Krypto e.V.

Eine Gruppe von 38 Experten aus den Bereichen Informatik, IT-Security und Datenschutzrecht hat in einem offenen Brief an Googles CEO Eric Schmidt gefordert, dass Google bei seinem Webmail-Angebot, Google Docs und Google Calendar für besseren Schutz vor Spionageattacken sorgen soll. Dazu müsse das sicherere Verbindungsprotokoll https standardmäßig immer genutzt werden. Seitens Google heißt es dazu, dass man diese Möglichkeit speziell für den Webmail-Dienst bereits prüfe. Dieses Angebot ist in Sachen https sogar ein Vorreiter, da User zumindest die Option haben, stets gesicherte Verbindungen zu nutzen und sich so vor Datendiebstahl zu schützen. Bei vielen anderen Webdiensten gibt es nicht einmal das, so die Experten.

Die Expertengruppe betont das Risiko, dass es aufgrund unsicherer Verbindungen bei Webservices zu Datendiebstahl oder anderen Manipulationen an Accounts kommen kann – etwa dem Versand unerwünschter E-Mails. Als Schutzmaßnahme können User bei Gmail zwar einstellen, dass sie immer sichere https-Verbindungen nutzen wollen. Allerdings sei das nicht bekannt genug und umständlich, so die Kritik. “Wir wissen, dass sich https für viele Power-User bewährt, die es bereits als Standard nutzen”, erwidert Alma Whitten, Software Engineer, Security & Privacy Teams, im Google Online Security Blog. Google wolle mittels einer kleinen Testgruppe unterschiedlicher Gmail-Nutzer feststellen, ob sichere Verbindungen als Standard wirklich praktikabel sind, oder die Performance unter bestimmten Umständen zu sehr leidet. Falls sich https bei diesen Tests bewährt, könnte es zum Standard für alle Gmail-User und in weiterer Folge auch bei Docs und Calendar werden.

Die Expertengruppe betont in ihrem Brief, dass auch andere Webangebote wie Microsofts Hotmail, Yahoo Mail, Facebook und MySpace für ähnliche Attacken anfällig sind wie Googles Dienste. “Am schlimmsten ist, dass diese Unternehmen ihren Kunden keinen Schutz bieten”, heißt es. Eigentlich ist Google mit seinem derzeit optionalen Schutz bei Gmail also ein Vorreiter. “Ich persönlich hoffe auch, dass diese Initiative breitere Auswirkungen nicht nur auf Google haben und weitere Briefe gar nicht erforderlich sein werden”, meint dazu Bart Jacobs, Professor für Softwaresicherheit an der Radboud University. Er ist einer der 38 Experten, zu denen unter anderem Wissenschaftler der britischen Universitäten Cambridge und Oxford, der US-Eliteuni Harvard sowie Mitarbeiter der Unternehmen AT&T und British Telecom zählen.

Dass es Nutzer geben könnte, die den Schutz durch https gar nicht wollen, darf nach Ansicht von Jacobs bei den Überlegungen zum Thema keine all zu große Rolle spielen. “Wir haben uns als Gesellschaft darauf verständigt, dass es gut ist, bestimmte Standards zu haben”, betont der IT-Security-Experte unter Verweis auf das Beispiel des Straßenverkehrs. Im Web müssten geeignete Standards und Vorschriften erst entwickelt werden, sodass es mehr Dynamik und Platz für Initiativen wie den offenen Brief an Google gäbe. “Man würde wohl Autofahrer nicht individuell über Sicherheit entscheiden lassen wollen. Und auch in diesem Fall wäre ein allgemeiner Zugang vorzuziehen”, sagt Jacobs. Sonst bliebe immer die Frage, ob alle andere User, mit denen er in Kontakt stehe, https nutzen. “Aber ich verlasse mich darauf, dass sie meine Arbeit und Kommunikation schützen – genau wie man sich beim Fahren auf die Sicherheitsgrad anderer verlässt”, meint er abschließend.

Das Amtsgericht Berlin erklärte die bisherige Gebührenpraxis der Fluggesellschaft für unzulässig, wie der Verbraucherzentrale Bundesverband (vzbv) mitteilte. Der Verband hatte gegen Ryanair geklagt.

Der Billigflieger nimmt bislang für das Buchen von Reisen über seine Internetseite bei Zahlung mit Kreditkarte oder per Lastschrifteinzug von Konto eine Gebühr, die auf den Flugpreis aufgeschlagen wird. Kostenlos ist das Zahlen nur mit einer Visa-Electron-Karte möglich. Die sei allerdings wenig verbreitet und nur gegen eine hohe Jahresgebühr erhältlich, kritisierte der vzbv.

Eine echte Gegenleistung für die Zahlungsgebühren sei nicht ersichtlich, urteilten die Berliner Richter nach Angaben des vzbv. Der bargeldlose Zahlungsverkehr liege im eigenen Interesse der Fluggesellschaft, zumal sie keine Barzahlungen akzeptiere. Ryanair sei gesetzlich verpflichtet, die Zahlung für das Ticket anzunehmen. Dafür dürfe eine Fluggesellschaft kein gesondertes Entgelt verlangen. Die vzbv lobte das Urteil für die Kunden als “weiteren Schritt hin zu mehr Preistransparenz im Internet”. Der Verband hat nach eigenen Angaben seit Mitte 2006 bereits 50 Abmahn- und Klageverfahren gegen Fluggesellschaften.

Das Landesverwaltungsamt Sachsen-Anhalt unterstützt ab sofort Bürger beim Widerspruch gegen die umstrittenen Kamerafahrten des Internetdienstes Google. Google. Google nimmt derzeit in Deutschland Straßenpanoramen für sein Dienst Street View auf. Die Bilder sind später im Internet zu sehen.

Die Behörde macht darauf aufmerksam, dass jeder, der sein Haus oder Grundstück nicht auf Google Street View sehen wolle, widersprechen könne. Das Landesverwaltungsamt stellt dazu ein Formular bereit, das seit Freitag auf der Internetseite der Behörde abgerufen werden kann. http://tr.im/oye2

Wissenschaftler des norwegischen Forschungsunternehmens Sintef warnen, dass die IT-Sicherheit auf Öl-Bohrinseln unzureichend ist. Die Produktionssysteme sind somit anfällig für Risiken wie Hackerangriffe und Malware. Das Problem resultiert unter anderem daraus, dass Bohrinseln längst nicht mehr so isoliert sind, wie sie es einst waren. “Während die Offshore-Systeme immer stärker mit dem Festland und teils sogar mit dem Web vernetzt werden, wird das von den Mitarbeitern der Ölindustrie nicht unbedingt berücksichtigt”, warnt Sintef-Wissenschaftler Martin Gilje Jaatun. Kritische Systeme sind somit potenziellen Gefahren ausgesetzt, gegen die es zu wenig Schutz gibt.

Die Ölindustrie leistet nach Ansicht der Sintef-Forscher in Sachen IT-Sicherheit nicht so gute Arbeit wie etwa in Gesundheits- und Umweltfragen. In Gesprächen mit Schlüsselpersonal aus dem Sektor sei deutlich geworden, dass in den letzten Jahren die Zahl der sicherheitsrelevanten Vorfälle auf Ölplattformen angestiegen ist. Ein Problem ist, dass eine Vernetzung der Offshore-Anlagen mit dem Festland, die etwa die Fernsteuerung von Prozessen erlaubt, auch Angriffe erleichtert. Jaatun betont ferner, dass auch bei nach wie vor isolierten Systemen zumindest ein Infektionsrisiko etwa durch externe Speichermedien besteht. Zwar haben die Forscher sich mit Plattformen vor der norwegischen Küste befasst. “Nach dem, was wir gehört haben, gibt es keinen Grund anzunehmen, dass die Situation andernorts anders ist”, betont Jaatun. Er verweist darauf, dass viele Unternehmen in diesem Bereich sehr international aufgestellt sind.

Die Gefahr ist nicht zu unterschätzen “Der schlimmste Fall wäre natürlich, dass ein Cracker eindringt und die gesamte Bohrinsel unter seine Kontrolle bringt”, meint Jaatun. Ökologisch wäre es ein Desaster, könnte ein Angreifer ein Blow-Out, den Ausstoß einer Ölfontäne, auslösen. Allerdings sei nicht sicher, ob das möglich ist. “Dagegen ist es leicht, sich eine Attacke vorzustellen, die ein Shutdown erzwingt”, sagt der Wissenschaftler. Der resultierende Stillstand der Förderanlage würde einen großen wirtschaftlichen Schaden bedeuten. Die vollständige Übernahme einer Plattform sei allerdings noch nicht vorgekommen, doch habe es bereits potenziell dramatische Vorfälle gegeben. “Beispielsweise haben Virusattacken zu Instabilitäten bei elektronischer Prozessausrüstung geführt”, sagt Jaatun. Daran, dass derartige Vorfälle ein Dazulernen und Umdenken bewirken können, haben einige Gesprächspartner Zweifel angemeldet.

Mit dem Trend hin zu gänzlich unbemannten Roboter-Bohrinseln steigt der Druck, auch für entsprechende Sicherheit der IT-Systeme zu sorgen. Sintef vertritt die Ansicht, dass neue Messmethoden nötig sind, die zeigen, wie verschiedene Zugänge zum Umgang mit sicherheitstechnischen Eventualitäten unter anderem die Ertragsfähigkeit und verfügbare Betriebszeit beeinflussen. Potenzielle Vorbilder für Methoden der Absicherung gibt es zur Genüge. “Es macht sicher Sinn, sich die militärische Kommunikation anzusehen”, sagt Jaatun. Dort bestehe die Parallele, dass Systeme einst sehr isoliert waren, jedoch mit dem Unterschied, dass Sicherheit schon immer sehr ernst genommen wurde. Doch auch von anderen Wirtschaftszweigen könnte man lernen. “In vielen Bereichen ist man gewohnt, vernetzt zu sein”, erklärt der Wissenschaftler. Genau damit muss die Ölindustrie bei Bohrinseln zunehmend zu Recht kommen.

Angestellte im IT-Bereich ignorieren immer häufiger die Sicherheitsvorschriften ihres Unternehmens gegen Datenklau, wie eine Untersuchung des Ponemon Instituts zeigt. Verglichen mit einer ähnlichen Erhebung aus dem Jahr 2007 ist dieser Anteil gestiegen. Weit verbreitet ist beispielsweise die Praxis, vertrauliche Daten auf USB-Laufwerke zu kopieren oder die Sicherheitseinstellungen in mobilen Geräten auszuschalten, auch wenn das gegen die Vorschriften des Unternehmens ist. In Zukunft könnte es für Unternehmen sogar noch schwieriger werden, IT-Sicherheitsmaßnahmen effektiv durchzusetzen, denn mit der zunehmenden Nutzung mobiler Technologien steigt auch das Risiko, dass vertrauliche Daten in falsche Hände geraten.

“Angestellte befinden sich unter unglaublichem Druck, höchst mobil und produktiv zu sein”, erklärt Larry Ponemon, Gründer des gleichnamigen Instituts. “Gleichzeitig werden sie jedoch nicht ausreichend darin geschult, was für Risiken es mit sich bringt, wenn sie Daten aus der Organisationsstruktur des Unternehmens hinaustragen.” 58 Prozent der 967 Befragten sind der Meinung, dass ihr Arbeitgeber sie nicht ausreichend über Datensicherheit aufgeklärt hat. Von jenen, die sich mit den unternehmensinternen Bestimmungen auskennen, beurteilen 57 Prozent diese jedoch als ineffektiv. Deshalb werden auch viele Bestimmungen von den Angestellten bewusst ignoriert. Fast 70 Prozent der Befragten kopieren beispielsweise vertrauliche Daten auf USB-Sticks. Sogar 48 Prozent der Befragten tun das, obwohl sie wissen, dass das gegen die Vorschriften des Unternehmens verstößt.

“Während Organisationen in vielen Bereichen Fortschritte gemacht haben, zeigt diese Studie, dass die Datensicherheitsbestimmungen nicht streng genug durchgesetzt werden”, meint John Jefferies vom Speichermedienhersteller IronKey. Dabei zeigt die Studie eine Verschlechterung beim Umgang mit mobilen Speichermedien. Der Anteil jener, die vertrauliche Daten auf USB-Sticks kopieren, war bei der Vergleichsstudie im Jahr 2007 noch um 20 Prozent geringer. Die Gefahr bei USB-Sticks ist nicht nur, dass sie unauffällig gestohlen werden können, sondern auch, dass sie oft verloren gehen. Über 70 Prozent der Angestellten, die schon einmal ein mobiles Speichermedium mit sensiblen Daten verloren hatten, berichteten dies zudem nicht sofort ihren Vorgesetzten.