[datensicherheit.de, 12.09.2013]  Das Internet werde in internationalen Verhandlungen gestaltet – doch für internationale Netzpolitik hätten die Parteien keine überzeugenden Konzepte in ihren Wahlprogrammen so eco. Damit schafften sie unnötige Risiken: sowohl für die Rechte deutscher Internetnutzer als auch für eine Branche, die maßgeblich zur positiven Konjunkturentwicklung beitrage. Der Verband der deutschen Internetwirtschaft eco warnt davor zu übersehen, welch große Bedeutung das internationale Thema für die deutsche Wirtschaft hat.

Landesgrenzen und Hoheitsgebiete seien Erfindungen der analogen Welt, die sich nur schlecht auf das Internet übertragen ließen: Nutzer verwendeten Dienste aus anderen Rechtsräumen, nationale Verbote ließen sich mit wenigen Klicks umgehen. Und die PRISM-Debatte mache bewusst, dass selbst bei Sendern und Empfängern im selben Land der Datenverkehr teilweise übers Ausland laufe und somit fremdem Zugriff ausgesetzt sei. Dies zeige: Fragen zu rechtlichen und technischen Verfahren im Internet ließen sich auf nationaler Ebene nur mit Abstrichen lösen, viele Themen bedürfen internationaler Kooperation.

Die entsprechenden internationalen Gremien gebe es. eco vertrete dort seit Jahren die Interessen der deutschen Internetwirtschaft, zum Teil mit Unterstützung der Bundesregierung. Teilweise sei die aktuelle Regierung auch selbst aktiv – ob dies in der kommenden Legislaturperiode so bleibe, sei allerdings unklar. In den Wahlprogrammen der Parteien gebe es kaum Aussagen zur internationalen Netzpolitik. Angesichts der wirtschaftlichen Bedeutung des Internets ist dies für den Vorstandsvorsitzenden von eco, Prof. Michael Rotert, ein unerklärliches Versäumnis: „Hier wird ein Weltmarkt gestaltet. Aber in den Parteiprogrammen finden sich nur Allgemeinplätze oder Einzelthemen, wo Gesamtkonzepte notwendig wären.“

Eindimensionales Verständnis von Netzpolitik

So reduziere die CDU/CSU das Thema internationale Netzpolitik auf den Schutz vor Cyberspionage. Die SPD betrachte es nur unter dem Gesichtspunkt des Urheberrechts, die Linke fordere ein Exportverbot für Überwachungssoftware, die FDP schweige völlig.

Etwas konkreter würden Piraten und Grüne, leider ohne in der Sache viel zu erreichen: Die Piraten formulierten das kaum greifbare Ziel, weltweit ein freies Internet auszubauen und einen friedlichen Cyberspace zu schaffen. Die Grünen hingegen forderten eine weltweite Internet-Governance-Struktur. Diese gebe es jedoch bereits seit Jahrzehnten: Sie war Voraussetzung, dass sich das Internet überhaupt auf seinen heutigen Stand entwickeln konnte.

eco fordert Einmischung

Gerade diese letzte Forderung macht das Problem deutlich, so Rotert: „Die Politik hat zwar die Möglichkeit, gestaltend mitzuwirken. Aber da die etablierten Verfahren anders ablaufen als im politischen Geschäft üblich, kennen nur wenige Experten überhaupt die Möglichkeiten. Meist springen stattdessen Nichtregierungsorganisationen ein, die aber natürlich ihre eigene Agenda vertreten.“

Die nächste Bundesregierung solle deshalb strategisch und mit einem klaren Programm das Internet aus Sicht deutscher Interessen mitgestalten. Eine gute Gelegenheit sei der European Dialogue on Internet Governance (EuroDIG). Auf dieser Konferenz erarbeiteten Stakeholder aus Regierung, Wirtschaft, Wissenschaft und Zivilgesellschaft gemeinsame Ziele für die Netzentwicklung – dort würden die vereinigten digitalen Staaten von Europa erdacht. 2014 finde das wichtige Treffen in Berlin statt. Ein gutes Zeichen: eco werde von der Bundesregierung unterstützt. Das Bundesministerium für Wirtschaft und Technologie habe die Schirmherrschaft übernommen.

Von unserem Gastautor Klaus Schmeh

[datensicherheit.de, 22.08.2013] Deutschland Ende der 1990-Jahre: Während in den USA der Export starker Verschlüsselungstechnik verboten ist, nutzen deutsche Anbieter diese Lücke und verkaufen ihre Kryptologie-Lösungen in die ganze Welt. Verschlüsselungs-Plugins für „Outlook“, SSL-Applets für Web-Broser, Datei-Verschlüsselungstools für „Windows“ und ähnliche Produkte bescheren deutschen Firmen wie Brokat oder KryptoKom gute Geschäfte. Im Jahr 2000 wurde das Exportverbot zwar schließlich aufgehoben, und die US-Hersteller rüsteten ihre Standardprodukte mit Verschlüsselungsfunktionen aus. Doch bis heute können deutsche Unternehmen ihren Platz auf dem Krypto-Weltmarkt behaupten und dabei auch US-Anbietern Paroli bieten. Kein Wunder: Wer kauft schon gerne Verschlüsselungstechnik in einem Land, das seinen Ruf in Sachen Kryptologie so gründlich ruiniert hat?

Mögliche Profiteure des NSA-Skandals: Kryptologie-Anbieter in Deutschland

13 Jahre später machen die US-Amerikaner ihrem Ruf wieder einmal alle Ehre. Durch die Enthüllungen von Edward Snowden wurde bekannt, dass die USA noch mehr in fremden Angelegenheiten herumschnüffeln, als viele das befürchtet hatten. Anders als in den 1990er-Jahren stehen jedoch dieses Mal nicht die US-Produkthersteller im Fokus, sondern vor allem die Betreiber von Online-Diensten. Die Datenbestände von E-Mail-Anbietern und Sozialen Netzwerken stehen für die Lausch-Behörde NSA anscheinend offen wie ein Scheunentor.
Profiteure des NSA-Skandals sind erneut die deutschen Kryptologie-Hersteller. Deren Kalkül: Die Schnüffeleien der NSA lassen die Nachfrage nach Kryptologie generell steigen, und da niemand so recht US-Anbietern wie Microsoft oder IBM vertraut, kommen viele auf die Plugins und Add-ons made in Germany zurück. Von geheimen Hintertüren in den Verschlüsselungsfunktionen von „Outlook“ und Co. ist bisher zwar nichts bekannt, doch wer will sich darauf verlassen?

„IT Security made in Germany“ genießt guten Ruf

Auch Dr. Holger Mühlbauer, Geschäftsführer des deutschen Branchenverbands TeleTrusT, sieht gute Perspektiven für die deutsche Krypto-Industrie: „‘IT Security made in Germany‘ genießt weltweit einen guten Ruf. Deutsche Krypto-Anbieter waren noch nie ernsthaft dem Verdacht ausgesetzt, nach der Pfeife irgendwelcher Geheimbehörden zu tanzen.“ Verlässliche Zahlen gebe es zwar noch nicht, doch erste Anzeichen sind laut Dr. Mühlbauer bereits erkennbar: „Wir beobachten allenthalben ein steigendes Misstrauen gegenüber US-Produkten, und das ist zweifellos eine Steilvorlage für deutsche Unternehmen.“ Mühlbauer ist vorsichtig mit Aussagen über US-Hersteller (auch einige US-Unternehmen sind TeleTrusT-Mitglieder), doch gute Miene zum bösen Spiel will er nicht machen: „Die Überwachung hat solche Dimensionen erreicht, dass man deutsche Anbieter einfach empfehlen muss.“

Foto: privat

TeleTrusT-Geschäftsführer Holger Mühlbauer sieht angesichts des NSA-Skandals die Politik in der Pflicht

Dr. Mühlbauer sieht nicht zuletzt die Politik in der Pflicht. Er kritisiert in diesem Zusammenhang, dass seit zwei Jahren erfolglos ein Datenschutzabkommen zwischen der EU und den USA verhandelt wird.
TeleTrusT unterstützt die EU-Forderung, wonach man in Washington zwei Bedingungen akzeptieren muss: EU-Bürger sollen vor US-Gerichten klagen können und US-Firmen, die in der EU tätig sind, sind verpflichtet, sich an die hier gültigen Datenschutz-Standards zu halten. Eine weitere Forderung Dr. Mühlbauers: Behörden müssen vertrauenswürdige Kryptologie-Anbieter auswählen, beispielsweise mit deutscher Sicherheitszulassung oder Zertifizierung.

Zu den deutschen Krypto-Herstellern, die vom NSA-Skandal profitieren, zählt der Gelsenkirchener Anbieter cryptovision. Dessen Geschäftsführer Markus Hoffmeister berichtet: „Eine Kundenanfrage jagt bei uns derzeit die nächste. Selbst in Australien und Südamerika interessiert man sich für unser E-Mail-Verschlüsselungs-Plugin, unsere Smartcard-Middleware, unsere PKI-Produkte und unsere Secure-eID-Lösung.“ Für eine genaue Einschätzung sei es zwar noch zu früh, doch Hoffmeister geht von einem „deutlichen Umsatzplus“ aus.

Foto: privat

cryptovision-Geschäftsführer Markus Hoffmeister freut sich über viele Kundenanfragen

Immerhin können viele deutsche Behörden die Berichte über NSA-Schnüffeleien gelassen zur Kenntnis nehmen. Schließlich gibt es hierzulande seit über 20 Jahren das Bundesamt für Sicherheit in der Informationstechnik (BSI), das staatliche Einrichtungen mit Verschlüsselungstechnik versorgt – und diese Aufgabe durchaus ernst nimmt. Auch die Bundeswehr versteht naturgemäß keinen Spaß, wenn es um ihre Daten geht. Deshalb nutzen die deutschen Streitkräfte und viele ihrer Zulieferer unter anderem E-Mail-Verschlüsselung – allerdings nicht mit den eingebauten Funktionen von „Outlook“ oder „Notes“, sondern mit einem sicherheitsgeprüften Plugin.

Vom Abhörskandal profitiert derzeit neben den deutschen Krypto-Herstellern auch die NSA – wenn auch auf andere Art. Die US-Behörde mit Sitz in Maryland hat ihren Bekanntheitsgrad deutlich gesteigert. Markus Hoffmeister: „Noch vor einem Jahr musste ich öfter erklären, wer die NSA überhaupt ist. Heute kennt sie jedes Kind.“

© Klaus Schmeh

Klaus Schmeh ist Blogger und Autor des Buchs „Nicht zu knacken“, in dem die zehn größten ungelösten Rätsel der Verschlüsselungstechnik beschrieben werden.

Weitere Informationen zum Thema:

ScienceBlogs
Klausis Krypto Kolumne

datensicherheit.de, 19.02.2013
Codeknacker machen Geschichte: Historiker und Kryptologie-Experten trafen sich zur Tagung in Gotha

[datensicherheit.de, 06.08.2013] Das waren noch Zeiten: „Im Internet weiß niemand, dass Du ein Hund bist!“ hatte es auf einer bekannten Karikatur aus dem Jahr 1993 geheißen. Zu sehen ist ein Hund, der vor einem PC sitzt, eine Pfote auf der Tastatur, und einer Promenadenmischung das Internet erklärt… Die Möglichkeit, unter virtuellen Identitäten zu surfen, habe damals eine bis dahin so nicht erlebte Anonymität versprochen, so der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz, Edgar Wagner.
Die Zeiten hätten sich in vielfacher Hinsicht geändert. Längst gebe es einen heftigen Streit über mögliche Grenzen der Anonymität im Netz. Vor allem von politischen Parteien und staatlichen Stellen würden solche Grenzen zunehmend bedroht, was zu interessanten Interessenübereinstimmungen mit Google, facebook etc. führe, so Wagner. Andererseits stehe es außer Frage, dass das Recht der Meinungsfreiheit auch anonyme Meinungsäußerungen umfasse; auch und gerade solche, die im Internet abgegeben werden.
Die Enthüllungen um die Spähprogramme „PRISM“ und „TEMPORA“ hätten uns jetzt auch vor Augen geführt, wie weit die Überwachung des Internets zwischenzeitlich gediehen sei und wie intensiv die Spuren, die wir dort hinterlassen, ausgewertet würden. Das Internet von heute biete eine Vielzahl von Diensten, und jeder Klick, jeder Chat, jedes Foto, jede Suche, jeder Post und jede Nachricht hinterließen eine Datenspur. Diese sei nicht nur für Geheimdienste von Interesse, warnt Wagner.
Der „Datenschatten“, den wir im Internet werfen, wecke viele Begehrlichkeiten, so der Landesbeauftragte für den Datenschutz in Rheinland-Pfalz. Die Daten würden für Zwecke der Kundenbindung, der Online-Werbung oder der Marktforschung erfasst und ausgewertet und zu individuellen Nutzungs-, Kauf- oder Bewegungsprofilen verdichtet. Je mehr das Internet im Alltag genutzt wird, desto mehr Datenspuren lieferten Hinweise auf Interessen, Vorlieben und Verhaltensweisen der Nutzerinnen und Nutzer. Den digitalen Augen und Ohren im Internet nicht alles preiszugeben, sei indes das legitime Recht aller Nutzer, sagt Wagner. Die Globalität des Internet mache es häufig jedoch schwer, dies einzufordern. Wer nicht will, dass seine Daten Neugier und Sammelwut preisgegeben sind, sollte digitale Vorsorge treffen.
Zwar bringe es die digitale Lebenswelt mit sich, dass man nicht immer und vollständig anonym bleiben könne; darin gleiche sie letztlich dem analogen Alltag. Hier wie dort wechsele man zwischen notwendiger Preisgabe persönlicher Daten und berechtigtem Verschweigen. Welche Möglichkeiten bestehen, Datenspuren im Internet zu vermeiden, wie Inhalte bei E-Mail und Online-Speichern durch Verschlüsselung geschützt werden können oder wie die „penetrante Dateninkontinenz“ von Smartphones unterbunden werden kann, erläutert der Landesbeauftragte für den Datenschutz Rheinland-Pfalz auf seinem Internet-Angebot zum Selbstdatenschutz.

Weitere Informationen zum Thema:

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz
Digitale Vorsorge. Selbstdatenschutz im Internet

[datensicherheit.de, 02.08.2013] Der Landesdatenschutzbeauftragte empfiehlt allen Behörden des Landes und der Kommunen in NRW, zu überprüfen, ob die Konzepte für die Datensicherheit den Gefährdungsszenarien standhalten, die aktuell vorstellbar sind. Anlass zur Sorge geben die aktuellen Berichte über die Tätigkeit ausländischer Geheimdienste vor allem der USA und Großbritanniens.
Besonders wenn öffentliche Stellen private Unternehmen – wie z.B. Cloud-Dienstleister – beauftragen, die im Fokus ausländischer Geheimdienste stehen, sollten sie dringend prüfen, ob dies noch den rechtlichen Anforderungen entspricht.

„Spätestens jetzt sollten alle Warnsignale leuchten: Datenschutz und Datensicherheit müssen dringend überprüft werden. Dies gilt ebenso für Unternehmen“, so Ulrich Lepper.

[datensicherheit.de, 26.07.2013] Im Rahmen der Medienberichterstattung zu den Ausspähprogrammen amerikanischer und britischer Geheimdienste wurde auch über das Bundesamt für Sicherheit in der Informationstechnik (BSI) und dessen vermeintlich enge Zusammenarbeit mit dem US-Nachrichtendienst National Security Agency (NSA) berichtet. Dabei sei unter anderem suggeriert worden, dass das BSI die NSA aktiv mit Informationen versorge, die es der NSA erleichterten, in Deutschland Ausspähungen vorzunehmen und vorhandene Sicherheitsschranken zu umgehen. Hier sei insbesondere eine vermeintliche Zusammenarbeit zwischen BSI und ausländischen Diensten im Zusammenhang mit der Zertifizierung von IT-Produkten und -Dienstleistungen – einer Kernaufgabe des BSI zur Schaffung von mehr IT-Sicherheit – unterstellt worden. Zudem wurde die Frage aufgeworfen, ob das BSI die NSA dabei unterstützt habe, Kommunikationsvorgänge am Internetknoten De-CIX auszuspähen.

Hierzu erklärt das BSI: Eine Zusammenarbeit oder Unterstützung ausländischer Nachrichtendienste durch das Bundesamt für Sicherheit in der Informationstechnik im Zusammenhang mit den Ausspähprogrammen Prism und Tempora findet nicht statt. Das BSI hat weder die NSA noch andere ausländische Nachrichtendienste dabei unterstützt, Kommunikationsvorgänge oder sonstige Informationen am Internet-Knoten De-CIX oder an anderen Stellen in Deutschland auszuspähen. Das BSI verfügt zudem nicht über das Programm XKeyscore und setzt dieses nicht ein. Das BSI gibt überdies keinerlei Informationen über zertifizierte IT-Produkte und -Dienstleistungen oder im
Rahmen des Zertifizierungsprozesses gewonnene Erkenntnisse über diese Produkte und Dienstleistungen an andere Behörden, Nachrichtendienste oder sonstige Dritte weiter.

Internationale Zusammenarbeit im Rahmen der präventiven Aufgaben des BSI

Das BSI tausche sich im Rahmen seiner auf Prävention ausgerichteten Aufgaben regelmäßig mit anderen Behörden in der EU und außerhalb der EU zu technischen Fragestellungen der IT- und Internet-Sicherheit aus. Auch Behörden in Deutschland stelle das BSI auf Anfrage technische Expertise und Beratung zur Verfügung. Im Kontext der Bündnispartnerschaft NATO arbeitee das BSI auch mit der NSA zusammen. Diese Zusammenarbeit umfasse jedoch ausschließlich präventive Aspekte der IT- und Cyber-Sicherheit entsprechend den Aufgaben und Befugnissen des BSI gemäß des BSI-Gesetzes.

In Deutschland bestehe eine strukturelle und organisatorische Aufteilung in Behörden mit einerseits nachrichtendienstlichem bzw. polizeilichem Auftrag und dem BSI mit dem Auftrag zur Förderung der Informations- und Cyber-Sicherheit. In anderen westlichen Demokratien bestünden mitunter Aufstellungen, in denen diese Aufgaben und Befugnisse in anderem Zuschnitt zusammengefasst würden. Die Zusammenarbeit des BSI mit diesen Behörden finde stets im Rahmen der präventivenAufgabenwahrnehmung des BSI statt, unter anderem zur Abwehr von IT- und Cyber-Angriffen.

IT-Zertifizierung ist und bleibt vertraulich

Unabdingbare Voraussetzung für die Nutzung von IT und das Erschließen der damit verbundenen wirtschaftlichen und gesellschaftlichen Potenziale sei das Vertrauen in die Informationstechnik und die IT-Dienstleistungen. Vertrauen setze wiederum Sicherheit voraus, die das BSI zum Beispiel durch eine transparente und nachvollziehbare Darstellung der Sicherheitsanforderungen, der daraus resultierenden Sicherheitsniveaus und der Abläufe, wie Sicherheitsanforderungen entstehen, anstrebe. Die Zertifizierung sei ein bewährtes Verfahren zur Bewertung der Sicherheit von IT-Produkten, das international erfolgreich etabliert ist.

Die Objektivität und Einheitlichkeit der Prüfungen sowie die Unparteilichkeit wird dabei durch das BSI gewährleistet. Das BSI ist im Zertifizierungsverfahren maßgeblich an der Erarbeitung der Sicherheitsvorgaben (Security Targets) beteiligt. Nach der Beantragung der Zertifizierung beim BSI wird die technische Evaluierung eines Produktes im  Regelfall durch eine beim BSI anerkannte private Prüfstelle durchgeführt, die der Antragsteller frei wählen kann. Die Prüfstelle wird vom Antragsteller beauftragt und bezahlt. Das BSI begleitet das Prüfverfahren und erteilt nach dessen erfolgreichem Verlauf und entsprechender Prüfung das Zertifikat.

Anbieter von IT-Produkten und -Dienstleistungen können mit Hilfe der Zertifizierung das Sicherheitsniveau ihrer Angebote nachvollziehbar darstellen. Nutzer von zertifizierten IT-Produkten und -Lösungen können einschätzen, für welche Einsatzbereiche diese Produkte und Dienstleistungen geeignet sind und welchen Beitrag die Nutzer ggf. selbst leisten müssen, um beim Einsatz dieser Produkte und Lösungen das erforderliche Maß an Informationssicherheit zu erreichen. Weitere Informationen zur Zertifizierung sind auf der Webseite des BSI abrufbar.

[datensicherheit.de, 23.07.2013] In einer aktuellen Stellungnahme weist die softScheck GmbH aus Sankt Augustin darauf hin, dass seit über zehn Jahren das gesamte Internet nicht nur weltweit vollständig überwacht werde, alle Kommunikationsvorgänge würden protokolliert, aufgezeichnet, ausgewertet, nicht nur bei personenbezogenen Daten (Datenschutz), sondern es werde intensiv Wirtschaftsspionage betrieben – und das nicht nur von einem Staat, sondern von allen (!) Industriestaaten und von Staaten, die Wirtschaftsspionage bezahlen können. „PRISM“, „StellarWind“, „EvilOlive“, „Tempora“, „ECHELON“ etc. seien also nur Kürzel für Wirtschaftsspionage, und es gebe weitere Spionageprogramme.
Die aktuelle Diskussion um die internationale Telefon- und Internetüberwachung führe uns einmal mehr vor Augen, wozu Informationstechnik (IT) ganz legal eingesetzt wird – sicherheitsbewusste Unternehmen hätten bereits reagiert und erhöhten ihr IT-Sicherheitsniveau, den Widerstandswert ihrer Sicherheitssysteme, um sich stärker gegen Abhören (Spionage) und Manipulation ihrer Daten und Prozesssteuerungen (Sabotage) zu schützen. Basis für Sicherheitsmaßnahmen sei in jedem Fall der Grundschutz nach BSI bzw. die internationale Normenfamilie ISO 27000 – aber auch nur die Basis.

Die softScheck GmbH benennt die nach ihrer Ansicht wichtigsten zehn zusätzlichen Sicherheitsmaßnahmen:

1. Datensparsamkeit
   Nur unverzichtbar notwendige Daten dürfen in IT-Systemen und Netzwerken gespeichert und übertragen werden. Die wertvollsten Daten gehören auf stand-alone Systeme – ohne Anschluss an das Internet.
2. Anschlüsse an das Internet einschränken
   Ausschließlich hoch abgesicherte Computer und Netze dürfen an andere interne und externe Netze oder gar an das Internet angeschlossen werden.
3. Soziale Netzwerke
   Besonders stark von Nachrichtendiensten überwacht werden Soziale Netzwerke, weil darin (fast) alle Informationen über die Teilnehmer erhältlich sind, bis hin zu Fotos von unterschiedlichen Ereignissen. Es muss im Unternehmen geprüft werden, ob die Nutzung für den Geschäftserfolg wirklich notwendig ist.
4. Suchmaschinen
   Auch wenn der gesamte Internetverkehr überwacht wird, können in vielen Fällen anonymisierende Suchmaschinen wie die deutsche Suchmaschine „Metager2“, „ixquick“, „Scroogle“, „StartPage“ oder die US-Suchmaschine „DuckDuckGo“ ausreichen, um ein Abhören der Interessengebiete zu erschweren. Zumindest sollte die Individualisierungsfunktion der jeweils benutzten Suchmaschine abgeschaltet werden.
5. Verschlüsselung
   Auch wenn wohl alle modernen Verschlüsselungsverfahren geknackt werden, sollte zur Erhöhung des Sicherheitsniveaus jede Kommunikation über das Internet verschlüsselt werden. Beachtenswert ist die Qualität der Verschlüsselungsprogramme – lange Schlüssel, die nach jeder Nachricht gewechselt werden. Gerade im Kryptobereich muss vor der Entscheidung für ein Produkt eine detaillierte Funktionsprüfung durchgeführt werden.
6. Zugriffskontrolle, Identity Management
   Berechtigte dürfen nur die geringstmöglichen Zugriffsrechte erhalten. Das Management der Zugriffsberechtigungen selbst bedarf eines hohen Sicherheitsniveaus. Alle Zugriffe auf wertvolle Daten müssen protokolliert und sorgfältig ausgewertet werden.
7. Qualität von Sicherheitsprogrammen
   Die wichtigsten Programme – insbesondere die Sicherheitsprogramme – müssen auf Hintertüren (covert functions) und Sicherheitslücken – vor allem auf bislang nicht veröffentlichte Sicherheitslücken (Zero-Day-Vulnerabilities) – überprüft werden und die identifizierten Sicherheitslücken müssen auch behoben (gepatcht) werden. Anderenfalls sind die IT-Systeme „offen wie ein Scheunentor“ für Nachrichtendienste und Spionage-treibende Mitbewerber. Diese Angriffstechnik „Ausnutzung bisher unveröffentlichter Sicherheitslücken“ beherrschen – neben dem klassischen Abhören – Sicherheitsbehörden auch von Drittstaaten sowie größere kriminelle Organisationen.
8. Software-Entwicklung
   Sicherheit beginnt im Software-Entwicklungsprozess beim Entwurf der Software mit Untersuchung des Security Designs auf fehlende Sicherheitsmaßnahmen: „Threat Modeling“. Die Implementierung muss mit „Static Source Code Analysis“ und dann mit „Penetration Testing“ überprüft werden. Den unverzichtbaren Abschluss der Software-Entwicklung bildet „Dynamic Analysis – Fuzzing“: Es werden in das zu untersuchende Programm erfahrungsgemäß erfolgreiche Angriffsdaten eingespeist; wenn das Zielprogramm anomal reagiert, wird diese Programmstelle von Experten untersucht. Die Methoden klingen einfach – sind aber nur durch den Einsatz vieler Tools (weltweit werden über 300 angeboten) wirkungsvoll, kostengünstig und schnell!
9. Outsourcing
   Unter Sicherheitsaspekten muss jede Auslagerung von Daten aus dem Unternehmen ständig und umfassend technisch kontrolliert werden:
   • Wer hat welche Zugriffsberechtigungen (Mitarbeiter des Dienstleisters? Wie können Zugriffe Unberechtigter erschwert werden?)
   • Kann die Sicherheitsqualität der Maßnahmen von den Unternehmens-eigenen Mitarbeitern eprüft und bewertet werden?
10. Falsche Empfehlungen
    • Nationale Internetdienste
      In Europa oder besser Deutschland angesiedelte Internetdienste nutzen: Dies verbessert nur die rechtliche Situation wegen des höheren Datenschutzniveaus, ergibt aber keinerlei höheres technisches Sicherheitsniveau.
    • Clouds
      Zwar können Daten verschlüsselt übertragen und gespeichert werden – allerdings müssen sie zur Verarbeitung unverzichtbar entschlüsselt werden. Es muss sorgfältig überprüft werden, welche Sicherheitsmaßnahmen zur Erreichung der Verfügbarkeit, der Vertraulichkeit und der Integrität implementiert sind und vor allem muss die Implementierungsqualität in public und hybrid Clouds geprüft werden!
    • ByoD – Bring your own Device
      Bis 2017 sollen Mitarbeiter in mehr als der Hälfte aller Unternehmen ihre eigenen mobilen Geräte mitbringen. Die mit ByoD verbundenen Bedrohungen u.a. durch Zero-Day-Vulnerabilities und covert Functions (nicht-dokumentierte Funktionen) in Apps werden mit unabsehbaren Folgen völlig unterschätzt.

Weitere Inforationen zum Thema:

softScheck GmbH
Kostengünstige Identifizierung von Sicherheitslücken

[datensicherheit.de, 21.07.2013] Die Ausspähaktionen von US- und britischen Geheimdiensten verunsichern die deutschen Internetnutzer. Laut einer aktuellen BITKOM-Umfrage sagten zwei Drittel der Befragten (66 Prozent), dass ihre Daten im Netz eher (39 Prozent) oder völlig (27 Prozent) unsicher seien. Nur zwei Prozent glaubten, dass ihre Daten im Internet sehr sicher sind, 27 Prozent hielten sie dort für sicher.
Dies seien Ergebnisse einer repräsentativen Umfrage im Auftrag des BITKOM, die vom Meinungsforschungsinstitut ARIS im Juli 2013 durch eine repräsentative Befragung von mehr als 1.000 Internetnutzern ab 14 Jahren durchgeführt worden sei.
Verglichen mit 2011 zeige sich ein deutlicher Vertrauensverlust. Vor zwei Jahren hätten sich nur etwas mehr als die Hälfte der Internetnutzer (55 Prozent) Sorgen um ihre Daten gemacht – zwölf Prozent hätten angegeben, ihre Daten seien im Netz völlig unsicher, 43 Prozent hätten sie als „eher unsicher“ bezeichnet.
Diese Zahlen seien ein Alarmsignal. Der BITKOM habe seit Bekanntwerden der Ausspähaktionen schnellstmögliche und größtmögliche Transparenz gefordert und vor einem Vertrauensverlust gewarnt. „Die Internetnutzer wollten und brauchen Klarheit und Wahrheit“, sagt BITKOM-Präsident Prof. Dieter Kempf.

[datensicherheit.de, 21.07.2013] Der BITKOM hat den am 19. Juli 2013 von Bundeskanzlerin Dr. Angela Merkel vorgestellten „8-Punkte-Katalog“ als Reaktion auf die Datenausspähung durch US-Geheimdienste im Rahmen des Programms „Prism“ grundsätzlich begrüßt – gleichzeitig warnt der BITKOM aber davor, die Verantwortung für Ausspähaktionen von der Politik auf die Unternehmen abzuwälzen.
Es sei höchste Zeit, dass die Politik konkrete Schritte zur Aufklärung der Ausspähaffäre unternimmt, betont BITKOM-Präsident Prof. Dieter Kempf. Der von der Bundeskanzlerin angekündigte „8-Punkte-Katalog“ sei dazu ein Anfang; er reiche aber noch nicht aus. Wir bräuchten dringend schnelle und umfassende Transparenz. Dazu das Gespräch mit den US-Amerikanern auf verschiedenen Ebenen zu suchen sei richtig, reiche aber nicht aus, so Professor Kempf. Die Wirtschaft brauche Rechtssicherheit. Eine europäische und transatlantische Vereinbarung über die Zusammenarbeit der Geheimdienste sei dringend notwendig.
Gleichzeitig dürfe der Schutz vor Ausspähung nicht allein den Unternehmen aufgebürdet werden. So setze sich der BITKOM zwar für eine EU-Datenschutzverordnung mit hohen deutschen Standards ein, als Abwehr gegen Geheimdienstmaßnahmen eigne sie sich aber nicht. Diese Verordnung regele ja gerade nicht das staatliche Handeln in Sicherheitsfragen, sondern den Umgang mit Daten in Unternehmen. Diesen zu verbieten, Daten herauszugeben, zu deren Herausgabe sie aufgrund anderer Rechtsgrundlage verpflichtet sind, bedeute, dass sie sich entweder in Europa oder z.B. in den USA ins Unrecht setzen müssten. So würden die Unternehmen in ein Dilemma gebracht, das sie selbst nicht lösen könnten.
Bei der von der EU-Kommission ins Spiel gebrachten Aufkündigung des „Safe-Harbor“-Abkommens mit den USA sei Vorsicht geboten. Wird diese Rechtsgrundlage für den Datenverkehr zwischen Europa und den USA ohne bessere Alternative überhastet abgeschafft, stelle dies fast die gesamte europäische Wirtschaft vor kaum lösbare Probleme. Der BITKOM unterstütze gleichzeitig die Auffassung der EU-Kommission, das Thema Datenschutz bei den transatlantischen Freihandelsgesprächen zum Thema zu machen und entsprechende Fragen in dem Freihandelsabkommen „TTIP“ zu regeln.

[datensicherheit.de, 19.07.2013] Wenn Nachrichtendienste auf Informationen zugreifen, auf die sie nicht zugreifen dürften, ist ein Schutz kaum möglich. So werden Verbindungsdaten an Mobilfunkanbieter und Internetprovider übermittelt, um deren Service nutzen zu können. Wer auf diese Daten zugreifen kann, habe schon sehr viel gewonnen, sagt Dr. Zinaida Benenson von der Universität Erlangen-Nürnberg. Genauso sei es technisch extrem schwierig, sich gegen einen Gegner zu schützen, der den kompletten Datenfluss in einem Netzwerk protokolliert. Man könne zwar E-Mails verschlüsseln, aber selbst dann wäre bekannt, mit wem, wann, und wie oft man kommuniziert – und dies seien an sich schon sehr wertvolle Informationen.
Dr. Benenson ist überzeugt, dass man sich als Internetnutzer nicht gegen diese mächtigen Ausspähprogramme schützen kann. Die technischen Möglichkeiten der Ausspähung und der Datenanalyse könnten nur durch Gesetze und transparente Kontrollmaßnahmen begrenzt werden.

Weitere Informationen zum Thema:

FAU aktuell
Menschen sind mit Datenschutz überfordert (Dr. Zinaida Benenson)

[datensicherheit.de, 16.07.2013] Vielleicht werden die Schlagwörter wie „PRISM“, „Tempora“ etc. irgendwann wieder im „Rauschen des Alltags“ verschwinden – allerdings wurden damit nunmehr grundsätzliche Fragestellungen zur Informationssicherheit und zum Schutz von Bürger-, Mitarbeiter- und Unternehmensdaten aufgeworfen.
Die Reaktionen und Diskussionen hätten gezeigt, so die Cyber Akademie in Berlin, wie weit Sicherheitsbewusstsein und -maßnahmen hinter der zunehmenden Digitalisierung und Vernetzung zurückgeblieben seien und wie groß die Unkenntnis bezüglich Sicherheitslücken und technischen Möglichkeiten zur Erlangung von Informationen und personenbezogenen Daten oftmals sei.
Die Cyber Akademie veranstaltet deshalb kurzfristig zu diesem Thema vom 20. bis 21. August 2013 in Berlin das Seminar „Cybersicherheit in der öffentlichen Verwaltung – Eine Illusion?!“. Es soll einen Blick hinter die Kulissen bieten und Grundlagen sowie Zusammenhänge des „Cyberraums“ vermitteln. Die Teilnehmer sollen einen Überblick zu aktuellen Aspekten und Trends der Cyber-Sicherheit erhalten, um sie auf die eigene Behörde bzw. Organisation übertragen zu können. Eine Betrachtung aktueller Initiativen, Vorgehensweisen, Lösungen und Handlungsempfehlungen werde das Seminar abrunden.

Weitere Informationen zum Thema:

Cyber Akademie – Zentrum für Informationssicherheit
„Cybersicherheit in der öffentlichen Verwaltung – Eine Illusion?!“ / Technologische Trends und Risiken für Datenschutz und Cybersicherheit vor dem Hintergrund der aktuellen Überwachungsaffären / 20.–21. August 2013, Berlin