Wie sicher ist die Technik?

• Sind die Daten auf meinem Rechner sicher vor Unbefugten? Wie verhindere ich ungebetene Eindringlinge? (Schadprogramme, Viren, Makros)
• Wer alles kann die Daten auf meinem Server lesen oder ändern? Was nützt der Passwortschutz?
• Welchen Weg nehmen die Daten im Netz? Mit welchem Partner oder Server bin ich verbunden?
• Welche Gefahren drohen vom Internet? Von Modemanschlüssen? Vom WLAN?
• An welchen Botnetzen ist mein PC unbemerkt beteiligt?
• Soll ich automatische Updates zulassen? Ist Fernwartung gefährlich?
• Welche Daten verschicke ich wirklich? (Cave: Datenmüll in Dokumenten! Beispiel: Word)
• Welche Daten stehen wirklich auf meinem Rechner? (Cave: Versteckte Dateien auf Microsoft-Systemen.)
• Halten meine Sicherheitsmaßnahmen dem technischen Fortschritt stand?
• Kann ich den Herstellern vertrauen? Wie wichtig nehmen sie meine Sicherheit? Wie kompetent sind sie?

Sicherheitskritische Vorfälle - Historische Zusammenstellung

• BTX-Hack I 1984, II 1989 [DER SPIEGEL 44/1989, 286 - 289]
• Internet-Wurm 1988 [Neumann, S. 127]
• Therac-25 [Neumann, S. 68ff., siehe auch hier]
• Die Schweizer Crypto AG baut Hintertür für die NSA ein.
• T-Online-Hack (Frühjahr 1998) [DER SPIEGEL 17/1998, 184 - 187]
• Bahnhof Altona [DER SPIEGEL 14/1995, 32 - 33] [DER SPIEGEL 5/1997, 90 - 91] [Risks-17.02]
• Back Orifice und NetBUS [CERT Vulnerability Note VN-98.07] [DFN-CERT Sicherheitsbulletin DSB-98:01]
  bei Windows XP ist die Fernsteuerung schon eingebaut.
• ActiveX-Hack Februar 1997 [iX 3/1997, 90 - 93] [DER SPIEGEL 7/1997, 195] [Risks-18.82]
• Rechenfehler in Chips (Pentium) und Software (Excel) [DER SPIEGEL 51/1994, 87 - 88], [c't 7/1995, 186 - 190] [Risks-16.57] [Risks-16.58] [Risks-17.39]
• Homepage des Bundesamts für Verfassungsschutz gehackt [CHIP Newsletter, 5.10.1998] -
  viele weitere WWW-Server seither.
• Melissa-Virus [Risks-20.26] [Melissa Virus FAQ] [CERT Advisory CA-1999-04] [Neumann]
  • »For years we have been saying you could not get a virus just by opening e-mail. That bug is being fixed.« [A. Padgett Peterson]
  Viele weitere Makro-Viren seither.
• Schlecht geschützte Passwörter bei Access97, Homebanking gefährdet [Heise, 12.2.1999] [Heise, 15.2.1999] -
  Viele weitere schlecht geschützte Passwörter seither.
• Windows NT: Passwortklau leicht gemacht [Heise, 12.4.1999] [Heise, 15.4.1999]
• Windows 49.7-Tage-Problem [Heise, 2.3.1999]
• Rechenfehler bei Bank 24 [Heise, 7.4.1999] [Heise, 8.4.1999] [Heise, 13.4.1999] [Heise, 14.4.1999]
• Sicherheitsrisiko Diskettenlaufwerk [Heise, 8.4.1999]
• Microsoft verteilt Makro-Viren [Heise, 9.4.1999]
• Lauschangriff mit Videokameras über das Netz [Heise, 17.4.1999]
• Hacker im internen Microsoft-Netz.
• Microsofts DRM-Software gebrochen (Digital Rights Management)
• Windows XP-Login
• RPC-Lücken in Windows.
• »New breed of spacker eludes antispammers« [Risks 22.95]
  • »Hacker« als Dienstleister für »Spammer« (Bislang verpönt, jetzt aufgrund der Verdienstmöglichkeiten interessant!)
  • Polnische Gruppe bietet Websites an, die mit üblichen Mitteln nicht zurückverfolgt und damit nicht gesperrt werden können.
  • Methode: Datenverkehr durch tausende gehackter PCs (die meisten davon mit Breitband-Anschluss und unter Windows)
  • Personenhintergrund: Entlassene IT-Fachkräfte mit gutem Know-How in Sachen »Netze« und »DNS«
  Die Masse der laienhaft administrierten leistungsstarken Home-PCs bietet neue Möglichkeiten!
• »Winning the security trifecta« [Risks 22.95]
  • Hacker verkauft Opfern unbemerkt wertlose Aktien:
    • Mit einem attraktiven Angebot werden Anleger auf die manipulierte Webseite gelockt.
    • Die Seite enthält ein Trojanisches Pferd, das Passwörter und Konto-Nummern registriert (keyboard logger) und an den Hacker übermittelt.
    • Der Hacker kann reguläre Transaktionen im Namen des Opfers durchführen.
  • Sichere Kanäle allein helfen nicht - man darf niemandem grundlos vertrauen!
  • Die Technik ist für den Anwender unüberschaubar und offen für Schadprogramme!
• »Mafia online« (SPIEGEL 07/2004)
  • Server von Internet-Wettbüros beim Super-Bowl nicht ereichbar.
    • Opfer von »Denial-of-Service«-Attacken.
    • Hoher Verdienstausfall.
  • Hintergrund: Unerfüllte »Schutzgeld«-Forderungen.
    • Täter operierten von Osteuropa aus.
  • Kaum Schutz gegen DoS-Attacken möglich!

Gefahren für die IT-Sicherheit

• Computerkriminalität
• Spionage
• Botnetze - Schätzungen sagen, dass jeder vierte PC der am Internet hängt, unbemerkt von Kriminellen oder Spammern okkupiert ist und als Zwischenstation benützt wird. Solche Netzinfrastrukturen werden sogar auf dem Schwarzmarkt zur Miete angeboten.
• Viren und andere Schadprogramme (`Malware')
• Offene Systeme
• Ubiquitäre Drahtlosigkeit mit schlecht geschützten Übertragungsprotokollen
• Security by Obscurity (Schlüssel unter der Fußmatte - »Wird schon keiner finden!«)
• Trügerische Sicherheit in kommerziellen Produkten (Tür nur zugezogen, nicht abgeschlossen - »Wird schon keiner merken!«)
  Metallic-lackiertes Styropor ist billiger als Stahl, sieht aber genau so gut aus.
• Risiken der Monokultur
• Systemfehler
• Mangelndes Sicherheitsbewusstsein
  • Arglosigkeit bei Nutzern,
  • Nachlässigkeit bei Entwicklern, fehlende Sicherheitsmodelle und -spezifikationen, »penetrate & patch«-Ansatz
  Computerzeitung 12/2001: »Security-Ignoranz der Chefs bedroht das ganze E-Business«
• Blinder technischer Fortschritt
• Abhängigkeit von verletzlicher, nichtverlässlicher Technik
• Immer größere Teile der kritischen Infrastruktur werden computergestützt gesteuert, z. T. sogar über das Netz.
  • Staudämme, Kraftwerke, Stromnetz, Überwachungs- und Alarmanlagen

Folgen moderner Informationstechnik

• Hohe Verfügbarkeit der Informationen:
  • gezielte Ermittlung spezifischer Daten oder Abruf großer Datenmengen,
  • unbemerkte Vervielfältigung von Daten,
  • Informationen »drängen sich quasi auf«.
• Unüberschaubarkeit/Unbeherrschbarkeit der Systeme.
• Relativ geringes Risiko für »Einbrecher«.

Sinkende Vertrauenswürdigkeit der IT

• Was passiert wirklich auf einem PC? Was steht in den > 20 000 Dateien? Was wird wohin übertragen?
  • Z. B. verändert Windows 2000 beim Systemstart 192 Dateien.
• Überkomplexe Betriebssysteme, undurchsichtige, »enteignete« Endgeräte.
  • Künftiges »Trusted Computing« (TCPA) unter Fremdkontrolle!
• Offen konzipierte Netze und Rechner.
• Weltweites Hackertum, Angriffe aus dem Internet ubiquitär, nehmen zu.