Mittwoch, 7. Januar 2009

entwickler.com Magazine Konferenzen Akademie Entwickler-Forum Jobbörse Bücher
Software & Support Verlag
Der Entwickler | dot.net magazin | Eclipse Magazin | Entwickler Magazin | Java Magazin | Linux Enterprise | PHP Magazin | CREATE OR DIE | Business Technology

Inhalt
Leser-CD
Profi-CD
Quellcodes
Ausgaben-Archiv
News-Übersicht
Topthemen-Übersicht
Online-Artikel
Forum-Highlights
Buch-Tipps
Direkt abonnieren
Preise & Verfügbarkeit
Aboservice
Profi-CD bestellen
Autor werden
Kontakt
News vorschlagen
Mediadaten
Kontakt



01.09.2008
KW 36/08: Standpunkt Sicherheit

Ein Wurm, der über die BGP-Schwachstelle einen Daten-SuperGAU im Weltall auslöst, krabbelt durch diesen Standpunkt Sicherheit.

Der Datenklau geht um...

Der Daten-GAU geht weiter: Nicht nur, dass Informationen aus der Wirtschaft munter weiterverkauft werden, nein, auch Daten aus Meldeämtern sind nicht sicher. Ganz im Gegenteil, damit wird anscheinend ein schwunghafter Handel getrieben. Dass das verboten ist, stört anscheinend keinen der Beteiligten. Und spätestens nach dem dritten oder vierten Verkauf weiß ja sowieso niemand mehr, woher die Daten eigentlich kommen. Ich hoffe doch, damit hat sich das Thema "zentrales Melderegister" endgültig erledigt. Wenn ich solche Aussagen wie die folgende lese, sehe ich dabei aber ziemlich schwarz:

"Tatsächlich liegen 90 Prozent der gespeicherten persönlichen Daten bei der Wirtschaft und nur 10 Prozent beim Staat", sagte Uhl. "Die Gefahr des Missbrauchs bei der Wirtschaft ist also sehr viel höher." [TAZ-Bericht, Hans-Peter Uhl (CSU) ist innenpolitischer Sprecher der Unionsfraktion]

Das ist ein tolles Argument: Weil jemand mehr von etwas hat, ist die Gefahr des Missbrauchs sehr viel höher. Darf ich das Argument auch verwenden? Wie heißt es so schön in amerikanischen Krimis: "Alles was Sie sagen, darf gegen Sie verwendet werden." Na, dann mal los. Wer sammelt denn massenhaft Gen-Daten und Fingerabdrücke? Und bei wem ist demnach die Gefahr des Missbrauchs sehr viel höher? Komisch, ich würde beide Fragen ganz eindeutig mit "Der Staat!" beantworten. Und wer lässt massenhaft Verbindungsdaten auf Vorrat speichern? OK, die werden (noch?) von der Wirtschaft gespeichert, aber nur, weil der Staat sie dazu zwingt. Sollten also diese Daten missbraucht werden, ist dafür der Staat zumindest indirekt verantwortlich. Und wie sieht es denn mit den zentralen Krankenakten aus - zählen die zu den 10 % des Staats, oder wurden die bereits der Wirtschaft zugeschlagen und damit verloren gegeben?

Fakt ist ja wohl: Die 10 % Daten, die der Staat hat, sind deutlich brisanter als das, was die Wirtschaft hat. Und das die bei weitem nicht sicher sind, wurde ja nun schon oft genug bewiesen. Ich dachte immer, die Politiker sollen Schaden vom Volk abwenden. Also wenn ich so etwas lese wende ich mich mit Grausen von den Politikern ab.

Daten überfluten Behörden

Aber einen Lichtblick gibt es ja noch: Wenn es ein zentrales Melderegister gibt, sind die Daten darin sowieso zum größten Teil digitaler Sondermüll. Denn wie ja bei der einheitlichen Steuernummer eindrucksvoll demonstriert wurde, werden die Behörden mit den dabei anfallenden Datenmengen gar nicht fertig. Die Steuernummern werden in großer Zahl an falsche Adressen gesendet, weil die entsprechenden Bürger inzwischen umgezogen sind. So eine Sauerei aber auch - wie können die einfach wegziehen, während ihre Daten noch verarbeitet werden? So viel Aufwand - und dann hat niemand damit gerechnet, dass die Leute eventuell umziehen, bevor sie ihre Nummer haben? Wer hat denn da gepennt? Außerdem: Wozu der ganze Aufwand? Früher oder später stoppt das Bundesverfassungsgericht diese verfassungswidrige Personenkennziffer sowieso. Denn das Argument, dass die Steuernummer nicht als Personenkennziffer verwendet werden darf, ist ja wohl ein Hohn.

Altes Problem + neue Lösung = Neues Problem ohne Lösung

Über das BGP Netzwerkverbindungen zu entführen, ist eigentlich ein alter Hut. Dass man daraus auch ein neue Mütze machen kann, haben Anton Kapela und Alex Pilosov auf der Sicherheitskonferenz Defcon demonstriert: Weil die Angriffe oder Fehlkonfigurationen bisher dadurch auffielen, dass der eigentliche Zielrechner sich nicht meldete, haben die beiden "einfach" den Netzwerkverkehr nach erfolgreicher Umleitung über ihren eigenen Router zum eigentlichen Ziel weitergeleitet. Das ist sowohl genial einfach als auch einfach genial. Wenn es keine Fehlermeldung gibt, besteht auch kein Grund, sich das Ganze einmal näher anzusehen. Nach dem DNS ist nun also das zweite Internetprotokoll reif für eine Generalüberholung. Diese und alle anderen, meist ebenso alten und nicht unter Sicherheitsaspekten entwickelten Internetprotokolle abzusichern, wird ein hartes Stück Arbeit für alle Betroffenen. Denn es ist nicht mit der Entwicklung und Erprobung neuer Protokolle getan, die müssen auch eingesetzt werden. Das ohne Beeinträchtigung des Internets zu schaffen, dürfte eine der größten Herausforderungen der nächsten Jahre sein.

"Houston, wir haben einen Wurm"

Letzte Woche wurde berichtet, dass auf einem Rechner in der Internationalen Raumstation ISS ein Wurm gefunden wurde. Alle Meldungen konnten bis zu dieser Webseite zurückverfolgt werden, dann ist Schluss. Schade, ich hätte das gerne direkt bei der NASA nachgelesen, habe dort aber nichts darüber gefunden. Und Links zur Quelle zu setzen kommt wohl langsam aber sicher aus der Mode. Gefunden wurde 'W32.Gammima.AG', über den z.B. Symantec Folgendes schreibt: "W32.Gammima.AG is a worm that spread by copying itself to removable media. It also steals passwords to various online games." Da hat sich das digitale Ungeziefer ja einen ziemlich unwirtlichen Ort ausgesucht, denn laut Wired hat die ISS keinen direkten Internetzugang. Für den Wurm wird da also nicht viel zu holen sein, und das "nach Hause telefonieren" dürfte ihm auch schwer fallen. Ich frage mich nur, wie es der Wurm überhaupt bis ins All geschafft hat. Die Astronauten werden vor dem Start durchgecheckt, damit sie bloß keinen Schnupfen mit ins All schleppen, aber an die Rechner hat keiner gedacht? Ich hoffe ja nur, die Technik da oben ist so robust, dass die Astronauten im Notfall auch ohne Computer überleben können.

Carsten Eilers

"About Security": Die wöchentliche Serie von Carsten Eilers


eine Seite zurück
zurück		 an den Anfang der Seite
nach oben 		diesen News drucken
drucken		 diesen News weiterempfehlen
empfehlen		 ein Kommentar zu dieser News schreiben
kommentieren






Neuen Kommentar verfassen
Name:


Kommentar:


Bitte geben Sie die Buchstaben aus dem Bild als Bestätigung ein!
    Copyright © 2009 Software & Support Verlag GmbH. Haben Sie noch Fragen?                   Impressum  |  Datenschutz
 Software & Support Verlag GmbH