Wirtschaftswetter Online-Zeitschrift      Wirtschaftswetter-Themen, Schwerpunkt Eiszeit Link Werbeseite


Ich glaube, mein Schwein pfeift: Hilft nur noch "MeinPferdsingtbeimSitzen" gegen die Angst in der Internet-Kommunikation?

CeBIT 2014 - Angriff auf die Online-Privatsphäre

von Annegret Handel-Kempf

„Big Data“ auf der einen Seite, eklatante Sicherheitsbedenken auf der anderen: Wo bleibt da die Privatsphäre? Bis 2020 wird sich eine Datenflut von 40 Zettabyte, das sind 40 Billionen Gigabyte, via Cloud auf uns stürzen.

„Ich gehe nicht ins Internet“, hilft nichts. Es sei denn, man redet nicht mehr miteinander: Auch das Telefonieren wird aufs Internet-Protokoll (IP), also aufs Computernetzwerk, umgestellt. Die Schnittstelle an der Anschlussleitung für die bisherige Trennung der Netze für Telefon- und Internetdienste wird überflüssig: Die herkömmlichen Anschlusstypen Standard und Universal gibt es für DSL-Kunden nicht mehr, sobald sie ihre Verträge verlängern oder neu abschließen.

Auch Telefonanlagen müssen nicht mehr im Büro oder Haushalt stehen, sondern können in der Wolke schweben, aus der Cloud ins heimische oder Firmen-Netz kommen. „Telefonieren für alle, Cloud für alle“ ist der Trend, den die Telekom für 2014 ausruft. Einerseits praktisch, umstandslos, teils auch kostengünstiger, als bisher. Andererseits unserer direkten Kontrolle entzogen, irgendwie nebulös. Die Privatsphäre ist gefährdet.

Welche Gesetze gelten für den Cloud-Betreiber?

Wer Cloud-Technologie nutzt, sollte zunächst das eigene Gerät – PC, Tablet, Smartphone… - mit einer guten Sicherheitslösung schützen. Damit seien die Daten „zumindest sicher, bevor sie hochgeladen werden“, rät Righard Zwienenberg, Sicherheitsspezialist bei ESET. Für das, was mit den Daten in der Cloud geschieht, sollte man sich mit der allgemeinen Geschäftsbedingungen des Cloud-Service-Dienstleisters beschäftigen. Da man seine Dokumente und Fotos aber nicht in der Regenwolke des aktuellen Wetterhimmels zwischenlagert, sondern auf einem Datensammel-Server irgendwo auf der Erde, ist auch der Standort des Betreibers wichtig, dessen Seriosität und die für ihn geltenden lokalen Gesetze.

„Vernetztes Arbeiten 2.0“ heißt, mit IP-basiertem Anschluss und cloudbasierter Kommunikation den Alltag zu bestreiten. Sicherheitsbedenken und Anonymitätsstreben hin oder her. Es sei denn, man greift auf Papier und Briefpost zurück, oder trifft sich live-haftig zu Gesprächen und Besprechungen.

„Made in Germany“ kann auch im Ausland stehen

Damit sich der Nutzer trotzdem sicher und unbeobachtet fühlt, will sich die Telekom stärker mit „Made in Germany“ und „Alles aus einer Hand“ positionieren, alles „in hochsicheren Rechenzentren der Telekom in Deutschland“, so das Unternehmen jüngst auf der CeBIT-Preview, hosten.
Allerdings: Nur 45 von 90 Rechenzentren der Telekom stehen tatsächlich in Deutschland. Das liegt auch an den gesetzlichen Regelungen der einzelnen Staaten, in denen das Unternehmen seine Dienste anbietet. Doch wieweit haben diese Staaten aufgrund ihrer jeweiligen Regelungen Zugriff auf unsere Daten, die über dort stationierte Server laufen? – Das müsste der Kunde im Einzelfall selbst abchecken, sofern er überhaupt weiß, dass seine Cloud-Daten international auf Reisen sind.

„Datensicherheit“, „Zugriffsschutz“, „Ende-zu-Ende-Verantwortung“, „Automatische Backups“ sind schöne Schlagworte, zu hören aus den Mündern der Verantwortlichen der Unternehmen der IT- und Telekommunikationsbranche in Zeiten von Massen-Hacking und NSA-Überwachung, selbst bei der Kanzlerin.

Jüngst sind die Zugangsdaten von 16 Millionen Nutzerkonten laut Bundesamt für Sicherheit und Informationstechnik (BSI) bei Online-Diensten entwendet worden. Bereits im Dezember 2013 war dort bekannt, dass Hacker so viele Zugangsdaten zusammengesammelt hatten. Ende Januar erfuhr endlich auch die Öffentlichkeit davon.

Hacker-Angriffe auf Häuser und Autos

Angriffe dieser Art ließen sich durch kryptographische Verfahren, wie einen Passwort-Safe oder eine Zwei-Faktoren-Authentifikation eindämmen, erklärt der IT-Sicherheitsexperte Jörn Müller-Quade vom Karlsruher Institut für Technologie (KIT): „Bei Passwort-Safes sichert man eine Menge verschiedener und starker Passwörter durch einen Schlüssel und muss sich nur diesen Schlüssel merken. Noch deutlich besser sind Verfahren mit Zwei-Faktor-Authentifikation: Hier hat man ein Token, beispielsweise eine Chipkarte, das man besitzt, und ein Passwort, das man sich merkt. Ein Angriff wird deutlich schwieriger, da dabei auch das Token entwendet werden müsste.“

Um die Sicherheit der Identitäten von Nutzerinnen und Nutzern im Netz zu erhöhen, führe kein Weg an solchen Verfahren vorbei. „Denn immer mehr Geräte sind mit dem Internet verbunden und dadurch angreifbar. Wenn zukünftig Häuser, Autos und Infrastrukturen über das Internet steuerbar werden, könnten die Folgen solcher Angriffe noch schwerwiegender sein“, so Müller-Quade.

Im aktuellen Fall hätte aber auch ein besserer Passwort-Schutz bei den einzelnen Nutzerinnen und Nutzer schon viel genutzt, so der IT-Sicherheitsexperte. Vielen falle es schwer, sich mehrere starke Passwörter zu merken. Der Sicherheitsexperte rät deshalb zu Passphrases wie „MeinPferdsingtgerneimSitzen”. Der Satz könne direkt als Passwort verwendet werden oder das Passwort könne sich aus den Anfangsbuchstaben eines längeren Satzes ableiten. Hinzufügen sollte man dann noch Sonderzeichen.

„Verdächtige“ vom Computer fernhalten

Virenscanner können nur bekannte Schadprogramme, also Viren, Würmer, Trojaner und andere Malware, beziehungsweise Schadlogiken, erkennen und somit nicht vor allen Viren und Würmern schützen. Andererseits schlagen sie bei Ähnlichkeiten auch mal an, wenn keine wirkliche Gefahr besteht, was zu Leichtsinn beim Umgang mit Bedrohungswarnungen verführt.

Michael Klatte vom IT-Security-Hersteller ESET warnt davor, eine hohe Download-Geschwindigkeit vor Sicherheit zu stellen. ESET gilt als Vorreiter in der proaktiven Bekämpfung selbst unbekannter Viren, Trojaner und anderer Bedrohungen. Aktuell unterstützt ESET Surfer mit einer neuen Verschlüsselungssoftware und einer 2-Faktor-Authentifizierung.

Wenn Dateien bereits vor dem Herunterladen auf den PC auf verdächtige Verhaltensweisen und Merkmale hin untersucht würden, dauere es zwar länger, bis sie auf dem PC auftauchen, dafür kämen infizierte und verdächtige Elemente erst gar nicht beim Nutzer an. Die Erfolgsquote, wie viele mehr oder weniger verdächtige Dateien in einem Monat vom Computer identifiziert und entfernt wurden, werde dadurch zwar zwangsläufig weniger, was aber zugunsten des Nutzers und nur zulasten eines wohlklingenden Verkaufsarguments geht. Auch werde die Arbeitsleistung des PCs so weniger durch Durchleuchtungs-Vorgänge belastet.

Abstinzenz von E-Kommunikation

Verblüffend einfach scheint es, sogenannte „Botnets“, eine Gruppe von Programmen, die Computernetzwerke infizieren und einem Hacker so Kontrolle über das Netzwerk geben, zu verbreiten. Botnets, wie sie infolge des jüngsten massenhaften Identitätsklaus bei den 16 Millionen betroffenen Internetnutzern aktiv sein können, werden in ihren Strukturen immer komplexer, so dass die Hacker ihre Attacken sowie die Daten, die sie stehlen, besser verschleiern können.

Sebastian Schreiber, einer der erfolgreichsten Hacker weltweit, nutzt seine „Kunst“, um Unternehmen und Bürger auf die Löcher in der globalen Internet- und Telekommunikation hinzuweisen. Gerne auch in Live-Hacking-Sessions, wie kürzlich im Vorfeld der Computermesse CeBIT. Der Geschäftsführer von SYSS demonstrierte, wie einfach es ist, in Systeme, die mit Sicherheitssoftware scheinbar geschützt sind, im Stil amerikanischer oder britischer Geheimdienste einzudringen.

Seine Tipps für den Einzelnen sind: Abstinenz, das heißt Vermeidung elektronischer Kommunikation, sowie Bewusstsein und Chiffrierung. Emails und anderer Datenverkehr sollten verschlüsselt werden, wo immer es nur geht.

Android am häufigsten attackiert

Außerdem empfiehlt Schreiber eine Distanzierung von amerikanischen Betriebssystemen, sprich: Android, Microsoft, Apple, und von US-Diensten, also Facebook, Gmail, iCloud. Sie alle seien trojanisiert. Klassische Computer-Angriffsmethoden wurden 2013 verstärkt auf mobilen Plattformen angewendet. Nach ESET-Untersuchungen wird das in diesem Bereich marktführende Betriebssystem Android am häufigsten attackiert.

An Märchen fühlt man sich erinnert, wenn der Tübinger Top-Hacker Schreiber für Laien verständlich zusammenfasst, wie sich ein Schadcode mit dreifacher Überlistung einschleicht. Ganz einfach, weil er jedes Mal anders aussieht: „Da bekommt man einen Wolf im Schafspelz durch.“

Aus den Unterlagen des NSA-Entlarvers Edward Snwoden, die Schreiber zugänglich sind, kennt dieser die Tricks, wie die NSA in Handys eindringt. Denn Handys sind heute kleine PCs mit großer Anfälligkeit, wie die Zunahme der Angriffe auf Mobilgeräte zeigt.

Ein großes Problem stellt die Hardware nicht nur bei Smartphones und deren mobilen Verwandten dar, vielmehr das, was zu Ausspähungszwecken darin verbaut bzw. offen gelassen wurde.

Router als Eingangstor für Angreifer und Spione

Das Eingangstor zu privaten und Firmen-PCs sind Router, also Netzwerkgeräte, die Netzwerkpakete aus Daten zwischen Rechnernetzen weiterleiten.
Eigentlich müssten sie mit guten Schlössern versehen sein, was aber die weltweite Kommunikation, deren Schlüssel allgemein-bekannte Standard sind, im Internet-Zeitalter erschwert. Schreiber beschreibt die Folgen: „Auch Router sind oft schon so gebaut, dass ein Einfall möglich ist.“ Der Grund dafür liege dann eben in der mangelhaften Verschlüsselung. Schreiber: „Die Engländer haben sich dafür stark gemacht, zugunsten einer weiten Standardisierung, und damit erst die Attacken durch die NSA möglich gemacht.“

Mehrfachladegeräte beispielsweise, agieren ebenfalls als böse Buben: Während das Smartphone neue Energie lädt, laden sie Trojaner auf oder schicken dem Angreifer Daten aus dem Telefon. Türöffner für Wirtschaftskriminalität und Co. holen sich Firmen und Privatleute also schon mit kleinsten Geräten ins Haus.

Jürgen Walter, Vorsitzender der Geschäftsführung in Deutschland und verantwortlich für die Region Zentraleuropa (Deutschland, Österreich und die Schweiz) im deutsch-japanischen Konzern Fujitsu, bestätigt die Gefahr. Bereits 87 Prozent der Unternehmen, viele von ihnen aus dem Mittelstand, seien attackiert worden: Diese Angriffe seien gut Teils über die Unternehmens-IT erfolgt.

Weshalb Computer via Hardware neu gerüstet werden: Das UEFI, englisch für „Vereinheitlichte, erweiterbare Firmware-Schnittstelle“, ist eine neue Technologie, um Angriffe über die PC-Hardware abzuwehren. Dabei sitzt es unterhalb des Betriebssystems als Schnittstelle zwischen der Firmware, den einzelnen Komponenten eines Rechners und dem Betriebssystem. Es ist viel weiter als der Vorgänger PC-BIOS, und kann mit Fokus auf 64-BIT-Systemen klassische Angriffe abwehren. Laut einer Gartner-Studie werden 2014 sogar 75 Prozent der Firmenrechner 64-Bit-Versionen von Windows benutzen. Ein UEFI-Bestandteil ist das Secure Boot, das unerwünschte Programme am Starten hindert, wenn das Booten auf vorher signierte Bootloader beschränkt wurde.

Walter setzt im großen Ausspäh-Zusammenhang auf „Made in Germany“ als wieder neuen Standort-Faktor. Dazu gehörten Entwicklung und Produktion der Hardware, Übertragungssysteme, sowie die Rechencenter-Standorte. Nicht nur deutsche Kunden legten Wert auf IT-Sicherheit mit Rechenzentren in Deutschland. Walter: „Weder für staatliche Stellen, noch für andere Angreifer, öffnen wir Tore.“ Die Arbeitskosten seien in Deutschland zwar höher als in China, dafür arbeite man hier auch produktiver.

Sicherheit und maximale Transparenz der IT-Industrie seien für das Vertrauen der Kunden wesentlich. Eine sichere End-to-End-Verschlüsselung gebe es nur über sieben Ebenen: Die Datensicherheit korrespondiere direkt mit der Übertragung zwischen Endgerät und Server.

Haben sich „Rootkits“, das sind Software-Werkzeuge, die das Wirken von Schadsoftware tarnen, bereits durch die Sicherheitslücken eingeschlichen, wird die Bekämpfung schwer.

Hacker haben „volle Gewalt über Opfersystem“

„Meister-Hacker“ Schreiber: „Als Hacker habe ich volle Gewalt über mein Opfersystem. Wir bekommen jeden Schadcode durch jeden Virenscanner durch – die sind nur für Massenbedrohungen.“ Ob staatliche Angreifer oder chinesische Hacker: Die Profis bekämen alles durch.

Jeder ist ein potenzielles Opfer. Schreiber: „Facebook ist verwanzt.Google gibt Daten weiter. Jedes europäische Handy macht beim Prism Program mit, wie auch Microsoft und eben Google. Es gibt unsere Daten an Abhördienste und andere weiter.“

Prism ist ein seit fast zehn Jahren existierendes Programm zur Überwachung und Auswertung elektronischer Medien und elektronisch gespeicherter Daten, geführt von der US-amerikanischen National Security Agency (NSA). Die Veröffentlichungen zu Prism gehören zu den Offenlegungen geheimer US-amerikanischer Dokumente, durch die Edward Snowden 2013 eine große Überwachungs- und Spionageaffäre ins Rollen brachte.

So viele Menschen, Institutionen und Firmen wie noch nie sind an unseren Daten und unserer Kommunikation interessiert. Schreiber fordert daher „für uns Bürger neue Gesetze“: Eine Haftung für Software-Hersteller und Cloud-Anbieter würde nach seiner Meinung einen „ganz großen Stein ins Rollen bringen“. Die datenschutzrechtliche Datenverarbeitung im Auftrag (ADV) muss nach Meinung des Sicherheitsexperten auch dann gelten, wenn wir eine Software beauftragen, Daten zu bearbeiten.


2014-03-10, Annegret Handel-Kempf

Text: © Annegret Handel-Kempf
Foto Banner: aph

zurück zu: Themen

zurück zu: Startseite

wirtschaftswetter.de
© 2003-2017 Wirtschaftswetter® Online-Zeitschrift