Beschränkung des Internetzugangs allein auf eine Warnseite sei ein gravierender Grundrechtseingriff, der für die Liberalen nicht denkbar sei. Es sei rechtlich auch höchst fragwürdig, ob derartige Eingriffe über die Allgemeinen Geschäftsbedingungen verhältnismäßig wären. Eine potenzielle Pflicht zum Schutz gegen PC-Viren hält Piltz zudem genauso für unmöglich wie ein Kino- und Theater-Verbot für Menschen mit Erkältung.

Daher forderte die Piratenpartei die Regierung bereits dazu auf, bei dem geplanten Projekt auf gesetzliche Sanktionen zu verzichten.

Es ist daher gut möglich, dass die „Deutsche Anti-Botnetz-Initiative“ rasch wieder dorthin verschwindet, wohin bereits zahlreiche netzpolitische Vorhaben der Kategorie „gut gemeint – nichts dabei gedacht“ hin verschwunden sind: Ins politische dev0-Device bzw. die Rundablage.

Online-Spieler im Fadenkreuz von Kriminellen

Zugangsdaten zu kostenpflichtigen Online-Spielen wie World of Warcraft entwickeln sich zunehmend zum begehrten Beuteziel für Cyber-Kriminelle. Das berichtete kürzlich der Antiviren-Softwarehersteller Sophos in einer Pressemeldung zu einer Malware, die den Klassifizierungscode Troj/Agent-LVF erhielt.

Dabei geht es um einen Angriff auf WoW-Spieler, der Social Engineering mit dem Einsatz von Spyware und Trojanern kombiniert.

Ausgewählte Angriffsziele erhalten dabei zunächst eine Mail mit dem Betreff „Do you like to find a girlfriend like me?“ und einem einladenden Text wie diesem:

„Wish to have a boyfriend
Be able to protect me, take care of me
Intolerable lonely night and would like to have your care.
Do you Willing?“

Dazu einige recht ansprechende Bildchen sowie zwei Videoclips einer asiatischen Porno-Schönheit als Dateianhang „my photos.rar“. Die Bildchen sollen offenbar Lust auf mehr machen und zum Starten der Videoclips verleiten. Diese enthalten den bereits erwähnten Trojaner, der dann den Rechner gezielt nach Zugangsdaten zu WoW durchsucht während der PC-Besitzer noch von schönen Zeiten mit großäugigen süßen Asiatinnen träumt.

Die Entwickler des Trojaners sind dabei auf bedeutend mehr aus, als einen kostenlosen Zugang zu dem beliebten Spiel. Sie streben danach, die virtuellen Besitztümer der WoW-Charaktere im Spiel auf andere Avatare zu übertragen und an Dritte weiter zu veräußern. Denn für seltene oder scher zu beschaffende Objekte werden in der realen  Welt durchaus ordentliche Preise mit echtem Geld bezahlt. Eine virtuelle Version des Straßenraubs also. Auch Auftragsdiebstahl wäre denkbar, wenn die Diebe auf diesem Weg z.B. gezielt ein bestimmtes Artefakt finden und an ihren Kunden liefern sollen.

Graham Cluley, Technologieberater bei Sophos, erläutert dazu: „Eine überaschende hohe Anzahl an Schadprogrammen wurde entwickelt, um Registrierschlüssel, Passwörter und Spieldaten von Computerspielen zu stehlen. Es geht dabei nicht darum, in einem Spiel besser voranzukommen. Kriminelle stehlen virtuelle Besitztümer wie Rüstungen, Geld und Waffen um sie gegen bares Geld in der realen Welt verkaufen zu können. Hacker machen sich gerne menschliche Schwächen zunutze, um in Computersysteme eindringen zu können. Und Bilder von nackten Frauen können für manchen Nutzer eine Einladung darstellen, der sie nur schwer widerstehen können“.

Während es rechtlich noch nicht wirklich klar ist, ob virtuelle Güter überhaupt gestohlen werden können, schaffen die WoW-Datendiebe Fakten. Künftig wird man wohl noch häufiger gezielte Angriffe mit einer Kombination von Methoden auf klar umgrenzte Zielgruppen erleben können, denen ein ebenso klar erkennbares ökonomisches, kriminelles oder terroristisches Motiv zugrunde liegt.

Und in der Spieleindustrie dürfte man zunehmend auch über Sicherheitsarchitekturen und Schutzmaßnahmen für Online-Spiele nachdenken. Da könnte sich mittelfristig ein neues Marktsegment für Produkte und Technologien rund um Informationssicherheit und sichere Software auftun.

Die Dienstmädchen-Attacke

Manche Methoden IT-Systeme anzugreifen haben kuriose Namen und seltsame Hintergründe, die geeignet erscheinen, gute Geschichten zu liefern. Dazu zählt auch die Dienstmädchen-Attacke („evil maid attack“). Sie wurde erdacht, um mobile Rechner mit aktivierter Festplattenverschlüsselung stehlen und an die Daten herankommen zu können. Und um die Angreifbarkeit von Festplattenverschlüsselungstools wie Truecrypt oder Bitlocker zu prüfen.

Die Vorgehensweise:

Jemand nimmt einen Laptop mit sensiblen Informationen mit auf Geschäftsreise. Um die Informationen zu schützen, hat er eine Festplattenverschlüsselung auf dem Gerät installiert, welche die Daten durch Passwort und starke Verschlüsselung schützt. Unterwegs kommt es vor, dass er den Laptop im Hotelzimmer unbeaufsichtigt zurücklässt (ggf. per Schloss vor Entwendung geschützt).

Zu Hotelzimmern hat das Haus- und Reinigungspersonal jederzeit Zugangsmöglichkeiten. Ein Dienstmädchen, das vom eigentlichen Datendieb dazu beauftragt wurde, steckt einen präparierten bootfähigen USB-Stick an den Rechner und fährt ihn damit hoch. Auf dem Stick befindet sich ein Trojaner mit Sniffer- oder Keylogger-Funktion, der nun installiert wurde. Der Rechner wird wieder heruntergefahren und der USB-Stick wieder mitgenommen. Der ganze Vorgang dauert nur wenige Minuten und erfordert seitens des Durchführenden keinerlei tiefere technische Kenntnisse.

Später als der Geschäftsreisende wieder mit dem Laptop arbeitet, gibt er u.a. das Passwort zur Entschlüsselung der geschützten Daten ein, meldet sich am Firmenintranet an und tätigt andere mit Login geschützte Arbeiten. Der im Hintergrund mitlaufende Schnüffeltrojaner zeichnet alles auf.

Einige Tage später wird der Laptop tatsächlich gestohlen. Und da der Dieb sich durch den zuvor installierten Keylogger die Passwörter für den Zugriff auf die verschlüsselten Daten beschafft hat, kann er nun alle auf dem Rechner vorhandenen Informationen entwenden.

Eine linuxbasierte Referenzimplementation für die Evil Maid-Attacke per USB-Stick kann man vom The Invisible Things Lab’s blog herunterladen. Was für Zwecke des Selbststudiums und des Experimentierens mit eigenen Geräten noch legal ist, dürfte spätestens beim Einsatz „in the wild“ die Kriterien des sog. „Hackerparagraphen“ erfüllen.

Wie kann man sich nun vor dem „bösen Dienstmädchen“ schützen?
Joanna Rutkowska, CEO bei Invisible Things Lab und Erfinderin dieses Angriffs sowie Graham Cluley von Sophos schlagen dazu in ihren Blogs Folgendes vor:

Um zu vermeiden, dass in Abwesenheit des Besitzers andere unbemerkt mit dem Laptop arbeiten, sollte der Rechner nicht nur softwareseitig sondern auch physisch geschützt sein. Beispielsweise indem er in einem Hoteltresor verwahrt wird.

Besteht allerdings auch nur die Wahrscheinlichkeit, dass zwischenzeitlich jemand unberechtigten Zugriff auf den Rechner hatte, so hätte seine weitere Nutzung an sich zu unterbleiben, bis er einer sorgfältigen technischen Überprüfung (auf Veränderung der Hardware) und einer anschließenden Neuinstallation des Systems sowie der Software unterzogen wurde. Ein Aufwand der in der Praxis vieler Geschäftsleute auf Reisen wohl nicht betrieben werden dürfte.

Denkbar wäre auch der Einsatz von Laptops, die weder über USB-Anschlüsse noch bootfähige Medien (z.B. DVD-Laufwerke) verfügen, was aber in der Praxis oftmals schwer durchzusetzen sein dürfte.

Viele Attacken der „Evil Maid“-Machart können durch Trusted Computing Architekturen und einem entsprechend geschützten Bootprozess durch ein sicheres Betriebssystem verhindert oder zumindest technisch deutlich aufwändiger gestaltet werden, so dass die meisten  in Frage kommenden Angreifer ausscheiden.

Auch der Einsatz einer Zweifaktoren-Authentifizierung (z.B. Passwort + biometrisches Merkmal oder Token) beim Zugriff auf die verschlüsselten Daten kann von Keyloggern nicht so ohne Weiteres überwunden werden, da sie nur das Passwort, nicht aber das biometrische Merkmal oder den Token abgreifen können.

Zudem sollte das Booten von USB-Sticks im BIOS des Rechners deaktiviert werden. Allerdings macht das eine Dienstmädchen-Attacke nicht unmöglich sondern nur aufwendiger. Das Dienstmädchen (oder ihr Auftraggeber) hätten nun die Festplatte des Laptops auszubauen und in einen mitgebrachten Netbook einzustecken, um von dort per USB-Boot den Trojaner aufzuspielen. Und sie anschließend wieder in den ursprünglichen Rechner einzubauen. Ein darin geübter Angreifer schafft das in etwa 10-15 Minuten. Auch das BIOS selbst sollte passwortgeschützt sein, so dass ein Angreifer vor Ort die USB-Deaktivierung nicht rückgängig machen kann.

Großer Kreditkartenrückruf nach Datenleck im Rechenzentrum

Mal wieder rauscht ein größerer Datenskandal durch den Blätterwald. Banken lassen Zehntausende Kreditkarten ihrer Kunden einziehen und austauschen, weil die Kartendaten in die Hände von professionellen Gaunern gefallen waren. „Die Austauschaktion betrifft alle Banken in Deutschland gleichermaßen“, so ein Sprecher des Zentralen Kreditausschusses (ZKA), der Dachorganisation der Banken. Doch was ist tatsächlich geschehen?

Ein Großteil der betroffenen Kreditkarten wurde in den letzten Monaten in Spanien benutzt. Dort liefen die Kartentransaktionen über einen sog. „Prozessor“, d.h. einen externen Dienstleister zur Zahlungsabwicklung. Anscheinend gab es dort ein Datenleck, durch das Kartendaten abgezogen wurden. Unklar ist derzeit, um welches Unternehmen es sich handelt und wie die Kartendaten gestohlen wurden. Auf entsprechende Nachfragen der Presse reagieren die Banken nicht oder verweisen auf noch offene Verfahren.

Es können aber auch Kreditkarten betroffen sein, die in Deutschland benutzt wurden, wenn der Handelspartner seinen Zahlungsverkehr über spanischen Dienstleister abgewickelt hat. Insbesondere bei Großunternehmen gibt es den Trend, Dienstleistungen wie den Zahlungsverkehr zu zentralisieren, um bei Zahlungsabwicklern Volumennachlässe zu erhalten.

Obwohl es bereits in den letzten Monaten mehrmals Probleme und Rückrufaktionen mit Kartendaten gab (z.B. im Oktober als die KarstadtQuelle Bank 15.000 Karten austauschen lies), scheinen die Banken vom Ausmaß des Angriffs überrascht zu sein. Tatsächlich agieren Cyber-Kriminelle bereits seit Jahren immer professioneller und trickreicher. Sie machen sich die Hauptschwäche moderner Geschäftsprozesse zunutze: Die Komplexität, die durch das Zusammenwirken zahlreicher Dienstleister, Subunternehmer und Outsourcing-Partner entsteht. Da große Unternehmen seit Jahren danach streben, ihre Fertigungstiefe durch Auslagerungen und Fremdvergabe an Dritte zu verringern, sind komplexe Wertschöpfungsnetzwerke und Prozess entstanden, die – im Gegensatz zu komplexen Maschinen und Anlagen – oftmals kaum einer einheitlichen Qualitätssicherung unterliegen. Und oftmals auch kein einheitlich hohes Sicherheitsniveau über die ganze Prozesskette und alle beteiligten Firmen hinweg gewährleisten können.

Mit Hilfe der entwendeten Daten könnten die Datendiebe Karten fälschen und mit ihnen einkaufen oder die Datensätze weiterverkaufen. Die Kreditinstitute halten dagegen, indem sie Kartenkonten zum Teil verhaltensbasiert überwachen (ungewöhnliche Transaktionen an ungewöhnlichen Orten oder zu ungewöhnlichen Zeiten) und eine Karte auch schon mal vorbeugend sperren, bis der Kunde anruft.

Den Kartennutzern entsteht zwar meist kein konkreter Schaden, da sie jede über ihre Karte laufende Transaktion nachträglich rückgängig machen können. Der Reputationsschaden der Kreditinstitute durch Vertrauensverluste in das Zahlungssystem Kreditkarte sowie in die dahinterstehende Arbeitsteilung dürfte aber beträchtlich ausfallen.

Gleichzeitig zeigt dies, dass sich IT-Sicherheit zwar durch Auslagerung (z.B. als Managed Security Services über ein externes Security Operations Center) stärken lässt. Das dies aber kein Ersatz für eine interne Beherrschung aller Geschäftsprozesse einschließlich deren Absicherung und Qualitätssicherung ist. Zudem rückt so beim Thema Kreditkarten die konkrete Abwicklung der Kartenzahlungen ins Licht der Öffentlichkeit. Denn während die Banken Kreditkarten offensiv bewerben, haben sie große Teile der Zahlungsabwicklung an Dritte vergeben, ohne dass dies den Kunden wirklich klar ist. Die vertrauen so ihrer Bank, leiten ihre Daten aber bei jedem Bezahlen mit der Kreditkarte über ein ihnen unbekanntes anonymes Rechenzentrum irgendwo auf der Welt. Globalisierung eben.

Ein Kaffee von Microsoft

Microsoft unterstützt Ermittlungsbehörden bei der Bekämpfung von Computerkriminalität. Beispielsweise durch die Entwicklung von Analysewerkzeugen für forensische Untersuchungen an beschlagnahmten Rechnern. Im Idealfall soll ein Ermittler nur noch einen USB-Stick mit vorinstallierter Software an einen zu untersuchenden PC anstecken und automatisch werden wichtige Systemdaten zusammengesucht, aufbereitet und auf dem Stick gespeichert – Bundestrojaner zum Mitnehmen für den Einsatz vor Ort gewissermaßen.

Genau das leistet ein Produkt von Microsoft, das offiziell nur an Strafverfolgungsbehörden abgegeben wird und für diese kostenlos ist: Der „Computer Online Forensic Evidence Extractor“ (COFEE).

Damit soll die Lücke zwischen den Kenntnissen krimineller Anwender und denen ermittelnder Beamter vor Ort geschlossen werden. Wenn Computer beschlagnahmt werden, müssen sie dazu meistens ausgeschaltet, abgebaut und zur forensischen Laboruntersuchung mitgenommen werden. Dadurch geht aber bereits wertvolles Beweismaterial verloren, wenn Speicherstände verschwinden, temporäre Dateien geschlossen und Verbindungen zurückgesetzt werden. Cofee soll es Ermittlern ohne IT-Fachwissen ermöglichen, diese Beweise direkt vor Ort am laufenden Rechner zu sichern.

Naturgemäß hatte die weltweite Hacker-Community ein großes  Interesse an dem Tool, schon um seine tatsächliche Leistung experimentell ausloten zu können. Daher war es auch nur eine Frage der Zeit, bis es durch undichte Stellen in eine Tauschbörse hineinleakte.

Dort fischten es die stets neugierigen Tester von Heise Security heraus und untersuchten es gründlich. Das Ergebnis war eher ernüchternd, zumal Cofee auch nur mit Windows-Versionen bis XP läuft und aus Linux-Rechnern gar nichts herausbekommt:

COFEE startet via Autorun direkt beim Anstecken des USB-Sticks und führt dabei ein Kommandozeilenskript aus. Tools wie whoami, autoruns und so weiter erstellen dabei einen Schnappschuss mit Basisinformationen, die danach für den Web-Browser hübsch aufbereitet werden. Raffinierte Tools, um etwa gelöschte Dateien oder anderweitig versteckte Informationen wiederherzustellen fanden sich nicht in der Sammlung. Der eigentliche Mehrwert liegt in der einfachen Bedienbarkeit und dem Schwerpunkt darauf, Beweise zu erheben, die auch vor Gericht stand halten.

Tatsächlich ist die Software in erster Linie eine besonders bequeme Möglichkeit, etliche zum Teil betriebssystemeigene Analyse-Werkzeuge direkt hintereinander ablaufen zu lassen und ihre Ergebnisse gesammelt in eine Datei auf dem USB-Stick zu schreiben. Allerdings könnte die Toolsammlung jederzeit erweitert und verbessert werden. So wie es die Heise-Autoren ja regelmäßig mit ihrer frei verfügbaren Version des ct‘-Helpers tun, mit dem jeder interessierte PC-Nutzer ganz ähnliche Dinge tun kann, wie es den Forensikern mit Cofee versprochen wird.

Und darin steckt auch das größte Risiko von Cofee. Wer es sich der Neugier halber aus einer Tauschbörse zieht und ausprobiert, kann nicht wissen, was die Verbreiter daran verändert und an Schadcode eingebaut haben. Jederzeit könnten ein paar zusätzliche Dinge eingebaut, Hintertüren geöffnet und Rootkits reingeschmuggelt worden sein, die tatsächlich Daten vom Rechner saugen. Allerdings nicht für die Polizei sondern für kriminelle Datendiebe im Internet. Und da Microsoft dieses Tool für Privatnutzer offiziell gar nicht anbietet, sind von dort auch weder Hilfen noch Sicherheitspatches zu erwarten.

Von diesem „Käffchen“ sollte man daher besser die Finger lassen.

Zur Befriedigung von experimenteller Neugier sind freie Toolsammlungen wie der ct-Helper allemal besser geeignet.

Phishing-Angriff auf die Arbeitsagentur

Datendiebe können sehr kreativ sein, wenn es um das Abschöpfen von finanziell verwertbaren Datenbeständen geht. Oft wird es ihnen aber auch sehr einfach gemacht. So wurde erst kürzlich bekannt, dass die Bundesagentur für Arbeit Probleme mit ihrer Stellenbörse sowie mit dem Handling interner Datenbestände hat. In der Stellenbörse kann jeder als „Arbeitgeber“ auftreten, eine Überprüfung (Gewerbeschein, Handelsregister …) erfolgt nicht. Sozialdaten von Hartz-IV-Beziehern waren bis vor kurzem allen Beschäftigen der Arbeitsagentur zugänglich, nicht nur den dafür zuständigen Fallmanagern am Meldeort des „Kunden“.

Die Mängel im Sicherheitskonzept der Arbeitsagentur sowie in Teilen ihrer Software sind anscheinend so gravierend, dass sie sich kurzfristig nicht beheben lassen. Das muss sich wohl auch eine Berliner Personalvermittlungsfirma gedacht haben, als sie mehrere Tausend Stellenanzeigen in die Stellenbörse einkippte. So viele in so kurzer Zeit, dass es bei einer internen Prüfung den Betreibern bei der Arbeitsagentur auffiel und man der Sache nachging (was für die Wachsamkeit der Agentursystemadmins spricht). Tatsächlich existierte keine einzige Stelle wirklich. Die ausgeschriebenen Positionen für Facharztstellen über pädagogische Berufe bis hin zu Ingenieuren und Managerposten waren ein Phishing-Angriff auf die Vermittler der Arbeitsagentur sowie die Nutzer der Stellenbörse. Sie sollten ihre Bewerbungsunterlagen an die Berliner Firma schicken, so dass diese ihre Datenbestände damit aufstocken und möglichen Firmenkunden eine Datenbank mit Tausenden von Profilen anbieten kann.

Das ist für Personalvermittler an sich nichts Ungewöhnliches. Firmen wie Hays, Datos oder Progressive bieten interessierten Stellensuchenden die Möglichkeit an, ein Profil in einer Datenbank zu hinterlegen und regelmäßig gegen dort ausgeschriebene Stellen von Firmen gegenchecken zu lassen. Auf Projektvermittlungsbörsen wie Gulp oder Projektwerk können Freelancer Profile einstellen und Angebote von daran interessierten Firmen erhalten. Werben gehört zum Geschäft und wer als Stellensuchender einem Personalvermittler seine Daten gibt, um dessen Stellen mit in seine Stellensuche einzubeziehen, tut das i.d.R. bewusst. Das ist eine übliche Praxis an der es grundsätzlich nichts auszusetzen gibt.

Anders diejenigen Arbeitssuchenden, die sich auf eine konkrete Stelle bewerben, die jedoch gar nicht existiert. Sie würden in einem solchen Fall nur eine Textbaustein-Absage erhalten und das Angebot in der Datenbank des Personalvermittlers zu verbleiben, in der Hoffnung das nochmal eine ähnliche Stelle reinkommt. Seriöse Personalvermittlung sieht anders aus.

Und so sieht auch Anja Huth, Sprecherin der Bundesagentur darin einen eindeutigen Missbrauch des Systems und einen Verstoß gegen die Nutzungsbedingungen. Einen Missbrauch dieser Dimension hat man in der Jobbörse der Bundesagentur noch nie erlebt, so die Sprecherin. Mal sehen, ob das mehr als nur die Sperrung des Accounts zur Folge hat.

Inzwischen ist man damit beschäftigt, die zahlreichen fingierten Stellenangebote zu finden und zu löschen. Was aber noch einige Tage dauern kann, so Frau Huth. Schließlich werden täglich etwa 20.000 Stellenangebote neu erstellt oder abgeändert. Verantwortlich für diese Angebote war demnach die Firma Econsulting24, wo jedoch bislang weder die Arbeitsagentur noch die mittlerweile darauf aufmerksam gewordene Presse jemanden erreichen konnte.

Einen ähnlichen Fall hatte es bereits im Winter letzten Jahres gegeben. Ein privater Jobvermittler hatte immer wieder fingierte Stellen ins System gestellt. Wenn sich Bewerber bei dem Vermittler meldeten, erhielten sie stets die Auskunft, dass die Stelle bereits anderweitig besetzt war. Das Unternehmen bot den Bewerbern jedoch an, gegen Bezahlung Bewerbungen für sie zu verfassen.  Und obwohl die Arbeitsagentur den Account des Vermittlers löschte, meldete er sich stets einfach neu an und spammte fröhlich weiter. Das Problem der mangelhaften Kontrolle vermeintlicher „Arbeitgeber“ in der Jobbörse ist also bereits seit langem bekannt.

Die Datenbörsen der Arbeitsagentur

In den letzten zwei Wochen konnte man schon den Eindruck gewinnen, bzgl. des Datenschutzes hätte die Wirtschaft inzwischen jede Scham verloren. Ob Bewerber-Bluttests bei Daimler, Beiersdorf und Merck, Bruch des Bankgeheimnisses bei der Postbank, Datenklau bei SchülerVZ, neue Spitzeleien bei der Telekom oder Datenpannen bei Libri – praktisch jeden Tag gab es einen neuen Datenskandal. In einigen Fällen dürfte eine zu schwach aufgestellte IT-Sicherheit oder konzeptionelle Lücken in den Datenschutzbestrebungen der Firmen ursächlich gewesen sein. Oft jedoch auch eine gewisse „Herrenmenschenmentalität“ der jeweiligen Entscheider, die sich dachten „Datenschutz ist für andere – wir machen was wir wollen!“.

Eine besonders dicke Datenschutzsau treibe jedoch ausgerechnet die Agentur für Arbeit derzeit durchs bundesrepublikanische Dorf. Die Arbeitsagentur betreibt mit ihrer Jobbörse eine der größten Datenbanken Deutschlands. In ihr sind etwa 3.800.000 Profile arbeitslos gemeldeter Stellensuchender gespeichert. Darin können potentielle Arbeitgeber anonymisierte Profile, geordnet nach Fertigkeiten und Berufsklassifikationen recherchieren und bei Interesse den zuständigen Bearbeiter der Arbeitsagentur kontakten, damit dieser zwischen Arbeitgeber und Bewerber den direkten Kontakt herstellt. Kürzlich stellte sich aber heraus, dass sich jedermann in den System als „Arbeitgeber“ umtun konnte – auch wenn er weder Unternehmer oder Personaler war und schon gar keine offene Stelle hatte.  Und das er dabei auch an nicht anonymisierte Daten herankam, um sie ggf. auch in größeren Mengen herunterzuladen und für eigene Zwecke weiter nutzen zu können.

Spiegel Online hierzu:

Bei der Jobbörse müssten Arbeitgeber lediglich den Firmennamen, die Branche sowie Anschrift und Ansprechpartner angeben. Die Identität prüfe die Bundesagentur nicht. Nach der Anmeldung bekomme der Arbeitgeber eine persönliche Identifikationsnummer zugeschickt, mit dieser könne bereits ein Teil der Bewerberdaten in nicht mehr anonymisierter Form eingesehen werden. Jeder könne so Bewerbungsunterlagen anfordern, mit Adresse, Telefonnummer, Geburtsdaten, Zeugnissen und Lebenslauf – egal, ob er einen Job zu vergeben habe oder nicht.

Wäre das schon happig, legte die Arbeitsagentur im Bereich Hartz-IV-Empfänger gleich noch nach. Denn das 4-PM („Vier-Phasen-Modell“) , ein System, über das gut 100.000 Mitarbeiter unter anderem Einkommens- und Familiensituation, Schul- und Berufsausbildung, mögliche Erkrankungen und Vorstrafen, Suchtprobleme und Verschuldung von Hartz-IV-Empfängern abrufen können, erwies sich als regelrechte Datenschleuder. Darüber können auch Mitarbeiter, die nichts mit der Betreuung der Arbeitslosen zu tun haben, nach sensiblen personenbezogenen Sozialdaten forschen. Und das bundesweit, also auch außerhalb des eigenen Zuständigkeitsbereiches. Ein Umstand der den Personalräten der Arbeitsagentur schon seit längerem Probleme bereitet. Weshalb sie sich nach wohl fruchtlosen Versuchen, das intern zu regeln, an die Presse wandten und die Sache auffliegen ließen. Sie haben erhebliche Bedenken zum Sozialdatenschutz und sehen das Recht auf informationelle Selbstbestimmung der Bürger verletzt. Diese Bedenken der Personalräte in den Arbeitsagenturen teile ich. Zugleich zeugt das einmal mehr, wie wichtig Mitbestimmungsorgane für das Aufdecken und Angehen fauler Stellen in Wirtschaft und Verwaltung sind.

Zu welchen Formen des Missbrauchs solche Datenlecks führen können, zeigen Insider-Berichte aus der Arbeitsagentur: So wussten die Mitarbeiter der Argen schnell mehr über zwei bestimmte Kandidaten der Fernsehshow von Dieter Bohlen. Das Computersystem der Arbeitsagentur verzeichnete weit über 10.000 Zugriffe auf ihre Datensätze nach deren Auftritt, bei dem die Männer auch ihre zeitweilige Arbeitssuche erwähnten.

Es zeigt sich einmal mehr, dass viele Datenschutz- und Sicherheitsprobleme gar nicht auftreten würden, wenn man sich an banal wirkende Lehrbucherkenntnisse halten würde. Da große Datensammlungen, egal zu welchem Zweck angelegt, immer irgendwann außer Kontrolle geraten und Daten daraus „abfließen“ können, rät schon das Bundesdatenschutzgesetz zu Datensparsamkeit und Datenvermeidung. Daten die erst gar nicht anfallen oder erhoben werden, können auch nicht in falsche Hände geraten. Das ist das Hauptargument, das Datenschützer und Bürgerrechtsaktivisten gegen große zentrale Datensammlungen vorbringen.- Es wird nur leider viel zu selten berücksichtigt.

Zumal solche Datenschleudereien zumindest im öffentlichen Bereich folgenlos bleiben.

Bundesdatenschutzbeauftragter Peter Schaar hierzu in einem Interview mit Ole Reißmannauf Spiegel online:

Ich habe als Bundesbeauftragter für den Datenschutz die Möglichkeit, das zu kritisieren und gegebenenfalls zu beanstanden, mehr nicht. Auch bei der Jobbörse der Arbeitsagentur gibt es ja ein Problem mit dem Datenschutz. Ohne Prüfung der Identität und Seriosität kann sich praktisch jeder als Arbeitgeber registrieren lassen und Unterlagen von Bewerbern anfordern. Das wissen wir seit einem Jahr, unsere Kritik und unsere Hinweise haben nicht geholfen. Es fehlt einfach an der nötigen Sensibilität im Umgang mit persönlichen Daten und an entsprechend wirksamen Durchsetzungsmöglichkeiten für mich als Bundesbeauftragten für den Datenschutz.

…

Wäre die Bundesagentur für Arbeit eine Firma, könnten die zuständigen Datenschützer zumindest Bußgelder verhängen, gegebenenfalls sogar die Datenverarbeitung untersagen, und das Problem müsste öffentlich gemacht werden. Seit September ist das gesetzlich vorgeschrieben. Aber für Behörden gilt diese Verpflichtung nicht – und etwas untersagen oder Geldbußen verhängen, können wir auch nicht.

Narrenfreiheit und Straflosigkeit für Behörden also. Egal was datentechnisch verbockt wird. Da dürften jegliche Anreize fehlen, zumal Stellungnahmen des Bundesdatenschutzbeauftragten für die Behörden wohl nur Empfehlungscharakter zu haben scheinen.

Und das obwohl Privatfirmen für gleichartige Verstöße durchaus zu sechsstelligen Geldstrafen sowie der Abführung der daraus gezogen Gewinne verurteilt werden können.

Man wird die öffentlichen und privaten Datenschleudern wohl nur dadurch stilllegen können, indem hart und unnachsichtig durch Prozesse, Urteile und Skandalisierung Klarheit darüber geschaffen wird, das Verstöße gegen den Datenschutz ähnlich geahndet werden, wie jene gegen das Eigentumsrecht (Betrug, Diebstahl …) oder das Recht auf körperliche Unversehrtheit (tätliche Angriffe, sexuelle Belästigungen …).

Da liegt ein ordentliches Stück Arbeit vor uns. Wird es jedoch angegangen, kann das insbesondere für professionell in der IT-Sicherheit Tätige eine Sonderkonjunktur bedeuten.

Postbank – Wenn die Bank das Bankgeheimnis ignoriert

Die Datenschutzskandale in der deutschen Wirtschaft nehmen einfach kein Ende. Es scheint sich um ein  grundsätzliches Problem der Nichtakzeptanz des Rechts auf Datenschutz zu handeln, sobald diese Daten für andere wirtschaftlich verwertbar sein können.

Und wirtschaftlich verwertbar waren auch die Transaktionsdaten zahlreicher Postbank-Kunden. Denn die Postbank hatte, einem Bericht der Finanztest zufolge, mehreren Tausend freiberuflich tätigen Finanzberatern Zugriff auf die Kontendaten (Kontenstände, Buchungen etc.) ihrer Kunden über eine Datenbank mit Suchfunktion gewährt. Sie sollten damit u.a. Kunden, bei denen größere Geldbeträge eingegangen waren, anrufen und ihnen Finanzprodukte zur Geldanlage anbieten.

Sensible, dem Bankgeheimnis unterliegende Daten, von einer Bank  an externe Dritte herausgegeben zum Zwecke der Vermarktung von Finanzprodukten – da drehen sich jede halbwegs versiertem Datenschützer und IT-Sicherheitsbeauftragten die Zehennägel auf!

Hatten doch in der Vergangenheit solch laxe Praktiken regelmäßig dafür gesorgt, dass Daten aus Unternehmen „abflossen“ und im grauen Sumpf der Datendealer und Cyberkriminellen versickerten.

Der Finanztest liegen nach eigenen Angaben Kontodaten und Briefwechsel zahlreicher Personen aus dieser Datenbank vor. Darunter auch Prominente wie zum Beispiel Axel-Springer-Vorstand Mathias Döpfner, der frühere Präsident von Borussia Dortmund, Gerd Niebaum, oder der Vorstand der Stiftung Warentest, Werner Brinkmann. Sie alle haben der Weitergabe ihrer Daten laut Dateneintrag nicht zugestimmt.

Dagegen schützten sich die Chefs der Postbank-Gruppe gegen allzu große Neugier ihrer Verkäufertruppe, indem sie ihre eigenen Kontodaten von dieser Suchmöglichkeit ausschlossen, wie Recherchen von Finanztest ergaben.

Die für die Postbank zuständige Datenschutzbehörde in Nordrhein-Westfalen hält es der Zeitschrift zufolge für unzulässig, dass freie Berater der Postbank die Girokonten der Kunden einsehen können. Behördensprecherin Bettina Gayk hirzu: „Das ist sicherlich hochproblematisch“. Hoffen wir mal, dass diese Einschätzung in der Folge auch zu rechtlichen Schritten führt. Das erst kürzlich reformierte Datenschutzgesetz sieht hierfür 5-6stellige Geldstrafen vor – für jeden einzelnen Fall. Sowie umfängliche Anzeigepflichten den Betroffenen gegenüber. Falls es in der Folge tatsächlich zu Verurteilungen und Strafen kommt.

Bis dahin schließe ich mich den Empfehlungen der Finanztest an Postbank-Kunden an. Sie rät ihnen folgendes als Ersthilfe:

Tipps für Postbank-Kunden

Forderung: Wenn Sie als Postbankkunde nicht wollen, dass ihre Kontodaten eingesehen werden, sollten Sie sich schriftlich an das Unternehmen wenden. Fordern Sie die Postbank auf, die Weitergabe ihrer Daten zu stoppen.

Widerruf: Sie können außerdem verlangen, dass Ihnen die Postbank Auskunft über gespeicherte und weitergegebene Daten gibt. Bereits erteilte Einwilligungserklärungen können Sie jederzeit widerrufen.

Inzwischen hat die Postbank auch eine eigene Stellungnahme veröffentlicht, in der sie „entschiedenes Vorgehen“ und „strafrechtliche Schritte“ ankündigt sowie „bis zur Klärung des Gesamtzusammenhanges im Dialog mit dem Datenschutz den Zugriff auf die Kontodaten durch die Finanzberater vorsorglich sperren“ lassen will und eine Revision ihrer bisherigen Praxis ankündigt.

Schon wieder Daten „gelidlt“

Seit den Datenskandalen rund um illegale Mitarbeiterüberwachung und Krankenakten bei Lidl stehen die, für ihre aggressiven Personalmanagementpraktiken bekannten Discounter unter verstärkter öffentlicher Beobachtung. Und das Verb „gelidlt werden“ beginnt sich als Bezeichnung für „Informationsbeschaffungsmethoden wirklich freier Unternehmer unter kreativer Ausgestaltung der geltenden Gesetzeslage und flexibler Wahrung von Persönlichkeitsrechten“ zu etablieren.

Und so überrascht es nicht wirklich, auf Spiegel Online zu lesen, dass der irländischen Lidl-Tochter doch tatsächlich ein Server abhandenkam, auf dem Dateien mit Umsatzzahlen, Einkaufsplanungen, Schriftverkehr zwischen dem Unternehmen und Ärzten der Mitarbeiter sowie Krankmeldungen, Diagnosen oder Abmahnungen von Beschäftigten abgelegt waren. Insgesamt etwa 200.000 Dokumente, wie ein ehemaliger deutschen Lidl-Beschäftigter, der mal für das Irland-Geschäft zuständig war, berichtete, dem ein Plattenabzug zugespielt  worden war.

Ärgerlich und peinlich für Lidl. Und übel für die betroffenen Beschäftigten. Andererseits wäre das nicht das erste und bestimmt auch nicht das letzte Datenleck in einer Unternehmens-EDV. Richtig schräg wurde es erst, als der frühere Lidl-Mitarbeiter nach eigener Darstellung versuchte, die Festplatte an Lidl zu übergeben und seine früheren Kollegen für das sich anbahnende Desaster zu sensibilisieren. Denn der Konzern zeigte angeblich kein Interesse und hielt die Daten nicht für brisant.

Simon Columbus schreibt dazu auf Gulli.com:

Sollte Lidl allerdings tatsächlich die erste Kontaktaufnahme mit einem achselzuckenden „na und?“ beantwortet haben, wie sich die Sache bisher darstellt, dann darf man sich um den Geisteszustand der Verantwortlichen Sorgen machen. Schon so ist es erschreckend genug, dass derart intime Daten wie ärztliche Prognosen innerhalb des Unternehmens frei zugänglich waren. Wenn das aber noch nicht einmal als „brisant“ erkannt wird, dann fehlt es eindeutig an Augenmaß im Datenschutz.

Inzwischen hat wohl auch die Rechtsabteilung des Discounters nochmal drüber meditiert. Und den Festplattenfinder dazu aufgefordert, den Datenträger bei der Staatsanwaltschaft abzugeben. Und sich weitere rechtliche Schritte vorbehalten.

Einmal mehr wird ersichtlich, dass IT-Sicherheit auf mehreren Ebenen gedacht und umgesetzt werden muss. Ein noch so gut gegen Netzattacken geschütztes Rechenzentrum ist leicht angreifbar, wenn man dort vor Ort einfach so in Gebäude hinein und an Server und Platten herankommt, die Sekretärin zur Herausgabe sensibler Daten verleiten kann oder lausig bezahlte und schlecht behandelte Mitarbeiter leicht empfänglich für Korruption sind.