TelkoTalk

Wieder ist ein Jahr vorbei. Grund genug, kurz innezuhalten. Was war, was wir kommen?

Natürlich kann man nicht alle Ereignisse und Trends erahnen. Das ist auch besser so. Wer konnte sich auch nur im Traum eine Katastrophe wie in Japan vorstellen? Ein schweres Erdbeben, ein gigantischer Tsunami und die Kernschmelze in drei Reaktoren des Atomkraftwerks in Fukushima. Seit dem ist der Atom-Ausstieg Konsens und die Strompreise steigen wegen der Mehrkosten für regenerativ erzeugten Strom auch in den nächsten Jahren weiter an. Man braucht daher keine Kristallkugel, um zu erkennen, dass “Green IT” oder wenigstens besonders sparsame IT auch 2012 ein Hauptthema sein wird. Selbst wenn man den Umweltaspekt außen vor läßt, bei den zu erwartenden Strompreisen lohnt der Invest in sparsamere Technik allemal.

Bei den Mobilfunkherstellern wird es spannend. Schafft der einstige Branchenprimus Nokia mit dem Fokus auf Windows Phone die Wende?  Viele Experten halten die Festlegung auf Windows Phone und die enge Bindung an Microsoft für einen schweren Fehler, der Nokia die Existenz kosten könnte. Außerdem bleiben die zahlreichen Patent- und Geschmacksmusterklagen, die man als Apple gegen den Rest der Mobile-Welt zusammenfassen könnte. Die Kunden haben längst entschieden und greifen immer mehr zu Android statt Apples IOS. Aber Apple wird mit einem guten zweiter Platz sicherlich auch leben können. Für RIMs Blackberry wird sicherlich auch in Zukunft die Business-Nische bleiben. Und für Windows Phone? Da ist es fraglich, ob für Microsoft noch Platz am Markt ist. Aktuell ist der Markanteil von Windows Phone geringer als der von Samsungs eigenem System BADA. Beide liegen abgeschlagen unter 2%.

Kommen wir zum Datenschutz. Im Jahr 2011 hatten wir diverse Skandale, die es bin in die Abendnachrichten der großen TV-Sender geschafft haben.  Da wurden Sony Millionen Datensätze aus mehreren Netzwerken gestohlen. Rewe wurden die Kundendaten einer Bildertauschbörse entwendet. Und erst vor wenigen Tagen wurden der US-Sicherheitsfirma Strafor Kreditkarten gestohlen. Dagegen ist die Erkenntnis, das facebook gelöschte Daten doch nicht löscht, fast schon harmlos. Ein Student aus Österreich hatte eine Datenauskunft angefordert und nach längerem Tauziehen bekommen. Ausgedruckt wären es mehr als 1500 Seiten Papier gewesen, was facebook nur über diese eine Person alles gespeichert hat.

2012 muss das Jahr des Datenschutzes werden. Datenschutz hinsichtlich der Selbstbestimmung der Bürger, was mit ihren Daten passiert und wer eigentlich wieviel speichern darf. Der Blogger hat im vergangenen Jahr bei einigen SPAM-Mails mal eine Datenauskunft eingefordert und war sehr irritiert, zu welchen Nachtzeiten er an Gewinnspielen teilgenommen haben soll und diese sogar per Opt-IN betätigt habe. Besonders irritierte ihn die Tatsache, mit welchen Providern er das gemacht haben soll. Und dass am Ende immer wieder die gleichen Firmen diese Gewinnspiele technisch abgewickelt haben, macht die Sache nicht glaubwürdiger, sondern zu einem Fall für die Staatsanwaltschaft.

2012 muss das Jahr der Datensicherheit werden. Wenn ein Kunde einem renomierten Unternehmen wie z.B. Sony seine Kreditkartendaten anvertraut, um Spiele und andere Dienste zu bezahlen, dann muss er sicher sein dürfen, dass seine Daten gut geschützt sind. Bei Sony wird man dies sicherlich mit allen Kräften sicherstellen, aber wie sieht bei anderen Firmen aus? Auf zahlreichen Webseiten klaffen Sicherheitslücken. Es gibt Hunderte von Untergrundforen, in denen Exploits zu Software, die auf vielen Servern läuft, gehandelt oder offen gepostet werden. Bekannte Sicherheitslücken bei Standardpaketen wie joomla, typo3 oder WordPress werden oft nur wenige Stunden nach Bekanntwerden in großem Umfang genutzt. Nicht mit Dummenjungenstreichen, wie es z.B.  einmal dem FC Schalke 04 vor dem Revierderby passierte, sondern meist von Kriminellen, die diese Server hacken, um damit SPAM zu versenden, Phishing Attacken zu starten oder Besuchern Trojaner unterzuschieben. Da sind längst keine Einzelkämpfer mehr am Werk, die man leicht an der bleichen Haut erkennt, weil sie nie das Tageslicht sehen. Es sind gut organisierte Banden am Werk, die mit modernen Methoden und arbeitsteilig arbeiten und daher kaum zu fassen sind. Wenn diese Entwicklung nicht gestoppt werden kann, dann werden Cyberkriminelle bald mehr Geld machen als Drogenkartelle oder Waffenschieber.

Wie man sich schützen kann? 100% sicherlich nie, aber halten Sie ihre Software und natürlich ihren Virenscanner immer aktuell. Seien Sie sparsam mit dem “Verteilen” von persönlichen Daten und ganz besonders bei Konto- oder Kreditkartennummern. Verwenden Sie Antivirensoftware, die auch die Mails und den Webdatenverkehr mit überwacht. Das kostet zwar Performance, bietet aber mehr Schutz, z.B. vor dreisten Erpressungstrojanern wie dem UKash/BKA-Trojaner.

Was sonst noch 2012 passieren wird? Der HSV wird wieder nicht Deutscher Meister, sondern die Bayern machen es wieder mal. Und im Sommer wird ein neuer Europameister ausgespielt und Deutschland hat gute Chancen auf das Endspiel. Und die Bundesnetzagentur will neue Verordnungen auf den Weg bringen und dafür sorgen, dass Kunden bei Rufnummernportierung wirklich nur wenige Stunden ohne Anschluss sind.

In diesem Sinne: Frohes neues Jahr!

geschrieben von Holger \\ tags: Android, Bundesnetzagentur, Datenschutz, Facebook, Fußball, IPhone, Kreditkartendaten, Server, Sicherheit

Darf man einer vor zwei Tagen veröffentlichten Studie der Firma Websense glauben, dann gehört der Diebstahl von Daten in  Unternehmen zur Tagesordnung. Rund 1000 IT-Manager seien befragt worden und offenbarten erschreckende Erkenntnisse. So seien 33% der Befragten bereits wichtige Firmendaten gestohlen worden. Gleichzeitig würden neue Gefahren aus dem Web nur von 30% als ernstzunehmende Gefahr eingestuft. Und nur 2% setzen auf professionelle Lösungen zur “Data Lost Prevention”. Natürlich darf man einem Anbieter von Sicherheitslösungen gewisse Interessen unterstellen und muss solche Meldungen etwas relativieren. Schon bei einem einfachem Rundmailing z.B. an gute Kunden kann man ungewollt wichtige Firmendaten verlieren – wenn man z.B. die Empfängeradressen nicht ins BCC setzt, sondern für sichtbar einsetzt.

Dennoch lassen die zahlreichen Meldungen in den Medien über Datenpannen, Datenlecks und Datendiebstähle ahnen, dass die von Websense ermittelten Zahlen stimmen könnten. Möglicherweise ist die Dunkelziffer noch größer, denn nur gravierende Fälle finden ihren Weg in die Medien und evtl. hat auch nicht jeder IT-Manager einen gravierenden Verlust von Daten in der Befragung eingestanden.

Der Schutz von Daten vor Missbrauch wird offenbar noch immer als lästiges Übel betrachtet. Niemand käme auf die Idee, ein Lager, in dem teure Ware gelagert wird, ohne verschlossene Tore und Alarmanlage zu betreiben. Geldautomaten sind in sich kleine Festungen aus bestem Stahl und dazu noch fest im Fundament der Gebäude verankert, damit möglichst niemand den Automat als Ganzes klaut. Die gleichen Automaten waren dagegen jahrelang nur unzureichend gegen Datenklau per Skimming geschützt.

Firmennetzwerke werden im Regelfall zwar gegen Angriffe von Aussen geschützt, aber schon so vergleichsweise einfache Trojaner wie der UKASH (BKA-Trojaner) schaffen es immer wieder, Virenschutzsoftware zu überwinden. Ein gezielt zum Datenklau eingesezter Trojaner wird mit sehr großer Wahrscheinlichkeit alle handelsüblichen Schutzprogramme überwinden können. Der Schutz der Daten gegen Angriffe von Innen, also durch Mitarbeiter, ist ein noch viel heikleres Thema. Hier gibt es kaum belastbare Zahlen. Aber man darf vermuten, dass es diesen Schutz in kleineren und mittleren Unternehmen defakto nicht gibt. Möglicherweise ist den Verantwortlichen in solchen Firmen gar nicht klar, welche Daten anfallen und welche davon wichtig sind.

Fakt scheint zu sein, dass Datenschutz nur als lästiges Übel wahrgenommen wird. Und dass Verstöße dagegen damit enden, dass ein paar Tausend Leute illegal Werbung zugemail bekommen. Genau das ist falsch! Datenschutz ist das Verhindern von Datendiebstählen. Datendiebstähle können schon im kleinen Stil riesige Schäden anrichten, wie diese Meldung der NOZ über Betrug mit geklauten EC-Karten Daten zeigt. Dort wird wieder über EC-Karten-Datenklau in EDEKA Supermärkten berichtet. Die diesmal betroffenen Märkte im Raum Göttingen machten die gleichen Fehler wie die einen Monat zuvor betroffenen Märkte im Raum Osnabrück. Die EC-Geräte wurden weder regelmäßig auf Manipulationen überprüft noch nachts im Tresor aufbewahrt. Ein Lerneffekt innerhalb der EDEKA-Kaufleute ist nicht feststellbar  – sonst hätte man den neuen Schaden gut vermeiden können.

Während die Lebensmittelhänder mit “Wir lieben Lebensmttel” werben, sollten wir Kunden lieber unsere Daten lieben und dort einkaufen, wo es sicher ist. Fragen Sie doch mal an der Kasse nach Datenschutz und Datensicherheit!

geschrieben von Holger \\ tags: Datenschutz, Diebstahl, EC-Kartenbetrug, Handel, Kreditkartendaten, Missbrauch, Sicherheit, Skimming, Verluste

Beinahe täglich erreichen uns Meldungen über neue Datendiebstähle. Letzter Höhepunkt war die Meldung des Datenklaus aus den Bildertauschbörsen des Lebensmittelhändlers REWE. Besonders prekär, weil zum einen ein Teil der Daten von den Hackern veröffentlicht wurde und zum anderen, weil es sich beiden Nutzern dieser Webseite größtenteils um Kinder gehandelt haben dürfte. Noch ärgerlicher ist, dass Rewe diese Sicherheitslücke gut eine Woche vor dem Diebstahl  zunächst per Mail, dann öffentlich gemeldet wurde.

Aber wie kommt es zu diesen vermehrten Sicherheitslecks? Sind immer mehr kriminelle Hacker mit aufwendigstem Equipment am Werk, die auch die kleinste Lücke finden? Eher nicht. In der Mehrzahl der bekannt gewordenen Fälle brauchten die Täter kaum mehr als einen Browser und die Sicherheitslücken, die sie ausnutzen, sind seit einem Jahrzehnt bekannte Fehlerquellen, die durch schlampige Programmierung immer wieder entstehen.

Ein Beispiel: Sie sind im Kundenbereich eines Webshops, also da, wo man die Adresse und evtl. das Passwort ändern kann. Sie sehen in der Adressezeile Ihres Browsers eine Zeile wie diese “http://www.shop.de/kundendaten.php&12345″ und sie erkennen, dass die Zahl 12345 Ihre Kundennummer ist. Jetzt werden Sie neugierig und ändern die Zeile, in dem Sie eine andere Kundennummer angeben. Die Shopssoftware müßte das abwehren bzw. Benutzername und Passwort dieses Kundenabfragen. Aber aufgrund fehlerhafter Programmierung geschieht das nicht, die Webseite zeigt Ihnen einfach die Kundendaten eines fremden Kunden an. Klingt unglaublich? Auf diese Art und Weise sollen der Citibank in den USA mehr als 200.000 Kundendatensätze mit Kredikartendaten gestohlen worden sein. [Artikel auf heise-online]

Die Mehrzahl aller Angriffe erfolgt über sogenannten SQL-Injections. Das kann theoretisch bei allen Webseiten funktionieren, die mit Datenbanken arbeiten. Das Grundprinzip ist auch hier einfach: Man schummelt dem System einen oder mehrere Datenbankbefehle unter. Die Möglichkeit hierzu besteht bei Dateneingaben oder auch über die URL, die Adresszeile im Browser. Ziel ist es meist, durch eine solche Attacke eine eigene Datei auf den fremden Server zu laden, mit deren Hilfe man dann Zugriff auf das System erhält. Wie das genau funktioniert, ist im Web hundertfach nachlesbar, teilweise in Kochbuchmanier mit genauen Anweisungen zum Nachmachen. Auf Links zu solchen Seiten verzichte ich aus nachvollziehbaren Gründen.

Solchen Angriffen kann man leicht einen Riegel vorschieben, in dem man Dateneingaben auf unzulässige Zeichenfolgen filtert. Ähnlich wird es auch mit der URL gemacht. Aber da die meisten Programmierer erst die gewünschten Funktionen programmieren und die Sicherheitsmaßnahmen erst nachrüsten, wenn der Rest funktioniert, bleibt die eine oder andere Lücke. Besonders gefährdet sind Webseitenbetreiber mit Software “von der Stange”, also Lösungen wie Joomla, Typo, WordPress oder ähnlichem. Zwar ist diese Software an sich sehr sicher und evtl. bestehende Lücken werden schnell geschlossen, aber das gilt nur die Grundsoftware und die ganze gängigen Plugins oder Addons. Viele andere Erweiterungen enthalten hin und wieder Fehler, die erst Monate nach Entdecken behoben werden. Oder unter Umständen gar nicht, weil der ursprüngliche Autor sich nun anderen Hobbies zugewandt hat. Glauben Sie nicht, dass solche Lücke nicht ausgenutzt werden können. In sogenannten Exploit-Datenbanken kann gezielt nach fehlerhaften Erweiterungen gesucht werden. Dank google ist das Auffinden von Webseiten, wo genau diese fehlerhafte Software genutzt wird, leichter als man denkt. Beim Bundesligisten Schalke 04 z.B. nutzen Unbekannte im Jahr 2009 gleich zweimal eine Sicherheitslücke des dort eingesetzten Contentmanagementsystems Typo aus, die jeweils nur einen Tag bekannt war.

Man hat den Eindruck, dass trotz solcher Vorfälle, die durch sämtliche Medien gingen, sich in vielen Firmen wenig getan hat. Die Liste der Firmen, denen allein in diesem Jahr Kundendaten abhanden kam, ist beängstigend lang und es sind viele bekannten und renomierte Firmen dabei. Noch erschreckender ist dabei, dass einigen Firmen nicht zum ersten Mal die Kundendaten gestohlen wurden, wie zum Beispiel dem Computerversender K&M, also einer IT-Firma, der man das Knowhow zum sicheren Betrieb von Servern durchaus zutraut.

Die wichtigste Grundregel gegen Datenklau ist die gleiche Regel, die man auch beim heimischen PC beherzigen sollte: Software immer auf dem neuesten Stand halten, Sicherheitsupdates SOFORT einspielen. Und bei selbstentwickeltem Code immer prüfen (oder prüfen lassen), ob die gängigen Hackmethoden abgefangen werden.

Solange diese bekannten Erkenntnisse aber ignoriert werden, dauert die “Ausbildung” zum erfolgreichen Hacker nur einen Nachmittag und wir lesen weiter von jeder Menge Daten, die geklaut wurden.

geschrieben von Holger \\ tags: Datenklau, Datenschutz, Hacker, Handel, Kreditkartendaten, Meinung, Server, Sicherheitslücken, SQL Injection, Updates

Was für eine Woche für den Datenschutz oder sollte man besser schon Datensorglosigkeit sagen?

Erst die große Aufregung über Apples obskure Positionsdatenbank auf iphones, ipads und auch unverschlüsselt auf dem PC, wenn man sein Mobilgerät mit itunes synchronisiert hat. So völlig neu war die Datenbank mit Positionsdaten von WLAN- und UMTS-Sendern nicht, allerdings hatte Apple bislang auch US-Abgeordneten auf Nachfrage verschwiegen, dass diese Daten auch einen Zeitstempel enthalten.

Und nun der Gau. Nein, sicherlich sogar ein Supergau. Sony´s Playstation Network wurde gehackt. Und der oder die Täter haben Kundendaten von ca 77 Millionen Teilnehmern klauen können. Wie genau das passieren konnte, ist noch unbekannt. Sony läßt diesen Fall auch extern untersuchen.

Die Folgen dieses Datenklaus sind gravierend. Im günstigsten Fall sind nur die Adressen und Mailadressen von 77 Millionen Kunden im Umlauf. Die Kundenpasswörter waren verschlüsselt gespeichert. Aber dieser Schutz ist schwach, wenn kurze Passwörter verwendet wurden. Für die betroffenen Kunden, die evtl. das gleiche Passwort auch für andere Dienste genutzt haben, heißt es nun, so schnell wie möglich alle Passwörter zu ändern. Viel schwerwiegender sind die Kreditkartendaten, die ein Teil der Kunden im Playstationntwork hinterlegt hat. Diese Kunden haben nun ein schwerwiegendes Problem. Zwar kann man in Mißbrauchsfällen die Beträge zurückfordern, aber wie sollen sie nun verhalten? Melden sie Ihrer Bank das Problem und lassen die Karte sperren, so bleiben sie vermutlich auf den Kosten für eine Ersatzkarte sitzen. Melden Sie den Diebstahl der Daten nicht, könnte die Bank ihnen in späteren Schadensfällen vertragsbrüchiges Verhalten vorwerfen und die Regulierung des Schadens verweigern. Sony informiert aktuell die Kunden des Playstation Networks und sollte sich für die Kreditkartenkunden schnell eine kulante Lösung einfallen lassen. Für Sony kam nach den Erdbeben in Japan nun das ganz persönliche Beben, das sie möglicherweise mit dem Versuch, sämtliche Geräte mit modifizierter Firmware von Network auszuschließen, erst angeregt haben.

Noch ist völlig unklar, welche Motive hinter dem Angriff stecken und ob die Daten das eigentliche Ziel des Angriffes waren. Andererseits spielt es auch keine Rolle, die Daten existieren nun in den Händen Unbefugter und es ist zu befürchten, dass sie früher oder später in kleinen Tranchen in Umlauf geraten, also an andere Kriminelle verkauft werden. Keine schönen Aussichten. Willkommen im Jahr 2011, im Jahr der Datensorglosigkeit…

geschrieben von Holger \\ tags: Apple, Biebstahl, Datenschutz, Datensorglosigkeit, Kreditkarte, Kreditkartendaten, Mißbrauch, Playstation, Sony