Piratenpartei Deutschland

Schlagwort: IT-Sicherheit

  • Private Kommunikation muss auch vor Behördenzugriff geschützt bleiben

    Private Kommunikation muss auch vor Behördenzugriff geschützt bleiben

    Von Anja Hirschel, Themenbeauftragte Digitaler Wandel und Alexander Kohler, Themenbeauftragter für Außen- & Sicherheitspolitik

    Aktuell wird im EU-Ministerrat eine Initiative erarbeitet, die Behörden Zugang zu privater Kommunikation gestatten soll und damit sichere Kommunikation einschränkt. Dies ignoriert offensichtlich die Tatsache, dass solche Zugänge ein Einfallstor für Hacker jedweder Art ist. Denn auch Behörden selbst sind nicht vor Hacks sicher, wie das Beispiel des SolarWinds Hacks zeigt.

    Gerade während der aktuellen Pandemie zeigt sich deutlich, wie wichtig die Digitalisierung ist. Es zeigt sich aber auch, wie abhängig wir von den kritischen Infrastrukturen im „Digitalen“ Raum sind, um Unternehmen am Laufen zu halten und die Kommunikation zu gewährleisten. Gleichzeitig müssen der breiten Öffentlichkeit auch die Gefahren bewusster werden, also welche Gesetzmäßigkeiten im „Neuland Internet“ herrschen und wie wichtig besonders die Resilienz an dieser Stelle für uns alle ist.

    Gegen Ende 2020 kamen Meldungen über einen Hack der ZS Firma SolarWinds auf. Dies führte dazu, dass sehr viele Verantwortliche großer US Konzerne und Ministerien in Panik gerieten. Doch worum geht es dabei genau? Und inwiefern ist es relevant für jeden von uns?

    Die Bedeutung dieses Vorfalls wird deutlich sichtbar wenn man das Unternehmen im Zentrum der Meldung, die Firma SolarWinds aus Austin, Texas (USA), genauer betrachtet. SolarWinds ist ein Dienstleister für Softwarelösungen im IT- und Netzwerkmanagement, insbesondere im Sektor IT-Sicherheit. Mit den Produkten von SolarWinds können Datenbanken und Systeme verwaltet, sowie Datenflüsse optimiert und verfolgt werden.

    Neben US-Regierungsbehörden wie dem Pentagon, Nuklearforschungseinrichtungen und diverser US-Geheimdienste befinden sich auch die 500 größten US-Unternehmen unter den 300.000 Kunden dieses Anbieters. Die Angreifer haben sich damit also nicht nur ein einzelnes Ziel herausgesucht, sondern sich sehr geschickt den Zugriff auf viele Kunden von SolarWinds, inklusive Geheimdiensten, gleich mit gesichert. Die Angreifer sind, bildlich dargestellt, bei einem „Schlüsseldienst“ eingebrochen und haben nicht nur nur einen Schlüssel, sondern gleich den Generalschlüssel zu den Kundensystemen mehrerer Unternehmen erbeutet. Dadurch hatten sie die Möglichkeit, dort überall Zugriff zu erlangen.

    Laut SolarWinds sind etwa 18.000 der 33.000 Nutzer der Plattform Orion betroffen. Diese hatten ein Update, das mit der sogenannten „Sunburst“ Hintertür kompromittiert war, eingespielt (Update des Zeitraums März-Juni 2019). Immerhin wurden bereits kurze Zeit später, im September 2019, erste Anzeichen für einen Angriff auf SolarWinds festgestellt. So wurde die Firma von einem Sicherheitsfachmann explizit gewarnt, dass man mit dem Passwort „solarwinds123“ jederzeit Zugriff auf den Updateserver von SolarWinds erlangen könne. Zudem wurden diverse potenzielle Zugriffsmöglichkeiten auf SolarWinds schon 2017, also zwei Jahre zuvor, auf einem Exploit-Forum zum Kauf angeboten.

    Doch wie genau sind die Hacker nun vorgegangen, um so viele Systeme infiltrieren zu können? Sie haben direkt am Build-Prozess angesetzt, also dort, wo mehrere Quelldateien zusammengeführt und in ein lauffähiges Konstrukt konvertiert werden. Die „Sunburst“ Schadsoftware wurde über die Orion-Plattform eingeschleust, und mit gültigen Schlüsseln von SolarWinds zertifiziert. Nach der Installation des Updates wurde der Trojaner nicht sofort, sondern erst nach einer Ruhezeit von zwei Wochen aktiv. Er verband sich mit dem Internet, analysierte das Netzwerk, sammelte Daten, und lud weiteren Schadcode herunter.

    Auch deutsche Unternehmen und Behörden sind von der Attacke betroffen, zum Beispiel das Kraftfahrt-Bundesamt (KBA), das Bundesamt für Sicherheit in der Informationstechnik (BSI), die Wehrtechnische Dienststelle (WTD) und das Robert-Koch-Institut (RKI) [6], Wenn nun aber Behörden Zugang zu privater Kommunikation haben, kann durch solche Hacks in der Folge kaskadenartig auch gleich die private Kommunikation einer Vielzahl von Nutzern kompromittiert werden. Sowohl fremde Regierungs- als auch sonstige Organisationen mit Hacker-Wissen könnten dies via „Backdoors“ oder „Frontdoors“ angreifen und ausnutzen, wie am Beispiel des SolarWinds Hacks nun eindrucksvoll exemplarisch demonstriert wurde.

    Die Lehre aus diesem Angriff ist daher, dass IT-Sicherheit nur dann gewährleistet ist, wenn bekanntgewordene Verwundbarkeiten von IT-Systemen konsequent geschlossen statt bewusst offen gehalten werden.

  • Künftig vier PIRATEN-Europaabgeordnete in Fraktion Grüne/Europäische Freie Allianz

    Künftig vier PIRATEN-Europaabgeordnete in Fraktion Grüne/Europäische Freie Allianz

    Die vier neu gewählten Piratenabgeordneten im Europäischen Parlament (MdEPs) haben sich mit der Fraktion Grüne/Europäische Freie Allianz zusammengeschlossen. Ganz oben auf ihrer Agenda steht ein Moratorium für neue Überwachungsgesetze und scharfe Antikorruptionsmaßnahmen. Mit aktuell 74 Mitgliedern ist die Fraktion Grüne/Europäische Freie Allianz nun ebenso stark wie die nationalistische ENF/EFDD-Fraktion.

    „In den Verhandlungen über den zukünftigen Präsidenten der Europäischen Kommission wollen wir ein explizites Moratorium für neue Überwachungsgesetze erreichen“

    erklärt der deutsche Piratenabgeordnete Dr. Patrick Breyer.

    „Wir schlafwandeln in eine Gesellschaft der permanenten Überwachung und des wechselseitigen Misstrauens, wenn wir uns nicht für unsere Grundrechte und -freiheiten einsetzen und diesen Trend stoppen. Dazu gehört eine Absage an eine neuerliche wahllose Vorratsspeicherung der Kommunikation und Bewegungen jedes Bürgers.“

    In einer elektronischen Mitgliederbefragung der Piratenpartei Deutschland hatten sich 81,2% der Beteiligten dafür ausgesprochen, dass sich der Europaabgeordnete Dr. Patrick Breyer der Fraktion Die Grünen/Europäische Freie Allianz im europäischen Parlament anschließen soll.

    Um den Schutz der Menschenrechte im digitalen Zeitalter umfassend mitzugestalten, wollen die Piratenabgeordneten Mitglieder der Ausschüsse für Binnenmarkt und Verbraucherschutz (IMCO), für Industrie, Forschung und Energie (ITRE), für internationalen Handel (INTA) und für Bürgerliche Freiheiten, Justiz und Inneres (LIBE) werden. Zu den dort anstehenden Entscheidungen gehören künstliche Intelligenz, eCommerce und Providerhaftung, Netzneutralität, IT-Sicherheit, ePrivacy, Terrorfilter, eEvidence-Datenzugriff, Privacy Shield und möglicherweise Vorratsdatenspeicherung.

    Sebastian Alscher, Bundesvorsitzender der Piratenpartei, kommentiert:

    „Im Namen der Partei gratuliere ich den vier Piraten, allen voran natürlich unserem Spitzenkandidaten Dr. Patrick Breyer, zum Einzug in das Europäische Parlament als Mitglieder einer Fraktion.
    So können wir aktiv Politik mitgestalten und als PIRATEN die Fraktion um unsere Kompetenz bereichern.
    Mit der Möglichkeit, diese Ausschüsse zu besetzen, bringen wir uns mit den Piratenthemen ein, mit denen wir uns bisher in Parlamenten besonders hervorgetan haben bzw. in denen unsere Expertise unbestritten ist.“

  • Fortgesetzte Angriffe auf grundgesetzlich garantierte Rechte

    Fortgesetzte Angriffe auf grundgesetzlich garantierte Rechte

    Kurz vor der Landtagswahl hat unser hessischer Landesverband beschlossen, vor dem Bundesverfassungsgericht Verfassungsbeschwerde gegen den „Hessentrojaner“ zu erheben. Dieser ist Teil des neugefassten Polizeigesetzes, das der hessischen Landespolizei das Eindringen in Smartphones und Computer durch Ausnutzung von Sicherheitslücken erlaubt. Damit dies funktioniert, werden diese Sicherheitslücken absichtlich nicht den Herstellern gemeldet – und stehen somit auch Kriminellen offen.

    Klar ist: die im Eilverfahren durchgepaukten Änderungen wären bei einer Expertenanhörung durchgefallen – wenn es denn eine gegeben hätte. Gescheitert war bereits der Versuch der schwarz-grünen Landesregierung, dem Verfassungsschutz den „Hessentrojaner“ in die Hand zu geben. Dass nun die Polizei so ein gefährliches Instrument erhält, ist allerdings keineswegs besser. Schon der Einsatz staatlicher Trojaner an sich stellt einen eklatanten Verstoß gegen die Vorsorgeprinzipien des Staates in Bezug auf den Schutz der Zivilbevölkerung dar. Grundgesetzlich garantierte Rechte werden massiv und unverhältnismäßig einschränkt und unser aller Sicherheit gefährdet.

    Was passiert, wenn man für staatliche Hacker Sicherheitslücken offen lässt, konnten wir gerade erst bei „Wannacry“ sehen. Die zugrundeliegende Sicherheitslücke war für eine Schadsoftware der NSA offen gelassen worden. Später wurde diese Lücke von Kriminellen zu Erpressungszwecken missbraucht. Sie hatten Daten verschiedener Unternehmen verschlüsselt, darunter sogar Zugzielanzeiger der Deutschen Bahn und IT-Systeme zahlreicher Krankenhäuser. Wer bewusst solche Gefahren schafft, handelt grob fahrlässig. Wir fordern schon seit langem, daß gefundene Sicherheitslücken unverzüglich den Herstellern gemeldet werden müssen, damit sie geschlossen werden können. Jeder hat ein Anrecht auf eine intakte IT-Infrastruktur.

    Erschreckend, mit welcher Hartnäckigkeit die etablierten Parteien – inklusive der Grünen – trotz diverser eindeutiger Gerichtsurteile auf verschiedenen Ebenen fortgesetzte Versuche unternehmen, Überwachungs-Regelungen in Gesetzestexte zu gießen. Angesichts dieser immer massiver um sich greifenden Tendenzen braucht es im hessischen Landtag einen vernünftigen Gegenpol – Piraten stehen bereit!

  • Safer Internet Day: Melde- und Beseitigungspflicht für IT-Sicherheitslücken einführen!

    Safer Internet Day: Melde- und Beseitigungspflicht für IT-Sicherheitslücken einführen!

    Immer mehr Aspekte des täglichen Lebens sind von vernetzten Systemen abhängig. Eine Vielzahl von Geräten, die mit dem Internet verbunden sind, umgibt uns – teilweise ohne, dass uns dies direkt bewusst ist. Mit der steigenden Zahl der vernetzten Geräte wächst aber auch die Menge der Angriffsmöglichkeiten. In den letzten Jahren haben Vorfälle wie der teilweise Ausfall des Telekom-Netzes durch das Mirai-Botnet und der Wannacry-Trojaner gezeigt, welchen Umfang Angriffe annehmen können. Dabei sind die Folgen noch relativ glimpflich gewesen, da nicht gezielt Schaden angerichtet werden sollte.

    Viele Geräte kommen mit Sicherheitslücken auf den Markt. Die Anwender wissen oft nicht einmal, dass ihr Gerät übernommen wurde und ohne ihr Wissen Dinge tut. Softwareupdates um Sicherheitslücken zu schließen, werden oft nach kurzer Produktlebensdauer nicht mehr zur Verfügung gestellt. Der Kunde wird dann mit dem Problem alleine gelassen und die Allgemeinheit der Gefahr ausgesetzt, dass immer mehr Geräte gekapert werden.

    Zum diesjährigen Tag des sicheren Internets (Safer Internet Day) schlägt Patrick Breyer, Themenbeauftragter der Piratenpartei für Datenschutz, daher vor, das Übel unsicherer Informationstechnik an der Wurzel anzugehen:

    „Vom Schaden anderer zu profitieren, ist unanständig. Das muss auch für die IT-Industrie und den Staat gelten. Die Hersteller und Importeure von Informationstechnik müssen gesetzlich zur unentgeltlichen Beseitigung bekannter Sicherheitslücken binnen kürzester Frist verpflichtet werden – und zwar mindestens zehn Jahre lang ab dem Erstverkauf. Ist dies nicht möglich, so sind Hersteller zum kostenlosen Umtausch oder nach Wahl des Kunden zur Rücknahme inklusive Erstattung aller Kosten zu verpflichten. Mit Produkthaftungsgesetzen aus den 80er Jahren wird sich die Digitale Revolution nicht bestreiten lassen.
    Darüber hinaus müssen staatliche Stellen verpflichtet werden, bekannt gewordene Sicherheitslücken unverzüglich den Herstellern zu melden, statt sie womöglich – z. B. für „Staatstrojaner“ – selbst zu Spionagezwecken auszubeuten.“

    Zum Weiterlesen:

    Internet of …

  • Cyber-Feuerwehr: Ein Realitätsabgleich

    Cyber-Feuerwehr: Ein Realitätsabgleich

    Es ist Wahlkampf und Sommerloch! Die Zeit für markige Sprüche, wilde Ideen, blinden Aktionismus, haarsträubende Vergleiche und einfach klingende Lösungen für komplexe Probleme. Thomas de Maizière (CDU), der sich als Bundesinnenminister auch schon mal eine Statistik einfach ausdenkt statt sich an Fakten zu orientieren, hat nun die Einrichtung einer Art ehrenamtlicher „Cyber-Feuerwehr“ angeregt.

    Beim Begriff „Cyber“ bekommen viele IT-Sicherheits Experten bereits eine Gänsehaut. Spätestens bei der Vorstellung, „junge Menschen […], die man nicht mehr für die klassische Feuerwehr gewinnen könne“ im Falle eines IT-Sicherheitsvorfalls auch nur in die Nähe ihrer IT zu lassen, müssen sich jedem professionellen Administrator die Nackenhaare sträuben. Die Reihe an möglichen Verletzungen der Sorgfaltspflichten im Rahmen der Datenschutzgrundverordnung (und der daraus resultierenden Haftung!) möchte ich mir hier nicht ausmalen.

    IT-Sicherheit ist kein Kinderspielplatz

    Umso mehr gilt dies in professionellen IT-Umgebungen und kritischen Infrastrukturen. IT-Sicherheit ist ein komplexes Feld für Experten, kein Kinderspielplatz. Gerne werden bei diesem Thema auch in die Tausende gehende Zahlen von wöchentlichen Angriffen auf Bundeswehr oder einzelne deutsche DAX Unternehmen genannt. Bei näherer Betrachtung sind diese Zahlen jedoch irrelevant, weil der überwältigende Teil solcher Angriffe nicht individuell sondern mit IT-Technologie selbst abgewehrt wird.

    Natürlich gibt es Bedrohungen und immer wieder verschaffen spektakuläre Fälle wie WannaCry dem Thema öffentliche Aufmerksamkeit. Wer mit der Materie vertraut ist, bemerkt jedoch schnell, wie fachfremd und erschreckend naiv Politiker in Talkshows mit dem Thema umgehen: Dem Bundesinnenminister untersteht das Bundesamt für Sicherheit in der Informationstechnik (BSI). Statt von „Cyber-Feuerwehr“ sprechen Experten dort von Computer Emergency Response Teams (CERT). Das BSI unterhält seit 2001 ein eigenes CERT. Mit dem „Bürger-CERT“ wendet sich das BSI auch für technische Laien verständlich bereits seit über 10 Jahren an interessierte Bürger und kleine Unternehmen. Große Unternehmen wie IBM, Siemens, oder die Deutsche Telekom haben schon längst eigene Teams. Diese sind das Gegenteil einer „ehrenamtlicher Cyber-Feuerwehr“: Für die Aufgabe werden hoch spezialisierte IT Sicherheitsfachleute eingesetzt.

    Mehr Aufklärung – auch für Bundesinnenminister!

    Es ist wichtig, dass durch Aufklärung ein größeres Bewusstsein für die Risiken beim Einsatz von IT-Systemen geschaffen werden muss. Dies gilt für jeden Einzelnen, besonders für den Bundesinnenminister. „Mehr Bildung“ ist schon immer eine zentrale Forderung der Piratenpartei gewesen. Ein Pflichtfach Informatik könnte einen Anfang machen, um zumindest die heranwachsende Generation besser auf die Digitalisierung vorzubereiten. Damit würde das Bewusstsein für die vielfältigen Herausforderungen direkt gefördert. Die Bereiche sind vielfältig: Es fängt bei der täglichen Benutzung des Smartphones an und reicht bis zum Einsatz veralteter, risikobehafteter oder ungewarteter Software in hochkritischen Systemen.

    Erschreckenderweise fehlt dieses Bewusstsein sogar auf mit Nuklearwaffen bestückten U-Booten in Großbritannien. Die Probleme sind tatsächlich deutlich vielschichtiger und tiefergehender, als es unsere Bundesregierung, die verzweifelt mit dem „Cyber“-Begriff um sich wirft, öffentlich zugeben möchte. Bezwecken die Forderungen, fachpolitische Kompetenz zu suggerieren, gleichzeitig schrittweise die Datensicherheit in die Hände einer „zentralen staatlichen IT“ hin zu verschieben? Hacking als Service, Staatstrojaner inklusive? Das Prägen von Phantasiebegriffen und Aktionismus sind einer sinnvollen Debatte abträglich. Woran es mangelt ist ein umfassender IT-Sicherheitsplan und die direkte Zusammenarbeit zwischen IT-Sicherheitswirtschaft, dem Handwerk und der Politik.

    Es braucht offensichtlich frischen Wind in der Politik, der auch endlich IT-technisches Know-How direkt in die Entscheidungsetagen weht. Sonst bleibt uns nur, das Ganze mit Humor, eher wohl Galgenhumor, zu ertragen.

    33c3: Security Nightmares 0x11 mit Frank und Ron

    Was hat sich im letzten Jahr im Bereich IT-Sicherheit getan? Welche neuen Entwicklungen haben sich ergeben? Welche neuen Buzzwords und Trends waren zu sehen?