Mit Sicherheit sicher!?

Wissen Sie, was Sie tun? Eine kurze Einführung über die täglichen Risiken im Internet.

Wissenswertes über das Internet.

Alles wird digitalisiert.

Überall finden wir kleine Computer. Ob im Auto, in der Waschmaschine, im Kühlschrank, in Klimaanlagen, in Web-Cams, in Fotoapparaten, in Ausweisen und im Fernseher. Die Aufzählung ist sicherlich nicht abschließend. Wir reden heute von IoT (Internet of Things) und versuchen alles miteinander zu vernetzen. IoT ist für uns ein Marketingbegriff, welcher immer häufiger Verwendung findet und die Miniaturisierung von Sensoren, Empfangs-Sendeeinheiten, eigenständiger Software und Controllern beschreibt.

Es ist heute beinahe unmöglich noch ein neues Kraftfahrzeug zu kaufen, welches nicht mit dem Internet verbunden ist, um unter anderem den technischen Zustand des Autos dem Hersteller zu übermitteln.

Smart ist ein weiters Modewort. Smartphones, Smarthome, smart Meter (Stromverbrauchszähler), smarte Türverriegelungsanlagen und smarte Heizungs-Lichtsteuerungen sind unterdessen jedem bekannt. Ob die Geräte wirklich schlau sind, lassen wir außen vor.

Freilich will man dies alles zentral steuern und von der Ferne regeln können. Das macht in vielen Fällen auch Sinn. Mit smarten Steuerungen lässt sich Energie sparen und der Schutz des Eigentums durch z.B. Webcams verbessern.

Aber auch für Hersteller ist die Erfassung von Daten wertvoll. Marketing, Kundenbindung und Einkaufsverhalten sind essenziell für eine Marktanalyse und dem gezielten Verkauf. Beispielweise erkennt man heute, wann Sie evtl. einen neuen Fernseher benötigen. Davor wird die Werbung an Sie unterdrücken. Sobald aber die Wahrscheinlichkeit steigt, dass Ihr Gerät „austauschfähig“ ist, wird man Ihnen entsprechenden Vorschläge oder Werbung unterbreiten.

Sind die kleinen Computer erst einmal standardisiert, ist es für die Hersteller günstiger, sie mit integrierter Internetverbindung zu kaufen, als diese Funktion wegzulassen. Ebenso muss eine kostengünstige Software erstellt und bereitgestellt werden. Qualität steht hier sicherlich nicht im Vordergrund, sondern die Gewinnmaximierung.

Ferner werden behördlichen Prozesse digitalisiert. Um zukünftig einen neuen Führschein zu beantragen, benötigt man einen passenden Ausweis und logt sich bei der Behörde ein, um die neue Fahrerlaubnis zu beantragen. Das spart Zeit und Geld. Auch die Behörden profitieren davon, denn man benötigt weniger Sacharbeiter.

Alle Schritte haben eine zunehmende Speicherkapazität und Rechenleistung zur Folge. Das bedeutet, dass man die Daten gerne in einer Cloud ablegt, um u. a. auch die Zugriffsmöglichkeit von all seinen Geräten zu gewährleisten. Folglich entsteht auch im privaten Bereich eine riesige und komplexe Vernetzung.

Ein „win – win“ Situation, wie es auf den ersten Blick scheint.

Unser Verhalten ändert sich

Wir sind die Konsumenten der digitalisierten Funktionalitäten und machen uns kaum ausreichend Gedanken, wie es technisch funktioniert.

Die Bequemlichkeit von Homeoffice wird dazu beitragen, dass wir nicht mehr im Büro verweilen wollen.

Wir nehmen die Angebote an – wie wir bereits in einem Beitrag schrieben – und nutzen Sie täglich.  Selbstverständlich möchten wir Dinge auch automatisieren und bringen den Systemen gewisse Regeln bei. Dabei entgeht uns, dass wir nur noch eine Schnittstelle darstellen zwischen Systemen, die sich nicht selbstständig mit anderen IoT’s verknüpfen können.

Da viele aber kein Wissen über die Technologie haben, werden Dinge fehlerhaft konfiguriert und im laufenden Betrieb wichtige Teile übersehen. Eine Überwachung der Geräte erfolgt in der Regel nicht. Das führt zwangsläufig zu Sicherheitslücken. Es ist jedem sein gutes Recht, dass man es nicht verstehen will. Man darf auch über die Risiken nachdenken und Sie eingehen. Man sollte nur wissen, welche Risiken entstehen könnten und hoffen mit dem Beitrag die Gefahren etwas zu verdeutlichen.

Alles ist angreifbar!?

US-Außenministerin Madeleine Albright sagte einmal: ​

Wir stehen vor einem Problem des 21. Jahrhunderts, diskutieren es mit Begriffen aus dem 20. Jahrhundert und schlagen Lösungen aus dem 19. Jahrhundert vor.

Sie hat recht. Erstens verstehen die meisten Nutzer die Komplexität nicht – auch Politiker -, wollen aber in die Zukunft blicken und Regularien aufstellen. Fakt ist, dass die Welt voller Computer steckt und es ist die Aufgabe der Politik, diese zukunftsweisende Entwicklung zu steuern. Unsere Zukunft wird davon abhängen. Nur die Politik kann einheitlich geltenden Standards erschaffen, weltweit verhandelt und umsetzen genauer gesagt zur Pflicht machen.

Die Gefahren werden deshalb nicht verschwinden. Sie sind ebenso nicht auf Länder mit wenig entwickelter Infrastruktur oder totalitären Regierungen beschränkt.

In den europäischen Ländern gibt es erste Ansätze, um sich zu schützen, wie die Einführung der Datenschutzgrundverordnung zeigt. Diese sind aber zu spät, theoretischer Natur und zu wenig. Will Europa aufholen, so müssen entsprechenden politisch geführte Fachkreisen das Thema vorantreiben und das notwendige Wissen in Schulen (für die Zukunft), Behörden und Ministerien aufbauen. Die Besetzung vieler Posten gehört überdacht. Nur so wird Europa den Anschluss nicht verlieren. Wobei ich dem BND bereits einige Kompetenzen zutraue.

Die USA, China und Russland haben die Situation längst begriffen und umgesetzt. Allein das Jahresbudget der NSA beläuft sich auf ca. 50 Milliarden Euro. Es ist aber davon auszugehen, dass es mehr ist.

Der ehemalige Direktor des National Cybersecurity Center, Rod Beckstrom, sagte in kurzen Worten:

  • Alle mit dem Internet verbundenen Geräte können gehackt werden.
  • Alle Geräte sind mit dem Internet verbunden.
  • Folglich können alle Geräte gehackt werden.

Er hat vollkommen recht. Jedes Gerät, welches mit dem Internet verbunden ist, kann gekapert oder übernommen werden. Täglich gibt es neue Informationen zu Schwachpunkten von Systemen.

Das liegt erstens daran, dass die Qualität von Software häufig nicht angemessen ist und somit Lücken durch schlampige Programmierung entstehen oder die Software eine Größe erreicht hat, welche eine durchgängige Prüfung nicht mehr zulässt –siehe auch Updates sind wichtig -. Sicherheitslücken sind reichlich vorhanden, das heißt jedoch nicht, dass sie gleichmäßig verteilt und bekannt sind. Manche sind leicht zu finden, bei anderen ist es schwieriger. Beispielweise wurden bereits 2014 Drucker so umprogrammiert, dass man darauf ein Spiel laufen lassen konnten. Es handelt sich dabei um einen sogenannten CSRF-Angriff (Cross-Site Request Forgery). Aber das Spiel könnte auch eine Spionagesoftware sein, um die internen Datenströme (Intranet) mitzulesen. Heartbleed ist ebenso beispielhaft. Zwei Jahre wurde ein gravierender Implementierungsfehler nicht erkannt (Software). Auch Meltdown und Spectre, welche die CPU-Welt betreffen existierten schon Jahre, bis Sie gefunden wurden (Hardware).

Zweitens gibt es Angreifer, die gezielt Hard-Software manipulieren. So steht HUAWAI unter Verdacht, dass Router, Geräte und Antennentechnik gerne „nach Hause telefoniert“. Schadsoftware gehören auch zu der Kategorie, welche täglich unsere Sicherheit bedrohen. Täglich erhalten wir etliche E-Mails, die Phishing betreiben oder uns eine Schadsoftware unterjubeln wollen.

Drittens, die Konfiguration und Implementierung sind fehlerhaft. Der Grund hierfür ist häufig, dass Nutzer und Dienstleister das Thema nicht verstehen. „Do-it-yourself“ prägt hier unsere Handlung. Spontan wird der Enkel zum auserkorenen Fachmann für die Konfiguration, weil er gut mit dem „Handy“/Tablet umgehen kann und eine Spielkonsole besitzt. Warum eine scheinbar teuren Fachfachmann holen.

Viertens, viele Hersteller verzichten auf eine Updateprozess, da sie die Geräte wirtschaftlich günstig herstellen müssen und für Updates kein Budget planen. Das Geld fließt in die Entwicklung neuer Produkte und nicht in die Erhaltung von bestehenden Geräten. Webcams und Drucker sind exemplarische Beispiele dafür.

Und zu guter Letzt, die Backdoors. Der Begriff wird sehr häufig in der Sicherheitsbranche verwendet. Er kennzeichnet ganz allgemein einen bewusst erstellten Zugriffsmechanismus, der die normalen Sicherheitsmaßnahmen eines Computersystems umgeht. Sehr häufig werden Backdoors von den Herstellern selbst eingebaut. Gesetze, staatliche Organisationen fordern manchmal die Verfügbarkeit solcher Mechanismen. Wir wissen nicht, ob Google eine staatliche Anforderung bei z. B. dem Betriebssystem Android gegenüber der NSA erfüllen muss und somit eine Backdoor eingebaut hat, um nur ein Beispiel zu nennen. Möglich wäre es. Auch Online-Passwortmanager unterliegen den staatlichen Anforderungen. Darum empfehlen wir, dass solche Kennwortverwaltungsprogramm dringend vermieden werden sollten.

Das Resümee ist also, dass alles irgendwann gehackt werden kann, was mit dem Internet verbunden ist. Wir müssen uns nur dem Risiko bewusst sein und unser Verhalten entsprechend anpassen.

Sicherheit unter fremden Einflüssen?

Sie können heute davon ausgehen, dass bei kostengünstigen Produkten die Sicherheit bei der Entwicklung keine Rolle spielt. Ebenso können wir uns nicht vor der Manipulation von staatlichen Organisationen schützen. Beispielsweise wurde 2017 der gesamte Datenstrom im Internet für ca. 15 Minuten über chinesische Server geleitet. Schuld daran ist das veraltete Border-Gateway-Protokoll (BGP). Somit erhielten die Chinesen viele Daten, welche gerade im Internet übertragen wurden. Das BGP legt im Grundsatz fest, welche Kabel für welche Daten im internationalen Verkehr verwendet werden. Eine Überprüfung sieht das Protokoll nicht vor. Wir wissen aber auch, dass die NSA diese Lücke ausnutzen. Edward Snowden schrieb darüber in seinem Buch. Auch das Protokoll Domain Name Service (DNS)​ ist anfällig für Manipulationen.  Es übersetzt Domainnamen in die entsprechenden IP-Adressen. Leitet man die Adresse um, so landen die Daten (Login etc.) bei einem fremden Server. Die Umsetzung des Nachfolgers DNSSEC wurde von vielen Providern u. a. aus Kostengründen nur zögerlich umgesetzt oder gar nicht.

Und noch ein Protokoll lässt sich leicht manipulieren, welches wir beinahe täglich nutzen. Das Network Time Protokoll (NTP). Es dient der Zeit-Synchronisation im Internet. Wer die Zeit steuert, kontrolliert das Internet. Ein Rechner mit einem fehlerhaften Eintrag, wird auch fehlerhaft im Internet reagieren.

Das sind nur wenige Beispiele von vielen. Sie zeigen aber, dass wir uns gegen diese Art von Angriffen nicht wehren können. Somit können wir kaum etwas tun, um uns hier zu schützen. Hauptsächlich stecken staatliche Organisationen hinter den Manipulationen, welche wir in der täglichen Nutzung des Internets nicht spüren oder wahrnehmen.

Grundsätzlich hilft hier die Verschlüsselung von Daten, die der Bürger aber gerne vergisst oder von Regierungen verboten wird. Auch in der EU laufen Prozesse und Diskussion (2020), die eine Verschlüsselung verhindern bzw. verbieten sollen.

Neu sind Überwachungen nicht. Auch schon vor über 30 Jahren waren Geheimdienste bestrebt uns zu kontrollieren (siehe – Aus Fehlern wird man schlau – Der Datenklau). Aber der Umfang und die Methoden haben sich stark verändert.

Sie sollten sich ebenso bewusst sein, dass Updates von Geräten und Software nicht unmittelbar nach der Bekanntgabe einer Lücke erfolgt. Nehmen wir als Beispiel das Betriebssystem Android (auf vielen Smartphones zu finden). Google behebt die Sicherheitslücke. Nachfolgend müssen die Hersteller der Geräte das Update testen und für Ihre Geräte ausrollen. Das passiert nicht durchgängig. Manche Hersteller brauchen über ein Jahr, dass Sie für Ihre Kunden ein Update zur Verfügung stellen oder gar nicht, denn der Updateprozess ist teuer.

Sicherheit in der Zukunft?

Es ist ein ständiges Ping-Pong Spiel zwischen Angreifern und Verteidigern. In der Regel haben es Angreifer einfacher. Die Menge an Sicherheitslücken in diversen Softwareprodukten ist enorm. Der Angreifer muss nur eine finden, um in ein System einzudringen. Der Verteidiger muss alle finden, um sein System sicher zu gestalten. Das gilt z.B. auch für Schadsoftwarescanner (siehe, so arbeitet ein Virenscanner). Der Angreifer gewinnt in den meisten Fällen. Das heißt aber nicht, dass man die Flinte ins Korn werfen sollte. Als Verteidiger kann ich den Schaden eindämmen, wenn der Angriff erkannt wird. Sofortiger Handel und eine Analyse sind wichtig. Die Überwachung von Systemen ist Pflicht. Jede ungewöhnliche Auffälligkeit z. B. an Netzwerkknoten sollte untersucht werden. Aber auch neigen Firmen dazu, das Thema zu minimieren, da es Geld kostet. Passiert lange Zeit nichts, so schwindet die Aufmerksamkeit der Verteidiger und das fachfremde Management erkennt nicht mehr die Notwendigkeit. Es ist anzuraten, dass Angriffsmuster auch durch automatisierte Erkennungssystem (IDS) untersucht werden. Die Konfiguration eines IDS ist nicht einfach und das System kann selbst Lücken aufweisen. Sie sehen, dass der Aufwand für die Verteidigung ungleich höher ist im Vergleich zu einem Angreifer.

Heute Verschlüsselungen sind zu hinterfragen. Quantencomputer werden in ca. 10 Jahren salonfähig und die Verschlüsselungen sehr schnell brechen können.

Welcher Aufwand zu treiben ist, hängt sicherlich von den zu schützenden Daten ab. Kein Mensch kauft eine Panzertüre als Haustüre, wenn die normale Verrieglung bereits die meisten Einbrecher abhält. Auch eine Panzertür hilft nichts, wenn die Fenster ungesichert sind.

Final muss man sich auch Gedanke machen, was geschieht, wenn die letzte Linie der Verteidigung fällt. Netzstecker ziehen? Im privaten Sektor empfehlen wir, dass das System neu aufgesetzt und die Backups vor dem Einspielen auf Herz und Nieren überprüft werden.

Die Zukunft

Die Angriffe werden immer besser und koordinierter. Aber auch die Schutzmaßnamen steigen.

1996-2000 konnte man relative einfach die Kennwörter aus einem Windows NT System auslesen und sichtbar machen, wie Armin Wagner in einer akademischen Arbeit zeigte. Er beschrieb außerdem, dass Firewalls Ihr Geld nicht wert waren. IP-Flag-Überwachung fehlten. Content Überwachung gab es nicht und auch IP-Stacks brachte er häufig zum Überlaufen (Overflow).

Aus heutiger Sicht war es einfach in Netzwerke einzudringen. Wenn wir uns die Systeme von damals und die Werkzeuge von heute ansehen, so würde jedes damalige System in Windeseile übernommen werden können. Der Verschlüsselungsalgorithmus DES war lange Zeit der Standard (z.B. EC-Karten). Tripple-DES verbessert die Situation nur geringfügig. Heute sind sie nicht mehr zu gebrauchen.

Auf Zugangskarten (Magnetkarten) von so manchen Hotels wurde der lesbare Bereich auf dem Magnetstreifen verschoben, damit normale Lesegeräte diesen Bereich nicht auslesen. Aber eine kleine Justierung am Lese/Schreibkopf machte die Sicherheitsvorkehrung unnütz. Verstecken ist als kein probates Sicherheitsmittel.

Zusammenfassend zeigt es sehr deutlich, dass alles Systeme (Hard- und Software) am Ende Ihrer Betriebszeit ausgetauscht werden müssen. Wir können grundsätzlich Lücken nicht verhindern. Das steht fest. Wir sollten uns dennoch stets in Erinnerung rufen, dass unsere kleinen Helferlein manipuliert werden können. Wir fahren auch mit dem Auto und ein Unfall kann jederzeit eintreten. Dennoch fahren wir mit dem Auto und gehen bewusst das Risiko ein.

Bemerkenswert ist ebenso, wie viele Router, Drucker und Netzwerkgeräte wir immer wieder finden, die nie ein Update erhielten, stark betagt sind und teilweise mit Standardkennwörtern betrieben werden.

Es ist eine Art von Wettrüsten, gegen das wir uns kaum wehren können. Es geschieht im Hintergrund. Deshalb mein Appel an Sie. Überprüfen Sie Ihre Geräte und tauschen Sie ggf. veraltete Technologien aus. Seien Sie misstrauisch gegenüber von E-Mails und Webseiten.

Aus unserer heutigen Erfahrung sind Sicherheitslücken auch gewünscht. Staatliche Organe wollen Ihre Bürger besser überwachen können. Ständige Diskussion in den weltweiten Parlamenten zeigen, dass z. B.  die Verschlüsselung unerwünscht ist.

Überwachung im Mikrokosmos

Nicht nur der Staat will ein Auge auf Sie werfen. Auch Firmen sind stark bestrebt sie nicht aus dem Auge zu verlieren. Google beispielsweise bietet diverse Tools an (Gmail, Google Docs, Google Kalender und Google Business), um Sie an deren Mikrokosmos zu binden. Nur so lässt sich ein optimales Profil von Ihnen gewinnen und zu verkaufen. Nicht umsonst sind die Apple, Google, Facebook und Amazon eine der reichsten Konzerne in dieser Welt geworden. Die Firmen verdienen mit Ihren Daten Geld. Natürlich generiert Apple einen Umsatz auch mit verkaufter Hardware.  Dennoch ist die Bindung an den Mikrokosmos eine wichtige Aufgabe und Zielsetzung für die Unternehmen. Ferner kommt hinzu, dass diese Firmen Stück für Stück bestimmen, was wir lesen, wie wir konsumieren und was wir ansehen. Apple und deren App-Store hat immer strengere Richtlinien, welche App in den Apple-Store darf. Sie filtern gezielt Apps aus, die Ihnen nicht gefallen. Die bloße Erwähnung in einer App, dass es ggf. auch einen Playstore von Google gibt, führt zu einer Ablehnung der App, wie wir selbst erfahren mussten.

Ein Rollout einer Software für MacOS ist ohne den Notarisierungsdienst von Apple kaum mehr möglich. Der Gatekeeper von MacOS blockt die App und stuft sie als unsicher ein. Für einen freien Softwareentwickler eine große und kostspielige Herausforderung.

Sie sehen also, dass nicht nur staatliche Organa und andere Angreifer ihre Privatsphäre gefährden, sondern auch gewisse Firmen.

Was können Sie tun?

  • Achten Sie auf Ihr Smartphone – Es ist die zentrale Steuerung für all ihre Tätigkeiten. Mit dem „Handy“ lesen Sie E-Mails, Surfen, erledigen Bankgeschäfte, es dient als Authentifizierungsmedium und steuern Ihre kleinen Computer im Haus. Alles in einer Hand.
  • Planen Sie regelmäßige Updatetage an – Router, Drucker, Smartphones, Rechner, Webcams und ihre kleinen Helferlein benötigen regelmäßige Updates. Achten Sie auf unbekannte Benutzer in den Geräten.
  • Kennwörter – Verwenden Sie gute Kennwörter. Das Kennwort ist Ihr Zugangsschutz für Ihre Daten. Verwenden Sie nicht in jedem Gerät dasselbe Passwort. Die Ablage von Kennwörtern sollte gut geplant sein. Verwenden Sie bitte keine Onlinevariante aus oben genannten Gründen.
  • Öffnen Sie nicht alle E-Mails – mithilfe von E-Mails geschehen Phishing-Attacken und wird Schadsoftware verteilt. Ihr Virenscanner hilft, aber verlassen Sie sich nicht auf Ihnen zu 100 %. Würmer verbreiten sich über bekannte Absendernamen.
  • Besuchen Sie nicht jede dubiose Webseite – Über Webseiten können Angreifer Sicherheitslücken in Browsern ausnutzen und Ihren Rechner infizieren. Auch wenn die Seite optisch vertrauenswürdig aussieht, so kann Sie gezielte Angriffe auf Ihren Rechner starten.
  • Vorsorge für den Ernstfall – Dass Ihre Daten von Dritten ausgelesen, vernichtet und evtl. verfälscht werden, kann man kaum verhindern, wie wir oben zeigten. Es geht um die Vorsorge. In Unternehmen häufig als Risikomanagement oder „crisis management“ bezeichnet. Sollte der Fall der Fälle eintreten, hoffen wir, dass Sie eine gute Vorsorge getroffen haben. Backups sind nur ein Bruchteil, wenn auch wichtig, einer guten digitalen Vorsorge.

Wir raten nicht, dass Sie Ihre Geräte nicht mehr nutzen, denn wir folgen dem Grundsatz:

Moderne Technik ist Fluch und Segen. Wir sollten die Vorteile nutzen, uns den Risiken bewusst sein und lernen, damit umzugehen.

Unsere Lösung – der DLHStick

Wir haben unseren DLHStick komplett vom Internet getrennt. Bei der Entwicklung fragten wir uns lange Zeit, ob wir nicht einen Onlinesafe bauen wollen. Wir fanden bereits einen Partner, der einen Online-Kennwortmanager entwickelte und mit uns die Finalisierung plante.

Final entschieden wir uns, dass persönliche Daten und Kennwörter nicht im Internet gespeichert werden sollten. Die oben erwähnten Risiken waren uns zu hoch, um den Kunden ein vertrauenswürdiges Produkt anbieten zu können. Das Wagnis eines Verlustes von Kennwörtern und seiner Identität war zu groß. Somit entwickelten wir den DLHStick auf einer autonomen Plattform, um max. Sicherheit zu erhalten.

Quellen:

Internet:

Buch:

  • Edward Snowden – Permanent Record – S.Fischer Verlag 5. Auflage
  • Bruce Schneier – Data and Goliath – W. W. Norton & Company Inc.Verlag 1. Auflage
  • Alexander Geschonneck – Computer-Forensik – dPunkt.Verlag 6. Auflage
  • Bruce Schneier – Secret and Lies – Wiley Verlag 15. Auflage
  • Marcel Rosenbach und Holger Stark – Der NSA Komplex – Spiegel Buchverlag 1. Auflage
  • Weitere Quellen sind direkt im Text verlinkt.
Post by Digitales Erbe

Comments are closed.