Donnerstag, 8. Januar 2009

entwickler.com Magazine Konferenzen Akademie Entwickler-Forum Jobbörse Bücher
Software & Support Verlag
Der Entwickler | dot.net magazin | Eclipse Magazin | Entwickler Magazin | Java Magazin | Linux Enterprise | PHP Magazin | CREATE OR DIE | Business Technology

Inhalt
Leser-CD
Profi-CD
Quellcodes
Ausgaben-Archiv
News-Übersicht
Topthemen-Übersicht
Online-Artikel
Forum-Highlights
Buch-Tipps
Direkt abonnieren
Preise & Verfügbarkeit
Aboservice
Profi-CD bestellen
Autor werden
Kontakt
News vorschlagen
Mediadaten
Kontakt



21.04.2008
KW 17/08 – Standpunkt Sicherheit

In dieser Ausgabe von "Standpunkt Sicherheit" erfahren Sie, wie sie sich mit einem Schokoriegel das Passwort für den Laptop mit dem Bundestrojaner beschaffen können, und was die EU-Bürger von solchem Datenschutz halten. Oder so ähnlich.

Viren, Trojaner und ähnliches Ungeziefer

David Emm vom Kaspersky Lab UK hat einen Artikel über die Geschichte der Computer-Viren geschrieben: "Neue IT-Bedrohungen, neue Abwehrmaßnahmen: Die Entwicklungsgeschichte von Viren und Antivirus-Programmen". Wirklich sehr interessant - wenn auch ein wichtiger Punkt zu kurz kommt: Gezielte Angriffe mit speziell für diesen Zweck entwickelten Schädlingen. Die tauchen immer wieder mal auf, z.B. wenn Microsoft in den Security Bulletins von "einzelnen, gezielten Angriffen" schreibt. Solchen Schädlingen ist mit Signaturbasierten Verteidigungsmethoden nicht bei zu kommen, die fliegen sozusagen unter dem Radar der Antiviren-Hersteller. Selbst wenn so ein Einmal-Schädling den Herstellern in die Finger gerät, nutzen die dafür erstellten Erkennungsmuster wenig: Der nächste Schädling ist wieder ganz anders aufgebaut und lässt sich mit dem vorhandenen Muster nicht erwischen. Gegen solchen Schädlinge helfen nur Ansätze, die das Systemverhalten überwachen und verdächtige Aktionen erkennen. Die erkennen dann auch gleich den Bundestrojaner, wenn er denn irgendwann mal das Licht der Welt erblickt und nicht noch vorher gestoppt wird.

Von Kaspersky gibt es auch einen Artikel über Keylogger, ebenfalls sehr interessant. Auch der Bundestrojaner soll ja wohl eine entsprechende Komponente enthalten. Beim Lesen beider Artikel habe ich mir überlegt, wie das wohl aussehen wird, wenn irgendwann mal ein Bundestrojaner auf einem bereits mit einem Virus verseuchten System installiert wird oder andersrum. Die Schädlinge enthalten ja teilweise selbst Schutzmaßnahmen gegen unliebsame Konkurrenten. Das könnte interessant werden. Und was ist, wenn dabei dann vollkommen verfälschte Daten rauskommen? Aber vielleicht ist das ja auch gar nicht so wichtig: Sowohl die verschiedenen Innenminister als auch der BKA-Chef usw. usf. schreien zwar immer wieder nach dem Bundestrojaner wie ein Kleinkind nach der Quengelware vor der Supermarktkasse, aber was sie damit wirklich machen wollen und vor allem machen können, wissen sie wohl alle nicht.

Schlimmer geht immer

Als wäre der Bundestrojaner nicht schlimm genug, wird jetzt auch noch zum großen Spähangriff geblasen. Falls man jemand kennt, der irgendwie verdächtig sein könnte, muss mal also in Zukunft damit rechnen, als Star im BKA-Heimkino aufzutreten. Ich bezweifle zwar nicht, das da das Bundesverfassungsgericht mal wieder ein paar Watschen austeilen und diesen Überwachungswahn zusammenstreichen wird, aber wäre es nicht einfacher, mal mit dem Ausbrüten immer neuer unsinniger Ideen aufzuhören und einfach mal die bereits bestehenden Möglichkeiten zu nutzen?

Bundestrojaner Massenware?

Laut BKA-Chef Jörg Ziercke wird "mit Hochdruck" an der Entwicklung des Bundestrojaners gearbeitet. Ist das der gleiche BKA-Chef Jörg Ziercke, laut dessen eigener Aussage es "Maximal zehn Online-Durchsuchungen im Jahr" geben wird? Und ist das der gleiche Bundestrojaner, der laut Aussage des Bundesinnenministeriums "[...] grundsätzlich nur einmal zum Einsatz kommen" soll? Ein Kommentar erübrigt sich ja wohl.

Datenschutz in der EU und in S-H

Weil es gerade so schön passt, noch etwas zum Thema Datenschutz. Laut einer im Auftrag der EU-Kommission durchgeführten Studie (PDF-Datei) haben 2/3 der EU-Bürger kein besonderes Vertrauen in die Sicherung persönlicher Daten. Wenn man sieht, was die Politiker in den letzten Jahren in der Hinsicht unternommen haben, ist das ja wohl kein Wunder. Dafür sind erschreckend viele Bürger für die Speicherung verschiedenster Daten, wenn es denn der Bekämpfung des Terrorismus dient. Was ja wohl in den meisten Fällen noch zu beweisen wäre. Bei der Vorratsdatenspeicherung sind da inzwischen wohl sogar der EU-Kommission Zweifel gekommen, und man hat erst mal eine Expertengruppe zu deren Untersuchung eingesetzt. Das Ergebnis soll im September 2010 vorliegen. Die Bundesregierung muss sich mit ihrer Untersuchung dazu etwas mehr beeilen, die möchte das Bundesverfassungsgericht schon im September 2008 haben.

Der schleswig-holsteinische Landesdatenschutzbeauftragte Thilo Weichert hat seinen Tätigkeitsbericht für 2007 vorgestellt. Die ständige Verabschiedung verfassungswidriger Gesetze durch Bundesregierung und Bundestag bezeichnet er als Ressourcenverschleuderung. Ich würde die Damen und Herren einfach als Lernresistent bezeichnen.

Rechner weg, Daten weg - was sonst?

Zu den verschwundenen Rechner von Bundesbehörden allgemein und Frau Zypries im besonderen habe ich ja schon am 25. März und 4. Februar etwas geschrieben. Inzwischen kam heraus, das mit den Rechnern auch vertrauliche Daten verschwunden sind. Hat irgend jemand ernsthaft etwas anderes erwartet? Der Wert der Geräte wird mit 540.000 Euro angegeben, über den Wert der Daten schweigt man lieber. Toll: Die können nicht mal auf ihre eigenen Rechner aufpassen, wollen aber unsere Daten auf Vorrat speichern. Und das einschließlich unserer Krankenakten, wenn die Elektronische Gesundheitskarte denn mal irgendwann gesund wird und nicht nach längerem dahinsiechen eingestampft wird.

Tausche Passwort gegen Schokoriegel

Infosecurity Europe hat einen Social-Engineering-Test gestartet und, als Marktforschung getarnt, Passwörter gegen Schokoriegel eingetauscht. Mit beängstigenden Ergebnis: Schon so ein simpler Trick reicht, um von 45% der Frauen und 10% der Männer das Passwort zu erhalten. 62% der Frauen und 60% der Männer gaben zusätzlich ihren Namen und ihre Telefonnummern an, um eine Reise nach Paris gewinnen zu können. Die Frage ist, wie aussagekräftig diese Ergebnisse sind. Hat irgend jemand die Daten überprüft? Ich gebe auch bereitwillig Daten an, wenn mich irgend so ein Marketing-Hansel danach fragt und ich ihn so am schnellsten wieder los werde. Von richtigen Daten war ja nicht die Rede, oder? Einige andere Punkte sind da bedenklicher, z.B. die Feststellung, das viele der Befragten ihre Zugangsdaten (angeblichen) Anrufern aus der IT-Abteilung mitteilen würden und das nur sehr wenige Passwörter verwendet werden. Das kann ich aus eigener Erfahrung bestätigen. Aber dafür braucht man eigentlich keine Umfrage, oder?

Carsten Eilers

"About Security": Die wöchentliche Serie von Carsten Eilers




eine Seite zurück
zurück		 an den Anfang der Seite
nach oben 		diesen News drucken
drucken		 diesen News weiterempfehlen
empfehlen		 ein Kommentar zu dieser News schreiben
kommentieren


Kommentare

+ Neuen Kommentar verfassen
    Copyright © 2009 Software & Support Verlag GmbH. Haben Sie noch Fragen?                   Impressum  |  Datenschutz
 Software & Support Verlag GmbH