Archiv der Kategorie: Security

Unterschätzte Risiken: Verbraucherschutz

Geschäft, IT, Nebenwirkung, Rechtsabteilung, Security, Unterschätzte Risiken, , , , ,

Wer dieses Blog schon länger liest, hat vielleicht mitbekommen, dass ich der Verknüpfung von IT-Sicherheitsbausteinen mit Rechtskonstrukten skeptisch gegenüberstehe. Verfahren wie die rechtsverbindliche digitale Signatur und Anwendungen wie De-Mail mögen manchmal nützlich sein. Sie machen es jedoch auch einfacher, Leuten etwas abzuluchsen, das sich später gegen sie verwenden lässt. Eine Überraschung ist das nicht, denn solche Phänomene gibt es nicht nur im Internet. Offline sollen beispielsweise Banken seit einiger Zeit ihren Kunden Unterschriften unter Beratungsprotokolle abnötigen. Die Chancen und die Risiken sind dabei klar verteilt:

»In der Praxis zeige sich, dass die Protokolle den Banken mehr nützten, als den Kunden. „Die schreiben da alles rein was sie brauchen, um später in einem Prozess bestehen zu können“, sagte der Liberale, der als Rechtsanwalt Opfer der Lehman-Pleite vertritt.«

(Welt Online:
Late Night „Anne Will“: Was beim Banken-Bashing gern vergessen wird)

Im Internet hat der Verbraucher jedoch bis jetzt eine günstige Rechtsposition, weil er vieles einfach abstreiten kann. Wer das Internet mit bestätigten  Identitäten oder mit Nachweisdiensten á la De-Mail sicherer machen möchte, arbeitet daran, diese Eigenschaft zu beseitigen und Risiken auf die Verbraucher zu verlagern. Obendrein wird der Alltag komplizierter. Wollen wir das?

PS: Die Hersteller von Identitätsnachweisen haben erwartungsgemäß eine klare Haltung dazu.

TV-Tipp: Angstanalyse

Security

Na da muss ich doch gleich mal einen TV-Tipp loswerden, der WDR hat in Quarks & Co. mal schön die gesellschaftlichen Angstmechanismen beleuchtet und nach dem wirklichen Risiko gefragt. Die Bilanz – Risiko: null Tote in Deutschland, Kosten: ne ganze Menge, Nutzen: ?

Unterschätzte Risiken: Datenbriefe

Datenschutz, Freundlich zum Nutzer, Nebenwirkung, Security, Unterschätzte Risiken

In einem offenbar ganz frischen Blog diskutiert ein Pflaumensaft die Risiken des Datenbriefes. Der Datenbrief soll den Datenschutz benutzerfreundlicher machen. Bislang muss sich jeder aktiv darum kümmern, bei Datenspeicherern und Datenverarbeitern Auskünfte einzuholen. Weil das Arbeit macht und man oft auch gar nicht so genau weiß, wer überhaupt Daten über einen gespeichert hat, tut das kaum jemand. Hinter dem Datenbrief verbirgt sich nun die Idee, das Ganze umzukehren und den Datennutzern die Pflicht zur aktiven Information der Dateninhaber aufzuerlegen. Der oben verlinkte Beitrag diskutiert, auf welche Weise das in die Hose gehen könnte.

Und nun? Gibt es Vorschläge, wie das Ziel des Datenbriefes — Awareness der Dateninhaber — ohne störende Nebenwirkungen zu erreichen ist?

Unterschätzte Risiken: Vorzeichenfehler

Freundlich zum Nutzer, Geschäft, Hackmeck, Rechtsabteilung, Security, Unterschätzte Risiken, , , , , ,

Ein Vorzeichenfehler in einem Zigarettenautomaten bei VW zieht weite Kreise:

»Nach Informationen von Betroffenen sollen allein im Original-Teile-Center (OTC) 120 Mitarbeiter zu einem Gespräch vorgeladen worden sein. Ihnen wird vorgeworfen, sich mit ihrem Werksausweis, der auch als Zahlungsmittel verwendet werden kann, an einem Zigarettenautomaten, auf Kosten von VW bereichert zu haben. Durch einen technischen Defekt, so der Vorwurf des Konzerns, sei kein Geld von den Chipkarten abgebucht, sondern gutgeschrieben worden. Diesen Defekt hätten verschiedene Werksanghörige bewusst ausgenutzt, um sich zu bereichern.«

(HNA: VW-Affäre: Die Ersten müssen gehen)

Der Fehler soll bereits seit 2007 bestanden haben und im Artikel ist von einer Person die Rede, die sich seither um 100 Euro bereichert haben soll. Zwölf Mitarbeitern von VW und 37 von Fremdfirmen hat man daraufhin fristlos gekündigt, wogegen sie nun klagen.

Mehr als die Aussagen in den verlinkten Berichten kenne ich auch nicht. Interessant ist aber, dass der Betreiber des Zahlungssystems offenbar seit 2007 nichts bemerkt hat. Von den Benutzern hingegen erwartet man, dass ihnen Fehler im bargeldlosen Bezahlen auffallen, die sich bei 100 Euro am Zigarettenautomaten seit 2007 ungefähr einmal im Monat in einer kleinen, die weitere Benutzung nicht störenden Abweichung des Kartenwertes niederschlagen.

Ob nun eine bewusste Bereicherung vorliegt oder nicht, könnte man vielleicht aus der Benutzerschnittstelle des defekten Automaten und dem Fehlerbild ableiten. Wurde die Aufladung direkt beim Benutzungsvorgang deutlich und vor dem Abschluss der Benutzerinteraktion angezeigt? Handelte es sich um einen systematischen Fehler, den man gezielt ausnutzen konnte, oder um ein nur gelegentlich zufällig auftretendes Phänomen?

Update: Inzwischen kursieren weitere Zahlen:

»Nach Angaben von VW-Justiziar Gerhard Klenner haben insgesamt 239 Mitarbeiter im Kasseler Werk ihre Chipkarten unrechtmäßig aufgeladen. Das Unternehmen habe aber nur jenen Mitarbeitern gekündigt, die mehr als 150 Euro auf ihre Ausweise aufgeladen hätten. Die anderen seien mit einer Tagesgeldbuße oder Versetzungen in andere Abteilungen abgemahnt worden.

Die zwei ehemaligen Mitarbeiter, die am Freitag vor Gericht waren, sollen 1180 Euro beziehungsweise 1178 Euro unrechtmäßig auf ihre Werksausweise geladen haben. Ein Kläger soll gar 1738 Euro auf seine Karte gebucht haben.«

(HNA: VW-Automaten-Affäre – erste Güteverhandlung vor Arbeitsgericht gescheitert)

HR Online hat auch noch ein Update.

Internetkriminalität in Spanien

Freundlich zum Nutzer, IT, Security, Studien, Zahlenspiele, , , , ,

Das Spanische Instituto Nacional de Tecnologías de la Comunicación (INTECO) hat eine Studie zur Internetkriminalität veröffentlicht. Eine Zusammenfassung erschien am 27.2. in El País. Danach haben 3,8% der spanischen Internetnutzer (920.000 von 23,4 Millionen) schon einmal einen Schaden erlitten; in fast der Hälfte (44,5%) der Fälle lag er unter 100 Euro, in 75% der Fälle unter 400 Euro.

Bemerkte Betrugsversuche ändern das Verhalten der Nutzer in der Regel nicht, weder im E-Kommerz noch im Online-Banking. Sechs von zehn Nutzern haben Vertrauen ins Online-Banking.

Interessant ist die Methodik hinter der Studie. Offenbar versucht das INTECO mit dem Panel eConfianza eine Art Mikrozensus unter den Internet-Nutzern. Dafür hat man die Software iScan entwickelt, die auf den PCs der Panelisten nach Schadsoftware sucht – und in 56,2% der Fälle fündig wurde. Ist die Auswahl repräsentativ, so müssen wir also davon ausgehen, dass die Hälfte der privaten PCs (in Spanien) Malware an Bord hat.

[Vocabulario:

CCTV-Zahlen

Datenschutz, Security, Video, Zahlenspiele, , ,

Ein Artikel von Angela Sasse in der aktuellen CACM (paywalled: Not Seeing the Crime for the Cameras?) liefert Zahlen aus dem Mutterland der Überwachungskamera:

Der Artikel kommt zu dem Schluss, dass CCTV zur Kriminalitätsverhinderung im Wesentlichen nutzlos sei.

Stolen laptop case study

English, IT, Security,

Shocking news: it is easy to steal laptop computers in universitites!

»In this study, we look at the e ffectiveness of the security mechanisms against laptop theft in two universities. We analyze the logs from laptop thefts in both universities and complement the results with penetration tests. The results from the study show that surveillance cameras and access control have a limited role in the security of the organization and that the level of security awareness of the employees plays the biggest role in stopping theft. The results of this study are intended to aid security professionals in the prioritization of security mechanisms.«

(Laptop theft:
a case study on e ffectiveness of security mechanisms in open organizations)

By the way,

English, IT, Security, Trusted Computing, , ,

… if it’s worth the effort, this TPM hack may nicely complement an Evil Jan attack. First the attacker carries out the Evil Jan attack to obtain any user-provided key material, next he takes the machine away and cracks the TPM for the rest of the key material. Usually there are easier ways after the initial step, but if, for whichever reason, they should become infeasible, going for the TPM might be an option.

Leaving the TPM exposed to physical attacks while protecting the RAM of a system from wire access, DMA, and cold boot attacks would be a pretty stupid design error, though. But who knows?

Unterschätzte Risiken: Sicherheitsgesetze

Datenschutz, ID, Security, Unterschätzte Risiken, , , ,

Schon seit einigen Jahren gibt es die Vorratsdatenspeicherung light: Telekommunikationsanbieter müssen die Identität ihrer Kunden erfassen und den Sicherheitsbehörden auf Anfrage zur Verfügung stellen. Rechtsgrundlage ist der §111 TKG (im Abschnitt Öffentliche Sicherheit), der dem anonymen Verkauf von Prepaid-Karten ein Ende machte. Sicherer geworden sind wir dadurch nicht. Wo man früher nur anonym telefonieren konnte, geht das jetzt auch unter einem falschen Namen, dem die Behörden dann vielleicht eine echte, aber unbeteiligte Person zuordnen.

An der inhärent schlechten Qualität der derart erfassten Daten wird sich kaum etwas ändern lassen. Anbieter, Händler und Kunden haben kein eigenes Interesse an der Pflege der Datenbestände, die deshalb schon ohne böswillige Eingriffe schnell degenerieren. Ein Musterbeispiel für eine wirtschaftliche Fehlkonstruktion: den Nutzen haben die Sicherheitsbehörden, den Aufwand die Betreiber und Händler und den Schaden irgend jemand. Öffentliche Sicherheit kann man so nicht schaffen.

Die Datenschützer waren übrigens gleich dagegen. Sie hatten Recht. Wie oft muss die Idee von der Sicherheit durch Identifizierung eigentlich in die Hose gehen, bis wir es lernen? Je wertvoller wir Identitätsmerkmale machen, umso häufiger werden sie missbraucht werden.

Identitätsmissbrauch am Beispiel

Datenschutz, Geschäft, ID, Security

Ein schneller Lesetipp:

»Betrüger verwenden die Identität Fremder, um Straftaten zu begehen. Tina Groll hat das selbst erlebt und beschreibt, wie sich Datenmissbrauch anfühlt.«

(Zeit Online: Datenmissbrauch : Meine Identität gehört mir!, via Plazeboalarm)

Und wir wollen das Internet sicherer machen, indem wir dem Konzept der Identität mit einer Kombination aus Recht und Technik noch mehr Gewicht verleihen? Eine groteske Idee.

Sicherheitsnichtmanagement

Datenschutz, Geschäft, IT, Security, Vertrauen, , ,

Ein virtuelles Callcenter aus Heimarbeitern, in dem die Gattin des Geschäftsführers die offenherzige Pressesprecherin gibt. Ich mag nich glauben, dass die Krisen-PR bei dieser Klitsche wesentlich besser funktioniert als der Datenschutz. Die sind ja überhaupt nicht organisiert.

»Die Ehefrau des Geschäftsführers von Value5, Dagmar Dehler, sagte WELT ONLINE, die Firma arbeite mit freien Mitarbeitern, die von zu Hause aus tätig seien: „Wir sind ein virtuelles Callcenter.“ Mit der Betreuung der Krankenkasse seien 60 Mitarbeiter befasst gewesen, die auch für andere Auftraggeber tätig seien.«

(Krankenakten zugänglich: So schlampig ging die größte BKK mit Daten um)

Wie verkauft man geklaute Daten an einen Staat?

Datenschutz, Erich fragt, Geschäft, Regierungsviertel, Risiko, Security, ,

Während alle Welt über ethische und rechtliche Fragen des Ankaufs geklauter Daten durch den Staat debattiert, interessieren mich die praktischen Aspekte. Wie fädelt man als Besitzer kompromittierender Daten so ein Geschäft ein, damit die Wahrscheinlichkeit, das verlangte Geld später in Ruhe ausgeben zu können, möglichst hoch wird?

Wir haben auf der einen Seite einen Verkäufer, der im Prinzip irgendwo auf der Welt sitzen und die Daten übers Internet bereitstellen kann. Sein möglicher Abnehmer wird sich jedoch kaum auf eine Lieferung gegen Vorkasse einlassen, was einen beiderseits akzeptierten Prozess für den Austausch erfordert.

Auf der anderen Seite haben wir als Käufer einen Staat mit einer Polizei und Gesetzen, der seine Kosten reduzieren kann, wenn er den Lieferanten nicht bezahlt, sondern ihn auf frischer Tat mitsamt den Daten ertappt. Mit der verlangten Summe dürften sich eine Polizeiaktion, ein Prozess sowie einige Gefängnispersonenjahre ohne Schwierigkeiten finanzieren lassen. Der Käufer ist außerdem international vernetzt, hat also die Möglichkeit, Verhaftungen auch im Ausland zu erwirken.

Als dritter Mitspieler ist ein weiterer Staat im Spiel, der über dieselben Fähigkeiten verfügt und das Interesse verfolgt, das Geschäft zu vereiteln und den Verkäufer seinerseits hinter Schloss und Riegel zu bringen – oder ihn vielleicht auch zur Abschreckung öffentlich einer Geheimdienstaktion zum Opfer fallen zu lassen.

Wie würde man sich als Täter in dieser Situation absichern?

P.S.: Wie ist die ganze Aktion eigentlich Datenschutzrechtlich zu bewerten?

Unterschätzte Risiken: Sicherheitstheater

Security, Unterschätzte Risiken, ,

Wenn das stimmt, wäre es eine große Ironie: das Sicherheitstheater am Flughafen lässt Flugzeuge als gut bewacht gelten und macht sie damit als Angriffsziel erst interessant.

»Und zuletzt sind Flugzeuge ein sehr symbolisches Anschlagsziel, weil sie gut bewacht sind. Die Terroristen schicken eine Botschaft: „Selbst in der Luft seid ihr nicht vor uns sicher.“«

(Spiegel Online: Flugsicherheit: „Ich will den bösen Jungs keine Nachhilfe geben“)

Das ist natürlich nur einer von vielen Faktoren, der Artikel zählt weitere auf, etwa die verstärkte Wirkung einer vergleichsweise kleinen Bombe, wenn sie in zehn Kilometern Höhe in einer Druckkabine gezündet wird. Dennoch stellt sich die Frage, wie man so einen Faktor sinnvoll optimiert und ob Sicherheit insgesamt nicht einfach nur Voodoo und Aberglaube ist.

Lesetipp

Freundlich zum Nutzer, IT, Security,

In der <kes> vom Dezember 2009 findet sich ein feiner und unterhaltsamer Artikel zum Realitätsabgleich für Security-Nerds, insbesondere für solche, die für die Sicherheit in Unternehmen verantwortlich sind:

Vom Aus der geschlossenen Anstalt
Ein Traktat wider das hartnäckige Festhalten an vermeintlich Bewährtem
von Dr. Johannes Wiele

Vermutlich verschwindet der Artikel bei Erscheinen des nächsten Heftes demnächst im Archiv für Abonnenten, bei Gefallen empfiehlt sich also eine Sicherheitskopie.

Unterschätzte Risiken: Leichtgläubigkeit

Biometrie, Datenschutz, Security, Unterschätzte Risiken, Wahrnehmung, , ,

Wenn sich ein Verbrecher Patrick nennt, dann bleibt der Polizei nichts anderes übrig, als alle Patricks in der Umgebung des Tatortes zu gentesten. Dass die Spur falsch, gar eine gezielte Irreführung sein könnte, auf die Idee kam man offenbar nicht:

»Hunderte Männer namens Patrick hatte die Wiesbadener Polizei nach der Vergewaltigung einer 17-Jährigen überprüft. Knapp zwei Jahre später hat sie den Täter gefunden – per Zufall. Patrick heißt er nicht.«

(HR: Zufallstreffer: Vergewaltiger heißt doch nicht Patrick)

Es sei nicht auszuschließen gewesen, dass der Name richtig sei. Dass die DNS-Rasterfahndung Blödsinn sein könnte, war offensichtlich aber auch nicht auszuschließen.