Krypto e.V.

Informationen über Online-Beziehungen zwischen Nutzern von Social-Networking-Angeboten, sogenannte Social Graphs, werden für verschiedene Zwecke weitergegeben. Dabei werden die Daten anonymisiert, um die Privatsphäre der Anwender zu schützen. Doch dieser Schutz ist unzureichend, so zwei Informatiker der University of Texas in Austin. In der Studie “De-Anonymizing Social Networks” stellen sie einen Algorithmus zur Re-Identifikation von Usern vor. Als Praxisbeispiel diente ihnen ein De-Anonymisierungsangriff auf das Microblogging-Service Twitter. Ein Drittel aller Twitter-Nutzer, die auch einen Flickr-Account haben, konnte im anonymisierten Twitter-Graph erfolgreich identifiziert werden. “Das ist Wasser auf unsere Mühlen, höhere Anforderungen an Betreiber zu stellen”, meint Andreas Poller vom Fraunhofer-Instituts für Sichere Informationstechnologie (SIT).

Der Algorithmus der Informatiker Arvind Narayanan und Vitaly Shmatikov versucht, im anonymisierten Datensatz Nutzer mithilfe eines Hilfsdatensatzes zu identifizieren. Dazu sucht er nach ähnlichen Strukturen in den Beziehungen zwischen Nutzern. Zwar sind dabei als Grundlage genaue Informationen über einige Dutzend Mitglieder des angegriffenen Netzwerks erforderlich (“Seeds”). Diese seien in der Praxis aber leicht zu bekommen, so die Forscher – etwa durch eine eigene, reale Mitgliedschaft, über kompromittierte Computer oder mittels leicht identifizierbarer, falscher Profile. Im Experiment mit Twitter als Angriffsziel und Flickr als Hilfsdaten konnten bei nur 150 Seeds 30,8 Prozent der Nutzer automatisch korrekt re-identifiziert werden. Weitere fünf Prozent wurden zwar fehlidentifiziert, allerdings mit Personen in direkter Beziehung zum eigentlichen Nutzer. Der menschliche Angreifer könne die De-Anonymisierung hier wohl meist korrekt vollenden, so die Forscher.

Große anonymisierte Datensätze können aus verschiedenen Gründen weitergegeben werden, etwa für Drittentwickler, die Anwendungen bereitstellen, als Forschungsmittel für Soziologen oder auch für Marketing-Zwecke. Interesse an der De-Anonymisierung könnten den texanischen Forschern zufolge etwa spionierende Behörden, Cyberkriminelle oder auch unethische Marketer haben. Die Informatiker sind der Ansicht, dass ein effektiver technischer Schutz vor ihrem Algorithmus gar nicht möglich wäre. Daher fordern sie, dass Betreiber von Social Networks sich nicht auf Anonymisierung als Allheilmittel in Sachen Privatsphäre verlassen. Auch sollten sie Nutzer über die Weitergabe von Daten informieren und einen Widerspruch dagegen ermöglichen. “Anonymisierung ist zwar gut, aber nicht als alleiniges Mittel zum Schutz der Privatsphäre”, meint auch Poller. Er hatte im September eine Studie dazu veröffentlicht, wie Social Networks die Privatsphäre gefährden.

“Die Möglichkeit, einen anonymisierten Datensatz derartig zu de-anonymisieren, war bereits bekannt”, betont Poller. Der Ansatz, dabei auf einen Hilfsdatensatz mit persönlich identifizierenden Informationen zurückzugreifen, sei gängig. Die Annahme, dass Freundesnetzwerke in verschiedenen Netzen ähnliche Strukturen haben und eben das für den Angriff zu nutzen, sei ihm aber zuvor nicht untergekommen, so Poller.

Eine Studie des Sicherheitsberatungsunternehmens IOActive hat gezeigt, dass die “Smart Grid” genannten intelligenten Stromschalter eine Gefahr für das Stromnetz darstellen können. Ein Smart Grid ist eine Art kleiner Computer, der in ein Stromnetz eingebaut werden kann, um Strom zu sparen. Kunden und Stromversorger bekommen dadurch eine bessere Kontrolle darüber, wie viel Strom sie verbrauchen. Die Studie von IOActive hat nun jedoch gezeigt, dass diese Technologie sehr anfällig für Hacker ist und dadurch die Stabilität des gesamten Stromnetzes gefährden könnte, berichtet IDG New Service. Der Bericht ist nicht öffentlich verfügbar und wird aus Sicherheitsgründen voraussichtlich unter Verschluss bleiben. Viele der getesteten Geräte sind bereits im Einsatz und eine Veröffentlichung würde die Gefahr eines Hackerangriffs zu sehr erhöhen.

Die Forscher haben einen Wurm programmiert, der sich schnell von einem zum nächsten Smart-Grid-Gerät weiter verbreiten kann, da diese oft kabellos kommunizieren. In den Händen eines Hackers könnte dieser Code dazu verwendet werden, um den Strom für den Teil des Netzes abzuschalten, für den das jeweilige Smart-Grid-Gerät zuständig ist. Diese Geräte haben eine Funktion namens “Remote Disconnect”, die eigentlich dazu da ist, den Stromversorgern zu ermöglichen, die Stromversorgung eines Kunden über das Netz abzuschalten. Diese Funktion kann aber laut den Ergebnissen der Forscher ohne allzu großen Aufwand manipuliert werden und zu einem großflächigen Stromausfall führen. Laut Sicherheitsexperten würde lediglich Equipment im Wert von 500 US-Dollar und Grundlagenwissen über Elektrotechnik für die Manipulation benötigt werden.

Brisant sind die Ergebnisse der Studie vor allem deshalb, weil die Verbreitung von Smart Grids durch das US-Konjunkturpaket gefördert werden soll, um die Energieeffizienz des Stromnetzes zu erhöhen. Die Sicherheit des US-amerikanischen Stromnetzes ist ein viel diskutiertes Thema. 2003 hat ein Stromausfall, der durch einen technischen Defekt ausgelöst wurde, 55 Mio. Menschen in den USA und Kanada betroffen. Dass ein großflächiger Stromausfall auch von Hackern verursacht werden könnte, wird von vielen Seiten befürchtet. Vergangenes Jahr hat die CIA bestätigt, dass Kriminelle sich über Internet in die Stromnetze von Städten außerhalb der USA gehackt und Stromausfälle verursacht haben. IOActive rät den Herstellern von Smart Grids, ihre Geräte in Zukunft besser zu testen, bevor sie in noch höherer Zahl eingesetzt werden.

Privatsphäre im Netz ist für die überwiegende Mehrheit der Internetnutzer ein bedeutendes Thema. Über 90 Prozent der US-User bewerten die Online-Privatsphäre als “wichtige” oder zumindest “einigermaßen wichtige” Angelegenheit, so das Ergebnis einer Untersuchung von Truste. Die Organisation verfolgt die Datenschutzpraktiken von Webseiten von großen Internetfirmen wie Google oder Yahoo. “Der Wert deckt sich mit meinen Erfahrungen, wobei es bei Umfragen stets auf die Art der Fragestellung ankommt. Es zeigt sich allerdings, dass nicht 90 Prozent der Nutzer, sondern sehr viel weniger eine Datenschutzkonfiguration ihrer Accounts vornehmen, deren Standardeinstellungen üblicherweise nicht datenschutzfreundlich sind”, kommentiert Marit Hansen, stellvertretende Leitern des Unabhängigen Landeszentrums für Datenschutz (ULD), die Untersuchung.

Laut der Studie fühlen sich nur 28 Prozent der User wohl dabei, dass Unternehmen zielgerichtete Werbung im Netz schalten, die sich am persönlichen Surfverhalten orientiert. Über die Hälfte der Befragten gab an, dies ausdrücklich als unangenehm zu empfinden. 75 Prozent stimmten der Aussage zu, das Web sei nicht gut reguliert und naive User könnten leicht ausgenutzt werden. “Auf die Spitze getrieben wird das Problem dann, wenn man sich überlegt, wie Daten, die man selbst oder andere über einen veröffentlicht haben, einen vielleicht Jahre später in ein unerwünschtes Licht rücken können”, meint Hansen. Daher sei sowohl eine Verbesserung der Medienkompetenzen als auch eine Weiterentwicklung im juristischen Bereich sowie nicht zuletzt ein besserer Selbstschutz der Nutzer notwendig.

Die Untersuchung kommt zu einem Zeitpunkt, da das Thema Privatsphäre im Internet bereits heftig diskutiert wird. Aktionen wie Facebooks AGB-Änderungen oder die Einführung interessenbasierter Anzeigen von Google sorgten in den vergangenen Wochen regelmäßig für Diskussionsstoff und Warnungen seitens der Datenschützer. Im Fall von Facebook waren die Proteste der Nutzer letztlich so vehement, dass das soziale Netzwerke – zumindest vorerst – zu seinen alten Nutzungsbedingungen zurückkehrte. Google wiederum versuchte Kritikern bereits von vornherein den Wind aus den Segeln zu nehmen und führte gleichzeitig zu den neuen Anzeigen auch ein Online-System ein, dass den Usern mehr Transparenz und Kontrolle über die personalisierte Werbung ermöglicht.

Obwohl die Thematik Datenschutz und Online-Privatsphäre laut der Studie zwar vielen Menschen am Herzen liegt, wissen offenbar nur wenige tatsächlich darüber Bescheid, wie sie sich im Netz richtig schützen können. “Es scheint hier eine Trennung im Bewusstsein zu geben”, sagt Alissa Cooper, Chief Computer Scientist beim Center for Democracy and Technology, gegenüber der New York Times. Die Konsumenten wüssten wohl nicht, wie viele Daten gesammelt und welche Daten gesammelt würden. Es gebe zwar ein hohes Verständnis allgemein, aber nicht ausreichen dafür, dass die User eine “informierte Wahl” treffen könnten. Das bestätigt auch Hansen auf Nachfrage: “Viele haben keine Vorstellung davon, was mit ihren Daten online geschehen kann. Vielen ist auch nicht bekannt, dass sie Datenspuren hinterlassen und wie aussagekräftig diese sind.”

So gaben auch nur 15 Prozent der von Truste Befragten an, die Nutzungsbedingungen zum Thema Privatsphäre auf den Webseiten zu lesen. Weniger als die Hälfte schauen überhaupt regelmäßig nach, ob die Seiten derlei Privatsphäre-Bestimmungen auf ihren Plattformen anführen. Um im Web möglichst anonym zu bleiben, bedienen sich 41 Prozent eines Browsers, der Cookies und die Web-History löscht. Etwa genauso viele setzen spezielle Software ein, um das Netz anonym nutzen zu können. Während etwas mehr als die Hälfte der User mehr Verantwortung seitens der Regierung sehen will, sprechen sich 75 Prozent für Selbstverantwortung zum Schutz der persönlichen Daten aus.

Der Onlinekommunikationsdienst Web.de hat mit dem “Web.de Navigator” auf sein neuestes Produkt vorgestellt. “Über den Navigator lässt sich die gesamte Internet-Kommunikation an einer Stelle sicher bündeln”, sagt Jan Oetjen, Geschäftsführer von Web.de. Oetjen ortet vor allem im laschen Umgang der User mit Benutzernamen und Passwörtern eine große Gefahr des Mitmachwebs. “Die Nutzer geben in den Profilen bei sozialen Netzwerken sehr viele Daten an, schützen diese jedoch gleichzeitig mit äußerst unsicheren Passwörtern. Eine ganze Generation läuft hier leichtfertig ins offene Messer”, sagt Oetjen.

Das Passwortmanagement erweist sich für viele User als schwierige Aufgabe. “Der Großteil verwendet ein und dasselbe Passwort für eine Vielzahl an Diensten – sei es das E-Mail-Konto, verschiedene soziale Netzwerke, Instant Messenger oder andere Web-2.0-Applikationen. “Darüber hinaus sind diese Kennwörter meist alles andere als sicher”, so Oetjen. Die Hitliste der beliebtesten Passwörter der Deutschen wird von 12345, 4711, Schatz, Sommer, Baby oder Berlin angeführt. Das Passwortproblem rühre daher, dass User einfach sehr viele Online-Accounts haben und sich nicht für jeden Dienst ein eigenes Passwort merken wollen, so der Web.de-Chef. Außerdem würden Empfehlungen, wie ein sicheres Passwort erstellt werden kann, zumeist missachtet.

“Das Web 2.0 hat mittlerweile ein massives Sicherheitsproblem”, stellt Oetjen fest, der ein klares Nutzerbedürfnis für die Zentralisierung der Verwaltung und des Zugriffs auf Onlinekonten sieht. Das Web 2.0 habe das Internet interaktiver und interessanter gemacht. Die User sind aktiver geworden, gleichzeitig ist jedoch ein gewisses Chaos entstanden, das wir mit dem Navigator ordnen wollen”, so Oetjen. Mit dem Navigator bietet das Unternehmen die Möglichkeit zur Zusammenführung verschiedener Kommunikationsangebote im Web. Von dem zentralen Portal aus kann der User seine Netzwerke anwählen und direkt einsteigen.

Der große Pluspunkt, den Tino Anic, Head of Portal Applications bei Web.de, hervorstreicht, ist das Passwortmanagement. Über den Navigator steigt der User per Klick direkt in das gewünschte soziale Netzwerk ein. Benutzername und Passwort sind dabei hinterlegt, sodass diese Daten nicht jedes Mal erneut eingegeben werden müssen. Somit kann der User ein sicheres Passwort für jedes Service separat festlegen, muss sich dieses jedoch nicht unbedingt merken. Lediglich das Zugangskennwort für den Navigator muss der User im Kopf behalten. “Die Login-Daten sind im Navigator in verschlüsselter Form hinterlegt, wodurch es auch Hacker schwer haben, an sie zu gelangen”, sagt Anic. Diese Methode ist aus diesem Grund deutlich sicherer und ebenso bequem wie die Speicherung der Passwörter im Internetbrowser. Web.de bemüht sich zudem um eine TÜV-Zertifizierung für den Service.

“Mit dem Navigator wollen wir die nächste Phase nach Web 2.0 einleiten. Unser Service schafft Ordnung im Web-2.0-Chaos”, so Oetjen. Der Nutzer behält ständig den Überblick über die Netzwerke, in denen er sich bewegt, und über Online-Angebote, die er nutzt. Neben den Netzwerkportalen verwaltet der Navigator auch eine Reihe anderer Onlineangebote, bei denen ein Mitgliederbereich angeboten wird. Darunter befinden sich Onlineshops wie Amazon, Mitfahrbörsen oder der ADAC. Die Kooperationspartner werden von Web.de laufend erweitert, sagt Oetjen. Der Navigator startet demnächst in einer Beta-Phase, diese ist vorerst jedoch nur einem ausgewählten Nutzerkreis zugänglich.

Das Bundesamt für Sicherheit in der Informationstechnik kurz BSI, hat auf der CeBIT den Bericht “Die Lage der IT-Sicherheit in Deutschland 2009” vorgestellt. Die Bedrohungslage der IT-Sicherheit bei Verwaltungen, Unternehmen und Privatanwendern ist auf anhaltend hohem Niveau, so der Tenor des Berichtes.

“Vor allem die immer weiter voran schreitende Professionalisierung der Internetkriminalität bereitet uns Sorge”, sagt BSI-Präsident Dr. Udo Helmbrecht gegenüber VoIPphones.de. So sei die Herstellung und der Einsatz von Schadprogrammen mittlerweile international arbeitsteilig organisiert. Sie verhelfen den Kriminellen zu Gewinnen in Milliardenhöhe – und das bei vergleichsweise niedrigem Risiko.

Schadprogramme werden komplexer
Aus technischer Sicht lässt der Lagebericht 2009 im Vergleich zum vorangegangenen Bericht von 2007 einige quantitative Trends erkennen: Steigerungen sind sowohl im Aufkommen von Sicherheitslücken, die von einem entfernten Angreifer ausgenutzt werden können, als auch in der Anzahl von Denial-of-Service-Angriffen, bei denen Internetseiten lahm gelegt werden, festzustellen. Der Anteil von Spam-Mails am E-Mail-Verkehr hat sich ebenfalls weiter erhöht. Auch die Zahl von Drive-by-Downloads nimmt zu. Dabei laden Anwender praktisch “im Vorbeisurfen” unbewusst schädliche Software von manipulierten oder präparierten Webseiten herunter.

Eine qualitative Veränderung lässt sich im Aufbau von Schadprogrammen feststellen, die immer komplexer werden. Trojanische Pferde können inzwischen über eine Backdoor- und Spyware-Funktion verfügen, einen Keylogger verwenden und den befallenen Rechner zusätzlich an ein Bot-Netz anschließen. Zudem verfügen die meisten Schadprogramme über Updatefunktionen, so dass neue Programme oder Tarnmechanismen jederzeit nachgeladen werden können. Besonders diese Updatefunktionen werden von den Angreifern stets verbessert. “Zukünftig ist mit Schadprogrammen zu rechnen, die dem Betriebssystem eine virtuelle Umgebung unterschieben, so dass sie von herkömmlichen Schutzprogrammen nicht mehr entdeckt werden können”, erläutert Helmbrecht im Gespräch mit VoIPphones.de.

Freizügige Datenpreisgabe in sozialen Netzwerken
Das Bewusstsein für IT-Sicherheit ist gestiegen, Betriebssystem-Updates werden häufiger durchgeführt und IT-Sicherheitstechniken konsequenter angewendet. Sorgen bereitet jedoch der Umgang mit persönlichen Daten in den “Mitmach”-Anwendungen des Web 2.0, insbesondere in den immer populärer werdenden Social Networks. Bedenkenlos geben viele Anwender in ihren Benutzerprofilen detailliert private Informationen preis. Für Cyberkriminelle ist es dadurch einfach, in Social Networks potenzielle Opfer auszuspionieren und gezielt anzugreifen. Das Thema Web 2.0 wird daher künftig eine wichtige Rolle bei der Aufklärung und Sensibilisierung der IT-Nutzer spielen.

Der Bericht “Die Lage der IT-Sicherheit in Deutschland erscheint alle zwei Jahre. Ergänzt wird er durch Quartalsberichte des Nationalen IT-Lagezentrums beim BSI. Für Unternehmen und Verwaltungen bietet das BSI auf seiner Homepage umfangreiche Informationen zum Schutz sensitiver Daten. Dazu zählen die IT-Grundschutz-Kataloge, die IT-Sicherheitsbeauftragten als Leitfaden für ihre Arbeit dienen können. Für Privatanwender gibt es das Internetangebot www.bsi-fuer-buerger.de sowie den Warn- und Informationsdienst www.buerger-cert.de.

Die Electronic Frontier Foundation hat mit dem Projekt “Surveillance Self-Defense” (SSD) einen Online-Ratgeber gestartet, um Usern dabei zu helfen, ihre privaten Daten vor der Überwachung durch die US-Regierung zu schützen. Er umfasst Informationen zur US-Rechtslage in Sachen staatlicher Cyber-Spionage ebenso wie Tipps zur Selbstverteidigung sowohl offline als auch online. “Wir wollen den Menschen die Werkzeuge zeigen, mit denen sie Daten verschlüsseln und anonymisieren können, um sich vor staatlicher Überwachung zu schützen”, sagt EFF-Technologe Peter Eckersley. Neben allgemeinen Informationen werden dabei teils sehr spezifische Tricks vorgestellt.

Die SSD-Webseite bietet Nutzern Informationen darüber, mit welchen Mitteln sie sich gegen staatliche Cyber-Spionage schützen können. Beispielsweise gibt es Informationen über verschiedene Lösungen zur Festplatten-Verschlüsselung. Um Dateien sicher so zu löschen, dass sie auch von Computer-Forensikspezialisten nicht wiederhergestellt werden können, verweist die EFF beispielsweise auf das Windows-Tool “Eraser”, aber auch auf einen Kommandozeilentrick für Linux und UNIX. Neben dem Schutz lokaler Dateien ist auch die Sicherung der Online-Kommunikation ein Thema. In diesem Bereich stellt die EFF beispielsweise den Anonymisierungsdienst Tor vor. Tor hatte auch der Chaos Computer Club zur Umgehung der chinesischen “Großen Firewall” während der Olympischen Spiele 2008 empfohlen.

Neben der Vorstellung konkreter Werkzeuge bietet der Online-Ratgeber unter anderem Tipps dazu, wie Anwender die Sicherheitsrisiken einschätzen können, die mit ihren gespeicherten Dateien und ihrer Online-Kommunikation verbunden sind. Auch gibt es Informationen zu den besonders im Zusammenhang mit Spionage- und Terrorismusabwehr recht umfangreichen Rechten der US-Behörden und zum Umgang mit diesen Behörden. EFF-Anwalt Kevin Bankston spricht zum Projektstart von einer langen und beunruhigenden Tradition des Missbrauchs von Überwachungsrechten durch die US-Regierung. “Dennoch wissen die wenigsten Amerikaner, wie das Gesetz sie schützt und mit welchen Schritten sie sich vor staatlicher Überwachung schützen können”, so Bankston. Das soll sich mithilfe des Projekts ändern.

“Die Initiative, diese Informationen für Anwender so übersichtlich zusammenzufassen, ist sehr zu begrüßen”, meint Christian Jeitler von der Bürgerrechts-Initiative Quintessenz. Die rechtlichen Informationen seien für Anwender in Europa zwar nicht immer zutreffend, doch gerade die technischen Tipps, Werkzeuge und Tricks seien definitiv auch für Nutzer hierzulande sehr interessant. Quintessenz engagiert sich in Österreich in Sachen demokratiepolitischer Grundrechte.