Tumblelog by Soup.io
Newer posts are loading.
You are at the newest post.
Click here to check if anything new just came in.

February 11 2014

Infoveranstaltung zu Sicherheitsarchitektur in Polen

Statt Valentinstag: Am Freitag, dem 14.2. findet in der Kinzigstraße 9, Berlin, um 19 Uhr eine Infoveranstaltung zu “Schnittstellen der Sicherheitsarchitektur” in Polen statt. Anlass ist der 17. Europäische Polizeikongress, der nächste Woche in Berlin stattfinden wird. Dort werden die Schnittstellen der europaweiten Polizeizusammenarbeit den Schwerpunkt bilden, in der Ankündigung heißt es:

Verbrechen kennt keine Grenzen, weder im nationalen, europäischen, globalen, politischen, rechtlichen oder technischen Sinne.

Polen hat sich in Sachen Sicherheit und Überwachung zu einem “Musterschüler” entwickelt und beteiligt sich an diversen EU-weiten Forschungsprogrammen. Karolina Szczepaniak von der polnischen Stiftung Panoptykon wird daher die Situation in ihrem Land beleuchten und Strategien gegen eine Ausuferung solcher Überwachungsmaßnahmen diskutieren.

Wir wollen netzpolitik weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

August 20 2013

Schweiz: Christliche Volkspartei fordert Nummernschildscanner und “Cyber War”-Einheit

Die Christliche Volkspartei (CVP) der Schweiz hat heute ein Positionspapier mit dem Titel “Die CVP für eine sichere Schweiz – auch in Zukunft!” veröffentlicht. In dem Papier fordert die CVP unter anderem eine flächendeckende Installation von Nummernschildscannern und mehr Überwachungskameras an Bahnhöfen. Doch auch das Internet stellt nach Auffassung der CVP eine Gefahr für die Sicherheit der Bevölkerung dar, weshalb sie eine “Cyber War”-Einheit fordert, die sich “aus Milizkadern und -soldaten mit entsprechenden Spezialkenntnissen zusammensetz[en]” soll.

Insgesamt hat die CVP in ihrem Positionspapier 20 Forderungen zusammengetragen, die die Sicherheit der Bürger in der Schweiz gewährleisten soll. Denn die Straftaten hätten in den letzten Jahren zugenommen und das Sicherheitsempfinden der Bürger sei demnach gesunken.

Personen, die in die Schweiz einreisen, Einbrüche verüben und dann innert kürzester Zeit wieder ausreisen, sind Realität. Viele ältere Menschen und Frauen vermeiden es, sich nach 22 Uhr an Bahnhöfen aufzuhalten. Die Polizeiliche Kriminalstatistik zeigt denn auch für das letzte Jahr einen Anstieg der Straftaten. Besonders stark zugenommen hat die Zahl der Diebstähle, aber auch Gewaltstraftaten haben wieder zugenommen. Wenn junge Männer im Ausgang grundlos angegriffen werden, Chaoten und Krawallmacher ungehindert zu Gewaltexzessen in unseren Städten aufrufen, wenn Senioren das Ziel von dreisten Trickdieben sind und Einbrüche namentlich in Grenzkantonen in alarmierendem Masse zunehmen –dann wirkt sich das negativ auf das subjektive Sicherheitsempfinden aus.


Nach Meinung der CVP gibt es aber wirkungsvolle Mittel gegen die zunehmenden Gewaltstraftaten und um die Sicherheit in der Gesellschaft wieder herzustellen. Insgesamt sollen Polizei und Armee gestärkt werden und mehr Sicherheit im öffentlichen Raum hergestellt werden. So fordert die CVP, dass “moderne technische Mittel gegen Kriminaltouristen” eingesetzt werden. Dazu gehört die Installation von zusätzlichen Überwachungskameras an Bahnhöfen und in Zügen. Außerdem wird die technische Aufrüstung von Videoüberwachungssystemen gefordert, damit diese “Kontrollschilder [Nummernschilder] automatisch scannen und mit dem eidgenössischen Fahndungsregister Ripol, welches Datenbanken für Personenfahndungen, Fahrzeugfahndungen, Sachfahndungen und ungeklärte Straftaten umfasst, abgleichen
können.” In einigen Kantonen seien solche Systeme bereits vorhanden wie der Tagesanzeiger berichtet.

Die größte Gefahr scheint aber nach Meinung der CVP im Internet zu liegen. Unter dem Punkt “Cyberrisiken ernst nehmen” fordert die CVP:

Für die hochentwickelte Schweiz stellen Angriffe auf die ICT-Infrastruktur unseres Landes eine sehr aktuelle Bedrohung dar. Unsere digitalen Netze sind unsere verwundbarste Stelle. Die schweizerische Volkswirtschaft, unsere Infrastruktur ja gar unser Lebensraum kann durch einen Cyber-Angriff massiv beschädigt werden. Es ist die gemeinsame Aufgabe von Bund und Kantonen, die nationale Strategie zum Schutz der Schweiz vor Cyber-Risiken umzusetzen. Der Schutz dieser modernen Handelswege ist eine Kernaufgabe der Sicherheitskräfte im 21. Jahrhundert. Die CVP fordert den Bundesrat auf, die Schaffung einer „cyber-war“-Einheit zu prüfen, das sich aus Milizkadern und -soldaten mit entsprechenden Spezialkenntnissen zusammensetzt.

Das Internet soll aber ebenso bei der Steigerung der Sicherheit in der Schweiz helfen. So fordert die CVP eine Vereinheitlichung der Internetfahndung, bei der Regelungen zur Veröffentlichung von Fahndungsfotos im Internet festgelegt werden, “damit nicht unnötig lange und wertvolle Zeit bei der Fahndung nach mutmaßlichen Tätern verloren geht”.

Und zu guter Letzt darf natürlich auch eine Aufwertung des Nachrichtendienstes nicht fehlen:

Der Nachrichtendienst des Bundes muss über die nötigen Kompetenzen für Einsätze im In- und Ausland verfügen, um als Frühwarnsystem zugunsten des Bundes und der Kantone proaktiv zu wirken.

Insgesamt wirkt das Positionspapier gerade heute in Zeiten des Überwachungsskandals um NSA, GCHQ und Co. reichlich fehl am Platz, spricht es sich doch für mehr Überwachung und Kontrolle durch Polizeibehörden aus. Das Positionspapier der CVP mit seinen 20 Forderungen kann hier als pdf angesehen oder heruntergeladen werden.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

August 09 2013

E-Mail made in Germany: Deutsche Telekom, Web.de und GMX machen SSL an und verkaufen das als “sicher”

e-mail-made-in-germany-teilnehmerDie Deutsche Telekom, WEB.DE und GMX wollen sich mit dem Label “E-Mail made in Germany” als “sichere” E-Mail-Anbieter verkaufen. An den Grundproblemen unsicherer E-Mails ändern sie jedoch überhaupt nichts, sondern schließen lediglich zwei existierende Sicherheitslücken. Die Initiative kann als reine Marketing-Aktion abgetan werden, wirkliche Sicherheit wird nicht gewährleistet.

Unter dem Namen E-Mail made in Germany starten die Deutsche Telekom, WEB.DE und GMX eine Initiative für “sichere” E-Mail. In der dazugehörigen Pressemitteilung werden folgende “Sicherheits-Features” versprochen:

  • Automatische Verschlüsselung von Daten auf allen Übertragungswegen
  • Sichere Speicherung am Datenstandort Deutschland
  • Kennzeichnung sicherer Mail-Adressen

Bei genauerer Betrachtung entpuppt sich das als reine Marketing-Kampagne für eine längst überfällige Einstellung im Setup der Mail-Server ohne wirklich eine neue Stufe an “Sicherheit” zu erreichen.

Das einzige, was neu ist, ist die Verwendung von Verschlüsselung auf dem Transportweg (SSL/TLS) zwischen Sender und Mail-Server sowie zwischen den Mail-Servern der zwei Firmen untereinander. Dass das Versenden von Mails vom Client an den Server überhaupt noch auf unverschlüsselten Verbindungen möglich war, ist ein Unding im Jahr 2013. Dafür gibt es keinerlei technischen Grund und viele Mail-Anbieter erlauben seit Jahren nur noch verschlüsselte Verbindungen.

Die Verschlüsselung der Übertragung zwischen den Mail-Servern @t-online.de, @gmx.de und @web.de ist ein nettes Feature. Aber auch das hätten die beteiligten Firmen schon längst machen können. Das Problem ist bekannt seit es E-Mail gibt und wurde vor über einem Monat wieder öffentlich thematisiert. Gerade Web.de und GMX schnitten in einem Test von Golem schlecht ab. Das Anschalten des Features ist daher eher ein Fix einer verantwortungslosen Lücke als das Einführen richtiger “Sicherheit”. Auch das wird seit Jahren von seriösen Mail-Anbietern getan.

(Verpflichtendes SSL/TLS zwischen Mail-Servern ist ein Problem, da es in Standard und Implementierungen meist optional ist. Viele Beispiele aus der Praxis zeigen aber, dass kooperierende Mail-Server sehr wohl seit langem verpflichtende Transport-Verschlüsselung zwischen ihren Servern implementiert haben.)

Am Grundproblem von E-Mail als von jedem lesbarer Postkarte ändert all das nichts. Weder werden die Inhalte der Mail verschlüsselt, noch werden die Mails auf verschlüsselten Festplatten gespeichert (erst recht nicht mit Entschlüsselungs-Möglichkeit nur durch User, wie Lavabit das gemacht hat). Stattdessen wird die existierende verantwortungslose Praxis jetzt als “sicher” verkauft, weil die Rechenzentren ja in Deutschland stehen und “High-Tech-Rechenzentren mit moderner Sicherheitstechnik” sind. Mal abgesehen vom Marketing-Sprech: An Vorratsdatenspeicherung, Bestandsdatenauskunft, strategischer Fernmeldeaufklärung, G10-Gesetz und SINA-Boxen ändert das gar nichts.

Vollkommen zum Witz macht sich die PR-Maßnahme durch einen Vergleich, dass die De-Mail noch sicherer ist als die “E-Mail made in Germany”:

e-mail-made-in-germany-de-mail

Über die Unsicherheit von De-Mail haben wir ausführlich berichtet und Sascha Lobo hat das nochmal treffend zusammengefasst. Laut eigener Aussage ist “E-Mail made in Germany” also unsicherer als unsicher. Wird aber als “sicher” verkauft. Alles klar?

Fazit: Unbedingt meiden.

Sucht euch stattdessen einen kleinen, sympathischen Mail-Anbieter, der diese “Features” nicht als Neuigkeit mit Marketing-Kampagne verkauft, sondern nie auf die Idee käme, das je anders zu machen. Oder betreibt euren Mail-Server am besten gleich selbst oder zusammen mit ein paar Freund/innen. Zentralisierung ist ohnehin der Feind eines freien und offenen Internets. Und verschlüsselt eure Mails Ende-zu-Ende mit OpenPGP. Noch besser ist das Versenden und Empfangen von Mails über Tor.

Alles andere ist nur Marketing.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

August 02 2013

Videoüberwachung: Interaktive Karte zeigt Ausmaß in Bayern

Quelle: wikipedia

Quelle: wikipedia

Nach Straftaten im öffentlichen Raum, wie Überfällen oder gar terroristischen Anschlägen, wird schnell der Ruf nach mehr Videoüberwachung laut. Besonders Politiker sind schnell mit Forderungen nach mehr Überwachungskameras. Dass weder das Sicherheitsgefühl der Bürger gestärkt wird, noch Straftaten durch die Anbringung von Kameras verhindert werden, stört die Beteiligten meist nicht. Die Süddeutsche Zeitung hat nun eine Interaktive Karte angefertigt, die die Verteilung von Überwachungskameras in München, sowie in ganz Bayern aufzeigt.

Ende 2012 waren in Bayern mehr als 17.000 Kameras installiert, um öffentliche Plätze und öffentlich zugängliche Räume zu überwachen, das zeigt eine Aufstellung der bayerischen Staatsregierung. Seit 2008 ist ihre Zahl um mehr als 5500 gestiegen. Auf der interaktiven SZ-Karte können Sie sehen, wo genau und zu welchem Zweck die Kameras in Bayern installiert wurden. Auf der Karte ist zu sehen: Es sind vor allem Amtsgebäube, Schulen oder Gerichte, aber auch öffentliche Plätze, Polizeistationen, Gefängnisse, Bahnhöfe und Museen, die überwacht werden.

überwachungskameras

Dass Überwachungskameras vor Straftaten schützen oder den Menschen mehr Sicherheit vermitteln, ist dabei ein Trugschluss, wie die Süddeutsche Zeitung in einem weiteren Artikel erklärt.

Das Sicherheitsgefühl der Bevölkerung nimmt durch Videoüberwachung – wenn überhaupt – nur kurzzeitig zu. [...] Eine Kamera könne sogar bestehende Unsicherheit bestärken.

Und:

Außerdem müsse man davon ausgehen, dass Kriminalität durch Kameras nicht verhindert, sondern nur verdrängt wird. Gerade dieses Phänomen ist aufgrund der Datenlage allerdings schwierig wissenschaftlich zu untersuchen

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

June 11 2013

Deutsche Welle: Internetspionage – Was wusste Europa?

Die Deutsche Welle hat einen lesenswerten Bericht zu PRISM und dessen europäischer Dimension gemacht: Internetspionage – Was wusste Europa? Meine Zitate in dem Artikel dürften der geneigten netzpolitik.org-Leserschaft bekannt vorkommen. Interessant finde ich die Einschätzungen des Forschers Julien Jeandesboz.

Die Europäer hätten im Kampf gegen Cyberkriminalität und beim Schutz im Internet ihre Energie lange einseitig investiert, so Julien Jeandesboz vom Centre d’Etudes sur les Conflits, einer der Autoren der Studie. “Der Fokus lag in der EU darauf, welche Trends EU-Bürger bedrohen können, die außerhalb der sogenannten ‘regierungsgesponserten’ Bedrohungen liegen.” Die Europäer debattierten also über Hacker, über Identitätsdiebstahl oder über die Regulierung von Internetfirmen. Ging es um staatsgelenkte Aktivitäten, war das europäische Augenmerk auf China oder Russland gerichtet. “Der Fokus lag nicht auf dem sehr sensiblen Verhältnis mit den USA – auch aus politischen Gründen”, so Jeandesboz im Interview mit der DW.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung, auch um weiterhin einen Full-RSS-Feed anbieten zu können. Investiere in digitale Bürgerrechte.

flattr this!

January 24 2012

Trojaner-Angriff auf Grüne Jugend – Mails

Die Grüne Jugend, der Jugendverband von Bündnis 90/Die Grünen, ist Opfer eines Trojaner-Angriffs geworden. Mehrere Monate lang wurden Mailkonten von Bundesvorstandsmitgliedern und der Bundesgeschäftsstelle an eine Mailadresse auf einem russischen Freemail-Hoster weitergeleitet. Dies fiel auf, als dieses russische Ziel-Postfach voll war und bei jeder neuen Mail eine Fehlermeldung an die 13 weitergeleiteten Accounts verschickte.

Die Grüne Jugend hat eine Stellungnahme dazu veröffentlicht:

Wir haben umgehend die Datenschutzbehörde informiert, da Dritte offenbar unrechtmäßig zur Kenntnis von Daten gelangt sind. Wir wollen und werden von unserer Seite alles dazu beitragen, damit dieser Hackerangriff zügig aufgeklärt wird. Es wurden bereits rechtliche Schritte eingeleitet. Bislang haben wir, außer dem Hinweis, dass es sich um einen russischen Freemail-Hoster handelt, noch keine Informationen oder Vermutungen darüber, wer die Weiterleitungen eingerichtet hat und welche Motivation hinter diesem Angriff steht.”

Für mich klingt die ganze Geschichte so, als ob einem der ehrenamtlichen Administratoren ein Trojaner untergejubelt wurde, und jemand darüber Zugriff auf die Mailverwaltung erhielt. Den Indizien nach kann es gut möglich sein, dass dies ein gezielter und politisch motivierter Angriff war. Dafür spricht, dass nur ausgewählte 13 Mailkonten weitergeleitet wurden und die Auswahl scheint auch nicht willkürlich gewesen zu sein. Hier hatte sich jemand offensichtlich mit der Grünen Jugend beschäftigt und wusste, welche der vielzähligen Mailkonten relevant sind.

Bisher kannte ich solche Geschichten nur aus Russland, wo auf diese Art gegen kritische Nichtregierungsorganisationen vorgegangen wird.

January 09 2012

Bundespolizei-Beamter überwacht Tochter: Was kann da schiefgehen?

Erinnert sich noch jemand an den Hack der No-Name-Crew, der im Juli für Aufregung sorgte, weil Der Inhalte eines Server der Zollbehörden danach im Netz auftauchte? Mittlerweile ist geklärt, wie die Gruppe vorgegangen (oder Andere parallel?) ist und die Lösung hängt die Latte für absurde Geschichten in 2012 schon zu Beginn des Jahres ziemlich hoch:

Nach Angaben des Spiegel ermitteln jetzt Kölner Fahnder gegen einen “hohen Beamten der Bundespolizei aus Frankfurt am Main”. Dieser wollte eigentlich nur seine Tochter überwachen und hatte die tolle Idee, ihr einen Trojaner auf den Rechner zu spielen. Die Tochter wiederum kannte jemand mit guten Computerkenntnissen, dieser fand den Trojaner und dabei gleichzeitig heraus, dass der Vater “dienstliche Mails an seinen Privatrechner umgeleitet hatte”. Und das war dann das Scheunentor, um in das System der Bundespolizei einzudringen. Da hilft dann auch erstmal kein Cyberabwehrzentrum.

Update: Fälschlicherweise hab ich eben zuerst in der Überschrift “BKA-Beamter” geschrieben. Stimmt natürlich nicht.

September 30 2011

CR 172 SSL. Oder: Einmal aufmachen bitte.

Gestern lief auf Fritz-Radio Chaosradio Folge 172 zum Thema “SSL. Oder: Einmal aufmachen bitte – Warum die Verschlüsselung nicht (mehr) funktioniert.” Hier ist die MP3.

Alle braven Nutzer bekommen seit Ewigkeiten beigebracht: Wenn wir sicher surfen wollen, müsst ihr ein httpS vor die Webadresse eurer Onlinebank schreiben. Nur dann ist die Kommunikation wirklich, ehrlich und total sicher. Und das gilt auch für alle anderen Seiten, bei denen irgendwelchen Informationen übertragen werden. Oder halt eben nicht. Spätestens seit den Skandalen um Zertifikatsherausgeber wie Diginotar (Infos), dem Abhören von GMail-Traffic durch den Iran und der weitreichenden BEAST-Attacke ist klar: SSL und TLS sind kaputt. So kaputt, dass sich die Frage stellt, ob es ein Fehler im System oder eine behebbare Sicherheitslücke ist. Eine Problem um das es im Chaosradio gehen soll. Stephan ”tomate” Urbach, fukami und Matthias “wetterfrosch” Mehldau werden monoxyd und euch die Funktionsweise, Fallstricke und fundamentalen Fehler bei verschlüsselter Datenübertragung im Netz erklären, beleuchten und diskutieren.

flattr this!

September 02 2011

Wie unsicher sind deutsche Mobilfunknetze?

Philip Banse hat für Deutschlandradio Kultur ein 30 Minuten langes Feature zum Thema “Hacker im Handynetz – Wie unsicher sind deutsche Mobilfunknetze?” gemacht. Davon gibt es das Transcript und eine MP3 zum Nachhören.

Das Abhören von Handygesprächen war bisher eine Sache von Polizei und Geheimdiensten. Mittlerweile kann jeder mit etwas technischem Sachverstand Handys ausspionieren oder sogar Handynetze teilweise lahmlegen. Denn nahezu alle Mobilfunknetze der Welt basieren auf GSM – dem global System for Mobile Communication. Doch ausgerechnet dieses so wichtige technische System unserer Gesellschaft ist voller Fehler und Sicherheitslücken.

Nicht nur Gespräche können abgehört und SMS mitgelesen werden, auch sensible Daten, die über GSM-Netze verschickt werden, sind leicht von Dritten abzufangen, wie zum Beispiel beim Telefonbanking oder in der Kommunikation zwischen Zügen. Bislang haben die Netzbetreiber jedoch nichts getan, um die Sicherheitslücken zu schließen.

June 17 2011

Terroranschlag per eMail

Die Spaßfraktion von der Deutschen Polizeigewerkschaft warnt vor eMails:

“Ein Terrorangriff muss nicht mit Bomben oder Raketen erfolgen, er kann im Prinzip per email erfolgen.”

Ich fühle mich auch von den ganzen Spammails terrorisiert.

flattr this!

May 13 2011

Dropbox hat wohl die Nutzer belogen, was die Sicherheit betrifft

Dropbox ist ein beliebter Service mit rund 25 Millionen Nutzern, mit dessen Hilfe man Daten bequem in der Cloud speichern kann. Das ist praktisch, wenn man nicht alles auf der eigenen Festplatte ablegen möchte, und z.B. dezentral von verschiedenen Rechnern darauf zugreifen möchte. Ein weiteres Anwendungsszenario ist Filesharing, da man Ordner mit anderen Nutzern teilen kann. Bisher erklärte Dropbox immer, dass die Daten gut verschlüsselt sind und Dropbox-Mitarbeiter nicht sehen können, was die Nutzer speichern. Das war natürlich eine vertrauensbildende Maßnahme, wer möchte schon einen Dienst nutzen, wo man vielleicht sensible Daten auf eine Festplatte in der Clound hochlädt, und fremde Menschen darin rumstöbern können. Nun, das mit der Verschlüsselung war wohl eine Lüge, wie das Wired-Blog Threat-Level berichtet: Dropbox Lied to Users about Data Security, Complaint to FTC Alleges. Vor kurzem wurde die Webseite geändert.

Up until April 13, the site promised this: “Dropbox employees aren’t able to access user files, and when troubleshooting an account, they only have access to file metadata (filenames, file sizes, etc. not the file contents).”
Now the site says “Dropbox employees are prohibited from viewing the content of files you store in your Dropboxaccount, and are only permitted to view file metadata (e.g., file names and locations).”

Dropbox checkt wohl bei jedem Upload mit einem Hash, ob jemand anderes schonmal dieselbe Datei hochgeladen hat. Gleichzeitig liegen die Schlüssel bei Dropbox und nicht beim Nutzer. Der Wissenschaftler Christopher Soghoian hat jetzt eine Beschwerde bei der FCC eingereicht, wo er seine Analyse näher beschreibt (PDF) und Dropbox der Lüge bezichtigt.

Mittlerweile weist Dropbox daraufhin, dass man ab und an auch aus rechtlichen Gründen auf die Daten zugreifen muss:

Like most online services, we have a small number of employees who must be able to access user data for the reasons stated in our privacy policy (e.g., when legally required to do so). But that’s the rare exception, not the rule. We have strict policy and technical access controls that prohibit employee access except in these rare circumstances. In addition, we employ a number of physical and electronic security measures to protect user information from unauthorized access.

Über die Backdoor-Funktion bei Dropbox mit dem neuen Feature des Behördenzugangs hatten wir bereits vor einem Monat berichtet. Was ist aber nun von einem Anbieter zu halten, der offensichtlich seine Kunden belogen hat? Auch wenn der Service noch so praktisch ist, kann man dem Anbieter noch vertrauen?

flattr this!

Older posts are this way If this message doesn't go away, click anywhere on the page to continue loading posts.
Could not load more posts
Maybe Soup is currently being updated? I'll try again automatically in a few seconds...
Just a second, loading more posts...
You've reached the end.

Don't be the product, buy the product!

Schweinderl