it-sicherheit
Dumpster Diving
Das BSI schreibt, dass ja die einfachen Angriffe manchmal die effektivsten sind:
Guten Tag,
IT-Sicherheit ist eine Kette von Massnahmen, und die ist nur so stark wie ihr schwaechstes Glied. Oft werden vorbildliche Schutzmassnahmen durch ganz banale Alltagsfehler entwertet. Ein Beispiel dafuer ist der Umgang mit ausgedruckten sensiblen Informationen. Da kann es schon einmal vorkommen, dass zuerst auf einem mit bester Sicherheitssoftware ausgestatteten Rechner unter Einhaltung aller Vorsichtsmassnahmen Online-Ueberweisungen gemacht werden. Mit den Ausdrucken der Rechnungen oder Kontoauszuege, auf denen vielleicht auch noch Zusatzinformationen wie Passwoerter notiert wurden, wird dann aber zuweilen nicht so sorgsam umgegangen. Immer wieder ragen etwa aus Altpapier-Containern Zettel mit
vertraulichen Daten heraus – eine verfuehrerische Einladung an Betrueger zum Missbrauch. Gerade rund ums vorweihnachtliche Einkaufen im Internet sollte man Aufrufe zum “Safe Printing”, (“sicheres Drucken”), durchaus ernst nehmen. Ueber zahlreiche andere aktuelle Risiken informieren wir Sie gleich im Anschluss. Spannende Lektuere und sichere Stunden im globalen Netz wuenscht Ihnen
Ihr BUERGER-CERT-Team
(Quelle für diesen – Newsletter: http://www.buerger-cert.de)
Für diesen Angriff gibt es sogar einen eigenen Begriff “Dumpster Diving“, ist nichts wirklich neues. In fast jedem Tätigkeitsbericht unseres Landesdatenschutzbeauftragten ist ein entsprechender Fall verzeichnet (in BaWü hat der Landtagspräsident mal seine alten Terminkalender für die Vereinssammlung von Altpapier auf die Straße gestellt – und damit der Presse die information gegeben, die er ihr auf konventionellem Weg verweitert hat.
2006 hat einer Hersteller von Aktenvernichtern das ganze mal wissenschaftlich untersuchen lassen:
Insgesamt wurden 4311 Namens- und Adressdaten aufgefunden, wobei Privathaushalte mit 37 Prozent, Unternehmen mit 31 Prozent sowie deren Kunden- und Geschäftspartner mit 28 Prozent in ungefähr gleichem Maße betroffen gewesen sein sollen. Die große Zahl an Namens- und Adressdaten sei darauf zurückzuführen, dass in Einzelfällen komplette Listen mit Kundendaten ohne weitere Vorsichtsmaßnahmen im Papiermüll entsorgt wurden. Zudem hätten einzelne Arztpraxen ganze Patientenkarteien weggeworfen. Des Weiteren wurden 897 Unterschriften vorgefunden, die zu über 50 Prozent aus Unternehmen stammten.
© Aguaviva - Fotolia.comSchn
Update: Bericht über einen entsprechenden Fall in England: http://www.ilex-datenschutz.de/kategorie-ii/pressartikel-iv/
Genauso interessant:
0
Passwörter
Bevor Sie denken, dass jetzt eine “Paßwort-Policy” oder Ähnliches kommt, halten Sie einen Moment inne und überlegen Sie, was man mit Ihrem Passwort alles anstellen kann:
- Mails in Ihrem Namen verschicken (z.B. Ihrem Chef mal richtig die Meinung geigen und klar machen, dass Sie nur noch auf die Kündigung warten – wie schaffen Sie so etwas wieder aus der Welt?)
- Banküberweisungen tätigen (gehören Sie zu denjenigen, die praktischerweise die ganze TAN-Liste im Homebankingprogramm eingetippt haben, um sie nicht jedesmal suchen zu müssen? Oder haben Sie Zugriff auf das firmeneigene SAP-System?)
- Datein löschen (wie lange haben Sie für den Power-Point-Vortrag, oder die Diplomarbeit gebraucht – wie lange dauert es, ihn zu löschen?)
- Dateien kopieren (ihre Kundenliste taucht dann vielleicht bei Ihrem Mitbewerber auf?)
- Ihre Internetpräsenz ergänzen (oder riskieren Sie, dass die Polizei vor dem Haus steht, weil ihr Webspace zum Umschlagplatz für Kinderpornographie geworden ist oder auf einmal in Ihrem Weblog volksverhetzende Äußerungen auftauchen?)
Ganz schön heftig? Es gibt viele Tipps und Anleitungen, ich habe eine einfache drei-Schritt-Offerte:
- Besorgen Sie sich einen Paßwortmanager (das ist ein kleines – für Private – kostenloses Programm). Der ermöglicht es Ihnen, für jeden Dienst ein anderes Paßwort zu wählen. Durch einen Zufallsgenerator entfällt das Erfinden. Das Paßwort ist lang, komplex und was man sonst noch so alles möchte.
- Ein kostenloses Programm ist “Password Safe“, entwickelt von einem Verschlüsselungs-Guru.
- Wer mehr will kann sich z.B. RoboForm (Historie)anschauen. Das Programm erkennt im Internet-Browser welches Paßwort das richtige ist und kann unterschiedliche Identitäten verwalten – kostet aber leider etwas.
- Geschützt wird dieser Paßwortmanager durch ein Master-Paßwort. Dabei gilt:
- Nehmen Sie einen langen Text (mind. 10 Zeichen).
- Am besten einen, den Sie (und nur Sie) im Notfall auch rekonstruieren können.
- Im Büro nehmen Sie am besten das Paßwort für die Windows-Anmeldung (das kann auch ein Administrator sich nicht einfach im Klartext anzeigen lassen).
- Geben Sie das Masterpaßwort nirgendwo sonst ein (nicht bei anderen Anmeldungen, insbesondere nicht bei irgendwelchen Test-Tools im Internet).
- Geben Sie es an niemanden weiter, auch nicht an den Vertreter/den Administrator.
- Schreiben Sie es nicht auf.
- Das Master-Paßwort wechseln Sie regelmäßig (2-12 mal im Jahr).
Die Anregung zu diesem Text kam neben meinem Beruf auch von diesem Blog (via Perun). Allerdings würde ich ein real genutztes Paßwort keinesfalls in ein unsicheres System eingeben – auch nicht in eines, das mir sagt, wie sicher das Paßwort davor war. Soweit zu meinem kleinen HowTo, gibt es noch Verbesserungsvorschläge/Lücken?
(c) D. Braun / pixelio.de
Genauso interessant:
0
Gewaltenteilung in der IT-Sicherheit
Heute mal ein Beispiel, wie man IT-Sicherheit nicht planen sollte:
“Hoher Schutzbedarf” bezüglich Vertraulichkeit ist bei Daten eigener Mitarbeiter fast immer gegeben. Die Daten von Kollegen/Chefs sind meistens interessanter als die von Lieschen Müller aus Hintertupfingen. Im konkreten Fall sollte der Zugriff auf diese speziellen Daten zudem auf absolute Ausnahmefälle begrenzt werden. Deswegen wurde für diese kritischen Daten ein Regelungvorschlag erarbeitet und mit großem Brimbamborium vorgestellt:
- Die Daten werden ausschließlich auf einem zentralen System gespeichert
- Der Zugang wird durch eine achtstellige Zahl gesichert, davon werden je vier Ziffern bei Organisationseinheit A und B hinterlegt.
Der Grundgedanke, ein Vier-Augen-Prinzip auch technisch abzusichern ist ja ganz löblich. Aber die Speicherung auf dem Zentralen Server sorgt für zusätzliche Risiken (Kumulationeffekt). Wurde ja bei ELENA und Vorratsdatenspeicherung reichlich öffentlich diskutiert.
Zur Not könnte ich die auch von Hand durchprobieren. Selbst bei einem System, das mich nach einer bestimmten Zahl von Fehlversuchen aussperrt kann ich typischerweise alle 10 Minuten einen Versuch machen. Wenn mir niemand durch eine Logfileauswertung auf die Schliche kommt, könnte ich das in rund einem halben Jahr durchprobieren (Basis 9 Stunden je Arbeitstag gibt maximal 185 Arbeitstage, im Schnitt errät man das Passwort nach der Hälfte der Versuche). Und das in dieser Zeit das Passwort geändert wird, halte ich für eher unwahrscheinlich – dafür bräuchte man gleichzeitig die Vertreter beider Organisationseinheiten 
Genauso interessant:
0Datenschutz als Buzzword – Über Radiergummis und Sand im Getriebe
Der digitale Radiergummi sollte Datenschutz zum Produkt “Made in Germany” machen. Passend zum politischen Begleitfeuerwerk gibt es ein Produkt unter dem vielsagenden Namen “X-Pire”. An Kritik wurde bereits bei der Vorankündigung nicht gespart. Statt der deutschen Wertarbeit gab es Schlangenöl zu einem ordentlichen Preis.
Soviel zur Funktionsweise:
Weil man nicht kontrollieren kann/will, wo das Bild rumgereicht wird, hält man nicht das Bild unter Verschluss, sondern einen kryptographischen Schlüssel. Wenn man alle Kopien des Bildes wieder einsammeln will, reicht es, den Schlüssel einzukassieren und alle sehen nur noch Schrott.
Soweit die schöne Theorie. In der Praxis funktioniert das natürlich nicht, weil PC’s offene System sind. Ich kann also einfach eine Kopie des Bildes in entschlüsselter Form machen, oder einen Screenshot oder mit der Digitalkamera den Bildschirm fotografieren… Auf der sicheren Seite – bei einem nicht-kooperativen Nutzer – wäre man nur mit einem bereits in der Hardware abgesicherten DRM und einem PC in einer abgeschotteten Umgebung – nur wer will das schon???
Die konkrete Implementierung ist ausserdem handwerklich suboptimal. Die Sicherheit von X-pire basiert darauf, dass der Schlüssel in der Hand des Servers bleibt – damit dieser den wieder einkassieren kann. Dazu wird mittels eines CAPTCHAs getestet, ob der Schlüssel von einem Menschen oder einer Maschine abgerufen wird. Eine durchaus lästige Funktion. Was es bräuchte wäre eine vom Betriebssystem geschützte Funktion, die mit dem Server verschlüsselt kommuniziert.
Also hat ein findiger IT-Professor in nur ~8 Stunden eine Umgehungslösung entwickelt/entwickeln lassen: Man richtet einen Schlüssel-Cache ein. Das hat für den Nutzer den Vorteil, dass er, wenn der Schlüssel schon im Cache ist, kein CAPTCHA lösen muss. Der CACHE-Betreiber lässt bei einem unbekannten Bild den Nutzer das CAPTCHA lösen und kann alle Bilder dauerhaft entschlüsseln – und bekommt die Info,welche Bilder vielleicht “heiß” sein können auf dem Silbertablett serviert.
(k)eine Downloadmöglichkeit von “Steusand”
(Dank Prof. Federrath habe ich z.B. schon über die Untiefen des Patentrechts bei Abhörtechnik amüsiert)
Nachtrag: Die Bewertung von X-Pire bei heise “bitte vergessen“:
Zurück bleiben: Ein durchsichtiger Versuch eines Professors, mit der Verunsicherung der Internet-Nutzer Geld zu verdienen, ein durchsichtiger Versuch einer offensichtlich überforderten Ministerin, mal wieder positive Schlagzeilen zu produzieren – und ein Problem, das es verdient hätte, ernsthaft diskutiert zu werden.
Genauso interessant:
1Was für Software braucht ein PC? – II. Teil
Welche Software sich als Grundaustattung empfielt hatte ich in einem meiner letzten Beiträge.beschrieben. Heute bich ich auf einen interessante Webdienst gestoßen:
The easiest way to get apps.
1. Pick your favorite software.
2. Start your customized installer.
3. You're done!
viaNinite Easy PC Setup – Silent Unattended Install Multiple Programs At Once.
Hat jemand Erfahrung?
Genauso interessant:
0Was für Software braucht ein PC?
Jeder “Computerkundige” kennt die Nachbarn, Freunde und Arbeitskollegen die gerne etwas Betreuung hätten. Meiner Erfahung nach kann man einiges mit einer guten Grundaustattung erreichen. Heise gibt da Hilfestellung:
Insgesamt stellt das Themen-Special im Software-Verzeichnis 57 Programme zusammen, die auf keinem Rechner fehlen sollten, auch zu Rubriken wie Audio und Video, Programmierung oder Netzwerk und Server. Zusammen mit den Anwendungen für Büro und Internet aus dem ersten Teil passt die vollständige Grundausstattung auf DVD, die man etwa zu Freunden mitnehmen kann.
via heise online – Themen-Special: Grundausstattung für Sicherheit, System und Netzwerk.
Meine persönliche Checkliste:
- Firefox mit NoScript
- Thunderbird (Ausnahme: Outlook wird im Büro verwendet)
- freier PDF-Viewer (kein AdobeAcrobat – wegen zu vielen Lücken)
- Office: Wenn Lizenz vorhanden und Microsoft im Büro eingesetzt ja, sonst OpenOffice
- Viresscanner (Kostenlos, meist Avira)
- Backup: Habe leider noch keine wirklich taugliche OpenSource Angebote gefunden. Ich behelfe mir mit einer Testversion eines Imaging-Programmes um den Grundzustand zu konservieren.
- Plan für die Zukuft: Die c’t hat eine “Fernhilfe” in Form eines gesicherten RemoteDesktop zusammengestellt. Das könnte manches Problem einfach beseitigen…
- Wenn gewisse Experementierfreude vohanden ist: Personal Software Inspector. Das Programm sorgt für die Updates der diversen Programme…
Genauso interessant:
3Gut gemeint ist nicht gut gemacht
z.B. wenn ein Urteil extra “anonymisiert” wird, es dem Stift aber offensichtlich so an Deckkraft fehlt, dass auch auf der Kopie der Ursprungstext noch gut erkennbar ist…
Kommentare
