Vielleicht mal ein Blick auf die Sicht offizieller Stellen zur “Lage der Nation” (IT-Sicherheit), PDF-Datei …
Offensichtlich emanzipieren sich die deutschen Internetnutzer so langsam. Rechner ohne Virenscanner werden seltener und auch im privaten Bereich werden mehr Firewalls eingesetzt. Helfen tut’s leider wenig, da auch die Gegenseite aufrüstet. Professionell werden neu bekannt werdende Schwachstellen des Betriebssystems oder häufig genutzter Anwendungen innerhalb kürzester Zeit ausgenutzt – so schnell, dass mit einem Virenscanner oft wenig zu wollen ist 
Mit eigens dafür entworfenen Programmen, analog zu den Systemmanagementkonsolen im Unternehmen, mit denen alle Arbeitsplätze kontrolliert werden können, gibt es Verwaltungssoftware für die jetzt fremdgesteuerten, gekaperten Rechner, die diesen je nach Ziel Aufgaben (den Besitzer ausspionieren, andere Rechner blockieren, verbotene Daten laden etc.) zuweisen.
Ist der Rechner dann erst einmal unter fremder Kontrolle, ist alles zu spät und nach einer sorgfältigen Datensicherung (Rechner vom Netz trennen…) hilft nur die Neuinstallation von einem vertrauenswürdigen Medium.
Google als DIE Suchmaschine schlecht hin, weist bei den präsentierten Suchergebnissen (den richtigen, wie den gekauften 
) “gerne” des einen oder anderen auch Websites aus, die dem “geneigten Benutzer” Schadcode unterzuschieben versuchen. Da es aufgrund der großen Anzahl und der hohen Veränderungsrate derartiger Sites ein vergebliches Unterfangen sein dürfte alle solchen Schadcodeverteiler aus den Ergebnislisten herauszufiltern, geht Google jetzt den Weg der User-Awareness. Im eigenen IT-Security Blog werden den Benutzern Hinweise gegeben, wo die Gefahr von Schadcode-Infektionen am größten ist und wie sie sich vor Infektionen am ehesten schützen können…
Erstaunlich, nicht nur für mich (sieh auch Golem), ist die Tatsache, dass Deutschland einen Spitzenplatz in der Disziplin “Schadcodeverteilung” einzunehmen zu scheint.
Das Handelsblatt geht auf sehr verständlichem Niveau im Artikel “Firmen unterschätzen Datenklau” auf den Datendiebstahl in Unternehmen ein. Mit mobilen Medien, seien es USB-Sticks, PDAs oder Smartphones, aber auch klassischen Datenträgern wie CD und DVD ist es für die Mitarbeiter ein leichtes, Daten von ihrem Arbeitsplatz zu entwenden und nutzbringend an Dritte zu verkaufen. Während in Großunternehmen und Konzernen oft durch die unternehmenseigenen IT-Sicherheitsrichtlinien (IT-Security Policies / Standards) Maßnahmen zum Schutz der Unternehmensdaten vorgeschrieben sind, die sich z.B. durch das Sperren des USB-Ports am PC auswirken, sind in kleineren Unternehmen und bei Mittelständlern (Ausnahmen bestätigen wie immer die Regel 
) derartige Maßnahmen noch selten. Hier wird von einem Vertrauensverhältnis zwischen Arbeitgeber und -nehmer ausgegangen …
Seit erkannt ist (d.h. die Mißbrauchsfälle häufen sich ??), dass mit dem Ausnutzen der persönlichen Identitätsdaten Dritter Geld zu machen ist, beispielsweise mit gefakten Bestellungen im Onlineshop, finden sich auch in der einschlägigen Presse (”Identitätsklau: Vorsicht vor digitalen Doppelgängern” bzw. “Weltweiter Kampf gegen Identitätsdiebstahl“), häufiger Artikel, die auf den Wert – und damit den Schutzbedarf – elektronischer Identitäten hinweisen.
Aus Sicht der IT-Sicherheit steht das Prinzip der Datenminimalität im Vordergrund, insbesondere, wenn es um Persondaten geht. Je weniger persönliche Daten aufgezeichnet werden, desto weniger Daten müssen geschützt werden. Für die Daten die nun einmal erhoben werden müssen, weil ihre Verarbeitung z.B. im Rahmen von Geschäftsprozessen (Bestellungen, Krankenakten etc.) zwingend erforderlich ist, muss der Datenschutz mit hoher Priorität angegangen werden.
Wie z.B. bei Golem (”Datenschutzbericht: Heftige Kritik an der Bundesregierung“) zu lesen ist, sind nach Meinung des Deutschen Datenschutzbeauftragten die rechtlichen Rahmenbedingungen der wachsenden Datenflut bislang noch nicht hinreichend angepaßt worden. Damit fehlt u.A. die rechtliche Basis um gegen Verstöße gegen den Datenschutz hinreichend vorzugehen.
Für den Einzelnen kann nur der Ratschlag gelten, sich zumindest gut zu überlegen, wo welche Daten freiwillig preis gegeben werden. Gerade im Kontext des Web 2.0 – ich finde den Begriff so klasse … – sind viele, gerade jüngere Leute m.E. etwas sehr freizügig im Umgang mit Ihren persönlichen Daten. Aber wie es so schön heißt: Jedem das seine …
In der ZEIT wird im Artikel “Zugriff der Hacker” im Rahmen der Berichterstattung über die mögliche Ãœberwachung privater Rechner (Stichwort “Online Durchsuchungen”) ein gut zu lesender Abriß über das generelle Vorgehen beim Eindringen in fremde Rechner gegeben. Der Autor (Peter M. Buhr) verzichtet auf eine reine Techniker-Sprache und beschreibt anschaulich aber knapp die Hintergründe, die zur Kompromittierung eines Rechners führen (können). Angefangen beim Social Engineering, d.h. beim Ausnutzen des Sozialverhaltens des “Opfers” und seiner Umgebung z.B. zum Passwortdiebstahl, bis hin zur automatisierten Auswertung der Schwachstellen seines Rechners mit entsprechenden Programmen werden die Optionen für ein Hacking so skizziert, dass sie auch ein Einsteiger in die Materie gut nachvollziehen kann. Die in dem Artikel gesetzten Links z.B. auf die Wikipedia liefern dem Interessierten gute Startpunkte für ein tieferes Eindringen in die Thematik.
Ãœber die Auswirkungen von mangelhaftem Datenschutz beispielsweise im Einzelhandel berichtet golem.de: “TJX: Vermutlich Daten von 45 Mio. Kreditkarten gestohlen“. Neben den Kreditkartendaten sind scheinbar auch noch diverse andere, persönliche Daten von Kunden durch Dritte abgerufen worden …
Solche Meldungen (die Bekanntmachung des Datenlecks ist im Übrigen bereits am 17.1.2007 erfolgt) erscheinen in der Presse aufgrund der puren Menge der betroffenen Personen. Es wäre aber blauäugig zu denken, dass diese durch die Presse gehenden Fälle die einzigen sind. Die Realität gibt einem eher Anlass zu der Vermutung, dass Personendaten den Unternehmen nicht besonders viel bedeuten, bzw. dass die Unternehmen die für die von Ihnen gespeicherten Daten existierenden Gefahren und Risiken noch nicht realisiert haben.
Zum Hintergrund: In den USA gibt es ein Gesetz, dass es den Unternehmen vorschreibt, Datenschutzprobleme, d.h. Datendiebstahl, Verlust von Rechnern oder Festplatten mit (Person-) Daten etc. zu veröffentlichen. Wer sich die ständig fortgeführte Liste (”A Chronology of Data Breaches“) ansieht, erkennt schnell, dass die eigenen Daten bei den Unternehmen bei weitem nicht so gut geschützt sind, wie man das erwarten sollte.
Was secureworks kann (siehe vorhergehendes Post), kann McAfee (siehe “Advertising malware…“) schon lange
Unbestritten haben die Hersteller von Anti-Virus Software wohl ein Interesse daran, Bedrohungsszenarien “darzustellen”, die den Nutzer dazu bringen ihre Schutzsoftware einzusetzen… – alternativer Titevorschlag “Advertising anti virus software …”
Nichts desto trotz wird man nicht dümmer, wenn man sich die Analyse der Funktion und Vermarktung von Schadsoftware einmal etwas näher ansieht. Wem das Original auf Englisch zu aufwendig ist, kann auch den im Spiegel online veröffentlichten Artikel “Wie russische Cracker deutsche Banken knacken” lesen (zumindest solange er noch nicht in das kostenpflichtige Archiv verschoben wurde ).
Beeindruckend, wie in Gozi Trojan von Don Jackson im Detail die Funktionsweise und insbesondere die Nutzung des Trojaners als Service zur Beschaffung von persönlichen Daten (Kontendaten etc.) auseinandergenommen wird. Meines Wissens das erste Mal, dass mit derartiger Akribie Malware untersucht und die Ergebnisse der informierten Öffentlichkeit vorgestellt werden. Interessant dabei ist – für die, die die technischen Details eher weniger interessieren – welch eine ausgefeilte Organisation um den Trojaner herum hochgezogen wird: Datenbanken für die ausgespähten Daten, Webspace zum hosten der zugehörigen Applikationen etc.
Der Artikel ist absolut lesenwert für alle, die bis dato nur eine diffuse Vorstellung von “Malware” haben!
Als kleine Anmerkung für die Verfechter von “im Betriebssystem gespeicherten” digitalen Zertifikaten sei noch erwähnt, dass der Trojaner diese “Client Zertifikate” und andere Authentisierungsdaten aus dem “geschützten Speicherbereich von Windows” als allererstes an seine “Herren” verschickt hat …
Offensichtlich doch ein interessantes Thema – auch für unsere Politiker: “Bundestag will sich für mehr Datenschutz stark machen” (Heise)
Zumindest wird wieder über Datenschutz diskutiert. Ist doch schon mal ein Schritt in die richtige Richtung
Trau keiner Statistik, die Du nicht selbst gefälscht hast…
Einen Anhaltspunkt liefern die Zahlen von Prof. Howard (Heise: “USA: 6 Millionen persönliche Daten geraten monatlich in falsche Hände“) aber sicher. Zusammen mit den Aussagen, dass Identitätsdiebstahl der am schnellsten wachsende Strafbestand ist und die meisten “verlorenen” Datensätze durch Nachlässigkeit abhanden kamen, liefert dies einen deutlichen Hinweis darauf, wie wichtig der Datenschutz in unserer elektronisierten Welt ist (siehe letztes Post …).
