Piratenpartei Deutschland

Schlagwort: Hacker

  • Private Kommunikation muss auch vor Behördenzugriff geschützt bleiben

    Private Kommunikation muss auch vor Behördenzugriff geschützt bleiben

    Von Anja Hirschel, Themenbeauftragte Digitaler Wandel und Alexander Kohler, Themenbeauftragter für Außen- & Sicherheitspolitik

    Aktuell wird im EU-Ministerrat eine Initiative erarbeitet, die Behörden Zugang zu privater Kommunikation gestatten soll und damit sichere Kommunikation einschränkt. Dies ignoriert offensichtlich die Tatsache, dass solche Zugänge ein Einfallstor für Hacker jedweder Art ist. Denn auch Behörden selbst sind nicht vor Hacks sicher, wie das Beispiel des SolarWinds Hacks zeigt.

    Gerade während der aktuellen Pandemie zeigt sich deutlich, wie wichtig die Digitalisierung ist. Es zeigt sich aber auch, wie abhängig wir von den kritischen Infrastrukturen im „Digitalen“ Raum sind, um Unternehmen am Laufen zu halten und die Kommunikation zu gewährleisten. Gleichzeitig müssen der breiten Öffentlichkeit auch die Gefahren bewusster werden, also welche Gesetzmäßigkeiten im „Neuland Internet“ herrschen und wie wichtig besonders die Resilienz an dieser Stelle für uns alle ist.

    Gegen Ende 2020 kamen Meldungen über einen Hack der ZS Firma SolarWinds auf. Dies führte dazu, dass sehr viele Verantwortliche großer US Konzerne und Ministerien in Panik gerieten. Doch worum geht es dabei genau? Und inwiefern ist es relevant für jeden von uns?

    Die Bedeutung dieses Vorfalls wird deutlich sichtbar wenn man das Unternehmen im Zentrum der Meldung, die Firma SolarWinds aus Austin, Texas (USA), genauer betrachtet. SolarWinds ist ein Dienstleister für Softwarelösungen im IT- und Netzwerkmanagement, insbesondere im Sektor IT-Sicherheit. Mit den Produkten von SolarWinds können Datenbanken und Systeme verwaltet, sowie Datenflüsse optimiert und verfolgt werden.

    Neben US-Regierungsbehörden wie dem Pentagon, Nuklearforschungseinrichtungen und diverser US-Geheimdienste befinden sich auch die 500 größten US-Unternehmen unter den 300.000 Kunden dieses Anbieters. Die Angreifer haben sich damit also nicht nur ein einzelnes Ziel herausgesucht, sondern sich sehr geschickt den Zugriff auf viele Kunden von SolarWinds, inklusive Geheimdiensten, gleich mit gesichert. Die Angreifer sind, bildlich dargestellt, bei einem „Schlüsseldienst“ eingebrochen und haben nicht nur nur einen Schlüssel, sondern gleich den Generalschlüssel zu den Kundensystemen mehrerer Unternehmen erbeutet. Dadurch hatten sie die Möglichkeit, dort überall Zugriff zu erlangen.

    Laut SolarWinds sind etwa 18.000 der 33.000 Nutzer der Plattform Orion betroffen. Diese hatten ein Update, das mit der sogenannten „Sunburst“ Hintertür kompromittiert war, eingespielt (Update des Zeitraums März-Juni 2019). Immerhin wurden bereits kurze Zeit später, im September 2019, erste Anzeichen für einen Angriff auf SolarWinds festgestellt. So wurde die Firma von einem Sicherheitsfachmann explizit gewarnt, dass man mit dem Passwort „solarwinds123“ jederzeit Zugriff auf den Updateserver von SolarWinds erlangen könne. Zudem wurden diverse potenzielle Zugriffsmöglichkeiten auf SolarWinds schon 2017, also zwei Jahre zuvor, auf einem Exploit-Forum zum Kauf angeboten.

    Doch wie genau sind die Hacker nun vorgegangen, um so viele Systeme infiltrieren zu können? Sie haben direkt am Build-Prozess angesetzt, also dort, wo mehrere Quelldateien zusammengeführt und in ein lauffähiges Konstrukt konvertiert werden. Die „Sunburst“ Schadsoftware wurde über die Orion-Plattform eingeschleust, und mit gültigen Schlüsseln von SolarWinds zertifiziert. Nach der Installation des Updates wurde der Trojaner nicht sofort, sondern erst nach einer Ruhezeit von zwei Wochen aktiv. Er verband sich mit dem Internet, analysierte das Netzwerk, sammelte Daten, und lud weiteren Schadcode herunter.

    Auch deutsche Unternehmen und Behörden sind von der Attacke betroffen, zum Beispiel das Kraftfahrt-Bundesamt (KBA), das Bundesamt für Sicherheit in der Informationstechnik (BSI), die Wehrtechnische Dienststelle (WTD) und das Robert-Koch-Institut (RKI) [6], Wenn nun aber Behörden Zugang zu privater Kommunikation haben, kann durch solche Hacks in der Folge kaskadenartig auch gleich die private Kommunikation einer Vielzahl von Nutzern kompromittiert werden. Sowohl fremde Regierungs- als auch sonstige Organisationen mit Hacker-Wissen könnten dies via „Backdoors“ oder „Frontdoors“ angreifen und ausnutzen, wie am Beispiel des SolarWinds Hacks nun eindrucksvoll exemplarisch demonstriert wurde.

    Die Lehre aus diesem Angriff ist daher, dass IT-Sicherheit nur dann gewährleistet ist, wenn bekanntgewordene Verwundbarkeiten von IT-Systemen konsequent geschlossen statt bewusst offen gehalten werden.

  • PIRATEN warnen vor Bitcoin Betrugswelle auf Twitter

    PIRATEN warnen vor Bitcoin Betrugswelle auf Twitter

    Zu dem in der Nacht von Mittwoch auf Donnerstag erfolgten Angriff auf die Twitteraccounts zahlreicher Prominenter kommentiert der politische Geschäftsführer der Piratenpartei Deutschland, Daniel Mönch:

    „Was heute Nacht passiert ist, war wohl einer der größten Angriffe auf Social Media Accounts, den es bisher gab.
    Plötzlich ist Twitter voll mit Angeboten, Bitcoins zu verdoppeln, wenn vorher ein entsprechender Betrag auf ein Bitcoin Konto überwiesen wird. Hierbei handelt es sich um eine Betrugsmasche, die vielen Spielern aus Online-Spielen bekannt ist. Es wird in einem Chat im Spiel das Angebot gemacht, einen gesendeten Betrag zu verdoppeln. Selbstverständlich handelt es sich hierbei um eine Täuschung und das überwiesene Geld ist verloren.

    Aus dem Spiel ist jetzt leider Realität geworden. Auf bisher unbekannte Weise haben Betrüger Zugang zu zahlreichen reichweitenstarken Accounts bekommen. Durch die enorme Reichweite dieser Accounts haben potenziell Millionen Menschen dieses Angebot gesehen, und viele sind im Vertrauen auf die Prominenten darauf eingegangen. Erste Berichte lassen Schlimmes ahnen. Viele Menschen sind nicht mit dieser Betrugsmasche vertraut. Wir hoffen, dass möglichst viele Menschen den Betrug durchschauen und warnen eindringlich davor, auf das Angebot einzugehen, denn bei einer Transaktion von Bitcoins gibt es keine Möglichkeit, das Geld zurückzubekommen.

    Was mit dem Zugriff auf die Accounts von Staatsführern und Unternehmenschefs hätte angerichtet werden können, ist gar nicht abzuschätzen. Wir müssen dankbar sein, dass mit dieser Schwachstelle „nur“ eine Betrugswelle und kein Krieg begonnen wurde.“

    Quellen/Fußnoten:
    [1] https://twitter.com/TwitterSupport/status/1283518038445223936

  • Verbindungsdatenhack: Nur nicht gespeicherte Daten sind sichere Daten!

    Verbindungsdatenhack: Nur nicht gespeicherte Daten sind sichere Daten!

    Nach Presseberichten haben sich Hacker Zugang zu Verbindungs- und Bewegungsdaten der Nutzer einer zweistelligen Anzahl von Mobilfunknetzen weltweit verschafft. Der Europaabgeordnete Dr. Patrick Breyer (Piratenpartei) erklärt:

    „Die Vertraulichkeit unserer Kommunikation ist essentiell für uns Bürger, für Berufsgeheimnisträger, Medien und die Wirtschaft. Das Bekanntwerden von Kontakten und Bewegungen kann höchste Amtsträger erpressbar machen oder sogar ihr Leben gefährden. Dieser Hack belegt: Nur nicht gespeicherte Daten sind sichere Daten.“

    Breyer fordert Konsequenzen aus dem Vorfall:

    „Das deutsche Gesetz und die EU-Pläne zur Vorratsspeicherung aller Kommunikationsdaten sind unverantwortlich und müssen vom Tisch. Die ePrivacy-Verordnung erlaubt zu große Datenhalden zu ‚Sicherheitszwecken‘ und muss verschärft werden. Zudem sollte der Bundesdatenschutzbeauftragte gegen die ‚freiwillige Vorratsdatenspeicherung‘, die massenhaften Funkzellenabfragen und Abmahnungen Tür und Tor öffnet, einschreiten.“

  • Hackerangriff auf die Stadtverwaltung von Baltimore: Wie verwundbar sind europäische Städte?

    Hackerangriff auf die Stadtverwaltung von Baltimore: Wie verwundbar sind europäische Städte?

    Herbert Saurugg, MSc, Experte für die Vorbereitung auf den Ausfall lebenswichtiger Infrastrukturen, war 15 Jahre Berufsoffizier des Österreichischen Bundesheeres, zuletzt im Bereich IKT-/Cyber-Sicherheit. Seit 2012 beschäftigt er sich mit den möglichen Folgen steigender Vernetzung und Komplexität, insbesondere mit dem Szenario eines europaweiten Strom- und Infrastrukturausfalls („Blackout“). Er betreibt dazu einen umfangreichen Fachblog (www.saurugg.net) und ist über die Grenzen Österreichs hinaus als weitsichtiger Querdenker und Referent bekannt.

    Die amerikanische Stadt Baltimore wird seit Anfang Mai erpresst. Die Daten von tausenden Computern der Stadtverwaltung wurden durch eine Schadsoftware verschlüsselt. Wichtige Systeme der Verwaltung stehen seither still. Notwendige Dienstleistungen können nur sehr eingeschränkt erbracht werden. Der/die Erpresser verlangen Geld, um die Dateien wieder zu entschlüsseln. Diese Forderung – es geht um 13 Bitcoins (ca. 90.000 Euro) – wird jedoch vom Bürgermeister der Stadt abgelehnt. Der durch den Hackerangriff aufgelaufene Schaden beläuft sich bereits auf über 15 Millionen Euro.
    Ungewöhnlich ist, dass der/die Erpresser versucht haben, die Stadtverwaltung über Twitter zur Zahlung zu bewegen. Ungewöhnlich, wenn nicht gar bedenklich ist jedoch erst recht, dass es der Stadtverwaltung und den hinzugezogenen Behörden und Dienstleistern bisher nicht gelungen zu sein scheint, die verschlüsselten Daten von entsprechenden Datensicherungen wiederherzustellen. Schließlich wurde die Stadt erst kürzlich im Rahmen der „Smart Cities Readiness Challenge“ ausgezeichnet. Hier würde man doch das Vorhandensein einer entsprechenden Sensibilität und von Prozessen erwarten, um mit derartigen Zwischenfällen souveräner umgehen zu können. Primär natürlich, um Schwachstellen, die einen solchen Angriff erst ermöglichen, rasch zu schließen. Sollte dennoch etwas schief gehen, wären Abläufe wünschenswert, die den Schaden begrenzen und rasch wieder beheben. Aber wie so oft, scheint auch in der Stadtverwaltung Baltimores die Kluft zwischen Schein und Wirklichkeit groß zu sein.

    Baltimore ist überall

    Nun stellt sich natürlich die Frage, ob so etwas auch in europäischen oder deutschen Städten passieren könnte. In der Regel wird man darauf rasch die Antwort bekommen: „Nein, bei uns ist so was undenkbar. Wir haben unsere Hausaufgaben gemacht.“

    Ein Blick in die Vergangenheit beweist das Gegenteil. Und es waren nicht nur die Verwaltungsstrukturen einzelner Städte betroffen, sondern die vitalen Infrastrukturen ganzer Länder und Regionen. 2003 – Blackout an der US-Ostküste; nicht Europa. Aber wenige Wochen später war ganz Italien finster; Blackout. Oder der Stromausfall am weltgrößten Flughafen in Atlanta im Dezember 2017, den der deutsche Flughafenverband sinngemäß kommentierte, so etwas sei in Deutschland völlig unmöglich. Ein halbes Jahr später stand der fünftgrößte Flughafen Deutschlands, der Flughafen Hamburg, aufgrund eines mehrstündigen Stromausfalls still.
    Störungen unserer modernen Infrastrukturen können überall auftreten, auch wenn es massig Vorschriften gibt, die sie eigentlich verhindern sollten. Kriminelle, die diese Strukturen angreifen, sind dabei nur eine mögliche Ursache.

    Gefahrenpotenzial Komplexität

    Vernetzung („Digitalisierung“) schafft viele Vorteile und ganz neue Möglichkeiten. Die Vernetzung steigert jedoch auch die Komplexität von Systemen. Damit entstehen oft wenig beachtete Nebenwirkungen: Kleine Ursache, große Wirkung; exponentielle Entwicklungen; steigende Dynamik; Nichtlinearität oder zeitverzögerte Wirkungen. Das sind Dinge, mit denen wir noch schlecht umgehen können, weil wir es bisher hauptsächlich mit wenig komplizierten Maschinen zu tun hatten. Dementsprechend ist unsere Ausbildung noch in „Silos“ (Instituten, Disziplinen) organisiert. Wir bräuchten jedoch viel mehr vernetztes Denken, um mit den Auswirkungen der von uns geschaffenen komplexen Systeme Schritt halten zu können; nicht nur in Spezialbereichen, sondern im gesamten Bildungssystem.

    Außerdem führt der betriebswirtschaftliche Druck mit der damit einhergehenden Effizienzsteigerung dazu, dass Systeme immer fragiler designt werden. Überlebenswichtige Reserven und Redundanzen stellen totes Kapital dar. Sie werden oftmals vernachlässigt oder gleich ganz eingespart. Das merkt man dann erst zeitverzögert, wenn es kracht. Dann ist es aber bereits zu spät.
    Diese Effizienzsteigerung betrifft natürlich auch und insbesondere die Personalressourcen, vor allem in der IT und der IT-Sicherheit. Immer mehr Technik, immer weniger Personal. Daher gilt allzuoft der Grundsatz: „Never touch a running system“. Das Einspielen von Patches kostet Zeit und geht auch des Öfteren schief. Nun werden aber zunehmend mehr Infrastruktur-IT-Systeme (IT) mit Office-IT-Systemen (OT) vernetzt, damit mehr Daten generiert werden können. Die bestehende OT-Infrastruktur ist jedoch nicht für derartige Anforderungen ausgelegt. Diverse Sicherheitslösungen würden deren Funktionalität sogar beeinträchtigen oder stören. Womit wir wieder beim Bildungsthema wären.
    Der nächste Punkt ist, dass wir zwar zunehmend mehr Wert auf den Schutz unserer Systemen legen, aber kaum über Rückfallebenen verfügen, sollte wirklich einmal etwas fundamental aus dem Ruder laufen. Es ist auch allzu menschlich, echte Horrorszenarien nicht wahrhaben zu wollen oder auszublenden. Sie ernst zu nehmen würde außerdem unsere Effizienzsteigerungsbemühungen unterlaufen. Dieser gefährlichen Denkweise unterliegen aber nicht nur Fachleute und -bereiche. Die Frage ist vielmehr, ob die gesamte Organisation oder wir als Gesellschaft mit größeren Störungen oder sogar Versorgungsunterbrechungen umgehen könnten. Klar ist – es gibt keine zu hundert Prozent sicheren Systeme. Nirgends. Aus der Komplexitätsforschung ist sogar bekannt, dass der Kollaps von komplexen Systemen kein Fehler, sondern ein Designmerkmal ist. Dieses sorgt für ihre Regeneration und Weiterentwicklung. In der Wirtschaftslehre ist dies auch als „Schöpferische Zerstörung“ bekannt. Diese Erkenntnis gilt jedoch nicht nur für natürliche, sondern auch für komplexe Systeme, wie wir sie derzeit schaffen.

    Zentrale vs. dezentrale Strukturen

    Das Ganze wäre nicht so schlimm, gäbe es ein paar sinnvolle Reichweitenbegrenzungen und dezentrale funktionale Einheiten. In der Natur ist alles Lebendige, also komplexe Systeme, zellulär organisiert. Das hat sich im Laufe der Evolution bewährt und durchgesetzt. Im technischen Bereich machen wir jedoch genau das Gegenteil. Aus Effizienzgründen werden immer mehr Dinge voneinander abhängig und damit auch verwundbarer gemacht. Nicht aus böser Absicht, sondern aus Unwissenheit und aufgrund kurzsichtiger betriebswirtschaftlicher Überlegungen.
    Besonders beunruhigend sind die Entwicklungen im Bereich der lebenswichtigen („kritischen“) Infrastrukturen. Auch deren Betrieb unterliegt einem zunehmenden Marktdruck. Die Leistungen müssen weiterhin stimmen. Daher muss im Hintergrund eingespart werden, was zu Lasten der Robustheit geht. So kommen etwa auch im Infrastruktursektor zunehmend mehr „Commercial off the shelf“-Produkte (COTS) zum Einsatz, was sich auf die Lebensdauer und damit auf die Langzeitkosten auswirken wird („zeitverzögerte Wirkungen“). Zum anderen führt die Digitalisierung dazu, dass immer mehr Prozesse und Infrastrukturen voneinander wechselseitig abhängig werden. So lange alles funktioniert, gibt es viele Vorteile. Kommt es jedoch zu einer unvorhergesehenen Störung, können selbstverstärkende Kaskadeneffekte auftreten („kleine Ursache, große Wirkung“, „Nichtlinearität“). Wie etwa 2017 in Ludwigshafen. Ein Bauarbeiter hatte eine falsche Versorgungsleitung durchtrennt. Es kam zu einer Explosion. In deren Folge mussten zwei Dutzend Industrieanlagen unplanmäßig gestoppt werden. Der Schaden kumulierte sich auf 500 Millionen Euro.

    Elektrischer Strom – unser Lebenselixier

    Durch die Digitalisierung werden immer mehr Systeme und Prozesse von der Stromversorgung abhängig. Gleichzeitig steigt der Stromverbrauch massiv an, was bisher nicht genügend gewürdigt wird. Kleinvieh macht Mist, der häufig unterschätzt wird. Man denke nur an die Standby-Verbräuche.
    Viele mögen sich denken: „Alles kein Problem, haben wir doch in Mitteleuropa die höchste Versorgungssicherheit weltweit.“ Der Schein trügt. Er könnte sich sogar als zerstörerische Truthahn-Illusion herausstellen. Ein Truthahn, der Tag für Tag von seinem Besitzer gefüttert wird, nimmt aufgrund seiner täglichen positiven Erfahrungen (Fütterung) an, dass es der Besitzer nur gut mit ihm meinen kann. Im fehlt nämlich die wesentlichste Information, dass die Fütterung nur einem Zweck dient. Am Tag vor Thanksgiving, bei dem die Truthähne traditionell geschlachtet werden, erlebt er dann eine fatale Überraschung.
    Das europäische Stromversorgungsystem unterliegt einem fundamentalen Wandel. Der sichere Betrieb erfordert zunehmend mehr Aufwand und wird seit Jahren schwieriger. Das wird in der Öffentlichkeit kaum wahrgenommen. Der Strom kommt doch aus der Steckdose – basta. Es gibt jedoch mittlerweile eine Reihe von großen Stressfaktoren. Der Strommarkt spielt dabei eine ganz zentrale Rolle. Dieser muss per Definition keine Rücksicht auf physikalische Rahmenbedingungen nehmen („Energy-only-Market“). Es gibt jedoch keine europäische Kupferplatte, die Strom zu jeder Zeit, in jeder Menge und überall hin verteilen könnte. Der Markt agiert aber genau so. Die betriebswirtschaftliche Optimierung des Marktes kann sogar mehrmals täglich an der Netzfrequenz abgelesen werden, bei der es regelmäßig in den Morgen- und Abendstunden zu größeren Abweichungen kommt.

    Am 10. und 24. Januar 2019 wurde dadurch sogar die Grenze des Normalbetriebes erreicht. Das ist das letzte Mal 2006 passiert, wobei diese noch weiter unterschritten wurde und es dann zum Glück zur rechtzeitigen Notabschaltung von 10 Millionen Haushalten in Westeuropa kam, um einen Totalkollaps („Blackout“) zu verhindern. Am 03. April 2019 wurde die gewöhnliche Schwankungsbreite erneut deutlich unterschritten. Am 20. Mai 2019 kam es in der Schweiz zu einer schweren Sicherheitsverletzung, nachdem das Marktverhalten kurzfristige, nicht prognostizierte Lastflüsse verursachte. Eine Häufung von unerwarteten Ereignissen, wie wir sie bisher nicht kannten.
    Wir haben zudem ein europäisches Verbundsystem, das nur im Ganzen funktioniert. Jedes Mitgliedsland verfolgt jedoch seine eigene Energie- und vor allem Strompolitik. Auf EU-Ebene hat der Markt höchste Priorität. Ein weiterer Stressfaktor ist die deutsche Energiewende. Hier fehlt es offenbar an grundlegendem physikalischen Wissen bzw. wird dieses ignoriert und durch Wunschvorstellungen ersetzt.

    Die Energiewende ist mit Sicherheit notwendig. Mit den derzeitigen einseitigen und nicht systemischen Eingriffen in unsere überlebenswichtigste Infrastruktur riskieren wir jedoch alles. Kein System verträgt auf Dauer einseitige und vor allem der Physik zuwiderlaufende Eingriffe. Trotzdem agieren wir immer noch wie der oben zitierte Truthahn.
    Das Hauptproblem ist, dass wir wesentliche Systemelemente (konventionelle Kraftwerke) entfernen, ohne entsprechende Ersatzlösungen verfügbar zu haben. Die Stromerzeugung aus Wind und Sonne reicht bei weitem nicht, um die bisherigen Funktionalitäten zu ersetzen. Fossile Kraftwerke stellen eine funktionale Einheit dar. Sie können nachfrageorientiert Strom erzeugen, was PV- und Windkraftanlagen nicht können. Damit das Stromversorgungssystem jedoch funktioniert, muss permanent ein fragiles Gleichgewicht zwischen Erzeugung und Verbrauch sichergestellt werden. Die vorhandenen Flexibilitäts- und Speicherlösungen reichen bei weitem nicht aus, um diese Balance auch in absehbarer Zukunft sicherstellen zu können. Und es reicht nicht, wenn es auf dem Papier Lösungsansätze gibt, die sich noch dazu nicht rechnen. Was viele nicht wissen ist, dass diese Balance zu 100 Prozent sichergestellt werden muss. 99,999 Prozent führen bereits zum Kollaps!

    Fazit

    Was hat das nun alles mit dem Ursprungsthema, dem IT-Ausfall in Baltimore zu tun? Auf den ersten Blick vielleicht nicht viel, aus einer systemischen Perspektive jedoch eine ganze Menge. Es geht um unsere infrastrukturellen Abhängigkeiten und um unterschätzte Kaskadeneffekte. Wenn die Wiederherstellung von Systemen in einem sehr überschaubaren Bereich, wie in einer Stadtverwaltung, schon derart lange dauert, unterschätzen wir wohl völlig, wie lange der Wiederanlauf nach einem europaweiten Strom- und Infrastrukturausfall („Blackout“) dauern wird. Ganz abgesehen davon, dass mit dem Strom auch die Telekommunikationsversorgung ausfällt und damit so gut wie kein Krisenmanagement mehr möglich ist. Außer auf lokaler Ebene. Es muss sogar erwartet werden, dass der Wiederanlauf der Telekommunikationsversorgung nach dem Stromausfall noch wesentlich länger dauern wird. Damit funktionieren weder Produktion, noch Logistik oder Warenverteilung. Nicht einmal die Treibstoffversorgung. Gleichzeitig wissen wir, dass sich rund ⅓ der Bevölkerung maximal vier Tage und ⅔ maximal eine Woche selbst versorgen kann. Es ist sehr unwahrscheinlich, dass es gelingt, die Versorgung binnen dieser Frist wieder zum Laufen zu bringen.
    Der Bericht „Gefährdung und Verletzbarkeit moderner Gesellschaften durch Stromausfall“ des Büros für Technikfolgenabschätzung beim Deutschen Bundestag hat bereits 2010 festgestellt: „Spätestens am Ende der ersten Woche wäre eine Katastrophe zu erwarten, d. h. die gesundheitliche Schädigung bzw. der Tod sehr vieler Menschen sowie eine mit lokal bzw. regional verfügbaren Mitteln und personellen Kapazitäten nicht mehr zu bewältigende Problemlage.“
    Hat sich seither etwas geändert? Haben wir bessere Vorsorgemaßnahmen getroffen? Nein, überhaupt nicht. Die Verwundbarkeit ist in den letzten 10 Jahren noch stärker gestiegen. Wie wahrscheinlich ist ein Blackout? Das lässt sich aufgrund des sehr seltenen Eintritts nicht berechnen. So wie jedoch die Entwicklungen im europäischen Stromversorgungssystem in den vergangenen acht Jahren verlaufen sind und die Planungen für die nächsten fünf Jahre aussehen, geht der Autor fix davon aus, dass wir ein solches Ereignis in diesem Zeitraum erleben werden. Wir steuern daher auf die größte Katastrophe nach dem Zweiten Weltkrieg zu, ohne es zu ahnen. Vor allem auch, weil wir ignorant sind und seit dem Ende des Kalten Krieges sämtliche Vorsorgemaßnahmen zurückgefahren oder komplett eingestellt haben. Das betrifft jeden Einzelnen von uns, aber auch die Unternehmen und den Staat insgesamt. Wir leben in einer sehr komfortablen Truthahn-Illusion.

    Strom aus – Wie sicher sind unsere Netze
    Quelle: 3sat / © ORF/Peppo Wagner Filmproduktion

  • EFail – Geknackte E-Mailverschlüsselung?

    EFail – Geknackte E-Mailverschlüsselung?

    Für viele Administratoren, IT-Verantwortliche und ambitionierte Computernutzer fing die Woche mit einem Schreck an: IT-Sicherheitsforscher um Sebastian Schinzel von der Fachhochschule Münster meldeten auf Twitter, dass die beiden Verschlüsselungsprotokolle S/Mime und PGP geknackt worden seien. Die Spezialisten führten aus, dass auch E-Mails betroffen seien, die in der Vergangenheit verschlüsselt wurden, und kündigten an, ihre Arbeit im Laufe des Tages zu veröffentlichen.

    Später stellte sich jedoch heraus, dass die Prognose wider Erwarten nicht ganz so düster war: die Verschlüsselungsprotokolle selbst waren nicht geknackt worden. Jedoch lassen Schwachstellen innerhalb ihrer Implementierung in den Mail-Clients es zu, dass die entschlüsselten Inhalte an fremde Server übertragen werden. Hierzu wird die Tatsache ausgenutzt, dass ein Großteil der heutigen E-Mailkommunikation nicht wie ursprünglich vorgesehen als reiner Text übertragen wird, sondern als bunte, mit Bildern versehene HTML-Nachricht.

    Um HTML-Nachrichten vollständig anzeigen zu können, ist es notwendig, die darin enthaltenen Bilder aus dem Internet nachzuladen. Über diesen Mechanismus wird bei der „EFail“ getauften Attacke nun der Inhalt der Nachricht an einen fremden Server übertragen.

    Wie genau dies funktioniert ist in der Fachpresse und in der Veröffentlichung der Sicherheitsforscher nachzulesen.

    Glücklicherweise lässt sich dieses Verhalten in den meisten E-Mail-Programmen komplett ausschalten. Dies bedeutet aber auch, dass die Anwender viele Nachrichten nicht mehr vollständig angezeigt bekommen – und viele möchten einfach nicht auf Firmenlogo, Smileys und Co. in ihrem E-Mails verzichten. Aufgrund dessen ist anzunehmen, dass viele Anwender diese Funktion schnell wieder aktivieren werden.

    Objektiv betrachtet betreffen die veröffentlichten Sicherheitslücken nur einen kleinen Teil der E-Mail-Benutzer. Der Großteil der Anwender versendet die E-Mails nach wie vor unverschlüsselt und damit quasi offen für jeden lesbar. Auch die Aussage und Intention der Bundesregierung, Deutschland führend in der Verschlüsselung werden zu lassen, hat hieran wenig geändert.

    Im Gegenteil: gleichzeitig sollen die Sicherheitsdienste der Bundesrepublik technologisch in die Lage versetzt werden, Verschlüsselungen zu umgehen. Was wir hierbei nicht aus den Augen verlieren dürfen: die zu diesem Zwecke genutzten und teilweise bewusst offen gehaltenen Sicherheitslücken ermöglichen auch Hackern Zugang – wenn also Sicherheitsdienste Verschlüsselungen umgehen können, können Hacker dies ebenso. Ein Umstand, der nicht erst seit „WannaCry“ bekannt ist.

    „Die Piratenpartei fordert daher schon lange den Einsatz von Verschlüsselung zu stärken und auf breiter Ebene zu unterstützen – insbesondere in der Kommunikation mit Behörden, Anwälten und Ärzten“

    sagt Borys Sobieski, stellvertretender Landesvorstand der Piratenpartei Baden-Württemberg.

    Dass es hier leider nicht zum Besten steht, haben in der Vergangenheit die Probleme um das beA aber auch um DE-Mail gezeigt.

    „Wichtig ist es vor allem, die Anwender im Gebrauch mit den mittlerweile etablierten Kommunikationsmedien zu unterstützen und Programmeinstellungen in Bezug auf Sicherheit und Datenschutz klar und verständlich anzubieten. Die gleichzeitige Einführung von Informatik als Pflichtfach gäbe bereits Kindern und Jugendlichen die erforderlichen Kentnisse an die Hand. Sie würden sich in unserer zunehmend digitalisierten Welt besser zurecht finden, sicher kommunizieren und durch Weitergabe ihres Wissens an ältere Generationen allen Menschen ein Leben als mündige Bürger ermöglichen – on- und offline.“

    betont Sobieski.

    Empfehlungen der PIRATEN zur sicheren E-Mail-Kommunikation:

    • HTML-Mails deaktivieren
    • automatisches Nachladen von Inhalten deaktivieren
    • automatische Entschlüsselung deaktivieren und mit Passwortschutz (Eingabe jedes Mal erforderlich) versehen
    • Kommunikationspartner auf die notwendigen Sicherheitsmaßnahmen aufmerksam machen

  • Hack-Attack – Angriff auf die Infrastruktur – Keine kritischen Anlagen über das Netz betreiben

    Gestern erfolgte ein konzentrierter Hacker-Angriff auf die US-Firma Dyn, die als eine Art „Telefonvermittlung“ im Internet agiert. Nutzer geben den Namen der Website ein und Dyn verwandelt diese Eingabe in die eigentliche numerische Adresse des einzelnen Webangebotes. Der Angriff auf diese Infrastruktur wurde nach eigenen Angaben von einer Gruppe namens „New World Hackers“ ausgeführt, die über ein Botnetz die Server von Dyn mit Millionen gleichzeitiger Anfragen (DDOS – Distributed Denial of Service) in die Knie gezwungen haben.

    Die Piratenpartei sieht im Anschluss kritischer Infrastruktur wie Kraftwerken etc. ein erhebliches Risiko und fordert, solche Anlagen nicht über das Netz zu steuern, sondern nur durch geschlossene Systeme.

    Patrick Schiffer, Bundesvorsitzender der Piratenpartei Deutschland:

    „Dieser Angriff zeigt unsere Abhängigkeit vom Internet und wie letztlich alles an einzelnen Knotenpunkten hängt. Er erinnert uns ebenfalls daran, warum wir kritische Infrastruktur nicht einfach ans Netz hängen können. Das war sicher nicht die letzte Denial-of-Service Attacke. Allerdings war das hier in der Größenordnung etwas Anderes als bekannt, da nicht eine einzelne Seite, sondern der DNS-Provider Ziel des Angriffs wurde. Wir fordern alle Betreiber kritischer Anlagen wie Atomkraftwerken und ähnlichem auf, für eine ausreichende Sicherheit zu sorgen und ihre Anlagen nicht über das Internet zu verbinden.“