1. Grundprobleme von Datenschutz und Datensicherheit
1.1 Was kann schon passieren?
IT-Sicherheit
Wie sicher ist die Technik?
- Sind die Daten auf meinem Rechner sicher vor Unbefugten? Wie verhindere
ich ungebetene Eindringlinge? (Schadprogramme, Viren, Makros)
- Wer alles kann die Daten auf meinem Server lesen oder ändern?
Was nützt der Passwortschutz?
- Welchen Weg nehmen die Daten im Netz? Mit welchem Partner oder Server
bin ich verbunden?
- Welche Gefahren drohen vom Internet? Von Modemanschlüssen? Vom WLAN?
- An welchen Botnetzen ist mein PC unbemerkt beteiligt?
- Soll ich automatische Updates zulassen? Ist Fernwartung gefährlich?
- Welche Daten verschicke ich wirklich? (Cave:
Datenmüll in Dokumenten! Beispiel: Word)
- Welche Daten stehen wirklich auf meinem Rechner?
(Cave: Versteckte Dateien auf Microsoft-Systemen.)
- Halten meine Sicherheitsmaßnahmen dem technischen Fortschritt stand?
- Kann ich den Herstellern vertrauen? Wie wichtig nehmen sie meine Sicherheit?
Wie kompetent sind sie?
Sicherheitskritische Vorfälle - Historische Zusammenstellung
- BTX-Hack I 1984, II 1989 [DER SPIEGEL 44/1989,
286 - 289]
- Internet-Wurm 1988 [Neumann, S. 127]
- Therac-25 [Neumann, S. 68ff., siehe auch
hier]
- Die Schweizer Crypto AG baut Hintertür
für die NSA ein.
- T-Online-Hack (Frühjahr 1998) [DER SPIEGEL 17/1998, 184 - 187]
- Bahnhof Altona [DER SPIEGEL 14/1995, 32 - 33] [DER SPIEGEL 5/1997, 90 - 91]
[Risks-17.02]
- Back Orifice und NetBUS [CERT Vulnerability Note VN-98.07]
[DFN-CERT Sicherheitsbulletin
DSB-98:01]
bei Windows XP ist die Fernsteuerung schon eingebaut.
- ActiveX-Hack Februar 1997 [iX 3/1997, 90 - 93] [DER SPIEGEL 7/1997, 195]
[Risks-18.82]
- Rechenfehler in Chips (Pentium) und Software (Excel)
[DER SPIEGEL 51/1994, 87 - 88], [c't 7/1995, 186 - 190]
[Risks-16.57]
[Risks-16.58]
[Risks-17.39]
- Homepage des Bundesamts für Verfassungsschutz gehackt
[CHIP Newsletter, 5.10.1998] -
viele weitere WWW-Server seither.
- Melissa-Virus
[Risks-20.26]
[Melissa
Virus FAQ]
[CERT Advisory CA-1999-04]
[Neumann]
- »For years we have been saying you could not get a virus just
by opening e-mail. That bug is being fixed.« [A. Padgett Peterson]
Viele weitere Makro-Viren seither.
- Schlecht geschützte Passwörter bei Access97, Homebanking gefährdet
[Heise,
12.2.1999]
[Heise,
15.2.1999] -
Viele weitere schlecht geschützte Passwörter seither.
- Windows NT: Passwortklau leicht gemacht
[Heise,
12.4.1999]
[Heise,
15.4.1999]
- Windows 49.7-Tage-Problem
[Heise,
2.3.1999]
- Rechenfehler bei Bank 24
[Heise,
7.4.1999]
[Heise,
8.4.1999]
[Heise,
13.4.1999]
[Heise,
14.4.1999]
- Sicherheitsrisiko Diskettenlaufwerk
[Heise,
8.4.1999]
- Microsoft verteilt Makro-Viren
[Heise,
9.4.1999]
- Lauschangriff mit Videokameras über das Netz
[Heise,
17.4.1999]
- Hacker im internen Microsoft-Netz.
- Microsofts DRM-Software gebrochen (Digital Rights Management)
- Windows XP-Login
- RPC-Lücken
in Windows.
- »New breed of spacker eludes antispammers«
[Risks 22.95]
- »Hacker« als Dienstleister für »Spammer«
(Bislang verpönt, jetzt aufgrund der Verdienstmöglichkeiten
interessant!)
- Polnische Gruppe bietet Websites an, die mit üblichen Mitteln nicht
zurückverfolgt und damit nicht gesperrt werden können.
- Methode: Datenverkehr durch tausende gehackter PCs (die meisten
davon mit Breitband-Anschluss und unter Windows)
- Personenhintergrund: Entlassene IT-Fachkräfte mit gutem Know-How
in Sachen »Netze« und »DNS«
Die Masse der laienhaft administrierten leistungsstarken Home-PCs bietet
neue Möglichkeiten!
- »Winning the security trifecta«
[Risks 22.95]
- Hacker verkauft Opfern unbemerkt wertlose Aktien:
- Mit einem attraktiven Angebot werden Anleger auf die manipulierte
Webseite gelockt.
- Die Seite enthält ein Trojanisches Pferd, das Passwörter und
Konto-Nummern registriert (keyboard logger) und an den Hacker
übermittelt.
- Der Hacker kann reguläre Transaktionen im Namen des Opfers
durchführen.
- Sichere Kanäle allein helfen nicht - man darf niemandem grundlos
vertrauen!
- Die Technik ist für den Anwender unüberschaubar und offen für
Schadprogramme!
- »Mafia online« (SPIEGEL 07/2004)
- Server von Internet-Wettbüros beim Super-Bowl nicht ereichbar.
- Opfer von »Denial-of-Service«-Attacken.
- Hoher Verdienstausfall.
- Hintergrund: Unerfüllte »Schutzgeld«-Forderungen.
- Täter operierten von Osteuropa aus.
- Kaum Schutz gegen DoS-Attacken möglich!
Gefahren für die IT-Sicherheit
- Computerkriminalität
- Spionage
- Botnetze - Schätzungen sagen, dass jeder vierte PC der am Internet hängt,
unbemerkt von Kriminellen oder Spammern okkupiert ist und als
Zwischenstation benützt wird. Solche Netzinfrastrukturen werden sogar
auf dem Schwarzmarkt zur Miete angeboten.
- Viren und andere Schadprogramme (`Malware')
- Offene Systeme
- Ubiquitäre Drahtlosigkeit mit
schlecht geschützten Übertragungsprotokollen
- Security by Obscurity (Schlüssel unter der Fußmatte - »Wird schon
keiner finden!«)
- Trügerische Sicherheit in
kommerziellen Produkten
(Tür nur zugezogen, nicht abgeschlossen - »Wird schon
keiner merken!«)
Metallic-lackiertes Styropor ist billiger als Stahl, sieht aber genau
so gut aus.
- Risiken der Monokultur
- Systemfehler
- Mangelndes Sicherheitsbewusstsein
- Arglosigkeit bei Nutzern,
- Nachlässigkeit bei Entwicklern, fehlende Sicherheitsmodelle
und -spezifikationen, »penetrate & patch«-Ansatz
Computerzeitung 12/2001: »Security-Ignoranz der Chefs bedroht das ganze
E-Business«
- Blinder technischer Fortschritt
- Abhängigkeit von verletzlicher, nichtverlässlicher
Technik
- Immer größere Teile der kritischen Infrastruktur werden computergestützt
gesteuert, z. T. sogar über das Netz.
- Staudämme, Kraftwerke, Stromnetz, Überwachungs- und Alarmanlagen
Folgen moderner Informationstechnik
- Hohe Verfügbarkeit der Informationen:
- gezielte Ermittlung spezifischer Daten oder Abruf großer Datenmengen,
- unbemerkte Vervielfältigung von Daten,
- Informationen »drängen sich quasi auf«.
- Unüberschaubarkeit/Unbeherrschbarkeit der Systeme.
- Relativ geringes Risiko für »Einbrecher«.
Sinkende Vertrauenswürdigkeit der IT
- Was passiert wirklich auf einem PC? Was steht in den
> 20 000 Dateien?
Was wird wohin übertragen?
- Z. B. verändert Windows 2000 beim Systemstart 192 Dateien.
- Überkomplexe Betriebssysteme, undurchsichtige, »enteignete« Endgeräte.
- Künftiges »Trusted Computing« (TCPA) unter Fremdkontrolle!
- Offen konzipierte Netze und Rechner.
- Weltweites Hackertum, Angriffe aus dem Internet ubiquitär, nehmen zu.
Vorlesung Datenschutz und Datensicherheit.
Autoren: Klaus Pommerening, Marita Sergl, 31. März 1999;
letzte Änderung: 17. April 2007.
E-Mail an
Pommerening »AT« imbei.uni-mainz.de.