[datensicherheit.de, 14.04.2021] Zum „Patch Tuesday“ am 13. April 2021 habe es wieder einige kritische Updates für „Microsoft Exchange“ gegeben – ebenso wie bei „Hafnium“ rieten Experten dringend zur Installation der Patches. Anders als bei jener Sicherheitslücke sei die Warnung jedoch von der US-amerikanischen NSA gekommen.

Foto: G DATA

Tim Berghoff: Geschwindigkeit beim Patchen macht den Unterschied zwischen sicherem und unsicherem Netzwerk!

Patch Tuesday am 13. April 2021 betraf Sicherheitslücken in Exchange 2013, 2016 und 2019

„Am gestrigen ,Patch-Tag‘ hat Microsoft zwei kritische Sicherheitslücken geschlossen, die lokal installierte Instanzen von ,Exchange‘ 2013, 2016 und 2019 betreffen. Diese Sicherheitslücken ermöglichen das Ausführen von beliebigem Programmcode auf einem betroffenen System.“ Im Unterschied zu den Sicherheitslücken, welche die „Hafnium“-Gruppe genutzt habe, gebe es derzeit jedoch laut Microsoft keine Anzeichen dafür, dass die Lücken aktiv ausgenutzt würden.
Damit unterschieden sich diese beiden Sicherheitslücken von dem Vorfall Anfang März 2021. Damals habe sich herausgestellt, dass diese Lücken bereits seit Längerem bei Microsoft bekannt gewesen seien – habe sich jedoch dafür entschieden, sie erst später zu schließen. „Ein Plan, der schnell revidiert wurde, nachdem sich abzeichnete, dass weltweit Zehntausende ,Exchange‘-Server angegriffen und gezielt auf die Schwachstellen gescannt wurden.“

US-amerikanische National Security Agency gab Hinweis zu Sicherheitslücken

Laut „Release Notes“ für die vorliegenden Patches sei die Warnung diesmal von der US-amerikanischen National Security Agency (NSA) gekommen. Diese Information sei über den bei Microsoft vorhandenen „Vulnerability Disclosure“-Prozess geflossen.
„Ein zweites Mal ,Hafnium‘ ist uns zwar diesmal augenscheinlich erspart geblieben. Dennoch ist klar: Geschwindigkeit macht beim Patchen den Unterschied zwischen einem sicheren und einem unsicheren Netzwerk“, betont Tim Berghoff, „Security Evangelist“ bei G DATA.

Updates schnell installieren, um Sicherheitslücken zu schließen!

Knapp einen Monat nach dem Bekanntwerden von insgesamt sieben Sicherheitslücken in „Microsoft Exchange“ und eindringlichen Mahnungen, Updates zeitnah einzuspielen, könne von Entwarnung keine Rede sein. Im Gegenteil: Erst jetzt machten sich einige erfolgreiche Angriffe bemerkbar, etwa durch die Installation von Ransomware auf gekaperten Systemen.
Berghoff: „Was die Vorkommnisse aus dem März mit dem aktuellen ,Patchday‘ gemeinsam haben, ist, dass die Installation der Updates so schnell wie möglich erfolgen muss. Grund dafür ist, dass mit dem Verfügbarwerden eines Patches auch Kriminelle und andere Angreifer verstärkt damit beginnen, nach verwundbaren Systemen zu suchen, um dort ungepatchte Systeme gezielt angehen zu können.“

Weitere Informationen zum Thema:

G DATA Blog, Tim Berghoff, 14.04.2021
Microsoft Exchange: Neue Sicherheitslücken entdeckt und geschlossen

datensicherheit.de, 15.03.2021
Microsoft Exchange Server: Gefährdete Server und Patching-Tempo ermittelt / Palo Alto Networks bietet Expanse-Plattform zur Analyse von Angriffsflächen wie aktuell Microsoft Exchange Server an

datensicherheit.de, 12.03.2021
Microsoft Exchange Server: Zeitleiste der Cyber-Vorfalls rekonstruiert / Zehntausende anfälliger Exchange-Server innerhalb von drei Tagen gepatcht

datensicherheit.de, 11.03.2021
Microsoft Exchange: Vermehrt Datenpannen-Meldungen in Rheinland-Pfalz / Dutzend Nachfragen sowie Meldungen von Verletzungen des Schutzes personenbezogener Daten

datensicherheit.de, 08.03.2021
Erfolgreicher Angriff: Mehr als zehntausend lokale Microsoft Exchange Server betroffen / Exchange Online Service nicht betroffen – Thomas Jupe kommentiert Vorfall und gibt Tipps

datensicherheit.de, 03.03.2021
Microsoft Exchange: Zero-Day-Lücken ermöglichen Industriespionage / Lokal installierte Versionen von Microsoft Exchange betroffen

[datensicherheit.de, 31.10.2020] Check Point geht in einer Stellungnahme auf die „Top 25 Cyber-Bedrohungen der NSA“ ein – deren Sicherheitsforscher erklären, welche Bedrohungen aktuell am meisten ausgenutzt werden und welche Ziele die Hacker dabei am häufigsten ins Visier nehmen. Demnach hat der US-amerikanische Nachrichtendienst NSA eine Liste mit den am meisten genutzten Angriffsvektoren, Exploits und Malware-Varianten durch chinesische Hacker-Gruppen veröffentlicht.

Abbildung: Check Point SOFTWARE TECHNOLOGIES LTD.

Check Point: Die gefährlichsten Exploits

ThreatCloud beobachtet bedrohte Industriezweige

Sicherheitsforscher der Check Point® Software Technologies Ltd. beobachten nach eigenen Angaben mittels der „ThreatCloud“, welche Industriezweige am häufigsten von den laut NSA größten Cyber-Bedrohungen attackiert werden.

Viele Schwachstellen zielen auf weit verbreitete und populäre Produkte

Viele der in ihrem Bericht aufgeführten Schwachstellen zielten auf weit verbreitete und populäre Produkte ab – entsprechend groß sei die damit verbundene Bedrohung. Die am häufigsten ausgenutzten Schwachstellen in der Liste seien die folgenden:

• Draytek Vigor Command Injection (CVE-2020-8515)
  Eine kritische Schwachstelle (CVSS-Basiswert von 9,8) in verschiedenen Versionen von „DrayTek Vigor“, einer Serie von VPN-Routern.
• Microsoft Windows NTLM-Authentifizierungsumgehung (CVE-2019-1040)
  Eine Schwachstelle (CVSS-Basisnote 5,8) in verschiedenen Versionen von „Microsoft Windows“.
• Citrix Multiple Products Directory Traversal (CVE-2019-19781)
  Eine kritische Sicherheitslücke (CVSS-Basisbewertung von 9,8) in „Citrix Application Delivery Controller“ (ADC) „und Citrix Gateway“.
• Pulse Connect Secure File Disclosure (CVE-2019-11510)
  Eine kritische Schwachstelle (CVSS-Basisnote 10) in „Pulse Connect Secure“, der SSL-VPN-Lösung von „Pulse Secure“.
• F5 BIG-IP Remote Code Execution (CVE-2020-5902)
  Eine kritische Schwachstelle (CVSS-Basisnote 9,8) in verschiedenen Versionen von „BIG-IP“, den beliebten F5-Produkten.

Blog-Beitrag: Measuring the Global Impact of the NSA’s Top 25 Vulnerabilities

Mehr über diese Schwachstellen und Tipps der Sicherheitsforscher zum Schutz gegen dieselbigen sind im englisch-sprachigen Blog-Artikel zu finden „Measuring the Global Impact of the NSA’s Top 25 Vulnerabilities /Being Exploited In the Wild“.

Weitere Informationen zum Thema:

National Security Agency |Cybersecurity Advisory
Chinese State-SponsoredActors Exploit Publicly Known Vulnerabilities

Check Point SOFTWARE TECHNOLOGIES LTD.
Threat Intelligence: Driving the Future of Security / Real-time threat intelligence derived from hundreds of millions of sensors worldwide, enriched with AI-based engines and exclusive research data from the Check Point Research Team

Check Point SOFTWARE TECHNOLOGIES LTD., Adi Ikan
Measuring the Global Impact of the NSA’s Top 25 Vulnerabilities Being Exploited In the Wild

datensicherheit, 26.09.2020
Check Point: Sicherheitsforscher konnten Instagram-App knacken

[datensicherheit.de, 24.07.2020] NSA und CISA warnten vor derzeit stattfindenden Angriffen auf Anlagen zur Überwachung und Steuerung sowie auf Kritische Infrastrukturen (KRITIS) – zu dieser aktuellen Gefahrenlage nimmt Marty Edwards, ehemaliger Director des ICS-CERT und derzeit „Vice President OT Security“ bei Tenable, Stellung.

OT in Gefahr – derzeit tatsächlich stattfindende Attacken

„NSA und CISA warnen aktuell vor schwerwiegenden Angriffen gegen Operational Technology (OT, also Betriebstechnologie zur Überwachung und / oder Steuerung von Industrieanlagen, Prozessen und Ereignissen) und Kritische Infrastruktur“, so Edwards.
Diese Warnung betreffe nicht potenziell mögliche, sondern tatsächlich stattfindende Attacken. Es gab demnach „bereits Angriffe und Hacker führen sie derzeit nach wie vor durch“.

Fast unser ganzes Leben mittlerweile von OT abhängig

Fast unser ganzes Leben sei mittlerweile von OT abhängig – von der Energieversorgung, den Fabriken, in denen medizinische Produkte hergestellt werden, bis hin zu unserem Trinkwasser. Die Gesellschaft sei auf OT angewiesen und diese Abhängigkeit nehme noch weiter zu.
Durch das Zusammenwachsen von OT und IT seien OT-Geräte auch stärker von externen Bedrohungen betroffen, „als das früher bei isolierten Anlagen der Fall war“.

OT-Betreiber sollten extrem wachsam sein

OT-Betreiber müssten derzeit extrem wachsam sein und sicherstellen, „dass sie kompletten Einblick in ihre Systeme, Geräte und deren Schwachstellen haben, egal ob IT oder OT“.
Die Security-Teams sollten deshalb priorisieren, „welche Schwachstellen besonders gravierend sind, welche am einfachsten ausgenutzt werden können und welche der Geräte maximalen Schutz benötigen“, rät Edwards.

Weitere Informationen zum Thema:

CISA CYBERSECURITY & INFRASTRUCTURE SECURITY AGENCY, 23.07.2020
Alert (AA20-205A) / NSA and CISA Recommend Immediate Actions to Reduce Exposure Across Operational Technologies and Control Systems

datensicherheit.de, 16.07.2020]
Praxisbericht aus der IIoT-Security: Digitale Identitäten in der Industrie

[datensicherheit.de, 12.06.2018] Vor ziemlich genau fünf Jahren wurde ein damals 30-jähriger externer Mitarbeiter der US-amerikanischen National Security Agency (NSA) schlagartig weltberühmt, obwohl sein Job eigentlich genau das Gegenteil erfordert hatte: Edward Snowden leakte geheime NSA-Unterlagen. Je nach Sichtweise, politischer Einstellung, möglicherweise auch Nationalität, wird sein Handeln bewertet: Für die einen ist er ein „Verräter“, für die anderen ein „Held“ – der Prototyp eines Whistleblowers. Fest steht auf alle Fälle, dass sich die Wahrnehmung der staatlichen Überwachung (insbesondere in Deutschland), vor allem aber die IT-Sicherheit auf Jahre verändert hat. Wahrscheinlich hätten wir mit „blended attacks“ wie „WannaCry“, die ohne NSA-Tools kaum denkbar seien, erst einen Vorgeschmack auf den wahren Schaden dieser Angriffe bekommen, meint Thomas Ehrlich, „Country Manager DACH“ bei Varonis. Seine Warnung: Sicherlich arbeiteten Cyber-Kriminelle (und auch Hacker im staatlichen Auftrag) an neuen Varianten.

Schutz Geistigen Eigentums noch immer unzureichend

Die traurige Wahrheit sei, dass auch fünf Jahre später (in der IT geradezu „eine Ewigkeit“) viele Organisationen und Unternehmen keine Fortschritte gemacht hätten, verdächtiges Verhalten von Nutzern zu erkennen und zu stoppen. Unternehmen gäben Millionen für die Entwicklung ihrer Produkte und Technologien aus und vernachlässigten dabei, ihr Geistiges Eigentum adäquat zu schützen, so Ehrlich:
„Niemand käme auf die Idee, seinen neuen Sportwagen mit steckendem Zündschlüssel auf offener Straße stehen zu lassen. Aber genau so verhalten sich viele.“ Gerade im Know-how-Land Deutschland, das von seinen Erfindungen und Entwicklungen lebt, gehe es hier um die wirtschaftliche Existenz zahlreicher (insbesondere) mittelständischer Unternehmen.

Sicherheitsrisiko „Insider“

„Alles was es braucht, um enormen Schaden anzurichten, ist eine motivierte Person, die nimmt, was ihr in die Finger kommt. Eine kürzlich durchgeführte Umfrage ergab, dass durchschnittlich 21 Prozent der Ordner eines Unternehmens für jeden Mitarbeiter zugänglich sind, in 41 Prozent der Unternehmen haben sämtliche Mitarbeiter Zugriff auf mindestens 1.000 sensible Dateien und bei 58 Prozent unterliegen mehr als 100.000 Ordner keiner Zugriffsbeschränkung.“
Wenn keine Sicherheitsvorkehrungen getroffen werden, um Alarm zu schlagen und Insider zu stoppen, gingen Leaks und Datendiebstähle weiter und die Unternehmen – und letztlich auch die Verbraucher – würden verlieren, betont Ehrlich. Ein „Insider“ müsse dabei übrigens nicht zwangsläufig ein Mitarbeiter (oder Partner) sein. Es könne sich dabei auch um einen Kriminellen handeln, der die Zugangsdaten eines Mitarbeiters nutzt.

Personenbezogene Daten attraktives Ziel für Angreifer

IT-Sicherheit sei aber nicht nur ein Business-Thema, vielmehr werde es auch zum Problem für die Verbraucher und Kunden, da sie oft diejenigen seien, die den Preis zahlen und sich mit den Folgen eines Datenschutzverstoßes herumplagen müssten.
Personenbezogene Daten seien ein attraktives Ziel für Angreifer. „Ständig erzeugen wir Daten, vom Arztbesuch bis zum bargeldlosen Bezahlen. Neue Arten personenbezogener Daten wie Gesichtserkennung und andere biometrische Daten entstehen und verbreiten sich“, erläutert Ehrlich. Unsere (privaten und vertraulichen) Informationen würden unaufhörlich gespeichert, abgerufen, geteilt und aktualisiert. „Wenn diese Daten gestohlen oder verändert werden, kann man leicht das nächste Opfer eines Betruges werden.“

Foto: Varonis Systems

Thomas Ehrlich: Daten ins Zentrum der Sicherheitsstrategie stellen!

Angreifern so schwer wie möglich machen!

„Glücklicherweise trägt die DSGVO dazu bei, die Sicherheit der Verbraucherdaten zu erhöhen, indem sie nicht nur eine gewisse Datensparsamkeit vorschreibt, sondern auch von den Unternehmen eine umfassende Datensicherheitskontrolle verlangt.“ Diejenigen, die es versäumten, Verbraucherdaten zu sichern, müssten mit hohen Strafen rechnen.
Egal ob es sich um wertvolles Geistiges Eigentum oder personenbezogene Daten handelt: Unternehmen müssten es („internen“ oder „externen“) Angreifern so schwer wie möglich machen und die Daten ins Zentrum ihrer Sicherheitsstrategie stellen, fordert Ehrlich. Es brauche Zeit, Kompetenz und Ressourcen, um Angreifer dauerhaft abzuwehren. Hoffnung sei dabei keine Strategie, um die nächste große Cyber-Attacke zu verhindern.

Weitere Informationen zum Thema:

datensicherheit.de, 01.03.2018
Daten als wertvollstes Asset müssen ins Zentrum der Sicherheitsstrategie gestellt werden

[datensicherheit.de, 11.02.2018] Sicherheitsexperten von CrowdStrike sollen eine neue Malware dokumentiert haben, die es nicht auf Erpressungsgeld oder Daten, sondern auf Rechenleistung abgesehen hat: „WannaMine“, so der Name des Schädlings, basiert demnach auf Angriffsmethoden, die eigentlich vom US-Geheimdienst NSA entwickelt worden und bereits bei „WannaCry“ zum Einsatz gekommen seien. Doch „WannaMine“ verschlüssele keine Daten, sondern ziehe von infizierten Systemen ohne entsprechende Authentifizierung Rechenleistung ab, um die Kryptowährung „Monero“ zu schürfen.

Lange Zeit unentdeckter Missbrauch von Rechenleistung

Für Michael Breeze, „Marketing Director EMEA“ bei Datto, ist diese neue Malware gefährlicher als es auf den ersten Blick scheint:
„Keine Verschlüsselung von Dateien, die Systeme ad hoc lahmlegt, kein Zugriff auf sensitive Daten – was also soll in hohem Maße bedrohlich sein an ,WannaMine‘? ,Der stete Tropfen höhlt den Stein‘, heißt es in Deutschland treffend. Und genau das ist es, was ,WannaMine‘ gefährlich macht.“
So habe ein Anwender CrowdStrike informiert, dass nach einer Infektion mit „WannaMine“ fast 100 Prozent seiner Umgebung aufgrund der Überlastung der System-CPUs kaum mehr nutzbar gewesen seien. Wenn nun aber Systeme nur noch mit halber Kraft arbeiten, sinke die Produktivität – und das fortgesetzt, denn mangelnde Leistung sei meist kein Grund, sofort aktiv zu werden. So könne es Wochen dauern, bis festgestellt wird, dass externe Gründe für die Performanceverluste verantwortlich sind, welche die Produktivität „auf Raten“ störten.

Foto: FINNPARTNERS

Michael Breeze: Systeme schnell auf infektionslosen Stand zurückzusetzen!

Business-Continuity-Strategie ist existenziell

„Ist der Übeltäter schlussendlich identifiziert, kann es noch einmal spannend werden – zumindest für die Firmen, die es bislang versäumt haben, eine Business-Continuity-Strategie zu verfolgen“, betont Breeze. Denn das Rückspielen eines zwei Tage alten Backups werde zwar Arbeit machen, aber „WannaMine“ gleich mit wiederherstellen – „Sisyphos lässt grüßen“.
Wer den Begriff „Business Continuity“ allerdings ernst genommen und mit seinem „Managed Service“-Provider entsprechende Vorbereitungen getroffen hat, sei auf der sicheren Seite. „Denn wenn dort, wo auch das IT-Know-How liegt, Zugriff auf eine lückenlose Backup-Historie gewährleistet ist, dann ist es kein Problem, die Systeme schnell auf den infektionslosen Stand des Tages X vor ,WannaMine‘ zurückzusetzen, erläutert Breeze.

Weitere Informationen zum Thema:

datensicherheit.de, 28.06.2017
Petya: Bedeutung größer als nur die von einer Art WannaCry 2.0

[datensicherheit.de, 18.05.2017] Der Bundesverband IT-Sicherheit e.V. (TeleTrusT) sieht nach eigenen Angaben die weltweit verteilten Angriffe mit der Schadsoftware „WannaCry“ als Weckruf für das gemeinsame Handeln der Verantwortlichen in Unternehmen und Organisationen. Gleichzeitig warnt TeleTrusT vor insgeheimer staatlicher Nutzung von IT-Sicherheitslücken.

Absage an Ausnutzung von „Zero Day Exploits“

Bei „WannaCry“ handelt es sich offenkundig um Erpressungssoftware, die eine Sicherheitslücke in Microsofts „Windows“-Betriebssystem ausnutzt. Die US-Geheimdienstbehörde NSA soll sie für eigene Spähangriffe genutzt und nicht an Microsoft gemeldet haben.
Nun haben Hacker diese Sicherheitslücke, welche die NSA offensichtlich schon lange kennt und nutzt, für einen erfolgreichen Angriff gegen Kritische Infrastrukturen, wie z.B. in Deutschland die Deutsche Bahn und Krankenhäuser in Großbritannien, verwendet. Microsoft hatte zwar einen Patch zum Schließen der Lücke veröffentlicht – auf vielen Rechnern wurde die Schwachstelle jedoch offenbar nicht rechtzeitig bereinigt.
„Dem Ausnutzen von Sicherheitslücken, für die es noch keinen Schutz gibt (Zero Day Exploits), durch staatliche Institutionen erteilen wir eine Absage. Solange Nachrichtendienste erkannte Schwachstellen nicht den betroffenen Herstellern melden, sondern für Zwecke des Ausspähens nutzen, wird der Weg bereitet für Cyber-Attacken, die eigentlich verhindert werden können“, betont Prof. Dr. Norbert Pohlmann, der TeleTrusT-Vorsitzende.

Schlecht gewartete, veraltete und ungesicherte, aber dennoch vernetzte Systeme als Ursache

Besonders beunruhigend sei, dass viele der aktuell betroffenen Systeme zu Betreibern Kritischer Infrastrukturen gehörten. Gerade dort sollte das Bewusstsein für IT-Sicherheit geschärft sein und entsprechende Vorkehrungen – wie zum Beispiel eine sinnvolle Separierung – getroffen werden, und zwar nicht erst dann, wenn die Betreiber durch Gesetzgebung dazu gezwungen werden.
„Wie viele Weckrufe sind noch erforderlich, damit Unternehmen und Organisationen endlich reagieren und IT-Sicherheit die erforderliche Beachtung schenken? Wieder einmal sind schlecht gewartete, veraltete und ungesicherte, aber dennoch vernetzte Systeme die Ursache für den Erfolg eines großflächigen Angriffs. Das derzeitige IT-Sicherheitsniveau erfüllt die Ansprüche offensichtlich nur ungenügend, obwohl wir insbesondere in Deutschland über vertrauenswürdige IT-Sicherheitstechnologien verfügen“, so der kritische Kommentar des stellvertretenden TeleTrusT-Vorsitzenden, Dr. Rainer Baumgart.
Es sei höchste Zeit, „dass die Verantwortlichen zusammenarbeiten, um mit Hilfe einer gemeinsamen und klaren Cyber-Sicherheitsstrategie dafür zu sorgen, dass der Digitalisierungsprozess nachhaltig sicher und vertrauenswürdig umgesetzt wird, damit solche Angriffe in Zukunft verhindert werden“.
Diese essentiellen Forderungen habe ein Gremium aus IT-Sicherheitsexperten bereits in einem „Manifest IT-Sicherheit“ ausformuliert. Die aktuelle, schwere Cyber-Attacke sollte als Initialzündung dienen, um nun Taten folgen zu lassen.

Weitere Informationen zum Thema:

TeleTrusT
Manifest IT-Sicherheit / Gemeinsames Thesenpapier von TeleTrusT und Bundesverband der IT-Anwender (VOICE)

datensicherheit.de, 16.05.2017
WannaCry-Attacken: Verantwortung übernehmen statt Schuld zuweisen

datensicherheit.de, 13.05.2017
WannaCry: Weltweite Cyber-Attacken mit neuer Ransomware

[datensicherheit.de, 22.05.2015] Das Hamburger Bündnis gegen Überwachung [1], ein Zusammenschluss von rund 20 Parteien und Organisationen, ruft zur Demonstration am kommenden Samstag, 23.5.2015 gegen die zunehmende staatliche Überwachung und für den Schutz der Privatsphäre auf.

Im Rahmen der bundesweit durchgeführten Aktion „Freiheit statt Angst on Tour“ [2], die im letzten Monat mit einer Demonstration in Bielefeld begann, wollen die Aktivisten ihren Protest gegen die geplante Neuauflage der Vorratsdatenspeicherung und die Skandale der NSA/BND-Affäre auf die Straße bringen.

„Sowohl das ehemalige deutsche Gesetz zur Vorratsdatenspeicherung, als auch die entsprechende EU-Richtlinie sind von den höchten Gerichten für grundrechtswidrig und ungültig erklärt worden“, sagt Kai-Uwe Steffens vom Bündnis. „Und trotzdem will die Koalition in Berlin nun diese anlasslose Überwachung aller Menschen wieder einführen. Dagegen wehren wir uns.“

„Und auch die Untätigkeit der Bundesregierung zur Spionage der NSA in Deutschland, und die Verwicklung deutscher Geheimdienste in diese Affäre sind inakzeptabel“, ergänzt Jan Girlich vom Bündnis. „Wer damit nicht einverstanden ist und es zu uns nach Hamburg schafft, ist eingeladen, sich unserem Protest anzuschließen.“

Die Auftaktkundgebung beginnt um 14:00 Uhr auf dem Rathausmarkt.

Weitere Informationen zum Thema:

[1] http://stop-watching-hamburg.de/
[2] http://freiheitstattangst.de/

[datensicherheit.de, 05.03.2014]  Verschlüsselung schützt Geschäftsgeheimnisse und persönliche Daten – wirklich?! Gilt das noch im „Jahr 1“ nach Snowden? Angesichts der nach und nach veröffentlichten Informationen über die Aktivitäten von NSA & Co. konnte man schon den Eindruck gewinnen, gegen die Geheimdienste von heute sei kein Kraut gewachsen. Viele fragen sich, ob nicht gerade die USA ihre Finger überall so tief drin haben, dass man sich die Mühe auch gleich sparen kann, seine Daten schützen zu wollen.

Die gute Nachricht: Es gibt noch immer sichere Verschlüsselungs-Verfahren, die nach heutigem Wissensstand auch die Geheimdienste nicht knacken können. Zu diesem Schluss kommen Prof. Bernhard Esslinger (Uni Siegen), Dr. Martin Franz und Dr. Michael Schneider in einem Artikel für die Fachzeitschrift <kes>.

© <kes>

Titelbild der Ausgabe 1/2014

Als unsicher anzusehen sind demnach vor allem ältere Standards, die akademische Kreise schon länger als „gebrochen“ angesehen haben, die aber dennoch verbreitet im Einsatz sind. Zudem gilt als gesichert, dass in mindestens einem Fall eine Standardisierung im Sinne der Dienste beeinflusst und mit einer „Hintertür“ versehen wurde. Trotzdem bleibt der Werkzeugkasten der Security-Industrie noch ausreichend gut gefüllt, um für ordentliche Sicherheit sorgen zu können.

Die schlechte Nachricht lautet indessen: Längst nicht jeder Anbieter agiert nur im Interesse seiner Kunden. Viele namhafte Soft- und Hardware-Hersteller arbeiten offenbar mit den Geheimdiensten zusammen: Entweder bauen sie gleich gezielte Schwachstellen ein oder programmieren zumindest in einer Art und Weise, die den Spionen das Leben leichter macht. Die Achillesferse der Sicherheit liegt also in den Systemen, Softwares und Dienstleistungen. Auch und gerade „in der Cloud“ ist anzunehmen, dass Sicherungen bewusst geschwächt oder Daten sogar direkt durchgereicht werden.

Ein wesentlicher Schritt zum besseren Schutz liegt daher in der Auswahl der genutzten Hard- und Software sowie Internetdienste. Hier steht zu befürchten, dass gerade Unternehmen, die in den USA ansässig oder stark vertreten sind, einem enormen Druck seitens der Sicherheitsorgane unterliegen – doch auch in anderen Teilen der Welt (inklusive Europa) gibt es äußerst aktive Geheimdienste. Neben der Bevorzugung nationaler Anbieter können auch Open-Source-Produkte oder unabhängige Prüfungen in gewissen Grenzen für ein Mehr an Sicherheit sorgen.

Zudem sollte man darauf achten, dass Produkte keine „alten“ Verfahren enthalten, die auch ohne aktives Zutun des Anbieters den Geheimdiensten Tür und Tor öffnen. Hier wird man zwar großteils auf die Aussagen der Hersteller vertrauen müssen, die es mit Empfehlungen der Fachleute abzugleichen gilt. Aber ohne fundierte Rückfragen und (Gegen-)Druck von Seiten der Kunden dürften sich mehr Hersteller klaglos den Wünschen von NSA & Co. unterwerfen als in einem Markt, der verstärkt Transparenz einfordert. Denn es ist eine Sache, stillschweigend mit den Geheimdiensten zu kooperieren, und eine andere, seine Kunden explizit zu belügen – schon gar, wenn man einer Gerichtsbarkeit untersteht, die womöglich zu Schadensersatz verpflichtet, wenn solche Lügen später auffliegen.

Weitere Informationen zum Thema:

<kes>
Der vollständige Artikel zum Thema „Krypto und NSA“ ist in <kes> Ausgabe 1/2014 zu finden
Gratis Ansichtsexemplar dieser Ausgabe erhält man unter: http://www.kes.info/probeheft

datensicherheit.de
<kes>, Die Zeitschrift für Informations-Sicherheit

[datensicherheit.de, 02.03.2014]  Die kürzlich beendete RSA Conference in San Francisco war von der NSA-Debatte gekennzeichnet. US-Unternehmen bemühten sich um Schadensbegrenzung. Während bei der politischen Bewertung keine Annäherung erkennbar wurde, zeichnen sich für deutsche Anbieter Wettbewerbsvorteile ab: Mit vertrauenswürdigen IT-Sicherheitslösungen ohne Backdoors und mit nichtkompromittierter Kryptographie.

Die Veranstaltung (24. – 28.02.2014, San Francisco) fand zum 23. Mal statt. Nach Veranstalterangaben waren mehr als 400 Aussteller vertreten – erstmals auf 2 Großhallen verteilt – und wurden 27.500 Teilnehmer bzw. Besucher gezählt (‚unaudited, staff included‘). Die RSA-Konferenz behauptet sich als weltweit führendes IT Security Event. Neben IT-Sicherheitsunternehmen waren Anwender, Forschungseinrichtungen und Behörden, einschließlich der NSA vertreten.

An dem von TeleTrusT und NürnbergMesse betreuten sowie vom BMWi unterstützten German Pavilion präsentierten atsec, Auconet, brainloop, Bundesdruckerei, CenterTools, Corisecio, Cryptovision, eco, Infineon, itWatch, Link11, QGroup, Rohde & Schwarz, Sirrix sowie TÜViT exemplarisch „IT Security made in Germany“. Der German Pavilion hat aufgrund seiner Größe Gold Sponsor-Status und war auf der RSA Conference insbesondere durch seine 2stöckige Architektur die massivste Nationenpräsenz von außerhalb der USA. Der Gemeinschaftsstand hat sich als Anlaufpunkt für die Anbahnung von Geschäftsbeziehungen bewährt.
Anlässlich der Standeröffnung betonte Dr. Markus Dürig namens des Bundesinnenministeriums die Bedeutung von vertrauenswürdigen IT-Sicherheitslösungen als Teil der Cybersicherheitsstrategie der Bundesregierung.

Das von TeleTrusT und der Partnerorganisation German American Business Association California gestaltete Rahmenprogramm umfasste deutsch-amerikanische Expertengespräche bei Symantec sowie mehrere Vortragsveranstaltungen.

Am Rande der RSA vereinbarten TeleTrusT und die FIDO Alliance eine Partnerschaft beider Organisationen, die sich in gemeinsamen Aktivitäten niederschlagen wird.

Im Rahmen des traditionellen Empfangs im Deutschen Generalkonsulat San Francisco wurden durch Bernd Kowalski im Namen des Bundesamtes für Sicherheit in der Informationstechnik Produktzertifikate unter anderem an die TeleTrusT-Mitglieder HOB und NXP verliehen.

Das Thema „NSA“überschattete die RSA Conference:

Bereits in den Keynotes der Eröffnungssession waren Rechtfertigungen prägend. Der Chairman von RSA/Security Division of EMC ging weniger auf die vermutete Zusammenarbeit seines Hauses mit der NSA ein, sondern widmete sich der Idee einer weltweiten Koalition von Politik und Wirtschaft, mit der auch Debatten über intransparente Kooperationen gegenstandslos würden. Ferner kritisierte er die Rolle von NIST.

Scott Charney (Microsoft) bestritt eine Kooperation mit der NSA und stellte die unterschiedlichen Verantwortlichkeiten von Industrie und Regierungen in Bezug auf Sicherheit und Privacy heraus. Nawaf Bitar von Juniper argumentierte mit historischen Beispielen gegen die offensichtliche Apathie und gegen eine beharrliche Verharmlosung von Überwachung in der Digitalen Gesellschaft.

Das traditionsreiche Panel der international führenden Kryptographen befasste sich fast ausschließlich mit der Abschwächung von Argumenten, die die Gefahren der NSA-Aktivitäten benennen.

Die Arbeit der Kommission, die kürzlich US-Präsident Obama Vorschläge für die Neuregulierung der Geheimdienste unterbreitete, war ebenso Gegenstand von Erörterungen. Richard Clarke – als exponierter Mitverfasser der Reformvorschläge – verteidigte diese gegen General Michael V. Hayden, der verstärkte Kontrolle und mehr Transparenz der Arbeit der NSA als Gefahr für die USA darstellte.

Als Fazit des Konferenzteils der RSA ergibt sich, dass das technologische Potential der NSA einen umfassenden Überwachungsstaat ermöglicht, diese Gefahr aber nicht ernstlich in Betracht gezogen wird. Die US-Regierung will ihren Einfluss im Internet nicht aufgeben.

Dabei wird bisher sehenden Auges in Kauf genommen, das US-amerikanischen IT-Unternehmen schon jetzt ein signifikanter Vertrauensverlust und in der Folge beträchtliche Umsatzverluste drohen. Die US-Medien griffen diesen Punkt in ihrer Berichterstattung kritisch auf. Inzwischen wächst die Befürchtung, dass „NSA-proof“ bzw. „NSA-resistant“ zu einem Qualitätsmerkmal der internationalen Wettbewerber wird. Die Information Technology & Innovation Foundation wurde mit 22 Milliarden USD geschätzten Kosten des „NSA-Problems“ für das US-Business bis 2016 zitiert, Forrester Research mit prognostizierten 180 Milliarden USD an potentiellen Verlusten (USA Today, 28.02.2014).

Als Gesamteindruck bestätigte sich, was Außenminister Steinmeier während seines zeitgleichen Besuches in Washington vermittelt wurde: Die USA und Deutschland haben einen unterschiedlichen politischen Betrachtungswinkel auf das Thema NSA-Überwachung. Auf dieser Ebene ist bislang kein zielführender Konsens erkennbar.

Deutschland sollte die Situation in erster Linie als technologische Herausforderung zur Wiederherstellung seiner digitalen Souveränität verstehen. Deutschland ist dazu in der Lage und wird auch von anderen Ländern in der Rolle des Wegbereiters gesehen. Die mehrheitlich KMU-geprägte deutsche IT-Sicherheitsindustrie kann mit wettbewerbsfähigen, vertrauenswürdigen Lösungen aufwarten. Anlassbezogene Zusammenarbeit auch mit US-Technologieanbietern bleibt davon unbenommen. Erfolgsaspekte der US-Seite, wie ausgeprägte technische Innovationsfreudigkeit, schnelle Umsetzung von Entwicklungen in vermarktbare Produkte, Wagniskapitalkultur und umfangreiche wirtschaftsbezogene Förderprogramme der öffentlichen Hand können für Deutschland Vorbild sein.

Weitere Informationen zum Thema:

datensicherheit.de, 05.02.2014
RSA Conference 2014 in San Francisco

datensicherheit.de, 01.03.2014
IT-Sicherheit im Arbeitsrecht: TeleTrusT-Informationstag am 15.04.2014 in Berlin

[datensicherheit.de, 28.01.2014] Heute (28.01.2014) ist nicht nur der Europäische Datenschutztag, sondern zugleich der Data Privacy Day u.a. in den USA. Die Enthüllungen über die Tätigkeiten von Geheimdiensten, die bis ins Kleinste unsere Daten analysieren, könnten zu dem Eindruck führen, dass Datenschutz sowieso chancenlos ist. „Im Gegenteil“, sagt Ulrich Lepper, der Landesdatenschutzbeauftragte NRW, „wann, wenn nicht jetzt? Wir können etwas tun, um unsere Privatsphäre zu schützen, und wir sollten es jetzt tun. Staatliche Stellen müssen ihre Aufgabe wahrnehmen, die Bürgerinnen und Bürger zu schützen. Aber auch Bürgerinnen und Bürger können etwas tun.“
Ansatzpunkte gebe es auf allen Ebenen von der Europapolitik bis zum eigenen Smartphone.

Forderungen auf internationaler und nationaler Ebene:

• Die Reform des europäischen Datenschutzrechts ist überfällig. Wir brauchen gemeinsame Standards mit einem hohen Schutzniveau für die Privatsphäre. Deutschland   sollte auf europäischer Ebene die Datenschutzreform antreiben und sich für ein hohes Schutzniveau einsetzen.
• Die europäischen Mitgliedstaaten müssen auch untereinander klären, was ihre eigenen Geheimdienste tun. Sie müssen gemeinsame Grundregeln vereinbaren, die die Privatsphäre angemessen schützen.
• Internationale DatenschutzAbkommen – z.B. zur Passagierdatenübermittelung, zum Zahlungsverkehr oder zu Safe Harbor – müssen neu verhandelt werden, so dass unverhältnismäßige Zugriffe ausgeschlossen werden.
• Neue Abkommen – etwa zum Freihandel – dürfen keine Datenschutz-Beschränkungen enthalten. Verhandlungen können vielmehr dazu genutzt werden, höhere Datenschutz-Standards zu vereinbaren.
• Technik zum Datenschutz muss gefördert werden, sowohl was den Einsatz im Alltag angeht, als auch bei der Erforschung neuer Möglichkeiten.
• Neue Gesetze, die in die Privatsphäre eingreifen, z.B. zur Vorratsdatenspeicherung, müssen besonders intensiv geprüft werden. Im Zweifel sollten solche Gesetze nicht beschlossen werden.

Möglichkeiten zum Selbstdatenschutz:

• Wer sich schützen will, kann geeignete Technik einsetzen, z.B. zur Verschlüsselung. Auch wenn die „Spionage-Technik“ übermächtig erscheint, kann doch ein Zugriff durch unbekannte Stellen zumindest deutlich erschwert werden.
• Wer die eigenen Daten unter Kontrolle behalten möchte, sollte über Mediennutzung und Kommunikationsmittel bewusst entscheiden. Das reicht von der Frage, welche Dienste (z.B. Cloud-Produkte oder Soziale Netzwerke) verwendet werden, bis zu der Entscheidung, was im Einzelnen mitgeteilt wird.

Über den Landesbeauftragten für Datenschutz und Informationsfreiheit:

Der Landesbeauftragte wacht über die Einhaltung der Datenschutzvorschriften in Nordrhein-Westfalen. Dazu berät er Bürgerinnen und Bürger, Wirtschaft, Verwaltung und Politik in Datenschutzfragen und kontrolliert Unternehmen mit Sitz in NRW sowie Behörden des Landes und der Kommunen in NRW.
Außerdem kümmert sich der Landesbeauftragte darum, dass Bürgerinnen und Bürger ihr Recht auf freien Zugang zu behördlichen Informationen in NRW wahrnehmen können.

Zum Europäischen Datenschutztag:

Der Europäische Datenschutztag wurde vom Europarat als Aktionstag für den Datenschutz ins Leben gerufen und wird seit 2007 jährlich am 28. Januar begangen. Dieses Datum geht auf die Unterzeichnung der Europäischen Datenschutzkonvention am 28. Januar 1981 zurück. Die unterzeichnenden Staaten verpflichten sich darin, für die Achtung der Rechte und Grundfreiheiten insbesondere des Persönlichkeitsbereichs bei der automatisierten Datenverarbeitung Sorge zu tragen.

Weitere Informationen zum Thema:

datensicherheit.de, 27.01.2013
Veranstaltungen zum Europäischen Datenschutztag 2014