Einzelkämpfer in der IT-Sicherheit: Wie staatliche Stellen das Vertrauen untergraben

Screenshot youtube.com Screenshot youtube.com

Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme: Dieses Recht stellt ein verbrieftes Bürgerrecht da: „Eine staatliche Datenerhebung aus komplexen informationstechnischen Systemen weist ein beträchtliches Potential für die Ausforschung der Persönlichkeit des Betroffenen auf.“ – Bundesverfassungsgericht

„Ausforschung der Persönlichkeit des Betroffenen“

Eigentlich schützt das Grundgesetz die Privatsphäre der Bürger umfassend. Fernab dieser abstrakten Rechtstheorie – sieht es allerdings ganz anders aus: Unsichere Programme sind überall bei Behörden im Ersatz. Unternehmen werden von staatlichen Stellen genötigt absichtlich Sicherheitslücken einzubauen. Wozu also noch Sicherheitslücken melden? Die ganze IT-Branche gerät so unter Misskredit. Außerdem: Die Kluft zwischen Bevölkerung und staatlichen Stellen wird so unüberwindbar. Und: Für die IT-Sicherheit ist mehr und mehr der Einzelne selbst verantwortlich.

Staatliche Datenerhebung: „Beträchtliches Potential für die Ausforschung der Persönlichkeit des Betroffenen“

>>Bundesamt für Sicherheit in der Informationstechnik<<

„Die Urheber massenhafter Cyber-Angriffe nutzen meist weit verbreitete Software-Produkte, um mit einfachen Mitteln möglichst viele Computer-Systeme mit Schadsoftware zu infizieren. Aufgrund ihrer großen Verbreitung stehen die Softwareprodukte der Microsoft-Office-Familie daher automatisch im Fokus von Cyber-Kriminellen, um Schwachstellen oder unsichere Konfigurationen von Standardfunktionen der Büro-Software möglichst breit ausnutzen zu können.“

„Im Fokus von Cyber-Kriminellen“

Es hat schon etwas Ironisches, wenn gerade das Bundesamt für Sicherheit in der Informationstechnik vor Makros warnt. Die Warnung ist zwar in allererster Linie an die Bevölkerung gerichtet: Doch zahlreiche Behörden fielen selbst schon offenkundig auf diese Masche rein. Wäre sicherlich Hilfreich, wenn die Behörden ihre eigenen Pressemitteilungen auch mal lesen würden. – Wie dem auch immer sei. Die besagte Sicherheitslücke ist schon seit Jahrzehnten bekannt: Das verantwortliche Unternehmen Microsoft tut in der Hinsicht auch recht wenig und trotzdem: Erfreuen sich die Office-Programme bei Behörden – nach wie vor – einer großer Beliebtheit. Augenscheinlich können nicht mal milliardenschwere IT-Schäden der „Liebe“ zu Microsoft etwas anhaben.

Wenn Lösegeldforderungen aus Steuergeldern an Kriminelle gezahlt werden

Allgemein halten sich die verantwortlichen Stellen mit exakten Zahlen und Angaben zurück: Aber der angerichtete Schaden – nur über diese eine Sicherheitslücke – dürfte bereits einem Milliarden übersteigen – Tendenz steigend. Neben Hardware, die möglicherweise nicht mehr zu ersetzen ist, kommen noch ungezählte Arbeitsstunden – um den angerichteten Schaden – zu beheben hinzu. Außerdem, Mitarbeiter die in der Zeit nichts Produktives tun können. Manchmal müssen auch Lösegeldforderungen aus Steuergeld an die Kriminellen gezahlt werden. Der Daten- und Identitätsdiebstahl bleibt hierbei mal ausgeklammert. Alles in Allen: Erfolgreiche Hackerangriffe sind nicht nur Ärgerlich, sondern ein extrem teures „Vergnügen“ . Alleine schon der Einsatz von quelloffenen Systemen: Die würde Abhilfe schaffen. Aber davon will man Vielerorts nichts Wissen.

Was ein Virenprogramm kann und was es nicht kann

Jedoch die vielfach beschworenen Virenprogramme können bei solchen Angriffen – nicht immer – helfen. Denn dazu muss man Wissen: Was ein Virenprogramm kann. Und vor allem: Was es eben nicht kann.

Sicherheitslücke ist seit Jahrzehnten bekannt

Beispiel: Bei einer ungeöffneten Word-Datei kann der Virenscanner durchaus keinen Virus oder Trojaner finden – Grund: Da keiner Vorhanden ist. – Oder genau: Noch nicht Vorhanden ist. Erst beim Öffnen des Word-Dokuments wird der Virus oder Trojaner – über ein Makro – aus dem Internet auf den Rechner geladen und gleichzeitig installiert. Theoretisch würde – danach – der Virenscanner das Problem auch erkennen: Aber dann ist es bereits zu Spät. Dabei hat der nachlässige Umgang mit Sicherheitslücken durchaus System.

Nachlässige Umgang mit Sicherheitslücken hat System

>>Tarnkappe.info<<

“ … wurde der Inhaber von Phantom Secure, Vincent Ramos, festgenommen. Ihm wurde nachgewiesen, dass er wissentlich seine verschlüsselten Smartphones an Banden und Drogenkartelle ausgeliefert hat. … Ramos bekannte sich … schuldig, ein kriminelles Unternehmen zu leiten, das den Drogenhandel unterstützt.“

Schuldig – ein kriminelles Unternehmen zu leiten“ – Der Vorwurf kann schnell erhoben werden

Schuldig – ein kriminelles Unternehmen zu leiten“ – Harte Anschuldigungen! Aber der Reihe nach. Es handelt sich dabei natürlich um eine amtlich-bekannte Masche: Die Behörden gezielt gegen bestimmte Personen oder Unternehmen einsetzen. Was soll denn nun sein konkretes Vergehen sein? Er hat Smartphones an Drogenkartelle verkauft.

Mit schwammigen Gesetzen legale Unternehmen erpressen

Eine ziemlich verwegene Anschuldigung: Denn nicht jeder Drogenhändler schreibt auf seine Stirn – Das er ein Drogenhändler sei. Und nur die Wenigsten – legalen Unternehmen – dürften einen nachgeschalteten eignen Geheimdienst unterhalten, der jeden potentiellen Kunden – für ein völlig legales Produkt – vorab durchleuchtet: Aber genau das wird einfach mal unterstellt. Hinzu kommen: Schwammige Gesetze – die erst solche behördlichen Auswüchse ermöglichen. Übrigens: In Deutschland stellt sich die rechtliche Situation auch nicht viel anders da. Etwas weiter im Text kommt dann auch heraus: Worum es in „Wirklichkeit“ geht.

Warum IT-Unternehmen „verpflichtet“ sind Hintertüren einzubauen

>>Tarnkappe.info<<

„Das FBI soll Ramos einen Deal angeboten haben, in dem sie eine Milderung der Strafe vorsehen, wenn er eine Backdoor in die genutzten Geräte einbaut. Doch Vincent Ramos fehlte dazu die Expertise, um eine Backdoor zu installieren. Dennoch gab sich das FBI damit nicht zufrieden, sie forderten ihn auf, dass er einen seiner Mitarbeiter dazu beauftragen soll.“

„Milderung der Strafe“ – „Wenn er eine Backdoor in die genutzten Geräte einbaut“ 

Leider kein bedauerlicher Einzelfall.

Wie IT-Unternehmen regelrecht erpresst werden

>>Heise.de<<

„Der US-amerikanische E-Mail-Anbieter Lavabit, der bekannt geworden war, weil der NSA-Whistleblower Edward Snowden ihn benutzt hat, wurde dicht gemacht. Ladar Levison, der Chef des Dienstes, der verschlüsselte Kommunikation anbietet, erklärte, er könne sich entweder an Verbrechen gegen US-Amerikaner beteiligen oder das Ergebnis zehn Jahre harter Arbeit aufgeben. Er habe sich für das zweite entschieden. Ihm sei es aber gesetzlich verboten, mitzuteilen, was ihn zu diesem Schritt bewogen hat.“

Schweigepflicht gegenüber der Öffentlichkeit

Durch die „Blume“ kann sich ja jeder Denken: „Was ihn zu diesem Schritt bewogen hat“ . Zwar ist der Anbieter mittlerweile wieder zurück auf der Bildfläche. Dennoch behält die Geschichte einen faden Beigeschmack.

Verpflichtender Einbau von Sicherheitslücken: Über Zwang in die Kriminalität gepresst

Nervus Rerum: Über „halb-freiwilligen“ Zwang werden IT-Leute dazu genötigt Hintertüren einzubauen.

Vollkommen Straffrei: Rechtswidriges Verhalten von Behörden

>>Posteo<<

„Massive Sicherheitsprobleme in der Praxis der Auskunftsersuchen nach § 113 TKG In der Praxis des Auskunftsverfahrens nach § 113 TKG liegen gravierende Sicherheitsprobleme vor. Ersuchen um Bestandsdaten nach §113 TKG enthalten sensible personenbezogene Informationen. Meist erhalten wir von den Polizeibehörden Ersuchen, in denen E-Mail-Adressen oder Namen in Verbindung mit einem konkreten Tatvorwurf genannt werden. Manchmal enthalten die Ersuchen auch vollständige Konto- bzw. Zahlungsdaten einer Person – oder Aktenzeichen der Ermittlungsbehörden. … Viele Ersuchen nach § 113 TKG erreichen uns per E-Mail – und werden uns unsicher bzw. unverschlüsselt übermittelt. Dieses Vorgehen verstößt gegen die oben genannten, geltenden Datenschutzbestimmungen und ist rechtswidrig.“

„Manchmal enthalten die Ersuchen auch vollständige Konto- bzw. Zahlungsdaten einer Person“

Die selbsternannten „Gesetzeshüter“ sehen bei eignen Rechtsverstößen meistens weg: Vermutlich ist die Zuständigkeit gerade unbekannt oder es tauchen andere vermeintliche „Hürden“ auf. Posteo ist einer der wenigen E-Mail-Anbieter: Die sich (noch) trauen über diese Machenschaften offen zu berichten. Erschreckend: Die Dreistigkeit, wie gegen geltendes Recht verstoßen wird.

Dreist: Wie gegen geltendes Recht verstoßen wird

Natürlich wird mit all dem Maßnahmen nicht nur geltendes Recht systematisch untergraben, sondern die gesamtem IT-Branche in Misskredit gezogen. „Das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systemewird auf diese Weise: Für Null und Nichtig erklärt. Für Verfassungswidriges Handeln wäre eigentlich der Geheimdienst zuständig: Aber dieser ist augenscheinlich wohl mehr damit beschäftigt: Die Lausitzer Allgemeinen Zeitung mit fragwürdige Offerten zu überhäufen.

 

–W E R Β U Ν G–

Loading...
Scroll Up