All posts under Wannacry

Wusste die NSA über „Meltdown“ und „Spectre“ Bescheid?

Radar, Funktechnik, Signale (adapted) (Image by stux [CC0 Public Domain] via Pixabay)

Die US-amerikanische NSA dementiert, im Vorfeld etwas von den kürzlich bekannt gewordenen CPU-Sicherheitslücken „Meltdown” und „Spectre” gewusst zu haben. Es spricht Bände über den Ruf einer Behörde, wenn diese dergleichen eigens betonen muss. Davon abgesehen ist die Glaubwürdigkeit des Dementis durchaus fragwürdig. In letzter Zeit wurde mehrfach bekannt, dass die NSA Sicherheitslücken in IT-Systemen kannte. Sie hielt diese jedoch mit Absicht geheim, um sie für eigene Angriffe zu nutzen und gefährdete so die Allgemeinheit.

Gravierende Prozessor-Schwachstellen

Die Prozessor-Sicherheitslücken „Meltdown“ und „Spectre“ beschäftigen derzeit die Fachwelt. Sie haben ein erhebliches destruktives Potential. Um den Jahreswechsel bekannt geworden, basieren sie auf einer Schwäche bei der „Memory Randomization“. Moderne Prozessoren legen Quellcode im Speicher zufällig ab, damit keine sensiblen Daten ausgelesen werden können. Bei den betroffenen Prozessoren geschieht dies jedoch nach einem vorhersehbaren Muster. Sensible Daten, beispielsweise Passwörter, kryptographische Schlüssel und in Programme eingegebene Informationen, sind so gefährdet. Da ein Angriff direkt über das Auslesen der Hardware funktioniert, wird er zudem vom Betriebssystem nicht protokolliert. Gelingt den Angreifern also ein unbemerkter Hardware-Zugriff, gibt es für die Betroffenen keine Möglichkeit, die Manipulation nachträglich festzustellen.

Betroffen sind vor allem Prozessoren der Marke Intel, aber auch anderer namhafter Hersteller. Der Fehler tritt bei Nutzung sämtlicher populärer Betriebssysteme – Windows, Linux, Mac OS X – auf. Da die Sicherheitslücke im Prozessordesign begründet liegt, ist sie für vorhandene Systeme nicht zu beheben. Lediglich ein Workaround auf Betriebssystem-Ebene ist möglich. Dieser allerdings würde, so schätzen Experten, Leistungseinbußen von einigen Prozent bis zu einem Viertel – je nach Auslastung – und auf Mobilgeräten in der Folge auch eine Verringerung der Akkulaufzeit zur Folge haben. Für zukünftige Prozessoren muss das Design so geändert werden, dass das Problem nicht mehr auftritt.

Dementi der US-Behörden

In die ohnehin hitzige und teils chaotische Diskussion über „Meltdown“ und „Spectre“ mischte sich vor Kurzem auch das Weiße Haus ein. Es betonte, der technische Geheimdienst der USA, die NSA, habe von den Prozessor-Schwachstellen nichts gewusst.

Die NSA wusste nicht von der Schwachstelle, hat sie nicht ausgenutzt und freilich würde die US-Regierung nie ein großes Unternehmen wie Intel einem Risiko aussetzen, um eine Angriffsfläche offenzuhalten“, sagte der Cybersicherheitskoordinator im Weißen Haus und Ex-NSA-Offizielle Rob Joyce der Washington Post.

Glaubwürdig oder eher nicht?

Zunächst einmal sagt es einiges über das mangelhafte Vertrauen der Menschen in die US-Behörden aus, dass ein solches Dementi überhaupt für nötig befunden wird. In den letzten Jahren haben die US-Behörden und mit ihnen kooperierende Unternehmen massiv an Vertrauen eingebüßt. Spätestens seit den Snowden-Enthüllungen stehen sie in den Augen vieler Menschen vor allem für massive Überwachung und die Missachtung individueller Rechte.

Hinzu kommt allerdings, dass das von Joyce vorgebrachte Dementi keineswegs allzu glaubwürdig ist. In letzter Zeit wurde die NSA mehrfach dabei erwischt, Sicherheitslücken und zugehörigen Angriffs-Quellcode – sogenannte Exploits – für sich zu behalten, um ihn für eigene Angriffe zu nutzen. Besonders gravierende Folgen hatte das im Falle des Ransomware-Trojaners WannaCry, der sich über eine der NSA mehrere Jahre bekannte Sicherheitslücke verbreitete. WannaCry legte auf der ganzen Welt eine große Zahl von Rechnern lahm.

Teilweise waren auch kritische Systeme, etwa beim ÖPNV, Krankenhäusern und Telekommunikationsunternehmen, betroffen. Interessant dabei: Das betroffene Unternehmen im Fall WannaCry hieß Microsoft, betraf die Lücke doch das populäre Windows-Betriebssystem. Die Beurteilung, ob es sich dabei nicht um ein großes US-Unternehmen handelt und was die Antwort auf diese Frage über die Glaubwürdigkeit des Weißen Hauses in dieser Angelegenheit aussagt, bleibt jedem selbst überlassen…


Image (adapted) „Radar, Funktechnik, Signale“ by stux (CC0 Public Domain


Weiterlesen »

FollowUs – Die Netzpiloten-Tipps aus Blogs & Mags

Follow me

  • AMAZON PCWelt: Patentanmeldung: YouTube-Konkurrent von Amazon?: Google wird ab 1. Januar 2018 seine YouTube-App nicht mehr für Amazons Fire-TV-Geräte zur Verfügung stellen . Damit protestiert das Unternehmen gegen Amazons Weigerung, Google-Produkte zu verkaufen, die in Konkurrenz zu den eigenen Produkten stehen – wie etwa Google Chromecast oder Google Home. Amazon verbietet außerdem die Nutzung von Amazon Video auf dem Chromecast.

  • UNSER APPLEPILOTEN-HIGHLIGHT Wallets, Portfolios, Spiele: die besten Bitcoin-Apps fürs iPhone: Während der Bitcoin sein Kursziel für 2017 längst übertroffen hat und Satoshi Nakamoto, Erfinder des Bitcoins, irgendwo in sich hinein grinst, kommen für uns Nutzer immer mehr Bitcoin-Apps auf den Markt. Das Angebot reicht von der Brieftaschen-App für virtuelle Währung über Bezahl-Anwendungen bis hin zu Spiele-Apps. Wir haben eine kleine Übersicht mit den besten Bitcoin-Apps für Kryptowährungs-Einsteiger zusammengestellt.

  • TWITTER netzpolitik: Twitter sperrt Account des ägyptischen Menschenrechtlers Wael Abbas: Twitter hat den Menschenrechtler und einen bekannten Chronisten der ägyptischen Revolution gesperrt – wegen Hate Speech. Was das Unternehmen dem Aktivisten genau vorwirft und ob das autoritäre ägyptische Regime Druck auf Twitter ausgeübt hat, ist nicht bekannt. Vor ein paar Tagen hat Twitter den Menschenrechtsaktivisten und Blogger Wael Abbas auf seiner Plattform gesperrt. Twitter begründet den Schritt gegen Abbas mit einem Verstoß gegen die Geschäftsbedingungen, insbesondere die Regeln für „Hateful Conduct“. Eine genaue Begründung blieb das Unternehmen dem Menschenrechtler allerdings schuldig.

  • WANNACRY zeit: US-Regierung macht Nordkorea für Cyberattacke verantwortlich: Die USA haben Nordkorea für die weltweite Cyberattacke mit der Schadsoftware WannaCry verantwortlich gemacht. „Die Attacke war groß angelegt und hat Milliarden gekostet, und Nordkorea ist direkt verantwortlich“, schrieb US-Heimatschutzberater Tom Bossert in einem Gastbeitrag für das Wall Street Journal. „Wir erheben diesen Vorwurf nicht leichtfertig. Er basiert auf Beweisen. Wir sind auch nicht allein mit unseren Erkenntnissen“, sagte Bossert, ohne näher zu erläutern, um was für Beweise es sich handele.

  • UNSER NETZPILOTEN-HIGHLIGHT iPhone & Co.: Mehr Akku für alle dauert nicht mehr lange: Es geht in jedem Jahr weiter mit den Veröffentlichungen von Apple – und natürlich auch mit dem Medienrummel. Es ist viel über das iPhone X, das Ende des Home-Buttons, die „Face ID“-Funktion, das drahtlose Aufladen und noch über vieles mehr geschrieben worden. Irgendwo auf der Liste der Neuerungen war eine verbesserte Akkulaufzeit, zumindest für das iPhone X. Dies wird Dank seines neuen, aufgemotzten A11-Bionik-Prozessors ermöglicht.

Weiterlesen »

Bundesinnenminister will Hintertüren in Smart-Devices

Time traveler (adapted) (Image by Alessio Lin [CC0 Public Domain] via Unsplash)

Die Diskussion um Hintertüren in Software geht weiter. Bundesinnenminister Thomas de Maizière von der CDU hat nun sogar eine Variante zur Diskussion gestellt, die weiter geht als die meisten bisher diskutierten Pläne. Der Minister fordert, dass neben Computern, Laptops und Mobilgeräten künftig sogar Smart-Devices wie Fernseher, Autos und Haushaltsgeräte mit Hintertüren für die Ermittlungsbehörden versehen werden. Das allerdings würde nicht nur die Bürgerrechte, sondern auch die Sicherheit der in Deutschland lebenden Menschen aufs Spiel setzen.

Überwachung vernetzter Geräte

Die Pläne des Bundesinnenministers gehen aus einer Beschlussvorlage des Bundes zur bevorstehenden Innenministerkonferenz in Leipzig hervor, die dem RedaktionsNetzwerk Deutschland vorliegt. Der Antrag ist mit „Handlungsbedarf zur gesetzlichen Verpflichtung Dritter für Maßnahmen der verdeckten Informationserhebung nach §§ 100c und 100f StPO“ überschrieben. Im Rahmen der Kriminalitätsbekämpfung sollen dem Papier zufolge Überwachungsbefugnisse der Behörden dramatisch erweitert werden.

Der wohl drastischste Plan zur umfassenden Überwachung: die Industrie soll verpflichtet werden können, Hintertüren für den behördlichen Zugriff einzubauen. In sämtliche technischen Geräte, vom Smartphone über den Fernseher bis hin zu intelligenten Küchengeräten.

Hintertüren: Nicht nur für Behörden nutzbar

Die Diskussion über Hintertüren in technischen Geräten ist keineswegs neu. Was sie allerdings auf jeden Fall ist: fehlgeleitet und gefährlich. Software-Hintertüren sind ein kaum zu kontrollierendes Überwachungswerkzeug, das an den privatesten Stellen unseres modernen, digitalisierten Lebens ansetzt. Außerdem sind sie eine Gefahr für unsere Sicherheit. Ist eine Hintertür einmal vorhanden, gibt es keinerlei Garantien, dass sie wirklich nur von den Behörden genutzt wird. Es ist nicht nur möglich, sondern erwiesenermaßen schon vorgekommen, dass Kriminelle behördliche Hintertüren für ihre eigenen Zwecke verwenden. Seien sie absichtlich eingebaut oder durch Programmierfehler entstanden, von den Behörden aber absichtlich geheimgehalten. So hatte etwa die Infektions-Welle mit dem Erpressungs-Trojaner WannaCry ihren Ursprung in einem Exploit aus dem Werkzeugkasten der NSA. 

Verwundbare Infrastrukturen

Dadurch, dass Thomas de Maizière seine Überwachungs-Ideen auf das Internet der Dinge ausbreitet, verschärft er noch die Gefährlichkeit behördlicher Hintertüren. Beinahe alle Aspekte unseres Alltags sind mittlerweile digitalisiert und vernetzt. Das bietet Chancen, ist aber auch mit erheblichen Risiken verbunden. Nie waren kritische Infrastrukturen so verwundbar wie heute.

Durch den Einbau von Hintertüren, die auch von Kriminellen missbraucht werden könnten, wird das Risiko eines Angriffs auf vernetzte Geräte weiter erhöht. Es braucht nicht allzu viel Fantasie, sich vorzustellen, welche Folgen ein Hackerangriff auf unsere Autos, Router, Fernseher oder Haushaltsgeräte haben könnte.

Dieses Szenario wird keineswegs weniger beunruhigend. Vor allem nicht, wenn man sich die typische Kompetenz deutscher Behörden im Bereich der IT-Sicherheit ins Gedächtnis ruft. Es sei an den allerersten „Bundestrojaner“ erinnert, bei dem nicht nur sämtliche rechtliche Vorgaben ignoriert, sondern auch eine Vielzahl peinlichster Schwachstellen und Programmierfehler eingebaut wurden. Dadurch wurden infizierte Rechner bedeutend anfälliger für Angriffe Dritter. Auch die neue IT-Behörde Zitis hat bislang wenig getan, um sich das Vertrauen der Bundesbürgerinnen und Bundesbürger zu verdienen.

Gefährlich und kurzsichtig

Die Pläne des Bundesministers zu Hintertüren in Smart-Devices sind fehlgeleitet und extrem gefährlich. Das ist für jeden, der sich mit dem Thema IT-Sicherheit befasst problemlos erkennbar. Dass diese Pläne trotzdem ernsthaft auf der Innenministerkonferenz zur Diskussion gestellt werden, zeugt entweder von erschreckender Inkompetenz oder von noch weitaus erschreckender Gleichgültigkeit gegenüber den Gefahren des eigenen Handelns. Es bleibt zu hoffen, dass diese Pläne, wie die meisten, die in den vergangenen Jahren zum Thema Software-Hintertüren geschmiedet wurden, im Sande verlaufen.


Image (adapted) „Time traveler“ by Alessio Lin (CC0 Public Domain)


Weiterlesen »

Warum der Gesundheitssektor oft Ziel von Hackern ist

Bildschirm (adapted) (Image by Pexels) (CC0) via Pixabay

Im Jahr 2016 wurden mehr als 16 Millionen Patientenakten von Gesundheitsorganisationen und Behörden gestohlen. In diesem Jahr war der Gesundheitssektor die fünfthäufigste Industrie, die ins Visier genommen wurde. Zu Beginn diesen Jahres wurde Großbritannien National Health Service von einer Ransomware Attacke getroffen, dessen Virus viele Computer, die Patientenakten und Buchungssysteme enthielten, unzugänglich gemacht hat.

Aber es sind nicht nur Gesundheitsdaten und -dienste gefährdet – sondern auch Menschenleben. Der ehemalige US-Vizepräsident Dick Cheney hat bereits im Jahr 2007 seinen Herzschrittmacher modifiziert, um zu verhindern, dass dieser gehackt werden und ihm eventuell schaden könnte. US-Beamte hatten auch kürzlich wieder vor einer solchen Gefahr gewarnt. Jedes medizinische Gerät, das mit einen Netzwerk verbunden ist – von MRT-Geräten bis zum elektrischen Rollstuhl – läuft Gefahr, von Hackern angegriffen zu werden.

Da die vernetzten Technologien immer mehr in den Gesundheitssektor eingebracht werden, wird diese Cyber-Bedrohung wahrscheinlich nur noch zunehmen. Doch wenn wir unser Gesundheitssystem vor Cyberangriffen beschützen wollen, sollten wir keine Angst vor diesen Technologien haben. Stattdessen sollten wir versuchen, sie besser zu verstehen. Wir müssen erkennen, dass diese Bedrohung schlimmer wird, wenn wir Menschen einfache Fehler machen.

Wie hoch ist die Gefahr für den Gesundheitssektor?

Die häufigste Cyberbedrohung für den Gesundheitssektor ist Datendiebstahl. Normalerweise werden diese mit einem Phishing-Angriff eingeleitet. Hat ein Arzt Zugriff zu Patientenakten, sendet der Angreifer ihm möglicherweise eine E-Mail, in der er auf einen Link oder einen Anhang klicken soll und so Malware auf den heimischen Computer herunterlädt. Der Angreifer kann dann diese Software nutzen, um Zugang zu finanziellen, administrativen und klinischen Informationssystem der Organisation zu erhalten. Im Falle des jüngsten „Wannacry“-Angriffs, bei dem auch der NHS betroffen war, hat die Malware – in diesem Fall Ransomware – den Benutzer aus ihren Computern ausgesperrt und Geld gefordert, um sie freizugeben.

Diese Angriffe können sich auch zu „fortgeschrittenen anhaltenden Bedrohungen“ gegen das Gesundheitsnetzwerk entwickeln. Diese treten auf, wenn die Malware in das Gesundheitsnetzwerk gelangt und dort unbemerkt bleibt, während sie mit dem Angreifer in Kontakt bleibt. Von dort aus kann sie sich über das gesamte Netzwerk verteilen, auch wenn der ursprüngliche Download erkannt und entfernt wird. Die Malware kann so Daten stehlen und den Netzwerkverkehr an den Angreifer senden, der dadurch genau sehen kann, was im System in Echtzeit passiert.

Angreifer können auch das Gesundheitsnetzwerk nutzen, um sich in angeschlossene medizinische Geräte und Ausstattungen wie Ventilatoren, Röntgengeräte und medizinische Laser zu hacken. Von dort aus können sie sich eine „Hintertür“ einrichten, durch die sie einen dauerhaften Zugang zu den Geräten erhalten, auch wenn die Software aktualisiert wird, um die Sicherheit zu verbessern.

Es ist auch möglich, dass Angreifer eines Tages künstliche Intelligenz für komplexere Angriffe nutzen. Zum Beispiel könnten Hacker ein intelligentes System verwenden, um Algorithmen im Gesundheitswesen zu blockieren, die Rezepte oder Medikamentenbibliotheken verwalten und diese anschließend durch Fälschungen ersetzen.

Warum ist das Gesundheitswesen so ein interessantes Ziel?

Jede Organisation, die mit Computern arbeitet, läuft Gefahr, Opfer von Cyberangriffen zu werden. Doch wer wirklich Geld erpressen will, findet weitaus interessantere Ziele. Der jüngste Angriff auf die NHS beispielsweise brachte nur sehr wenig Lösegeld.

Ein wesentlicher Grund für die Bedrohung des Gesundheitssektors ist, dass er als kritische Infrastruktur, neben Wasser-, Strom- und Verkehrsnetzen, eingestuft wird. Dies macht es zu einem attraktiven Ziel für Hacker, die Chaos verbreiten wollen, vor allem aus dem feindlichen Ausland. Der Angriff auf eine Gesundheitsorganisation, die Teil einer größeren Infrastruktur ist, könnte auch einen Weg in andere kritische Einrichtungen bieten.

Ein Grund für die riesige Anzahl von Möglichkeiten von Angriffen auf das Gesundheitssystem ist, dass sie sich auf Technologien verlassen. Der Gesundheitssektor macht sich heutzutage massiv von teurer Technik abhängig. Sie nutzen sie nicht nur in Form von Computersystemen und Krankenhausequipment, sondern auch durch die Nutzung von Geräten, die Menschen an oder sogar innerhalb ihres Körpers tragen, wie Fitnessüberwachungsgeräte oder digitale Herzschrittmacher. Es gibt aber auch jede Menge Möglichkeiten für einen Gesundheits-Hacker – von Datennetzen über mobile Anwendungen und sogar nicht-medizinischen Überwachungssystemen wie CCTV.

Insbesondere die Ausbreitung des „Internet of Things“, die mittlerweile fast schon standardmäßige Verbindungen von Geräten und Objekten zum Internet, erhöht die Anzahl von potenziellen Zugriffspunkten für Hacker. Im Gegensatz zu vielen trivialen Anwendungen haben die mit dem Netz verbundenen medizinische Geräte offensichtliche Vorteile, weil sie sofort nützliche Daten oder Anweisungen mit dem medizinischem Personal austauschen können. Hier liegt eine der größten Gefahren, weil die Geräte oft an kritischen Prozeduren oder Behandlungen beteiligt sind. So wäre beispielsweise eine Störung der Signale von einem robotergetriebenen chirurgischen Werkzeug absolut verheerend.

Wie können wir den Gesundheitssektor vor Angriffen schützen?

Die meisten Angriffe gegen den Gesundheitssektor fallen in die Kategorie der Raketenangriffe. Sie können den Angegriffenen nicht nur spontan schaden und begrenzte Spuren hinterlassen, sie können auch erhebliche Schäden verursachen. Dies macht es sehr schwierig, die Angreifer aufzuspüren oder zukünftige Angriffe vorherzusagen.

Die Organisationen des Gesundheitswesens sind sich bereits dieser Gefahr bewusst und beginnen, Maßnahmen zu ergreifen, um sich selbst zu schützen. Dies geschieht beispielsweise durch den Einbau von Cyber-Sicherheit in ihre Strategien zur Informationstechnologie. Auf einen „Delivery level“ können Krankenhäuser neue Sicherheitsstandards etablieren und bessere Wege zur effektiven Integration der verbundenen Systeme finden.

Doch der Gesundheitssektor leidet unter denselben Problemen wie jede andere Technologie. Wenn ein Sicherheitsteam denkt, dass es ein Problem erfasst hat, taucht schon das nächste auf. Wenn ein Problem gelöst ist, gibt es direkt noch mehr. Diese Probleme sind von Menschen für Menschen entworfen – daher lässt sich vermuten, dass sie für menschlichen Fehler anfällig sind.

Obwohl man das Personal so gut wie möglich trainieren kann, braucht nur jemand auf einen Button klicken, um Malware in das System hineinzulassen, die anschließend das ganze System zerstören kann. Desweiteren könnte die Angst vor Rechtskosten und Verantwortlichkeiten dazu führen, dass einige Organisationen bestimmte Vorfälle nicht melden. Sie könnten stattdessen Maßnahmen ergreifen, die die Bedrohung erhöhen könnten, wie beispielsweise Lösegeldzahlungen an Hacker. In Wirklichkeit jedoch hängt der Ruf und das Vertrauen der Gesundheitsorganisationen davon ab, dass sie das wahre Ausmaß der Bedrohung erkennen und ausreichende Maßnahmen ergreifen, um sich dagegen zu schützen.

Dieser Artikel erschien zuerst auf „The Conversation“ unter CC BY-ND 4.0. Übersetzung mit freundlicher Genehmigung der Redaktion.


Image (adapted) „Bildschirm“ by Pexels (CC0 Public Domain)


The Conversation

Weiterlesen »

WhatsApp-Überwachung: Neue Forderungen verfehlen das Ziel

spy-whatsapp-messages (adapted) (Image by Sam Azgor [CC BY 2.0] via Flickr)

Bayerns Innenminister Joachim Herrmann (CSU) fordert eine juristische Grundlage für den Zugriff der Bundesbehörden auf WhatsApp-Kommunikation. Das soll nach Ansicht des Ministers bei der Terrorismus-Bekämpfung helfen. Hermanns Äußerungen zeigen, dass die gefährliche und kontraproduktive Idee, Hintertüren in Software einzubauen, noch immer nicht gänzlich tot und begraben ist (und im Wahlkampf nur allzu gerne reaktiviert wird). Es wird Zeit, dass sich das ändert.

Joachim Hermann fordert WhatsApp-Überwachung

Gegenüber der in Düsseldorf erscheinenden Zeitung „Rheinische Post“ sagte Herrmann: „Wir wissen, dass die Terroristen WhatsApp nutzen, deshalb müssen wir die gesetzliche Kontrollmöglichkeit nach der Wahl sofort angehen.“ Herrmann kritisierte die SPD dafür, dass sich bislang in dieser Sache nichts getan hat. Er sagte: „Seit einem Jahr mahnen wir das bei der SPD an, geschehen ist nichts.“

Staatstrojaner oder Backdoor

Wie genau er sich die technische Umsetzung seiner Forderungen vorstellt, sagte Herrmann nicht. Es gibt allerdings nicht viele realistische Möglichkeiten. WhatsApp-Chats sind seit letztem Jahr standardmäßig verschlüsselt. Die Verschlüsselung ist so umgesetzt, dass die Daten auf dem kompletten Übertragungsweg geschützt sind, und bestand schon mehrere Audits und Tests von IT-Sicherheitsfachleuten. Das lässt Angreiferinnen und Angreifern, selbst staatlichen mit entsprechenden Mitteln, nicht viele Optionen.

Joachim Herrmann (adapted) (Image by JouWatch [CC BY-SA 2.0] via flickr)
Möchte gern in euer Handy schauen: Joachim Herrmann (adapted) (Image by JouWatch [CC BY-SA 2.0])

Eine mögliche – wenn auch aufwändige – Variante wäre der Einsatz eines sogenannten Staatstrojaners, also einer von den Behörden entwickelten und gesteuerten Schadsoftware, die die Daten direkt bei einem der Gesprächspartner abgreift. Dieses Vorgehen birgt eine ganze Reihe von Risiken, von der Kompromittierung des betroffenen Systems mit nachfolgendem Eindringen böswilliger Dritter bis hin zur Möglichkeit, dass die staatliche Schadsoftware oder die zu ihrer Platzierung vorgesehenen, meist bewusst offen gelassenen Sicherheitslücken Kriminellen in die Hände fallen. Dass Letzteres keineswegs nur ein unrealistisches Horrorszenario ist, zeigt sehr deutlich der Fall des destruktiven Ransomware-Schädlings WannaCry.

Die zweite, noch bedenklichere Variante ist die bewusste Platzierung einer Backdoor – also einer zusätzlichen Zugriffsmöglichkeit – für die Behörden. Davon abgesehen, dass die Software-Anbieter dem kaum zustimmen dürften – immerhin gehört WhatsApp zu Facebook, also einem US-Unternehmen, das nicht an deutsches Recht gebunden ist – ist diese Option alles andere als wünschenswert. Wie staatliche Schadsoftware kann auch eine solche Backdoor Kriminellen in die Hände fallen, sei es durch einen Insider, der entsprechende Informationen weitergibt, oder schlichtweg durch einen Angreifer mit Fertigkeiten in der IT-Forensik und womöglich einem Quäntchen Glück. In diesem Fall wären die sensiblen Daten sämtlicher WhatsApp-Nutzerinnen und -Nutzer gefährdet.

Gefährlich und ineffektiv

Zusammenfassend lässt sich sagen, dass es keine realistische Möglichkeit gibt, Joachim Herrmanns Forderungen auf eine Art und Weise umzusetzen, die die IT-Sicherheit und den Datenschutz nicht in unverantwortlicher Weise schwächt. Es ist nicht genau zu sagen, ob der CSU-Minister sich lediglich keine Gedanken über die technischen Hintergründe gemacht hat – was bei einem derartigen Thema zumindest fahrlässig wäre – oder die Vielzahl von negativen Nebeneffekten billigend in Kauf nimmt, um medienwirksam einen scheinbar bedeutsamen Schritt gegen den Terrorismus zu unternehmen.

So oder so müssen Joachim Herrmanns Pläne ebenso energisch bekämpft werden wie ähnliche Forderungen (meist konservativer) Politikerinnen und Politiker im In- und Ausland. Das gilt umso mehr, als eine WhatsApp-Überwachung keineswegs so effektiv gegen den Terrorismus sein dürfte, wie der Minister sich das anscheinend vorstellt. Mitglieder entsprechender Gruppen könnten leicht auf andere, weniger bekannte Dienste ausweichen – oder nutzen ohnehin keine Instant Messenger. Eine Kompromittierung verschlüsselter Kommunikation, gerade im Falle eines so populären Dienstes wie WhatsApp, würde somit vor allem vollkommen unbeteiligte Nutzerinnen und Nutzer mit einem legitimen Interesse an privater und sicherer Telekommunikation treffen.


Image (adapted) „Joachim Herrmann“ by JouWatch (CC BY-SA 2.0)

Image (adapted) „Spy Whatsapp Messages“ by Azgor (CC BY 2.0)


Weiterlesen »

Check-up Ireland: Das irische Startup-ABC (Teil 2) von M bis S

Bücher (adapted) (Image by jenikmichal [CC0 Public Domain] via pixabay

Seit 1997 lebe ich nun schon in der irischen Hauptstadt Dublin. Mein erster Job bei AOL hatte auch ein wenig mit Tech zu tun – wenn man die berüchtigten Freistunden-CDs als „Tech“ ansieht oder das Verbinden an die technische Hotline durchgehen lässt. Im November habe ich damit begonnen, die „Tech-Insel“ ein Jahr lang aus verschiedenen Blickwinkeln zu betrachten. Nachdem ich schon im April ein paar Startups in verschiedenen Regionen Irlands vorgestellt habe, folgt heute der zweite Teil.


In Cork im Südwesten Irlands sind viele große Pharma-, Biotechnologie- und Medizintechnik-Unternehmen beheimatet. Kein Wunder also, dass sich auch Startups solchen Clustern angliedern. Ein Beispiel aus dem Bereich Medizintechnik ist die Firma „Mirai Medical„, ein junges Unternehmen, das sich der effektiven Behandlung von Krebs verschrieben hat. Firmengründer Dr. Declan Soden kann auf 15 Jahre Erfahrung in der Krebsforschung zurückblicken und ist zur Zeit auch General Manager des „Cork Cancer Research Centre„. Bei „Mirai Medical“ hat er eine Energietechnologie namens Electroporation entwickelt, die es möglich macht, minimal-invasiv gegen Krebs im Darmbereich vorzugehen. Klinische Studien der Technologie werden zur Zeit in der Uni-Klinik in Kopenhagen vorgenommen.

Cyber Security ist in aller Munde. Dass Hacker auch vor dem Bereich Gesundheitswesen nicht Halt machen, war beim globalen „WannaCry“-Angriff nur zu offensichtlich als die britische NHS besonders stark betroffen war und es auch einige Probleme beim irischen Gegenstück HSE gab. Das in Dundalk an der Ostküste ansässige Unternehmen „Nova Leah“ hat sich schon seit einer Weile dem Bereich Cyber Security in der Medizintechnik verschrieben. Das Nova Leah-Produkt „SelectEvidence“ ist ein System für Cyber Security-Risikoanalyse bei Geräten, die in Krankenhäusern eingesetzt werden. In einem Bereich mit stets größer werdender Vernetzung bei sich gleichzeitig rapide wandelnder Cyber Security sorgen die „SelectEvidence“-Lösungen dafür, dass Schutzmechanismen stets auf dem neuestem Stand sind, sodass Ärzte und Pfleger sich auf die Gesundheit ihrer Patienten konzentrieren können.

Von M wie „Mirai Medical“ bis S wie „Skytango“

Ein „Plynk“-Geräusch auf dem Smartphone bedeutet nicht immer eine gute Nachricht – bei „Plynk“ aber schon, denn hier hat die Nachricht mit Geld zu tun. Der Money Messenger des Startups ist eine App, die es Usern möglich macht, innerhalb eines Chats (1-2-1 oder in einer Gruppe) Geld zu verschicken oder zu erhalten. Wartezeiten und Gebühren sollen hierbei eliminiert werden, sodass die User Kontrolle über ihre Zahlungen haben. Bei diesem „Instagram meets Money“-Konzept verbindet sich „Plynk“ mit den Facebook-Kontakten des jeweiligen Nutzers, der dann die Möglichkeit hat, mit einer Zahlung Bilder zu senden oder zu empfangen. So kann eine Geschichte zum Geld erzählt werden und einer finanziellen Transaktion der notwendige Kontext gegeben werden.

Ein weitaus schrilleres Geräusch verbunden mit einem Smartphone-Alarm an Familie und Freunde kommt von „Run Angel“ in Cork. Jogger, die sich auf einmal in Gefahr befinden, lösen per Knopfdruck einen 120-Dezibel-Alarm aus und senden gleichzeitig über ihr Smartphone eine Nachricht mit ihrem Aufenthaltsort an Familie und Freunde. Die Idee zum Wearable-Tech „Run Angel“ kam Firmengründer David Caren beim Joggen. Caren wurde von jemandem über den Haufen gerannt, der eine Joggerin verfolgte.

Die Gründer von „Skytango“ haben gemeinsam 30 Jahre Filmerfahrung vorzuweisen. Von Susan Talbot und Steve Flynn, nach ihrer Rückkehr aus den USA im Jahr 2012 gegründet, bietet „Skytango“ Drohnen-Piloten eine Plattform, um ihre Arbeit zu kuratieren und zu verkaufen. Zuzüglich wird es durch die Partnerschaft mit „Audio Network“ noch möglich, die Filme mit lizensierter Musik zu verknüpfen. Das Thema Lizenzen wird bei „Skytango“ generell sehr ernst genommen – Flugdaten und Informationen zu bestehenden Lizenzen von Landbesitzern, die Piloten den Überflug erlauben, geben den Käufern die Garantie, einen legalen Film zu erwerben. Selbstredend muss jeder Pilot auch eine Lizenz besitzen. Am Himmel über Irland wird nicht aus der Reihe getanzt.


Image (adapted) „Bücher“ by jenikmichal (CC0 Public Domain)


Weiterlesen »

Alte Besen kehren schlecht: Wie gefährdet sind veraltete Computersysteme im öffentlichen Dienst?

PC (adapted) Image by Fifaliana (CC0) via Pixabay

Der kürzlich durchgeführte Cyber-Angriff via eines Verschlüsselungstrojaners (auch: Ransomware), der Krankenhäuser in ganz Großbritannien lahmgelegt hat, macht den nationalen Gesundheitssektor (NHS) zu einem der bekanntesten Opfer dieses globalen Vorfalls. Die Regierung stand in der Kritik, Unterstützungen im IT-Bereich des Gesundheitssektors gekürzt zu haben und veraltete Computersysteme nicht zu ersetzen. Unterdessen schlugen die Minister scharf zurück und warfen dem Management des NHS vor, ihre Cybersicherheit nicht zu verbessern – obwohl zur gleichen Zeit bekannt wurde, dass eine technische Weiterentwicklung, die den Angriff hätte verhindern können, einen Monat vor der Attacke fertiggestellt wurde.

Diese Geschichte ist nicht sonderlich überraschend. Jeder, der selbst regelmäßig mit dem öffentlichen Sektor zu tun hat, wird erlebt haben, dass Regierungsangestellte mit technisch veralteten Computersystemen kämpfen müssen. Sicher – auch andere bedeutende staatliche Organisationen, wie etwa die Deutsche Bahn oder das US-amerikanische Ministerium für Innere Sicherheit, waren von der Ransomware betroffen. Aber hängt der öffentliche Bereich wirklich hinterher, wenn es darum geht, die IT-Sicherheit auf dem neusten Stand zu halten, um Internetkriminalität zu verhindern?

Die neuste „WannaCry“-Attacke konnte aufgrund eines Defekts innerhalb des 15 Jahre alten Betriebssystems Windows XP ihr Ausmaß entfalten. Serviceanbieter erstellen und verkaufen Upgrades und Korrekturen für solche Fehler meist nachdem diese entdeckt werden. Damit soll verhindert werden, dass die Schwachstellen durch Internetkriminalität ausgenutzt werden. Nichtsdestotrotz hat Microsoft die regelmäßige Weiterentwicklung dieses Betriebssystems im Jahr 2014 eingestellt, sodass alle, die es noch nutzen, für Korrekturen einen Serviceaufschlag bezahlen müssen.

Sobald die Firma den WannaCry-Defekt bemerkte, war eine Fehlerkorrektur im März auch schnell auf dem Markt. Da viele Kunden jedoch immer noch veraltete Betriebssysteme in Benutzung hatten, verbreite sich der Trojaner binnen kürzester Zeit auf eine Vielzahl von Geräten, als er im Mai erstmals auftauchte. Microsoft stellte die Fehlerkorrektur dann schnell allen Betriebssystemen zur Verfügung. Viele von ihnen, die das Update nicht unverzüglich installiert hatten, waren aufgeschmissen. Das ist genau das, was dem NHS passierte. 

Die Regierung hat die Notwendigkeit einer grundlegenden Erneuerung des internen IT-Systems schon lange zugegeben. Als der Support für Windows XP im Jahr 2014 eingestellt wurde, habe die Regierung mit einem Update der meisten Geräte innerhalb eines Jahres gerechnet. Berichten zu Folge endete es damit, dass NHS für benutzerdefinierten XP-Service draufzahlte, in dem Versuch, die Chefs des Gesundheitssektors dazu zu ermutigen, ihre Computersysteme auf dem neusten Stand zu halten.  Ein Bericht Ende 2016 deckte jedoch auf, dass 90 Prozent der NHS-Konzerne noch mindestens einen Computer mit Windows XP verwenden.

Der wahrscheinlichste Grund dafür, dass veraltete Systeme weiter genutzt werden, liegt darin, dass ein Update dieser sehr kostspielig ist. In den meisten Fällen verlangt eine neue Version eines Windows-Betriebssystems auch einen neuen, leistungsstärkeren Computer. Damit einher geht oftmals auch die individuelle Abstimmung von Hard- und Software der Firma auf das neue System, damit der alltägliche Betrieb fortgeführt werden kann. Die Röntgenabteilung eines Krankenhauses zum Beispiel, die bisher mit XP gearbeitet hat, benötigt mit einem neuen Computersystem möglicherweise auch eine neue Software, um die Röntgengeräte zu steuern.

Institutionen der öffentlichen Hand haben außerdem den Luxus, direkt auf Regierungsexperten der nationalen Internetsicherheit zurückgreifen zu können. Diese sind in der Lage sicherzustellen, dass entscheidende Dienste wie die des NHS in Betrieb bleiben. Auch wenn dieser jüngste Trojaner-Angriff die Szene notwendigerweise wachrüttelt, gibt es doch ein erkennbares Sicherheitsnetzwerk.

Ein privates Problem

Der WannaCry-Angriff traf jedoch nicht nur den öffentlichen Bereich. Um die 200.000 Opfer in über 150 Ländern waren davon betroffen – nach Angaben der europäischen Polizei Europol sogar bedeutende Großunternehmen wie Nissan, FedEx und Hitachi. Eine Quelle gibt an, dass mehr als 10 Prozent aller Desktop-Computer mit XP laufen und ein Großteil der oben genannten Opfer aller Wahrscheinlichkeit nach kleine Betriebe sind. Allgemein gibt es keinen Hinweis darauf, dass Organisationen des öffentlichen Bereichs überdurchschnittlich unter Cyber-Attacken leiden.

Obwohl das NHS engen finanziellen Rahmenbedingungen unterliegt, haben staatliche Institutionen ein großes Spektrum an Möglichkeiten, Cyber-Attacken auf ein Minimum zu reduzieren und können an signifikante Geldmengen gelangen, wenn die Politiker zustimmen. Allein in Großbritannien hat das Zentrum für nationale Internetsicherheit 1,9 Milliarden Euro zur Verfügung

Für kleine Betriebe, die keinen einfachen Zugang zu finanzieller Unterstützung für Systemupgrades haben und schwer an Regierungsexperten oder sogar IT-Abteilungen rankommen, sieht es dagegen ganz anders aus. Oftmals fehlt es hier schon an der Erkenntnis, dass es überhaupt ein Problem gibt. Es existieren einige staatlich unterstützte Initiativen, wie zum Beispiel die „British Cyber Essentials“, die kleinen Betrieben im Bereich der Internetsicherheit helfen. Diese haben meist jedoch weder die Reichweite noch die Möglichkeit, alle Firmen flächendeckend zu erreichen und denen zu helfen, die in Not sind. Man kann sich sicherlich fragen, ob sie einen großen Einfluss auf den Umfang des jüngsten Cyber-Angriffes hatten.

Cyber-Attacken in der Größenordnung des WannaCry-Angriffs erinnern Organisationen vielleicht daran, ihre IT-Systeme stets auf dem neusten Stand zu halten. Den Beteiligten nahezulegen, wie genau das geht, ist und bleibt eine ernsthafte Herausforderung. Organisationen der öffentlichen Hand vertrauen in vielen Fällen vielleicht zu oft auf veraltete Computersysteme – schlussendlich jedoch haben sie im Gegensatz zum privaten Sektor weit einfachere Möglichkeiten, etwas dagegen zu tun. 

Dieser Artikel erschien zuerst auf „The Conversation“ unter CC BY-ND 4.0. Übersetzung mit freundlicher Genehmigung der Redaktion.


Image (adapted) „PC“ by Fifaliana (CC0 Public Domain)


The Conversation

Weiterlesen »

WannaCry: Die Exploit-Policy der Behörden ist zum Heulen

Image (adpted) (Image by Markus Spiske)(CC0 1.0) via unsplash_crop

Die Erpressungs-Malware ‚WannaCry‘ legte vergangene Woche eine große Zahl von Computersystemen zeitweise lahm. Darunter waren auch einige Systeme, die in den Bereich kritischer Infrastrukturen fallen, etwa bei der Deutschen Bahn und zahlreichen Einrichtungen des englischen National Health Service (NHS). Mit verantwortlich für dieses Desaster ist der verantwortungslose Umgang der (US-)Geheimdienste mit Software-Schwachstellen und Werkzeugen zu deren Ausnutzung. Die Behörden müssen endlich aufhören, durch Geheimnistuerei und Herrschaftswissen die IT-Sicherheit zu gefährden.

WannaCry legte zahlreiche Computer lahm

Die Schadsoftware ‚WannaCry‘ legte Mitte Mai eine Vielzahl von IT-Systemen in aller Welt lahm. Laut dem Antivirus-Hersteller Kaspersky Labs wurden Rechner in mindestens 74 Ländern befallen. Besonders schwer betroffen war Großbritannien, wo zahlreiche IT-Systeme des NHS infiziert und in der Folge unbenutzbar waren, was für chaotische Zustände in einer Reihe von Krankenhäusern sorgte. Aber auch zahlreiche deutsche Unternehmen und Privatpersonen waren betroffen. Viele Rechner der Deutschen Bahn wurden durch ‚WannaCry‘ lahmgelegt, was teilweise zu (außergewöhnlich viel) Chaos und Verspätungen im Bahnverkehr führte.

‚WannaCry‘ gehört zur Kategorie der sogenannten Ransomware. Dabei handelt es sich um einen (aktuell nach einer mehrjährigen Flaute wieder sehr populären) Typ von Schadsoftware, der die Daten auf infizierten Geräten verschlüsselt. Nur nach Zahlung eines bestimmten Betrages (meist, wie auch bei ‚WannaCry‘, in Form von BitCoins oder anderer Krypto-Währung zu entrichten) wird den Betroffenen das Passwort zur Entschlüsselung zugeschickt. Daher stammt auch der Name: „Ransom“ ist das englische Wort für eine Lösegeld-Forderung, beispielsweise auch bei entführten Personen.

Schadsoftware aus den Laboren der NSA

Bei ‚WannaCry‘ handelt es sich nicht um irgendeine Standard-Schadsoftware aus einem russischen Trojaner-Baukasten. Die Vorarbeit für den Schädling wurde vielmehr vom US-Geheimdienst NSA geleistet. Die Behörde deckte die zugrunde liegende Windows-Schwachstelle auf und entwickelte auch ein Software-Werkzeug für deren Ausnutzung, einen sogenannten „Exploit“ (von englisch „to exploit“: ausbeuten, ausnutzen).

Dieser Exploit, Codename ‚Eternalblue‘ (womöglich eine lustige Anspielung auf Windows-Bluescreens?) diente dem Ziel, unbemerkt in die Rechner von Zielpersonen einzudringen. Er funktionierte auf Windows-Versionen von XP bis Server 2012 zuverlässig.

Vor Kurzem wurde ‚Eternalblue‘ zusammen mit einer ganzen Sammlung von NSA-Schadsoftware von der Hackergruppe „Shadow Brokers“ geleakt. Die Verantwortlichen hinter ‚WannaCry‘ mussten also nur noch eine entsprechende „Nutzlast“ schreiben, die Schaden auf den betroffenen Rechnern anrichtet – eine technisch eher triviale Aufgabe – und hatten die nun bekannt gewordene, potente Waffe in der Hand.

‚WannaCry‘ zeigt Baustellen bei der IT-Sicherheit auf

‚WannaCry‘ und der dadurch angerichtete Schaden zeigen eine ganze Reihe von aktuellen Problemen im Bereich der IT-Sicherheit auf, vom Umgang mit Ransomware über die Absicherung kritischer Infrastrukturen bis hin zur Tatsache, dass vielfach auch an wichtigen Stellen veraltete Betriebssysteme verwendet und Updates zu spät oder gar nicht aufgespielt werden.

Der Haupt-Diskussionspunkt aber ist ein anderer: der Umgang der Behörden, namentlich in diesem Fall der CIA und NSA, mit Software-Schwachstellen und Materialien zu deren Ausbeutung. ‚WannaCry‘ hat wieder einmal gezeigt, dass derartiges Wissen von den Behörden unter Verschluss gehalten wird.

Die Behörden müssen ihr Verhalten ändern

Wenn die Behörden sich benehmen wie IT-Kriminelle, indem sie Wissen über Sicherheitslücken für sich behalten und, statt gegen Angriffe auf Rechnersysteme vorzugehen, selbst Schadsoftware entwickeln, kann nichts Gutes dabei herauskommen. Es ist eine dumme, gefährliche Illusion, zu glauben, dass entsprechende Sicherheitslücken nicht früher oder später auch Kriminellen in die Hände fallen, sei es, weil diese unabhängig zum selben Forschungsergebnis kommen (auch in diesen Kreisen ist eine große Menge an Know-How vorhanden) oder weil, wie im Falle von ‚Eternalblue‘, die Behörden-Schadsoftware in unbefugte Hände fällt.

Für die Sicherheit der Bevölkerung ist es von großer Bedeutung, dass Sicherheitslücken in populärer Software, einmal entdeckt, sofort an die Hersteller der betroffenen Programme weitergeleitet werden, damit diese sie per Update beheben können. Von dieser Politik der „Responsible Disclosure“ dürfen auch Behörden nicht länger ausgenommen sein. Ebenso müssen die Geheimdienste aufhören, Staatstrojaner und andere Schadsoftware zu entwickeln. Allzu leicht fallen diese in die falschen Hände oder reißen durch fehlerhafte Konfiguration Sicherheitslücken auf den betroffenen Systemen auf. Wie ‚WannaCry‘ deutlich gezeigt hat, führt das Zurückhalten von sicherheitsrelevanten Informationen und heimliche Basteln mit Schadsoftware durch die Behörden keineswegs zu mehr Sicherheit – im Gegenteil.

Microsoft fordert Behörden zum Umdenken auf

Mittlerweile setzen sich auch namhafte Software-Unternehmen für ein verantwortungsbewussteres Handeln der Behörden ein. So fordert etwa US-Softwaregigant Microsoft, die Behörden müssten gefundene Sicherheitslücken künftig schnellstmöglich den betroffenen Software-Unternehmen melden, statt sie „zu horten, zu verkaufen oder auszunutzen“.

Hoffentlich wird diese einflussreiche Schützenhilfe in absehbarer Zeit ein Umdenken auslösen. Die einzige Möglichkeit, mit einer Software-Sicherheitslücke verantwortungsbewusst und zum Besten der Nutzergemeinde umzugehen, ist, ihre zeitnahe Behebung zu ermöglichen. Alles andere ist ein gefährliches Spiel mit dem Feuer. Das hat ‚WannaCry‘ noch einmal nachdrücklich gezeigt.

 


Image (adapted) by Markus Spiske  (CC0 Public Domain)


Weiterlesen »