IT-Sicherheit

Kein Spielspass ohne Internetverbindung

EA Sports - FIFA09Voll Freude zeigte mir heute Abend mein Ältester sein neu erworbenes PC-Spiel. Nach dem Nachtessen wollten wir FIFA09 von Electronic Arts installieren. Beim Akzept-Dialog für die abzunickende Lizenzvereinbarung (EULA), las ich diese im Gegensatz zu den meisten Zeitgenossen etwas genauer. EA liess sich bestätigen, Benutzerdaten und Daten über den Computer des Benutzers sammeln und verwerten zu dürfen. Naja, dachte ich. Solange ich die Firewall geschlossen halte, können die ja sammeln, was sie wollen. Nach Hause schicken lasse ich sie die Daten ganz bestimmt nicht. Nach der anschliessenden, langen Installations-Prozedur, die eine Unmenge an Daten auf die Festplatte kopierte, waren wir natürlich gespannt, ob und wie das neue Stück Spielsoftware funktionierte.

Continue reading

Keine biometrische Ausweise mit RFID-Chips!

FreiheitskampagneRFID-Chips bringen Effizienz in die Warenlogistisk – das ist unbestritten. Und solange sie nur auf der Gebinde- oder Palettenebene eingesetzt werden und nicht in einzelnen Produkten, bestehen auch in datenschutzrechtlicher Hinsicht keinerlei Bedenken. Beim Einsatz zur Speicherung von persönlichen Daten sieht dies jedoch ganz anders aus. Wie jede Medaille hat auch die RFID-Technologie ihre Kehrseite.

Materie hat keine Persönlichkeit und somit auch keine Privatsphäre – aber Menschen haben so etwas. Deshalb sind beim RFID-Einsatz im Zusammenhang mit Menschen ganze andere Kriterien für die Beurteilung massgebend. Wer dies ausser Acht lässt, demonstriert damit entweder nur Dummheit und Ignoranz oder aber – was noch schlimmer wäre – seine Verachtung für seine Mitmenschen, indem er es akzeptiert, dass sie wie Rindvieh mit einer „digitalen Hundemarke mit Peilsender“ gekennzeichnet werden. Umso bedenklicher ist es, wenn solche Bemühungen auch noch im Staatsauftrag erfolgen sollen, wie dies gerade in der Schweiz bei den geplanten Personenausweisen mit RFID-Chips zur Speicherung von biometrischen Merkmalen der Fall ist.

Im Hinblick auf die Abstimmung vom 17. Mai 2009 habe ich daher von offizieller Seite unterschlagene Informationen zusammengestellt, die jeden verantwortungsbewussten Stimmbürger interessieren dürften.

Was ist und wie funktioniert RFID?

RFID (Radio Frequency Identification) ist eine Technologie, bei der auf einem winzig kleinen, elektronischen Funk-Speicher-Chip Daten gespeichert werden, welche berührungslos ausgelesen werden können, indem der RFID-Chip seine Daten per Funk mitteilt, sobald er mit einem bestimmten Funksignal angeregt wird. Ursprünglich wurde RFID (wie der Name schon sagt) für die schnelle, kostengünstige und kontaktlose Identifikation von Waren innerhalb einer Logistikkette entwickelt. Heute ist die Speicherkapazität der RFID-Chips um ein Vielfaches grösser, so dass praktisch jede beliebige Information auf ihnen gespeichert werden kann. Dies hat die Verantwortlichen dazu verleitet, RFID auch in Personenausweisen einzusetzen, obwohl die Technologie keine hinreichenden Sicherheitsfunktionen bietet – mit fatalen Folgen für unsere Privatsphäre.

Wie der neue biometrische Reisepass funktioniert und wie unsicher er ist, zeigte das Schweizer Fernsehen in der Sendung „Einstein“ am 20. März:

RFID begünstigt permanente Überwachung, Identitätsdiebstahl und Betrug

Jedes Werkzeug bringt bei zweckgemässer und fachgerechter Anwendung den grössten Nutzen. Bei Missbrauch und Zweckentfremdung allerdings kann es sogar Leid und Tod bringen. Am einfachsten lässt sich dies an einem Küchenmesser nachvollziehen. Bei RFID ist dies nicht anders. Nur sind hier die negativen Folgen eines Missbrauchs nicht auf den ersten Blick erkennbar und damit der Missbrauch als solcher nicht offensichtlich.

Continue reading

Sicherer Umgang mit SSL-Zertifikaten im Firefox 3

Die verschlüsselte Datenübertragung im Browser garantiert grundsätzlich eine abhörsichere Kommunikation mit dem Web-Server. Doch leider hat der Umgang mit den dafür verwendeten SSL-Zertifikaten auch seine Tücken. Der Beitrag „Firefox und die Zertifikate – Richtig verschlüsseln mit Firefox 3“ von Jürgen Schmidt bei heise Security erläutert, wie mit ein paar Handgriffen mehr Komfort und damit auch mehr Sicherheit erreicht werden kann.

Selbstverteidigung für die Privatsphäre

EFF - Surveillance Self Defense (SSD)

Nur wer die technischen Mittel kennt, um seine Daten und somit auch seine Privatsphäre zu schützen, kann sein Recht darauf auch durchsetzen. Die Electronic Frontier Foundation (EFF) hat einen kostenlosen Informationsdienst für jedermann mit dem Projektnamen “Surveillance Self-Defense” (SSD) gestartet. Es ist ein kostenloses Archiv zu umfassenden Informationen über Security, Verschlüsselung und Data Mining. Hier wird gezeigt, wie man sich vor staatlicher Überwachung abschirmt. Leider gehen (für meinen Geschmack) nicht alle Beiträge genügend in die Tiefe. Wer sich jedoch eine Übersicht verschaffen will und den Einstieg in die Materie sucht, findet hier genügend Informationen und Links zu weiteren Informationen. Das EFF-Projekt ist eine ideale Ergänzung zu meinem Artikel „Sicher im Internet unterwegs„.

Warnung vor Weihnachtsgrusskarten

Weihnachtsgrusskarten zu verschicken hat eine lange Tradition. Die Wahl der passenden Karte wird vielen zur Qual und dann müssen diese auch noch gekauft werden. Die Portokosten sind für viele ein zusätzliches Hindernis. Erlösung verspricht hier der Cyberspace. Das Internet senkt die Hürden und bietet mit Email und elektronischen Weihnachtsgrusskarten eine meist kostenlose Alternative.

Aber Achtung! Auch Verbreiter von Schadsoftware haben diesen Absatzkanal für sich entdeckt. Diese Cyber-Kriminellen bieten eine Vielzahl entsprechender Internetdienste an oder versenden gleich selber unaufgefordert elektronische Weihnachtsgrüsse an die Liste ihrer Spam-Empfänger. Die Freude über die vermeintliche Aufmerksamkeit ist nur von kurzer Dauer. Als kostenlose Zugabe liegt dem Email im Anhang ein unliebsames Überraschungsei bei. Beim Öffnen istalliert sich die Schadsoftware selbständig – oft auch unter Ausnützung von Schwachstellen im System. Betroffen sind die unterschiedlichsten Dateiformate: PDF, Bilder, Musik, Videos, Flash, Powerpoint, Word, Excel, etc. Alternativ gibt’s einen Link auf eine Webseite, wo die Grusskarte einschliesslich dem Virus abgeholt werden kann. Wer dann auch noch mit Administrator-Rechten arbeitet hat schnell Pech gehabt.

Im Zweifelsfall sollte man verdächtige Emails gar nicht öffnen, sondern direkt ungelesen löschen. Auch der Computer eines bekannten Absenders kann bereits befallen sein und selbständig Emails an alle Adressen in der Kontaktliste verschicken. Virenfreie Weihnachten zu geniessen ist nur den Vorsichtigen vergönnt.

Kommentar-Spammer werden immer dreister

Spam in den Kommentaren ist fast so alt wie die Blogs selber. Neu ist allerdings die Dreistigkeit der Spammer. Mein WordPress-Plugin „Akismet“ hat die zwei folgenden Kommentar-Spams abgefangen:

to: Admin – If You want to delete your site from my spam list, please visit this site for instructions: remove-url.co.cc

to: Admin – If You want to delete your site from my spam list, please visit this site for instructions: stopspamtoday.007sites.com

Continue reading

Online-Identitäten sind gefährlich

Avatare repräsentieren Online-Identitäten ihrer Eigentümer aus der realen Welt als künstliche Persönlichkeiten mit einem grafischen Stellvertreter. In virtuellen Spielwelten bilden sie die Spielfiguren, welche das Eigenbild oder oft auch nur das eigene Wunschbild repräsentieren. Doch auch in sozialen Netzwerken erfreuen sie sich wachsender Beliebtheit – und hier sind die Identitäten mehrheitlich echt. Schliesslich gehört es schon fast zum guten Ton, der eigenen Person auch im Web ein Gesicht zu geben. Das macht Avatare auch für die Werbeindustrie besonders interessant, denn hier unterstützt der Avatar die Sammlung und Zusammenführung von Nutzungsdaten für das „Behavioral Targeting“, d.h. die verhaltensbasierte Einblendung von Werbung auf Webseiten.

Continue reading

Skype ist nicht vertrauenswürdig

Tom-Skype, ein gemeinsames Tochterunternehmen der Hongkonger Tom Group und der US-amerikansichen Skype-Mutter eBay, überwacht mit der chinesische Variante von Skype die Kommunikation von Skypern in China. Nachrichten werden auf vermeintlich heikle politische Inhalten hin untersucht und im Falle eines Treffers blockiert und auf unsicheren Servern gespeichert, heisst es in einem Bericht von Computerfachleuten und Menschenrechtsaktivisten der Forschergruppe Citizen Lab von der Universität Toronto.

Continue reading

Biometrische Schweizer Pässe und Identitätskarten kommen vors Volk

Das Referendum gegen Überwachungsstaat und Identitätsdiebstahl steht! Dem überparteilichen Referendumskomitee gegen Biometrische Schweizer Pässe und Identitätskarten ist es anscheinend gelungen, die nötigen Unterschriften für das Zustandekommen des Referendums zu sammeln. Herzlichen Glückwunsch! Zwischen 52’000 und 60’000 Unterschriften sollen es sein. Genau sagen konnten es die Initianten heute noch nicht, da relativ viele Unterschriften erst in letzter Minute eintrafen und noch nicht verifiziert und gezählt werden konnten.

Der Erfolg ist aus gleich mehreren Gründen besonders bemerkenswert:
Continue reading

Google Chrome – die Frechheit aller Browser

Google Chrome Browser betaDie Datenkrake Google schiesst mit ihrem Chrome-Browser den Vogel ab. Anscheinend will sich der Suchriese und weltgrösster Datensammler nicht mit seiner ohnehin schon mehr als bedenklichen Sammelwut an personenbezogenen Daten begnügen. Jetzt soll die Menschheit auch noch Googles Datenspion auf dem eigenen Computer installieren. Während einige in naiver Technikverliebtheit voll des Lobes sind, sind andere voll Sorge ob der schamlosen Missachtung der Privatsphäre durch Google, denn sie haben Google Chrome’s Anmerkung zum Datenschutz und die Google Chrome Nutzungsbedingungen aufmerksam gelesen. Angeblich kann man einige der Datensammelfunktionen deaktivieren – wenn man weiss wo und wie. Da dies niemandem auf die Nase gebunden wird, wissen es die wenigsten.

Googles Sorge um die Sicherheit der Benutzer wirkt schon fast höhnisch. Mit der Funktion „Sicheres Durchsuchen“ will Google seine Nutzer vor Phishing- und Malware-Websites schützen. Das heisst im Klartext, dass jede Adresse an Google (zur Prüfung) übermittelt wird, bevor sie effektiv aufgerufen wird, so diese auf der Liste der regelmässig heruntergeladenen Liste der gefährlichen Websites aufgeführt ist. Bedenklich ist, dass dabei vom Chrome Browser „eine verschlüsselte Kopie eines Teils der URL dieser Website an Google gesendet“ wird. Wozu die Verschlüsselung? Was will Google damit verbergen?

Continue reading

Der Cyberwar geht weiter

Anfang Juli habe ich im Beitrag „Der digitale 09/11 ist nahe“ in einem Szenario den Cyberwar skizziert, wie er zum Teil schon tobt und künftig noch toben wird. Lord West of Spithead, Staatssekretär im britischen Innenministerium und zuständig für Sicherheit und Terrorabwehr, sagte der Times gegenüber, dass es heute schon täglich Tausende von Angriffen auf das Computernetzwerk von Stromversorger und das britische Stromnetz NationalGrid, Rüstungskonzernen, Telekommunikationsunternehmen und Banken durch Kriminelle und Terroristen gäbe. Das ist natürlich Wasser auf meine Mühlen. Trotzdem wäre es mir lieber, mit meiner Einschätzung nicht Recht zu haben.

Daneben geht der Cyberwar Russlands gegen das Computernetzwerk der Regierung Georgiens unvermindert weiter und auch China wird sich nach dem Ende der olympischen Spiele wieder vermehrt der Spionage und der Kriegsführung über das Internet widmen.

Referendum gegen Überwachungsstaat und Identitätsdiebstahl

Freiheitskampagne gegen biometrische Pässe und IdentitätskartenGemäss dem Willen des Bundesrats und der Mehrheit des Parlaments (siehe Bundesbeschluss vom 13.06.2008) sollen ab dem 1. März 2010 alle Schweizer Pässe und Identitätskarten zwingend mit biometrischen Daten und einem RFID-Chip versehen werden. Zusätzlich sollen all diese Daten in einer zentralen Datenbank des Bundes gespeichert werden und ausländische Regierungen und private Unternehmungen sollen Zugriff auf diese persönlichen und vertraulichen Informationen der Schweizer Bürger erhalten. Dagegen hat ein überparteiliches Komitee das Referendum ergriffen. Und was machen die übrigen, lethargischen Eidgenossen?

Continue reading