don’t panic – Seite 6 – Datenschutz

Vor – während – nach einem Cyberangriff: Wie am besten reagieren?

Zu den Erfahrungen mit den Folgen des Cyberangriffs seit April beantwortete Mattis Neiling als Datenschutzbeauftragter Fragen in einem Panel der 4. Jahrestagung Cybersecurity am 28.10.2021. Er stellte dabei einige auch aus Sicht des Datenschutzes wichtige Punkte in den Vordergrund, die in diesem Beitrag näher ausgeführt werden:

Bewährt haben sich Notfallpläne, die für die beteiligten Mitarbeiter*innen klare Handlungsstrategien aufzeigen.
Die umgehende Konstitution eines Krisenstabs ist sinnvoll für ein geordnetes Vorgehen, das alle Belange bedenkt
Die Wiederinbetriebnahme der Dienste berücksichtigt die IT-forensische Analyse, erfolgt umsichtig und mit Verbesserungen der Sicherheitsarchitektur

Antworten auf einige Fragen werden im Anschluss daran dargestellt, u.a. eine Chronologie der Ereignisse in Folge des Cyberangriffs seit Ende April.

„Vor – während – nach einem Cyberangriff: Wie am besten reagieren?“ weiterlesen

Cyber(un)sicherheit: Strategie von der Bundesregierung beschlossen

Die vom Innenministerium erarbeitete Strategie wurde vielfach kritisiert – nun wird die Aufweichung der Cybersicherheit zum Regierungsprogramm.

Statt für eine Erhöhung der Cybersicherheit durch entsprechende Gesetze mit strafbewehrten Auflagen zu sorgen, sollen Geräte und Software löchrig bleiben wie ein Schweizer Käse.

Kein Gerät ist sicher.
Jede*r ist betroffen.

Letztlich zeigt die Strategie, wohin die Reise geht: Überwachung und Kontrolle. Es wurden bereits etliche Gesetze beschlossen und weitere Gesetzesinitiativen sind auf dem Weg, sowohl in Deutschland als auch international (siehe den Blogbeitrag dazu).

Eine weitere Kritik an der Strategie: Die Weichen wurden noch vor der Bundestagswahl gestellt, statt der neuen Bundesregierung einen Gestaltungsspielraum einzuräumen.

Aus dem Inhalt der Cyber(un)sicherheitsstrategie 2021:

Ende-zu-Ende-Verschlüsselung aushöhlen: Hintertüren für Behörden – Anbieter sollen Klartext-Zugang ermöglichen.
Sicherheitslücken ausnutzen: Legaler Angriff über 0-day-Exploits und andere Schwachstellen; Hacking-Auftrag für das BSI und das neu geschaffene ZITiS (Zentrale Stelle für Informationstechnik im Sicherheitsbereich).
Staatstrojaner für alle: neben den Geheimdiensten dürfen Polizei und Zoll diese nutzen (das BKA hat bereits 2019 den Staatstrojaner Pegasus der NSO Group für eine Million € beschafft).

„Cyber(un)sicherheit: Strategie von der Bundesregierung beschlossen“ weiterlesen

Braktooth: Bluetooth-Sicherheitslücken bei etlichen Geräten und im Internet der Dinge (IoT)

Notebooks, Smartphones und viele andere Bluetooth-fähigen Geräte sind betroffen (alle Bluetooth-Versionen 3.0 – 5.2). Wenn Bluetooth aktiviert und ein Angreifer in Funkreichweite ist, kann er das Gerät zum Absturz bringen und im Einzelfall auch Schadcode ausführen.

Falls der Bluetooth-Kopfhörer oder die Smartwatch nicht mehr reagiert, könnte das der Grund dafür sein :-(.

Updates sind noch nicht verfügbar und teilweise von den Herstellern auch nicht vorgesehen.

Updates für Geräte im Internet der Dinge / Internet of Things (IoT)

Zudem stellt sich bei vielen Geräten des Internets der Dinge (IoT) die Frage, ob und wie diese überhaupt gepatched werden können. Über Bluetooth oder WLAN/Mobiles Internet Updates einzuspielen erscheint nicht als geeigneter Weg, aber nicht jedes Gerät es lässt sich über USB verbinden und bei der Vielzahl an Geräten auch kein gangbarer Weg.

Problematisch ist zudem, dass es sich um sogenannte Firmware-Updates handelt (auch Treiber genannt), die für die oft separate Bluetooth-Komponente eines Gerätes installiert werden müssen.

Bislang hat sich noch kein sicheres Verfahren für Updates etabliert. Es zeichnet sich aber bereits jetzt ab, dass Updates „over-the-air (OTA)“ umgesetzt werden, d.h. sie werden direkt über WLAN/Mobiles Internet auf die Geräte aufgespielt. Dabei ist es wichtig, dass keine Schadsoftware auf die Geräte kommt – letztlich handelt es sich bei solch einem Update auch um Remote Code Execution, die gegen Mißbrauch abgesichert werden sollte.

Mittlerweile bieten zwar Cloud-Anbieter wie AWS und Azure Tools für IoT Device Management an, ob diese sicher genug sind, kann hinterfragt werden und hängt nicht zuletzt von den Fähigkeiten und implementierten Schutzmechanismen der IoT Devices ab.

In der Working Group Software Updates for Internet of Things (SUIT) der IEEE wird an Empfehlungen bis hin zu Standards gearbeitet. Ziel ist die Entwicklung einer sicheren Architektur für Updateprozesse, bei der u.a. kryptographische Signaturen für authorisierte Updates eingesetzt werden. Es scheint aber noch ein weiter Weg zu sein.

Weitere Informationen

heise.de – Braktooth: Neue Bluetooth-Lücken bedrohen unzählige Geräte (2.9.2020; Hinweis: Die Webseite nutzt Aktivitätenverfolgung und bindet weitere externe Dienste ein)
Study of Singapore University – BRAKTOOTH: Causing Havoc on Bluetooth Link Manager (2.9.2020; Hinweis: Die Webseite nutzt Aktivitätenverfolgung und bindet weitere externe Dienste ein)

Zu Updates von IoT-Geräten

IEEE /Working Group SUIT – A Firmware Update Architecture for Internet of Things (2020, Draft; Hinweis: Die Webseite und bindet externe Dienste ein)
IEEE – J. L. Hernández-Ramos, G. Baldini, S. N. Matheu and A. Skarmeta, „Updating IoT devices: challenges and potential approaches,“ 2020 Global Internet of Things Summit (GIoTS), 2020, pp. 1-5, doi: 10.1109/GIOTS49054.2020.9119514. (Volltext/PDF nur für Subscribers)

Wahlkampagnen mit Microtargeting in sozialen Medien: Beitrag in der ARD

Microtargeting ist spätestens seit dem Skandal um die Rolle von Cambridge Analytica bei der Trump-Wahl 2016 bekannt:

Ziel von Microtargeting ist, bestimmte Nutzergruppen anhand ihrer Interessen zu bündeln und diesen personalisierte, passende Werbung anzuzeigen.

Bei Wahlen sind das einerseits positive Äußerungen über die beworbene Partei, oft werden aber auch Fake News oder Schmutzkampagnen über politische Gegner auf diesem Weg verbreitet.

Ein aktueller Beitrag der ARD geht der Frage nach, ob und wie Wahlstrategen solche Kampagnen mithilfe britischer Agenturen umsetzen können – bei einer Undercover-Aktion.

„Wahlkampagnen mit Microtargeting in sozialen Medien: Beitrag in der ARD“ weiterlesen

Online-Whiteboards in der Lehre datenschutzgerecht nutzen

Bereits im Wintersemester 2020/21 haben wir uns zusammen mit engagierten Lehrenden und der Zentraleinrichtung Wissenschaftliche Weiterbildung und Kooperation an der TU (ZEWK) auf die Suche nach datenschutzkonformen Online-Tools begeben.

Insbesondere Whiteboard-Tools werden gern genutzt. Online-Whiteboards eignen sich zur Visualisierung von Abläufen und Zusammenhängen sowie zur Gestaltung digitaler Poster oder Präsentationen. Ein Teilen und kollaboratives Bearbeiten der Boards ist in der Regel möglich.

Die Tools können direkt im Browser aufgerufen werden, einige gibt es auch als App.

Wir haben uns drei Tools (Miro, Conceptboard und Collaboard) näher angesehen und konnten einen der Anbieter sogar motivieren, sein Tool (Collaboard) datenschutzfreundlich anzupassen.

„Online-Whiteboards in der Lehre datenschutzgerecht nutzen“ weiterlesen

Pegasus: Überwachung leicht gemacht – das Geschäft mit dem Staatstrojaner

Ein Länder-übergreifendes Recherchenetzwerk hat den Skandal um die Schadsoftware Pegasus der israelischen NSO Group aufgedeckt, mit der Smartphones infiziert werden können.

Der „Staatstrojaner als Service“ der NSO Group ähnelt den „Ransomware als Service“ Ansatz von Hackern, mit dem wesentlichen Unterschied, dass er legal von staatlichen Akteuren beauftragt wird.

Offiziell wird das Tool zur Terrorverfolgung lizenziert, letztlich steht es den Nutzern aber frei, ihre Ziele „Targets“ auszuwählen. Unter den gut zahlenden Kunden sind autoritäre Staaten, die damit auch Systemkritiker, Journalisten und Anwälte ausspionieren. Selbst bekannte Politiker wie Macron sollten ausgespäht werden.

Am Deutlichsten wird die Verbindung zwischen der Überwachung mit NSO’s Pegasus-Trojaner und physischer Gewalt beim ermordeten saudi-arabischen Journalisten Jamal Khashoggi, aber auch Menschenrechtsaktivisten in Mexiko und Indien sind massiv betroffen.

In diesem Beitrag geht es um die Funktionsweise der Spionagesoftware sowie das fragwürdige Geschäftsmodell der milliardenschweren NSO Group.

„Pegasus: Überwachung leicht gemacht – das Geschäft mit dem Staatstrojaner“ weiterlesen

Endlich: Staatstrojaner auch ohne Tatverdacht präventiv durch Polizei und Geheimdienste einsetzbar

Heute wird das vielfach diskutierte und nur punktuell angepasste Bundespolizeigesetz im Bundestag beschlossen.

Es ist nun den Polizeibehörden und Geheimdiensten möglich ohne Strafantrag die Rechner unbescholtener Bürger zu hacken und mit Staatstrojanern zu versehen. Für die Telekommunikationsüberwachung (TKÜ) musste zumindest ein Tatverdacht bestehen.

Sicherheitslücken dürfen dabei ausgenutzt und Schadsoftware installiert werden.

Die Telekommunikationsanbieter sind dabei zur Mitwirkung verpflichtet.

Der Grundrechtseingriff ist so massiv, dass bereits jetzt absehbar ist, dass das Gesetz vom Bundesverfassungsgericht gekippt werden wird. Allerdings wird bis dahin noch viel Wasser die Spree hinunter fließen.

Weitere Informationen

- netzpolitik.org – Bundespolizeigesetz: Große Koalition einigt sich auf Staatstrojaner-Einsatz schon vor Straftaten
- netzpolitik.org – Verfassungsschutz und Bundespolizei: Bundestag beschließt Staatstrojaner für Geheimdienste und vor Straftaten

Nachtrag v. 23.9.2021

Die Gesellschaft für Freiheitsrechte hat insgesamt 7 Klagen gegen die einschlägigen Gesetze zum Staatstrojaner eingereicht sowie zuletzt eine Beschwerde beim Bundesdateschutzbeauftragten gegen den Kauf und die Nutzung der Software Pegasus durch das BKA.

Gesellschaft für Freiheitsrechte – Wir klagen gegen Staatstrojaner (Hinweis: die Webseite bindet externe Inhalte ein)

Vortrag „Crypto Wars: Ende der Ende-zu-Ende-Verschlüsselung?!“

Wie funktioniert Verschlüsselung, wie sicher kann sie sein, welche Angriffsmöglichkeiten und gesetzgeberischen Bestrebungen gibt es?

Zunächst wird das Prinzip der symmetrischen und asymmetrsichen „public-key“ Verschlüsselung erläutert, anschließend Angriffsszenarien diskutiert und schließlich die weltweiten Gesetzesinitiativen zur Unterwanderung der Ende-zu-Ende-Verschlüsselung angerissen.

Verschlüsselte Kommunikation ist wichtig!

„Digitale Inhalte bleiben nur mit Verschlüsselung vertraulich.

Digitale Selbstbestimmung bedeutet, die Hoheit über die eigenen Daten zu behalten und selbst zu entscheiden mit wem mensch sie teilt.“

„Vortrag „Crypto Wars: Ende der Ende-zu-Ende-Verschlüsselung?!““ weiterlesen

Datenschutzrechtliche Rahmenbedingungen für Online-Dienste in Lehre & Forschung

Wir erläutern, welche Dinge bei der datenschutzkonformen Nutzung von Online-Diensten an der TU Berlin bedacht werden sollten. Der Fokus liegt in diesem Beitrag auf deren Nutzung im Rahmen von Lehre & Forschung.

„Datenschutzrechtliche Rahmenbedingungen für Online-Dienste in Lehre & Forschung“ weiterlesen

Fax ist nicht (mehr) datenschutzkonform

Personenbezogene Daten per Fax zu übermitteln ist nicht unproblematisch.

Einerseits konnte schon immer die Leitung abgehört oder das gedruckte Fax in falsche Hände gelangen.

Andererseits ist heutzutage ein Fax kein Fax mehr, da sowohl die Übertragungswege Internet-basiert sind, Fax-Gateways sie als unverschlüsselte E-Mail weiterleiten und auch Fax-Endgeräte keine klassischen Faxgeräte mehr sind, sondern zumeist multifunktionale Netzwerkdrucker.

Insofern ist es nicht überraschend, dass die Bremer Datenschutzbehörde davor warnt, Faxe zur Übersendung sensibler Informationen zu wenden und verschlüsselte E-Mail-Kommunikation oder den Brief als sichere Alternative vorschlägt.

Landesbeauftragte für Datenschutz und Informationsfreiheit der Hansestadt Bremen: Telefax ist nicht Datenschutz konform

Nachtrag vom 21. September 2021

Die Hessische Datenschutzbehörde erklärt, warum Fax als nicht datenschutzkonform zu betrachten ist: In erster Linie aufgrund der zumeist unverschlüsselten Übertragung der Datenpakete mittels TCP/IP über Server verschiedenster Akteure statt wie ursprünglich über Telefonleitungen. Es sollen alternative elektronische Übermittlungswege gewählt werden, bspw. verschlüsselte E-Mails.

Der Hessische Beauftragte für Datenschutz und Informationsfreiheit –
Kommunikationssicherheit beim Fax: Zur Übermittlung personenbezogener Daten per Fax