Top 10 der grössten Internetbedrohungen

Top 10 der grössten Internetbedrohungen

Eine aktuelle Bitkom Studio hat die Top 10 der grössten Internetbedrohungen untersucht.  Interessant ist, dass Spam mittlerweile an letzter Stelle auftaucht und die ersten Plätze durch ausgeklügelte Techniken belegt sind, die vom normalen PC-Anwender schwer bis gar nicht erkannt werden. Wie immer, ich weiß, ich wiederhole mich, hilft auch hier wieder nur aktuelle Software zum Schutz des Rechners, ein aufmerksames Auge und gesundes Misstrauen.

Hier eine Auswahl aus den Top 10 der grössten Internetbedrohungen

Platz 1 wird belegt durch Drive-by-Downloads

Hier lädt man sich durch den Besuch auf manipulierten Webseiten Schadsoftware herunter. Leider kann man mitunter schlecht erkennen, ob die Seite manipuliert ist, insbesondere, wenn man sie das erste Mal besucht.

  • Abhilfe schafft hier nur, alle Browsersicherheitsupdates auch einzuspielen

Auf Platz 2 sind Trojaner und Würmer, auf Platz 4 schon die Virenbaukästen

Dies möchte ich beides zusammen betrachten, zumal Trojaner und Würmer auch Viren sind. Die Gefahr bei den Virenbaukästen ist, man kann sie sich recht einfach herunterladen und dann selber Schadsoftware zusammenbauen. Das ist so einfach, dass man kein Programmierer sein muss, um das hinzubekommen, also kann das im Prinzip jeder. Natürlich ist es so, wenn heute einer einen Virus baut, dann kennt mein Virenscanner den nicht zeitgleich. Alle Hersteller von ernstzunehmenden Virenscannern sind aber sehr interessiert daran, dass Ihre Programme alle aktuellen Schädlinge finden und scannen deshalb das Netz ständig nach neuen Viren. Das ist auch der Grund dafür, dass gute Virenscanner gefühlt jeden Tag eine neue Signaturdatei bekommen.

  • Die Abhilfe kann also nur sein, den Virenscanner aktuell zu halten.

Platz 7 Phishing und Platz 9 Scareware

Rückt immer weiter vor, hier geht es um das Erlangen von Zugangsdaten und/oder Erpressung auf immer neuen Wegen. Hier hilft recht zuverlässig der gesunde Menschenverstand. Banken und Behörden fragen nicht nach Zugangsdaten, ich gebe auch meine Zugangsdaten an niemanden. Bei Behörden kann man sich auch nicht durch die Zahlung von Geldbeträgen freikaufen. Kommt mir der Absender oder Betreff komisch vor, lösche ich die Mail sofort und sehe sie mir nicht noch lange an. Bekomme ich vermeintlich von einer Bundesbehörde eine Mail mit einem Bußgeldbetreff bin ich auch skeptisch, normalerweise kommt sowas mit der Post, woher haben die überhaupt meine Mailadresse, also sofort löschen.

Im Ranking sind natürlich auch wieder Botnetze, ein Dauerbrenner; Verschlüsselungstrojaner werden nicht explizit genannt, was mich wundert, aber wahrscheinlich fallen sie unter den Rankingpunkt Trojaner.

  • Hier helfen regelmäßige Datensicherungen auf externen Geräten, um im Falle einer Verschlüsselung, die Daten zurücksichern zu können
  • Virenscanner und Firewall aktuell halten
  • Auf Erpressungen niemals eingehen

 

Wer die gesamte Auswertung lesen möchte, findet sie hier

Urlaub und Socialmedia

Einbruchsschutz im Urlaub

Ach, endlich Urlaub, das wurde ja auch mal Zeit. Ganz sorglos werde ich mal allen

meinen Lieben in sämtlichen sozialen Netzwerken erzählen, dass ich endlich Urlaub habe und dass wir morgen endlich für 3 Wochen mit Sack und Pack wegfahren werden. Oma Lotte giesst alle 2 Tage die Blumen, den Hund nehmen wir mit.

Danke für die genauen Informationen freut sich der moderne, IT-affine Einbrecher, das sind ja mal wieder tolle Voraussetzungen. Meine Liste interessanter Objekte ist zwar schon lang, aber diese Steilvorlage bekomme ich noch unter. Ich fahre da mal mit dem Fahrrad vorbei und schaue mir die Gegend an.

Ach toll, die haben smart home oder wie das immer so schön heisst, die Jalousien fahren immer im 17 Uhr herunter, das ist ja klasse. Und dann lassen sie mehrmals am Tag das Licht an- und ausschalten, lustig.

Auch von unterwegs poste ich super Strandbilder, „Kamel“bilder etc. jeder weiß, dass ich noch weg bin, wie praktisch.

So oder so ähnlich ereignet es sich dieser Tage in großer Zahl in unserem schönen Land. Und dann wundern sich die Menschen noch, dass sie am Ende ihres Urlaubes ein durchwühltes Haus vorfinden. Was kann man also tun? Hier ein paar sehr einfache Verhaltensregeln für den Urlaub oder auch für das tägl. Leben:

  • Abwesenheit nie, wirklich niemals irgendwo öffentlich ankündigen, wenn das Haus oder die Wohnung dann leer ist.
  • Urlaubsbilder kann man auch nach dem Urlaub noch posten
  • Ortungsdienste ausstellen, wenn man dann während des Urlaubes irgendwas in sozialen Netzwerken postet, muss da nicht stehen, dass man gerade auf Malle ist und dann auch noch genau mit welchen Personen.
  • Smarthome bietet keine Sicherheit, man gibt nur die Verantwortung ab, an jemanden, der sie nicht übernimmt.
  • Wenn man sowas doch benutzt, keine App dafür freischalten und wenn doch, während des Urlaubes ausschalten, diese Apps sind zumeist unsicher. Das kann man mit gesundem Menschenverstand erschlagen, die die smarthome anbieten, sind zumeist Energieversorger oder Leitungsprovider, Software und/oder IT-Sicherheit sind nicht deren Kernkompetenzen, die bieten das als Kundenbindungsinstrument an.
  • Regelmäßig alle PW ändern, smarthome funktioniert meist auch über WLAN, bitte den Router so einstellen, dass er die Verbindung nur für bestimmte Geräte (MAC-Adresse) akzeptiert.
  • Auch die Passphrase eines Routers (steht immer so schön auf dem Aufkleber des Gerätes) kann man ändern, ebenso wie den Netzwerknamen. Kann man auch mehrmals im Jahr wiederholen, tut gar nicht weh.
  • Man kann sein Haus sehr einfach zusätzlich mit Videoaufnahmen sichern, am besten von innen und am besten sichert man irgendwo in der Cloud, bin ich ja sonst nicht so ein Fan davon, aber in diesem Fall können die Aufnahmen nicht durch Vandalismus vernichtet werden. Diese Kameras kosten kleines Geld und jeder Laie kann sie installieren.

Auch das BSI (Bundesamt für IT-Sicherheit) macht sich Gedanken über sorglose Urlauber und gibt noch ein paar weiterführende Tipps. Kann man hier finden.

Für Firmen bieten wir Sicherheitsberatungen an, sprechen Sie uns an.

Widerspruch gegen Facebook AGBs ist sinnlos

Der Widerspruch gegen Facebook AGBs ist sinnlos

Leider scheint es so zu sein, dass Menschen immer weniger nachdenken. Die Verantwortung wird bei anderen gesucht. Irgendjemand, meistens mehr oder weniger seriöse Medien berichten über AGBs irgendeines sozialen Netzwerkes, z.B. Facebook und die vermeintlichen Widersprüche und die damit verbundene Empörung häufen sich. Oftmals drängt sich der Eindruck auf, nur wenige dieser Empörten hätten die betreffenden Informationen überprüft. Auf jeden Fall: Ein Widerspruch gegen Facebook AGBs ist sinnlos.

Mit ein wenig Nachdenken, könnte man auch selber drauf kommen

Das eigene Profil ist nicht der Mittelpunkt des Universums und man kann nicht davon ausgehen, dass Facebook Mitarbeiter abstellt, jedes posting in jedem persönlichen Profil zu lesen und ggf. darauf zu reagieren. Irgendwie klar, oder?

Urheberrechte

Die Urheberrechte, z.B. an eigenen Bildern können von Facebook nicht übernommen werden, weil eine Übernahme gesetzlich in Deutschland nicht möglich ist. Das Urheberrecht ist in Deutschland im Urheberrechtsgesetz (kurz: UrhG) geregelt, es handelt sich um ein Bundesgesetz. Möglich ist die Vergabe einer Nutzungslizenz, wie man sie z.B. auch bei Bilderdiensten erwirbt, wenn man dort Bildrechte kauft. Mit der Teilnahme an Facebook, also der Eröffnung eines Kontos stimmt man den Facebook AGBs zu und räumt Facebook ggf. eine Nutzungslizenz ein.

Widerspruch gegen AGBs

Ein Widerspruch der AGBs ist nach Expertenmeinung so gar nicht möglich. Mit der Nutzung stimme ich zu, wenn es mir nicht passt, lösche ich mein Profil und nutze diesen Dienst erst gar nicht. Wie sollte das auch möglich sein, soll Facebook für jeden User eigene AGBs entwickeln? Fakt ist, Passagen in AGBs, egal von wem, können unwirksam sein, wenn sie Bundesgesetzen der Bundesrepublik Deutschland widersprechen. Es gilt nach wie vor: Höheres Recht gilt niedrigeres Recht. Weiterhin ist hier zu Bedenken, dass Facebook zwar international tätig ist, aber natürlich in den  USA ansässig.

Widersprüche

Weiterhin sollte man mal überlegen, wie man generell Widerspruch einlegt, z.B. gegen Bescheide von Behörden u.ä. In meiner Welt sind diese immer in Briefform, persönlich und handschriftlich unterschrieben und werden per Einschreiben verschickt. Also nicht in irgendeinem Gästebuch der betreffenden Behörde, das vergleichbar wäre mit einem Facebookposting.

Was nun also tun

Es hilft das, was immer hilft, selber Verantwortung übernehmen. Die AGBs vorher lesen und sich dann ggf. bewusst gegen eine Nutzung des Dienstes entscheiden, darum nutze ich z.B. kein WhatsAPP. Ändern sich die AGBs in eine Richtung, die ich nicht vertreten kann, melde ich mich ab.

Alle sind da, alle machen das, sind keine Argumente für mündige Bürger, jeder ist selbst verantwortlich.

Hier könnte man die Stand heute aktuellen Nutzungsbedingungen nachlesen.

Schwachstellenampel des BSI

Schwachstellenampel des BSI

Die Schwachstellenampel des BSI ist meines Erachtens eine gute Sache und kann als Entscheidungshilfe für den Einsatz gängiger Softwareprodukte namhafter Hersteller von großem Nutzen sein.

Die Schwachstellenampel dient dazu, Schwachstellen aufzuzeigen, zu bewerten, ob kritisch oder nicht und als Folge davon, die Anzahl geschlossener also fertig bearbeiteter Schwachstellen ebenfalls darzustellen.

Schwachstellenampel
quelle https://www.allianz-fuer-cybersicherheit.de/ACS/DE/_/downloads/BSI-CS_028.pdf;jsessionid=BE366EF831E6711BBD22BB4634B2FBAE.2_cid369?__blob=publicationFile&v=3

Hier ein Beispiel eines fiktiven Herstellers aus der BSI-eigenen Infobroschüre.

Zu Produkt 1: Es gab also im Abfragezeitraum 23 Schwachstellen, von denen 3 als kritisch angesehen wurden. Diese Schwachstellen wurden alle behoben, deshalb werden sie im Punkt geschlossene Schwachstellen aufgeführt. Für dieses Produkt gibt es allerdings eine aktuell offene Schwachstelle, die auch als kritisch angesehen wird. Die BSI-Schwachstellenampel bewertet Produkt 1 mit rot.

Die ganze Tabelle bezieht sich auf einen Hersteller und listet unterschiedliche Produkte auf. Die Gesamtbewertung aller offenen Schwachstellen aller Softwareprodukte dieses Herstellers bewertet das BSI somit mit rot.

Schwachstellenampel des BSI für welche Produkte

Natürlich bewertet die Schwachstellenampel des BSI nicht die Software von der Kellerklitsche um die Ecke. Hier werden verbreitete Softwareprodukte bewertet, die viele Anwender verwenden und deren Sicherheitslücken ebenfalls vielen Anwendern zum Verhängnis werden könnten.

Folgende Hersteller mit folgenden Produkten werden zum Zeitpunkt dieses Artikels genauer unter die Lupe genommen:

Schwachstellenampel Hersteller
Quelle: https://www.allianz-fuer-cybersicherheit.de/ACS/DE/_/downloads/BSI-CS_028.pdf;jsessionid=BE366EF831E6711BBD22BB4634B2FBAE.2_cid369?__blob=publicationFile&v=3

Der Auswertezeitraum der Schwachstellenampel wird im Kopf der Seite bekannt gegeben. Er legt das maximale Alter der geschlossenen Schwachstellen fest. Vor diesem Zeitraum geschlossene Schwachstellen werden nicht berücksichtigt.

Nicht zuletzt übt diese Bewertung des BSI auch Druck auf die Hersteller aus, keiner der Marktführer möchte hier gerne schlecht bewertet werden bzw. dauerhaft mit nicht geschlossenen Schwachstellen auftauchen.

Hier zur Seite des BSI

Auch innerhalb der kostenlosen APP securityNews erhältlich.

Verschlüsselungstrojaner über Dropbox

Verschlüsselungstrojaner über Dropbox

Das Niedersächsische Ministerium für Inneres und Sport informiert in Ihrer Wirtschaftsschutzinfo von Februar über eine neue Strategie bei der Verteilung von Schadsoftware.

Hier geht es um die Einsendung von Bewerbungen per Email. Der vermeintliche Bewerber schickt personifiziert eine Bewerbung an die Personalabteilung des suchenden Unternehmens. Die Bewerbungsunterlagen werden per Dropbox bereitgestellt.

Heruntergeladen werden dann aber nicht die erwarteten Unterlagen, sondern eine Schadsoftware, der Verschlüsselungstrojaner. Diese installiert sich im Hintergrund und startet sich dann selber.

Was ist daran neu?
Trojaner per Download zu erhalten ist nicht neu. Bisher ist Dropbox mit dieser Verteilungsform noch nicht in Verbindung gebracht worden, wenn gleich sie naheliegt. Das Neue und Gefährliche daran ist, es werden echte Stellenangebote von Firmen mit vermeintlichen Zusendungen von Bewerbungen beantwortet. Die Personalabteilungen denken sich nichts dabei und möchten natürlich die Bewerbungen lesen.

Welcher Schaden entsteht?
Die Schadsoftware verschlüsselt Daten auf der Festplatte des Anwenders. Nicht auszudenken, wenn sensible Personaldaten auch noch verschickt würden. Wenn die Virenschutzprogramme anschlagen, sind meistens bereits Daten verschlüsselt worden. Der Trojaner kann dann evtl. entfernt werden, die verschlüsselten Dateien bleiben aber verschlüsselt. Wohl dem, der an einem anderen Ort Sicherheitskopien seiner Daten hat.

Diese Art von Schadsoftware nennt sich Verschlüsselungstrojaner.

Vorbeugen
Abgesehen davon, dass man seinen Rechner natürlich aktuell hält, die nötigen Updates installiert und regelmäßige Backups anlegt, würde ich empfehlen, keine Zusendung von Dateien über Dropbox von Empfängern zu akzeptieren, die man nicht kennt. Ich würde sogar soweit gehen, nur Daten von Dropboxspaces herunterzuladen, die vorher abgesprochen wurden.

Heilen
Eine Heilung ist nur bedingt in Sicht. Sollten Sie den Verschlüsselungstrojanern TeslaCryt oder AlphaCrypt zum Opfer gefallen sein, kann Ihnen u.U. das kostenlose Programm TeslaDecoder helfen. Dieses entschlüsselt Dateien mit den Endungen .aaa, .abc, .ccc, .ecc, .exx, .vvv, .xyz und .zzz. Für andere Verschlüsselungstrojaner scheint es momentan noch keine echte Abhilfe zu geben.

Weitere Infos auf Heise.de

Emailverschlüsselung und -signatur mit pgp

Schluss mit dem Mitlesen von Emails!

Kann man beim Empfang einer Email darauf vertrauen, dass der angegebene Absender wirklich derjenige ist, für den er sich ausgibt? Das ist nicht so einfach, in Zeiten von Identitätsdiebstahl kann man sich da nicht mehr so sicher sein. Mich wundert immer wieder, welche Inhalte einfach so offen per Email geschickt werden. Auch ich konnte kürzlich ohne Überprüfung einfach so einen Überweisungsauftrag per Email an meine Bank senden.

Dabei wäre es ganz einfach und auch kostenlos:
Emailverschlüsselung und -signatur mit pgp (pretty good privacy)

Dieser Verschlüsselungsstandard gilt auch heutzutage noch als sicher. Die Methode wurde 1991 von Phil Zimmermann entwickelt.

Wie funktioniert das?

Emailverschlüsselung und -signatur mit pgp kann unter Windows mit gpg4win erreicht werden. Es gibt mittlerweile AddIns für alle verbreiteten Mailprogramme, z.B. Outlook. Die Bedienung ist super einfach – versprochen.

Die Methode ist genauso simpel wie genial. Jeder Mailuser erzeugt sich ein Schlüsselpaar, einen öffentlichen und einen privaten Schlüssel. Der private Schlüssel darf nie! in fremde Hände geraten, aber auch nicht verloren gehen! Der öffentliche Schlüssel wird soweit wie möglich gestreut (über jede Email als Anhang, Veröffentlichung über die eigene Webseite, über öffentliche keyserver).

Jeder!, der eine Mail an die zum öffentlichen Schlüssel gehörende Emailadresse schicken möchte, kann seine Email mithilfe des öffentlichen Schlüssels des Empfängers verschlüsseln. Entschlüsseln kann diese Mails nur der Inhaber des privaten Schlüssel. Die Mail wird also zum Versenden „abgeschlossen“, der Empfänger „schliesst“ sie dann wieder auf.

Unterschied verschlüsseln – signieren

Bei der Verschlüsselung wird der Inhalt für Nichtempfänger unkenntlich mit dem öffentlichen Schlüssel verschlüsselt. Das kann jeder machen, der den öffentlichen Schlüssel erhalten hat.

Beim Signieren, unterschreibt der Sender mit seinem privaten Schlüssel, der Empfänger kann daraus ersehen, dass es sich um den angegebenen Absender handelt. Dies kann nur der Inhaber des privaten Schlüssels.

Beide Verfahren können kombiniert werden.

Download: gpg4win

Was macht denn google so, die Datenschutzerklärung von google

Habt Ihr sie kürzlich auch bekommen, die aktuellste Fassung der google Datenschutzerklärung?

Hier der Link: google-Datenschutz

Ich hatte jetzt mal Lust, mir das ganze genauer anzuschauen.  Unter dem Punkt von uns erhobene Informationen, findet man dieses hier:

Wir erfassen Informationen, um allen unseren Nutzern bessere Dienste zur Verfügung zu stellen – von der Feststellung grundlegender Aspekte wie zum Beispiel der Sprache, die Sie sprechen, bis hin zu komplexeren Fragen wie zum Beispiel der Werbung, die Sie besonders nützlich finden, den Personen, die Ihnen online am wichtigsten sind, oder den YouTube-Videos, die Sie interessant finden könnten.

Es geht also um Nutzertracking und Werbung, nichts neues, aber „Personen, die Ihnen online am wichtigsten sind“ Was geht das bitte google an?

Weiter schreiben sie, dass sie gerätebezogene Informationen mitschneiden, wenn ich bestimmte Dienste nutze.

Wir erfassen gerätespezifische Informationen, beispielsweise das Modell der von Ihnen verwendeten Hardware, die Version des Betriebssystems, eindeutige Gerätekennungen und Informationen über das Mobilfunknetz einschließlich Ihrer Telefonnummer. Google verknüpft Ihre Gerätekennungen oder Telefonnummer gegebenenfalls mit Ihrem Google-Konto.

Wird noch besser:

Einzelheiten zu der Art und Weise, wie Sie unsere Dienste genutzt haben, beispielsweise Ihre Suchanfragen.

Telefonieprotokollinformationen wie Ihre Telefonnummer, Anrufernummer, Weiterleitungsnummern, Datum und Uhrzeit von Anrufen, Dauer von Anrufen, SMS-Routing-Informationen und Art der Anrufe.

IP-Adresse.

Daten zu Geräteereignissen wie Abstürze, Systemaktivität, Hardware-Einstellungen, Browser-Typ, Browser-Sprache, Datum und Uhrzeit Ihrer Anfrage und Referral-URL.

Cookies, über die Ihr Browser oder Ihr Google-Konto eindeutig identifiziert werden können.

Diese Datenschutzerklärung von google ist meterlang, es stellen sich gewisse Ermüdungserscheinungen beim Lesen ein. Aber der folgende Satz hat mich dann wieder wach gemacht:

Unsere automatisierten Systeme analysieren Ihre Inhalte (einschließlich E-Mails), um Ihnen für Sie relevante Produktfunktionen wie personalisierte Suchergebnisse, personalisierte Werbung sowie Spam- und Malwareerkennung bereitzustellen.

Super, die lesen Emails mit, was ist denn mit dem guten alten Postgeheimnis?

Es geht dann weiter, in schön formulierten Passagen, schreiben Sie dann, dass sie alle möglichen Informationen zusammen führen, um den besten Nutzen daraus zu haben.

verknüpfen wir personenbezogene Daten aus einem Dienst mit Informationen und personenbezogenen Daten aus anderen Google-Diensten.

Auch scheint google sehr bestrebt, sich möglichst nicht an unser BDSG zu halten.

Sofern wir den Zugriff auf und die Berichtigung von Daten gewähren können, erfolgt dies grundsätzlich kostenlos, außer in Fällen, in denen dies einen unverhältnismäßigen Aufwand erfordern würde.

Dies bestärkt mich in meinem bereits vor Jahren gefassten Beschluss, keine google Dienste zu nutzen, die auf meinen Geräten installiert werden müssen, also weder earth, noch hangout und schon gar nicht google chrome. Denn alles, was google heisst, finanziert sich durch großangelegtes Datentracking. Ich habe und hatte auch noch nie ein gmail-Konto und vermeide aus o.g. Gründen Leute anzumailen, die ein solches Konto haben. Denn, google liest ja die Emails mit auch die, die ich an gmail-Empfänger schicke.

Vielen Menschen heute ist ja Datenschutz egal, sie nutzen, das was alle nutzen, weil sie sonst Angst haben, außen vor zu sein. Ich persönlich möchte mir gerne meinen persönlichen Minimalanteil an Privatsphäre erhalten.

Massendatenspeicherung, tolles Wort

So nun soll sie doch kommen, die Massendatenspeicherung. Massenhaft Buchstaben in diesem Wort. Man hat nun sehr lange daranrumgefeilt, nachdem sie ja schon mehrfach unter anderem am EuGH abgeschmettert wurde. Nun wurde endlich eine Formulierung gefunden, für die dann eine rechtliche Grundlage geschaffen werden konnte.

Gemeint ist damit die Speicherung von Telekommunikationskopfdaten für nun in der neuen Variante für 4-10 Wochen. Um, natürlich mit richterlichem Beschluß, im Falle von Straftaten, diese Daten auswerten zu können und auch um im Vorwege Straftaten verhindern zu können.

Kopfdaten
Das sind alle Verbindungsdaten ausser Inhaltsdaten. Also wer mit wem unter welcher Nummer wie lange telefoniert, gechattet xyz hat.

Sie spukt mir schon sehr lange im Kopf herum diese Massendatenspeicherung. Es stellen sich mir wieder viele Fragen:

  • Wo sollen sie hin diese Massendaten, die da gespeichert werden sollen
  • Wer bezahlt das ganze? Es werden ja die Telefon- und Internetprovider in die Pflicht genommen, dieses zu tun, das heisst wahrscheinlich, dass sie ihre Systeme darauf anpassen müssen, ist bestimmt teuer.
  • Wer soll sie dann im Falle eines Falles auswerten, diese Massen von Daten, die da in der Massendatenspeicherung gespeichert werden?

Die Namensgebung ist auch super, Massendatenspeicherung, da muß ich gleich an Messies denken, die alles sammeln und nichts wegwerfen können. Es gibt noch das Synonym Vorratsdatenspeicherung. Speicherung auf Vorrat, so wie Suppe, falls uns die Daten mal ausgehen. Ok, ich höre jetzt auf und denke nochmal ernsthaft darüber nach:

Die Vorratsdaten, die ja nun zwischen 4 und 10 Wochen gespeichert werden, wer das wie festlegt, konnte ich noch nicht plausibel herausfinden, müssen danach wieder gelöscht werden. Sie dürfen nur ausgewertet werden, wenn es einen richterlichen Beschluß gibt. Da stellt sich natürlich die Frage, wie funktioniert das technisch.

Beispiel:
Mutmasslicher Terrorist x hat 5 Handys bei unterschiedlichen Providern, noch diverse Internetzugänge und unzählige Mailadressen. Es wird jetzt vermutet, dass der mutmassliche Terrorist x einen Anschlag auf Flughafen irgendwo plant. Der überarbeitete Richter gibt die Erlaubnis, diese Daten auszuwerten. Ab jetzt bis minus 10 Wochen würde ich sagen, oder? Wie bekommen jetzt diejenigen, die die Daten auswerten alle Daten?

Es erschliesst sich mir nicht, wie das ohne eine Art Metadatenbank, die alle Daten zusammenführt, funktionieren soll. Desweiteren gibt es in den Massendaten des mutmasslichen Terroristen x wahrscheinlich auch sehr viele Verbindungen zu Teilnehmern ohne terroristischen Hintergrund. Da hat er mal den Klempner angerufen, min. 3 mal beim Pizzaexpress (sind die jetzt auch verdächtig? 3 mal und die Pizzabecker sind alle arabischer Abstammung), Anruf bei Oma etc. Müssen jetzt die Verbindungsdaten dieser Teilnehmer auch ausgewertet werden? Oma hat bei dem selben Pizzaexpress bestellt und hat denselben Klempner (bei ihr war der 5 mal, die Heizung ging nicht), ist das vielleicht eine Gruppe? Und der Zeitrahmen, beim Angriff auf den Bundestag, haben sie 3 Monate benötigt, ehe sie tätig wurden.

Ihr seht, mangels Verständnis für diese Angelegenheit, schiessen mir viele Gedanken durch den Kopf, nicht alle sind ernst gemeint. Der mutmassliche Terrorist x ist eine Phantasiegestalt, eventuelle Ähnlichkeiten mit noch lebenden Personen sind rein zufällig.

Und Übrigens: In Frankreich gibt es bereits die Speicherung von Verbindungsdaten, und hat es prophylaktisch genützt bei Charlie?

 

Safe-Harbor Abkommen / neues Urteil

Seit dem 6. Oktober 2015 gibt ein neues Urteil des europäischen Gerichtshofes zum Thema Kontrolle der Verarbeitung von personenbezogenen Daten von EU-Bürgern durch die  Landesdatenschutzbeauftragten der Mitgliedsstaaten.

Was ist das Safe-Harbor Abkommen?

Das Safe-Harbor Abkommen wurde im Jahr 2000 zwischen der europäischen Kommission und der US-Regierung geschlossen. Es wurde vereinbart, weil nach Art. 25 und 26 der Europäischen Datenschutzrichtlinie, der Export von personenbezogenen Daten in Drittländer verboten ist. Bei dem Safe-Harbor Abkommen handelt es sich um Prinzipien zur Verarbeitung von personenbezogenen Daten, dadurch ist es möglich, Daten in die USA zu exportieren. Es müssen folgende Prinzipien erfüllt werden: “

  1. Informationspflicht: die Unternehmen müssen die Betroffenen darüber unterrichten, welche Daten sie für welche Zwecke erheben und welche Rechte die Betroffenen haben.
  2. Wahlmöglichkeit: die Unternehmen müssen den Betroffenen die Möglichkeit geben, der Weitergabe ihrer Daten an Dritte oder der Nutzung für andere Zwecke zu widersprechen.
  3. Weitergabe: wenn ein Unternehmen Daten an Dritte weitergibt, muss es die Betroffenen darüber und die unter 2. aufgeführte Wahlmöglichkeit informieren.
  4. Zugangsrecht: die Betroffenen müssen die Möglichkeit haben, die über sie gespeicherten Daten einzusehen und sie ggfs. berichtigen, ergänzen oder löschen können.
  5. Sicherheit: die Unternehmen müssen angemessene Sicherheitsvorkehrungen treffen, um die Daten vor unbefugtem Zugang oder vor Zerstörung und Missbrauch zu schützen.
  6. Datenintegrität: die Unternehmen müssen sicherstellen, dass die von ihnen erhobenen Daten korrekt, vollständig und zweckdienlich sind.
  7. Durchsetzung: die dem Safe Harbor beigetretenen Unternehmen verpflichten sich zudem, Streitschlichtungsmechanismen beizutreten, so dass die Betroffenen ihre Beschwerden und Klagen untersuchen lassen können und ihnen im gegebenen Fall Schadensersatz zukommt.

Quelle: http://www.bfdi.bund.de/DE/Europa_International/International/Artikel/SafeHarbor.html

Interessant!

Beispiel: Dienste wie Facebook und WhatsApp verdienen ihr Geld über das sammeln, kategorisieren und weitergeben von personenbezogenen Daten. Deshalb sind sie scheinbar kostenlos. Wie sähe es z.B. mit dem Punkt 2 Wahlmöglichkeit bei Facebook aus? Normalerweise müßte Facebook schon jetzt das Abkommen erfüllen, das tut Facebook aber nicht.

Das neue Gesetz macht es nun möglich, dass Betreiber von Diensten, bei denen die Einhaltung fragwürdig ist, kontrolliert werden dürfen.

Anm.: Auch eine Nutzung der Daten durch Geheimdienste stellt eine Weitergabe dar.

Hackerangriff auf den Bundestag, nun geht’s los

Im Moment hört man ständig in den Medien, dass wegen des Hackerangriffs auf den Bundestag vor ca. 3 Monaten die IT-Infrastruktur abgeschaltet wurde.

Wenn ich so etwas lese, ergeben sich für mich sehr viele Fragen.

  • Der Hackerangriff war doch schon vor 3 Monaten, wurde in der Zwischenzeit einfach weitergearbeitet?
  • Was ist mit der Schadsoftware passiert? Ist sie noch im Netz und wurde in der Zwischenzeit fleissig weiter verteilt?
  • Warum müssen denn die Serversysteme auch getauscht werden
  • eigentlich hätte ich noch so ca. 10 Fragen, aber ich belasse es mal dabei.

Zusammenfassend kann man wohl sagen, sämtlicher Informationsfluss wirft immer wieder neue Fragen auf. Aus meiner Sicht sieht es gar so aus, als würde man total im Dunkeln tappen. Nach 3 Monaten erst mit Abschaltung der Systeme zu reagieren, ist entweder arrogant oder dumm.

Nun wird die Sommerpause genutzt, vor einigen Wochen sollte zwar schon einmal abgeschaltet werden, aber wegen der Debatten zur Griechenlandhilfe ging das nicht. Die (verseuchten?) Systeme wurden wohl noch gebraucht.

Zur Eliminierung des Trojaners werden viele verschiedene Informationen bekannt gegeben. Säuberung der Systeme, ich frage nochmal wirklich? nach 3 Monaten. Austausch von Hardware, hier frage ich mal, wer will denn da jetzt so richtig verdienen?

Das BSI (Bundesamt für Sicherheit in der Informationstechnik) gibt regelmäßig Tipps zum Umgang mit IT-Sicherheit heraus. Es hat sogar die sogenannten BSI-Grundschutzkataloge auf den Markt geworfen. Die gaukeln zwar nur Sicherheit vor, leiten aber dazu an, sich über IT-Sicherheit mal kurz Gedanken zu machen und zu überprüfen, wo man steht und ob vielleicht etwas mehr getan werden sollte.

Jede ordentliche Firma hat einen Notfallplan, sei es für Feuer o.ä. Für IT-Notfälle heißt er IRP, Incident Response Process. Was sagt der für den Bundestag passende denn für den Fall eines Angriffes?

Und meine letzte Frage, wo steht denn der Bundestag (und ich werfe auch gerne schnell noch alle anderen Behörden in den Topf) in Bezug auf den BSI-Grundschutz? Sollte es nicht gerade dort Pflicht sein, das anzuwenden, was eine andere Behörde ausgearbeitet hat? Schließlich sind sie alle wie sie da sitzen nur unsere Vertretung (StaatsDIENER), ich erwarte etwas mehr Einsatz und Integrität für mein (Steuer) geld.

siehe auch: Hackerangriff auf franz. Fernsehsender; IT-Sicherheit ein Einführung