Spektrum Engineering

IT-Security | Embedded | Software | Prototyping | R&D

Die Bundesregierung und der "Staatstrojaner"

Zitat von Benjamin Franklin, dargestellt auf einem iPhoneNun ist es endlich soweit - die Pläne, von denen man lange Zeit nur am Rande mitbekommen hat sind nun konkretisiert und der Bundestag hat es am 22.06.2017 beschlossen: Ermittlungsbehörden dürfen Software einsetzen, um auch verschlüsselte Kommunikation von potentiellen "Gefährdern" abzuhören.

Die Medien diskutieren, ob (und wahrscheinlich ist es auch so) dieses Gesetz verfassungswidrig ist. Wir wollen nun mal die technische Seite betrachten und analysieren, welche Voraussetzungen erfüllt werden müssen, damit so ein "Angriff" erfolgt:

In den letzten Jahren hat sich im Bezug auf verschlüsselte Kommunikation bei Messenger-Diensten viel getan, von der Übertragung mit SSL/TLS bis hin zur Ende-Zu-Ende Verschlüsselung (E2E). Mittlerweile ist die E2E-Verschlüsselung der de facto Standard bei jedem namhaften Messenger geworden, egal ob Threema, iMessage, WhatsApp, etc. Dank der vielen vorhanden (auch Open Source) Bibliotheken ist die Implementierung von E2E Verschlüsselung in mobilen Apps und anderen Anwendungen mit keinem großen Aufwand mehr verbunden. Jeder Entwickler kann sie quasi einsetzen.

Weiterlesen ...

WannaCry und IT-Security in Unternehmen

TagCloud IT-Security in UnternehmenDer Angriff WannaCry (WannaCrypt oder RansomCry) zeigt leider mal wieder die Verwundbarkeit von Unternehmen und anderen Organisationen in Bezug auf deren IT-Infrastruktur. Der Unterschied zu anderen vergleichbaren Angriffen liegt jedoch in diesem Fall nicht in der Verwundbarkeit der Technik, sondern vielmehr daran, dass Unternehmen IT-Security als Geschäftsprozess nicht bzw. nicht vollständig implementiert haben.

Die Lücke selbst war bekannt und wurde auch von Microsoft bereits im März 2017 gepatcht, das einzige was die betroffenen Nutzer/Organisationen hätten tun müssen, wäre den Patch kurz nach Erscheinen im März einzuspielen und die Lücke somit zu schließen.

Die Reaktion von Microsoft - kurz nach Ausnutzen der Lücke am 12.05.2017 - auch Patches für ältere Versionen von Windows herauszugeben, war vorbildlich und vor allem die geringe Reaktionszeit sehr lobenswert.

Die Gefahr dieser "neuen" Schadsoftware vom Typ Ransomware wurde bereits in Blogs und auf Fachtagungen diskutiert, die kürzlichen Vorkommnisse zeigen jedoch, dass der Geschäftsprozess IT-Security in Unternehmen mit viel zu niedriger Priorität betrachtet wird, obwohl diese Gefahren bekannt sind.

DB compromisedDass die Deutsche Bahn stark von dem Angriff betroffen ist, tut mir persönlich sehr Leid, auf der anderen Seite ist es jedoch unverständlich warum gerade ein Unternehmen wie die DB nicht in der Lage war, ihre kritische IT-Infrastruktur entsprechend zu sichern. Hierzu wären keine großartigen Kenntnisse in der IT-Sicherheit notwendig gewesen, sondern lediglich ein einwandfreier Geschäftsprozess zur Verwaltung von Security-Related-Tasks.

Den Rat, den man den Betroffenen geben kann, die ihre Dateien und Dokumente durch den WannaCry Angriff verloren haben, ist Backups einzuspielen und aus dem Vorfall zu lernen. Auf die Erpressung einzugehen und zu hoffen, dass man die Dateien nach erfolgreicher Geldübergabe wiederbekommt, halte ich für wenig sinnvoll.