Schlagwort-Archiv: PRISM

NSA hackt zusammen mit dem britischen Geheimdienst

Jim Carlsson, CEO von Clavister.

Jim Carlsson, CEO von Clavister.

Kürzlich wurde bekannt, dass der US-Geheimdienst NSA und sein britisches Pendant GCHQ das Digital Security-Unternehmen Gemalto gehackt und dabei Millionen Verschlüsselungscodes von SIM-Karten gestohlen haben. Es soll der IT-Security- und Kommunikationsindustrie verziehen sein, wenn sie dabei ein starkes Déjà-vu-Gefühl überkommt. Weniger als zwei Jahre zuvor, seit den ersten Enthüllungen von Edward Snowden, kommen die Neuigkeiten vielleicht nicht überraschend, aber wieder einmal fragen sich Firmen weltweit, wer hinter ihren Daten her ist.

Während „Lawful Interception“, die rechtmäßige Überwachung, als gut dokumentierter Prozess auf legaler Basis ohne Überraschungen stets akzeptiert wurde, führte die Aufdeckung staatlich unterstützter Hacking-Angriffe und Überwachungsmaßnahmen international zu massiven Verurteilungen. Nach den ersten Snowden-Enthüllungen überschlugen sich Regierungsbeamte förmlich, Unternehmen und der Öffentlichkeit mitzuteilen, dass PRISM, das NSA-Überwachungsprojekt für Daten- und Sprachaustausch, nicht bei ihnen eingesetzt worden sei. Zudem wurde gebetsmühlenartig erklärt,  dass zahlreiche Sicherheitsvorkehrungen bestünden, um den Diebstahl von Daten und Aufzeichnungen zu verhindern. Angesichts des Gemalto-Hacks und jüngsten Berichten darüber, dass die CIA unbedingt die Verschlüsselung von Apple durchbrechen wolle, ist allerdings nachvollziehbar, dass Unternehmen wenig überzeugt davon sind, nicht selbst in der Schusslinie zu stehen.

Gemeinschaftssinn eröffnet Hintertüren

Nicht nur staatlich geförderte Attacken stellen für IT-Abteilungen Risiken dar; auch Backdoors in Netzwerk-Equipment wie Security Gateways und Firewalls sind akute Gefahrenstellen. Auch wenn sie sich vom Wesen her stark unterscheiden, haben die Heartbleed- und Shellshock-Angriffe verdeutlicht, dass selbst die robustesten Security-Lösungen durch Schwachstellen in der Codierung unterwandert werden können. Beide nutzten einfache Coding-Fehler aus, und das Hauptproblem war nicht der Fehler an sich, sondern eher die Annahmen tausender Menschen weltweit, was die Integrität und Sicherheit von Open Source Coding angeht.

Dem Unbekannten gegenüberstehen

Unternehmen sehen sich der großen Herausforderung gegenüber, zu erkennen, wer sie angreift und warum. Wie Gemalto bewiesen hat, ist es fast unmöglich, festzustellen, ob man Ziel von Überwachungsorganisationen ist. Und noch gibt es auch keine internationale Internet Security Task Force, die aktiv nach Coding-Schwachstellen sucht und sie nach Entdeckung schließt. Klar ist, dass es für Organisationen immer schwieriger wird, herauszufinden, wem und welchen Lösungen sie vertrauen können. Jede Organisation innerhalb der Wertschöpfungskette könnte zu jeder Zeit dazu aufgefordert werden, einer Landesregierung Informationen zur Verfügung zu stellen und damit auch Schlüssel zu Daten auszuhändigen. Zur gleichen Zeit könnte ein Unternehmen einem Cyberkriminellen ausgeliefert sein, der kurz davor ist, aufzudecken, dass das Kernsystem, auf das zum Schutz des Netzwerks vertraut wird, von einem einfachen Coding-Fehler betroffen ist.

Seit PRISM ist sicher anzunehmen, dass die Geheimdienste der Supermächte die Fähigkeit haben, scheinbar ungehindert Unternehmen und Privatpersonen zu überwachen, um Informationen zu sammeln. Ist es wirklich klug, Firmen Zugang zu unternehmenseigenen Richtlinien und Daten zu gewähren, in deren Herkunftsländern die Regierungsbehörden jederzeit und ohne ordentliches Gerichtsverfahren ebenfalls darauf zugreifen könnten?

Open Source-Codierungen wiederholt testen

Zudem sollten Firmen sicherstellen, dass alle ihre Lösungen unter strengen Vorgaben entwickelt, getestet und nochmals geprüft werden, um sicherzustellen, dass alle Schwachstellen eliminiert wurden. Natürlich wissen Hacker um das blinde Vertrauen von Unternehmen auf eine Menge ungetestete Codierungen in Websites, Apps, Security-Lösungen etc. Und dies eröffnet den Kriminellen wiederum Unmengen Angriffsgelegenheiten. Wenn Unternehmen weiterhin die Vorteile von Open Source nutzen und umsetzen möchten, ist es offensichtlich, dass Open Source-Codierungen wiederholt getestet werden müssen, um potenzielle Schwachpunkte zu reduzieren, bevor sie eingerichtet werden, unter der Annahme, sie seien sicher.

Ob PRISM, Gemalto-Hack, Heartbleed und Shellshock: Unternehmen vertrauen auf die Transparenz der Regierungen und die Robustheit von Open Source Codings, ohne zu prüfen, ob ihr Vertrauen auch gerechtfertigt oder verdient ist. Und wenn Organisationen immer wiederkehrende Déjà-vus verhindern wollen, ist unverdientes Vertrauen ein Luxus, den sie sich einfach nicht länger leisten können.

Autor: Jim Carlsson, CEO Clavister. Gegründet im Jahr 1997, ist Clavister ein Mobile- und Network Security-Provider. Die Lösungen basieren auf Einfachheit, gutem Design und sehr guter Performance, um sicherzustellen, dass Cloud-Service-Anbieter, große Unternehmen und Telekommunikationsbetreiber den bestmöglichen Schutz gegen die digitalen Bedrohungen von heute und morgen erhalten.

Warum ist unsere Haltung zum NSA-Skandal so unpolitisch?

Nach fast 18 Monaten häppchenweiser Enthüllungen ist das Interesse an den Snowden-Dokumenten gesunken. Eine umfassende Aufklärung blieb aus, geändert hat sich nichts. Hat die Zivilgesellschaft versagt? Dieser Gastbeitrag von Wolfgang Michal erschien zunächst auf dessen Blog, nun hat ihn auch das Portal „Netzpolitik.org“ mit dessen Genehmigung veröffentlicht. … mehr … http://tinyurl.com/n2n9c6f

Britischer Geheimdienstchef: Privatsphäre ist kein “absolutes Recht”

Autor Stefan Beiersmann berichtet auf „ZDnet“: Der neue Chef des britischen Geheimdiensts Government Communications Headquarters (GCHQ), Robert Hannigan, bestreitet in einem Gastbeitrag für die Financial Times ein umfassendes Recht auf Privatsphäre. Sie sei niemals ein “absolutes Recht” gewesen und die Debatte darüber dürfe nicht als Grund dienen, wichtige und schwierige Entscheidungen zu verschieben. Stattdessen forderte er die US-Technikbranche auf, die Geheimdienste bei ihrem Kampf gegen den Terrorismus zu unterstützen, statt angesichts der Enthüllungen von Edward Snowden gegen sie zu arbeiten. … mehr … http://tinyurl.com/nvaq7yo

NSA-Ausschutzvorsitzender referiert zum „Fall des Geheimen“

Patrick Sensburg, der Vorsitzende des NSA-Untersuchungsausschusses, will auf der von FIfF und CCC organisierten Konferenz über Geheimdienste, Telekommunikationsüberwachung und die Rolle der Informatiker in dieser Gemengelage sprechen, berichtet „Heise“ online. … mehr … http://tinyurl.com/lea4l9b

Snowden-Vertrauter erklärt, wie man geheim kommuniziert

Verschlüsselung geht über alles: Ein Mantra, das im Zuge der NSA-Affäre schon tausende Male gehört wurde. Dass die Nutzung von GPG und Co alles andere als kinderleicht ist, dürfte auch keine Neuigkeit sein. Im Gegensatz zu der Tatsache, dass NSA-Whistleblower Edward Snowden und Aufdeckerin Laura Poitras selbst mehrere Fehler im Umgang mit den Verschlüsselungsstandards machten. Das enthüllte nun der Sicherheitsexperte Micah Lee laut einem Beitrag der österreichischen Zeitung „derStandard“. … mehr … http://tinyurl.com/luuz6ju

“Informationserfassung, plus …” – Neue Erkenntnisse über Grundlagen und Auffassung von Massenüberwachung

Autorin Anna Biselli berichtet auf „Netzpolitik.org“ darüber, dass die American Civil Liberties Union zusammen mit der Media Freedom and Information Access Clinic geschafft hat, über eine Informationsfreiheitsanfrage und Klage an Dokumente zu gelangen, die mehr über die wahren “gesetzlichen” Grundlagen für die NSA-Spionage offenbaren. … mehr …http://tinyurl.com/loeujgu

Terminhinweis: Anti-Prism-Party, die dritte Staffel (11.10.2014/Karlsruhe)

Schon zweimal sorgte die größte „Cryptoparty“ Europas mit 650 und über 900 Teilnehmern im Karlsruher ZKM für Raumnot. Doch das Interesse an technischen Möglichkeiten, mit denen man ausländischen Nachrichtendiensten wenigstens den Zugriff auf die eigenen Daten verwehren kann, ist ungebrochen – daher lädt die „Karlsruher IT-Sicherheitsinitiative“  anlässlich der Uraufführung des Edward-Snowden-Stücks „Ich bereue nichts“ des Badischen Staatstheaters Karlsruhe zusammen mit dem Kompetenzzentrum für angewandte Sicherheitstechnologie  und dem CyberForum e.V.  am Samstag, 11.10.2014 um 14 Uhr zur „Anti-Prism-Party 3. Staffel“ ins Foyer des Staatstheaters Karlsruhe (Eintritt frei).

Dort erfahren Sie alles, was Sie schon immer über Verschlüsselung wissen wollten, aber bisher nicht zu fragen wagten: Neben aktuellen Tipps und Empfehlungen rund um das Thema Selbstschutz vor unerwünschten Lauschern wird das Kryptologikum des Karlsruher Instituts für Technologie (KIT) historische und zeitgenössische Verschlüsselungstechnik zum „Be-Greifen“ vorstellen.

Auf Bühnen und an Stationen im Foyer des Staatstheaters Karlsruhe zeigen IT-Sicherheits-und Datenschutzexperten in Live-Vorführungen, wie Sie Tracking verhindern, Ihre Passwörter wählen und geschützt aufbewahren, E-Mails vor fremdem Zugriff schützen, Chats verschlüsseln und File-Sharing in der Cloud sichern.

Derweil können sich Ihre Kinder in der Spion-Schule, die von der Pädagogischen Hochschule Karlsruhe betreut wird, zum Verschlüsselungsexperten ausbilden lassen. Wer keine Karte mehr für die Voraufführung des Edward-Snowden-Stücks „Ich bereue nichts“ ergattern konnte, ist zum Abschluss beim Anti-Prism-Plenum um 19:30 Uhr im Kleinen Haus des Staatstheaters Karlsruhe willkommen.

Besondere IT-Kenntnisse sind nicht erforderlich, um den anschaulichen Vorführungen der Experten folgen zu können.

Nähere Informationen zur 3. Staffel der Karlsruher Anti-Prism-Party gibt es auf der Webseite www.anti-prism-party.de, in einem Newsletter zur Initiative und auf Twitter.

Die Veranstaltung findet im Rahmen der landesweiten Initiative smart businessIT: Die IT stärken. Das Land vernetzen statt. Die Initiative zielt darauf ab, den IT-Standort Baden-Württemberg zu stärken und bei Anbietern wie Anwendern dieser Branche für eine hohe Innovationsdynamik zu sorgen. Unterstützt wird die Veranstaltung vom Projekt Be Wiser.

Politiker erklärt: Computer sind gefährlich und Grundrechte gelten nicht online

Vor kurzem gab es eine große Chance, das Edward Snowden die Ehrendoktorwürde der philosophischen Fakultät der Universität Rostock erhält. Kurz vor Ende des Verfahrens stoppte der Rektor die Ernennung, wohl vor allem aus politischen Gründen. Zu den Hintergründen schreibt Markus Beckedahl im eZine „Netzpolitik.org“. … mehr … http://tinyurl.com/llpppl8

Kommentar zur Jahrestag der Snowden-Enthüllung: „Die traurige Bilanz – es ist zu wenig passiert“

LANCOM Systems - Foto: Martin RottenkolberVor einem Jahr gab Edward Snowden der Welt Einblick in die Überwachungs- und Spionagepraktiken von US- und britischen Geheimdiensten und machte deren enge Zusammenarbeit mit US-amerikanischen Technologiekonzernen öffentlich. Ein Aufschrei der Empörung hätte durch die Reihen gehen, Konsequenzen radikal gezogen werden müssen. Zum Schutz der Bürger, der Wirtschaft, der Verwaltung und nicht zuletzt unserer Souveränität! Doch die Reaktionen aus Politik, Wirtschaft und Bevölkerung sind erschreckend moderat.

Internet-User und Unternehmen haben ihr Verhalten kaum verändert. Man spürt Betroffenheit angesichts des Ausmaßes der Ausspähungen, aber Konsequenzen haben hierzulande nur wenige gezogen. Das zeigt auch der Blick auf den Markt ganz deutlich. Während zum Beispiel US-amerikanische Infrastrukturhersteller in den BRIC-Staaten und Asien aufgrund der NSA-Affäre massive Umsatzeinbußen zu verzeichnen haben, bleibt eine derart dramatische Änderung des Investitionsverhaltens in Deutschland aus.

Gerade Unternehmen dürfen sich aber ihrer Verantwortung nicht entziehen. Sie müssen sich aktiv mit den Risiken auseinandersetzen, die der Einsatz nicht-vertrauenswürdiger IT-Lösungen mit sich bringt: Von Sabotage über Geheimnisdiebstahl bis hin zu Informationsabfluss. Sie zu ignorieren, ist geradezu fahrlässig und gefährdet im Extremfall sogar die Wettbewerbsfähigkeit und die Existenz einzelner Unternehmen.

Die Politik trägt einen großen Teil der Verantwortung für diese ausgebliebenen Konsequenzen. Denn sie kommt ihrer wichtigen Vorbildrolle nicht nach!

Fast ein ganzes Jahr hat es gedauert, bis die Bundesregierung mit der Verschärfung des Vergaberechts für sensible IT-Projekte des Bundes die erste rechtliche Konsequenz gezogen hat. Zukünftig können hier nur noch IT-Dienstleister zum Zuge kommen, die eine „No-Spy-Klausel“ unterzeichnen und garantieren, dass sie nicht zur Zusammenarbeit mit ausländischen Diensten verpflichtet sind.

Die Politik muss noch weitergehen; sie muss diese Anforderungen auf Projekte in den Ländern und Kommunen übertragen. Und sie muss eine „No-Backdoor-Klausel“ als verpflichtendes Element in alle öffentlichen IT-Aufträge aufnehmen. Denn nur so kann sie Verwaltungsnetze effektiv schützen – und ihrer Vorbildrolle für Wirtschaft und Bevölkerung gerecht werden.

Auch gehen die Arbeiten am IT-Sicherheitsgesetz viel zu langsam voran, kritische Infrastrukturen in Deutschland sind erschreckend schlecht geschützt. Ein erster Gesetzesentwurf lag bereits unter Schwarz-Gelb vor, das Gesetz gibt es jedoch bis heute nicht.

Dabei geht es um so viel. Es geht um unser gesellschaftliches und wirtschaftliches Wohlergehen, und es geht um nicht weniger als unsere Souveränität. Viel stärker als in der Vergangenheit muss daher die Vertrauenswürdigkeit von IT-Lösungen zum entscheidenden Auswahlkriterium werden. Es ist von elementarer Bedeutung, dass ein IT-Produkt nur für einen arbeitet: nämlich für den Kunden, der es kauft.

Und diese Lösungen gibt es bereits! Unter dem Qualitätszeichen ITSMIG – „IT Security made in Germany“ haben sich mehr als 80 deutsche Hersteller verpflichtet, vertrauenswürdige Lösungen zu bauen, die frei von versteckten Zugangsmöglichkeiten (Backdoors) für Dritte sind. Für sie ist die nun geforderte „No-Spy-Klausel“ eine Selbstverständlichkeit.

Ein verstärkter Einsatz dieser Lösungen könnte die Abhängigkeit von nicht-vertrauenswürdigen Angeboten deutlich reduzieren und die digitale Souveränität Deutschlands massiv stärken. Auch Ideen wie das Schengen-Routing müssen ernsthaft diskutiert werden, denn auch sie können ein Baustein einer Souveränitätsstrategie sein.

Lassen Sie uns Vorhandenes in Frage stellen, Neues wagen und uns dessen bewusst werden, dass wir in Deutschland über eine exzellent aufgestellte IT-Industrie verfügen, die nur darauf wartet, mit vertrauenswürdigen Lösungen das Internet mit all seinen Chancen wieder sicher nutzbar zu machen. Für unsere Freiheit und digitale Souveränität.

Autor: Ralf Koenzen, Gründer und Geschäftsführer von Lancom    

Ethik in der digitalen Welt: Unter der ‘Open-Flagge’ durch den Post-Snowden-Kosmos

Autor Krystian Woznicki frägt auf dem Blog „Carta“: Sind Zeitungs- und Medienhäuser unweigerlich Teil der Überwachungsindustrie, wenn sie ihr Werbegeschäft digital-vernetzt auf der Basis von User-Daten aufziehen? Der jüngste Strategiewechsel des Guardian lädt erneut zu einer Grundsatzdiskussion ein. … mehr … http://tinyurl.com/lybh7or

Kommentar: „Kann Vorratsdatenspeicherung wirklich Datenschutz sein?“

In letzter Zeit werden Stimmen laut, die Vorratsdatenspeicherung als Beitrag zum Datenschutz verstanden wissen wollen. Eine Analyse von Dr. Wieland Alge, General Manager EMEA bei Barradcuda Networks.  

„Zur Erinnerung: Sicherheitskreise haben uns die Vorratsdatenspeicherung als unabdingbares Mittel im Abwehrkampf gegen den internationalen Terrorismus erklärt. In Deutschland verbot das Verfassungsgericht die Umsetzung, in Österreich gingen manche zum EuGH und erzwangen die Offenlegung, für welche Verbrechensermittlungen denn die Daten abgefragt wurden. Die Ergebnisse sprachen für sich: Drogendelikte und Stalking waren die Highlights. Der Terrorismus kam auf eine einzige Abfrage.  
Continue reading

Internet-Aktionstag „The Day We Fight Back“ : Alle gegen Goliath

Aktivisten protestieren am heutigen Dienstag weltweit im Netz gegen die Überwachung durch Geheimdienste. „The Day We Fight Back“ hat einige Gemeinsamkeiten mit den ACTA-Protesten. Wie sind seine Erfolgsaussichten, fragen sich „Süddeutsche“-Autoren … mehr … http://tinyurl.com/mlpuhk5

Internet-Aktionstag „The Day We Fight Back“ : Alle gegen Goliath
tag weltweit im Netz gegen die Überwachung durch Geheimdienste. „The Day We Fight Back“ hat einige Gemeinsamkeiten mit den ACTA-Protesten. Wie sind seine Erfolgsaussichten, fragen sich „Süddeutsche“-Autoren … mehr … http://tinyurl.com/mlpuhk5

Why Silicon Valley and Washington differ on Snowden

Article in „Chicago Tribune“ by Peter Swire: Is Edward Snowden a whistle-blower or a traitor? There is a vast cultural divide between Silicon Valley and Washington on this issue, and the reasons reveal much about the broader debates about what to do in the wake of his leaks. … read more … http://tinyurl.com/p39xzz3

Jung & Naiv · Die sechs Ws der Überwachung, mit Sascha Lobo

„Carta“-Autor Tilo Jung hat sich einen dieser professionellen Interneterklärer gesucht und ihn ins Berliner Stasimuseum gelockt, wo sie sich an die analogen Zeiten der Überwachung erinnern konnten. Zum Start der zweiten Jung & Naiv Staffel in diesem deutschen Fernsehen (montags, 19.30 Uhr auf joiz) sollte ihm Sascha Lobo, einige kennen ihn vielleicht, jungundnaiv die “sechs Ws der Überwachung” erklären: Wer überwacht uns? Was, wie, wo, (seit) wann und warum wird überhaupt überwacht? … mehr … http://tinyurl.com/q86wvs9