Krypto e.V.

Im Interview mit der “Tageszeitung” hat sich BKA-Präsident Jörg Ziercke dafür ausgesprochen, private Computer über das Internet zu durchsuchen. Die dafür notwendigen Maßnahmen würden keine Sicherheitslücken ausnutzen und seien unter anderem zur Terrorbekämpfung notwendig.

“Eine polizeiliche Online-Durchsuchung ist kein Hacking”, sagte Ziercke im Gespräch mit der taz. Es sei nicht geplant, auf breiter Front Sicherheitslücken auszunutzen, wie dies Hacker tun würden. Vielmehr würde das Verfahren nur gegen vermeintliche Straftäter gezielt eingesetzt: “Die Online-Durchsuchung ist dagegen ein polizeiliches Werkzeug, das im Einzelfall gegen tatverdächtige Schwerstkriminelle zum Einsatz kommen kann – kontrolliert und hochprofessionell.” Zu den technischen Einzelheiten des auch als “Bundestrojaner” bezeichneten Prozederes wollte sich Ziercke nicht äußern.

Der BKA-Chef stellte jedoch die dringende Notwendigkeit solcher Maßnahmen heraus, da bei Verdächtigen inzwischen, so Ziercke, “Kryptierungsprogramme” zum Einsatz kämen, die sich kaum knacken ließen. Deshalb müsse man die Daten vor der Verschlüsselung auf dem Rechner des Verdächtigen einsehen können.

Eine physische Hausdurchsuchung reicht laut Ziercke allein nicht aus: “Offene Maßnahmen sind auch wenig geeignet bei der Bekämpfung von Netzwerken des Terrorismus und der organisierten Kriminalität. Eine Beschlagnahme würde die noch unerkannten Täter des Netzwerks warnen.” Zudem würden manche Informationen gezielt auf Webserver ausgelagert und die Wege dieser Daten ließen sich an einem beschlagnahmten Rechner nicht immer nachvollziehen, meinte der BKA-Präsident.

Den vielfach befürchteten Eingriff in die Privatspähre von Internetbenutzern sieht Jörg Ziercke so nicht kommen. Es sei geplant, dass man durch den Einsatz von nicht näher bezeichneten “Schlüsselbegriffen” private Daten gar nicht einsehe. Zudem soll die Online-Durchsuchung wie auch eine Hausdurchsuchung durch einen Richter genehmigt werden müssen.

Bis Ende 2007 werden sich allein in den USA rund zwei Mrd. sensible Datensätze in den Händen von unbefugten Personen befinden. Zu dieser Schätzung kommen Wissenschaftler der University of Washington in einem Bericht, der in der kommenden Ausgabe des “Journal of Computer Mediated Communication” veröffentlicht wird. Als Grundlage der Analyse dienten den Forschern 589 gemeldete Vorfälle von Datenverlusten, die zwischen den Jahren 1980 und 2006 stattgefunden haben. Als Hauptverantwortliche haben die Forscher allerdings nicht gezielte Aktivitäten von Cyberkriminellen ausgemacht, sondern schlichtweg die Nachlässigkeit von Unternehmen und Anwendern.

“Was den sicheren Umgang mit Daten betrifft, hängt letztlich sehr vieles einfach vom Verhalten des einzelnen Mitarbeiters ab”, bestätigt Trend-Micro-Sicherheitsexperte Rainer Link die Problematik. Neben den obligatorischen Sicherheitsvorkehrungen wie Authentifizierungs- und Verschlüsselungsmethoden, die im Falle von Diebstahl und Verlust von Hardware und Datenträger zum Tragen kommen, müssten Mitarbeiter für den sorgsamen Umgang mit Daten sensibilisiert werden.

In dem für die Studie beobachteten Zeitraum sind in den USA zumindest 1,9 Mrd. Datensätze in falschen Händen gelandet, was umgerechnet etwa neun persönlichen Datensätzen pro US-Erwachsenem entspricht. Als besonders besorgniserregend werten die Forscher zudem den Umstand, dass allein in den Jahren 2005 und 2006 mehr Vorfälle zu verzeichnen waren als die 25 Jahre vorher zusammen. Der größte Anteil an verlorenen oder kompromittierten persönlichen Datensätzen geht dem Bericht zufolge auf Unternehmen zurück, die traditionell mit großen Datenmengen zu tun haben. Aber auch Organisationen und Ausbildungsstätten wie Universitäten und Schulen sind zunehmend von derartigen Datenverlusten betroffen.

Mehr als sechzig Prozent der Vorfälle gehen dabei nicht auf Angriffe von außen sondern auf Unachtsamkeiten der Datenverwalter zurück. So zählen sowohl das versehentliche Online-Stellen von Daten, das Verlieren von Hardware und Datenträgern sowie andere Verwaltungsmissverständnisse zu den häufigsten Ursachen für den steigenden Datenverlust. Den Studienerstellern zufolge geraten monatlich derzeit etwa sechs Mio. persönliche Daten in falsche Hände. Aufgrund der weiter steigenden Tendenz erwarten sich die Wissenschaftler, dass die Zwei-Mrd.-Daten-Grenze bereits Ende 2007 geknackt wird. Die Autoren fordern daher Unternehmen auf, ihre Verantwortung stärker als bisher wahrzunehmen und dafür zu sorgen, dass Daten nicht in unkontrollierten Umlauf gelangen.

“Im Grunde ist es schon brisant, im Flugzeug auf dem Laptop unternehmenskritische Daten zu betrachten, ohne zu wissen, ob neben oder hinter mir nicht ein Mitbewerber sitzt”, so Link. Im Sinne eines funktionierenden Sicherheits-Netzwerkes müssten sich auch alle Mitarbeiter bis hin zum Geschäftsführer an die gleichen Regeln halten. “Ausnahmen sind immer problematisch. Zum einen wegen der realen Gefahr des Datenverlusts, zum anderen auch wegen der Vorbildwirkung für andere Mitarbeiter”, so Link abschließend.

Nach einer Anfrage der FDP hält die Bundesregierung schon bisher Online-Durchsuchungen ohne ausdrückliche gesetzliche Grundlage für rechtmäßig. Der FDP-Innenexperte Hartfrid Wolff hatte eine parlamentarische Anfrage an die Bundesregierung gestellt. Der erklärte nun zusammen mit der innenpolitischen Sprecherin der FDP-Bundestagsfraktion Gisela Piltz, dass die Regierung die Öffentlichkeit in der Diskussion um Online-Durchsuchungen bisher getäuscht habe.

Auf die Frage nach der gesetzlichen Grundlage zu den von Bundesinnenminister Schäuble verlangten Online-Durchsuchungen hatte die Bundesregierung erklärt, das Bundesamt für Verfassungsschutz habe schon jetzt das Recht zu Online-Durchsuchungen.

Die Regierung bezieht sich dabei auf § 8 Abs. 2 des Bundesverfassungsschutzgesetzes. Dessen Wortlaut benennt zulässige Methoden der Informationsbeschaffung, sieht ausdrücklich allerdings keine Online-Durchsuchungen vor.

Ob das als rechtliche Grundlage ausreicht, ist mehr als zweifelhaft, wie das Innenministerium ja auch sofort einräumte, so die FDP-Politiker. Mit der Antwort erwecke die Bundesregierung allerdings den Verdacht, dass sie umfangreicher als bisher zugegeben Online-Durchsuchungen praktiziert habe, ohne dass eine ausreichende gesetzliche Grundlage dafür existiert, kritisierte die FDP.

Die Oppositionspartei hält es für einen Skandal und behauptet, dass die Bundesregierung die Öffentlichkeit über ihre Haltung zu Online-Durchsuchungen in einem wesentlichen Punkt getäuscht  habe. Quelle: Golem.de

Die Pläne des Bundesinnenministeriums, verdeckte Online-Durchsuchungen durchzuführen, stoßen auf massive Kritik aus der IT-Sicherheitswirtschaft. Die in der Exportinitiative “IT Security made in Germany (ITSMIG)” zusammengeschlossenen 34 deutschen Anbieter lehnen die Pläne aus dem Innenministerium einhellig ab.

In dem Verband sind zahlreiche namhafte Unternehmen wie Funkwerk, IGEL, Infineon, Kobil, LANCOM, Siemens Business Services u.a. vertreten. “Schon allein die Diskussion, ob in Deutschland auf Computerfestplatten die Kernbereiche privater Lebensführung vom Staat durchschnüffelt werden dürfen, schadet uns nachhaltig im Ausland”, so Frank Fuchs, Sprecher des Steuerkreises von ITSMIG und CEO von Softpro.

“Wir erhalten aus dem Ausland zunehmend Anfragen, weshalb Deutschland nun gleiche Methoden anwenden wolle, wie man sie bisher nur anderen Staaten unterstellt”, so Fuchs weiter. Welche “anderen” Staaten damit gemeint sind, sagte Fuchs nicht.

Übereinstimmend berichten die Mitglieder, dass bereits das Bekanntwerden der Pläne die deutsche IT-Sicherheitsbranche und die Herkunftsbezeichnung “Made in Germany” diskreditiert sowie deren Vertrauenswürdigkeit beschädigt. “Dass der deutsche Staat uns in seiner Überwachungsgier nun einen “Bundestrojaner” unterjubeln will, ist katastrophal”, so Antonius Sommer, ebenfalls Mitglied im Steuerkreis der Initiative und Geschäftsführer der TÜV Informationstechnik.

Nach Ansicht der Initiative widersprechen verdeckte Online-Durchsuchungen dem Geist der im Juni 1999 von der damaligen Bundesregierung beschlossenen Eckpunkte der deutschen Kryptopolitik. Darin hat die Bundesregierung zum Ausdruck gebracht, dass sie in der Verwendung sicherer Verschlüsselung eine entscheidende Voraussetzung für den Datenschutz der Bürger und für den Schutz von Unternehmensgeheimnissen sieht und Maßnahmen ergreifen wird, um die internationale Wettbewerbsfähigkeit deutscher Hersteller von sicheren Verschlüsselungsprodukten zu stärken.

Die Mitglieder von ITSMIG warnen das Bundesinnenministerium eindrücklich davor, das Image deutscher Produkte im Ausland aufs Spiel zu setzen. Anbieter aus den USA hätten schon längst das Problem, glaubwürdig zu versichern, dass bei ihren Produkten die US-Behörden nicht mithören.  Quelle: Golem.de

Statt Datenschutz als bürokratisches Hindernis anzusehen, sollte der Staat vielmehr fragen, wie er den Bürger vor einer überbordenden Überwachung schützen kann. So formulierte der Bundesbeauftragte für den Datenschutz, Peter Schaar, bei der Konferenz Datenschutz und Datensicherheit in Berlin seine Vorstellung davon, wie die Regierung darauf reagieren sollte, dass Technologien “uns immer überwachbarer machen”.

“Lernprozesse sind mühsam, wenn man schon etwas älter ist”, sagte Schaar, “aber auch einem älter werdenden politischen System sollte man sie nicht ersparen.” Er betonte, nicht der Ansicht zu sein, Deutschland habe sich zu einem Überwachungsstaat entwickelt. Wir bewegten uns aber hin zu einer Überwachungsgesellschaft, in der technologische Entwicklungen dazu führten, dass wir es nicht mit einem identifizierbaren Bösen zu tun hätten, sondern mit zahlreichen Faktoren, die die Kontrolle über Datenflüsse immer schwieriger machten. So werde bei der CeBIT in Kürze viel von “Virtualisierung” von Computeranwendungen die Rede sein. Dabei sei es immer schwerer zu erkennen, ob Daten “auf dem eigenen Rechner verarbeitet werden oder in Schanghai”, beschrieb Schaar die damit verbundenen Probleme.

Insgesamt tendierten wirtschaftliche, aber auch politische Triebfedern aus verschiedenen Gründen dazu, immer mehr an Überwachung zu installieren. Das könne die Überwachung von Geschäftsprozessen sein, so Schaar, aber auch der “Kampf gegen den internationalen Terrorismus – da frage ich: wo ist eine Gegenstrategie?” Sie könne nur in einer “Ethik der Informationsgesellschaft” liegen: “Wir müssen Wertentscheidungen treffen über die Frage, was dürfen, was wollen wir machen?” Das sei überhaupt keine neue Fragestellung, denn der Atombombe oder der Gentechnologie werde sie bereits seit langer Zeit gestellt, aber eben viel zu selten bei Debatten um Informationstechnologie.

Dabei seien die Eckpunkte durchaus festgelegt: der absolute Schutz des Kernbereichs privater Lebensgestaltung, der im Urteil des Bundesverfassungsgerichts zum Lauschangriff festgelegt wurde, oder durch die Einschränkungen, nicht in jeder Breite Daten erheben und auswerten zu dürfen, was dem Urteil zur Rasterfahndung zu entnehmen sei.

“Sowohl im Recht als auch in der Technik müssen wir Konsequenzen ziehen und uns fragen, ob Entscheidungen gerechtfertigt sind – egal, wie gut sie wirtschaftlich, sozialpolitisch oder anders begründbar sind -, oder ob sie zurückgefahren werden sollten”, forderte Schaar. Deutschland habe die Gelegenheit, darüber zu reden, wie einen Gesellschaft aussehen sollte, und ob wir nicht zu weit gehen, denn “wir leben nicht in einem totalitären Überwachungsstaat, denn der braucht keine und muss auch kein Verfassungsgericht fürchten.” Quelle: Golem.de

Vor dem Hintergrund der zunehmenden Phishingangriffe kritisiert die Gesellschaft für Informatik e.V. (GI)  die Unsicherheit des iTAN-Verfahrens im Onlinebanking. Nach Auffassung der Experten hat das vor zwei Jahren eingeführte – und kurz darauf geknackte – iTAN-Verfahren das Sicherheitsniveau kaum verbessert. “Die grundsätzliche Schwachstelle aller webbasierten Transaktionsverfahren bleibt bestehen”, moniert Hartmut Pohl, Sprecher des GI-Arbeitskreises “Datenschutz und IT-Sicherheit”, im Gespräch. “Die iTAN bringt kein Mehr an Sicherheit sondern suggeriert sie nur.” Pohl fordert vermehrte Aufklärungsarbeit seitens der Banken.

Diese Tatsache sei Fachleuten seit langem bekannt, ohne dass sich die Sparkassen- und Bankenwelt zu der unverzichtbar notwendig breiten Information der Öffentlichkeit bereit gefunden habe, meint Pohl. Beim iTAN-Verfahren wird im Gegensatz zur TAN-Methode ein bestimmter Code vom Bankkunden gefordert. Dafür sind die TANs mit so genannten Indizes durchnummeriert. Bei der Einleitung einer Transaktion wird der Kunde mit der Angabe einer Nummer aufgefordert, einen bestimmten TAN einzugeben. Begründet wurde dieses kompliziertere Verfahren mit dem besseren Schutz vor Phishing-Angriffen, bei denen ein Angreifer über eine gefälschte Webseite eine TAN abfangen und dann selbst verwenden kann.

An sich kann ein Betrüger, der einen iTAN in die Hände bekommt, damit nichts anfangen. Es sei denn, der Phisher positioniert sich im Rahmen eines man-in-the middle-Angriffes zwischen dem Kunden und seiner Onlinebank. Dazu schiebt er dem Benutzer eine gefälschte Webseite unter, fordert vertrauliche Daten an, fängt diese ab und setzt sie umgehend zur Freigabe einer Überweisung ein. Vor diesen Angriffen kann sich der Kunde durch Aufmerksamkeit und Vorsicht bei seinen Onlinebankgeschäften schützen.

Von den Banken fordert Pohl mehr Transparenz. “Die Erläuterungen zur iTAN von Seiten der Banken sollten den eher begrenzten Beitrag der iTANs zur Sicherheit präzise darstellen und unmissverständlich klarstellen, dass es keine Sicherheit ohne die penible Beachtung wichtiger Regeln geben kann”, fordert der Experte. Zwei Punkte sind dabei laut Pohl besonders zu beachten: Der Computer darf nicht durch Trojaner verseucht sein und die Kunden müssen das vom Browser angezeigte Zertifikat der Banking-Webseite überprüfen. Dies ist der Nachweis, dass die https-Verbindung tatsächlich mit der eigenen Bank hergestellt ist und nicht mit einer Phishing-Webseite. “Wenn die Verschlüsselung zwischen Bankserver und Kunden-PC funktioniert, ist ein man-in-the middle-Angriff wirkungslos”, so Pohl.