SWITCH Security Report zu aktuellen Trends im Bereich IT-Security und Privacy
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
SWITCH Security Report zu aktuellen
Trends im Bereich IT-Security und Privacy
Juli/August 2020
I. Navigieren ohne Orientierung – Garmin nach Hack
auf Schlingerkurs
Es ist schon bittere Ironie, wenn einer der bekanntesten und grössten Hersteller für
Smartwatches, Wearables und Navigationsempfänger zu Lande, zu Wasser und in der Luft
seine Kunden ohne Orientierung stehen lässt. So geschehen Ende Juli. Da bemerkten Nutzer
der Systeme des US-Schweizerischen Unternehmens Garmin, dass mehr oder weniger gar
nichts mehr geht auf ihren Fitness-Trackern, Golf- und Sportuhren und den FlyGarmin Services
für Navigationssysteme für die Luftfahrt. Statt klarer Zielführung gab´s zunächst nur vage
Auskünfte unter dem Deckmantel nebulöser Wartungsarbeiten.
In mehreren internen Memos und externen Social Media Posts von Garmin-Angestellten
zeichnete sich indessen immer deutlicher ab, dass das Unternehmen und etliche seiner Dienste
und Plattformen offenbar Opfer eines gezielten Cyber-Angriffs mit der im Frühjahr erstmals
aufgetauchten Ransomware "WastedLocker" geworden waren. Obwohl die Meldungen bis
dahin nicht verifiziert oder gar von Garmin bestätigt worden waren, hatte ZDnet am 23. Juli
darüber berichtet. Dem Report zufolge waren nicht nur virtuelle Services und Communities,
SWITCH • P.O. Box • CH-8021 Zürich • +41 44 268 15 40 • cert@switch.ch
securityblog.switch.ch • security.switch.ch • © SWITCH 2020sondern auch die Produktion betroffen und zu weiten Teilen lahmgelegt. Erst nach diesem
Bericht räumte Garmin in einer offiziellen Stellungnahme ein, Opfer eines Ransomware-
Angriffs geworden zu sein. Tags darauf berichtete Bleeping Computer, dass interne
Informanten den WastedLocker-Angriff bestätigt und mitgeteilt hätten, dass Garmin das
geforderte Lösegeld – kolportiert aber offiziell nicht bestätigt sind 10 Mio. US-Dollar – bezahlt
habe, um die Systeme schnell wieder hochfahren zu können. Zumal sich viele Kundinnen und
Kunden ob der Nicht-Informationspolitik des Unternehmens mit Hauptsitz in Schaffhausen
sehr verärgert gezeigt hätten. Zwar beteuerte Garmin, dass nach aktueller Informationslage zu
keiner Zeit Kundendaten – der Dienst "Garmin connect" speichert Gesundheits- und
Fitnessdaten, der Service "Garmin Pay" Zahlungsinformationen – gestohlen worden seien.
Doch ist es inzwischen in vielen Fällen auch gängige "Geschäftspraxis" von Cyber-Erpressern,
die Daten vor der Verschlüsselung erst einmal abzuziehen, um eine zusätzliche Data Breach
Ransom auf die Rechnung schreiben zu können – eine Art Schweigegeld, das zu bezahlen ist,
damit diese Daten nicht veröffentlicht werden. Zwischenzeitlich sind die meisten Dienste
wieder funktionsfähig. Wieviel Geld, Kunden und Orientierung Garmin durch den Cyberangriff
und die eigene kommunikative Unfähigkeit in wenigen Tagen verloren hat, wird indes wohl
ebenfalls unveröffentlicht bleiben.
Nachzulesen unter:
https://www.tagesanzeiger.ch/sytemausfall-legt-garmin-uhren-lahm-279497191954
https://www.zdnet.com/article/garmin-services-and-production-go-down-after-ransomware-attack
https://www.nzz.ch/wirtschaft/cyberopfer-garmin-macht-keine-gute-figur-
ld.1568606?mktcval=OS%20Share%20Hub&mktcid=smsh&reduced=true#register
https://www.bleepingcomputer.com/news/security/garmin-outage-caused-by-confirmed-wastedlocker-ransomware-attack
https://www.androidcentral.com/garmin-connect-suffers-multi-hour-outage
II. Hacken auf die harte Tour – Deutsche
Geheimdienste wollen Hardware zur Umleitung des
Internetverkehrs direkt bei Providern installieren
Bürger zu informellen Mitarbeitern des Staates zu machen, war Grundlage des "Erfolgs" der
Überwachung durch das zuletzt von Erich Mielke geführte Ministerium für Staatssicherheit
(MfS oder im Volksmund: Stasi) der ehemaligen DDR. Gut 30 Jahre nach der Wiedervereinigung
scheint nun Horst Seehofers Bundesministerium des Innern, für Bau und Heimat, BMI, dieses
Modell übernehmen zu wollen. Belegen lässt sich diese sicher provokante These mit dem
bereits Mitte 2019 von eben diesem Innenministerium vorgelegten Gesetzentwurf zur
Harmonisierung des Verfassungsschutzrechts. Der sieht vor, dass Internetprovider deutsche
Sicherheitsbehörden dabei unterstützen, Staatstrojaner bei deren Kunden einzuschleusen.
Konkret soll dazu nicht nur eine Kopie der Daten ausgeleitet werden. Vielmehr sollen die Daten
SWITCH • P.O. Box • CH-8021 Zürich • +41 44 268 15 40 • cert@switch.ch
securityblog.switch.ch • security.switch.ch • © SWITCH 2020durch ein Hacking-Proxy der Behörden laufen, dort entsprechend manipuliert und an den
Adressaten weitergeleitet werden, ohne dass dieser die Manipulation bemerkt. Im
Werbeslogan von Fin Fisher – einem der grossen Staatstrojaner-Anbieter – liest sich das dann
so: „FinFly ISP ist in der Lage, Dateien, die vom Ziel heruntergeladen werden, on-the-fly zu
patchen oder gefälschte Software-Updates für populäre Software zu versenden.“ Das
entsprechende Werbevideo kann im unten zitierten Beitrag von netzpolitik.org angesehen
werden. Da sowohl das Bundeskriminalamt als auch andere deutsche Sicherheitsbehörden
Staatstrojaner von FinFisher gekauft haben, muss damit gerechnet werden, dass sie sie im
Einsatz haben, auch wenn Informationen darüber nicht einmal dem Geheimdienstausschuss
des deutschen Bundestags zugänglich sind.
Vor diesem Hintergrund wirkt die rhetorische Beruhigungspille des früheren SPD-
Innenministers und aktuellen Fraktionsvorsitzenden der SPD im Landtag von Schleswig-
Holstein, Ralf Stegner, geradezu zynisch: Dort hatte Stegner die beabsichtigten "intensiven
Eingriffe" (Zitat des Verbands der Internetwirtschaft eco) in die Privatsphäre mit der
Bemerkung zu relativieren versucht, dass sich niemand sorgen müsse, weil die Überwachung
ja unter parlamentarischer Kontrolle stünde.
Verständlich, dass sich die beiden Dachverbände der deutschen Digitalwirtschaft eco und
bitkom besorgt zeigen und Horst Seehofers Innenministerium vorwerfen, ihre Mitglieder zu
Hilfssheriffs machen zu wollen. Der scheint indes jegliche Sensibilität für Privatsphäre verloren
zu haben. Denn im oben zitierten Gesetzentwurf will er es nicht nur der Polizei, sondern auch
dem Inlandsgeheimdienst ermöglichen, in Privatwohnungen einzubrechen, um dort Spyware
zu installieren. Und zwar – und hier geht Seehofer an die Grenze der Legalität und in den Augen
vieler Kritiker weit darüber hinaus – ohne einen richterlichen Beschluss.
Angesichts all dessen kann man nur froh darüber sein, dass Seehofers BMI in Sachen Effizienz
eine eher schwache Leistungsbilanz zeigt. Zwar sind inzwischen einige neue, teils drastische
Entwürfe für Sicherheitsgesetze aufgegleist, bisher ist aber keiner davon auf die Schiene
gebracht worden.
Nachzulesen unter:
https://netzpolitik.org/2020/staatstrojaner-provider-sollen-internetverkehr-umleiten-damit-geheimdienste-hacken-
koennen/?utm_source=pocket-newtab-global-de-DE
https://www.heise.de/tp/features/Dringende-Anpassung-an-neue-digitale-Moeglichkeiten-4722312.html
https://www.sueddeutsche.de/politik/gesetzentwurf-bundesamt-fuer-einbruch-1.4564401
https://www.tagesspiegel.de/politik/umstrittene-sicherheitsgesetze-die-baustellen-des-herrn-seehofer/25481314.html
SWITCH • P.O. Box • CH-8021 Zürich • +41 44 268 15 40 • cert@switch.ch
securityblog.switch.ch • security.switch.ch • © SWITCH 2020III. Schutzschild ohne Schutz – EuGH erklärt Privacy
Shield für nicht rechtmässig
Unter welchen Bedingungen dürfen Unternehmen die Daten ihrer Kundinnen und Kunden in
die USA transferieren und dort speichern? Das ist die zentrale Frage, die in langwierigen
Verhandlungen zwischen der EU-Kommission und dem US-Handelsministerium bisher zu zwei
Abkommen geführt hat – die inzwischen beide vom Europäischen Gerichtshof für ungültig
erklärt worden sind. "Safe Harbour" war 2015 an einer Klage des österreichischen damaligen
Jura-Studenten Max Schrems gescheitert. Schrems hatte seinerzeit von Facebook wissen
wollen, welche Daten das Unternehmen von ihm und über ihn gespeichert hat und an wen
diese Daten weitergegeben worden waren. Mark Zuckerbergs Social Media Imperium mit
Europasitz in Irland hatte sich zunächst geweigert, diese Auskünfte zu liefern. Daraufhin
erfolgte 2014 die Klage, die letztlich zum Scheitern des Abkommens führte.
Nun hat Schrems – inzwischen Anwalt – mit einer Klage beim EuGH auch das
Nachfolgeabkommen "Privacy Shield" zerschlagen. Das oberste europäische Gericht
argumentierte, dass angesichts staatlicher Überwachungsprogramme der NSA und anderer
Geheimdienste die Daten europäischer Bürgerinnen und Bürger auf amerikanischen Servern
nicht im gleichen Masse sicher seien wie in Europa. Insbesondere sei es den amerikanischen
Behörden dank unzureichender Beschränkungen der Zugriffsberechtigungen möglich, auf
personenbezogene Daten europäischer Bürgerinnen und Bürger zuzugreifen, ohne dass sich
diese dagegen im gleichen Masse wie in Europa gerichtlich wehren könnten. Zudem rügte der
EuGH die irische Datenschutzbehörde für ihre laxe Prüfung der so genannten
Standardvertragsklauseln, auf deren Basis Facebook auch weiterhin die Daten seiner
internationalen Kundinnen und Kunden in die USA transferiert und dort speichert und zu
Werbezwecken weiterverkauft.
Betroffen vom Ende des Privacy Shield-Abkommens ist unterdessen nicht nur Facebook.
Vielmehr stehen Unternehmen auf beiden Seiten des Atlantiks, die unter den Bedingungen des
Privacy Shield -Abkommens Daten über den Atlantik hin und her schicken, vor der Frage, was
sie denn nun noch dürfen und was nicht. Angesichts der Tatsache, dass die Europäische
Kommission derzeit nur noch zwölf Staaten bescheinigt, Daten ebenso angemessen vor
Missbrauch und Behördenzugriff zu schützen wie die EU, ist die Frage tatsächlich dringlicher
denn je. Angesichts der Dominanz von Cloudanbietern wie Amazon, Microsoft oder Dropbox
tun sich aber auch die Nutzerinnen und Nutzer schwer, auf die Schnelle europäische
Alternativen zu finden. Da andererseits nicht zu erwarten ist, dass die USA ihre
Überwachungspraxis aufweichen werden, ist der Konflikt zwischen Big Brother bei Big Data
und Datenschutz bislang ungelöst. Mögliche Konsequenzen und konkrete Tipps für Schweizer
Unternehmen und Organisationen finden sich auf der untenstehend zitierten Stellungnahme
von SWITCHlegal .
SWITCH • P.O. Box • CH-8021 Zürich • +41 44 268 15 40 • cert@switch.ch
securityblog.switch.ch • security.switch.ch • © SWITCH 2020Nachzulesen unter:
https://netzpolitik.org/2020/datentransfers-eu-gericht-zerschlaegt-privacy-shield
https://t3n.de/news/privacy-shield-gekippt-muessen-1305303
https://www.sueddeutsche.de/digital/privacy-shield-eugh-urteil-amazon-microsoft-1.4976977
https://nzzas.nzz.ch/wirtschaft/privacy-shield-am-ende-eu-und-usa-ringen-um-datenschutz-ld.1566991?reduced=true
https://info.switch.ch/e/f2d46892293eab88/nl/-/webversion-version/704ddf04c3892c70041774c5/de.html
IV. Night(mare) of the Proms – Der "grösste Twitter-
Hack aller Zeiten" wirft Fragen zur Sicherheit des
Networks auf
Wer da immer behauptet, Computernerds hätten eher wenig Gespür für Menschen, wurde
Mitte Juli eines Besseren belehrt. Da zeigten zwei junge Amerikaner und ein Brite, dass sich
Geld damit machen lässt, wenn man Unbedarftheit, Gewinnsucht und Prominenz auf der
richtigen Plattform zusammenbringt. In der Kurzfassung: Die drei werden dringend
verdächtigt, die Twitter-Accounts von Prominenten wie Barack Obama, Bill Gates, Elon Musk
oder Joe Biden und Kanye West gehackt und unter deren falscher Identität getwittert zu haben,
dass man jedem, der einem seine Bitcoins schickt, diese mit 100 Prozent Aufschlag
zurückzuschicken wird, weil man "der Community etwas zurückgeben möchte". In kurzer Zeit
hatten sie Bitcoins im Wert von mehr als 100.000 US-Dollar auf ihren Konten.
Dass zum einen nicht mehr Gewinn entstand und zum anderen die Behörden den Cyber-
Kriminellen unerwartet schnell auf die Schliche gekommen waren, hat dann aber vielleicht
etwas damit zu tun, dass sie einerseits doch zu wenig Gespür für die menschliche Seite hatten
und andererseits nicht nerdig genug waren, um sich mit Promis in dieser Liga anzulegen. Denn
wo soviel Macht, Geld und Einfluss zusammenkommen, werden Strafverfolgungsbehörden
alles daransetzen, ein Verbrechen schnellstmöglich aufzuklären. Und bei mehr Professionalität
hätte den Hackern auffallen müssen, dass das dubiose Internetforum "OGUsers", auf dem sie
anboten, für ca. 3.000 US-Dollar pro Account die Kontrolle über jedes beliebige Twitter-Konto
zu übernehmen, selbst gehackt worden war. Wenige Tage später waren alle Login-Daten aller
Forumsnutzer und teilweise auch Chatverläufe öffentlich einsehbar – auch für das FBI, das das
Geschenk gerne annahm und schnell fündig wurde.
Froh über die schnelle Aufklärung dürfte man auch bei Twitter gewesen sein – immerhin hatten
die Hacker offenbar direkten Zugriff auf die Systemadministration. Die Betreiber des
Kurznachrichtendienstes selbst räumten lediglich ein, dass Mitarbeiterinnen und Mitarbeiter
mit Zugang zu den internen Systemen mittels Social Engineerings "manipuliert worden seien."
Gemäss einer Definition, die sich auf der Website des Security-Unternehmens Kaspersky findet
(Link untenstehend), werden im Social Engineering menschliche Schwächen, wie
SWITCH • P.O. Box • CH-8021 Zürich • +41 44 268 15 40 • cert@switch.ch
securityblog.switch.ch • security.switch.ch • © SWITCH 2020Machtstreben, Gier, Dummheit, Eitelkeit oder andere ausgenutzt, um sich Zugang zu
Informationen, Passwörtern oder Systemen zu verschaffen. Dass und wie dies bei Twitter-
Mitarbeiterinnen und -Mitarbeitern passieren konnte, hat denn auch den Vorsitzenden des
amerikanischen Handelsausschusses Roger Wicker auf den Plan gerufen. Schliesslich sind die
USA mitten im Wahlkampf für die Präsidentschaft, in dem Twitter angesichts der medialen
Präferenzen des gegenwärtigen Amtsinhabers eine zentrale Rolle spielen wird. In einem Brief
an Twitter-CEO Jack Dorsey schrieb Wicker deshalb: "Es kann nicht genug betont werden, wie
beunruhigend dieser Vorfall ist, sowohl angesichts seiner Auswirkungen als auch angesichts
des offensichtlichen Versagens der internen Kontrollmechanismen von Twitter, um ihn zu
verhindern." Wicker gab Dorsey acht Tage Zeit, um den Ausschuss über den Vorfall und das
weitere Vorgehen zu informieren. Auch die von Dow Jones & Co. betriebene Finanz-News-Seite
"MarketWatch.com" titelt, dass das Verstörendste am Twitter Hack die Erkenntnis sei, dass
Mitarbeiter Zugang zu den Accounts hätten. Und die Crypto-Nachrichten-Site cryptonews.com
wusste am 23. Juli zu berichten, dass die Bitcoin-Abzocke nicht das wahre Problem des Twitter-
Hacks sei. Vielmehr sei durch den Zugriff auf persönliche Daten und die Direkt-Nachrichten von
mindestens 36 der 130 angegriffenen High-Profile-Twitterer die Gefahr entstanden, dass diese
um weit grössere Beträge erpresst werden könnten, um die Veröffentlichung dieser
Nachrichten zu verhindern – ganz ähnlich dem Data Breach Ransom beim Garmin Hack unter
Punkt I.
Nachzulesen unter:
https://www.zeit.de/news/2020-07/31/nach-massivem-twitter-hack-17-jaehriger-in-den-usa-gefasst
https://www.tagesschau.de/ausland/twitter-festnahme-hack-101.html
https://www.tagesanzeiger.ch/wie-die-polizei-den-twitter-hackern-auf-die-spur-kam-892682301157
https://usa.kaspersky.com/resource-center/definitions/what-is-social-engineering
https://www.zeit.de/digital/internet/2020-07/twitter-accounts-prominente-bitcoin-betrug
https://www.marketwatch.com/story/the-most-disturbing-part-of-the-twitter-hack-many-of-its-employees-have-access-to-accounts-2020-07-25
Dieser SWITCH Security Report wurde von Dieter Brecheis und Frank Herberg verfasst.
Der SWITCH Security Report greift aktuelle Themen aus dem Bereich der Cybersecurity auf und wendet sich
an interessierte Internetnutzerinnen und -nutzer, um sie für die aktuellen Gefahren zu sensibilisieren. Eine
Haftung für die Richtigkeit kann trotz sorgfältiger Prüfung nicht übernommen werden.
SWITCH • P.O. Box • CH-8021 Zürich • +41 44 268 15 40 • cert@switch.ch
securityblog.switch.ch • security.switch.ch • © SWITCH 2020Sie können auch lesen
