Notizen

    Surveillance Studies Preis

    Surveillance Studies

    Dankbar und stolz haben wir den Surveillance Studies Preis entgegengenommen. Es ist ein ganz besonderer Preis, denn er richtet sich explizit an Journalisten, die zum Thema Überwachung recherchieren. Und genau darum ging es uns auch bei #nacktimnetz, die Überwachung der Internetnutzer aufzuzeigen, nur eben nicht durch Geheimdienste und Staaten, sondern durch Unternehmen.

    Zitat aus der Begründung der Jury: „Beeindruckt hat die Jury vor allem die Art der Recherche sowie die Konfrontation von verschiedenen Betroffenen, insb. Bundestagsabgeordneten mit den Befunden.“

    Mehr dazu hier.

    Sicherheitslücken

    Kernschmelze

    Die Sicherheitslücke, die viele IT-Spezialisten und Computernutzer beschäftigt, sie ist tief im Rechner verbaut. In seinem Herzstück. Im Prozessor.

    Dort, wo alle wichtigen Rechenoperationen stattfinden. Dort, wo es in den vergangenen Jahrzehnten vor allem um eines ging: Schnelligkeit. Keine Verzögerungen im Datenfluss. Deshalb werden auch eventuell später benötigte Daten schon bereit gehalten. Das betrifft vor allem wichtige Daten, wie Passwörter oder Schlüsselzertifikate, die immer schnell zur Verfügung stehen sollen. Und genau die könnten hier abgegriffen werden. So haben es unterschiedliche Forscherteams in Tests bewiesen.

    Bei #meltdown (der Kernschmelze) handelt es sich um eine ganz besondere Art der Sicherheitslücke – einer Hardwarelücke. Dass immer alles schnell zur Verfügung steht, ist eigentlich als Feature gedacht und fest im Chip verbaut. Und genau diese Eigenschaft, nutzen die Forscher jetzt aus, um Daten zu stehlen. Wer mehr, intensiver dazu lesen möchte, findet die wissenschaftlichen Paper und mehr auf dieser Webseite.

    Warum sie gefährlich sind

    „Meltdown“ und „Spectre“, wie die Sicherheitslücken genannt werden, sind deshalb so gefährlich, weil sie beinahe alle Geräte betreffen, mit denen wir zu tun haben. Fast alle Computer, mit allen Betriebssystemen, alle Mobiltelefone. Immer dann, wenn ein Intel Chip verbaut ist, meistens auch bei AMD oder ARM Chips.

    Besonders gefährlich ist die Sicherheitslücke für sogenannte Cloud Speicherdienste. Wie sie zum Beispiel von Apple, Amazon oder Google angeboten werden. Vor allem Firmen lagern hier sehr sensible Daten. Benutzernamen, Passwörter, Zugangscodes – eine Datenschatztruhe. Man denke nur an die vielen, vielen Onlineshops aber auch an Geschäftsgeheimnisse von Unternehmen.

    Meltdown und Spectre sind deshalb hier besonders effektiv, weil sich mehrere Kunden einen Server teilen. Normalerweise trennt das Betriebssystem die einzelnen Akteure. Doch weil die Sicherheitslücke sich im Chip befindet, ist es möglich, diese Trennung zu umgehen, um die anderen auszuspähen. Im Gegensatz zum Privat-PC muss ich mir bei Cloud-Lösungen keine Schadsoftware „einfagen“, sprich keinen Email-Anhang öffnen oder eine kompromittierte Datei herunterladen, sondern der Angriff kann quasi vom „Nachbarn“ erfolgen, ganz ohne mein zu tun.

    Mein Beitrag in der Tagesschau dazu:

    Und jetzt? Was tun?

    Da die Chips nicht ohne weiteres ausgetauscht werden können, wird das Problem jetzt zunächst mit Software behelfsmäßig behoben. Für jedes Betriebssystem gab oder gibt es ein Update, welches die eigentlich nützliche Funktion quasi ausschaltet. Der Rechner, das Telefon wird dadurch langsamer, aber sehr wahrscheinlich wird das der „normale“ Nutzer kaum oder gar nicht bemerken.

    Wichtig sind die Software Updates der Browser Hersteller, denn wenn die Sicherheitslücke auch über Flash ausgenutzt werden kann, dann reicht der Besuch einer infizierten Webseite, um kompromittiert zu werden.

    Und sonst? Schätzen IT-Experten, dass es die Chip-Hersteller bis zu fünf Jahre kosten wird, neue Chips zu entwickeln, die diese Sicherheitslücke nicht (mehr) haben.

    34C3

    Was Staat und Kriminelle gemeinsam haben

    Es war wie ein Paukenschlag im Frühjahr, als die Erpressersoftware „Wannacry“ Millionen von Computern lahm legte, darunter auch die des britischen Gesundheitssystems. Zahlreiche OPs wurden verschoben, Patienten wieder heim geschickt, es war einfach nicht sicher genug zu operieren, wenn kein Rechner mehr geht, keine Patientenakte mehr nachgeschlagen werden kann.

    Nur wenig später war klar, dass Kriminelle (sehr wahrscheinlich geheimdienstnah) Sicherheitslücken ausgenutzt hatten, die die NSA jahrelang geheim gehalten hatte. Und auch, wenn gewiss, die Schuld für dieses Millionen teure Comouterdesaster in erster Linie den Kriminellen zuzurechnen ist, stellt sich doch die Frage, ob diese Sicherheitslücken nicht schon längst gemeldet und geschlossen gehört hätten.

    An dieser Stelle steht Deutschland am Anfang einer Debatte. Wie soll der Staat mit Sicherheitslücken umgehen? Auf dem Hackerkongress, dem 34C3, habe ich Frank Rierger vom Chaos Computer Club dazu befragt. Die Haltung des CCC ist klar: „Sicherheitslücken gehören nicht in staatliche Hände“. Mein Bericht in den Tagesthemen dazu:

    Doch die Szene der IT-Security Spezialisten ist in dieser Frage keineswegs einheitlich entschieden. In den vier Tagen, die der Kongress in Leipzig stattfand, hatte ich Gelegenheit mit vielen Spezialisten zu sprechen und ihre Haltung ist durchweg divers.

    Einige von ihnen befürworten den Einsatz von Sicherheitslücken durch staatliche Dienste, manche wünschen sich einen Abwägungsprozess, eine Regulierung. Natürlich fragt man sich sogleich, wie so ein Abwägungsprozess aussehen könnte? Ab wann ist eine Sicherheitslücke „schlimm“ genug, so dass sie sofort geschlossen gehört? Und ab wann „darf“ man sie offen lassen. Populistisch lassen sich schnell Antworten darauf geben: „Ja, wenn die Energieversorgung dadurch bedroht wäre, dann natürlich sofort schließen.“ - doch wir wissen alle, dass die Realität selten so einfach ist.

    Eine Debatte darüber, das ist es, was sich viele Spezialisten wünschen. Ich habe meinen Beitrag, zumindest ein bisschen dazu beigetragen und bin sicher, sie wird andauern.

    Meine Schalte zu tagesschau24 vom Hackerkongress in Leipzig: