Tumblelog by Soup.io
Newer posts are loading.
You are at the newest post.
Click here to check if anything new just came in.

February 17 2014

February 03 2014

BSI-Fail bei geklauten Passwörtern wird immer größer

Hacker aus Osteuropa hatten mehrere Millionen Passwörter zu Nutzeraccounts in die Hände bekommen. Danach ist die Datenbank mit diesen Zugangsinformationen in die Hände des BSI gelangt. Und wahrscheinlich erinnert ihr euch noch an die Meldung vor zwei Wochen, in der wir darüber gelästert haben, dass die Webseite der Behörde zur Überprüfung ob man selbst zu den Betroffenen gehört vom Ansturm an Abfragen in die Knie gegangen war.

Schon damals hatte man sich an vielen Stellen gefragt, warum es so lange gedauert hatte, bis das BSI mit der Information über die geknackten Onlinekonten an die Öffentlichkeit gegangen war, immerhin hatten sie nach eigenen Angaben bereits seit Dezember über den Vorfall Bescheid gewusst. BSI-Präsident Michael Hange rechtfertigte die Verzögerung jedoch damit, es habe lange gedauert bis das Verfahren einer “großen Zahl von Anfragen gewachsen ist”.

Das klang damals schon ein bisschen fragwürdig. Mittlerweile hat sich herausgestellt, dass der Datenklau nicht erst seit Dezember bekannt war. Der Spiegel hat gestern bekannt gegeben, dass BKA und BSI bereits im August vor geknackten Konten gewarnt hatten. Aber nicht normale Bürger, sondern ausschließlich Mitglieder von Behörden, Ministerien und dem Deutschen Bundestag, denn man hatte herausgefunden, dass sich 600 E-Mail-Adressen aus diesem Umfeld in der Datenbank betroffener Adressen befanden. Warum man nicht zum gleichen Zeitpunkt auch die Bürger informiert hatte, versucht das BSI damit zu begründen, man habe “zunächst eine aufwendige Webseite programmieren und Datenschutzfragen klären müssen”. Verzeiht, wenn ich Bilder sprechen lasse, aber manchmal sagt ein solches mehr als 1000 Worte:

Original CC-BY-NC-SA 2.0 via Flickr/dkbschmidt

Original CC-BY-NC-SA 2.0 via Flickr/dkbschmidt

Konstantin von Notz sagte gestern dem Spiegel gegenüber, es stehe der Verdacht einer massiven Schutzpflichtverletzung im Raum, falls die Behörden wirklich seit August Bescheid gewusst hätten. Schutzpflichtverletzung ist ein sehr nüchterner Ausdruck für einen Vorfall, der illustriert, dass wir in Deutschland eine Zwei-Klassen-Gesellschaft haben, wenn es um Datenschutz und Privatsphäre geht. Ein wenig wie bei der Abhörung des Kanzlerinnenhandys, auch dort schien die massenhafte Abhörung der Bevölkerung im Verhältnis zu einem einzigen Mobiltelefon keine rechte Relevanz zu haben.

Man sollte sich daher auch an die eigene Nase fassen, wenn man den Amerikanern vorwirft, sie legten unterschiedliche Maßstäbe für die Privatsphäre der Menschen im Land und außerhalb an und man selbst nichteinmal den eigenen Bürgern untereinander das gleiche Schutzrecht zugesteht, ohne dass es einen ernstzunehmenden Grund dafür gibt. Das ist kein technischer Ausrutscher – das ist eine Missachtung demokratischer Werte und eine Manifestation asymmetrischer Grundrechtsverteilung.

Wir wollen netzpolitik weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

Reposted bymondkroetestraycatBloodredswanambassadorofdumbCholerik

January 21 2014

sicherheitstest.bsi.de – Wenn die DoS-Attacke aus der eigenen Bevölkerung kommt…

Heute morgen wurde vom BSI (Bundesamt für Sicherheit in der Informationstechnik) die Mitteilung veröffentlicht, es seien circa 16 Millionen kompromittierte Nutzerkonten entdeckt worden. Das heißt, zu den jeweiligen Online-Accounts sind Nutzername, E-Mail-Adresse und Passwort in die falschen Hände gelangt. Die E-Mail-Adressen der betroffenen Accounts seien dem BSI “übergeben” worden, von wo wurde nicht bekannt gegeben.

Netterweise bot die Behörde die Möglichkeit, abzugleichen, ob man selbst zu den Betroffenen gehört, indem man auf der Seite www.sicherheitstest.bsi.de seine Mail-Adresse eingibt. Bekommt man eine Antwort, befindet sich die Adresse unter den kompromittierten. Nach der Adresseingabe bekommt man noch einen vierstelligen Code, der sich auch im Betreff der Mail wiederfinden muss – nur zur Sicherheit.

Apropos Sicherheit. Die erzeugt auch das Kreuzchen, dass man machen muss, um zu versichern, dass man nicht die Mailadresse seines Nachbarn testen lässt.

Ich bin damit einverstanden, dass meine personenbezogenen Daten, die bei der Nutzung des auf dieser Webseite angebotenen Sicherheitstests anfallen, zur Durchführung des Tests und zur Mißbrauchserkennung erhoben, verarbeitet und genutzt werden dürfen. Ich bestätige, dass ich das Angebot auf dieser Webseite ausschließlich unter Angabe meiner eigenen E-Mail-Adresse(n) nutze.

Dass sich wirklich jemand für den Sicherheitstest interessiert, damit haben die Leute vom BSI wohl nicht gerechnet. Zumindest sei die Seite bereits kurz nach Erscheinen eines Spiegel-Artikels zum Thema überlastet und kaum erreichbar gewesen, so der Nachfolgeartikel. Ein etwas peinlicher Fehler, mag man sagen. Aber dass sich an der Situation auch jetzt, zehn Stunden später, kaum etwas geändert hat, ist weitaus mehr als nur eine lapidare Panne.

Da sollte man sich vielleicht nochmal informieren, was bei Denial-of-Service-Attacken getan werden muss, vor allem, wenn sie aus der eigenen, besorgten Bevölkerung kommen…

Zumindest nicht so, wie Pressesprecher Tim Griese empfiehlt:

Die Seite ist immer wieder mal aufrufbar. Am besten probiert man es mehrfach.

Wir wollen netzpolitik weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

Reposted by02mydafsoup-01 02mydafsoup-01

November 09 2013

“Cyber Storm”: Deutsche Behörden, USCYBERCOM, NSA und DHS trainieren Prävention und Abwehr von “Cyberangriffen”

Cyberstorm_IIIWieder haben deutsche Behörden an der wohl weltweit größten “Cyberübung” teilgenommen. So steht es auf der Webseite des US-Ministeriums für Heimatschutz (DHS). Das DHS ist für die Planung und Durchführung des Manövers verantwortlich. “Cyber Storm IV” endet dieses Jahr. Alle zivilen und militärischen US-Sicherheitsbehörden waren mit von der Partie, darunter auch das 2010 eingerichtete “Cyber Command” (USCYBERCOM) sowie die Geheimdienste CIA und NSA.

Die “Cyber Storm”-Manöver werden seit 2006 abgehalten. Die erste Übung fand noch unter alleiniger Beteiligung von US-Behörden statt. 2008 versammelte “Cyberstorm II” neben den USA auch Großbritannien, Australien, Kanada und Neuseeland. Die befreundeten Staaten sind auch Mitglieder des Geheimdienstnetzwerks “Five Eyes”, das vermutlich hinter weitgehenden, weltweiten digitalen Spähmaßnahmen steckt.

Für die internationale Vorbereitung von “Cyberstorm” existieren multilaterale Netzwerke. Hierzu gehört die “Arbeitsgruppe EU-USA zum Thema Cybersicherheit und Cyberkriminalität” sowie ein sogenanntes “EU-/US-Senior-Officials-Treffen”. An “Cyber Storm III” nahm erstmals auch Deutschland teil, ebenfalls an Bord waren Frankreich, Ungarn, Italien, Niederlande und Schweden sowie zahlreiche mit IT-Sicherheit befassten Firmen (eine Liste aller damals Beteiligten findet sich im Abschlussbericht).

“Cyberstorm IV” ist noch größer angelegt als seine drei Vorläufer: Die Übung begann bereits letztes Jahr und klappert zwischendurch etliche US-Bundestaaten ab. Das Finale namens “Evergreen” war für diesen herbst angekündigt, offensichtlich aber ohne ausländische Beteiligung.

Welche deutschen Behörden bei “Cyberstorm IV” mitmischen, geht aus den Dokumenten des US-Heimatschutzministeriums nicht hervor. Es dürfte sich aber wie bei “Cyberstorm III” um das Bundesamt für Sicherheit in der Informationstechnik (BSI) handeln. Laut der Antwort auf eine Kleine Anfrage hatte das BSI vor drei Jahren bereits “25 Mitarbeiter” abgestellt, ein Mitarbeiter sei sogar in der “zentralen Übungssteuerung in Den Haag” eingesetzt gewesen. Welche Infrastruktur der niederländischen Hauptstadt eingebunden war, wird nicht mitgeteilt. Es könnte aber der Vorläufer des European Cybercrime Centre (EC3) bei EUROPOL gemeint sein. Dies würde auch erklären, auf welche Weise das Bundeskriminalamt (BKA) ebenfalls bei “Cyber Storm III” mitmischte.

Laut der Bundesregierung hätten das BSI und das BKA nur an einem “Strang” partizipiert, wo kein Militär anwesend war. Geübt wurde demnach mit dem US-Heimatschutzministerium. Australien, Italien, Kanada, Neuseeland und Großbritannien seien dabei als Beobachter aufgetreten. Jegliche Beteiligung des BSI und BKA an militärischen Aktivitäten wird abgestritten. Das ist jedoch Augenwischerei: Alle Erkenntnisse aus Teilbereichen des Manövers können auch geheimdienstlich oder militärisch genutzt werden.

Zu den Szenarien von “Cyber Storm” gehören “cyberterroristische Anschläge”, über das Internet ausgeführte Angriffe auf kritische Infrastrukturen, “DDoS-Attacken” sowie “politisch motivierte Cyberangriffe”. Es werden auch “Sicherheitsinjektionen” mit Schadsoftware vorgenommen. Es kann angenommen werden, dass die Hersteller des kurz nach der Übung “Cyberstorm III” auftauchenden Computerwurm “Stuxnet” ebenfalls von derartigen Anstrengungen profitierten – jedenfalls wird vielfach eine teilweise Urheberschaft von US-Behörden vermutet. Selbst die Bundesregierung bestätigt, dass sich “Stuxnet” durch “höchste Professionalität mit den notwendigen personellen und finanziellen Ressourcen” auszeichne und vermutlich einen geheimdienstlichen Hintergrund hat.

Auch in Europa bzw. der Europäischen Union werden die Kapazitäten zur Zusammenarbeit bei “Cybersicherheitsvorfällen” stetig vernetzt. Regelmässig werden entsprechende Übungen abgehalten. “BOT12″ simuliert Angriffe durch “Botnetze”, “Cyber Europe 2010″ und “Cyber Europe 2012″ versammelte unter anderem die Computer Notfallteams CERT aus den Mitgliedstaaten (hier der Abschlussbericht). Nächstes Jahr ist eine “Cyber Europe 2014″ geplant. Für die Planung und Organisation aller “Cyber Europe” ist die Europäische Agentur für Netz- und Informationssicherheit (ENISA) verantwortlich, die von dem ehemaligen BSI-Chef Udo Helmbrecht geführt wird. Außerdem errichtet die EU ein “Advanced Cyber Defence Centre” (ACDC), an dem auch die Fraunhofer Gesellschaft, EADS Cassidian sowie der Internet-Knotenpunkt DE-CIX beteiligt sind.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

October 03 2013

Das Bundesamt für Sicherheit in der Informationstechnik und seine Kooperation mit militärischen Einrichtungen

cyber_atlantic_ENISAIn den von Edward Snowden nach und nach veröffentlichen Geheimdokumenten zu den Fähigkeiten der US-Geheimdienste ist auch vom Bundesamt für Sicherheit in der Informationstechnik (BSI) die Rede. Die Behörde bezeichnete sich selbst “Schlüsselpartner” des US-Militärgeheimdienstes National Security Agency (NSA).

Unbestritten ging das BSI aus der “Zentralstelle für das Chiffrierwesen” hervor, die beim Bundesnachrichtendienst angesiedelt war. Im “Nationalen Cyber-Abwehrzentrum” (NCAZ) arbeitet die Behörde mit allen Polizeien und Geheimdiensten des Bundes zusammen, darunter auch dem Militärischen Abschirmdienst. Wie die Bundeswehr betreibt das BSI ein “Computer Emergency Response Team” (CERT). Ziel der CERT’s, die auch auch von der Privatwirtschaft errichtet werden, ist der “verbesserte IT-Schutz”. Hierzu gehört nicht nur die “Lösung von konkreten IT-Sicherheitsvorfällen” oder Warnungen vor Sicherheitslücken. “In Einzelfällen” werden laut Bundesregierung auch “Penetrationstests” vorgenommen.

Grund genug also, sich für Kooperationen des BSI auf internationalem Parkett zu interessieren. Das dachte sich auch der MdB Jan Korte, der gemeinsam mit anderen Abgeordneten die Kleine Anfrage “Die Rolle des Bundesamts für Sicherheit in der Informationstechnik in der PRISM-Ausspähaffäre” gestellt hatte. Die Antwort ist nun eingetrudelt. Wie üblich werden eine Reihe von Informationen aber in die Geheimschutzstelle verschoben und sind dort nur für die Angehörigen des Bundestages einsehbar. Darüber sprechen dürfen sie in der Öffentlichkeit nicht.

So erfahren wir beispielsweise nichts über weitere Treffen zwischen dem BSI und weiteren geheimdienstlichen US-Einrichtungen. Lediglich ein “Expertentreffen” zwischen dem US-Militärgeheimdienst NSA, dem BND und dem BSI am 10. und 11. Dezember 2012 in Bonn wird bestätigt. Eine “fachliche Kontaktaufnahme” seitens des BSI zur NSA sei auch gar nicht nötig gewesen, erklärt die Bundesregierung. Denn diese sei bereits “auf ministerieller Ebene erfolgt”. Das ist interessant, denn das BSI untersteht dem Bundesinnenministerium. Der Satz lässt sich so interpretieren, dass IM Friedrich selbst bei der NSA angeklopft hatte.

Doch auch die öffentlich beantworteten Fragen geben Anlass zu Zweifeln. Denn es wird wiederholt, was das BSI bereits in einer eigenen Pressemitteilung betonte. So heißt es, man habe “weder die NSA noch andere ausländische Nachrichtendienste unterstützt”. Allerdings geht es bei dem Dementi lediglich um die Frage, ob das BSI half, “Kommunikationsvorgänge oder sonstige Informationen am Internet-Knoten De-CIX” auszuspähen. Bezüglich des Überwachungswerkzeugs XKeyscore war das BSI aber sehr wohl involviert: MitarbeiterInnen seien laut der Bundesregierung “bei einer externen Präsentation des Tools durch den Bundesnachrichtendienst im Jahr 2011″ anwesend gewesen.

Die Zusammenarbeit mit der NSA wird nicht bestritten, denn diese sei die für die USA zuständige “Nationale Kommunikationssicherheits- und Cybersicherheitsbehörde”. Die NSA ist aber nicht die einzige Militärbehörde, mit der das BSI Beziehungen pflegt. Die internationale Kooperation knüpft laut der vorliegenden Antwort an die Mitgliedschaft der Bundesrepublik Deutschland in der NATO an. “Kooperationsfelder” würden sich demnach “aus den Aufgaben der NATO in der Informations- und Cybersicherheit” ableiten. Für die “anlass- und themenbezogene Zusammenarbeit” innerhalb der NATO seien “geregelte Gremienstrukturen” eingerichtet worden.

Zur Wahrnehmung seiner Aufgaben nimmt das BSI an “internationalen IT-Sicherheitsübungen” teil. Die Europäische Union hatte beispielsweise die Übung “Cyber Europe 2010″ ausgerichtet, um die “Abwehrbereitschaft der EU” zu verbessern. 22 Mitgliedstaaten beteiligten sich, verantwortlich war die Europäische Agentur für Netz- und Informationssicherheit (ENISA) mit Sitz in Athen. Chef der ENISA ist Udo Helmbrecht, früherer Präsident des Bundesamtes für Sicherheit in der Informationstechnik (BSI).

Mittlerweile werden derartige Manöver zur “Abwehr von IT-Angriffen gegen Regierungsnetze” unter Beteiligung der USA durchgeführt. In der Übung “Cyber Atlantic 2011″ lag hierfür unter anderem das Szenario eines Hackerangriffs zugrunde:

Für das erste Szenario wurde als Angreifer eine Hackergruppe mit “Anonymous ähnlichem” Hintergrund angenommen und im zweiten Szenario wurde die Reaktion auf Angriffe gegen kritische Infrastrukturen geübt.

Kurz vor der “Cyber Europe 2010″ hatten mehrere EU-Mitgliedstaaten (Frankreich, Deutschland, Ungarn, Italien, Niederlande, Schweden und Großbritannien) an der zivil-militärischen US-Übung “Cyber Storm III” teilgenommen, die vom Ministerium für Innere Sicherheit der Vereinigten Staaten (DHS) geleitet wurde. Die EU-Kommission und ENISA nahmen als Beobachter teil. Auch das BSI war mit 25 MitarbeiterInnen an Bord und beschäftigte sich in “Cyberstorm III” mit einem “Computerwurm-Szenario” (kurz darauf wurde erstmals die Existenz des Stuxnet-Virus offenkundig). Auch ein Mitarbeiter des Bundeskriminalamts (BKA) sei laut der Bundesregierung an “Cyberstorm III” beteiligt gewesen, ein weiterer Mitarbeiter des BSI saß mit in der “zentralen Übungssteuerung” in Den Haag.

Hier schließt sich der Kreis zur Zusammenarbeit mit internationalen Militärs, denn in “Cyber Storm III” war auch das US-Verteidigungsministerium mit mehreren Behörden eingebunden: Dem “Defense Cyber Crime Center”, dem “United States Cyber Command”, dem “United States Strategic Command” und natürlich führenden MitarbeiterInnen der NSA.

Zur derart dominanten militärischen Beteiligung bei “Cyberstorm III” befragt, redet sich die Bundesregierung heraus:

An dem Strang von Cyber Storm III, an dem Deutschland [mit BSI und BKA] beteiligt war, haben keine militärischen Stellen teilgenommen.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

Reposted by02mydafsoup-01mondkroete

August 20 2013

BSI 2005 über BlackBerry E-Mail Push-Dienst: “Britische Behörden haben Zugriff auf das gesamte Nachrichtenaufkommen”

Deckblatt: Sicherheitsaspekte des E-Mail-Push-Dienstes

Deckblatt der BSI-Analyse: Sicherheitsaspekte des E-Mail-Push-Dienstes “BlackBerry”

Das gesamte Nachrichtenaufkommen des E-Mail-Push-Dienstes von BlackBerry wird zwangsweise über Großbritannien geleitet und steht den örtlichen Sicherheitsbehörden zur Verfügung. Das schrieb das Bundesamt für Sicherheit in der Informationstechnik vor acht Jahren in einem internen Papier, das wir in Volltext veröffentlichen. Die britischen Behörden konnten demnach schon damals unter “sehr weit gefassten Voraussetzungen” auf alle Nachrichten zugreifen, unter anderem auch ganz offiziell zur Wirtschaftsspionage.

Heute Vormittag berichteten wir über die Ablehnung unserer Informationsfreiheits-Anfrage nach einem BSI-Papier über die Sicherheit von BlackBerry-Produkten. Die für IT-Sicherheit zuständige Bundesbehörde verweigerte unsere Anfrage, weil die Antwort “nachteilige Auswirkungen auf die internationalen Beziehungen haben” könnte. Das lassen wir nicht gelten und haben weiter gegraben.

Wie wir herausfinden konnten, hat die WirtschaftsWoche zum damaligen Bericht von Jürgen Berke mindestens in der Print-Ausgabe auch den Inhalt der BSI-Analyse gedruckt. Wir haben diese wieder ausgegraben und zitieren hiermit in Volltext aus dem Papier mit dem Titel “Sicherheitsaspekte des E-Mail-Push-Dienstes ‘BlackBerry’” mit Stand vom 20. September 2005:

1. Die Übertragungssicherheit beruht vollständig auf proprietären Mechanismen der Firma RIM. Der zur Verschlüsselung verwendete mathematische Algorithmus wird zwar als sicher angesehen, für die Qualität der Implementierung, der Schlüsselerzeugung und des Schlüsselmanagements liegt jedoch keine unabhängige Evaluierung vor.

2. Das gesamte Nachrichtenaufkommen wird zwangsweise über ein Mobile Routing Center (MRC) im Ausland geleitet (für Europa nach Großbritannien, Egham bei London). Damit sind dort alle Verbindungsdaten (Absender, Empfänger, Uhrzeit) sowie die (verschlüsselten) Kommunikationsinhalte verfügbar. Nach britischem Recht können die örtlichen Sicherheitsbehörden unter sehr weit gefassten Voraussetzungen (unter anderem zum Wohl der britischen Wirtschaft) Zugang zu diesen Daten Daten erhalten (RIP-Act 2000). Im Falle von (aus britischer Sicht) ausländischem Nachrichtenverkehr dürfen diese sogar ohne Personenbezug aufgeklärt werden.

3. Es ist nicht möglich, eine eigene, von RIM unabhängige Verschlüsselung zum Schutz der Kommunikationsinhalte zu realisieren. So lassen sich Mail-Anhänge, die vom Nutzer (zum Beispiel mit PGP oder Chiasmus) verschlüsselt wurden, mit BlackBerry nicht übertragen. Eine Verschlüsselung des Übertragungsweges (…) scheitert an der speziellen Blackberry-Infrastruktur.

4. Der im Unternehmensnetz installierte Synchronisationsserver BES (Blackberry Enterprise Server) wird mit einer Software der Firma RIM betrieben und benötigt hoch privilegierten Zugriff auf die Mail/Messaging-Server des Unternehmens. Er kann somit auf den gesamten dort gespeicherten Datenbestand zugreifen.

5. Alle Verfahren, Softwarekomponenten und Protokolle sind proprietär und werden von RIM als Firmengeheimnis behandelt. Das tatsächliche Betriebsverhalten des Systems lässt sich daher nicht überprüfen. Kritisch ist in diesem Zusammenhang, dass auf rund der verschlüsselten Übertragung nicht nachvollziehbar ist, welche Nachrichten zwischen Blackberry Enterprise Server und Mobile Routing Center ausgetauscht werden.

Das Fazit des Bundesamtes lautete:

Bei dieser Sicherheitseinschätzung können ausschließlich die potentiellen Möglichkeiten, die Blackberry zur nachrichtendienstlichen Informationsbeschaffung bietet, betrachtet werden. Ob und inwieweit diese Möglichkeiten tatsächlich genutzt werden, entzieht sich der Kenntnis des BSI und ist nicht Gegenstand dieser Einschätzung. Aus Sicht des BSI ist Blackberry auf Grund der oben dargestellten unsicheren Architektur für den Einsatz in sicherheitsempfindlichen Bereichen der öffentlichen Verwaltung und spionagegefährdeten Unternehmen nicht geeignet.

Zur Einordnung verweisen wir gerne noch auf ein paar weitere Meldungen der letzten Jahre:

Kann uns wer sagen, ob wir (oder die WirtschaftsWoche) jetzt die internationalen Beziehungen beschädigen?

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

Spaß mit Informationsfreiheit: BSI warnt vor Blackberry, Begründung gefährdet die internationalen Beziehungen

Sitz des BSI in Bonn. Bild: Qualle. Lizenz: Creative Commons BY-SA 3.0.

Sitz des BSI in Bonn. Bild: Qualle. Lizenz: Creative Commons BY-SA 3.0.

Das Bundesamt für Sicherheit in der Informationstechnik warnt vor BlackBerry, weil britische Dienste Zugriff auf das “gesamte Nachrichtenaufkommen” haben. Ein Einblick in die zugrundeliegende Analyse wird uns aber verwehrt, da die Informationen die internationalen Beziehungen gefährden würden. Das BSI verweigert hier seine Aufgabe: Die IT-Sicherheit in unserer Gesellschaft.

Langsam können wir die Rubrik Spaß mit Informationsfreiheit zur eigenen Dauer-Kategorie befördern. Der neueste Streich: Vor acht Jahren (!) warnte das Bundesamt für Sicherheit in der Informationstechnik (BSI) vor den Diensten des Unternehmens BlackBerry. Jürgen Berke berichtete damals in der WirtschaftsWoche:

Nach Volkswagen meldet auch das Bonner Bundesamt für Sicherheit in der Informationstechnik (BSI) Bedenken an und warnt vor dem Gebrauch der mobilen E-Mail-Maschine. „Auf Grund der unsicheren Architektur ist der Blackberry für den Einsatz in sicherheitsempfindlichen Bereichen der öffentlichen Verwaltung und spionagegefährdeten Unternehmen nicht geeignet“, heißt es in einer BSI-Analyse. Der „nur zum internen Gebrauch“ erstellte Bericht kreidet RIM an, dass das „gesamte Nachrichtenaufkommen zwangsweise“ über ein Rechenzentrum in Egham bei London geleitet wird. „Nach britischem Recht“ – so der BSI-Bericht – können „die örtlichen Sicherheitsbehörden unter sehr weit gefassten Voraussetzungen (unter anderem zum Wohle der britischen Wirtschaft)“ – Zugang zu allen Verbindungsdaten und Inhalten erhalten. „Es gibt damit die theoretische Möglichkeit, dass Dritte auf die E-Mails zugreifen, die vom Blackberry versandt werden“, erklärt BSI-Referatsleiter Michael Dickopf.


Nachdem CCC-Sprecher Frank Rieger letzten Monat berichtete, dass Blackberry 10 E-Mail-Passworte für NSA und GCHQ zugreifbar macht ist uns die BSI-Analyse wieder eingefallen, die wir prompt per Informationsfreiheits-Anfrage angefordert haben. Jetzt kam die kürzeste IFG-Antwort, die wir bisher erhalten haben:

Ihr o.g. Antrag wird nach § 3 Nr. l lit. a) IFG abgelehnt, da das Bekanntwerden der Information nachteilige Auswirkungen auf die internationalen Beziehungen haben kann.

Das BSI ist eine Bundesbehörde und gehört zum Geschäftsbereich des Innenministeriums. Es wird aus Steuern finanziert und erarbeitet Informationen zur IT-Sicherheit für die öffentliche Verwaltung, Wirtschaftsunternehmen, Wissenschafts- und Forschungseinrichtungen sowie Privatanwender. Warum darf die Öffentlichkeit eine von ihr bezahlte Untersuchung nicht sehen, in der vor bestimmten Diensten gewarnt wird? Wie passt das mit der Aufgabe zusammen, “den sicheren Einsatz von Informations- und Kommunikationstechnik in unserer Gesellschaft zu ermöglichen und voranzutreiben”? Und was hat das mit den internationalen Beziehungen zu tun?

Natürlich lassen wir das nicht auf uns sitzen und haben zunächst den Informationsfreiheitsbeauftragten Peter Schaar um Vermittlung gebeten.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

January 15 2010

BSI: Schmeißen Sie den Internet Explorer schnell weg

Das Bundesamt für Sicherheit in der Informationstechnologie warnt aktuell vor der Verwendung des Internet Explorers: BSI empfiehlt die vorübergehende Nutzung alternativer Browser.

Reposted bysgu sgu

December 18 2009

Botnets, Internetanbieter und Politik – auf sanften Sohlen zu neuen nationalen Strukturen der Internet-Regulierung?

Dieser Gastbeitrag stammt von Andreas Schmidt, der an der Technischen Universität Delft zu institutionellen und organisatorischen Aspekten von Internet-Sicherheit forscht. Er bloggt seit kurzem auch dazu auf netdefences.com. (RB)

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und der Verband der Internetbetreiber (eco) haben vereinbart, im Rahmen einer Kooperation eine Art nationales Botnet-Zentrum zu errichten. Ist es nach der politischen Instrumentalisierung missbrauchter Kinder ein neuer Versuch, eine Organisation aufzubauen, die einen direkten staatlichen (oder privatwirtschaftlichen) Eingriff in die Kommunikation aller ermöglicht? Wo beim Sperrgesetz Schwarz und Weiß noch sehr einfach zu trennen waren, sind die Dinge hier verschlungener, nuancierter, vielschichtiger.

Es gibt eine Reihe von Gründen, die BSI und eco zu diesem Schritt bewegt haben dürften. Gestützt wird ihr Vorgehen von pragmatischen Erwägungen und einer Reihe plausibler wissenschaftlicher Argumente. Doch es könnte auch der Kern eines neuen nationalen Internet-Governance-Regimes werden, dessen gesamtes Gebilde und auch dessen Risiken und Nebenwirkungen sich erst im Laufe der Zeit offenbaren werden. Das Botnet-Problem

Botnets sind die technische Unsicherheitsinfrastruktur, von der zahlreiche technische, wirtschaftliche und politischen Risiken für das Internet ausgehen. Botnets bestehen, vereinfacht gesagt, aus einer Vielzahl von Zombie-Rechnern, sowie einer oder mehrerer Command&Control-Hierarchien von Rechnern, die darunter liegende Rechner steuern. Das Versenden von Spam basiert häufig auf Botnets, Phishing wiederum nutzt Spam-Emails, mit Phishing lassen sich Bankkonten leer räumen. In Cyberwarfare-Szenarien – wie wahrscheinlich oder unwahrscheinlich sie auch immer sein mögen (vgl. Schneier) – sind gegnerische Angriffswerkzeuge Rechner, die mit Malware oder Botnet-Clients infiziert und mit Command&Control-Rechnern zu Botnets verbunden sind. Die selben Technologien sind somit die Ursache für Sicherheitsprobleme auf unterschiedlichen Ebenen: Gefährdung der grundlegenden Funktionsfähigkeit des Internets, Funktionsfähigkeit der darauf aufbauenden Infrastrukturen, der auf das Internet aufbauenden Geschäftsaktivitäten, finanzielle Gefährdungen von Einzelpersonen und Unternehmen durch Online-Diebstahl, Beschneidung nationaler Handlungsfähigkeit durch Ausschaltung kritischer Informationsinfrastrukturen, Gefährdung der technischen IT-Sicherheit, oder Angriffe durch “superempowered
small-groups”
(John Robb).

Lassen wir die Cyberwarfare-Szenarien mit ihren geringen Wahrscheinlichkeiten, aber hohen potentiellen Schäden beiseite, und beschränken uns auf das bodenständigere, reale Problem, von dem auch in den eco-BSI-Meldungen die Rede war: Cybercrime, also das, was in der dinglichen Welt Überfall, Einbruch und Diebstahl entspräche. Tyler Moore und Richard Clayton, deren Studien zu Anti-Phishing und Take-down von der Leyens Argumentation zur Unmöglichkeit von zeitnahem Löschen diskreditierte hatten, haben mit ihren Chef Ross Anderson eine kleine Studie zu den “Economics of Online Crime” erstellt. Aus verschiedenen
Quellen haben sie Zahlen zusammengetragen, die die ökonomische Bedeutung von Cybercrime belegen sollen (Moore, Clayton & Anderson, 2009, S. 5):

Nun kann man bei diesen Zahlen natürlich eine gewisse Skepsis walten lassen, Symantec etwa ist kein unabhängiges Forschungsinstitut. Entscheidend sind die jährlichen Schäden. Ein Blick auf das untere Drittel der Tabelle lässt ahnen, dass
niemand so recht weiß, von welchen Schadensummen man eigentlich auszugehen hat. Nur dass sie offenbar nicht niedrig sind, scheint klar zu sein.

Van Eeten, Bauer und Chattopadhyay haben den Stand des Wissen über finanzielle Aspekte von Malware und Spam zusammengetragen. Sie fassen ihre Erkenntnisse so zusammen:

“Although the financial aspects of malware and spam are increasingly documented, serious gaps and inconsistencies exist in the available information. This sketchy information base also complicates finding meaningful and effective responses. For this reason, more systematic efforts to gather more reliable information would be highly desirable.” (van Eeten & Bauer, 2008)

Zu einer Zahl wagen sie sich dennoch vor:

“Global direct costs probably in 0.2-0.4% range of global GDP ($66 tr)” (Bauer, van Eeten & Chattopadhyay, 2008)

Welche Schlussfolgerungen man daraus für die Schäden durch Botnets ziehen kann, ist unklar. Genaue Zahlen über die von Botnetze angerichteten Schäden liegen meines Wissens nicht vor. Aber gehen wir der Einfachheit halber pragmatisch davon aus, dass die Kosten von Cybercrime immens hoch sind und sie zu einem großen Anteil durch Botnets ermöglicht werden. Zumal neben

den finanziellen Schäden Botnets auch die technische Sicherheit und  Leistungsfähigkeit des Netzes beeinträchtigen könnten.

Anti-Botnet-Maßnahmen

Was wird derzeit gegen Botnets getan? Man kann es in mehrere Aufgabenbereiche unterteilen: Problemanalyse, Entwicklung von Gegenmaßnahmen, Monitoring der Botnetaktivitäten, Milderung der Wirkung des Botnets, Zerstören des Botnets.

Die Analyse von Botnets erfolgt über die Auswertung des Verhaltens infizierter Clients, deren Kommunikation mit benachbarter Peer-Dronen und Kommando-Servern. (Banday, Qadri & Shah, 2009) Kommando-Server sind etwa im Falle des Storm-Worm-Botnets nachgebaut worden, wodurch Dronen kontrolliert und gesteuert werden könnten (ähnlich im Falle von Conficker, vgl. Leder & Werner, 2009, und die “Containing Conficker”-Arbeitsgruppe an der Uni Bonn von Tillmann Werner und Felix Leder).

Die Identifikation von Botnets, die Analyse ihrer Funktionsweise, die Entwicklung neuer Kommando-Software erfolgt bislang eher durch Eigeninitiative und globale Kooperation von Forschern und technischen Experten. Viele Honeypot-Systeme werden von global kooperierenden Wissenschaftlern betrieben, zum Teil in Zusammenarbeit mit der Privatwirtschaft. Die Identifikation von Bots innerhalb dedizierter Netzwerksegmente – etwa das Netz eines ISP – erfolgt mit
Werkzeugen wie BotHunter, einem “network-based malware infection diagnosis system” (BotHunter wird auch in einer Präsentation des eco-Justiziars Frank Ackermann erwähnt). Weil Fefe es erwähnte: Es scheint wohl – wenn ich den Artikel auf die Schnelle richtig deute – möglich, über HTTP kommunizierende Botnets anhand von Anomalien im Netzwerktraffic zu entdecken (Gu 2008).

Während Problemanalyse und Entwicklung noch die Neugier der Forscher wecken, ist das Monitoren und Überwachen der laufenden Aktivitäten eines Botnets eine Arbeit, der kaum jemand aus Forscherdrang oder Neugierde freiwillig längere Zeit nachgehen möchte. Wenn Botnets aber nicht ausgeschaltet werden können, ob aus technischen oder legalen Gründen, fallen über längere Zeiträume Arbeiten an, die vermutlich nur innerhalb fester Organisationen mit dediziert dafür zuständigem Personal übernommen werden können. Hier stoßen die bisherigen ad-hoc Arbeitsgruppen an ihre Grenzen. Die Botnet-Forscher wären in der Lage, einige Botnets unter ihre Kontrolle zu bringen und auszuschalten, indem sie über gekaperte Command&Control-Strukturen den Bot-Clients gutartigen Code zur Selbstlöschung zuspielen (vgl. den Proof-of-concept von Tillmann Werner und Felix Leder).

Aus rechtlichen Gründen und wegen der hohen persönlichen Haftungsrisiken nehmen Botnet-Forscher jedoch keine Maßnahmen zur Säuberung infizierter Clients vor. Einige europäische Polizeien haben sich Gerüchten zufolge schon versuchsweise vorgewagt und ein paar Remote-Säuberungstests unternommen. Allerdings verbietet die Rechtslage auch eine gut gemeinte Manipulation fremder Rechner. Der einzige legale Weg zum Säubern von Zombies ist die manuelle Entfernung durch die Benutzer der Rechner oder durch Removal-Software, die etwa vom Betriebssystemhersteller im Rahmen von Softwareupdates bereitgestellt werden. Wenn eco und BSI eine über die bloße Hotline hinausgehende Kooperation planen sollten, die auch Zwangsmaßnahmen enthält, wollten sie es wohl kaum verlautbaren, geschweige denn praktizieren, sondern eine Anpassung der Rechtslage abwarten.

Ursachen und Erklärungen für unzureichende Anti-Botnet-Maßnahmen

In den Griff hat das Problem der Botnets bislang niemand bekommen. Die Hersteller von Software wollen oder können von der Tradition der Bugs und Vulnerabilities nicht abrücken, private Anwender und Kleinunternehmen fehlen Lust, Zeit, Kenntnis und Anreize, ihre Rechner sicher und sauber zu halten, und ISPs sind Botnets bislang in Grenzen egal, solange sich damit nicht nennenswert Geld verdienen oder verlieren lässt.

Der Wissenschaft ist sind solche Problemlagen vertraut. Es gibt Konstellationen von Interessen, Ressourcen und Fähigkeiten, wo alle am Ende verlieren, selbst wenn alle das Beste wollten und Gutes können. Als Freerider-Problem oder Tragödie des Allgemeinguts (Tragedy of the commons) wird es bezeichnet (Hardin, 1968). In solchen Situationen zuckt die Hand des am Rande stehenden, beobachtenden verantwortungsvollen Staates, vielleicht doch einzugreifen (auch wenn die jüngste Nobelpreisträgerin der Wirtschaftswissenschaften, Elinor
Ostrom
, eher die These von der Tragödie für eine Tragödie hält und das Eingreifen externer, machtvoller Akteure wie dem Staat häufig kontraproduktiv findet, ohne dass sie dabei des neoliberalen Staathasses verdächtig wäre.) So gesehen geht es bei dieser Internetsicherheits-Private-Public-Partnership allein um sachorientierte Regulierung, was zum Tagesgeschäft des Staates gehören sollte. Der Staat schiebt die beteiligten Akteure ein wenig an, verteilt Anreize, justiert Verantwortlichkeiten neu, wenn die Akteure anderweitig nicht in der Lage sind, aus der gesamtgesellschaftlich nachteiligen Lage herauszukommen. In den
letzen Jahren haben sich einige Wissenschaftler mit den ökonomischen Hintergründen und den Anreizen für die einzelnen Akteure beschäftigt, etwas für die Sicherheit ihrer Internetgeräte zu tun oder nicht.

Handlungsempfehlungen der Internetsicherheitsökonomie

Moore, Clayton und Anderson jedenfalls empfehlen der Politik regulativ einzugreifen:

“Policymakers should also give Internet service providers, especially the big ones, a stronger incentive to stop infected computers attacking other users” (Moore et al., 2009).

Allerdings: Anreize geben ist etwas anderes als Kooperation, als eine Private-Public Partnership. Die Politik könnte sich darauf beschränken, ISPs Strafen aufzuerlegen, so sie bestimmte Sicherheitsleistungen nicht in gefordertem Maße erbringen, etwa infizierte Maschinen in ihrem Subnetz zu isolieren (vgl. Moore 2009). Regulierern und zuständigen Referenten in den Ministerien dürften diese Argumentationen vertraut sein. 2007 erhielten vier Wissenschaftler von der Europäischen Agentur für Netzwerk- und Informationssicherheit (ENISA) den Auftrag, einen Bericht über “Security Economics and The Internal Market” zu verfassen. Sie kamen, wie bei Vertretern von “information security economics”, zum Ergebnis, dass Probleme der Internetsicherheit nicht nur auf technische Fehler zurückzuführen sind, sondern vor allem auch auf falsche oder fehlende Anreize, die Internetakteure zu einem Sicherheit fördernden Handeln bewegen würden. Diese ökonomischen Regulationstheorien gehen davon aus, dass angesichts der zahlreichen und komplexen Problemlagen der Staat sich aus der Regulierung gesellschaftlich relevanter Dinge heraus halten möge, wenn dieBeteiligten denn in der Lage sind, ihre Angelegenheiten selbst untereinander zu regeln. Wenn nicht, dann möge der Staat sich darauf beschränken, hier und dort eine Stellschraube zu drehen, und erst, wenn alles andere nicht klappt, selbst die Zügel in die Hand nehmen. Das läuft bisweilen arg schief, wie die seit zwei Jahren anhaltende Finanzmarktkrise zeigt.

Die ENISA-Studie kommt zu einer ganzen Reihe von Handlungsempfehlungen für die EU zum Umgang mit Internetsicherheitsproblemen (Anderson, Böhme, Clayton & Moore, 2008):

  • gesetzlicher Zwang zur Offenlegung von Sicherheitsvorfällen

  • gesetzlicher Zwang zur Offenlegung monetärer Verlust bei Banken

  • Sammlung quantitativer Daten zu Spam und “bad traffic” durch ENISA

  • Bußgelder für ISPs, die nicht rasch genug Ersuchen nachkommen, kompromittierte Maschinen vom Netz zu entfernen (Anwender könnten Konnektivität zurückbekommen, wenn sie fortan volle Haftung für von
    ihrem Rechner ausgehenden Traffic übernehmen)

  • Entwicklung und Durchsetzen von Sicherheitsstandards für Geräte mit Netzwerkverbindung

  • Verpflichtung zur Offenlegung von Schwachstellen durch Hersteller, Einführung einer Hersteller-Haftung für nicht zeitnah gepatchte Softwarefehler

  • Empfehlung zur Trennung von Patch- und Feature-Releases, wobei erstere kostenlos zur Verfügung gestellt werden sollten

  • Schaffung einheitlicher Prozeduren bei Streitigkeiten zwischen Kunden und Zahlungsabwicklern

  • Maßnahmen gegen Spam-Versender

  • Finanzierung von Forschungen durch ENISA über die Effekte von Ausfällen von Internet-Knoten.

  • Errichtung eine Einrichtung zur Kooperation gegen Cybercrime

  • ENISA möge die Interessen von Sicherheitsforschern und IT-Sicherheitsindustrie schützen (um weitere Fehler in der Art
    des Hackerparagraphen zu verhindern)

Michel van Eeten u.a. hatten zwei Jahre zuvor in eine ähliche Richtungen gehende Maßnahmen vorgeschlagen, um ISPs zu Maßnahmen zu bewegen, die die Internetsicherheit stärken helfen (van Eeten, de Bruijn, Kars & van der Voort, 2006). Desweiteren forderten sie Maßnahmen zur Verbesserung der Datenlagen über Internetsicherheitsprobleme. Daten über Botnetze wie Logfiiles liegen verstreut bei Providern und Unternehmen, weshalb nur ein Zusammenspiel der Akteure Klarheit über das Ausmaß der Probleme schaffen kann. Genau dazu fehlten den Akteuren aber offensichtlich das Interesse (van Eeten et al., 2006,
S. 374). Aus diesem Grund ist die Datenlage über das Ausmaß von Sicherheitsproblemen auch heute noch, nach Jahren politischer Diskussion und Instrumentalisierung von Internetsicherheitsproblemen so dürr und gibt es kaum neutrale wissenschaftliche Studien darüber.

Aspekte staatlicher Politik gegenüber ISPs

Staaten verfügen über eine Vielzahl von Möglichkeiten auf ISPs Einfluss zu nehmen. Die britische Regierung hatte ihre ISPs Ende der 1990er mit der Androhung, andernfalls selbst tätig zu werden und den ISPs ihr Handeln durch Gesetzestexte vorzuschreiben, “gebeten”, sich zu einem Verbund zusammenzuschließen, um das ewigen Böse des Internet zu verbannen, Kindesmißbrauchsabbildungen (KMA). Von der demokratietheoretisch zweifelhaften Konstruktion der Internet Watch Foundation abgesehen – eine privater Verein gestattet sich, die Kommunikation der britischen Bevölkerung zu zensieren –, war sie immerhin sehr effektiv im Bemühen, das Hosting von KMA in GB fast vollständig zu unterbinden. Im letzen Jahr haben die USA ihre ISPs gesetzlich verpflichtet, dem National Center for Missing and Exploited Children (NCMEC) beizutreten, dass die U.S CyberTipline betreibt (Moore et al. 2009, S. 16). In Deutschland wurde vor wenigen Tagen mit domainfactory auch der
letzte Webhoster gerichtlich dazu verpflichtet, der gesetzlichen Verpflichtung zur Vorratsdatenspeicherung nachzukommen
. Die Verhandlungen über das Anti-Counterfeiting Trade Agreement (ACTA) laufen offenbar auf nationale Gesetze hinaus, die der Content-Industrie noch leichteren Zugriff auf Trafficdaten der ISPs liefern würde.

Wenn er also will, kann der Gesetzgeber sehr tief in die Tätigkeiten der ISP rein regieren.

Darüber hinaus orientiert sich das Handeln des Staates zu Internetsicherheit auch an anderen politischen Erwägungen als dasjenige, technische Internetprobleme wie Botnets oder Phishing loswerden zu wollen. Die Bemühungen der Content-Industrie, über staatliche Gesetzgebung Zugriff auf Anwenderdaten der ISPs zu
erhalten, sind bekannt. Aufgrund der engen Verflechtungen von Content-Industrie und öffentlicher Meinungsbildung ist die Politik leicht geneigt, diesem Drängen zu Lasten von ISP und Anwendern nachzugeben und die Rollen der Internetakteure zu modifizieren, ihnen andere Aufgaben und Pflichten zuzuweisen und
technische Anpassungen zu verlangen.

In dieselbe Richtungen gehen Entwicklungen auf internationaler Ebene. Die Cybersecurity-Diskurse in den USA treiben immer mehr in die Richtung eines verstärkten staatlichen Engagements, die Selbstregulierung durch Industrie wird kritischer gesehen als noch vor Jahren. Die US-Senatoren John Rockefeller und Olympia Snowe fordern gar die Abschaltbarkeit des Internets in Krisenfällen durch das Weiße Haus.  Großbritannien treibt das Thema ebenso voran. Das Mandat der ENISA wurde im letzten Jahr verlängert und an der Spitze sitzt jetzt der ehemalige Leiter des BSI. Diese Entwicklungen auf internationaler Ebene dürften auch in Bonn und Berlin nicht unbeachtet bleiben.

Die sozialwissenschaftliche Theorie des institutionellen Isomorphismus besagt, dass Organisationen, die sich in einem ähnlichen Feld bewegen, mit der Zeit sich in ihrer Kultur, ihren Abläufen, ihrem Personal immer ähnlicher werden. Denkbar,
dass dies auch für die Organisation von Internetsicherheit zutrifft.

Ein Aspekt, den man in Debatten über das institutionelle Design von Internetgovernance selten vernimmt, sind die Wirkmächte des sozialen Konservatismus. Die egalitäre Verfügbarkeit des führenden Kommunikationsmediums, das Fehlen von leicht ausfahrbaren Sperren und Hemmnissen, ist eine Anomalie, der sich Staaten und die sie tragenden Stützen der Gesellschaft in der Neuzeit nur selten ausgesetzt sahen. Vorausschauende konservative Politikstrategie denkt das “Si vis pacem para bellum” nicht nur für äußere Konflikte, zumal Peak Oil, plötzlicher Klimawandel oder die Lage der Finanzwirtschaft für unliebsame gesellschaftliche Überraschungmomente sorgen könnten. Politischen Ziele wie Beherrschbarkeit, Steuerbarkeit und Kontrollierbarkeit der Lage erforderten ein starreres Reglement der Kommunikationssphäre, als dies bislang der Fall ist.

Kalküle der ISPs

Die ISPs scheuen Regulierungsversuche des Staates. Sie sind mit Kosten verbunden, zumeist jedenfalls, mit Rechtsunsicherheiten, mit neuen Kundenproblemen. Zudem erfordern sie meist die Aufmerksamkeit der Leitungsebene. Alles Dinge, die ein ISP vermeiden möchte. Jedoch auch Nichtstun verursacht Kosten – etwa für den Support von Kunden, die sich aufgrund von Sicherheitsproblemen ihrer Rechner an die Hotlines der ISP wenden. Vagen Schätzungen zufolge werden etwa 1-2% der Umsätze mittelgroßer ISPs für
sicherheitsbezogene Supportanrufe aufgewendet (Moore et al., 2009, S. 9). Desweiteren können die von Botnets erzeugten Traffic-Mengen die Durchleitungsvereinbarungen mit dritten ISPs belasten und zu höheren Kosten führen. Schließlich kann ein Übermaß an Computerviren, Malwarebefall oder
laxer Umgang mit Spamversendern das Image eines ISP beschädigen. Auf der anderen Seite müssen ISP mit negativen Kommentaren der Öffentlichkeit rechnen, wenn sie diese Probleme mit Lösungen angehen, die die Privatsphären ihrer Kunden verletzen.

Den ISPs ist bewusst, dass sie je für sich das Botnet-Problem nicht in den Griff bekommen können. Dass in ihre Kundennetzen zahllose Bot-Clients sind, ist ihnen bekannt, sie gehen aber nicht, mit welchen Mitteln auch immer, systematisch dagegen vor. Maschinen werden allenfalls dann abgeklemmt, wenn sie massenhaft Spam verschicken oder andere Dinge tun, die Dritte dazu bringen könnten, beim ISP sich zu beschweren. Der überwiegende Prozentsatz der Bot-Clients bleibt unberührt und wartet weiter mehr oder minder stumm auf die Befehle von Peer-Bots oder einem Command&Control-Rechner. Wollte ein ISP dagegen vorgehen, würde er sich Kosten aufhalsen, die seine sorglosen Konkurrenten nicht
haben. First-mover disadvantage.

Zugleich aber drängen Gesellschaft, Wirtschaft und Politik, dass diese Internetsicherheitsprobleme wie Botnets und Viren doch bitte gelöst werden sollten. Dadurch gerät die ISP-Branche unter Zugzwang, wenn man sie als diejenige identifiziert, die den Schlüssel zur Lösung des Botnet-Problems in der Hand hält.
Damit würde sich der Charakter des ISPs wandeln, weg vom bloßen Durchleiter von Internettraffic, der nur dann eingreifen muss, wenn er von Dritten aufgefordert wird, hin zu einer proaktiven und inhaltlichen Prüfer aller Internetkommunikation. Der derzeitige Internet-Governance-Kompromiss würde damit aufgekündigt (Mueller, 2004).

ISPs stehen politisch noch aus zwei anderen Richtung massiv unter Druck: Zum einen drängt die Content-Industrie seit Jahren und in immer stärkerem Maße darauf, dass ISPs die Durchleitung von anscheinend nicht lizensiertem Material unterbinden oder zumindest den Content-Lieferanten Auskunft über die Identitäten derjenigen zukommen lassen möge, die anscheinend Lizenzverstöße
begehen. Die ISPs halten bislang noch kräftig dagegen.

Zum anderen drängen Regierungen – teils von der Content-Industrie beeinflußt, teils von eigenen Motiven angetrieben – weltweit darauf, das bei den ISPs Technologien installiert werden, die staatlichen Stellen die Filterung des Zugriffs auf bestimmte Inhalte ermöglichen.

ISPs sehen sich daher Akteuren gegenüber, die reichlich Mittel an der Hand haben, ISPs den Wunsch zu durchqueren, entspannt und angenehm Umsätze bei guten Margen zu machen. Die netzpolitisch spannende Frage ist, unter welchen Bedingungen sich ISPs gegen die Interessen ihrer Kunden zu wenden und stattdessen mit anderen Kräften gegen sie zu agieren beginnen. Oder: Wann und
wie handelt ein ISP wie Vodafone im letzten Jahr bei der Sperrinfrastruktur-Auseinandersetzung, schert aus dem Branchenkonsens aus und versucht, Kunden eine nicht gewünschte technische und organisatorische Änderung der Internetarchitektur unterzuschieben?

Die eco-BSI Kooperation

Welcher Art ist die Kooperation eigentlich? Die Meldung bei heise am 8.12.2009 lässt sich in Stichpunkten wie folgt zusammenfassen: Provider weisen Kunden auf Bot-Infektionen hin, nicht kooperative Kunden werden evtl. mit Sanktionen belegt, eventuell besteht Virenscannerzwang für Kunden, ggf. können Anwender
die Dienste des Call-Centers mit 40 Mitarbeitern kostenfrei in Anspruch nehmen, und schließlich wird über eine Netzsperre für infizierte Rechner, deren Umleitung zu einer Site mit Removal-Software sowie telefonische Unterstützung für
betroffene Anwender nachgedacht.

Wir wissen derzeit nicht viel über die Organisation des geplanten Botnet-Zentrums, über die juristische Person, in deren Händen es liegen wird, über die Gesellschafter, deren Rechte, deren Zugriffsmöglichkeiten auf operative Daten und
Entscheidungen, über Geldströme. Ein Schleier der Intransparenz ist solchen öffentlich-privaten Kooperation immer eigen. Der jüngsten Stellungnahme von eco zufolge wird es nun zwar keine eigenständige Neugründung zwischen BSI und eco geben, sondern eine wie auch immer gestaltete “rein privatwirtschafliche Initiative”. Weitere Details stehen jedoch noch aus.

Eine solche Konstruktion als “privatwirtschaftliche Initiative” schließt nicht aus, dass das BSI das Vorhaben finanziell oder anderweitig unterstützt, etwa indem es
wissenschaftliche Mitarbeiter und Ingenieure zur Problemanalyse und zum Aufbau weiterer Anti-Botnet-Dienste bereitstellt, dass Services wie Honeypot-Betrieb und Analyse, Einkauf und Auswertungen externer Informationsquellen durch das BSI erfolgen und an eco weitergeleitet werden. Der Betrieb der Hotline ist der politisch am wenigsten bedeutsame Aspekt an dieser BSI-eco-Kooperation. Interessanter und wichtiger sind Art und Umfang der gesammelten Daten und Kompetenzen für Maßnahmen, die Privatsphären oder Freiheitsrechte
von Anwendern betreffen.

Dass die Benachrichtigung der Anwender über Fehler auf mehreren Kanälen erfolgen soll und sogar auf dem rechtsgültigen Postwege, liest sich angesichts der marktüblichen Anwendersupport-Praktiken wie das Gegenstück zu einem kommenden AGB-Passus, in dem irgendeine Maßnahme angedroht wird, falls
der Anwender nicht dieses oder jenes binnen einer Frist erledigt. Zugegeben, es ist ein pragmatischer und vermutlich auch effektiver Ansatz, in Einklang mit den Empfehlungen des ökonomischen Internetregulierungsansatzes den Endpunkten die Verantwortung für ihr Tun auch monetär aufzubürden, um Malware-Schleudern aus dem Netz zu bekommen.

Fazit: Folgen für die Kommunikationsfreiheit?

Botnetze sind aufgrund der Kosten, die sie offenbar verursachen, durchaus ein ein Problem, dessen Behebung die Politik beobachten und gegebenenfalls fördern sollte. Die bisherigen Wege stoßen anscheinend an ihre Grenzen, andere Wege sind bei der Botnet-Bekämpfung erforderlich. Der Handlungskatalog von Anderson u.a. listet eine Reihe denkbarer Maßnahmen auf. Aber hinter dem unscheinbaren Begriff der Anreize stehen massive Eingriffsrechte durch ISPs in die Systeme der Anwender, die legitimiert werden sollen durch den großen Nutzen für die Allgemeinheit. So bestechend einfach es ist, das Problem der Botnets durch Ermächtigungen der ISPs zu bekämpfen – es bleibt die Frage, ob der Nutzen die Beschneidung individueller Freiheiten oder deren Bedrohung durch den Aufbau weitreichender Institutionen rechtfertigt.

Die allgemeine Interessenslage läßt allerdings vermuten, dass es auf mehr Rechte und Pflichten für ISPs hinausläuft. Die Softwarehersteller dürften dankbar sein,
wenn nicht sie für Unsicherheiten der Systeme haften müssen. Strafverfolgungsbehörden dürften den Zugriff auf die Daten der ISPs schätzen. Gewichtige politische Fraktionen wollen den Staat offenbar eine größere Rolle bei Regulierung und Betrieb des Kommunikationsraums Internet einräumen. Die
Content-Industrie würde gerne DPI-Boxen in die Rechenzentren der ISPs stellen, um dort umsatzfördernde Daten zu gewinnen. Der soziale Konservatismus wird die (aus seiner Sicht) Anomalie beseitigen wollen, keinen direkten Zugriff auf den Kommunikationsraum zu haben. Debatten um innere und äußere Sicherheit sehen
im Schutz des Internets ein gemeinsames Ziel. Eine gewichtige Allianz wächst da heran, die ISPs zu einem Gehilfen ihrer Interessen machen möchte.

Informatiker haben effektive Werkzeuge zur Botnet-Bekämpfung bereitgestellt, ökonomisch argumentierende Sozialwissenschaftler empfehlen eine ganze Reihe von bedenkenswerten Maßnahmen zur Erhöhung der Internetsicherheit. Was aber fehlt – zumal in Deutschland, wo es meines Wissens nicht einen Lehrstuhl für Internetpolitik oder Internet Governance gibt –, ist kreatives Nachdenken darüber, welches institutionelle Arrangement technische Internetsicherheit mit individueller Sicherheit vor Freiheitsbeschränkungen im Internet verbinden könnte. Es bleibt Aufgabe der netzpolitisch interessierten Öffentlichkeit, von Politik und Wirtschaft demokratische Prinzipien wie Transparenz, Überwachung der Überwacher und Sicherung von Freiheitsrechten in der Netzpolitik einzufordern.

Auch wenn der angedachten eco-BSI-Kooperation ein pragmatischer Ansatz zur Lösung des Botnet-Problems zugrunde liegt, würden eco und die Internetwirtschaft mit der im Raume stehenden Möglichkeit, Rechner vom Netz abzutrennen, zu Exekutivorganen nationaler Internetsicherheitspolitik werden. Ihnen würde die Macht zuteil, Rechner den Zugang zum Internet zu sperren und Kunden so die Teilhabe am öffentlichen Netzleben zu verwehren. Sie
müssten, um dieser Aufgabe nachzukommen, intern Prozeduren und Werkzeuge schaffen, mit denen die Netzabtrennungen effizient und effektiv durchgeführt werden können. Der technischen Sicherheit des Internets und geschäftlichen Transaktionen mag es dienlich sein, auf die Sicherheit der Kommunikationsfreiheit könnte es dagegen ein paar unerfreuliche Wirkungen haben.

Literatur

  • Anderson, R., Böhme, R., Clayton, R., & Moore, T. (2008). Security Economics and The Internal Market. European Network and Information Security Agency (ENISA).
  • Banday, M. T., Qadri, J. A., & Shah, N. A. (2009). Study of Botnets and Their Threats to Internet Security.
  • Bauer, J., van Eeten, M., & Chattopadhyay, T. (2008). Financial Aspects of Network Security: Malware and Spam. (Presentation, ITU-T Study Group 3 Geneva, Switzerland, 2 April 2008).
  • Hardin (1968). Tragedy of the Commons. Science, (162), 1243-1248.
  • Leder, F., & Werner, T. (2009). Know Your Enemy: Containing Conficker (The Honeynet Project)
  • Moore, T., Clayton, R., & Anderson, R. (2009). The Economics of Online Crime. Journal of Economic Perspectives, 23(3), 3-20.
  • Mueller, M. L. (2004). Ruling the Root: Internet Governance and the Taming of Cyberspace. The MIT Press.
  • van Eeten, M. J. G., de Bruijn, H., Kars, M., & van der Voort, H. (2006). The governance of cybersecurity: a framework for policy. International Journal of Critical Infrastructures, 2(4), 357-378.
  • van Eeten, M., & Bauer, J. (2008, July). ITU Study on the Financial Aspects of Network Security: Malware and Spam (ICT Applications and Cybersecurity Division, Policies and Strategies Department, ITU Telecommunication Development Sector)
Reposted by02mydafsoup-01lit

December 08 2009

Großes IT-Gipfel-Projekt war wohl eine Ente

In Gesprächen mit Journalisten zum IT-Gipfel hat mich eine Sache heute leicht ins Rudern gebracht, weil ich das nicht verstanden habe. dpa tickerte, dass das BSI und der Providerverband ECO gemeinsam Viren bekämpfen wollen. Soweit so gut. Ein Call-Center für Viren-geplagte Windows-Anwender ist sinnvoll und tut nicht weh. (Noch besser wären staatliche Aufklärungs- und Werbekampagnen, wie man vom Monopolisten Microsoft zu freien Systemen wie Linux wechseln kann.) Aber gleichzeitig wolle man den Netzverkehr analysieren und Rechner ggf. vom Netz abschalten. Das klingt alles nach Deep-Packet-Inspection, Verletzung der Netzneutralität und damit weniger gut. Heise hat die Meldung dazu: Deutschland-Zentrale gegen Botnetze geplant.

Dem gemeinsam vom Bundesamt für Sicherheit in der Informationstechnik (BSI) und dem Verband der deutschen Internetwirtschaft (eco) entwickelten Konzept zufolge hätten Internetzugangsanbieter (ISPs) längst die technische Möglichkeit, vireninfizierte Rechner bei ihren Kunden durch Analyse des Netzwerkverkehrs auszumachen. Das BSI und eco stellen das Projekt beim heutigen vierten nationalen IT-Gipfel in Stuttgart vor. Laut dem Plan sollen die Provider ihre Kunden auf die Bot-Infektion ihres PCs hinweisen – etwa per Post oder Telefon. Angedacht ist auch eine Internetseite, die sich bei jeder Einwahl ins Netz automatisch aufbaut, falls auf dem Rechner Schädlinge lauern. Vor der Umsetzung des Vorhabens soll jedoch noch geklärt werden, mit welchen Sanktionen Kunden rechnen müssen, die eine Zusammenarbeit mit den jeweiligen Internetdienstleistern verweigern. “Wer im Netz ohne Virenschutz unterwegs ist, gefährdet andere Nutzer in etwa so, wie ein Autofahrer, der mit kaputten Bremsen unterwegs ist und so andere fahrlässig gefährdet.”, meinte ein eco-Projektleiter gegenüber dpa.

Mittlerweile klärt sich die Sache auf, die von Politikern und Medien auf dem IT-Gipfel als das große Projekt vorgestellt wurde. Andy Müller-Maguhn vom CCC hat bei ECO angerufen und nachgefragt, wie Fefe bloggt:

OK, diese Botnet-Sache ist doch noch lustiger als angenommen. Andy hat gerade mit eco telefoniert, und die Sachlage stellt sich wie folgt dar: Ein Mitarbeiter des eco hat ohne Absprache das interne Brainstorming-Papier an die dpa geschickt, wo alles mögliche drinstand. Das ist den eco-Leuten jetzt auch echt peinlich, weil sie weder Sperren, noch Remote-Zugriffe noch Sanktionen wollen.
Aber natürlich sind in der Zwischenzeit Politiker aufgesprungen und wollen das geschickt für sich verwursten. Das könnt ihr also mal direkt abhaken, das war eine Ente. Andy hat eco noch empfohlen, da selber noch mal ein Dementi zu publizieren. Das tun sie hoffentlich auch bald, damit da keine Begehrlichkeiten entstehen. Ihr wißt ja, wie das ist, wenn inkompetente Politiker plötzlich Morgenluft schnuppern.

Older posts are this way If this message doesn't go away, click anywhere on the page to continue loading posts.
Could not load more posts
Maybe Soup is currently being updated? I'll try again automatically in a few seconds...
Just a second, loading more posts...
You've reached the end.

Don't be the product, buy the product!

Schweinderl