Klemmt bald ein Trojaner Tausende vom Internet ab?

Im November letzten Jahres konnte das amerikanische FBI einen großen Ermittlungserfolg verzeichnen. Im Rahmen der multinational koordinierten Operation „Ghost Click“ gelang es ein Bot-Netz mit ca. vier Millionen von zusammengeräuberten Rechnern verteilt auf ca. 100 Ländern durch Einnahme der C&C-Server in New York stillzulegen.

Über einen Trojaner namens „DNS-Changer“ wurden die Rückmeldungen aus DNS-Abfragen auf den betroffenen Rechnern so manipuliert, dass sie zu den C&C-Servern des Botnetzes statt auf reguläre DNS-Server führten. Im Code von DNS-Changer fand man u.a. eine IP-Adresse, die zum Netzwerk des estnischen Providers Esthost gehörte. Esthost ist ein Tochterunternehmen von Rove Digital. Unter den vom FBI im November verhafteten Personen befand sich auch eine Führungskraft von Rove Digital. Laut der IT-Sicherheitsfirma Trend Micro sei bereits 2008 bekannt gewesen, dass das Unternehmen diverse kriminelle Kunden habe. Man habe diese Informationen aber vor der Öffentlichkeit zurückgehalten, um die Arbeit der Ermittlungsbehörden nicht zu stören.

Die gut Hundert vom FBI in New York in einem Rechenzentrum sichergestellten Server wurden zunächst weiter betrieben, auch wenn keine Botnetz-Aktivitäten mehr darüber abgewickelt werden. Doch am 8. März sollen die noch verbliebenen Botnetz-Server endgültig vom Netz gehen. Damit den infizierten Bots dadurch mangels korrekter DNS-Serververbindung nicht dasselbe wiederfährt, wäre es für deren Besitzer inzwischen an der Zeit, zu klären ob sie mit „DNS-Changer“ infizierte Rechner haben oder nicht.

Daher hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) zusammen mit der Telekom unter www.dns-ok.de eine Schnelltest-Website eingerichtet, mit der man prüfen kann, ob der eigene Rechner befallen ist oder nicht. Dabei wird keine Software gestartet oder heruntergeladen. Die Seite überprüft nur, ob der eigene Rechner über einen der DNS-Server des Bot-Netzes geleitet wird oder nicht.

Ist das aber der Fall werden die Dinge schwierig. Zwar können viele Antivirenprogramme wie z.B. der kostenlose DE-Cleaner des Anti-Botnet-Beratungszentrums den DNS-Changer deaktivieren. Da sich dieser Trojaner jedoch per Rootkit-Funktionen sehr tief im befallenen System verankert, kann er oftmals nicht mehr rückstandsfrei entsorgt werden. Die verbleibenden Schadcodereste stellen jedoch ein Sicherheitsrisiko dar, das man nur noch durch ein komplettes Neuinstallieren des betroffenen Systems wieder los wird.

Sind Polizeicomputer wirklich sicher?

Die Anzahl bekannt gewordener erfolgreicher Angriffe auf die IT großer Unternehmen und staatlicher Institutionen hat seit Jahresanfang „gefühlt“ deutlich zugenommen. Kürzlich hat es auch die Bundespolizei erwischt. Im Juli waren Hacker, die sich selbst der „No Name Group“ zurechnen, in einen Server des Zolls eingedrungen, der als Software-Downloadrechner zur behördeninternen Verteilung von Software-Updates eingesetzt wurde. So konnten sie durch die Einspeisung manipulierter Updates ein verteiltes System zur Ermittlungsunterstützung und Zielverfolgung angreifen und daraus Daten kopieren. Dazu zählten u.a. Bewegungsprofile und Positionsdaten von GPS-Peilsendern an den Fahrzeugen überwachter Personen. Die Hacker stellten diese Daten anschließend ins Internet, die Polizei musste die Nutzung der betroffenen Systeme vorübergehend einstellen und einen außerplanmäßigen Sicherheitsaudit durchführen.

Unklar ist, ob es sich dabei tatsächlich um Daten aus Ermittlungsverfahren handelt, bei denen ein Richter die Überwachung Verdächtiger erlaubt hat. Denkbar wäre zum Beispiel auch, dass die Behörden eine neue Software zur Analyse von Bewegungsprofilen in einem Feldversuch getestet haben, wie Spiegel Online vermutete.

Zwischenzeitlich konnten die intensiv ermittelnden Ordnungshüter mehrere Verdächtige festnehmen, darunter auch der Hacker „Darkhammer“, der sich in der Hacktivistenszene bereits im Zusammenhang mit Hackerangriffen auf NPD-Websites einen Namen machte.

Das wirft die Frage auf, wie sicher die IT-Systeme von Behörden eigentlich sind, die als Folge der Versicherheitsstaatlichung Deutschland immer mehr und immer sensiblere Daten der Bürger beinhalten. So hatten bereits 2010 Hacker Systeme des Zolls angegriffen und mit Trojanern infiziert, was trotz vorhandener Virenschutzsoftware erst Mitte 2011 bemerkt wurde.

Die bereits erwähne Revision der Zollsystem ergab jedenfalls gravierende Mängel, wie es in einem vertraulichen Bericht heißt, der seinen Weg in die Spiegel-Redaktion fand. Veraltete Hardware und Software, nicht vorhandene oder unzureichend ausgelegte Sicherheitssysteme, Mängel im technischen Datenschutz – und das in einem System, welches sensible Daten über verdeckte Ermittler, V-Leute und geheime Operationen enthält.

Neben der Technik fehlt es der Bundespolizei aber wohl auch am qualifizierten Personal. So fehlten an Schlüsselpositionen geeignete Mitarbeiter, die Fehler feststellen und beheben könnten. Dazu aber wären sie, dem Revisionsbericht zufolge aber wegen mangelhafter Systemdokumentation ohnehin kaum in der Lage. Hinzu kämen Defizite im Konfigurations- und Rechtemanagement, in der Zugriffsprotokollierung, in der Handhabung mobiler Datenträger sowie beim Fernzugriff, der über unverschlüsselte Klartextprotokolle abgewickelt würde.

Und so kamen die Prüfer zu dem vernichtenden Ergebnis, dass Hacker nach wie vor in das Polizeinetz eindringen könnten, um dort relativ einfach an geheime Daten gelangen, die Software manipulieren und systemrelevante Einstellungen verändern zu können.

Doch warum ist das so?

Der Kern des Problems dürfte schlicht darin bestehen, dass es der Bundespolizei am Budget für angemessene Ausstattung auf aktuellem Stand der Technik fehlt. Und dass entsprechend qualifizierte Sicherheitsexperten gehaltstechnisch kaum noch in die Tarif- und Besoldungssysteme des öffentlichen Dienstes einzupassen sind, während gleichzeitig Personaleinsparungen und Haushaltskonsolidierungen laufen. Ein Zielkonflikt, der künftig häufiger zu Kollateralschäden in Form gehackter Rechner und abhanden gekommender Behördendaten führen dürfte.

Cyber-War und Cyber-Abwehr

In den letzten Monaten nahm die medial gefühlte Aktivität von Hackergruppen weltweit zu. Allerdings sagen die Jahresberichte diverser mit Fragen der IT-Sicherheit befassten Institutionen ebenfalls seit Längerem solche Entwicklungen voraus. Das macht IT-Sicherheit zunehmend zu einem politischen Thema, so dass Staaten Institutionen aufbauen, die sich mit dem Schutz kritischer Infrastrukturen sowie möglichen Krisenreaktions- und Gefahrenabwehrstrategien befassen sollen.

Dazu zählt auch das in Deutschland von Bundesinnenminister Friedrich kürzlich eingeweihte Nationale Cyber-Abwehrzentrum (NCAZ), das bundesweit Informationen über IT-Sicherheitsvorfälle zu bewerten und abgestimmte Handlungsempfehlungen entwickeln soll und mit zunächst zehn Beschäftigten startet. Es wird vom Bundesamtes für Sicherheit in der Informationstechnik (BSI) mit direkter Beteiligung des Bundesamtes für Verfassungsschutz (BfV) und des Bundesamtes für Bevölkerungsschutz und Katastrophenhilfe (BBK) sowie dem Bundeskriminalamt (BKA), der Bundespolizei (BPol), dem Zollkriminalamt (ZKA), der Bundesnachrichtendienst (BND) sowie der Bundeswehr als assoziierte (zuarbeitende) Behörden gebildet.

Wobei die Bundeswehr bereits seit 2009 eine in der Tomburg-Kaserne in Rheinbach nahe Bonn stationierte Einheit „Informations- und Computernetzwerkoperationen“ unterhält, in der Soldaten für  digitale Angriffs- und Abwehroperationen vorbereitet werden. Sie wurden meist aus den Fachbereichen für Informatik an den Bundeswehruniversitäten rekrutiert und sollen der Armee operative Handlungsfähigkeit für kommende Internet-Konflikte geben, wie sie z.B. Estland bereits 2007 mit massiven dDOS-Attacken auf die Webserver öffentlicher Einrichtungen erlebte.

Hinzu kommt das CERTBw, eine Einheit die für die zentrale Überwachung der IT-Sicherheit der Bundeswehr zuständig ist und die ebenfalls mit etlichen anderen Behörden des zivilen Bereichs wie der Bundespolizei und dem BSI kooperiert. Zumindest informationstechnisch ist die Trennung zwischen Armee und Zivilsektor sowie die relative Inaktivität der Bundeswehr im Inneren längst Geschichte. Auch international haben sich die Streitkräfte bereits vor Jahren vernetzt und führen auch gemeinsame „Cyber-Manöver“ durch.

Kernaufgabe der nationalen Cyber-Abwehr soll der Schutz kritischer Infrastrukturen sein, also Dinge wie Energieversorgung, Finanzwesen, Verkehrsleittechnik, Flugverkehr, medizinische Versorgung usw., deren Beeinträchtigung durch informationstechnische Attacken schwerwiegende Folgen für die Bevölkerung haben kann.

Allerdings werden diese Aktivitäten durchaus auch kritisch gesehen. Macht- und Informationsbündelungen beim Staat haben selten positive Folgen – zu sehr locken Missbrauchsmöglichkeiten die stets nach Zugang zu Macht und Mitteln strebenden politischen Eliten. Und gerade die deutschen Innenminister der letzten fünfzehn Jahre haben bekanntlich mehr grundgesetzwidrige Vorhaben von echter Bedeutung losgetreten als alle, im jährlich erscheinenden Verfassungsschutzbericht genannten Organisationen zusammengenommen.

Wenn dann noch Dinge hinzukommen, wie die „Kriegserklärung“ der fast-schon-pleitegegangenen US-Regierung, die kürzlich ankündigte, auf Cyber-Attacken ggf. mit dem Einsatz konventioneller Waffen zu reagieren, trägt das nicht eben dazu bei, an Vernunft und Maß in den Köpfen ohnehin oft mit netzpolitischen Themen überforderter Politiker zu glauben. Sahen doch schon in den 80ern die Macher des Spielfilms „War-Games“ voraus, dass jugendlicher Spieltrieb und lose sitzendes Schießgerät in den Händen von Politikern und Militärs ohne wirksame öffentliche Kontrolle keine allzu gute Idee sind (im Film konnte der dritte Weltkrieg eben noch so verhindert werden).

Zumal es im Internet kaum verlässlich festzustellen ist, woher ein Angreifer kommt und ob er im Dienste eines Staates oder für private Klienten tätig ist. So wäre es z.B. für chinesische Hacker problemlos möglich, über Rechner in Russland in deutsche Rechenzentren einzudringen und darüber Ziele in den USA oder sonstwo anzugreifen (was auch häufiger geschieht). Für Abwehrkräfte wird es da schwierig, klar zu erkennen wer der Feind ist und von wo aus er womit angreift. Militärische Denkschemata kommen da rasch an ihr Ende.

So wie es inzwischen private Söldnerfirma gibt, die Armeen mit Soldaten aufstocken, deren Tod auf dem Schlachtfeld für die Politiker zuhause keine negativen Konsequenzen hat, so ist es wohl auch nur eine Frage der Zeit, bis private „Cyber-Söldner-Unternehmen“ von Hackern und Wirtschaftsspionen bedrohten Firmen informationstechnische Feuerkraft für verdeckte Operationen mit nicht immer ganz legaler Zielsetzung anbieten werden. Zumal wir ja auch in Deutschland bereits Datenmissbrauchsskandale wie z.B. 2008 bei der Telekom oder 2009 bei der Deutschen Bahn hatten, bei denen freidrehende interne Sicherheitsabteilungen eine gewichtige Rolle spielten.

Realweltlich beschäftigt sich die Cyber-Abwehr im öffentlichen Sektor aber mit gewöhnlicheren Problemen. So hat z.B. die Polizei, die bereits seit Jahren hart am Auf- und Ausbau ihrer IT-forensischen Aufklärung arbeitet, schlicht damit zu kämpfen, dass die benötigten IT-Spezialisten kaum sinnvoll in die öffentlich-rechtlichen Besoldungsschemata und Entgeltordnungen einzupassen sind. Denn deren Gehaltsansätze wurden lange Zeit nicht angemessen fortgeschrieben, so dass staatliche Institutionen auf Personalsuche immer häufiger von den Firmen überboten werden, von denen sie sich anschließend teure externe Berater einkaufen müssen, um ihre Projektteams aufzustocken. Ein Problem mit dem sich auch das neue Cyber-Abwehrzentrum bald herumschlagen dürfte.

Auch sich in der Asservatenkammer stapelnde, beschlagnahmte Festplatten aus Hausdurchsuchungen nach Kinderpornografie oder Urheberrechtsverletzungen durchzusehen, ist nicht unbedingt die Traumvorstellung eines Informatikers mit Hacker-Know-how, der vom Kampf gegen weltbedrohende Cyberkrieger träumt. Aber Drecksjobs und Tagesgeschäft gibt es eben überall.

Es bleibt also abzuwarten, wohin sich das Thema Cyber-Abwehr noch entwickelt. Festzuhalten bleibt, dass Deutschland mit seinem Cyber-Abwehrzentrum lediglich eine Entwicklung nachvollzieht, die in zahlreichen anderen Staaten bereits stattgefunden hat.

Hacker-Linux Backtrack 5 – Die neu bestückte Werkzeugkiste des IT-Sicherheitsexperten

Es ist immer wieder erstaunlich, was die weltweite Open-Source-Community so möglich macht. Programmierumgebungen, Tools und andere Software, die noch vor wenigen Jahren nur für viel Geld (oder als illegale Kopie) erhältlich war, ist heute kostenlos für Jedermann verfügbar. Dazu zählt „Backtrack“, eine auf Ubuntu basierende Linux-Distribution speziell für Sicherheitsexperten, Pen-Tester und anderweitig an Security- und Hacker-Tools interessierten Leuten. Das bekannte Hacker-Linux ist kürzlich in der Version 5 „Revolution“ erschienen. Zahlreiche darin enthaltene Tools wurden runderneuert und auch Linux-Kernel (2.6.38) und sonstige Komponenten wurden auf den aktuellen Stand gebracht. Große Teile des zugrunde liegenden Systems wurden sogar komplett neu entwickelt und zusammengestellt, so dass ein Upgrade von Backtrack 4 zu Backtrack 5 nicht möglich ist. Zuviel hat sich „unter der Motorhaube“ getan, so dass man um eine Neuinstallation nicht herumkommt.

Auf www.backtrack-linux.org wird Backtrack 5 als ISO-Datei oder VMWare-Image für 32- und 64bit-Systeme angeboten. Wahlweise mit vorkonfigurierter KDE- oder Gnome-Oberfläche. Einmal auf DVD gebrannt, kann man Backtrack 5 als Live-System einsetzen oder auch direkt auf einem Rechner installieren. Oder Backtrack als virtualisierte Umgebung nutzen. Ein Blog, ein Wiki, ein Forum sowie ein Tutorials-Bereich bieten Tipps und Infos für den Einstieg an.

Backtrack 5 kann wie auch die vorherigen Versionen per Shell oder GUI bedient werden. In letzterer sind die zahlreichen Tools geordnet nach Kategorien abrufbar.

Die Backtrack-Entwicklergemeinde bezeichnet Backtrack als „das am weitesten verbreitete Framework für Penetrationstests, das weltweit von der Security-Community eingesetzt wird“. Was aufgrund der gut 350 darin enthaltenen Tools, darunter Spezialwerkzeuge zum Finden von Systemschwachstellen sowie für forensische Netzwerkanalysen, auch nicht verwundert.

Wie aber finanzieren die Backtrack-Entwickler ihr Dasein, wenn sie dieses dicke Softwarepaket einfach so verschenken? Die meisten sind selbst als IT-Sicherheitsberater tätig. Sie setzen ihr eigenes Werkzeug ein und gewinnen mit der weiteren Verbreitung der Backtrack-Distribution an fachlicher Reputation. Andere haben entdeckt, dass das Arbeiten mit Backtrack sowie der Einsatz aktueller Hackertechniken durchaus auch Gegenstand von Schulungen sein kann, die sie unter dem Label „Offensive Security“ anbieten.

Auch hier gilt wieder: Nicht alles was kostenlos erhältlich ist, darf auch überall ausprobiert werden! In Deutschland bewegt man sich damit dank des „Hackerparagraphen“ in einer rechtlichen Grauzone. Verwenden Sie die Werkzeuge von Backtrack daher nur im Zusammenhang mit Ihren eigenen Rechnern.

Für Hobbyhacker und Einsteiger in das Thema technische IT-Sicherheit empfiehlt sich daher zunächst ein rechtlich sicheres „Übungsgelände“. Auch dafür gibt es die passende Linux-Distro: Damn Vulnerable Linux (DVL). Mit der Distribution ist es möglich, ein System mit unterschiedlichsten Sicherheitslücken zu simulieren, mittels diverser Testprogramme zu überprüfen und letztendlich zu schließen. Sie wird üblicherweise im Umfeld von Schulungen für Sicherheitsexperten eingesetzt, kann aber auch zum Privatgebrauch verwendet werden. Für Sommer 2011 ist eine runderneuerte Version 2.0 von DVL angekündigt.

Kommt jetzt das Ende des Internetsperrengesetzes?

Gut gemeint ist im Ergebnis oftmals das Gegenteil von gut gemacht. Das musste auch die CDU und speziell deren ehemalige Bundesfamilienministerin „Zensursula“ von der Leyen erfahren. Diese wollte sich 2009 im Zuge des anstehenden Wahlkampfes mit einem Gesetz zur Bekämpfung der Kinderpornografie hervortun, ignorierte dabei aber jede Form von fachlichen Erkenntnissen hierzu und war sich sogar nicht zu schade, in der laufenden politischen Diskussion falsche Behauptungen und manipulierte oder bewusst falsch interpretierte Statistiken zu verbreiten.

Letztlich war der politische Druck so groß, dass die Regierung das Gesetz zwar in Kraft setzte, aber auf dessen Vollzug verzichtete. An sich ein sehr merkwürdiges Verfahren, da geltendes Recht nicht einfach per Verfügung außer Kraft gesetzt werden kann. Will man ein Gesetz nicht mehr, so muss man es auf dem gleichen Weg wieder abschaffen, auf dem man es in die Welt gesetzt hat: per Parlamentsbeschluss im Bundestag.

Das zumindest hat die Regierung vorgestern im Kabinett beschlossen. Das „Zensursula“-Gesetz ist damit möglicherweise bald Geschichte.

Ausschlaggebend war die an sich banale Erkenntnis, dass es effektiver ist, Kinderpornografie zu löschen anstatt nur den Zugriff darauf mit z.T. leicht zu umgehenden Filtern zu erschweren. Zumal sich die meisten Internet-Provider kooperativ zeigten und gemeldete Funde zügig von ihren Servern putzten. Schließlich ist Kinderpornografie fast weltweit illegal und daher leicht in den jeweils verwendeten vertraglichen Vereinbarungen mit Kunden so einzuordnen, dass die Provider sie ohne Bedenken hinsichtlich zu erwartender Klagen der Kunden löschen können.

Zumal etwa 80% der weltweit verbreiteten Kinderpornografie gar nicht über öffentlich zugängliche Websites angeboten wird. Stattdessen werden geschlossene Benutzergruppen, Chatrooms, Tauschbörsen und andere Formen des klandestinen Datenaustauschs genutzt, die einen hohen Grad an Anonymität gewährleisten und die mit einfachen Filtersystemen so gut wie gar nicht zu beeinträchtigen sind. Da ist schlicht gute alte Polizeiarbeit gefragt: fahnden, forschen, ermitteln, festnehmen, anklagen. Und inzwischen lese ich ja auch alle paar Monate, dass Polizeiermittler den einen oder anderen Kinderpornoring ausheben. Das sind dann auch größere Schläge gegen die „Szene“, die es ermöglichen Täter realweltlich zur Verantwortung zu ziehen und Bestände an kinderpornografischem Material endgültig zu vernichten (einschließlich aller Sicherheitskopien). Das ist allerdings auch eher unpopulär, unspektakulär und ungeeignet zur politischen Profilierung.

Andererseits ist der Regierung nahezu alles zuzutrauen. Gut möglich, dass das Thema Internetzensur über den Umweg EU wieder in den politischen Prozess eingebracht wird. Das geschah bereits in der Vergangenheit öfter, wenn es darum ging unpopulären Vorhaben den Weg zu ebnen, für die man auf demokratischem Wege keine Mehrheiten bekam oder für die niemand persönlich geradestehen wollte. Aktuelle Beispiele dafür sind die Ergebnisse der ACTA-Verhandlungen oder die „Censilia“-Debatte.

Und auch Bundesinnenminister Friedrich (CDU) dürfte aufgemerkt haben. Will er doch unter dem euphemistisch gewählten Begriff der „Mindestspeicherfrist“ die vom Bundesverfassungsgericht verworfene Vorratsdatenspeicherung wieder einführen. Da es ihm hierfür aber an Sachargumenten mangelt, fallen die entsprechenden Verlautbarungen regelmäßig eher pöbelnd und klagend aus.

Auch im Rest der CDU werden zunehmend Forderungen nach der Verlängerung und Verschärfung bürgerfeindlicher sog. „Antiterrorgesetze“ laut. Mit der Orientierung an der freiheitlich-demokratischen Grundordnung nehmen es solche Politiker meist nicht ernster als Teile der NPD (die wenigstens offen zu ihrer Kritik an der FDGO stehen).

Zumindest eine Erkenntnis ist bei eigentlich allen Parteien inzwischen angekommen: Netzpolitische Themen sind heikel und können nicht mehr einfach weggedrückt werden. Sie zu ignorieren kostet die etablierten Parteien bei Wahlen inzwischen regelmäßig die letzten paar Prozentpunkte, die für eine auskömmliche Positionierung bei Koalitionsverhandlungen benötigt werden. Und kleine, rein klientelistisch orientierte Parteien wie die FDP drohen gar ganz in der Versenkung zu verschwinden. Obwohl wir den Fall des Zensursula-Gesetztes mit Sabine Leutheusser-Schnarrenberger einer bürgerrechtlich profilierten FDP-Politikerin zu verdanken haben.

So gesehen haben z.B. die Piraten schon jetzt einen beträchtlichen Einfluss auf die Gestaltung der politischen Landschaft in Deutschland. Obwohl sie noch weit davon entfernt sind, eigene Abgeordnete in den Bundestag oder in Länderparlamente entsenden zu können.

Herausforderung Cloud-Computing

Cloud Computing, also das Auslagern von Daten und IT-Diensten in die Rechenzentren von IT-Dienstleistern, gewinnt immer mehr an medialer Popularität. Dabei stößt man jedoch rasch auf etliche Probleme, wenn das Thema tatsächlich im Unternehmen umgesetzt werden soll. Denn den oftmals erhofften Einsparungen an IT-Kosten stehen beträchtliche Mehraufwände im Bereich Datenschutz und Informationssicherheit gegenüber. Hinzu kommen bislang noch ungelöste Compliance-Risiken. Dies hat die Gesellschaft für Informatik kürzlich in einem Thesenpapier verdeutlicht, dass diese Herausforderungen in den Bereichen Identity Management, Access Control und Integrity Control, Logging und Auditing, Risk Management und rechtlicher Compliance aus technischer und juristischer Sicht beschreiben thematisiert.

Außerhalb ihrer Standorte können Unternehmen ihre Vorstellungen von Sicherheitspolitiken, -strategien und -verfahren sowie Sicherheitsmaßnahmen und ihrer Kontrollierbarkeit meist nicht durchsetzen. Man muss sich schon darauf verlassen, wie weit Verträge, Service-Level-Agreements (SLAs) mit Cloud-Betreibern und deren Subunternehmern im Problemfall wirklich reichen.

Dies – sowie etliche noch offene rechtliche Fragen – führt dazu, dass viele Firmen der Cloud-Technologie eher zurückhaltend begegnen und eher zu Etablierung einer „private cloud“, also einem unternehmensinternen Angebot neigen. So können unternehmensinterne Policies, Vorgaben und Strategien leicht übertragen werden. Das aber ist dann letztlich wieder nur eine weitere technologische Spielwiese der internen IT. Ob dadurch die oft als Pro-Argument aufgeführten Rationalisierungs- und Konsolidierungseffekte erzielt werden können, dürfte fraglich sein.

Will ein Unternehmen jedoch echtes Outsourcing per Cloud Computing betreiben, sollte es sich der Tatsache gewahr werden, dass zwar die Technik und das dazugehörige Personal ausgelagert werden kann. Dass aber die Probleme in Form von Haftungsfragen, Risikoerwägungen, Compliance-Auflagen oder sonstigen, meist rechtlichen Fallstricken im Haus bleiben. Man kommt als Entscheider den Anforderungen seiner Umwelt eben nicht einfach durch das Fremdvergeben eines Auftrags aus.

Dabei beginnen die Probleme oftmals bereits mit der scheinbar simplen Frage, wie sensible Daten zum Cloud-Betreiber hin und von dort wieder zurück ins Kundenunternehmen kommen. Werden dafür öffentliche Netze genutzt, sind Fragen nach hohen und sicheren Verschlüsselungsstandards, Zugriffsrechten, Identity Management und Netzverfügbarkeit zu klären. Oft ist eine echte Ende-zu-Ende-Verschlüsselung auch gar nicht machbar, wenn z.B. Daten Verarbeitungszwischenschritte beim Cloud-Betreiber durchlaufen sollen.

Auch gilt es zu beachten, dass der aktuelle Stand der Technik bei Virtualisierung, Lastausgleich, geografischer Verteilung, Sicherungs- und Sicherheitsmaßnahmen sowie der Datenübertragung über Netzwerke generell nicht unbedingt als sicher und fehlerfrei angesehen werden kann. Es können sich darin kritische, für Dritte gut ausnutzbare Sicherheitslücken befinden. Für Auftraggeber ist das nicht immer nachvollziehbar – wollen sie solche „technischen Probleme“ ja gerade deswegen auslagern, da es ihnen oft am Know-how und den Kapazitäten fehlt, so etwas selbst beurteilen und lösen zu können. Und das obwohl z.B. die datenschutzrechtlichen Auflagen zum Thema Auftragsverarbeitung (§ 11 BDSG) dies explizit dem Auftraggeber als Pflicht bei der laufenden Kontrolle seines Auftragnehmers abfordern.

Ausgelagerte geografisch verteilte, sich u.U. im Ausland befindliche Cloud-Rechenzentren Dritter machen es für den Auftraggeber äußerst schwierig, bei eingetretenen Sicherheitsvorfällen selbst forensische Untersuchungen anzustellen, bei sicherheitstechnischen Analysen zu substanziellen Ergebnissen zu gelangen oder den Auskunftspflichten gegenüber ermittelnden Behörden und Staatsanwaltschaften zeitnah nachkommen zu können. Diese schlicht auf den Dienstleister zu verweisen, dürfte in den seltensten Fällen akzeptiert werden, da die Verantwortung rechtlich beim Auftraggeber geblieben ist und nicht mit in die Cloud abgeschoben werden kann.

Und selbst wenn es Ermittlungsbehörden gelänge, auf die Systeme des Cloud-Betreibers zuzugreifen bzw. Beschlagnahmungen durchzuführen, dürfte dabei der auf Virtualisierung und Mehrmandantenfähigkeit basierende Cloud-Betrieb empfindlich gestört werden (Schadensersatzansprüche Dritter!). Auch dürften eventuell gewonnene und potentiell manipulierte Abzüge der Daten aus der Cloud nur verminderten Beweiswert vor Gericht haben. Wobei es zu diesem Problem noch kaum Rechtsprechung gibt, deutsche Gerichte aber in solchen Fragen als sehr konservativ gelten.

Bei unternehmenskritischen Fragen auf die Dienste Dritter zurückzugreifen, bedeutet das Eingehen von Abhängigkeitsverhältnissen. Ein Stück weit ist das unumgänglich, wenn man sich die Vorteile des globalen und verteilten arbeitsteiligen Wirtschaftens zunutze machen will. Es kann aber auch bedeuten, dass die eigenen IT-Systeme zum Stehen kommen, wenn der Cloud-Betreiber über Nacht in die Insolvenz geht und abgeschaltet wird. Cloud-Verträge müssen daher stets auch Regeln enthalten, wie in solchen Fällen rasch zu einem anderen Dienstleister oder zurück in eine (dann noch existente?) interne IT gewechselt werden kann. Je komplexer die ausgelagerten IT-Systeme sind, desto anspruchsvoller ist so ein Rückwechsel-Vorhaben. Rasch kann da ein sog. „Vendor-lock-in“, d.h. eine existenzielle und kurzfristig nicht überwindbare Abhängigkeit von einem Anbieter eintreten. Auch ist bei genauerem Hinsehen längst nicht alles, was vertraglich vereinbart wurde, auch technisch umsetzbar (z.B. technische Unmöglichkeit der Datenlöschung bei Vertragsende oder besonderen Ereignissen wie Insolvenz).

Öffentliche Clouds können bei entsprechender Nutzung durchaus den Charakter kritischer Infrastrukturen annehmen, sofern sie allgemein und weitverbreitet verwendet werden. Dadurch werden schließlich sogar kartellrechtliche Aspekte wie die „Essential-facilities-Doktrin“ tangiert, welche die wenigsten IT-Entscheider mit auf dem Radar haben dürften.

Und so kommt die Gesellschaft für Informatik auch völlig zutreffenderweise zu dem Schluss, dass sich beim Cloud Computing stark erhöhte Anforderungen an die Absicherung unternehmenseigener und auch privater Datenverarbeitung ergeben werden. Und zwar hinsichtlich Vertraulichkeit, Integrität, Verbindlichkeit (z.B. Authentifizierung Berechtigter) und Verfügbarkeit der verarbeiteten Daten sowie der genutzten IT-Systeme. Hinzu kommen auch stark erhöhte Anforderungen an die rechtliche Absicherung (Compliance).

ct‘-Serie „Tatort Internet“

Wer schon immer mal wissen wollte, wie Hacker und IT-Forensiker im Detail arbeiten, wenn sie Schadsoftware und Angriffen aus dem Internet auf der Spur sind, dem empfehle ich die Serie „Tatort Internet“ in der ct‘, die dort seit einigen Wochen, konkret seit Ausgabe 13 des 14-tägig erscheinenden IT-Fachmagazins erscheint.

Jeder Teil dreht sich um eine konkret durchgeführte und ausführlich beschriebene IT-forensische Analyse eines Angriffs. Bislang waren Attacken mit Schadsoftware, die in unscheinbaren Mediendateien versteckt wurde, Gegenstand der Artikel. Jedes mal werden Ideen, Ansätze, Vorgehensweise sowie die eingesetzten (meist frei verfügbaren) Tools beschrieben. Oder auch mal erklärende Codefragmente aufgeführt. Oft sind Kombinationen mehrerer Angriffstechniken und Abwehrmethoden Gegenstand der Artikel und Schadcode wird sorgfältig und detailliert auseinandergenommen.

Die zurückliegenden Artikel werden zudem, auf Heise.de in der Rubrik Security veröffentlicht. Momentan findet man dort die drei Folgen „Alarm beim Pizzadienst“, „Zeig mir das Bild vom Tod“ und „PDF mit Zeitbombe“. Folge vier „Angriff der Killervideos“ kann  man in der aktuellen ct‘ nachlesen. Man sollte allerdings ein belastbares Verständnis informationstechnischer Zusammenhänge mitbringen, denn fachlich wird schon tiefer in die Materie eingestiegen.

Sehr empfehlenswert!

Wache über deinen Laptop auf dass er nicht über dich wachet!

Laptops, Notebooks und Netbooks aktueller Baureihen haben meist eines gemeinsam: Die eingebaute Webcam, um das Gerät für Videochats und ähnliches einsetzen zu können.

Außerdem haben eigentlich alle programmierbaren Geräte, die man an ein Netzwerk hängt noch eine weitere Eigenschaft gemein: Man kann sie fernsteuern.

Nimmt man beides zusammen, so erhält man eine aus der Ferne steuerbare Videoüberwachung für unbedarfte Laptop-Nutzer.

Wie kürzlich bekannt wurde, wurde in Rheinland ein Mann festgenommen, der einen Trojaner entwickelt und an etwa 150 Leute verteilt hatte, mit dem sich die Videokamera eines damit infizierten Rechners aktivieren und so das nähere Umfeld des Rechners ausspähen ließ.  Er hatte die Spähsoftware über soziale Netzwerke an zahlreiche Schülerinnen verteilt, wohl um indiskrete Blicke unter deren Höschen einfangen zu können. Als man ihn festnahm fand man in seiner Wohnung u.a. einen Rechner, auf dem die Videofeeds aus zahlreichen Kinderzimmern einliefen. Ein mit Netzwerken vertrauter Profi war er wohl nicht, da die Ermittler ihn anhand seiner unverschleierten IP-Adresse leicht orten und zurückverfolgen konnten.

Entdeckt wurde das Ganze von IT-Berater Thomas Floß vom Berufsverband der Datenschutzbeauftragten Deutschlands (BvD), der auch Vorträge zum Thema Datenselbstschutz an Schulen hält. Eltern hatten ihn um die forensische Untersuchung eines Rechners gebeten, bei dem ihnen ein eigenartiges Betriebsverhalten der Webcam aufgefallen war.

Der Datenschutzverband dazu in einer Pressemeldung:

Der Täter hatte zuvor den Messenger-Zugang eines Mitschülers geknackt und über dessen Profil alle Kontakte aus dessen Adressbuch angeschrieben. Den besonders hübschen Mädchen – ihre Bilder hatte er zuvor in Online-Communities geprüft – schickte er mit Absender des Mitschülers eine als Bildschirmschoner getarnte Schadsoftware. Die erlaubte ihm nicht nur, Bilder und andere Daten von den Rechnern herunter zu laden, sondern auch per Webcam jederzeit in die Zimmer der Mädchen zu sehen.

Ähnliches ist bereits in vergangenen Jahren geschehen. So wurde 2008 ein zypriotischer Hacker zu vier Jahren Haft verurteilt, nachdem er per Webcam-Trojaner junge Frauen über ihre Laptops ausgespäht und sie zudem mit indiskreten Fotos erpresst hatte (um so noch mehr Material zu erhalten). Ein ähnlich gelagerter Fall wurde dieses Jahr in den USA bekannt.

Und zum Jahresanfang 2010 kam heraus, dass in Pennsylvania ein Schulverband mit einer Spähsoftware präparierte Schul-Laptops für die Heimarbeit an Schüler ausgegeben und diese dann zur Ausspähung der Schüler in ihrer Freizeit genutzt hatte. Mit der Folge, dass aufgebrachte Eltern derzeit dabei sind, eine Sammelklage gegen den Schulverband auf den Weg zu bringen.

Daher gilt es insbesondere für die Nutzung mobiler Endgeräte einige Sicherheitsregeln zum Datenselbstschutz zu beachten, die Thomas Floß anhand des aktuellen Falles so zusammenfasst:

„Der nichts ahnende Mitschüler hatte ein zu simples Passwort gewählt, ermöglichte so den Zugang zu den ICQ-Adressen seiner Mitschülerinnen. Die wiederum hatten zu leichtfertig die vermeintlich vom Mitschüler kommende Datei geöffnet. So konnte sich der Trojaner auf den Rechnern breit machen. „Dass über Wochen niemand das Ausspähen bemerkt hat, liegt letztlich daran, dass zu wenig darauf geachtet wird, ob der Rechner noch arbeitet, während man selbst schon nicht mehr daran sitzt“, so Floß. Er empfiehlt allen Kids dringend, den Rechner auszuschalten, wenn er gerade nicht genutzt wird sowie regelmäßig aktualisierte
Virenscanner einzusetzen.

Informationeller Selbstschutz wird daher ein immer wichtigerer Teil der digitalen Alltagskompetenz.

Wie Autos von Sicherheitsforschern gehackt werden

Aktuelle Fahrzeuge aller Klassen sind reichlich mit programmierbarer Elektronik und Computerlogik ausgestattet. Auch wenn man davon meist bis auf ein paar zusätzliche Anzeigen auf dem Armaturenbrett wenig zu sehen bekommt.

Hinzu kommt das die Bordcomputer in ihren Fehlerspeichern oftmals zahlreiche Daten über technische Parameter des Fahrzeugs über die gesamte Lebensdauer hinweg aufzeichnen. Aus solchen Daten lassen sich forensische Rückschlüsse über das Fahrverhalten der Fahrer ziehen und ggf. auch der tatsächliche Hergang eines Unfalls nachvollziehen. Das macht sie für Polizei und Justiz, Verwaltung sowie die KFZ-Versicherungen sowie die Gewährleistungsabwicklung der Autohersteller interessant (findet man in den Daten z.B. irgendetwas, um sich vor Garantieansprüchen drücken zu können).

Kurz: Die Themen Datenschutz und IT-Sicherheit für die automobile Informationstechnik gewinnen zunehmend an Relevanz. Auch wenn die Hersteller das Thema möglichst aus den Medien herauszuhalten versuchen – fürchten sie doch teure regulatorische Auflagen und Standardisierungszwänge von außen, wenn sich erst mal zeigt, dass es mit der IT-Sicherheit im Auto nicht weit her ist.

Kürzlich stellten Forscher des Center for Automotive Embedded Systems Security (CAESS), einem Forschungsverbund zweier US-Universitäten auf dem IEEE Symposium on Security & Privacy in Oakland die Ergebnisse eines Forschungsprojekts zum Thema Möglichkeiten für Hacking-Angriffe auf Autos vor (PDF, 1,6 MB).

Als Zugang diente ihnen die OBD-II-Schnittstelle (On-Board-Diagnose), die von Werkstätten unter anderem zum Auslesen des bordeigenen Fehlerspeichers genutzt wird. Darauf griffen sie mit Diagnoserechnern und selbst entwickelter Software zu, um z.B. das Licht am Fahrer vorbei ein- und auszuschalten, die Zentralverriegelung zu bedienen und die Instrumentengrafik zu manipulieren oder auch direkt in Brems- und Beschleunigungsvorgänge einzugreifen. Dabei kamen die Forscher u.a. zu der Erkenntnis dass die Sicherheitsvorkehrungen der Hersteller zum Schutz der Autoelektronik überraschend leicht zu umgehen waren.

Zwar konzentrierten sie sich auf Angriffswege, die einen physischen Zugang zum Fahrzeug voraussetzen (d.h. es muss vorher auf „traditionelle Weise“ in den Besitz der Angreifer gelangt sein). Aber sie entdeckten auch in allen untersuchten Fahrzeugtypen bereits existierende Funknetztechnologien. Spätestens wenn es möglich ist, per WLAN, Bluetooth, Mobilfunk oder auf anderem Wege über Distanz auf Fahrzeuge zuzugreifen, werden solche Hackerangriffe in Umfang und Auswirkung deutlich zunehmen. Und dann wohl auch eine größere öffentliche Aufmerksamkeit erreichen, was den Herstellern ein weiteres „Flachhalten“ des Themas der funktionalen Sicherheit im Auto erst recht erschweren dürfte. Zumal Telematiker bereits seit längerem über automobile P2P-Netze nachdenken, in denen Fahrzeuge untereinander und automatisiert Verkehrsdaten austauschen, um z.B. Staus durch dynamische Geschwindigkeitsregelungen rascher auflösen oder umfahren zu können.

Und auch die Frage wem eigentlich die (Kunden?)-Daten im Auto gehören und wer darauf zu welchen Zwecken zugreifen darf, dürfte  schon bald an Relevanz gewinnen. Spätestens wenn der erste Rechtsstreit anhängig ist, in dem es um die Verweigerung von Versicherungsleistungen und Gewährleistungsansprüchen geht, weil die „Datenlage“ nicht zu den Aussagen des Autobesitzers passt.

Censilia legt bei Websperren nach – kommt jetzt die neue Zensursula?

EU-Kommissarin Cecilia Malmström, von Kritikern inzwischen auch „Censilia“ genannt,  zeigt sich enttäuscht über die Reaktion bloggender Bürgerrechtler auf ihre geplante EU-Richtlinie zur Internetzensur. Zu offensichtlich war der Versuch christlich-konservativer Kreise, die in Deutschland aber auch in etlichen anderen europäischen Ländern verbrannte Idee der Internetzensur als Mittel zur Eindämmung von Kinderpornographie quasi „über Bande“ per EU-Richtlinie und damit bequem an jedem Parlament vorbei Gesetz werden zu lassen. Denn für EU-Richtlinien besteht Zwang zu deren Umsetzung in nationales Recht – egal was die Mehrheit der Bürger dazu denkt (s.  Beispiel Vorratsdatenspeicherung).

Dabei wird rasch deutlich, dass sich Frau Malmström derselben Tricks zu bedienen scheint wie im letzten Jahr Frau von der Leyen. Behauptung von Dingen, die sich bei näherem Hinsehen als falsch erweisen (z.B. das es einen Markt gäbe auf dem Kinderpornographie gegen Geld gehandelt wird – tatsächlich wird sie wie so vieles andere ohne Geld getauscht). Nennung von aus der Luft gegriffenen, nicht belegbaren Zahlen (z.B. zum Aufkommen entsprechenden Materials). Erfindung neuer Begriffe, die dann weitergetragen werden („Pädokriminelle“). Schlichtes Lügen wenn es argumentativ dünn wird (z.B das Löschen nicht effektiv sei). Was auch in der ct’ (9/2010) zu einem entsprechend kritischem Artikel führte, der sich mit den Details des neuen Vorstoßes für Websperen und Internetzensur auseinandersetzt.

Mich erinnert das an Zeiten als Deutschland noch ein Reich war und wir neben einem Führer auch noch einen Propagandaminister hatten.

Seltsam auch, dass es trotz milliardenschwerer EU-Etats für Forschungsförderung kaum Mittel für forensische Forschungen gibt. Oder zur Suche nach Antworten auf die Frage was Pädophilie eigentlich genau ist und wie man sie wirksam bekämpft.

Seltsam auch, dass es trotz milliardenschwerer Länder-Etats für die Versicherheitsstaatlichung keine Mittel für die Aufstockung entsprechender Fachbereiche der Polizei gibt. Es beschäftigen sich in Deutschland bestimmt 1.000 x mehr Polizisten mit Parkverstößen als mit Ermittlungen gegen Kinderpornografie im Internet. Das dokumentiert die Prioritäten deutlichst! Von Falschparkern geht demnach eine größere Gefahr für die Gesellschaft aus als von Kinderschändern.

Das Ganze ist also nur eine Ausrede um tatsächlich eine ganz andere und bestimmt nicht mehrheitsfähige Agenda umsetzen zu können: Die Wiederherstellung der politischen Kontrolle über die Medien und Informationsflüsse durch Etablierung von Mechanismen der Internetzensur. Schengen-Internet, Jugendschutz auch für Erwachsene, Internet erst ab 23 Uhr abends, Vorratsdatenspeicherung, DE-Mail, Abschaffung der Netzneutralität und was es an schrägen Ideen der politischen Klasse mehr gibt. Politischer Kindesmissbrauch zur Durchsetzung nicht mehrheitsfähiger Vorhaben.

Das Wohl von Kindern ist Politikern wie Malmström dabei völlig egal. Die würden auch Analverkehr mit Fünfjährigen auf Wahlplakate drucken lassen, wenn das in nennenswertem Umfang Stimmen brächte. Nur gut, das EU-Kommissare nicht gewählt sondern von den Mitgliedsregierungen im Zuge von Hinterzimmergesprächen ausgehandelt und dann formal eingesetzt werden.

Inzwischen denke ich manchmal, das nicht alles was die US-Waffenlobby zum Thema Selbstschutz, Waffen für alle und selbstbewusste Bevölkerung durch Möglichkeit der Verteidigung gegenüber Verbrechern (zu denen man auch etliche Politiker zählen kann) argumentativ vorträgt, wirklich grundfalsch ist.