Secorvo Security News - Secorvo Security Consulting
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Secorvo Security News
Januar 2019
Protokoll
Ein Protokoll ist die Niederschrift einer
Ereignisabfolge – oder die Beschreibung
eines festgelegten Ablaufs. In der Kom-
munikationstechnik spielen Protokolle
eine zentrale Rolle: Als standardisierte
Ablaufbeschreibungen für den Austausch
von Daten zwischen Endsystemen.
Eine der größten Herausforderungen der
Kryptografie ist die Entwicklung „siche-
rer“ Protokolle – Ablaufbeschreibungen
für einen Datenaustausch, der bestimmte Sicherheitseigenschaften
(authentisch, vertraulich, verbindlich etc.) besitzt und resistent
gegen Angriffe ist. Dabei genügt es nicht, lediglich einzelne krypto-
grafische Mechanismen zu kombinieren: Ohne eine enge Verzah-
nung der Mechanismen haben Angreifer leichtes Spiel. Ein Beispiel:
So reicht eine (gar einseitige) Authentifikation der Endsysteme zu
Beginn des Protokolls nicht aus, denn ein Angreifer kann sich später
als „Man-in-the-Middle“ in die Verbindung einklinken. Die Authenti-
fikation muss gegenseitig erfolgen und mit weiteren Mechanismen
über alle Datenpakete aufrechterhalten werden. Wie komplex und
fehleranfällig das im Konkreten sein kann, haben viele erfolgreiche
Angriffe auf kryptografische Protokolle gezeigt. Dafür verstehen
Protokoll-Designer inzwischen einigermaßen, worauf es ankommt.
Ähnliches gilt für Abläufe im echten Leben. Zahlreiche Angriffe wie
die Skimming-Attacken an Geldautomaten oder die automatische
Überwindung von Captchas, die Angreifer auf Erotik-Seiten weiter-
leiten, um sie dort von Menschen lösen zu lassen, sind nichts
anderes als „analoge“ Man-in-the-Middle-Angriffe. Auch das 2018
erstmals aufgetretene „Job Scamming“ gehört in diese Kategorie:
Mit falschen Stellenangeboten werden Bewerber zur Versendung
fotografierter Ausweispapiere oder zu einem Video-Ident-Verfahren
verleitet – und diese vom Angreifer für die Eröffnung eines (Geld-
wäsche-) Kontos verwendet.
Dabei könnte man inzwischen von den Protokoll-Designern lernen.
Inhalt
Protokoll Secorvo Seminare
Security News Teamzuwachs
Schwarzer Tag für die Biometrie Gut gehört und schon gehackt.
PKI in Entwicklungsumgebungen Veranstaltungshinweise
Drum prüfe, wer sich ewig bindet
Patchen ist gut…
Eine für alle
Secorvo News
Secorvo Security News 01/2019, 18. Jahrgang, Stand 30.01.2019 1
Januar 2019
PKI in Entwicklungsumgebungen Drum prüfe, wer sich ewig bindet
Security News
Wer PKI-Anwendungen nicht nur nutzt sondern Aller europäischen Vereinheitlichung zum Trotz gibt
Schwarzer Tag für die Biometrie auch selbst entwickelt oder in einer Testumgebung es – nach wie vor – auch außerhalb der DSGVO und
betreibt, steht gleich vor einem doppelten Dilem- des neuen BDSG Datenschutzbestimmungen. Am
Alle Jahre wieder beschert der Chaos Communica- ma: Einerseits sind Test- und Entwicklungssysteme 18.12.2018 hat das Bundessozialgericht (BSG) auf
tion Congress zwischen Weihnachten und Neujahr oft nicht sicher genug – sie werden nicht auf dem Grundlage des § 284 SGB V eine datenschutzrecht-
einige interessante Angriffe. So kippten Julian und gleichen Sicherheitsniveau betrieben wie Produktiv- liche Entscheidung zu elektronischen Gesundheits-
Starbug am 28.12.2018 auf dem 35c3 mit ihrem systeme. Schlüssel zu Zertifikaten sind dort weniger karten getroffen.
Vortrag „Venenerkennung hacken“ (Video) einen der geschützt, Sperrprozesse oft nicht sorgfältig um-
letzten Hoffnungsträger biometrischer Systeme: die gesetzt, und daher kann das Vertrauensniveau einer Die Versicherten (ausgenommen Kinder und Perso-
Venenerkennung. produktiven PKI leiden. nen, die dazu außerstande sind) müssen den Kran-
kenkassen Passbilder zur Ausstellung der elek-
Handvenen sind ein in Hochsicherheitsumgebungen Andererseits sind produktive PKIs oft zu sicher – tronischen Gesundheitskarte zur Verfügung stellen.
(wie beispielsweise der Zentrale des BND in Berlin) Zertifikate für Test und Entwicklung werden „auf Wie dies zu geschehen hat ist gesetzlich nicht
beliebtes biometrisches Authentifikationsmerkmal, Zuruf“ benötigt; sorgfältige manuelle Validierungs- geregelt. Nach dem Urteil des BSG steht nun fest,
da ihre Analyse bisher als eines der sichersten Ver- schritte bremsen die Entwicklungsarbeit aus. Hinzu dass die Krankenkassen die Bilder nach der Aus-
fahren galt. Da die Systeme berührungslos arbeiten kommt, dass fehlerträchtige Ereignisse wie die stellung der Karte unverzüglich zu löschen haben.
sind sie zudem für öffentliche Anwendungen wie Sperrung oder der Ablauf eines Zertifikats in einem
Geldautomaten oder Hygienebereiche wie Kranken- Dies entspricht dem Grundsatz der Zweckbindung
verglichen mit dem späteren Produktivbetrieb
häuser besonders gut geeignet. Die Sicherheits- kurzen Entwicklungszeitplan meist nicht auftreten und der Datensparsamkeit. Es ist zu begrüßen, dass
forscher konnten jedoch zeigen, dass ein Foto einer – Test-Zertifikate sollten daher eine deutlich kürze- die Bilder nicht dauerhaft, etwa zur Ausstellung von
Hand, aufgenommen mit einer Kamera ohne Ersatzkarten o. ä. gespeichert werden dürfen, auch
re Gültigkeit haben als in einer Produktivumgebung.
Infrarotfilter aus mehreren Metern Entfernung, und wenn ganz offensichtlich ist, dass dies sowohl für
etwas Nachbearbeitung genügen, um mittels eines Eine schlechte Lösung für dieses Dilemma ist, bei die Kassen als auch für die Versicherten einen
Laserdruckers und einfachem Bienenwachs eine Test- und Entwicklung mit selbstsignierten Zerti- Mehraufwand bedeutet, wenn eine Karte abge-
Attrappe zu erstellen, die von Handvenenscannern fikaten und den üblichen, „wegzuklickenden“ Mel- laufen, verloren gegangen oder auf andere Weise
akzeptiert wird. Getäuscht wurden auf diese Weise dungen zu arbeiten. Eine aufwändige ist es, eine abhandengekommen ist.
sowohl die Handflächen- als auch die Fingervenen- separate zweite PKI zu betreiben, deren Root-CA
nur in der Entwicklung und für Tests vertraut wird. Anderes gilt bei Ausweispapieren wie dem Reise-
erkennung. Trotz der (vom Hersteller behaupteten) pass, Personalausweis oder der Fahrerlaubnis. Hier
Lebenderkennung der Zutrittskontrolllösung wurde Einen Mittelweg geht das von einem Google-Ent- liegen der Speicherung andere gesetzliche Ermächti-
die Attrappe nicht zurückgewiesen. wickler am 07.01.2019 veröffentlichte Paket mk- gungen (PassG, PAuswG, StVG) zugrunde, die es
Die Forscher skizzierten weitere Angriffsszenarien cert. Es bietet einen einfachen Zugang zu einer ad- den Behörden erlauben, die Bilder auch nach Erstel-
wie einen in einem berührungslosen Handtrockner hoc erstellten OpenSSL-CA und platziert deren lung der Ausweisdokumente weiter zu speichern.
eingebauten Raspberry Pi mit Kameramodul, der Zertifikat in alle gängigen lokalen Root-Stores. Eine
Dabei dürfen die Daten im Fahrerlaubnisregister
ausreichend gute Bilder für einen erfolgreichen künftige Version soll auch eine Zertifikatsbeantra-
nach § 61 Absatz 4 StVG nur bis zur Vollendung des
Angriff liefert. Damit werden sichere Biometriever- gung per ACMEv2 unterstützen. Für viele Test- und
110. Lebensjahres gespeichert werden dürfen. Was
fahren langsam knapp. Entwicklungsumgebungen könnte dies die gesuchte
auch immer mit dieser Begrenzung bezweckt wur-
Lösung sein.
de – sie könnte sich eines Tages noch rächen…
Secorvo Security News 01/2019, 18. Jahrgang, Stand 30.01.2019 2
Januar 2019
Patchen ist gut… arbeitungen für betroffene Unternehmen nur einen Teamzuwachs
einzigen Ansprechpartner in Europa geben, die sog-
…zum Schutz vor (bekannten) Sicherheitsschwach- nannte „federführende Aufsichtsbehörde“, falls Ab dem 01.02.2019 verstärkt Jannis Pinter das
stellen. Das haben wir alle seit Jahren immer wieder eigentlich mehrere verschiedene Aufsichtsbehörden Secorvo-Team. Als Informatiker mit mehreren Jah-
gehört (und weitergesagt). Aber Patchen aus einer zuständig wären. Dann müssen Unternehmen nur ren Erfahrung in der IT-Sicherheit bringt er insbe-
verlässlichen, integren Quelle ist besser. Das muss- mit einer Behörde kommunizieren, es gibt nur ein sondere vertiefte technische Kenntnisse über Public
ten all jene schmerzlich lernen, die im Zeitraum Bußgeld – und damit zugleich mehr Rechtssicher- Key-Infrastrukturen mit.
zwischen (vermutlich) Juli 2018 und Januar 2019 heit. Die federführende Behörde muss sich mit den
Software vom „PHP Extension and Application anderen zuständigen Datenschutzbehörden ab- Gut gehört und schon gehackt.
Repository“ (PEAR) auf ihrem Webserver installiert stimmen.
haben. Denn wie die Betreiber des Repositories am Oder: Wie Sennheiser das TLS-Protokoll aushebelte.
19.01.2019 mitteilten, war mindestens eines der Vor diesem Hintergrund stellt sich die Frage, was in Leser der Security News kennen die Hintergründe
Installationspakete in diesem Zeitraum mit Schad- Deutschland passiert, wenn es zwar keinen grenz- (SSN 10/2018): Ein klitzekleiner „Workaround“ der
software bestückt. überschreitenden, wohl aber einen Verstoß gibt, der Entwickler wuchs sich im vergangenen Herbst zu
mehrere Bundesländer betrifft. Denn dann sind bis einem Sicherheits-Desaster für alle betroffenen
Während immer mehr kommerzielle Softwareher- zu 18 Datenschutzbehörden zuständig. Zwar be- Systeme aus. Eine Design-Schwachstelle im Zertifi-
steller ein ISO 27001-Zertifikat für ihr Security zieht sich die Regelung in der DSGVO auf grenzüber- katsmanagement der Software Sennheiser Head-
Management vorweisen, scheinen manche Open- schreitende Verstöße, aber die EU-weit geltenden Setup unterhöhlte ohne Wissen der Nutzer die
Source-Softwarequellen zwar mit viel Enthusias- Maßstäbe müssten auch innerhalb des Bundesge- Sicherheit aller TLS-Verbindungen – für die Beseiti-
mus zu arbeiten, aber dem sicheren Betrieb noch bietes angewendet werden, so dass sich die Lan- gung der Schwachstelle war die Mitwirkung von
immer wenig Aufmerksamkeit zu widmen. desdatenschutzbehörden untereinander und mit Microsoft erforderlich. Dass ein solches Desaster
Angesichts geradezu inflationärer Security-Labels der federführenden Behörde abstimmen müssten, überhaupt möglich war, hatte allerdings mehrere
und -Zertifizierungen wäre ein Label für professio- also derjenigen, in deren Bundesland das gegen die Ursachen, für die nicht ausschließlich Sennheiser
nell sicher betriebene und regelmäßig auditierte DSGVO verstoßende Unternehmen seinen Sitz hat. verantwortlich gemacht werden sollte.
Open Source Repositories ein deutlicher Fortschritt. Beim Jahresauftakt-Event der Karlsruher IT-Sicher-
So wie einige große OpenSSL-Anwender das am Secorvo News heitsinitiative (KA-IT-Si) am 21.02.2019 zeigen die
21.01.2019 veröffentlichte Security Audit der TLS- Secorvo-Experten André Domnick und Hans-
1.3-Implementierung von OpenSSL mitfinanziert Secorvo Seminare Joachim Knobloch, wie durch die Schwachstelle ein
haben fänden sich bestimmt Sponsoren, denen die Man-in-the-Middle-Angriff auf TLS gelingt, stellen
Integrität der von ihnen genutzten Softwarepakete Im März 2019 starten wir mit einem PKI- (18.- dar, gegen welche lang bekannten Design-Prin-
am Herzen liegt. 21.03.2019), T.I.S.P.- (25.-29.03.2019) und „IT- zipien für sichere Software verstoßen wurde und
Sicherheit heute“-Seminar (02.-04.04.2019) in die wie eine sichere Lösung hätte aussehen können.
Eine für alle Weiterbildungs-Saison 2019. Die vollständigen Pro-
gramme und eine Möglichkeit zur Online-Anmel- Im Anschluss haben Sie, wie gewohnt, Gelegenheit
Die französischen Datenschutz-Aufsichtsbehörde dung finden Sie unter www.secorvo.de/seminare. zum fachlichen und persönlichen Austausch beim
CNIL hat am 21.01.2019 ein 50 Millionen Euro Wir freuen uns auf Ihre Teilnahme! „Buffet-Networking“ (Anmeldung).
schweres Bußgeld gegen Google verhängt. Nach
dem mit der DSGVO eingeführten „One-Stop-
Shop“-Prinzip soll es bei grenzüberschreitenden Ver-
Secorvo Security News 01/2019, 18. Jahrgang, Stand 30.01.2019 3
Veranstaltungshinweise
Auszug aus http://www.veranstaltungen-it-sicherheit.de
Februar 2019
06.-07.02. 26. DFN-Konferenz "Sicherheit in vernetzten
Systemen" (DFN-CERT Services GmbH, Hamburg)
20.-21.02. 29. SIT-SmartCard Workshop (Fraunhofer-Institut
SIT, Darmstadt)
21.02. Gut gehört und schon gehackt. (KA-IT-Si, Karlsruhe)
März 2019
13.-14.03. secIT 2019 (Heise Medien GmbH&Co.KG, Hannover)
14.-15.03. Future Security 2019 (Fraunhofer VVS, Nürnberg)
18.-21.03. PKI – Grundlagen, Vertiefung, Realisierung
(Secorvo, Karlsruhe)
25.-29.03. T.I.S.P. – TeleTrusT Information Security Professional
(Secorvo, Karlsruhe)
29.03. SECMGT-Workshop: IoT – ein Thema für den CISO?
(GI-Fachgruppe SECMGT, Frankfurt/Main)
April 2019
02.-04.04. IT-Sicherheit heute – praxisnah, aktuell, kompakt
(Secorvo, Karlsruhe)
09.-10.04. Datenschutztage 2019 (FFD Forum für Datenschutz,
Wiesbaden)
11.-12.04. Security Forum 2019 (Hagenberger Kreis zur
Förderung der digitalen Sicherheit, Hagenberg/AT)
24.-26.04. DFRWS EU Conference (DFRWS, Oslo/NOR)
Impressum
http://www.secorvo-security-news.de
ISSN 1613-4311
Autoren: Dirk Fox (Editorial), André Domnick, Hans-Joachim Knobloch,
Friederike Schellhas-Mende
Herausgeber (V. i. S. d. P.): Dirk Fox,
Secorvo Security Consulting GmbH
Ettlinger Straße 12-14
76137 Karlsruhe
Tel. +49 721 255171-0
Fax +49 721 255171-100
Zusendung des Inhaltsverzeichnisses: security-news@secorvo.de
(Subject: „subscribe security news“)
Wir freuen uns über Ihr Feedback an redaktion-security-news@secorvo.de
Alle Texte sind urheberrechtlich geschützt. Jede unentgeltliche Verbreitung
des unveränderten und vollständigen Dokuments ist zulässig. Eine Verwen-
dung von Textauszügen ist nur bei vollständiger Quellenangabe zulässig.
Secorvo Security News 01/2019, 18. Jahrgang, Stand 30.01.2019 4
Secorvo Security News
Februar 2019
Datenschützer auf der Erbse
Es war einmal ein Unternehmer, der
wollte einen Datenschützer bestellen.
Aber das sollte ein wirklicher Daten-
schützer sein. Da reiste er in der ganzen
Welt herum, um einen solchen zu finden,
aber überall fehlte etwas. Datenschützer
gab es genug, aber ob es wirkliche
Datenschützer waren, konnte er nie
herausfinden. Immer war da etwas, was
nicht ganz in Ordnung war. Da kam er
wieder nach Hause und war ganz traurig.
Eines Tages brach plötzlich der Umsatz des Unternehmens ein, es
war ganz entsetzlich. Da klopfte es am Haupteingang, und der
Unternehmer ging hin, um aufzumachen. Es war ein Datenschützer,
der draußen vor dem Tor stand. Wie hatte ihn der Konjunktur-
einbruch gebeutelt! Das Wasser lief ihm in die Schuhe hinein und zu
Löchern wieder hinaus. Aber er sagte, dass er ein wirklicher Daten-
schützer sei. ‚Ja, das werden wir schon erfahren!‘ dachte der CIO,
aber er sagte nichts, ging in das Rechenzentrum, löschte alle perso-
nenbezogenen Daten und versteckte in einem Verzeichnis eine
Geburtstagsliste. Dann nahm er hundert beliebige Dateien, legte sie
in demselben Verzeichnis ab und verschob das Verzeichnis in eines
von hundert Unterverzeichnissen.
Den ganzen nächsten Tag ließ er den Datenschützer nach Daten-
schutzverstößen suchen. Am Abend fragte er ihn, wie er das Daten-
schutzniveau bewerte. „Oh, entsetzlich schlecht!“ sagte der Daten-
schützer. „Ich habe etwas Grässliches entdeckt! Eine Geburtstags-
liste ohne Einwilligung. Es ist ganz entsetzlich!“ Daran konnte man
sehen, dass er ein wirklicher Datenschützer war, da er in einem von
hundert Verzeichnissen mit hundert Dateien die Geburtstagsliste
entdeckt hatte. So feinfühlig konnte niemand sein außer einem
echten Datenschützer. Da bestellte ihn der Unternehmer, denn nun
wusste er, dass er einen wirklichen Datenschützer gefunden hatte.
Und die Geburtstagsliste kam zur Warnung in einen Schaukasten,
wo sie heute noch zu sehen ist, wenn sie niemand gestohlen hat.
Inhalt
Datenschützer auf der Erbse Secorvo News
Security News Weiterer Black Belt
Encryption – Back to the Roots Nächste Seminare
TLS 1.3 auf dem iPhone Kaltblütig.
Grundschutz-Kompendium 2019 Veranstaltungshinweise
Datenkrake mit App-Zertifikaten
Kartellamt macht
Datenschutzaufsicht
Steinige Anpassung
Secorvo Security News 02/2019, 18. Jahrgang, Stand 28.02.2019 1Februar 2019
reits in ihren Produkten nachgerüstet haben, sieht Checks erkennen kann. Die klare Unterscheidung
Security News es bei den Betriebssystemplattformen hingegen nach Bausteinen (= Soll-Anforderungen) und Um-
dürftig aus. setzungshinweisen (= Möglichkeiten zur Erfüllung
Encryption – Back to the Roots der Anforderungen) wurde beibehalten. Auch mit
Apple kündigte am 29.01.2019 als erster Mobilplatt- der zweiten Ausgabe des Kompendiums ist damit
Schon bevor 1977 die öffentliche Standardisierung formbetreiber an, dass die kommende Version 12.2
von Verschlüsselungsverfahren mit dem DES Fahrt aus unserer Sicht die 2017 begonnene Moderni-
des Mobilbetriebssystems iOS TLS 1.3 unterstützen
aufnahm suchten neben den Geheimdiensten auch sierung des IT-Grundschutzes gelungen.
wird. Apps, Browser und E-Mail-Clients können
kommerzielle Unternehmen nach effizienten und dann ohne weiteres Zutun Verbindungen mit dem
zugleich sicheren Algorithmen. So basierte der DES neuen Protokoll aufbauen, sofern die Gegenstelle Datenkrake mit App-Zertifikaten
auf der einige Jahre zuvor bei IBM von Horst Feistel dieses ebenfalls anbietet. Von Google und Microsoft Zwar ist es unter Apples iOS, anders als in Googles
entwickelten Chiffre Lucifer, und bei der Wahl des fehlt bisher die Ankündigung, wann mit einer offenem Android-Ökosystem, nicht ohne weiteres
DES-Nachfolgers AES wurde ausdrücklich auch auf Unterstützung von TLS 1.3 durch das Betriebs- möglich, Apps aus anderen Quellen als dem offi-
eine gute Performance auf einfachsten CPUs ge- system gerechnet werden kann. ziellen App Store zu installieren. Eine Ausnahme
achtet. macht Apple jedoch: Unternehmen, die am Apple
Im Februar 2019 hatte TLS 1.3 auf den Servern der
Dennoch wäre die Verschlüsselung des kompletten populärsten 150.000 Webseiten bereits eine Ver- Developer Enterprise Program teilnehmen, können
Speichers eines TV-Sticks oder Billig-Handys per AES breitung von über 11,6% – beachtlich für ein Proto- mit Hilfe eines speziell für sie ausgestellten Unter-
auch heute noch recht langsam. Daher werden koll, das seit gerade einmal sechs Monaten stan- nehmenszertifikats eigene In-House-Apps signieren
bspw. unter Android Geräte mit einer AES-Leistung dardisiert ist. Derweil mehren sich die Stimmen, und auf den iOS-Geräten ihrer Mitarbeiter instal-
unter 50 MB/s nicht verschlüsselt – trotz der seit ältere Protokollversionen abzuschalten. So wollen lieren. Genau solch ein Unternehmenszertifikat hat
Version 6 obligatorischen Data Storage Encryption. Mozilla, Google, Apple und Microsoft die Unterstüt- Facebook nun missbraucht, um eine datenschutz-
zung für TLS 1.0 und TLS 1.1 in ihren Browsern ab rechtlich höchst bedenkliche Marktforschungs-App
Am 07.02.2019 präsentierten Google-Forscher nun unter dem Titel „Facebook Research“ am App Store
unter dem Namen Adiantum einen Algorithmus, März 2020 einstellen. Webseitenbetreiber sollten bis
dahin sicherstellen, dass ihre Webserver mindestens vorbei an iOS-Nutzer zu verteilen. Damit nicht
mit dem der Datenspeicher eines Geräts ohne AES- genug: Die App erfordert die Installation eines
Beschleuniger-Hardware etwa fünf Mal schneller TLS 1.2 beherrschen.
Root-Zertifikats im Trust Store des Geräts, so dass
verschlüsselt werden kann als per AES. Dazu kom- Facebook sogar verschlüsselte Kommunikation mit-
binierten sie die von Daniel Bernstein und anderen Grundschutz-Kompendium 2019 lesen konnte.
unabhängigen Forschern entwickelten Algorithmen Am 18.02.2019 veröffentlichte das BSI eine überar-
ChaCha12, Poly1305 und NH mit AES – zu einem „Wir bessern uns“ war wenige Tage vor Bekannt-
beitete Version des IT-Grundschutz-Kompendiums. werden dieses neuerlichen Skandals die Kernaus-
Feistel-Netzwerk. Damit gibt es immer weniger Anders als die Ergänzungslieferungen zu den IT-
Argumente für Gerätehersteller, den Speicher nicht sage des öffentlichen Auftritts von Facebook-Vize-
Grundschutz-Katalogen wird die Version nun als chefin Sheryl Sandberg Ende Januar in München.
zu verschlüsseln. „Edition“ mit der jeweiligen Jahreszahl bezeichnet.
Schon kurz darauf musste jedoch Apple einschrei-
Einige Bausteine wurden ergänzt und zum Teil
TLS 1.3 auf dem iPhone ten und widerrief unverzüglich das Unternehmens-
Überarbeitungen der Inhalte der „Edition 2018“ vor- Zertifikat von Facebook. Damit waren nicht nur
Die jüngste Version des TLS-Protokolls – TLS 1.3 – genommen. Gut gefallen hat uns, dass auch Facebooks „Research App“ sondern auch sämtliche
wurde im August 2018 standardisiert. Während die geringfügige Änderungen explizit ausgewiesen sind,
Facebook-internen Apps nicht mehr lauffähig.
meisten Browserhersteller das neue Protokoll be- so dass man mit wenig Aufwand Änderungsbedarf
Inzwischen darf Facebook seine eigenen Apps
an ggf. bereits durchgeführten IT-Grundschutz-
Secorvo Security News 02/2019, 18. Jahrgang, Stand 28.02.2019 2Februar 2019
wieder signieren, die zukünftig hoffentlich innerhalb Steinige Anpassung Secorvo News
des Unternehmens bleiben und nicht erneut dazu
genutzt werden, Nutzer im Namen der Nach der Stellungnahme des Bundesrats vom
19.10.2018 hat der Bundestag das Zweite Daten- Weiterer Black Belt
„Marktforschung“ auszuspionieren.
schutz-Anpassungs- und Umsetzungsgesetz (2. Unser Penetrationstester Michael Knöppler ist jetzt
DSAnpUG EU) am 08./09.11.2018 an verschiedene ebenfalls Träger eines „Black Belt“: Anfang Januar
Kartellamt macht Datenschutzaufsicht Ausschüsse überwiesen. Eine endgültige Fassung bestand er die OSCP-„Gürtelprüfung“ – eine weitere
Das Bundeskartellamt schützt als unabhängige gibt es daher weiterhin nicht. Der gegenwärtige fachliche Verstärkung unseres Pentest-Teams.
Bundesbehörde den Wettbewerb in Deutschland. In Entwurf der Bundesregierung ändert in 155 Artikeln
dieser Funktion hat es sich nun in die Verarbeitung auf 553 Seiten 154 Gesetze. Dementsprechend Nächste Seminare
von Nutzerdaten bei Facebook eingeschaltet, da unübersichtlich ist das Anpassungsvorhaben, zumal
Facebook eine marktbeherrschende Stellung unter nun weitere Änderungsvorschläge der Ausschüsse Wir freuen uns auf Ihre Teilnahme am kommenden
sozialen Netzwerken in Deutschland innehabe. Es zu berücksichtigen sind. Darunter auch – vom Bun- PKI- (18.-21.03.2019) oder T.I.S.P.-Seminar (25.-
unterliege daher auch dem Verbot der miss- desrat abgelehnte – Vorschläge zu einer Lockerung 29.03.2019) – die vollständigen Programme und
bräuchlichen Ausnutzung einer marktbeherrschen- der Bestellpflicht von Datenschutzbeauftragten. eine Online-Anmeldung finden Sie unter
den Stellung nach § 19 Abs. 1 des Gesetzes gegen www.secorvo.de/seminare.
Angepasst werden Datenschutzregelungen in den
Wettbewerbsbeschränkungen (GWB), insbeson- Sozialgesetzbüchern und in Gesetzen über Dateien
dere, da der Umgang mit personenbezogenen und Register, zahlreiche medizinrechtliche Bestim- Kaltblütig.
Daten für die Stellung des Unternehmens im Wett-
mungen, zahlreiche Gesetze des besonderen Ver- Zum Schutz von Daten vor unberechtigtem Zugriff
bewerb maßgeblich ist. waltungsrechts, das BSI-Gesetz und das Straf- ermöglichen Microsofts BitLocker und Apples File-
Bislang war die Nutzung von Facebook nur möglich, gesetzbuch. Vielfach werden dabei die Betroffenen- Vault deren Verschlüsselung – für mobile Geräte im
wenn einer weitreichenden Sammlung von Daten rechte aus Art. 12-22 DSGVO nach Art. 23 DSGVO geschäftlichen Umfeld oft eine Compliance-An-
auch außerhalb der Facebook-Seite mit Zuordnung eingeschränkt. Nicht berücksichtigt werden bisher forderung. Nur wer das Passwort kennt, kommt an
zum Nutzeraccount zugestimmt wurde. Diese das Telekommunikations- und das Telemedien- die Daten heran. Dass dies ein Irrglaube ist, haben
Drittquellen umfassen sowohl zum Facebook- gesetz, deren Status damit bis zur Verabschiedung Sicherheitsforscher bereits 2008 gezeigt: Hatten sie
Konzern zugehörige Gesellschaften (z. B. WhatsApp, der europäischen ePrivacy-Verordnung weiter physischen Zugriff auf einen angeschalteten oder
Instagram) als auch bei der Nutzung von Apps und unklar bleibt. „schlafenden“ (Bereitschaftsmodus) Computer,
Drittwebseiten anfallende Daten, z. B. Facebook Eine öffentliche Diskussion zu den Vorschlägen blieb konnten sie das Passwort aus dem Arbeitsspeicher
Business Tools wie der „Like“-Button. bislang weitgehend aus. Die zahlreichen Anpassun- auslesen. Zehn Jahre nach dieser Entdeckung sind
gen werden die Rechtslage jedenfalls nicht ein- die sogenannten Cold-Boot-Angriffe noch immer
Ein Zusammenführen dieser Daten ist nach der
facher machen, zumal die speziellen Einschränkun- möglich. Beim nächsten KA-IT-Si-Event am 11.04.
Entscheidung des Kartellamts nur zulässig, wenn
gen der DSGVO-Pflichten Zweifel an der Reichweite 2019 werden Andreas Sperber und Daniel Matesic
der Nutzer darin (freiwillig) einwilligt – was außer-
dem bereits aus Art. 7 Abs. 4 DSGVO folgt. der Öffnungsklauseln nach sich ziehen werden. (aramido) live einen solchen Angriff auf einen
Computer mit Festplattenverschlüsselung zeigen.
Dieser Entscheid muss als Präzedenzfall für Online-
Im Anschluss haben Sie, wie gewohnt, Gelegenheit
Medien angesehen werden: Der Datenverarbeitung
sind sowohl datenschutzrechtliche als auch kartell- zum fachlichen und persönlichen Austausch beim
„Buffet-Networking“ (Anmeldung).
rechtliche Grenzen gesetzt.
Secorvo Security News 02/2019, 18. Jahrgang, Stand 28.02.2019 3Veranstaltungshinweise
Auszug aus http://www.veranstaltungen-it-sicherheit.de
März 2019
13.-14.03. secIT 2019 (Heise Medien GmbH&Co.KG, Hannover)
14.-15.03. Future Security 2019 (Fraunhofer VVS, Nürnberg)
18.-21.03. PKI – Grundlagen, Vertiefung, Realisierung
(Secorvo, Karlsruhe)
25.-29.03. T.I.S.P. – TeleTrusT Information Security Professional
(Secorvo, Karlsruhe)
29.03. SECMGT-Workshop: IoT – ein Thema für den CISO?
(GI-Fachgruppe SECMGT, Frankfurt/Main)
April 2019
09.-10.04. Datenschutztage 2019
(FFD Forum für Datenschutz, Wiesbaden)
11.-12.04. Security Forum 2019 (Hagenberger Kreis zur
Förderung der digitalen Sicherheit, Hagenberg/AT)
24.-26.04. DFRWS EU Conference (DFRWS, Oslo/NOR)
Mai 2019
06.-09.05. T.P.S.S.E. – TeleTrusT Professional for Secure
Software Engineering (Secorvo, Karlsruhe)
13.-17.05. T.I.S.P. – TeleTrusT Information Security Professional
(Secorvo, Karlsruhe)
19.-23.05. Eurocrypt 2019 (IACR, Darmstadt)
21.-23.05. 16. Deutscher IT-Sicherheitskongress (BSI, Bonn)
22.-23.05. 20. Datenschutzkongress
(EUROFORUM Deutschland SE, Berlin)
Impressum
http://www.secorvo-security-news.de
ISSN 1613-4311
Autoren: Dirk Fox (Editorial), Stefan Gora, Hans-Joachim Knobloch, Michael
Knopp, Sarah Niederer, Jannis Pinter, Christian Titze
Herausgeber (V. i. S. d. P.): Dirk Fox,
Secorvo Security Consulting GmbH
Ettlinger Straße 12-14
76137 Karlsruhe
Tel. +49 721 255171-0
Fax +49 721 255171-100
Zusendung des Inhaltsverzeichnisses: security-news@secorvo.de
(Subject: „subscribe security news“)
Wir freuen uns über Ihr Feedback an redaktion-security-news@secorvo.de
Alle Texte sind urheberrechtlich geschützt. Jede unentgeltliche Verbreitung
des unveränderten und vollständigen Dokuments ist zulässig. Eine Verwen-
dung von Textauszügen ist nur bei vollständiger Quellenangabe zulässig.
Secorvo Security News 02/2019, 18. Jahrgang, Stand 28.02.2019 4Secorvo Security News
März 2019
Die Heuristikfalle
Computer lösen Aufgaben determinis-
tisch: vorhersehbar und wiederholbar.
Dafür füttern wir sie mit Lösungsalgo-
rithmen. Für viele Probleme des echten
Lebens (man könnte sagen: für alle, die
diesen Titel verdienen) gibt es jedoch
keine Lösungsalgorithmen. Da helfen uns
bestenfalls Heuristiken: Dicker-Daumen-
Regeln, die meist zum Ziel führen, aber
nicht immer. So hindert uns die Heuristik
"meide Unbekanntes", giftige Früchte zu verzehren, lässt uns aber
auch vor Menschen mit fremdländischem Äußeren zurückweichen.
Nicht anders funktioniert künstliche Intelligenz, die uns jetzt alleror-
ten begegnet. In vielen Fällen genügen da heuristische Ergebnisse -
eine überwiegend richtige Übersetzung ist besser als keine, und auch
für eine zu 80% zutreffende Rechtschreibkorrektur sind wir dankbar.
Aber es gibt auch Probleme, die heuristische Erfolgsquoten nicht gut
vertragen. So veröffentlichte die Bundespolizei am 11.10.2018 eine
Studie über die sechsmonatige Erprobung biometrischer Gesichts-
erkennung von Straftätern durch Videoanalyse am Bahnhof Berlin-
Südkreuz. Drei Gesichtserkennungssysteme, die mit Fahndungsfotos
trainiert worden waren, erreichten dabei eine durchschnittliche
Trefferquote von bis zu 91,2%; die Falschakzeptanzrate (Anteil der
fehlerhaft als "Gesuchter" erkannten Personen) lag bei 0,34%.
Würde das System für ein Jahr an allen Bahnhöfen eingesetzt und
mit Fahndungsfotos der 175.000 per Haftbefehl gesuchten Personen
gefüttert, dann könnte es - sofern die Gesuchten an wenigstens
einer dieser Kamera vorbeieilen – fast 160.000 davon entdecken.
Eine beeindruckende Zahl. Allerdings würden auch 0,34% der Bahn-
reisenden fälschlich als Täter identifiziert: Bei jährlich 4,669 Milliarden
Reisenden wären das etwa 15.875.000 Fehlidentifikationen. Die Er-
kennungsrate läge damit unter 1% aller Identifizierten – keine gran-
diose Systemleistung. Und in einer freiheitlichen Ordnung eine wohl
kaum erträgliche „Unschärfe“.
Inhalt
Die Heuristikfalle Secorvo News
Security News T.I.S.P. und T.P.S.S.E.
Office 365 und der Cloud Act Kaltblütig.
Reverse Engineering – powered Veranstaltungshinweise
by NSA
Fundsache
Löchrige Container
ACME wird Standard
DSFA leicht gemacht?
OWASP ASVS 4.0
Secorvo Security News 03/2019, 18. Jahrgang, Stand 25.04.2019 1März 2019
zeug Ghidra vor. Das Tool, dessen Existenz 2017 mit werden. Ein Großteil der Abhängigkeiten in Paket-
Security News den Wikileaks-Enthüllungen Vault 7 bekannt ge- verzeichnissen wie npm, Maven Central oder Ruby
worden war, steht nun unter der Apache License Gems sind solche indirekten Abhängigkeiten. Des-
Office 365 und der Cloud Act 2.0 zur Verfügung. Es konkurriert mit seinem Funk- halb ist ein klarer Blick auf die Abhängigkeiten eige-
Microsoft bietet mit Office 365 Dienste wie Share- tionsumfang und der grafischen Benutzerober- ner Software von großer Bedeutung. Erkennen
point, OneDrive, Teams und Exchange sowie An- fläche mit dem kommerziellen Werkzeug IDA des kann man bekannte Schwachstellen in den Ab-
wendungen wie Outlook, Word oder Excel für Pri- Herstellers Hex-Rays, dessen Lizenzkosten jenseits hängigkeiten z. B. mit dem Scanner von Snyk.
vatanwender und Unternehmen an. Zur Sicherstel- der tausend Euro liegen. Natürlich drängt sich bei
Wenn es – wie bei Containerlösungen – darum
lung von Datensicherheit und Datenschutz ver- einer Anwendung, die die NSA entwickelt hat,
sofort die Frage nach Hintertüren auf. Innerhalb geht, die Bibliotheken und Programme eines ge-
pflichtete sich Microsoft zur Umsetzung wirksamer samten Betriebssystems als Abhängigkeiten für den
Maßnahmen. Ab Ende 2019 wird Microsoft seine weniger Stunden nach Veröffentlichung wurden
Container zu nutzen, zeichnet sich eine ähnliche
Cloud-Dienste aus Deutschland in neuen Cloud- auch erste gravierende Schwachstellen in Ghidra
entdeckt – keine Ausnahme bei „jungen“ Open- Problematik ab: Laut Snyk besitzt jedes der Top 10
Regionen bereitstellen, die als „deutsche Region“ Docker Images mindestens 30 bekannte Schwach-
Teil der globalen Cloud-Umgebung von Microsoft Source-Projekten –, aber bisher keine Hintertüren.
stellen. Sie gehen meist auf veraltete Bibliotheken
Office 365 sein werden. Damit wird das bisherige Die Bugs betreffen den Umgang mit dem Debug-
Server und das Laden nicht vertrauenswürdiger im verwendeten Docker Base Image zurück. Als
Modell von Microsoft Office 365 Deutschland abge- Gegenmaßnahme hilft in der Regel ein Upgrade, in
kündigt. In den neuen Regionen mit Rechenzentren Extensionen. US-Regierungsstellen haben bereits 32
vielen Fällen reicht sogar ein einfacher Rebuild. Auch
in Berlin und Frankfurt soll die Speicherung in Projekte im Quellcode im Rahmen ihrer Initiative
zum Technologietransfer publiziert; sie erhoffen der Einsatz von minimalen Base Images wie z. B.
Deutschland erfolgen, während die Cloud-Dienste Alpine Linux trägt zu einer grundlegenden Sicher-
aber auch an Microsofts weltweites Cloud-Netz- sich davon eine Beteiligung der Community an der
heits-„Hygiene“ bei.
werk angebunden sind. Für Dienste aus seinen Weiterentwicklung. Zwar sollte man mit dem Ein-
neuen Rechenzentrums-Regionen verspricht Micro- satz von Ghidra in sensiblen Bereichen noch vorsich-
tig sein – dennoch ist die Veröffentlichung eine Be- ACME wird Standard
soft die Einhaltung der DSGVO und will sich dazu
vertraglich verpflichten. Wahrscheinlich wird Micro- reicherung, denn bisher stand kein freies Werkzeug Automatic Certificate Management Environment
soft durch dieses Vorgehen unter den am mit ähnlichem Funktionsumfang zur Verfügung. (ACME) ist ein von der Internet Security Research
23.03.2018 in Kraft getretenen Cloud Act fallen Group (ISRG) entwickeltes Protokoll zum automati-
(Clarifying Lawful Overseas Use of Data Act), der Löchrige Container sierten Bezug von TLS-Serverzertifikaten. Es wurde
US-amerikanischen Ermittlungsbehörden Zugriff Software ohne Abhängigkeiten ist in der heutigen am 11.03.2019 in RFC 8555 als IETF-Standard veröf-
auf Daten einräumt, die US-Unternehmen auf Zeit kaum noch vorstellbar. Wie problematisch das fentlicht. Die ISRG ist die Dachorganisation hinter
europäischen Servern speichern. Es erscheint dem gemeinnützigen Trustcenter Let’s Encrypt, das
aus Sicherheitssicht ist, belegt das Unternehmen
zweifelhaft, dass sich damit die Anforderungen der Snyk in seinem diesjährigen „The State of Open seit 2015 über das ACME-Protokoll kostenfreie,
DSGVO erfüllen lassen. Source Security Report“ mit konkreten Zahlen: Die öffentlich gültige TLS-Serverzertifikate ausstellt.
Überprüfung von mehr als einer Million Open- ACME-Clients mit Internet-Zugang beantragen, in-
Reverse Engineering – powered by NSA Source-Projekten ergab, dass 78 % der dabei er- stallieren und erneuern ihre TLS-Serverzertifikate
Am 05.03.2019 stellte Robert Joyce (NSA) auf der kannten Schwachstellen auf indirekte Abhängigkei- selbsttätig und reduzieren so den Administrations-
RSA Conference („Come Get Your Free NSA Reverse ten zurückzuführen sind. Indirekte Abhängigkeiten aufwand erheblich. Auch der Nachweis, dass der
Engineering Tool!”) das Reverse-Engineering-Werk- sind solche, die von explizit eingebundenen Kompo- Antragsteller berechtigt ist, ein öffentlich gültiges
nenten benötigt und automatisch mitinstalliert
Secorvo Security News 03/2019, 18. Jahrgang, Stand 25.04.2019 2März 2019
DV-Zertifikat für den gewünschten Host-Namen zu Vorprüfung also gar nicht so schwierig – ob sich dies Secorvo News
erhalten, ist im ACME-Protokoll bereits vorgesehen. auch so einfach in die Praxis umsetzen lässt, muss
sich erst noch erweisen. T.I.S.P. und T.P.S.S.E.
Die nun verabschiedete Protokollversion (ACMEv2)
schafft Planungssicherheit für die Entwickler alter- Mit deutlich über 1.000 Absolventen ist der T.I.S.P.
nativer Client- und Server-Implementierungen so- OWASP ASVS 4.0
inzwischen eine nicht nur anerkannte, sondern auch
wie für andere Trustcenter, die es ihren Nutzern er- Am 01.03.2019 hat das Open Web Application weit verbreitete Berufsqualifikation für IT-Sicher-
möglichen wollen, ohne Änderung der bereits eta- Security Project (OWASP) Version 4 des Application heitsexperten. Das nächste T.I.S.P.-Seminar mit
blierten Prozesse und der Client-Software die Zerti- Security Verification Standard herausgegeben. Im anschließender Zertifikatsprüfung bieten wir Ihnen
fizierungsstelle zu wechseln. Proof of Concept: Let’s Vergleich zur Vorversion haben sich viele Ände- am 13.-17.05.2019. In der Woche davor (06.-
Encrypt selbst hat über ACMEv2 bereits mehr als 70 rungen ergeben; die inhaltlich bedeutendste ist der 09.05.2019) haben Sie die Gelegenheit, sich als
Millionen TLS-Serverzertifikate ausgestellt. Bezug auf NIST 800-63-3 Digital Identity Guidelines T.P.S.S.E. (TeleTrusT Professional for Secure Soft-
für die Abschnitte zu Authentisierung und Session ware Engineering) zu qualifizieren.
DSFA leicht gemacht? Management, sowie PCI DSS – ein Audit nach ASVS
Level 1 deckt die Anforderungen in Abschnitt 6.5 Die detaillierten Seminarprogramme und eine Mög-
Zum 01.03.2019 hat der Bayerische Landesbeauf- aus PCI-DSS 3.2.1 Abschnitt 6.5 ab. Neu ist auch der lichkeit zur Online-Anmeldung finden Sie hier.
tragte für den Datenschutz (BayLfD) einen Hinweis
Bezug aller Prüfpunkte auf die Common Weakness
auf das PIA-Tool (Privacy Impact Assessment) der Enumeration Identifier (CWE) – sehr nützlich für Kaltblütig.
französischen Datenschutzbehörde CNIL veröffent-
Tester, denn die einzelnen Prüfpunkte werden (wie Zum Schutz vor unberechtigtem Datenzugriff bie-
licht. Das Tool ist nicht neu, aber inzwischen auch in
in den vorangegangenen Versionen) nicht näher er- ten Microsofts BitLocker und Apples FileVault deren
deutscher Sprache verfügbar und soll Verantwort- läutert, obwohl einige dieser Punkte durchaus er-
lichen die Durchführung von Datenschutz-Folgenab- Verschlüsselung – für mobile Geräte im geschäft-
klärungsbedürftig sind. Darüber hinaus wurde der lichen Umfeld oft eine Compliance-Anforderung.
schätzungen (DSFA) erleichtern. Die Oberfläche ist
Abschnitt zu Mobile Security gestrichen, da mittler- Nur wer das Passwort kennt, kommt an die Daten
recht benutzerfreundlich und man kann die Folgen- weile ein eigener Mobile Application Security Verifi-
abschätzung Schritt für Schritt vornehmen. Die heran. Dass dies ein Irrglaube ist, haben Sicherheits-
cation Standard (MASVS) existiert. Ebenfalls ge- forscher bereits 2008 gezeigt: Hatten sie physischen
CNIL bietet weitere Hinweise zum Tool samt You-
strichen wurde Level 0 ("Cursory"). Mit dem ASVS 4 Zugriff auf einen lediglich gesperrten oder „schla-
tube-Erklärvideo in englischer Sprache. Allerdings wurden alle Punkte neu durchnummeriert; zusätz-
gibt es auch andere, teils komplexere Ansätze als fenden“ (Bereitschaftsmodus) Computer, konnten
lich wurde eine neue Gliederungsebene eingeführt, sie das Passwort aus dem Arbeitsspeicher auslesen.
die Methodik der CNIL zur Durchführung von DSFAs.
da einige Abschnitte im Laufe der Zeit stark ange- Zehn Jahre nach dieser Entdeckung sind die soge-
Eine Herausforderung wird durch die Software wachsen und unübersichtlich geworden sind. Leider nannten Cold-Boot-Angriffe noch immer möglich.
jedoch nicht gelöst: die Schwellwertanalyse, mit der wurde auch die farbliche Unterscheidung der Punk- Beim nächsten KA-IT-Si-Event am 11.04.2019
vor der Durchführung einer DFSA geprüft wird, ob te nach zugehörigem Level abgeschafft; für die Zu- werden Andreas Sperber und Daniel Matesic
es sich bei dem abzuschätzenden Prozess tatsäch- ordnung eines Prüfpunkts zum Level muss man (aramido) live einen solchen Angriff auf einen Com-
lich um eine „Hochrisikoverarbeitung“ handelt. Häu- jetzt genauer hinsehen. Dennoch haben diese Über- puter mit Festplattenverschlüsselung vorführen.
fig werden DSFA daher vorsorglich durchgeführt. arbeitungen, vor allem die Anbindung an andere
Um diesen Prozess zu erleichtern, hat der BayLfD bekannte Werke, dem ASVS sehr gut getan und Im Anschluss haben Sie, wie gewohnt, Gelegenheit
eine überarbeitete Orientierungshilfe für Daten- dürften die Akzeptanz bei Auftraggebern und zum fachlichen und persönlichen Austausch beim
schutz-Folgenabschätzungen inklusive Prüfschema Testern weiter erhöhen. „Buffet-Networking“ (Anmeldung).
veröffentlicht. In der Theorie ist eine DSFA samt
Secorvo Security News 03/2019, 18. Jahrgang, Stand 25.04.2019 3Veranstaltungshinweise
Auszug aus http://www.veranstaltungen-it-sicherheit.de
April 2019
11.-12.04. Security Forum 2019 (Hagenberger Kreis zur
Förderung der digitalen Sicherheit, Hagenberg/AT)
24.-26.04. DFRWS EU Conference (DFRWS, Oslo/NOR)
Mai 2019
06.-09.05. T.P.S.S.E. – TeleTrusT Professional for Secure
Software Engineering (Secorvo, Karlsruhe)
13.-17.05. T.I.S.P. – TeleTrusT Information Security Professional
(Secorvo, Karlsruhe)
19.-23.05. Eurocrypt 2019 (IACR, Darmstadt)
21.-23.05. 16. Deutscher IT-Sicherheitskongress (BSI, Bonn)
22.-23.05. 20. Datenschutzkongress
(EUROFORUM Deutschland SE, Berlin)
26.-30.05. OWASP AppSec Tel Aviv 2019
(OWASP Foundation, Tel Aviv/ISR)
Juni 2019
03.-05.06. Entwicklertag 2019
(VKSI, GI, ObjektForum, Karlsruhe)
03.-04.06. DuD 2019 (COMPUTAS Gisela Geuhs GmbH, Berlin)
Fundsache
Über 140 Mal taucht „ji32k7au4a83“ in Datenbanken kompromittierter
Passwörter auf. Was auf den ersten Blick verwundert, hat eine simple
Erklärung: Im taiwanesischen Zeichenschema lautet der vermeintliche
Zufallsstring übersetzt „Mein Passwort“.
Impressum
http://www.secorvo-security-news.de
ISSN 1613-4311
Autoren: Dirk Fox (Editorial), André Domnick, Dr. Safuat Hamdy (Gast-
autor), Hans-Joachim Knobloch, Sarah Niederer, Jannis Pinter, Friederike
Schellhas-Mende, Christian Titze
Herausgeber (V. i. S. d. P.): Dirk Fox,
Secorvo Security Consulting GmbH
Ettlinger Straße 12-14
76137 Karlsruhe
Telefon +49 721 255171-0
Zusendung des Inhaltsverzeichnisses: security-news@secorvo.de
(Subject: „subscribe security news“)
Wir freuen uns über Ihr Feedback an redaktion-security-news@secorvo.de
Alle Texte sind urheberrechtlich geschützt. Jede unentgeltliche Verbreitung
des unveränderten und vollständigen Dokuments ist zulässig. Eine Verwen-
dung von Textauszügen ist nur bei vollständiger Quellenangabe zulässig.
Secorvo Security News 03/2019, 18. Jahrgang, Stand 25.04.2019 4Secorvo Security News
April 2019
High Noon
Zweifellos eine Sternstunde der Filmge-
schichte: das Duell zwischen Recht und
Verbrechen, vertreten durch Marshal Will
Kane (Gary Cooper) und den Banditen
Frank Miller. Fred Zinnemanns Film er-
zählt auch eine Geschichte von Feigheit
und Pflichtbewusstsein, Treue und Mut –
aber darum geht es hier nicht. Es ist die
Unausweichlichkeit, mit der sich die
Handlung von der ersten Filmminute an
auf das große Finale hinbewegt, die an amerikanische Cloud-Anbie-
ter denken lässt. Denn ganz ähnlich spitzt sich seit Jahren die Span-
nung zwischen ihnen und dem europäischen Datenschutzrecht zu.
Es begann mit kleinen Scharmützeln wie der Auseinandersetzung
um Google Analytics (wenig überzeugend gelöst durch den AV-
Kompromiss des Hamburgischen Datenschutzbeauftragten) oder
den gerade vor dem EuGH verhandelten Social Media Plug-ins. Dann
kamen 2013 die Enthüllungen Edward Snowdens, die das EU-
Parlament zur Verabschiedung der Datenschutz-Grundverordnung
(DSGVO) motivierten und dazu beitrugen, das Safe Harbor-Ab-
kommen zu kippen – mit einem EuGH-Urteil, dessen Begründung
auch den Standardvertragsklauseln den Boden entzog.
Nun drohen die Cloud-Geschäftsmodelle von Microsoft und Amazon
am europäischen Datenschutzrecht zu zerschellen. Zwar reagierte
Microsoft schnell: mit einem irischen Rechenzentrum, ausgereiften
Verträgen und der Weigerung, einer richterlichen Anordnung Folge
zu leisten, die Zugriff auf in Irland gespeicherte Daten verlangte. Da
fiel ihnen am 23.03.2018 der US CLOUD Act in den Rücken, der
amerikanische Unternehmen verpflichtet, im Ausland gespeicherte
Daten auch ohne Rechtshilfeabkommen an US-Behörden heraus-
zugeben – ein Verstoß gegen Artikel 48 der DSGVO. Am 07.11.2018
stellte daher die Datenschutzfolgenabschätzung der niederländi-
schen Aufsichtsbehörde die DSGVO-Konformität von Office 365 in
Frage. Fehlt noch, dass der US-EU Privacy Shield (erwartungsgemäß)
vor dem EuGH scheitert. Dann ist High Noon. Mit offenem Ausgang.
Inhalt
High Noon Secorvo News
Security News 200 Security News
Firmenprofile in Social Networks T.I.S.P.-Zertifizierung
Altlasten und Seitenkanäle I Wie souverän ist der Souverän?
Zweifel an Office 365 11. Tag der IT-Sicherheit
Altlasten und Seitenkanäle II Veranstaltungshinweise
Europäische Hilfestellung
Hambacher Manifest
Secorvo Security News 04/2019, 18. Jahrgang, Stand 02.05.2019 1April 2019
Cache-Timing nutzt, um trotz diverser Gegenmaß- Unternehmen aus Drittstaaten, die Cloud-Dienste
Security News nahmen in neueren Browsern und TLS-Versionen in Europa DSGVO-konform anbieten wollen, könn-
das 1998 von Daniel Bleichenbacher publizierte ten diese von einem europäischen Anbieter als
Firmenprofile in Social Networks adaptive Angriffsschema gegen das RSA-Padding Treuhänder erbringen lassen, ohne selbst Zugriff
Die für den 11.04.2019 angekündigte Entscheidung nach dem veralteten PKCS#1 v1.5 umzusetzen. auf die Daten zu haben. Aber auch hier steckt der
des Bundesgerichtshofes (BGH) in der Sache I ZR Zwar ist ein solcher RSA-Schlüsselaustausch in Teufel im Detail: Betreibt der europäische Partner
186/17 („Facebook“) mutierte zu einem Ausset- TLS 1.3 nicht mehr zulässig. Unterstützt ein Server eine Niederlassung in den USA, könnten die US-
zungsbeschluss: Der BGH will zunächst das in Kürze aber auch ältere Protokollversionen mit RSA- Behörden durch diese Hintertür zugreifen.
fällige Urteil des EuGH über Social Media Plug-ins Schlüsselaustausch, ist ein Downgrade-Angriff auch
(namentlich: Facebook Like Buttons) abwarten. Die gegen TLS 1.3 möglich. Schutz bieten eine komplet- Altlasten und Seitenkanäle II
bereits am 19.12.2018 veröffentlichten Schlussan- te Umstellung auf TLS 1.3 oder die Nutzung von
Zertifikaten auf Basis von ECC-Verfahren. Auch im neuen WLAN-Sicherheitsstandard WPA3-
träge des Generalanwalts Bobek lassen erwarten, Personal (SSN 01/2018) haben Sicherheitsforscher
dass der EuGH von einer gemeinsamen Verantwor- mehrere Mängel entdeckt und am 10.04.2019 unter
tung ausgehen wird – was dann analog auch für Zweifel an Office 365
dem Namen Dragonblood veröffentlicht, die eine
Firmenprofile in Social Networks zutrifft. Solche Bereits am 07.11.2018 hat die niederländische Rekonstruktion des WLAN-Pre-Shared-Key ermög-
Profile müssen daher wie Webseiten mit einem Datenschutzaufsichtsbehörde eine umfangreiche lichen.
Impressum und einer Datenschutzerklärung ver- Datenschutz-Folgenabschätzung zu Microsoft Office
sehen sein – mindestens als Verlinkung der entspre- WPA3-Personal ersetzt den gegen Offline-Wörter-
365 veröffentlicht. Darin wurden zahlreiche Punkte
chenden Erklärungen der Unternehmenswebseite. buchangriffe anfälligen Vier-Wege-Handshake von
beanstandet und Microsoft aufgefordert, diese bis
WPA2-Personal durch SAE – auch als Dragonfly
April 2019 zu beheben. Die Probleme umfassen
Altlasten und Seitenkanäle I bekannt –, das derartige Angriffe verhindern soll.
nicht nur technische Aspekte wie z. B. die Beobach-
Um den Übergang zum neuen Protokoll zu erleich-
Seit 2005 kann TLS nicht nur mit Zertifikaten, son- tung, dass umfangreiche Telemetriedaten „nach
Hause gefunkt“ werden, ohne dass die Nutzer dies tern, definiert WPA3 einen „Transition Mode“, in
dern auch mit einem vorab vereinbarten symmetri- dem sowohl WPA3- als auch WPA2-Clients unter-
schen Pre-Shared-Key (PSK) genutzt werden. Isra- wissen. Problematisch ist auch, dass Unternehmen
stützt werden. In diesem Mischbetrieb lässt sich
elische Sicherheitsforscher haben am 05.04.2019 mit Sitz in den USA den US-Behörden im Falle von
jedoch ein Downgrade auf WPA2 provozieren, wo-
einen Selfie Attack getauften Angriff auf TLS-PSK Ermittlungsverfahren aufgrund des CLOUD Act
durch der Angriff wieder möglich wird. Zwei weitere
(1.3) veröffentlicht, bei dem ein Client durch einen Zugriff auch auf (Cloud-) Server in Europa gewähren
müssen, selbst wenn die Voraussetzungen des Art. Dragonblood-Angriffe bedienen sich eines Timing-
aktiven MITM-Angriff zum „Selbstgespräch“ veran- bzw. Cache-Seitenkanals, um den PSK über einen
lasst wird – was zu erheblichen Problemen auf 48 DSGVO nicht vorliegen.
Wörterbuchangriff zu ermitteln. Schließlich wurde
höheren Anwendungsschichten führen kann. Ent- Nach einer Pressemitteilung des europäischen ein Downgrade-Angriff entdeckt, der das Sicher-
wickler (und Nutzer) betroffener Anwendungen Datenschutzbeauftragten werden nun auch die heitsniveau auf die schwächste von Client und
sollten die empfohlenen Schutzmaßnahmen ergrei- vertraglichen Beziehungen zwischen Microsoft und Access Point unterstützte Diffie-Hellman-Gruppe
fen oder, besser noch, TLS ausschließlich mit den EU-Behörden überprüft. Ziel ist es herauszu- absenkt.
Zertifikaten einsetzen. finden, ob hier – wie in den Niederlanden – Daten-
schutzverstöße festzustellen sind und ob die Daten- Einige der Schwächen lassen sich per Software ent-
Bereits am 06.02.2019 hat eine Forschergruppe um schärfen; entsprechende Sicherheitsupdates sollten
Adi Shamir einen Angriff auf den RSA-Schlüsselaus- übermittlungen im Einklang mit Art. 48 DSGVO
zügig installiert werden. Ein Mischbetrieb von
tausch in TLS beschrieben, der Seitenkanäle wie das stehen.
WPA3/WPA2 sollte unbedingt vermieden werden.
Secorvo Security News 04/2019, 18. Jahrgang, Stand 02.05.2019 2April 2019
Europäische Hilfestellung keiten sowie der Anspruch, die Entwicklung auch Ihrer Kenntnisse in der Informationssicherheit bie-
politisch zu steuern und die regelmäßige Durch- ten wir am 14.-18.10.2019 (Achtung: nur noch
Der Europäische Datenschutzausschuss hat am führung von Datenschutz-Folgenabschätzungen vier freie Plätze, baldige Anmeldung empfohlen).
09.04.2019 Richtlinien zur Datenverarbeitung bei sind weitere Anforderungen.
Diensten der Informationsgesellschaft verabschie-
det und zur öffentlichen Konsultation gestellt. In Kein revolutionärer Wurf – zumal das Mantra der Wie souverän ist der Souverän?
dem 14-seitigen Papier erläutert der Ausschuss Transparenz nicht kritisch hinterfragt wird. Gerade Angesichts der wachsenden Komplexität von IT-
seine enge Auslegung des Art. 6 Abs. 1 b) DSGVO: bei KI-Anwendungen sind Zweifel angebracht, ob Systemen, dem Eindringen der IT in immer mehr
Mit der Erforderlichkeit zur Vertragsdurchführung diese tatsächlich kurz, verständlich und für den Lebensbereiche und der Zunahme der Verarbeitung
sollen nur solche Verarbeitungen personenbezoge- Betroffenen nachvollziehbar dargestellt werden personenbezogener Daten ist "digitale Souveräni-
ner Daten legalisiert werden, ohne die der Vertrag können – und ob dies der richtige Ansatz zum tät" nicht mehr lediglich von mangelnder Medien-
nicht erfüllt werden kann. Dabei seien auch die Schutz der Betroffenenrechte ist. kompetenz bedroht. Beim kommenden KA-IT-Si-
Erwartungen der Betroffenen zu berücksichtigen. Event am 06.06.2019 in Kooperation mit der
Analysen des Nutzerverhaltens, Sicherheitslogs, Secorvo News Initiative Smart Ettlingen zeichnet Dirk Fox die Ent-
Speicherungen zu Gewährleistungszwecken oder wicklung des Internet vom "Schaufenster" zu einer
aufgrund von Aufbewahrungspflichten seien nicht 200 Security News Überwachungsinfrastruktur nach und zeigt auf,
von Abs. 1 b) umfasst, sondern erforderten andere welche Verantwortung für die Erhaltung (oder
Sie lesen gerade die 200. Ausgabe der Secorvo womöglich die Wiederherstellung) von digitaler
Rechtsgrundlagen. Zweifellos eine zutreffende Klar- Security News. 800 Seiten mit rund 1.500 Nachrich-
stellung. Daraus folgt jedoch, dass die Betroffenen Souveränität auf die Softwareentwickler von heute
ten, die wir für Sie recherchiert, ausgewählt und und morgen zukommt – und welche Schritte dafür
gemäß Art. 12 ff DSGVO über diese zu informieren formuliert haben, ungezählte fachliche Diskussio-
sind. Exzessive Verarbeitungen werden sich so kaum erforderlich sind. Im Anschluss folgt eine Diskussion
nen und Tassen Kaffee liegen hinter uns. Die zum Thema "Digitale Souveränität im internatio-
verhindern lassen – die Laienverständlichkeit der Security News haben mehr Leser als die meisten
Datenschutzerklärung dürfte jedoch leiden. nalen Kontext". Danach haben Sie wie gewohnt
deutschen Fachzeitschriften im Gebiet Informa- Gelegenheit zum fachlichen und persönlichen Aus-
tionssicherheit und Datenschutz – und darauf sind tausch beim "Buffet-Networking" (Anmeldung).
Hambacher Manifest wir auch ein kleines bisschen stolz.
Die 97. Konferenz der unabhängigen Datenschutz- Wir würden uns freuen, wenn Sie die Jubiläumsaus- 11. Tag der IT-Sicherheit
aufsichtsbehörden des Bundes und der Länder hat gabe zum Anlass nähmen, uns in einem kurzen
am 03.04.2019 unter anderem Anforderungen an Für die Keynote des bereits elften Karlsruher „Tag
Kommentar zu verraten, was Sie uns schon immer der IT-Sicherheit“ konnten wir die polnische IT-
die datenschutzgerechte Entwicklung von KI-An- einmal sagen wollten... Unter allen Einsendern
wendungen unter dem Titel „Hambacher Erklärung Security-Expertin Paula Januszkiewicz („Think and
verlosen wir die ersten zehn Exemplare der in Kürze Act Like a Hacker to Protect Your Company’s
zur Künstlichen Intelligenz“ verabschiedet. Die An- erscheinenden dritten Auflage unseres Fachbuchs
forderungen starten mit dem Grundsatz aus Art. Assets“) gewinnen. Die Kooperationsveranstaltung
„Datenschutz und Informationssicherheit“. der Karlsruher IT-Sicherheitsinitiative (KA-IT-Si) mit
22 DSGVO, rechtlich relevante Entscheidungen nicht
der IHK Karlsruhe, KASTEL und dem CyberForum
ausschließlich auf automatisierte Prozesse zu T.I.S.P.-Zertifizierung
stützen sowie auch für Trainingsdaten das Zweck- e.V. findet am 11.07.2019 im Saal Baden der IHK
bindungsgebot zu beachten. Datenminimierung, die Kurzentschlossene können sich noch einen Platz auf Karlsruhe statt. Das vollständige Programm sowie
Entwicklung technischer und organisatorischer dem T.I.S.P.-Seminar am 13.-17.05.2019 sichern. die Möglichkeit zur Anmeldung finden Sie auf
Standards, die klare Festlegung von Verantwortlich- Die (über)nächste Gelegenheit zur Zertifizierung unserer Webseite www.tag-der-it-sicherheit.de.
Secorvo Security News 04/2019, 18. Jahrgang, Stand 02.05.2019 3Sie können auch lesen
