Der Streit um die Facebook-Buttons

Fast jeder kennt sie – die „Gefällt mir“-Buttons auf immer mehr Webseiten, mit denen man seinen Facebook-Kontakten ein Fundstück beim Surfen signalisieren kann. Wer seine Facebook-Kontakte entsprechend auswählt, bekommt dadurch einen interessensgerecht vorsortieren Nachrichtenfeed generiert und kann seinerseits anderen signalisieren, was ihn interessiert.

Wie genau funktioniert das?

Sobald man eine Website aufruft, die Facebook-Buttons enthält, werden Daten wie z.B. IP-Adresse, Referer und statistische Informationen an Facebook übermittelt. Ist man Facebook-Nutzer und am System angemeldet (dazu muss man es nicht mal offen haben) kann Facebook so recht genau mitverfolgen wo sich Facebook-Nutzer im Internet bewegen und was sie interessiert. Mit der Zeit kommen so relativ präzise und über den Inhalt des eigenen Profils weit hinausgehende Nutzerprofile zusammen. Dies lassen sich in aggregierter Form zum Zwecke von Reichweitenanalysen gut zu Geld machen.

Aber auch ohne eigenes Facebook-Profil kann die Firma ohne Einwilligung der Nutzer und ohne dass diese einen „Gefällt mir“-Button angeklickt hätten, unbemerkt Daten speichern und so beträchtliche Vorratsdatenbanken aufbauen.

Da es sich dabei zum Teil um personenbezogene bzw. personenbeziehbare Daten i.S.d. Bundesdatenschutzgesetzes handelt, wäre hierfür eine Einwilligung des Betroffenen einzuholen. Dabei wäre den Nutzern rechtsverbindlich mitzuteilen, worin sie einwilligen und zu welchen abschließend aufgeführten Zwecken ihre Daten verwendet werden Das fordern Datenschützer schon länger von Facebook. Doch die Firma, deren europäischer Hauptsitz in Dublin liegt, hatte diese Forderungen bislang ignoriert, da sie rechtlich von Deutschland aus nur schwer zu greifen ist. Auf diese Weise erzielt sie Konkurrenten mit Sitz in Deutschland gegenüber aus Sicht von Datenschützern unlautere Wettbewerbsvorteile. So hat Facebook allein im ersten Halbjahr 2011 weltweit etwa eine halbe Milliarde Euro Gewinn erzielt.

Das Kieler Unabhängige Landeszentrum für Datenschutz (ULD) beschloss daher das Problem vom anderen Ende her anzugehen und statt Facebook die in Deutschland rechtlich greifbareren Betreiber von .de-Websites, die Facebook-Buttons einbinden, rechtlich unter Druck zu setzen. Indirekt sollte so auch Facebook selber zum Handeln bewegt werden, da ansonsten vermehrt Websites angesichts möglicher fünfstelliger Geldbußen für Verstöße gegen das Datenschutzrecht die Buttons aus dem Netz nehmen und Facebooks Datenzuflüsse abklemmen würden. Eine umstrittene aber wirksame Vorgehensweise, da das Problem erst auf diesem Wege überhaupt einer breiteren Netzöffentlichkeit bewusst wurde. Bislang wurde es eher in der datenschutzrechtlichen Fachliteratur diskutiert.

Kürzlich schlugen Programmierer von Heise.de eine technische Lösung des Problems vor: den +2-Button. Dabei erscheinen Buttons sozialer Netzwerke wie Facebook oder Twitter zunächst inaktiv auf der Website und übermitteln keine Daten. Erst wenn der Nutzer sie anklickt werden sie aktiviert (erkennbar am Farbwechsel des Buttons) und ein zweiter Klick startet dann die damit verbundene Funktion. Doch auch das ist keine Einwilligung i.S.d. § 4a BDSG, da die rechtsverbindliche Mitteilung über Art, Umfang und Zweck der Datenübermittlung fehlt und auch unklar bleibt, wohin Daten übermittelt werden (z.B. auf Facebook-Server in den USA). Da die Entwickler den Quellcode freigaben, wurde die Idee rasch aufgegriffen und z.B. als Plugin für verbreitete Content-Management-Systeme wie WordPress umgesetzt.

Tatsächlich ist das Thema derzeit noch ungeklärt. Es gilt daher, die Entwicklung bei den technischen und rechtlichen Rahmenbedingungen für den Einsatz solcher „aktiven Codeelemente“ in Webauftritten speziell von Unternehmen im Blick zu behalten und sich ergebenden Compliance-Risiken konsequent entgegenzutreten.

Generell sollten sich Betreiber von Webauftritten zudem vergegenwärtigen, dass jedes Element, mit dem sie Code anderer Websites oder Dienste einbinden, ein potentielles Sicherheitsrisiko darstellt, Schließlich wissen sie nicht, was da im Einzelfall auf die Rechner ihrer Besucher und Kunden übertragen wird. Die Mehrzahl aller webbasierten Schadcodeverteilmechanismen macht sich solche Lücken zunutze und infiziert so ahnungslose Besucher von gut frequentierten Websites mit Schadsoftware.

Sind Polizeicomputer wirklich sicher?

Die Anzahl bekannt gewordener erfolgreicher Angriffe auf die IT großer Unternehmen und staatlicher Institutionen hat seit Jahresanfang „gefühlt“ deutlich zugenommen. Kürzlich hat es auch die Bundespolizei erwischt. Im Juli waren Hacker, die sich selbst der „No Name Group“ zurechnen, in einen Server des Zolls eingedrungen, der als Software-Downloadrechner zur behördeninternen Verteilung von Software-Updates eingesetzt wurde. So konnten sie durch die Einspeisung manipulierter Updates ein verteiltes System zur Ermittlungsunterstützung und Zielverfolgung angreifen und daraus Daten kopieren. Dazu zählten u.a. Bewegungsprofile und Positionsdaten von GPS-Peilsendern an den Fahrzeugen überwachter Personen. Die Hacker stellten diese Daten anschließend ins Internet, die Polizei musste die Nutzung der betroffenen Systeme vorübergehend einstellen und einen außerplanmäßigen Sicherheitsaudit durchführen.

Unklar ist, ob es sich dabei tatsächlich um Daten aus Ermittlungsverfahren handelt, bei denen ein Richter die Überwachung Verdächtiger erlaubt hat. Denkbar wäre zum Beispiel auch, dass die Behörden eine neue Software zur Analyse von Bewegungsprofilen in einem Feldversuch getestet haben, wie Spiegel Online vermutete.

Zwischenzeitlich konnten die intensiv ermittelnden Ordnungshüter mehrere Verdächtige festnehmen, darunter auch der Hacker „Darkhammer“, der sich in der Hacktivistenszene bereits im Zusammenhang mit Hackerangriffen auf NPD-Websites einen Namen machte.

Das wirft die Frage auf, wie sicher die IT-Systeme von Behörden eigentlich sind, die als Folge der Versicherheitsstaatlichung Deutschland immer mehr und immer sensiblere Daten der Bürger beinhalten. So hatten bereits 2010 Hacker Systeme des Zolls angegriffen und mit Trojanern infiziert, was trotz vorhandener Virenschutzsoftware erst Mitte 2011 bemerkt wurde.

Die bereits erwähne Revision der Zollsystem ergab jedenfalls gravierende Mängel, wie es in einem vertraulichen Bericht heißt, der seinen Weg in die Spiegel-Redaktion fand. Veraltete Hardware und Software, nicht vorhandene oder unzureichend ausgelegte Sicherheitssysteme, Mängel im technischen Datenschutz – und das in einem System, welches sensible Daten über verdeckte Ermittler, V-Leute und geheime Operationen enthält.

Neben der Technik fehlt es der Bundespolizei aber wohl auch am qualifizierten Personal. So fehlten an Schlüsselpositionen geeignete Mitarbeiter, die Fehler feststellen und beheben könnten. Dazu aber wären sie, dem Revisionsbericht zufolge aber wegen mangelhafter Systemdokumentation ohnehin kaum in der Lage. Hinzu kämen Defizite im Konfigurations- und Rechtemanagement, in der Zugriffsprotokollierung, in der Handhabung mobiler Datenträger sowie beim Fernzugriff, der über unverschlüsselte Klartextprotokolle abgewickelt würde.

Und so kamen die Prüfer zu dem vernichtenden Ergebnis, dass Hacker nach wie vor in das Polizeinetz eindringen könnten, um dort relativ einfach an geheime Daten gelangen, die Software manipulieren und systemrelevante Einstellungen verändern zu können.

Doch warum ist das so?

Der Kern des Problems dürfte schlicht darin bestehen, dass es der Bundespolizei am Budget für angemessene Ausstattung auf aktuellem Stand der Technik fehlt. Und dass entsprechend qualifizierte Sicherheitsexperten gehaltstechnisch kaum noch in die Tarif- und Besoldungssysteme des öffentlichen Dienstes einzupassen sind, während gleichzeitig Personaleinsparungen und Haushaltskonsolidierungen laufen. Ein Zielkonflikt, der künftig häufiger zu Kollateralschäden in Form gehackter Rechner und abhanden gekommender Behördendaten führen dürfte.

Wurde die Schufa gehackt?

In den letzten Wochen gab es alle paar Tage Berichte in der Tagespresse über spektakuläre Hacks auf die Rechner von Unternehmen. Kürzlich musste sogar der Weltwährungsfonds eingestehen, unerwünschte „Gäste“ in seinen Systemen gehabt zu haben.

Und jetzt scheint die Schufa dran zu sein. Auf Gulli.com wurde über einen Angriff auf die Webserver der Wirtschaftsauskunftei berichtet, bei dem über Local File Inclusion Zugriffe auf dort vorhandene, aber nicht direkt zum Webangebot gehörende Daten möglich waren. Solche Attacken auf Webserver gehen üblicherweise Angriffen auf Systeme „weiter im Inneren“ einer Organisation voraus. Gleichzeitig sind sie aber auch Gradmesser für die Ernsthaftigkeit mit der eine Organisation IT-Sicherheit betreibt. Denn Webserver, die über leicht auffindbare Sicherheitslücken wie SQL Injection, File Inclusion und Cross-Site Scripting angegriffen werden können, deuten i.d.R. auf mangelndes operatives IT-Risikomanagement und fehlende Routinen zur sicherheitstechnischen Aktualisierung von außen erreichbarer Systeme hin. Der Hinweis an die Gulli-com-Redaktion kam von einer ungenannten Quelle und wurde von Sicherheitsexperten per Proof-of-Concept bestätigt. Auch Tagesschau.de griff das Thema auf und wies auf die Problematik der Kombination aus Massendatenspeicherung, fragwürdiger “Freiwilligkeit” der faktisch erzwungenen Datenabgabe durch Verbraucher und scheinbar laxe Sicherheitsstandards bei der Schufa hin.

„Der Vorfall reiht sich in eine lange Reihe brisanter Sicherheitslücken ein und zeigt erneut, dass jede Form der personenbezogenen Datensammlung ein Sicherheitsproblem darstellt“, so Sebastian Nerz, angehender Informatiker und Bundesvorsitzender der Piratenpartei Deutschland in einer Pressemeldung. „Ob SCHUFA oder andere große Datenbestände wie die deutschen Zensusdaten, die digitalen Steuerdaten oder die Arbeitnehmer-Datenbank ELENA: Nur wenn Daten erst gar nicht gespeichert werden, sind sie vor unbefugten Zugriffen sicher. Datensparsamkeit muss daher oberstes Gebot sein. Leider ist diese Erkenntnis immer noch nicht in der Politik angekommen. Große Datenhalden werden nach wie vor als eine Lösung und nicht als Teil des Problems gesehen.“

Und die Daten der Schufa dürften in der Tat einen beträchtlichen Wert am Datenschwarzmarkt darstellen, falls es Hackern mit wirtschaftskriminellen Motiven gelänge sie zu erbeuten. Hat doch die Schufa eine monopolartige Position erreicht, die es Verbrauchern fast unmöglich macht, am täglichen Geschäftsverkehr teilzunehmen, ohne laufend standardisierte Schufa-Einwilligungsklauseln zu unterschreiben. Eine Praxis, die z.B. im Arbeitsrecht bereits dazu geführt hat, dass dort datenschutzrechtliche Einwilligungen aufgrund des Machtungleichgewichts zwischen Arbeitnehmern und Arbeitgebern als rechtlich unbeachtlich angesehen werden, da die „Freiwilligkeit“ ihres Zustandekommens bezweifelt wird. Die Schufa dürfte über einen deutschlandweit wohl einzigartigen Bestand an Finanzdaten fast aller Inhaber von Bankkonten, Handynutzern, Kreditnehmern oder Kartenzahlern besitzen. Die enormen Vorratsdatenbestände der privatwirtschaftlichen Schufa kamen nur durch die oligopolartige Stellung der Wirtschaftsauskunfteien zustande, die es Verbrauchern nahezu unmöglich macht, an ihnen vorbei Bankgeschäfte oder bargeldlose Zahlungen zu tätigen.

Eine solche Organisation ist aufgrund vieler Gründe ein herausforderndes Ziel für Hacker. Sei es als Versuch zu Ruhm und Anerkennung innerhalb der Szene zu kommen, sei es aus räuberischen Motiven, sei es im Rahmen eines Vergeltungsschlages gegen eine, ihrer Ansicht nach zu mächtig gewordene Organisation.

Die in der Überschrift gestellte Frage kann  man mittlerweile als bereits beantwortet ansehen. Denn David Vieira-Kurz, der Gulli-com den Proof-of-Concept geliefert sowie die Schufa-Verantwortlichen gewarnt hat, berichtet auf seinem Blog Secalert.net dass die Schufa-Verantwortlichen ihm als Dank eine Flasche Sekt versprochen hatten, nachdem sie die Lücke im Webserver geschlossen hatten.

Unklar ist allerdings noch, ob nicht zwischenzeitlich auch Dritte die Lücke ausnutzen und sich Schufa-Daten beschaffen konnten.

Erneuter Hackerangriff auf NPD-Websites

Hacker haben in den letzten Tagen etliche Websites der Nationaldemokratischen Partei Deutschlands (NPD) gehackt sowie sich Zugang zu parteiinternen Daten verschafft und diese veröffentlicht.

Die diversen Websites der NPD zählen zu den Lieblingszielen der hackenden Besucher des alljährlich zu Jahresende in Berlin stattfindenden Chaos Communication Congress. Fast jedes Jahr werden beträchtliche Mengen an Arbeitszeit der freischaffenden Sicherheitsexperten der NPD „gespendet“ um deren Systeme durch kreatives Penetration Testing u.ä. auf Sicherheitslücken durchzuprüfen. Daher sollten die NPD-Rechner inzwischen eigentlich zu den bestgeprüftesten und gehärtesten Parteiservern in Deutschland zählen.

Das dem wohl eher nicht so zu sein scheint, stellte kürzlich die Hackergruppe „No Name Crew“ unter Beweis. Sie drang in Dutzende Websites der NPD ein und konnte sogar parteiinterne Datenbanken kopieren und diese zusammen mit etlichen anderen NPD-Dokumenten auf ihrer eigenen Website zur gefälligen Begutachtung bereitstellen.

Besonders heikel: Die Hacker der „No Name Crew“ haben eine Liste von angeblichen NPD-Spendern veröffentlicht. Darin werden über 400 Personen mit Namen und Adresse aufgelistet, die der rechtsextremen Partei in einem allerdings nicht genannten Zeitraum Geld gespendet haben sollen.

Allerdings distanzierte sich die Hackergruppe von der Antifa und den Aktivisten der Gruppe „Anonymous“, nachdem zunächst vermutet wurde, dass die Angreifer aus dem Umfeld antifaschistisch geprägter Polithacker kommen würden. Publicity ist den Hackern der „No Name Crew“ jedoch gewiss – berichteten doch neben Insiderseiten wie Gulli.com auch u.a. Spiegel Online, die Sueddeutsche oder auch Welt Online über den NPD-Hack. „Ich weiß, dass ich mit meiner Aktion auf ein breites Interesse der Öffentlichkeit stoßen werde“, so der Anführer der Truppe, der sich selbst „Darkhammer“ nennt.

Und in der Tat: Der Hack dürfte die NPD wie der sprichwörtliche Hammer aus der Dunkelheit getroffen haben. Denn derzeit scheint der Provider der NPD („naweko – Agentur für Neue Medien“, eine Firma, die dem Landesvorsitzenden der NPD Saarland, Frank Lanz gehört) immer noch mit Schadensbegrenzung beschäftigt zu sein. Die Defacements der gehackten Seiten wurden vom Netz genommen und etliche der betroffenen NPD-Domains sind nicht mehr erreichbar. Ob die NPD sicherheitstechnisch nachbessert, werden wir wohl spätestens im Dezember erfahren, wenn der nächste Chaos Communication Congress stattfindet.

Allerdings weiß man bei allen Skandalen und Aufregerthemen, welche die NPD betreffen ja letztlich nie so genau, was davon auf die braune Truppe selbst zurückführbar ist und wo der Verfassungsschutz die Hände mit drin hatte. Zudem bleibt abzuwarten, ob die NPD Strafanzeige erstatten und staatsanwaltliche Ermittlungen in der Sache anstreben wird.

Sicherheitsexperten entdecken Leck in Android-Handys

Smartphones mit dem zunehmend beliebter werdenden Android-Betriebssystem von Google erweisen sich im täglichen Gebraucht als etwas zu mitteilsam, wie deutsche Sicherheitsexperten kürzlich bekanntgaben. Sie melden sich automatisch und ohne Zutun ihres Nutzers in freien WLAN-Netzen an, in denen sie bereits einmal angemeldet waren, sobald das Gerät in die Funkreichweite des entsprechenden WLAN-Routers kommt. Steht die Verbindung, so wird ebenso automatisch eine Synchronisierung mit Google-Diensten wie Mail, Calender, Contacts, oder Picasa gestartet, wobei Authentifizierungsdaten (authToken) zum Teil sogar unverschlüsselt über eine einfache http-Verbindung gesendet werden. Diese Authentifizierungsdaten lassen sich am WLAN-Router mitschneiden (z.B. per Sniffer-Software) und können dann im Einzelfall für bis zu 14 Tage dazu benutzt werden, mit der Identität des Nutzers in dessen Google-Konten zu stöbern.

Auch Apps anderer Anbieter könnten von dem Problem betroffen sein, da nicht nur Google-eigene Apps dieses Anmeldesystem verwenden. So z.B. die Kalendersynchronisation des beliebten Mailprogramms Thunderbird der Mozilla Foundation.

„Der Informationsklau funktioniert besonders gut, wenn der Name des Netzwerks einem bekannten Anbieter ähnelt, also etwa T-Online“, so die Medieninformatiker Bastian Könings, Jens Nickels und Florian Schaub. Dazu reicht es nach Ansicht von Königs, die gut dokumentierten Google-Schnittstellen für externe Entwickler zu benutzen.

Dass mobile Geräte und beliebte Apps sensible Daten unverschlüsselt in die Welt hinausblasen, wird in Expertenkreisen bereits seit einiger Zeit zunehmend kritisch diskutiert.

Kurzfristig raten Fachleute Android-Nutzern zu folgenden Selbsthilfemaßnahmen:
•    Zügig auf die aktuellste Version 2.3.4. von Android updaten, in der das Problem so nicht mehr besteht.
•    Die automatische Datensynchronisation in den Einstellungen deaktivieren.
•    Die Liste bereits konnektierter WLAN-Netze im Handy regelmäßig löschen (nur auf der Liste befindliche Netze werden automatisch konnektiert).
•    Offene WLAN-Netze möglichst meiden, wenn datensensible Dienste und Apps genutzt werden.

Zumindest der erste Punkt der Empfehlungen ist für zahlreiche Smartphone-Nutzer jedoch gar nicht so leicht umsetzbar. Zwar ist Android ein (weitgehend) offenes System. Jedoch haben viele Smartphone-Hersteller ihre Geräte mit individuellen Oberflächen und Zusatzprogrammierungen „gebrandet“, so dass sie Upgrades des zugrunde liegenden Android-Betriebssystems nur zögerlich, falls überhaupt ausrollen. So ist derzeit ein ganzer Zoo von unterschiedlichen Android-Versionen im Markt unterwegs.

Doch es sind nicht nur Android-Handys betroffen. Grundsätzlich funktioniert die Methode, in offenen WLANs Daten mitzuschneiden und zweckzuentfremden auch bei anderen Mobilgeräten wie etwa Laptops, Navis oder Tablets, sofern diese Daten unverschlüsselt in den Äther blasen.

Inzwischen plant Google kurzfristig ein außerplanmäßiges Sicherheitsupdate an alle Android-Geräte zu verteilen und dabei nicht den Weg über die einzelnen Handyhersteller und Distributoren zu gehen. Der Patch soll die Kommunikation zwischen Gerät, WLAN-Router und mobilen Diensten verschlüsselt über das https-Protokoll abwickeln. Das allein ist jedoch nur die halbe Lösung, solange solche Kommunikationen versteckt im Hintergrund und ohne Kenntnis und Zustimmung des Benutzers ablaufen.

Wenn Daten zum Problem werden

Die letzten zwei Wochen waren wieder sehr „gehaltreich“ für Leute, die sich mit Fragen der Informationssicherheit beschäftigen.

Zunächst entdeckten zwei Softwareentwickler, dass Apples Flaggschiffe iPad und iPhone vom Benutzer unbemerkt nahezu ständig Positionsdaten in einer lokalen Datenbank auf dem Gerät mitloggen und diese auch auf einen mit dem Gerät synchronisierten PC sowie über den Umweg von WLAN-Positionsabfragen auch auf Apple-Server hochladen. Und zwar auch dann, wenn der Benutzer entsprechende Funktionen in den Geräten deaktiviert hat. So entsteht eine Datenbank, welche zwar kein vollständiges Bewegungsprofil des Anwenders, jedoch die Koordinaten von WLAN-Routern und Mobilfunkzellen in seiner Nähe zusammen mit einem Zeitstempel enthält. Sie entwickelten daraufhin eine App namens iPhone Tracker, mit der sich diese Daten auslesen und auf einer Karte grafisch darstellen lassen.

Parallel kämpft Sony derzeit mit wiederholten Hackerangriffen und Datendiebstählen. Zunächst drangen Hacker in die Datenbanken des Playstation-Networks (PSN) und des Musik- und Filmedienstes Qriocity ein und konnten Datensätze von etwa 77 Millionen Nutzerkonten kopieren. Inhaltlich können diese Daten am Schwarzmarkt verkauft und später für gezieltes Spear-Phishing oder Kreditkartenbetrug verwendet werden. Einige Tage später wurde bekannt, dass auch 25 Millionen Nutzerdatensätze des kommerziellen Spiele-Netzwerks Sony Online Entertainment (SOE) abhanden kamen. Wohl bei demselben Raubzug. Schon vor Wochen hatte Sony aus der Szene Hinweise auf bestehende Sicherheitslücken erhalten. Der Konzern hatte diese jedoch ignoriert bzw. war sogar gerichtlich gegen einen Hacker und Homebrew-Programmierer vorgegangen, der es geschafft hatte, sicherheitskritische Teile seiner eigenen Playstation-3-Spielekonsole zu hacken und der dies öffentlich gemacht hatte. Statt den Mann einzustellen und zur weiteren Verbesserung der betreffenden Systemkomponenten einzusetzen, hatte Sony eine einstweilige Verfügung erwirkt, um ihm das Verbreiten seiner Erkenntnisse zu erschweren. Das haben andere Hackergruppen dem Konzern wohl nachhaltig verübelt.

Dann wurde bekannt, dass TomTom, ein Anbieter von Navigationssystemen, gespeicherte Verkehrsdaten der Nutzer an die niederländische Regierung verkauft hatte. So wertet Tomtoms Verkehrsinformationsdienst HD Traffic beispielsweise anonymisierte Bewegungsprofile von Navigationsgeräten mit Internetanbindung sowie von Smartphones mit Tomtom-App aus, um Staus möglichst früh zu erkennen und in die Navigation miteinzubeziehen. Dabei werden auch Daten wie Fahrgeschwindigkeitswerte übermittelt bzw. können durch Zeit/Ort-Differenzabgleich errechnet werden. Mit diesen Daten lassen sich Stellen im Straßennetz finden, wo besonders häufig gegen Geschwindigkeitsbegrenzungen verstoßen wird und wo es daher lukrativ sein kann, „Blitzer“ aufzustellen. Obwohl aus Tomtoms Sicht legal und in verallgemeinerter Form sogar Bestandteil der Nutzungsbedingungen, zeigt diese „Zweitverwertung“ von Nutzerdaten doch, dass Daten auch ganz ohne Zutun von Hackern in falsche Hände gelangen können um dann den Nutzern zu schaden. Kürzlich wurde zudem bekannt, dass Tomtom auch mit der australischen Regierung über solche „Datenzweitverwertungen“ verhandelt. Aus dem ersten Fehler wurde wohl nichts gelernt.

Vor kurzem musste Amazons Cloud-Service EC2 seinen Kunden gegenüber eingestehen, dass es nach einem mehrstündigen Systemausfall zu einem größeren, nicht mehr wiederherstellbaren Datenverlust gekommen ist. Der Dienst, der von Amazon mit dem Motto „Die Cloud, auf die Sie sich verlassen können“ beworben wird, hatte beim Wiederanlaufen mit nicht mehr behebbaren Inkonsistenzen in seinen Datensicherungen zu kämpfen. Wohl dem, der Alternativen in der Hinterhand hatte.

Manche Unternehmen sparen bei der IT-Sicherheit und werden daher Opfer von Hackerattacken, da es leicht ist, bei ihnen Daten abzugreifen. Andere hingegen praktizieren quasi-militärische Hochsicherheitsstandards – und werden ebenfalls Opfer von Hackern, die sich technologisch herausgefordert fühlen. Wieder andere versuchen wie Sony gegen kleinere Ärgernisse aus der Hackerszene gerichtlich vorzugehen. Mit der Konsequenz, dass sich daraus sehr große und rechtlich nicht mehr in den Griff zu bekommende Probleme entwickeln können. Und auch dort wo es aus der Perspektive der Informationssicherheit zu keinen nennenswerten Vorfällen kam, machen sich Probleme mit der Softwarequalität bemerkbar. So gab z.B. Apple bekannt, dass das Geodatenlogging im iPhone letztlich ein Programmierfehler gewesen sein soll. Auch wenn Apple bereits 2009 für etwas von der Idee her sehr Ähnliches ein US-Patent beantragt hat. Patentierte Fehler?

Was ist nun die gemeinsame Konsequenz all dieser Dinge?

Unternehmen nutzen (zu) viele Daten und betreiben (zu) datenintensive Geschäftsmodelle. Wer aber viele Daten nutzt, muss auch umfangreiche, teure und wegen ihrer Komplexität fehleranfällige Maßnahmen zu ihrer Absicherung mit einplanen. Und wird oftmals gleich vom Gesetzgeber zu entsprechender Vorsorge verpflichtet.

Daten haben in Unternehmen also nicht nur den Charakter eines wertvollen Besitzes oder eines notwendigen Produktionsfaktors. Sie werden auch zum Risiko und zum Kostenfaktor. Daher sollten sie nach Möglichkeit sehr sparsam verwendet werden. Geschäftsprozesse sollten den Prinzipien der Datensparsamkeit und Datenvermeidung Rechnung tragen, wie es das Bundesdatenschutzgesetz im §3a für personenbezogene Daten ohnehin fordert.

Es ist ein Stück weit ähnlich wie mit produktionsbezogenem Problemmüll. Er ist oft in hohem Maße giftig oder anderweitig schädlich, so dass er auf spezielle Art und Weise gesichert und entsorgt werden muss. Mehr Müll bedeutet dann höhere Kosten. Vermeidet man Müll, indem man im Produktionsprozess sparsamer und effizienter mit Rohstoffen umgeht, senkt das unmittelbar die Entsorgungskosten sowie die Prozesskosten für die Behandlung und Lagerung der giftigen oder strahlenden Abfälle.

Ähnlich verhält es sich mit den Datenvolumina, der Kritikalität von Daten sowie den Kosten zu ihrer informationstechnischen Absicherung. Auch hier bedeutet ein Weniger an Daten auch ein Weniger an Kosten. Gleichzeitig gehen Unternehmen, die schlampig mit Daten umgehen oder diese sehr einseitig zu ihren Gunsten nutzen, ähnliche Risiken für ihr Ansehen in der Öffentlichkeit ein, wie Firmen, die hochgiftige Abfälle einfach in den Fluss kippen oder auf dem Meer verklappen lassen.

Buchrezension: Web-Sicherheit – Wie Sie Ihre Anwendungen sicher vor Angriffen schützen

Dieses von Sebastian Kübeck verfasste Buch aus dem mitp-Verlag befasst sich mit den Methoden sicherer Softwareentwicklung speziell für webbasierte Anwendungen. Die zugrunde liegenden Überlegungen  sind aber größtenteils auch auf andere Bereiche der Softwareentwicklung übertragbar. Das Buch richtet sich an Softwareentwickler, die sich noch nicht intensiver mit Informationssicherheit und dem Schreiben sicheren Codes befasst haben. Und die somit einen Einstieg in die Themen Informationssicherheit sowie Methoden sicherer Webentwicklung suchen. Aber auch Administratoren webbasierter Systeme können davon profitieren.

Das Buchh ist in drei Teile gegliedert. Im ersten Teil werden nach einer kurzen Einführung in die Geschichte der Informationssicherheit Grundkonzepte der IT-Sicherheit speziell aus der Sicht des Softwareentwicklers erläutert. Dazu zählen Dinge wie die Prinzipien sicherer Softwareentwicklung, Authentisierungsverfahren oder sichere Datenübermittlung durch den Einsatz kryptografischer Verfahren.

Teil zwei befasst sich mit häufig auftretenden Schwachstellen in Softwareprodukten sowie Wegen zu deren Vermeidung. Dazu zählen Filterung und Aufbereitung nahezu jeder Form von Eingabe durch Anwender, um z.B. Code-Injection- und Scripting-Angriffen vorzubeugen. Oder die Vermeidung von Webserver-Konfigurationen durch die Teile der Systemkonfiguration per Suchmaschine erfassbar (Google Hacking) oder durch manuelles Suchen (Path Traversal) erreichbar werden.

Oftmals beginnen Probleme mit der Applikationssicherheit jedoch bereits bei der Verwendung von altbewährten und weit verbreiteten Bibliotheksfunktionen gerade der C-Sprachen, welche direkte Speicherzugriffe ermöglichen und die aufgrund von Implementationsfehlern zu Sicherheitsproblemen wie Pufferüberläufen, Code Injection-Schwachstellen u.ä. führen und daher nicht mehr verwendet werden sollten.

Webanwendungen können auch anfällig für DDOS-Attacken werden, wenn sich in ihnen Code aufspüren lässt, der zu Speicherlecks, Endlosschleifen, Rekursionen mit fehlerhafter Abbruchbedingung führt oder der Wartezeiten auf (schwächere) nachgelagerte Systeme wie z.B. entfernte Datenbanken generiert.

Schließlich gibt Teil drei konkrete Tipps und Hinweise wie man durch qualitätssichernde Maßnahmen wie Pen-Tests, Code Reviews, Softwaretests sowie der Berücksichtigung von Prinzipien sicherer Entwicklung von Webapplikationen seine Software sicherer macht. Hier wird z.B. auch auf (meist quelloffene) Testing-Tools wie Schwachstellen-Scanner, Mustersucher für die Quellcodeanalyse oder Tools zur Testautomation eingegangen.

Stets werden die Erläuterungen im Buch von entsprechenden Codebeispielen (meist in Java oder Javascript sowie in SQL für Datenbankzugriffe) begleitet, in denen die problematischen Stellen nachvollziehbar erläutert werden.

Alles in allem ein  sehr lesenswertes Buch speziell für Softwareentwickler aber auch für generell am Thema sicherer Software interessierter IT-Fachleute. Wobei das Thema Entwicklung sicherer webbasierter Anwendungen gerade im Zeitalter von Cloud Computing und mobiler Apps drastisch an Bedeutung gewinnen dürfte.

Zensus 2011 – gehen der Volkszählung die Volkszähler aus?

Die Planungen für die erste große Volkszählung in Deutschland seit dem Jahrtausendwechsel laufen in den damit befassten Kommunen auf Hochtouren. Zunehmend wird jedoch ein Problem immer deutlicher: Der Mangel an Volkszählern, die im Zensusgesetz auch „Erhebungsbeauftragte“ genannt werden. Die Planungen gehen von etwa 100 Befragungen aus, die ein solcher Erhebungsbeauftragte durchführen soll. Bei einer geplanten Erhebungsquote von 10% benötigt man bundesweit somit etwa 82.000 Freiwillige. Allein in der Landeshauptstadt München mit ihren etwa 1,4 Millionen Einwohnern hätte die Stadtverwaltung etwa 1.400 Volkszähler aufzutreiben. Da sich bislang nur etwa 150 Freiwillige dazu bereitfanden, beschloss der Stadtrat kürzlich vermehrt Beschäftigte der Stadtverwaltung dafür zu verpflichten und ihnen einen Teil der erforderlichen Zeit als Arbeitszeit anzurechnen, wie man dem öffentlichen Ratsinformationssystem des Münchner Stadtrats entnehmen kann.

Sollten die Deutschen den Zensus etwa ebenso wegboykottieren wollen, wie derzeit die E10-Einführung?

Das Zensusgesetz stellt in § 11 einige Anforderungen an die Erhebungsbeauftragten. Ebenso das Bundesstatistikgesetz in § 14. Sie müssen eine Verpflichtung auf das Daten- und Statistikgeheimnis unterschreiben, dürfen ggf. gewonnene Informationen nicht für andere Zwecke als den Zensus verwenden und dürfen aus Datenschutzgründen nicht in der unmittelbaren Nähe ihrer Wohnung eingesetzt werden. Menschen deren (neben)berufliche Tätigkeit Interessenskonflikte vermuten lässt (z.B. GEZ-Beauftragte, Struktur- und Finanzvertriebler aber auch Beschäftigte der Leistungsabteilungen diverser Sozialbehörden), dürfen nicht als Volkszähler eingesetzt werden.

Was also werden die Verwaltungen tun, wenn sie nicht genügend Volkszähler finden? Grundsätzlich könnten sie Personen auch gegen deren Willen zwangsweise zum Zählen verpflichten. Das Zensusgesetz sieht im bereits erwähnten § 11 eine Möglichkeit der Verpflichtung weiterer Bürger und Bürgerinnen zur Übernahme der Tätigkeit als Erhebungsbeauftragte durch Landesrecht vor. Doch können Zwangsdienstverpflichtete tatsächlich den Anforderungen hinsichtlich Zuverlässigkeit und Verschwiegenheit genügen? Und was wenn sie sich schlicht weigern, die erforderlichen Datenschutzverpflichtungen zu unterschreiben? Werden diese dann durch (grundsätzlich rechtsmittelfähige) Verwaltungsverfügungen ersetzt analog zu den sog. „Eingliederungsvereinbarungen“ der Arbeitsagenturen?

Und was wenn zwangsverpflichtete, dem Zensus eher kritisch gegenüberstehende Zeitgenossen ihr Dasein als Volkszähler dazu nutzen, die Befragten in politische Gespräche über Sinn und Unsinn von Vorratsdatenspeicherung, Schnüffelstaat, Elena, Bürgerrechtsabbau zu verwickeln? Sowie Tipps geben, was dagegen getan werden kann. Oder ihr Zählpensum schlicht nicht schaffen sondern nach genau so vielen Interviews abbrechen, wie sie mit ihrer Freistellung eben hinbekommen? Falls sie nicht vorher krankheitsbedingt ausfallen und ihr Zählpensum vom jemand anders übernommen werden muss, um termingerecht zu einem Ergebnis kommen zu können.

Vielleicht sollte man in der Öffentlichkeitsarbeit zum Zensus auch die Aufwandsentschädigungen (einige Euro pro Interview) deutlicher herausstellen und gezielt Langzeitarbeitslose und Leute in Beschäftigungsmaßnahmen ansprechen.

Interessante Fragestellungen – zumal die Probleme ja oft in den rechtlichen Details stecken und der Teufel oftmals ein Eichhörnchen ist …

Scareware – Mit Nervsoftware abkassieren

Es gibt viele Möglichkeiten, mit Schadsoftware Geld zu verdienen. Eine, die eher auf Trickbetrug, als auf Diebstahl von Daten oder Rechnerkapazitäten hinausläuft, ist sog. „Scareware“. Das ist Software, die den Nutzer verängstigen und verwirren soll, um ihn so zu Handlungen zu verleiten, von denen der Autor profitiert. Wenn man will also automatisiertes Social Engineering.

Das Prinzip ist einfach: Dem surfenden PC-Nutzer wird beispielsweise eine kostenlose Analyse seines Rechners auf Viren angeboten. Kostenlose und gute Virenkiller gibt es ja von mehreren Anbietern. Dazu muss er lediglich ein Programm aus dem Internet herunterladen, installieren und starten. Tut er dieses, so generiert das Programm rasch und mit zunehmender Häufigkeit und Penetranz Warnmeldungen, dass dieser oder jener Virus im System sei und das man möglichst rasch eine kostenpflichtige Sicherheitslösung kaufen, runterladen und einspielen möge. Bis hin zur Unbenutzbarkeit des Rechners, weil fast jeder Vorgang mit diesen Warnmeldungen unterbrochen wird. Folgt man den Hinweisen und lädt das zu bezahlende Update herunter, ist für einige Zeit Ruhe bis es erneut losgeht.

Nur: Es war zu keiner Zeit echte Schadsoftware auf dem Rechner. Dem Nutzer wurde lediglich vorgegaukelt, er hätte ein Problem. Das Problem kam erst mit dieser Art von Trickbetrug auf seine Festplatte. Das Prinzip der Scareware setzt auf den eher unmündigen, arglosen und neugierigen Nutzer, der viel ausprobiert und die oft eher kryptischen Meldungen inhaltlich nicht hinterfragt. Im schlimmsten Fall hat der Nutzer durch das Installieren der Scareware auf seinem Rechner erst vormals noch nicht vorhandene Sicherheitslücken aufgerissen. Schließlich läuft das Programm in aller Regel mit den (meist recht weitreichenden) Rechten des Benutzers und hat vollen Zugriff auf seine Daten.

Das Prinzip ist nicht wirklich neu. Heise Security berichtete bereits 2008 darüber.

Linux-Anwender sind hier, wie oftmals bei Schadsoftware außen vor, da sich deren Entwickler meist auf das deutlich verbreitetere Windows-Ökosystem konzentrieren.

Ein typischer Vertreter dieser Gattung von Nervsoftware ist „System Tool 2011“, eine Art Trojaner, der sogar als Drive-by-Download allein durch ungeschütztes Surfen im Internet seinen Weg auf die lokale Festplatte finden kann. Der aber auch von interessierten Nutzern oftmals gezielt runtergeladen und installiert wird.

Bis zu 100 Infektionen meldet das Tool bereits nach dem ersten Prüflauf. Allerdings existiert davon keine tatsächlich. Dafür wird man von System Tool rasch zum Bezahl-Dialog geführt, um die fiktiven Schädlinge sowie sein reales Geld loszuwerden. Mit ca. 50 $ für eine 24-Monatslizenz ist man dabei.

Richtig dreist wird die Scareware, wenn sie zur „Ransomware“  (ransom: Lösegeld) mutiert und Teile der Datenbestände des Benutzers löscht, verschlüsselt oder auf andere Art unbrauchbar macht – bis er diese durch Bezahlung einer Gebühr per Kreditkarte ins Ausland wieder auslöst.

Letztlich hilft da nur die Installation eines „richtigen“ Schutzprogramms gegen Schadsoftware aller Art. Es bringt i.d.R. Filter und Signaturen mit, die solche, auch PUPS („possibly unpopular software“) genannten Programme, erkennen und entfernen können.

Außerdem lohnt es sich, sich an die „12 Geboten der sicheren Computernutzung“ zu erinnern und nichts, das zum Ausprobieren aus dem Internet runtergeladen wurde, auf seinem Arbeits-PC zu installieren. Wer es sich gar nicht verkneifen kann, sollte hierfür einen isolierten Testrechner oder eine virtuelle Maschine innerhalb einer gesicherten Virtualisierungsumgebung verwenden.

Zensus 2011 – die nächste große Volkszählung rollt an

In den kommenden Wochen wird etwas geschehen, dass es in Deutschland seit 1987 nicht mehr gab: Volkszählungsbeauftragte werden mit Fragebögen ausschwärmen, um im Rahmen einer „Zensus 2011“ genannten Volkszählung per Fragebogen und Interview Daten zu sammeln.

Mit dem der Volkszählung zugrunde liegenden Zensusgesetz wird die EG-Verordnung 763/2008 in deutsches Recht umgesetzt. In ihr verpflichteten sich die EU-Mitgliedsstaaten, in regelmäßigen Abständen Volkszählungen durchzuführen und dabei bestimmte Daten an das Statistische Amt der Europäischen Union (EuroStat) zu übermitteln.

Die letzte große Volkszählung (geplant für 1983, verzögert durch Verfassungsklagen letztlich bis 1987) führte zu enormen zivilgesellschaftlichem Protest und endete letztlich von dem Bundesverfassungsgericht, dass den Staat in seine Schranken wies und das Recht auf informationelle Selbstbestimmung als Ausprägung des Art 2 GG ausformulierte.

Grundsätzlich sind Volkszählungen eine gute und in gewissen Abständen auch notwendige Angelegenheit. Sie dienen dazu Entscheidungen in Politik und Verwaltung mit Daten und Fakten zu untermauern. So sind z.B. gerade im kommunalen Bereich Entscheidungen über den Ausbau von Infrastrukturen, die Priorisierung knapper Mittel oder die Gestaltung von Bebauungsplänen davon abhängig, über relativ aktuelle Zahlen bzgl. Größe und demografischer Verteilung der Bevölkerung zu verfügen.

Aus diesem Grund wird auch seit 1957 jährlich eine „kleine Volkszählung“, der sog. Mikrozensus durchgeführt, bei der etwa 1% der Bevölkerung nach dem Zufallsprinzip ausgewählt und befragt wird.

Allerdings verfügte der Staat zu keiner Zeit über so viele und so genaue Informationen (sowie die Möglichkeiten zu deren Verarbeitung) wie heute. Die Qualität politischer Entscheidungsfindung wurde dadurch jedoch gerade nicht verbessert. Auch weiterhin sind politische Entscheidungsprozesse oftmals von Beratungsresistenz, dem Ignorieren gegebener Fakten, der Fehlinterpretation bzw. dem parteipolitisch / ideologisch motivierten Hinbiegen von Sachverhalten sowie ganz allgemein von Dummheit, Faulheit und Ignoranz den Betroffenen gegenüber geprägt. Ein Mehr an Informationen führt bei gleichbleibenden politischen Strukturen und Personalien also nicht zu Verbesserungen. Politische Problemherde wie das Zugangserschwernisgesetz, Stuttgart 21 oder das E10-Desaster belegen das in erschreckender Regelmäßigkeit.

Umgekehrt können Volkszählungen, die zu sehr umfangreichen Datenbeständen führen, auch Tür und Tor für Missbräuche aller Art führen. Denn nur solche Datenbestände, die überhaupt entstanden sind, können abhandenkommen oder gegen die Interessen der Betroffenen verwendet werden. Insbesondere Daten, das persönliche Leben der Gezählten, deren ethnische / sexuelle / politische / gesundheitliche / finanzielle / religiöse / weltanschauliche Orientierung betreffend, sind da als heikel zu betrachten. Nicht umsonst sieht das Bundesdatenschutzgesetz dafür im § 3a die Prinzipien der Datensparsamkeit und der Datenvermeidung vor. Und deklariert im § 3 Abs. 9 Informationen über „die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben“ von Menschen als besonders schützenswert.

Es darf durchaus bezweifelt werden, dass die so zusammengetragenen Datenbestände vor Hacker-Angriffen, Diebstahl, Missbrauch und Datenverarbeitungsfehlern hinreichend geschützt werden können. Insbesondere da ja z.B. gerade die deutsche Regierung mit Plänen wie Elena, dem Beschäftigtendatenschutzgesetz oder den Plänen zur Vorratsdatenspeicherung eine fast schon kriminell zu nennende Leichtsinnigkeit bei solchen Fragen an den Tag legt.

Als die Nationalsozialisten mit gezielten Deportationen jüdischer Mitbürger begannen, profitierten sie davon, dass sie aufgrund ihrer gründlichen Volkszählungen und einer gut funktionierenden Verwaltung über ein für damalige Verhältnisse sehr gut gepflegtes Personenstandsregister und zahlreiche andere (damals noch analoge) Vorratsdatenspeichertöpfe wie z.B. das Arbeitsbuch, das Gesundheitsstammbuch, eine Meldepflicht, die Volkskartei sowie Personenkennziffern verfügten.

Im Gegensatz zur Volkszählung 1987 hat der Zensus 2011 bisher kaum mediale Beachtung gefunden. Was auch daran liegt, dass er relativ aufwandsarm organisiert wurde. Nur ca. 10% der Bevölkerung werden tatsächlich einen „Erhebungsbeauftragten“ zu sehen bekommen. Allerdings ist für bestimmte Personengruppen, an denen der Staat ein besonderes Interesse hat, eine Vollerhebung geplant. Dazu zählen u.a. Immobilieneigentümer sowie Bewohner sog. „sensibler Sonderbereiche“ wie Notunterkünfte, Flüchtlingslager, psychiatrischer Kliniken sowie Gefängnisse. In diesen Sonderbereichen sollen die Daten jedoch nicht von deren Bewohnern sondern stellvertretend von der Anstalts- bzw. Lagerleitung erhoben werden.

Wer vorab einen Blick in die Fragebögen werfen will, kann dies hier tun.

Sehr viele Informationen werden statt durch Direkterhebung aus diversen, bei Behörden geführten Datenquellen, wie etwa dem Einwohnermelderegister, dem Anschriften- und Gebäuderegister oder den Daten der Arbeitsagenturen abgezogen. Das ist streng genommen illegal, da diese Daten zum Zeitpunkt ihrer Erfassung ja mit einem datenschutzrechtlichen Zweckbezug belegt wurden. Daher hat sich der Gesetzgeber in Form des Zensusvorbereitungsgesetztes (ZensVorbG) eine Rechtsgrundlage als Erlaubnis geschaffen, die es ihm ermöglicht, diese Daten zweckzuentfremden.

Dies ist auch einer der Hauptkritikpunkte der Zensusgegner wie z.B. dem Arbeitskreis Vorratsdatenspeicherung. Denn wenn sich der Staat einmal einen Persilschein für den Datenzugriff ausstellt, kann er es jederzeit wieder tun. Daneben sehen sie etliche Detailfragen als ungeklärt bzw. kritikwürdig an.

Zumal auch Gruppen am Zensus 2011 ein Interesse haben, an welche die statistischen Ämter überhaupt nicht gedacht hatten. So empfahlen z.B. einige NPD-Landesverbände engagierten Mitgliedern, sich als Freiwillige für das Volkszählen zu melden. Denn dabei könnte man im Rahmen der Interviews so einiges über die Mitmenschen erfahren, was sich auch für die Parteiarbeit vor Ort verwenden lässt. Auch für andere Gruppierungen wie z.B. Scientology, Strukturvertriebe oder Trickbetrüger ist der Zugang zum Bürger per Zensus eine überlegenswerte Sache – Social Engineering von Staats wegen sozusagen. Zumal die Kommunen, welche die Volksbefragung durchführen, den persönlichen Hintergrund der Freiwilligen nicht näher hinterfragen oder prüfen.

Während die Befragten zwar verpflichtet sind, am Zensus teilzunehmen, müssen sie den Interviewern keine Fragen beantworten und diese auch nicht in ihre Wohnung lassen. Man kann sich stattdessen auch die Fragebögen aushändigen lassen und den Interviewer weiterziehen lassen.

Allerdings können die Erhebungsbeauftragten schon von sich aus den Wert der erhobenen Daten deutlich schmälern. Den sie dürfen beim Nichtantreffen der zu Befragenden auch Familienangehörige, Minderjährige und Nachbarn befragen. Von den Volkszählern dürfen auch Informationen erfasst werden, die z.B. über die Wohnung von außerhalb aus in Erfahrung zu bringen sind. Da können schon mal Dichtung und Wahrheit durcheinanderkommen.

Trotz der grundsätzlichen Sinns, den ich in Volkszählungen erkennen kann, verbleibt eine gute Portion Skepsis, da ich der Politik fast jeden Unsinn zutraue und sie bereits etliche Male grundsätzlich sinnvolle Dinge nach allen Regeln der Kunst gegen die Wand gefahren hat.

Das scheint auch dem Gesetzgeber bewusst gewesen zu sein, weswegen er auch einen Auskunftszwang sowie ein Bußgeld von bis zu 5.000 € (§ 23 BStatG) bei dessen Verweigerung vorgesehen hat. Er traut dem Volke anscheinend ebenso wenig wie umgekehrt.