Krypto e.V.

Twitter setzt auf mehr Sicherheit (Foto: twitter.com)

Twitter setzt auf mehr Sicherheit und will ab sofort noch stärker gegen Phishing, Malware und Spam vorgehen. Wie der Microbloggingdienst im Unternehmensblog bekannt gibt, wird ein neues Anti-Phishing-Tool gestartet. Damit soll das Twitter-Sicherheitsteam Links, die über die Seite verbreitet werden, besser überprüfen können und potenzielle Angriffe schon im Vorfeld einschränken.

Soziale Netzwerke werden durch ihren Boom auch immer stärker zu einem Spielplatz für Cyber-Kriminelle, sagen die Experten. Nutzer dieser Netzwerke haben großes Vertrauen zu den Mitgliedern ihrer Communitys und treffen oft keinerlei Vorsichtsmaßnahmen bei der Eingabe persönlicher Daten oder im Umgang mit Links, wodurch die Ausbreitung von Malware und Viren über diese Plattformen allein im letzen Jahr um 40 Prozent zugenommen hat.

Kurzlinks
Ein Teil des neuen Features soll auch Twitters eigener URL-Kürzer twt.tl sein. Solche Links könnten künftig in einzelnen E-Mails und privaten Nachrichten auftauchen. Wenn ein gefährlicher Link etwa erst nach dem Versand einer E-Mail-Benachrichtigung erkannt wird, kann der User so trotzdem geschützt werden, weil Twitter die twt.tl-Links deaktivieren kann.

Weil ein Großteil der Angriffe über die privaten Nachrichten und den damit verbundenen E-Mail-Benachrichtigungen erfolgt, konzentriert sich Twitter zunächst offenbar darauf. In erster Linie sollen also Links in den Direct Messages geprüft werden. Wie Twitter-Sicherheitschefin Del Harvey im Unternehmensblog schreibt, sollen die Nutzer von den Maßnahmen kaum etwas mitbekommen. Es arbeite im Hintergrund und daher hauptsächlich unbemerkt. Allerdings kann es in Zukunft der Fall sein, dass Links durch twt.tl gekürzt in privaten Nachrichten und E-Mail-Benachrichtigungen auftauchen.

Spam-Wellen
In der Vergangenheit war Twitter schon häufig Attacken und Spam-Wellen ausgesetzt. Für Aufsehen sorgte etwa eine Porno-Spam-Attacke im vergangenen Jahr, bei der Accounts von Hunderten Nutzern missbraucht wurden. Sicherheitsexperten warnten nicht zuletzt vor dem Risiko gestohlener Passwörter.

Nachdem das Bundesverfassungsgericht die Vorschriften zur Vorratsdatenspeicherung für nichtig erklärt hat, fordert auch der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Peter Schaar eine umgehende Löschung der bei den Telekommunikationsunternehmen auf Vorrat gespeicherten Verkehrsdaten.

Hierzu erklärte Schaar: „Durch das Urteil ist der Rechtsgrund für die Vorratsdatenspeicherung weggefallen. Die von den Unternehmen auf Vorrat gespeicherten Daten sind deshalb unverzüglich zu löschen, auch soweit sie noch nicht an die Behörden übermittelt wurden. Ich werde die Bundesnetzagentur als die für den Telekommunikationsbereich zuständige Regulierungsbehörde auffordern, bei sämtlichen betroffenen Unternehmen auf eine unverzügliche Löschung des Datenbestandes hinzuwirken.“

Der Pflicht zur Vorratsdatenspeicherung unterfielen in Deutschland weit über tausend Telekommunikationsanbieter, die die bei ihnen anfallenden Verkehrsdaten über den Zeitraum von sechs Monaten vorhalten mussten, um sie insbesondere Strafverfolgungsbehörden im Bedarfsfall übermitteln zu können.

Schaar wies auch darauf hin, dass er bei seinen datenschutzrechtlichen Kontrollen vor Ort auch prüfen werde, dass keine Vorratsdatenspeicherung mehr stattfindet und dass die vorhandenen Vorratsdaten restlos gelöscht wurden.

Es verstehe sich von selbst, dass eine flächendeckende Kontrolle bei sämtlichen Unternehmen alleine aufgrund deren Anzahl nicht realisierbar ist. Jedoch werde sich seine Behörde bei den Anbietern stichprobenartig von der Löschung überzeugen.  (tc)

Verschlüsselung am Computer: Gängige Lösung ist angreifbar (Foto: pixelio.de, Antje Delater)

Informatiker an der University of Michigan (UMich) haben eine Schwachstelle beim RSA-Algorithmus entdeckt. Dieser ist eines der gängigsten Kryptosysteme für Verschlüsselung und digitale Signaturen. “RSA-Authetifizierung ist so beliebt, weil angenommen wurde, sie sei hoch sicher”, sagt Todd Austin, Professor an der Fakultät für Elektrotechnik und Informatik der UMich. Das eigene Ergebnis relativiere dies deutlich.

Die Forscher haben darauf gesetzt, die Spannungsversorgung für jenes Gerät zu manipulieren, auf dem der private Schlüssel zum Entschlüsseln oder Signieren von Daten gespeichert ist. Dadurch kommt es zu Übertragungsfehlern, die dann eine Rekonstruktion des 1.024-Bit-Schlüssels ermöglichen. Allerdings dürfte die Schwachstelle leicht zu beheben sein.

Schnell-Attacke ist behebbar
“Die Universtity of Michigan hat nun einen Weg gefunden, den privaten Schlüssel bei einer 1.024-bit-Verschlüsselung mit beschränktem Zeitaufwand aufzudecken”, meint IKT-Consultant Wolfram Funk. Denn die Forscher geben an, dass ihre Schlüssel-Rekonstruktion rund 100 Stunden gedauert hat. Im Vergleich dazu verweist Funk auf Meldungen im Januar, nach denen der RSA-768-bit-Schlüssel durch eine zweieinhalbjährige Brute-Force-Attacke gehackt werden konnte.

“Die Methode stellt aber nicht den Algorithmus an sich in Frage, sondern vielmehr die Art der heutigen Implementierung”, betont Funk. Denn die Forscher selbst geben an, dass ein sogenanntes “Salting”, eine zufällige Änderung in der Bitfolge bei jeder Schlüssel-Anfrage, Abhilfe gegen ihre Attacke schaffen würde. Ihre Demonstration werde hoffentlich dazu führen, dass Anbieter die nötigen geringfügigen Änderungen an ihren Umsetzungen des Algorithmus vornehmen, so Austin. ” Zumindest für den Endnutzer wird sich bis auf Weiteres nichts ändern”, glaubt auch Funk.

Risiko durch Spannungsmanipulation
Beim Experiment haben die UMich-Informatiker sich zunutze gemacht, dass Spannungsänderungen Computer belasten. Ein “billiges” Gerät habe so Fehler bei der Übertragung von digitalen Signaturen durch den angegriffenen Computers auslösen können. Durch eine Analyse von 8.800 fehlerhaften Signaturen konnte ein Algorithmus der Forscher dann den 1.024-Bit-Schlüssel rekonstruieren. “Das zeigt, dass es niemals 100-prozentige Sicherheit geben wird”, meint Funk. Allerdings könne der RSA-Algorithmus selbst nach derzeitigem Stand der Technik noch einige Jahre als sicher gelten

Die UMich-Forschungsarbeit “Fault-based Attack of RSA Authetification” wird kommende Woche im Rahmen der Konferenz “Design, Automation and Test in Europe” in Dresden präsentiert. Die englischsprachige Arbeit ist für Interessenten auch Online verfügbar.

Präsident des Bundesverfassungsgerichts Prof. Dr. Hans-Jürgen Papier (Foto: BVerfG)

Die Speicherung der Telekommunikationsdaten aller Bürger auf Vorrat ist in ihrer jetzigen Form verfassungswidrig. Alle bislang gespeicherten Daten müssen deshalb umgehend gelöscht werden, entschied das Bundesverfassungsgericht in Karlsruhe in seinem heutigen Urteil. Dem Urteil zufolge ist die Vorratsdatenspeicherung allerdings zulässig, wenn eine Reihe enger Vorgaben zur Verwendung der Daten, zur ihrer Sicherheit bei der Speicherung sowie zur Transparenz bei ihrer Verwendung erfüllt werden.

Fehlende Verhältnismäßigkeit
Die Bestimmungen sind aus Sicht der höchsten deutschen Richter viel zu unbestimmt. Es fehle insbesondere an hohen Standards für eine Datensicherung. In der jetzigen Fassung verstößt das Gesetz gegen den Artikel 10 (Brief- & Fernmeldegeheimnis) des deutschen Grundgesetzes. „Ein weitgehend offener Datenpool hebele den notwendigen Zusammenhang zwischen Speicherung und Zweck der Speicherung auf“, sagte der scheidende Verfassungsgerichtspräsident Hans-Jürgen Papier heute bei der Urteilsverkündung in Karlsruhe.

Die Beschwerdeführer sehen durch die Vorratsdatenspeicherung vor allem das Post- und Telekommunikationsgeheimnis sowie das Recht auf informationelle Selbstbestimmung verletzt. Geklagt hatten neben der Justizministerin Leutheusser-Schnarrenberger und ihrem Parteifreund Guido Westerwelle (FDP) auch Zigtausende Bundesbürger, die sich im Arbeitskreis Vorratsdatenspeicherung zusammengeschlossen haben und eine Sammelklage eingereicht hatten. Für die Gegner der Vorratsdatenspeicherung ist das Urteil auch Motivation, jetzt auch auf europäischer Ebene über den Sinn der Richtlinie an sich nachzudenken. Auswirkungen könnte die Entscheidung etwa auf Österreich haben, wo die EU-Richtlinie bisher nicht umgesetzt wurde.

Politische Reaktionen
Der Parlamentarische Geschäftsführer der Unions-Fraktion im Bundestag, Peter Altmaier, hat das Urteil bedauert. “Dieses Urteil ist eines, das uns erst einmal in Schwierigkeiten bringen wird, weil wir Instrumente nicht anwenden können”, sagte Altmaier in Berlin. Der Parlamentarische Geschäftsführer der Grünen, Volker Beck, erklärte über den Kurzmitteilungsdienst Twitter: “Das Urteil ist ein Sieg, aber auch teilweise etwas verrätselt in seiner Begründung.” Grünen-Vorsitzende Claudia Roth bewertete das Urteil als “richtige Klatsche” für den Gesetzgeber: “Dass alle bisher gespeicherten Daten gelöscht werden müssen, das setzt noch einen drauf”, sagte sie.

Die Speicherung der Telekommunikationsdaten aller Bürger auf Vorrat ist in ihrer jetzigen Form verfassungswidrig. Alle bislang gespeicherten Daten müssen deshalb umgehend gelöscht werden, entschied das Bundesverfassungsgericht in Karlsruhe in seinem heutigen Urteil. Dem Urteil zufolge ist die Vorratsdatenspeicherung allerdings zulässig, wenn eine Reihe enger Vorgaben zur Verwendung der Daten, zur ihrer Sicherheit bei der Speicherung sowie zur Transparenz bei ihrer Verwendung erfüllt werden.

Fehlende Verhältnismäßigkeit
Die Bestimmungen sind aus Sicht der höchsten deutschen Richter viel zu unbestimmt. Es fehle insbesondere an hohen Standards für eine Datensicherung. In der jetzigen Fassung verstößt das Gesetz gegen den Artikel 10 (Brief- & Fernmeldegeheimnis) des deutschen Grundgesetzes. „Ein weitgehend offener Datenpool hebele den notwendigen Zusammenhang zwischen Speicherung und Zweck der Speicherung auf“, sagte der scheidende Verfassungsgerichtspräsident Hans-Jürgen Papier heute bei der Urteilsverkündung in Karlsruhe.

Die Beschwerdeführer sehen durch die Vorratsdatenspeicherung vor allem das Post- und Telekommunikationsgeheimnis sowie das Recht auf informationelle Selbstbestimmung verletzt. Geklagt hatten neben der Justizministerin Leutheusser-Schnarrenberger und ihrem Parteifreund Guido Westerwelle (FDP) auch Zigtausende Bundesbürger, die sich im Arbeitskreis Vorratsdatenspeicherung zusammengeschlossen haben und eine Sammelklage eingereicht hatten. Für die Gegner der Vorratsdatenspeicherung ist das Urteil auch Motivation, jetzt auch auf europäischer Ebene über den Sinn der Richtlinie an sich nachzudenken. Auswirkungen könnte die Entscheidung etwa auf Österreich haben, wo die EU-Richtlinie bisher nicht umgesetzt wurde.

Politische Reaktionen
Der Parlamentarische Geschäftsführer der Unions-Fraktion im Bundestag, Peter Altmaier, hat das Urteil bedauert. “Dieses Urteil ist eines, das uns erst einmal in Schwierigkeiten bringen wird, weil wir Instrumente nicht anwenden können”, sagte Altmaier in Berlin. Der Parlamentarische Geschäftsführer der Grünen, Volker Beck, erklärte über den Kurzmitteilungsdienst Twitter: “Das Urteil ist ein Sieg, aber auch teilweise etwas verrätselt in seiner Begründung.” Grünen-Vorsitzende Claudia Roth bewertete das Urteil als “richtige Klatsche” für den Gesetzgeber: “Dass alle bisher gespeicherten Daten gelöscht werden müssen, das setzt noch einen drauf”, sagte sie. (tc)

Das Thema Datenschutz und Privatsphäre im Internet ist zwar in aller Munde, die bestehenden Regelungen dazu seien jedoch ein Relikt aus den 90er-Jahren, der Anfangsphase des Internets. Sie sind damit längst überholt, kritisieren Experten. Das seit damals geltende zentrale Konzept Notice-and-Choice, beruht darauf, dass Webseiten ihren Umgang mit persönlichen Daten offenlegen und Nutzer damit die Wahl haben, welche Seiten sie besuchen und nutzen. Mittlerweile würden im Internet jedoch so viele Daten gesammelt, dass dieses Konzept nicht mehr zeitgemäß sei, berichtet die New York Times.

“Für das reine Notice-and-Choice-Modell gibt es praktisch keine Fürsprecher mehr”, so Daniel J. Weitzner von der amerikanischen National Telecommunications and Information Administration. “Es ist heute nicht mehr adäquat.” Die langen Erklärungen zu Privatsphäre und Datenschutz seien schwer verständlich, würden kaum gelesen und könnten dabei kaum die Komplexität des heutigen Umgangs mit Daten abbilden. Daraus resultiere, dass Nutzer keine wirkliche Kontrolle mehr über ihre Daten hätten, so Experten. Geburtsdatum, Adresse, Kredikartennummer oder das Online-Verhalten seien damit ungeschützt zugänglich.

Wirksame Werkzeuge
Um das bestehende Modell zu reparieren seien neue Regelungen und wirksame Werkzeuge zum Schutz der Privatsphäre notwendig. Gerade im Bereich der gesetzlichen Bestimmungen gilt es allerdings die Balance zu wahren. Schließlich ist das Sammeln von Daten und deren Auswertungen mittlerweile ein zentraler wirtschaftlicher Punkt. Die erfolgreichsten Online-Unternehmen der vergangenen Jahre wie Google, Facebook oder Twitter basieren auf dem freien Austausch von Information. Zusätzlich wird an neuer Software gearbeitet, die dem Nutzer die Kontrolle über seine persönlichen Informationen zurückgeben soll. So könnte der Nutzer zum Beispiel automatisch gewarnt werden, wenn er dabei ist, Daten preis zugeben.

Gestern ist das Zugangserschwerungsgesetz in Kraft getreten, das der Bekämpfung der Kinderpornographie in Kommunikationsnetzen dienen soll. Internetseiten mit kinderpornographischem Inhalt können aufgrund dieses Gesetzes im Internet gesperrt werden, wenn sie vom Bundeskriminalamt auf eine Sperrliste gesetzt werden. Diese Sperrliste soll dem Gesetz zufolge von einem unabhängigen Expertengremium kontrolliert werden, das vom Bundesbeauftragten für den Datenschutz und die Informationsfreiheit zu bestellen ist.

Da das Bundesministerium des Innern das Bundeskriminalamt angewiesen hat, keine Sperrlisten zu erstellen, sieht der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Peter Schaar, von der Bestellung des Expertengremiums ab.

Bundesdatenschutzbeauftragte Peter Schaar

Das Europäische Parlament hat heute das SWIFT-Abkommen zur Übermittlung von EU-Bankdaten an die USA mit großer Mehrheit abgelehnt.

„Ich freue mich, dass das Europäische Parlament trotz erheblicher Widerstände standhaft geblieben ist. Es hat im besten Interesse der EU-Bürger gehandelt. Sicherheit gewinnen wir nicht durch immer mehr Daten, sondern durch die intelligente Auswertung der relevanten Informationen,“ so der Bundesdatenschutzbeauftragte Peter Schaar.

Peter Schaar lobt das Europäische Parlament: „Das Parlament hat hier ein unübersehbares Zeichen gesetzt, an dem auch die Kommission und der Rat nicht vorbei können. Dies ist ein guter Tag für den Datenschutz und die Grundrechte in Europa!“

Das SWIFT-Abkommen hätte einen sehr weit reichenden Zugriff auf Banktransaktionsdaten von EU-Bürgern ermöglicht. Die USA halten dies im Anti-Terror-Kampf für notwendig. Die amerikanischen Behörden hätten aber nicht nur Auskunft zu einzelnen verdächtigen Überweisungen erhalten, sondern auch Zugriff auf Transaktionsdaten solcher Kontoinhaber gehabt, bei denen kein strafrechtlicher Anfangsverdacht besteht und die erst in fernerer Zukunft aufgrund weiterer Erkenntnisse möglicherweise in Verdacht geraten könnten. In den weit überwiegenden Fällen handelt es sich also um völlig unverdächtige Bankkunden. Die Daten sollten in den USA für maximal fünf Jahre gespeichert werden. Eine wirksame Kontrolle durch unabhängige Datenschutzbeauftragte fehlte ebenso wie ein effektiver Rechtsschutz betroffener Bankkunden in den USA.

Das SWIFT-Abkommen sollte ursprünglich ab dem 1. Februar 2010 angewendet werden, es wurden jedoch vorerst keine Daten an die USA übermittelt. Zunächst sollte die Entscheidung des Europäischen Parlaments abgewartet werden.

Der Bundesdatenschutzbeauftragte Peter Schaar

Bundesinnenminister de Maizière hat entschieden, die Einrichtungen zur Telekommunikationsüberwachung im Bundesverwaltungsamt kurz BVA nicht auf das Bundesamt für Verfassungsschutz auszudehnen. Der Bundesdatenschutzbeauftragte Peter Schaar meint hierzu:

„Ich begrüße die Entscheidung des Bundesinnenministers ausdrücklich. Eine umfassende Bündelung der Telekommunikationsüberwachung der verschiedenen Sicherheitsbehörden hätte die Grenzen zwischen Polizeien und Nachrichtendiensten verwischt und das Trennungsgebot verletzt.“

Schaar mahnte eine gesetzliche Regelung für die Durchführung von Telekommunikationsüberwachungen für BKA und Bundespolizei durch das Bundesverwaltungsamt an. Diese Kooperation zweier Polizeibehörden stelle eine in besonderer Weise sensible Behördenkooperation dar, die erheblich in das vom Grundgesetz geschützte Fernmeldegeheimnis eingreife. Sie bedürfe daher einer besonderen gesetzlichen Ermächtigung. (tc)

In der Diskussion um die britische Regierungsinitiative gegen Internetpiraterie hat sich nun eine Interessensgruppe eingeschaltet, der mehrere einflussreiche Parlamentsmitglieder angehören, berichtet die BBC. Im Zentrum der Kritik des Joint Select Committee on Human Rights steht die geplante Maßnahme, verdächtigen Internetnutzern den Anschluss ans Netz zu kappen. Überhaupt müsse die gesamte Digital Economy Bill, in der die Gesetze zur Bekämpfung der Internetpiraterie festgeschrieben sind, klarer formuliert werden.

“Das Internet stellt die Politik immer wieder vor neue Aufgaben; aber das ist keine Rechtfertigung für schwammig definierte oder pauschale gesetzliche Maßnahmen – besonders wenn die Möglichkeit besteht, dass hier die Meinungsfreiheit oder das Recht auf Privatheit einzelner Nutzer verletzt bzw. beschränkt werden”, so Andrew Dismore, Parlamentsmitglied und Vorsitzender des Komitees. Von Seiten der Regierung sei es immer klar gewesen, dass Anti-Piraterie-Gesetze Menscherechte nicht beeinträchtigen dürften, heißt es in einer ersten Reaktion.

Filesharing und Copyright
Die Kritik des Komitees beschränkt sich auf die Teile des Gesetzes, die sich auf Filesharing und Copyright beziehen. “Unsere Sorge ist, dass der Vorschlag zu ungenau ist”, so Dismore. “Sogar bei dieser eher simplen Materie, auf die wir uns konzentriert haben, war es schwierig, sich ein Bild von Umfang und Auswirkungen der Maßnahmen zu machen.” Die Digital Economy Bill wurde vergangenen Herbst präsentiert und ist seitdem von unterschiedlichen Seiten heftig kritisiert worden.