Tumblelog by Soup.io
Newer posts are loading.
You are at the newest post.
Click here to check if anything new just came in.

January 21 2014

sicherheitstest.bsi.de – Wenn die DoS-Attacke aus der eigenen Bevölkerung kommt…

Heute morgen wurde vom BSI (Bundesamt für Sicherheit in der Informationstechnik) die Mitteilung veröffentlicht, es seien circa 16 Millionen kompromittierte Nutzerkonten entdeckt worden. Das heißt, zu den jeweiligen Online-Accounts sind Nutzername, E-Mail-Adresse und Passwort in die falschen Hände gelangt. Die E-Mail-Adressen der betroffenen Accounts seien dem BSI “übergeben” worden, von wo wurde nicht bekannt gegeben.

Netterweise bot die Behörde die Möglichkeit, abzugleichen, ob man selbst zu den Betroffenen gehört, indem man auf der Seite www.sicherheitstest.bsi.de seine Mail-Adresse eingibt. Bekommt man eine Antwort, befindet sich die Adresse unter den kompromittierten. Nach der Adresseingabe bekommt man noch einen vierstelligen Code, der sich auch im Betreff der Mail wiederfinden muss – nur zur Sicherheit.

Apropos Sicherheit. Die erzeugt auch das Kreuzchen, dass man machen muss, um zu versichern, dass man nicht die Mailadresse seines Nachbarn testen lässt.

Ich bin damit einverstanden, dass meine personenbezogenen Daten, die bei der Nutzung des auf dieser Webseite angebotenen Sicherheitstests anfallen, zur Durchführung des Tests und zur Mißbrauchserkennung erhoben, verarbeitet und genutzt werden dürfen. Ich bestätige, dass ich das Angebot auf dieser Webseite ausschließlich unter Angabe meiner eigenen E-Mail-Adresse(n) nutze.

Dass sich wirklich jemand für den Sicherheitstest interessiert, damit haben die Leute vom BSI wohl nicht gerechnet. Zumindest sei die Seite bereits kurz nach Erscheinen eines Spiegel-Artikels zum Thema überlastet und kaum erreichbar gewesen, so der Nachfolgeartikel. Ein etwas peinlicher Fehler, mag man sagen. Aber dass sich an der Situation auch jetzt, zehn Stunden später, kaum etwas geändert hat, ist weitaus mehr als nur eine lapidare Panne.

Da sollte man sich vielleicht nochmal informieren, was bei Denial-of-Service-Attacken getan werden muss, vor allem, wenn sie aus der eigenen, besorgten Bevölkerung kommen…

Zumindest nicht so, wie Pressesprecher Tim Griese empfiehlt:

Die Seite ist immer wieder mal aufrufbar. Am besten probiert man es mehrfach.

Wir wollen netzpolitik weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

August 20 2013

BSI 2005 über BlackBerry E-Mail Push-Dienst: “Britische Behörden haben Zugriff auf das gesamte Nachrichtenaufkommen”

Deckblatt: Sicherheitsaspekte des E-Mail-Push-Dienstes

Deckblatt der BSI-Analyse: Sicherheitsaspekte des E-Mail-Push-Dienstes “BlackBerry”

Das gesamte Nachrichtenaufkommen des E-Mail-Push-Dienstes von BlackBerry wird zwangsweise über Großbritannien geleitet und steht den örtlichen Sicherheitsbehörden zur Verfügung. Das schrieb das Bundesamt für Sicherheit in der Informationstechnik vor acht Jahren in einem internen Papier, das wir in Volltext veröffentlichen. Die britischen Behörden konnten demnach schon damals unter “sehr weit gefassten Voraussetzungen” auf alle Nachrichten zugreifen, unter anderem auch ganz offiziell zur Wirtschaftsspionage.

Heute Vormittag berichteten wir über die Ablehnung unserer Informationsfreiheits-Anfrage nach einem BSI-Papier über die Sicherheit von BlackBerry-Produkten. Die für IT-Sicherheit zuständige Bundesbehörde verweigerte unsere Anfrage, weil die Antwort “nachteilige Auswirkungen auf die internationalen Beziehungen haben” könnte. Das lassen wir nicht gelten und haben weiter gegraben.

Wie wir herausfinden konnten, hat die WirtschaftsWoche zum damaligen Bericht von Jürgen Berke mindestens in der Print-Ausgabe auch den Inhalt der BSI-Analyse gedruckt. Wir haben diese wieder ausgegraben und zitieren hiermit in Volltext aus dem Papier mit dem Titel “Sicherheitsaspekte des E-Mail-Push-Dienstes ‘BlackBerry’” mit Stand vom 20. September 2005:

1. Die Übertragungssicherheit beruht vollständig auf proprietären Mechanismen der Firma RIM. Der zur Verschlüsselung verwendete mathematische Algorithmus wird zwar als sicher angesehen, für die Qualität der Implementierung, der Schlüsselerzeugung und des Schlüsselmanagements liegt jedoch keine unabhängige Evaluierung vor.

2. Das gesamte Nachrichtenaufkommen wird zwangsweise über ein Mobile Routing Center (MRC) im Ausland geleitet (für Europa nach Großbritannien, Egham bei London). Damit sind dort alle Verbindungsdaten (Absender, Empfänger, Uhrzeit) sowie die (verschlüsselten) Kommunikationsinhalte verfügbar. Nach britischem Recht können die örtlichen Sicherheitsbehörden unter sehr weit gefassten Voraussetzungen (unter anderem zum Wohl der britischen Wirtschaft) Zugang zu diesen Daten Daten erhalten (RIP-Act 2000). Im Falle von (aus britischer Sicht) ausländischem Nachrichtenverkehr dürfen diese sogar ohne Personenbezug aufgeklärt werden.

3. Es ist nicht möglich, eine eigene, von RIM unabhängige Verschlüsselung zum Schutz der Kommunikationsinhalte zu realisieren. So lassen sich Mail-Anhänge, die vom Nutzer (zum Beispiel mit PGP oder Chiasmus) verschlüsselt wurden, mit BlackBerry nicht übertragen. Eine Verschlüsselung des Übertragungsweges (…) scheitert an der speziellen Blackberry-Infrastruktur.

4. Der im Unternehmensnetz installierte Synchronisationsserver BES (Blackberry Enterprise Server) wird mit einer Software der Firma RIM betrieben und benötigt hoch privilegierten Zugriff auf die Mail/Messaging-Server des Unternehmens. Er kann somit auf den gesamten dort gespeicherten Datenbestand zugreifen.

5. Alle Verfahren, Softwarekomponenten und Protokolle sind proprietär und werden von RIM als Firmengeheimnis behandelt. Das tatsächliche Betriebsverhalten des Systems lässt sich daher nicht überprüfen. Kritisch ist in diesem Zusammenhang, dass auf rund der verschlüsselten Übertragung nicht nachvollziehbar ist, welche Nachrichten zwischen Blackberry Enterprise Server und Mobile Routing Center ausgetauscht werden.

Das Fazit des Bundesamtes lautete:

Bei dieser Sicherheitseinschätzung können ausschließlich die potentiellen Möglichkeiten, die Blackberry zur nachrichtendienstlichen Informationsbeschaffung bietet, betrachtet werden. Ob und inwieweit diese Möglichkeiten tatsächlich genutzt werden, entzieht sich der Kenntnis des BSI und ist nicht Gegenstand dieser Einschätzung. Aus Sicht des BSI ist Blackberry auf Grund der oben dargestellten unsicheren Architektur für den Einsatz in sicherheitsempfindlichen Bereichen der öffentlichen Verwaltung und spionagegefährdeten Unternehmen nicht geeignet.

Zur Einordnung verweisen wir gerne noch auf ein paar weitere Meldungen der letzten Jahre:

Kann uns wer sagen, ob wir (oder die WirtschaftsWoche) jetzt die internationalen Beziehungen beschädigen?

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

Spaß mit Informationsfreiheit: BSI warnt vor Blackberry, Begründung gefährdet die internationalen Beziehungen

Sitz des BSI in Bonn. Bild: Qualle. Lizenz: Creative Commons BY-SA 3.0.

Sitz des BSI in Bonn. Bild: Qualle. Lizenz: Creative Commons BY-SA 3.0.

Das Bundesamt für Sicherheit in der Informationstechnik warnt vor BlackBerry, weil britische Dienste Zugriff auf das “gesamte Nachrichtenaufkommen” haben. Ein Einblick in die zugrundeliegende Analyse wird uns aber verwehrt, da die Informationen die internationalen Beziehungen gefährden würden. Das BSI verweigert hier seine Aufgabe: Die IT-Sicherheit in unserer Gesellschaft.

Langsam können wir die Rubrik Spaß mit Informationsfreiheit zur eigenen Dauer-Kategorie befördern. Der neueste Streich: Vor acht Jahren (!) warnte das Bundesamt für Sicherheit in der Informationstechnik (BSI) vor den Diensten des Unternehmens BlackBerry. Jürgen Berke berichtete damals in der WirtschaftsWoche:

Nach Volkswagen meldet auch das Bonner Bundesamt für Sicherheit in der Informationstechnik (BSI) Bedenken an und warnt vor dem Gebrauch der mobilen E-Mail-Maschine. „Auf Grund der unsicheren Architektur ist der Blackberry für den Einsatz in sicherheitsempfindlichen Bereichen der öffentlichen Verwaltung und spionagegefährdeten Unternehmen nicht geeignet“, heißt es in einer BSI-Analyse. Der „nur zum internen Gebrauch“ erstellte Bericht kreidet RIM an, dass das „gesamte Nachrichtenaufkommen zwangsweise“ über ein Rechenzentrum in Egham bei London geleitet wird. „Nach britischem Recht“ – so der BSI-Bericht – können „die örtlichen Sicherheitsbehörden unter sehr weit gefassten Voraussetzungen (unter anderem zum Wohle der britischen Wirtschaft)“ – Zugang zu allen Verbindungsdaten und Inhalten erhalten. „Es gibt damit die theoretische Möglichkeit, dass Dritte auf die E-Mails zugreifen, die vom Blackberry versandt werden“, erklärt BSI-Referatsleiter Michael Dickopf.


Nachdem CCC-Sprecher Frank Rieger letzten Monat berichtete, dass Blackberry 10 E-Mail-Passworte für NSA und GCHQ zugreifbar macht ist uns die BSI-Analyse wieder eingefallen, die wir prompt per Informationsfreiheits-Anfrage angefordert haben. Jetzt kam die kürzeste IFG-Antwort, die wir bisher erhalten haben:

Ihr o.g. Antrag wird nach § 3 Nr. l lit. a) IFG abgelehnt, da das Bekanntwerden der Information nachteilige Auswirkungen auf die internationalen Beziehungen haben kann.

Das BSI ist eine Bundesbehörde und gehört zum Geschäftsbereich des Innenministeriums. Es wird aus Steuern finanziert und erarbeitet Informationen zur IT-Sicherheit für die öffentliche Verwaltung, Wirtschaftsunternehmen, Wissenschafts- und Forschungseinrichtungen sowie Privatanwender. Warum darf die Öffentlichkeit eine von ihr bezahlte Untersuchung nicht sehen, in der vor bestimmten Diensten gewarnt wird? Wie passt das mit der Aufgabe zusammen, “den sicheren Einsatz von Informations- und Kommunikationstechnik in unserer Gesellschaft zu ermöglichen und voranzutreiben”? Und was hat das mit den internationalen Beziehungen zu tun?

Natürlich lassen wir das nicht auf uns sitzen und haben zunächst den Informationsfreiheitsbeauftragten Peter Schaar um Vermittlung gebeten.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

Older posts are this way If this message doesn't go away, click anywhere on the page to continue loading posts.
Could not load more posts
Maybe Soup is currently being updated? I'll try again automatically in a few seconds...
Just a second, loading more posts...
You've reached the end.

Don't be the product, buy the product!

Schweinderl