Der IT-Sicherheitsblog

Am 25. Novmber 2009 stellte John L. Young von cryptome eine Anfrage nach dem “Fredom of Information Act” der USA an die National Security Agency (NSA) bezüglich „… all documents pertaining to a letter written by Joseph A Meyer to the IEEE in August 1977 concerning possible ITAR violations of cryptographic research exported to countries outside the United States unless by export license.” (“… alle Dokumente, die sich auf den Brief von Joseph A. Meyer an das IEEE im August 1977 beziehen, in dem es um mögliche ITAR-Verletzungen von kryptographischer Forschung geht, die in Länder außerhalb der Vereinigten Staaten exportiert wird, sofern keine Exportlizenz vorliegt.“) Dieser Brief wurde geschrieben, da das IEEE 1977 ein Symposium zum Thema Verschlüsslung plante. Es sollte erreicht werden, dass die wissenschaftlichen Veröffentlichungen vorab durch die NSA zu genehmigen seien. Dies wurde als Bedrohung der Wissenschaftler angesehen und die Journalistin Deborah Shapley veröffentlcihte dazu einen Artikel im „Science“.

Als Antwort erhielt er mit Datum 26. April 2021 ein Dokument „NSA comes out of the closet: The Debate over public Cryptography in the Imman Era” aus dem September 1991, das im Cryptologic Quartely, Spring 1996 erschien. Cryptoligc Quartely ist eine interne “Zeitschrift” der NSA, aus der einige Artikel online verfügbar sind. Der jetzt an J.L. Young herausgegebene Artikel ist als „Top Secret Umbra“, der höchsten Geheimhaltungsstufe der USA, klassifiziert. In dem Dokument sind immer noch etliche Stellen aus Gründen der nationalen Sicherheit geschwärzt.

Im Wesentlichen geht es in dem Dokument um die Tatsache, dass in den späten 70er Jahren des vergangenen Jahrhunderts die freie wissenschaftliche Forschung begann, sich mit Kryptographie zu beschäftigen und damit das Monopol der NSA auf das Krypto-Know-How in den USA in Farge zu stellen. Die NSA versuchte dies zu verhindern und dieser Prozess wird in dem Dokument beschrieben.

So ganz nebenbei erfährt man einige Details zu Verschlüsselungsentwicklung. Dr. Ruth Davis, Leiterin des Instituts for Computers Sciences and Technology am National Büro of Standards (NBS) versucht ab 1968 die IT-Sicherheit voranzubringen und forderte von der NSA ein Verschlüsslungssystem für Regierungsbehörden, um vertrauliche Daten austauschen zu können. Dies führte letztendlich zur Entwicklung des DES-Algorithmus.

Da IBM für die Lloyds Bank of London 1971 den Lucifer Algorithmus entwickelt hatte und noch an der Weiterentwicklung arbeitete, kontaktierte die NSA Walter Tuchman bei IBM, der Lucifer zu DSD-1 verbessert hatte. Das war die Basis für die DES Entwicklung. Die NSA versprach eine „sichere Version von DSD-1“ zu evaluieren und ihn für alle Angriffe bis auf Brute Force abzusichern. Dabei wurde IBM vorgeschlagen die Schlüssellänge von 64 Bit auf 48 Bit zu reduzieren. Letztendlich einige man sich auf 56 Bit Schlüssellänge, 16 Runden und auf „sichere S-Boxen“. Leider sind einige Design-Entscheidungen geschwärzt. Da gibt es also noch unbekannte spannende Informationen.

Die kritische öffentliche Diskussion über die Sicherheit und eventuelle Hintertüren von DES, angeführt von dem Wissenschaftler Martin Hellman und dem Journalisten David Kahn, wird auch dargestellt.

Die NSA wurde dann wohl 1976 völlig überrascht von der Veröffentlichung des Papers „New Directions in Cryptography“ von Witfield Diffie und Martin Hellman. Der Kommentar dazu „This first public work on the topic of public-key cryptography was supported by NSF funds and discovered results that were both known and classified by NSA” („Diese erste öffentliche Arbeit zum Thema Public-Key-Kryptographie wurde mit Mitteln der NSF unterstützt und brachte Ergebnisse, die sowohl bekannt als auch von der NSA als geheim eingestuft waren.”)

Im April 1977 erschien dann das berühmte RSA-Paper von Ronald Rivest, Adi Shamir und Leonard Adleman. Der Kommentar aus dem Dokument: „The research was supported by grants from NSF and the Office of Naval Research (ONR), and it duplicated NSA research results obtained more than five years earlier. NSA did not receive any indications that this research was occurring until May 1976 when it received a copy of the published paper.” („Das Forschungsprojekt wurde durch Mittel der NSF und des Office of Naval Research (ONR) unterstützt und duplizierte Forschungsergebnisse der NSA, die mehr als fünf Jahre zuvor erzielt worden waren. Die NSA hatte bis Mai 1976 keine Hinweise darauf, dass diese Forschung durchgeführt wurde, bis sie eine Kopie der veröffentlichten Arbeit erhielt.“).

Dass eine Regierungsbehörde die National Science Foundation (NSF) kryptographische Forschung förderte, die die NSA gerne geheim gehalten hätte, das wollte die NSA verhindern. Zum Glück gelang das nicht. Die Versuche der NSA die Kontrolle über die Vergabe von Forschungsmitteln zur Krypto-Forschung zu erlangen, Export-Vorschriften für Kriegswaffen und sogar das Patentrecht für die Zwecke freie Krypto-Forschung zu verhindern einzusetzen, sind jetzt gut dokumentiert.

Es ist schon lange bekannt, dass Philip Zimmerman wegen Pretty Good Privacy Probleme mit amerikanischem Kriegswaffenexport hatte.

Insgesamt ist das Dokument ein wichtiger Einblick in die Krypto-Geschichte. Einige kleine Informationen zur DES-Entwicklung und zur Public-Key-Kryptographie sind auch enthalten und zeigen, dass das Krypto-Know-How der NSA der freien Forschung voraus ist.

Ein Hintergrundartikel aus der Perspektive der Wissenschaft erschein 2014 im Stanford Magazin.

Die Blockchains der Krypto-Währungen sind (bis zu einem gewissen Punkt) anonym aber vollständig transparent und frei zugänglich. Damit lassen sich die Lösegeldzahlungen an Betreiber von Verschlüsselungstrojanern weitgehend nachvollziehen. Damit sind auxch die Einkünfte aus diesem kriminellen Geschäft nachvollziehbar. Die Zahlen können um einen Faktor falsch sein, da die Vollständigkeit nicht bewiesen werden kann, aber die Größenordnungen stimmen weitgehend.

Damit die Erpresser, die die Daten der Opfer mit individuellen Schlüsseln verschlüsseln, die Lösegeldzahlungen zuordnen können, muss für jedes Opfer eine eigene Zahlungsadresse (z.B. eine Bitcoin Adresse) eingerichtet werden. Da kann man schnell mal eine übersehen und deshalb nicht mitzählen.

Am 27. Januar gaben amerikanische Sicherheitsbehörden bekannt, dass sie die Ransomware NetWalker aus dem Verkehr gezogen habe.

In diesem Zusammenhang berichtet das Unternehmen Chainanalysis in seinem Blog über die Ergebnisse seiner Blockchainanalysen über Zahlungsflüsse bei Ransomware.

Im Jahr 2020 wurden demnach weltweit knapp 350 Mill. US-$ durch Erpressung per Ransomware „eingenommen“. In einer Grafik wird von 2014 bis 2020 aufgeschlüsselt, wie die Ransomware-Familien dazu beigetragen haben.

Detaillierte Angaben zu dem Crime-as-a-Sevice Dienst Netwalker zeigen, dass Netwalker mindestens 305 Opfer aus 27 Ländern (zwei aus Deutschland) hatte und rund 46 Mill. US-$ „eingenommen“ hat. Die Analyse zeigt auch wie die Gelder zwischen dem Administrator/Programmierer (10%), den Vermittlern (typisch zwei je 5%) und dem Netwalker-Kunden (80%) aufgeteilt wurde.

Insgesamt ein lesenswerter Artikel (in englischer Sprache) zu den kriminellen Strukturen beim Einsatz von Ransomware zur Erpressung.

Seit dem 13.6.2017 werden Unternehmen und Einrichtungen weltweit mit der Drohung bereits gestohlene Daten zu veröffentlichen, mit Crypto-Ransomware Daten zu evrschlüsseln und einen DDoS Angriff auszuführen erpresst. Nach Einschätzung vieler Experten handelt es sich um eine leere Drohung. Die verwendeten Begriffe in der englischsprachigen E-Mail sind komisch ("DataBase tax forms") bzw. bei den angeschriebenen Unterenhemen und Einrichtungen nicht immer vorhanden (Universitäten oder Behörden haben keine Kredikartendaten von Kunden).

Die ersten Mails kamen von einer Gruppierung "HACKER TEAM - Meridian Collective" und drohten mit Hacks und DDoS-Angriffen am 16.6.2017 um 20:00 Uhr GMT.

Dann änderte sich die Gruppierung (eher nur der Name) zu "Xball collective" bzw. "Team Xball". Diese behaupten, die Daten seien bereits gestohlen und beginnen den Angriff schon am 16..6.2017 um 19:00 Uhr GMT.

Ein Angreifer, der mit DDoS droht, wird nicht viele Ziele gleichzeitig angreifen, sondern sich auf ein Ziel konzentrieren. Dies scheinen Massen-E-Mails zu sein, die einfach hoffen, dass schon jemand zahlt. Es kann davon ausgegangen werden, dass nichts passiert, auch wenn Sie nicht zahlen. Deshalb: zahlen Sie auf keinen Fall.

Die Information "Once you have paid we will automatically get informed that it was your payment." ist definitiv falsch, da in vielen Mails identische BitCoin-Adressen verwendet werden. Da der Erpresser aber nicht weiss, wer gezahlt hat, kann er den Angriff auch nicht gezielt einstellen oder unterlassen.

Es werden weltweit nur relativ wenige BitCoin-Adressen verwendet.

• 14fKPXrkBdjUJZ9HPTXL45u3SmzERxQvox
• 1C6nKRo72UYxhVz7ejwHNS4pBuSbfoe1Q7
• 1HgGf2BCRkBmJNy13oWPo267bq7Lp17Djr
• 1Kj69yhhWpJaWo9s3MZW6ZztcCjeeakdFW
• 1BFhKbC84rKrUFsbtDpWJvBY3H7SkvXnyv
• 1DbFdxqPcCU6rhqvdZVcsAhYX5iGqAjni9
• 1Fc3ZoKPm5V2BDFxhQBxQRXyGD54owwSJi
• 1KZsSR36jpHFx7DBEHr8gLMLPuZKQyKYkC
• 1MDt7e73kY1u6YqCHrb4Zor6yP6hPvNKDb
• 1PgjhU1Z1NzLUWyLxvZYpTWPaVKWWqT9eb
• 13qRaMncErReXzVBkbs6WsMJaW1iZqDu15

Und zum Glück ist die Zahlungsmoral doch relativ schlecht. :-)

Auch wenn DDoS und Crypto-Ransomware, wie der Vorfall "WannaCry" gezeigt hat, eine echte Bedrohung darstellen, sollte man sich vor Trittbrettfahrern in Acht nehmen.

[Update 19.6.] Erwartungsgemäß ist weder am Freitagabend noch am Wochende "etwas passiert".]

[Update 20.6.] Mittlerweile tritt die Gruppe auch unter dem Namen "Collective of Amadeus" auf, verwendet aber identische BitCoin-Adressen. Eine weitere BitCoin-Adressse wurde ergänzt

Quellen: DFN-Cert GmbH, Intruder Systems Ltd. und reddit Inc.

Für eine Anleitung zur forensichen Untersuchung von verdächtigen PDF- und Office-Dateien habe ich ein paar kleine Demo-Dateien erzeugt. Eine PDF-Datei sollte dabei folgendes Verhalten zeigen: In der PDF-Datei ist eine ausführbare Datei virus.exe enthalten. Diese wird über etwas Javascript beim Öffnen der PDF-Datei extrahiert (dazu wird exportDataObject verwendet) und gestartet. Jemand hat die Datei nach Virustotal hochgeladen und völlig überraschend wird diese kleine Demo-Datei - auch von renomierten Antiviren-Software Herstellern - als Virus erkannt, obwohl sie völlig harmlos ist. Am 14.11.2016 waren es noch sechs Antivirenhersteller, die die Datei für bösartig hielten. Jetzt sind es schon els Hersteller.

Offensichtlich sind die Heuristiken der Virenscanner so simple, dass das beschreibene Verhalten zur Auslösung des Virenalarms ausreicht.

Die Datei virus.exe wurde mit dem Tiny C Compiler 0.9.26 (veraltet, aber immer noch gutgeeignet für kleine Tools) aus dem Quellcode

1: #include <stdio.h>
2:
3:   int main()
4:   {
5:      printf("Test- und Demo-Virus\n");
6:      printf("\nEine harmlose Datei, die keinen Schaden anrichtet.\n");
7:      getchar();
8:      return 0;
9:   }

erzeugt. Also ein Quellcode, der wirklich keinen Schaden anrichten kann.

Zugegeben, in der Praxis wird man ein derartiges Verhalten einer PDF-Datei wohl nicht finden.

Am 17. September gab es bei Aldi-Süd ein WiFi-Steckeset zu kaufen. Jetzt gibt es das Steckerset am 14. November nochmals zu kaufen. Dieses Steckset hat eine nicht dokumentierte Hintertür und auch noch so einige "interessante Funktionen".

Ich habe mit das Steckerset gekauft und in mein Testnetz eingebunden. Als erstes habe ich mit nmap einen Portscan gegen die Steckdose gemacht. Dabei wurde der Port 80(http) als geöffnet gemeldet. Interessant. Also die Seite mit dem Browser aufgerufen: Es wurde eine Authentisierung mit Benutzername und Passwort verlangt. Der erste Versuch root/123456 hat nicht funktioniert. Aber der zweite Versuch mit admin/admin war erfolgreich. Und dann kam die Überraschung:

Eine chinesische Web-Seite. Damit war nun wirklich nicht zu rechnen. Einiges über die Funktionalität läßt sich aus dem Kontext erschliessen. Aber nicht alles:

Zum Glück gibt es Google Chrome. Mit dem Browser läßt sich die Web-Seite on-the-fly übersetzen.

Ob der Software-Upgrade im Menue funktioniert, habe ich noch nicht wirklich getestet. Wenn die SSID und das WLAN-Passwort meines Heimnetzes in dem WLAN-Schalter hinterlegt wären, hätte ich doch erhebliche Sicherheitsbedenken. Die IP-Konfiguration läßt sich wie üblich per DHCP vornehmen. Aber der voreingestellte DNS-Server in China 114.114.114.114 läßt sich offensichtlich nicht verändern. Der ist wohl fest einprogrammiert.

Vor dem Hintergrund der Diskussionen über die Sicherheit von IoT und den DDoS-Angriffen aus IoT-Netzen ist diese unerwartete Zugabe schon ein starkes Stück. Dabei fordern viele Stellen mittlerweile IoT-Geräte nicht mit undokumentierten Diensten oder undokumentierten Benutzerkonten auszuliefern. Beides ist hier gegeben.

Im Gegensatz zu einer Überwachungskamera von Aldi-Süd (gekauft im Dezember 2015) kann das Passwort des Nutzers admin dauerhaft geändert werden. Bei der Überwachungskamera gab es einen undokumentierten Telnet-Zugang und das root-Passwort (es ist 123456) konnte immer nur bis zum nächsten Booten geändert werden.

Fazit: Wer gerne mit Sicherheitslücken spielt, wird bei Aldi gut bedient.

Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) spricht in dieser Pressemitteilung schon ein wirklich wichtiges Thema an, mit dem fast jeder schon so seine Erfahrungen gemacht hat: Eine E-Mail wird an den falschen Adressaten geschickt, weil die automatische Adressvervollständigung des E-Mail-Programms einen Fehler gemacht und man es nicht bemerkt hat.

Der Text des ULD suggeriert, dass die Verschlüsselung einer E-Mail hier hilft: „Gerät eine E-Mail, die man nur für den berechtigten Empfänger verschlüsselt hat, an die falsche Adresse, ist es halb so schlimm: Immerhin kann der Fehladressat den Inhalt nicht entschlüsseln, sondern lediglich Betrefftext und die Kommunikationsabsicht feststellen.“

Das hier zugrundeliegende Kommunikationsmodell ist längst überholt: Man tippte den Mailtext in einen Editor und kopierte ihn dann in die Zwischenablage. Danach wurde die Zwischenablage mit PGP verschlüsselt und dann der verschlüsselte Text in die eigentliche Mail eingefügt. Da wurde in der Tat der Empfänger zweimal ausgewählt: einmal beim Verschlüsseln und einmal beim Adressieren der E-Mail.

Heute ist das anders, da sich das E-Mail-Programm um die Verschlüsselung der E-Mails kümmert. Die Verschlüsslung erfolgt automatisch ohne weiteres Zutun des Absenders, wenn das Häkchen für die Verschlüsslung gesetzt wird. Und da alles automatisch geschieht, erfolgt die Auswahl des Schlüssels über die E-Mail-Adresse des Empfängers. Ist die E-Mail-Adresse falsch, dann wird auch der falsche Schlüssel genommen. Konsequenz: der falsche Empfänger („Fehladressat“) kann die E-Mail sehr wohl entschlüsseln. Nur wenn der falsche Empfänger zufällig keinen Schlüssel hat, hilft die Warn- oder Fehlermeldung.

Eine Frage bleibt noch: wie verschlüsselt eigentlich das ULD seine E-Mails? Mit GnuPG, das ist schon klar, aber wie ist die Integration der Verschlüsslung in den E-Mail-Workflow? Über die Zwischenablage?

Manchmal erlebt man Dinge, die man sich selbst in schlechten Träumen nicht ausdenken kann.

Ich fuhr heute Morgen kurz vor neun Uhr in der U-Bahn und neben mir saß ein jüngerer Mann. Wie ich gleich lernen sollte wohl ein IT-Administrator. Sein Telefon klingelte und er sagte, dass er erst nach acht „da sein werde“. Offensichtlich gab es an der Arbeitsstelle eine IT-Problem, denn er sagte dann, der Nutzername sei „admin.ws“ („ws wie workstation“). Und das Passwort sei „r…t for i…t“ mit „R“ und „I“ groß, der Rest klein und einer Vier in der Mitte, also „R…t4I…t“. Uups, jetzt kenne ich und ein paar mehr Leute ein (oder vielleicht sogar das?) Administrator-Passwort eines Unternehmens oder einer Behörde.

Der Administrator war wohl der Meinung, dass niemand weiß, um welches Unternehmen oder welche Behörde es sich handelt. Er trug zum Glück auch keinen sichtbaren Dienstausweis mit Logo. Aber da er an der Haltestelle „K…n“ dann ausstieg, hätte ich ihm problemlos folgen können. Und dann hätte ich gewusst, wo er arbeitet.

Mir hat es die Sprache verschlagen, ob solcher Sorglosigkeit. Dieses schlechte Beispiel zeigt, das IT-Sicherheit nicht nur der Einsatz von Technik ist, sondern auch ganz wesentlich aus organisatorischen Regeln besteht und auch bestehen muss. Die Verantwortlichen bei diesem Arbeitgeber haben wohl die ein oder andere Awareness-Schulung für Administratoren vergessen.

Ich habe den Vorfall übrigens etwas verfremdet, denn ich will die IT-Sicherheit des Unternehmens bzw. der Behörde ja nicht gefährden, indem ich es bzw. sie identifizierbar mache. Aber wer für seine Awareness-Schulung ein schönes schlechtes Beispiel sucht …

Tipp: Man kann ein Administrator-Passwort für Notfälle in einem versiegelten Umschlag in einem Tresor hinterlegen. Und nachdem der Umschlag geöffnet werden musste, wird das Passwort geändert und neu hinterlegt.

Die oder der IT-Sicherheitsbeauftragte eines kleineren Unternehmens möchte ihre/seine Intranet-Seite optisch aufpeppen oder mit Postern im Unternehmen für IT-Sicherheit werben. Eine Agentur zu beauftragen hat der Chef nicht bewilligt: zu teuer. Es bleibt also nur der Weg ins Internet um zu schauen was es dort gibt. Und es gibt einiges.

Dr. Security, der IT-Sicherheits-Guru à la Dr. House, erklärt unterhaltsam in drei sehr schönen Episoden die Themen Telematik, Botnetze und Bad Usb. Mit den Filmen konnten die Studenten der Universität des Saarlandes einen Hochschulwettbewerb zur Wissenschaftskommunikation gewinnen. Die Videos stehen auf Youtube und können verlinkt werden. Mit elf bis dreizehn Minuten Dauer sind sie eigentlich etwas lang für einen Awareness Clip.

Die ENISA (European Union Agency for Network and Information Security) stellt Multi-Media Material für Awareness-Maßnahmen zur Verfügung: Videos, Poster und Illustrationen in verschiedenen Sprachen. Die Videos sind kurz und prägnant und eignen sich auch für Schulungen. Die Poster gibt es für die Zielgruppen Unternehmen und Eltern (gut für z.B. für Kindergärten und Schulen). Die Illustrationen sind speziell. Hier muss gut überlegt werden, ob diese in die Unternehmenskultur passen.

Der ASW-Bundesverband hat ein Awarenessvideo zum Thema Wirtschaftsspionage produzieren lassen. Das zweiminutige Animationsvideo ist auf der Homepage der Produktionsfirma expolqii und auf der Videopattform vimeo verfügbar.

Die Kommunalagentur NRW stellt das Behörden IT-Sicherheitstraining (BITS) unter GNU-Lizenz zur Verfügung. Es kann leicht bezüglich Layout und Unternehmensspezifika angepasst werden. Sprachlich und thematische ist die Zielgruppe aber eindeutig eine Behörde.

Das Institut für Internet-Sicherheit - if(is) - stellt die securityNews als App für das Smartphone (Android, iOS und Windows 8) und zum Einbinden in die eigene Intranet-Seite zur Verfügung. Da die securityNews direkt von der if(is)-Seite heruntergeladen werden muss der DAtenschutz (gearde bei Einbindung in das Intranet) beachtet werden. Auf der Webseite findet man auch in Kooperation mit dem LKA NRW produzierte Awarenessvideos. Für die IT-Abteilung istauch das Poster für die Sicherheit von Verschlüsselungsalgorithmen interessant.

Die Filmkampagne der Initiative „Deutschland sicher im Netz“ zeigt auch einige Videos. Auch hier gilt zuerst prüfen, ob die Videos zur Firmenkultur passen.

Last, but not least noch ein paar Hinwiese auf zwei lesenswerte und kostenlose Newsletter:

• Die „Secorvo Security News“ erscheinen monatlich und berichten kurz und knapp über aktuelle Themen der IT-Sicherheit.
• Das „Security Journal“ der GAI NetConsult GmbH erscheint zweimonatlich und ist per E-Mail-Abo erhältlich. Nach zwei Monaten steht die Ausgabe dann auch auf der Web-Seite. Typisch sind zwei ausführliche Artikel pro Ausgabe.

Das amerikanische Unternehmen Splashdata - spezialisiert auf Passwort Management - hat eine Liste mit den schlechtesten 25 Passworte des Jahres 2014 veröffentlicht. Dabei wurden die mehr als 3,3 Millionen Passworte, die in veröffentlichten Listen gestohlener Passworte aus dem letzten Jahr zu finden waren, ausgewertet. Die Abbildung zeigt die TOP 16 der Liste inklusive der Veränderungen im Ranking.

Im Grunde gruselt es einen, wenn man diese Passworte sieht. Wie fast immer ist "123456" auf Platz 1. Die einzge Erklärung zu Gunsten der Nutzer wäre es, anzunehmen, dass es ich fast nur um Test-Accounts handelt, bei denen ein billiges Passwort verwendet wurde.

Bereist 2008 veröffentlichte Mark Burnett die 500 schlechtesten Passworte aller Zeiten. Die Liste steht z.B. hier. Sie wird klar von englischen Worten definiert. Es sind aber auch Passworte dabei, die auf den ersten Blick gut aussehen. Erst der zweiten Blick offenbart ihre Schwächen: "qawsedrf" oder "qaywsx" (Wissen Sie warum?).

Auf Platz 16 der Liste steht das Wort "mustang" (2008 war es übrigens auf Platz 10). Die Marketing Experten von Ford haben etwas überhaupt nicht verstanden oder meinten ein coolen Gag zu machen. Sie gaben eine Pressemeldung heraus: "'Mustang' More Popular Than 'Superman,' 'Batman' According to Research by SplashData".

Zwei Zitate aus der Pressemeldung: "Mustang is the 16th most common password on the Internet according to a recent study by SplashData, besting both “superman” in 21st place and “batman” in 24th" und "Mustang is the only car to appear in the top 25 most common Internet passwords". Sind die jetzt stolz darauf, dass ihre Kunden (oder Fans) schlechte Passworte verwenden?

Aber wie macht man ein gutes Passwort? Mindestens zehn Zeichen lang solte es sein. Es enthält die Großbuchstaben A..Z, die Kleinbuchstaben a..z, die Ziffern 0..9 und Sonderzeichen. Aus jeder der vier Gruppen sollte mindestens ein Zeichen vertreten sein. Wenn das Passwort dann auch noch zufällig generiert wird (z.B. mit dem Passwortmanager KeePass), dann ist es brauchbar. Man muss es aber auswendig lernen. Das ist der harte Teil.

Schreiben Sie das Passwort auf einen Zettel und hüten sie diesen Zettel wie Ihren Augapfel. Dann machen Sie das Passwort zu dem Login-Passwort Ihres Betriebssystems. Der Bildschirmschoner wird auf eine Minute gestellt und das Passwort muss zum Entsperren jedemal eingeben werden. Nach zwei Arbeitstagen haben Sie das Passwort so oft eingegeben, dass Sie es auswendig können. Nachdem Sie es in Ihrem Passwortmanager (für alle Fälle) gespeichert haben, müssen Sie jetzt nur noch den Zettel sicher vernichten. Dann haben Sie ein gutes Passwort.

In den Verfassungen aller demokratischer Staaten ist die Unverletzlichkeit des Kommunikationsgeheimnisses festgeschrieben (in Deutschland z.B. konkret als Brief-, Post und Fernmeldegeheimnis). Es werden dann noch Feinheiten unterschieden, ob das Kommunikationsgeheimnis für alle Menschen (z.B. in Deutschland) oder nur für die eigenen Bürger (z.B. in den USA) gilt.

In der „guten alten Zeit“ waren dies organisatorische Regeln. Der Staat garantierte das Kommunikationsgeheimnis durch Gesetze, konnte es aber selber jederzeit durchbrechen. Als die Post in Deutschland noch als staatliches Unternehmen die komplette Kommunikation abwickelte, war das unproblematisch: der Beamte der Sicherheitsbehörde ging zu dem Beamten des Kommunikationsunternehmens und gut war's. Die Kommunikationsüberwachung fand innerhalb von oder zwischen Behörden statt.

Mit dem Aufkommen von guter Verschlüsselung (z.B. Pretty Good Privacy, Encryption for the Masses) konnte endlich ein Bürger seine Kommunikation mit eigenen technischen Mittel schützen und er war nicht mehr auf die organisatorischen Regeln des Staates angewiesen. Und plötzlich waren sich Regierungen dieser Welt einig, so was das aber nicht gemeint mit dem Kommunikationsgeheimnis. Die Krypto-Debatte war geboren. Unter Innenminister Kanther war die erste große Runde in Deutschland. David Cameron hat im Januar 2014 die derzeit letzte Runde in Europa eröffnet.

Die heute verfügbaren Krypto-Algorithmen sind so gut, dass auch potente Dienste wie die NSA diese nicht ohne weiteres brechen können. Deshalb müssen die Dienste ausweichen. Wenn die Schlüssel bekannt sind, muss man die Algorithmen nicht knacken. Wie kommt man an den Schlüssel? Man „bittet“ jemanden, der ihn hat, ihn herauszugeben. Man sorgt dafür, dass nur Schlüssel generiert werden, die man kennt (d.h. man beeinflusst die Generierung der Zufallszahlen, aus denen die Schlüssel erzeugt werden). Man nimmt sich die Schlüssel einfach bei jemanden, der sie hat.

Gerade auch letzteres wird, wie wir heute wieder lernen mussten, intensiv gemacht. Ob eine Firma wie RSA, die geheimen Schlüssel aller Einmal-Passwort-Token (SecureID) speichert (Warum eigentlich?) oder ob man bei Chip(karten)-Herstellern einbricht, um sich die Schlüssel zu nehmen, wird letztendlich dann glücklicherweise doch bekannt.

Wir brauchen deutlich mehr asymmetrische Verschlüsselung mit dezentraler Erzeugung der Schlüsselpaare, so dass man die geheimen Schlüssel nicht gesammelt an einer Stelle abgreifen kann. Insofern ist der neue Personalausweis (nPA) ein guter Schritt. Er wird ohne Schlüsselpaar ausgeliefert und das Schlüsselpaar wird erst bei mir erstellt. Aber die Zertifizierer zieren sich noch das Verfahren zu unterstützen. Nur die Bundesdruckerei macht einen vorsichtigen Pilot-Test (sign-me).

„In der letzten Lotterie des FBI habe ich 20 Millionen Dollar gewonnen. Ich habe zwar nicht gewusst, dass das FBI Lotterien veranstaltet, ich habe auch nicht teilgenommen ... aber ich habe gewonnen. Ich muss nur noch auf diesen komischen Link in der Mail klicken, um meinen fetten Gewinn zu kassieren.“

Klingt gut! Klingt zu gut, um wahr zu sein. Ist auch nicht wahr. Wenn etwas zu gut klingt um wahr zu sein, dann ist es auch nicht wahr. Es soll nur der Gier-Schalter im Gehirn eingeschaltet werden. Und der schaltet gleichzeitig das Denken und damit die Vorsicht aus.

„Angeblich ermittelt das BKA gegen mich wg. MP3-Download. Werde ich jetzt verhaftet? Nochmal Glück gehabt, denn gegen Zahlung von 50 Euro über einen anonymen Zahlungsdienstleister kann ich mich frei kaufen. Und den Zahlungscode muss ich an eine E-Mail-Adresse in ein dubioses Land schicken. Da habe ich ja nochmal Glück gehabt.“

Deutsche Polizeibehörden schicken immer noch Papierpost. Aber über den Schock soll der Panik-Schalter umgelegt werden und der funktioniert genauso wie der Gier-Schalter.

Die IT-Abteilung Ihres Arbeitgerbers oder Ihr Provider verschicken E-Mails, dass Ihr Postfach voll oder Ihr Passwort abgelaufen ist, niemals aus dubiosen Ländern, sondern immer von Absender-Adressen aus dem Unternehmen.

Denken Sie nach. Und löschen Sie solche E-Mails. Wenn Sie sich nicht sicher sind, fragen Sie lieber die Experten.

Phishing – so der Fachausdruck für derartige Mails – ist eine boomende, kriminelle Industrie. Virenscanner bieten einen unverzichtbaren Grundschutz, aber es bleibt ein Restrisiko und dafür benötigen Sie Ihren gesunden Menschenverstand. Seien Sie kritisch.

Klickt man auf einen Link in einer sogenannten Phishing-Mail, startet der Browser und öffnet eine Web-Seite. Diese fragt meist dreist nach Benutzernamen und Passworten sowie weiteren Informationen wie z.B. Banking-TANs. Spätestens hier sollte man innehalten und merken, dass etwas nicht stimmt. Kritischer sind Seiten, die wie dem Nutzer bekannte Portale aussehen. Hier gibt dann mancher sein Passwort ein, da die gefälschte Eingabemaske aussieht, wie die Bekannte.

Hat man Pech, geschieht beim Klick auf den Link außer dem Browserstart vermeintlich nichts. Dies sind die gefährlichen Seiten, da heimlich eine Schadsoftware auf Ihrem Rechner installiert wird. Auch beim Öffnen eines zip-, pdf oder Word-Anhangs einer Phishing-Mail wird eine Schadsoftware installiert.

Eine „beliebte“ Funktion dieser Schadsoftware ist das Ausspähen von Benutzernamen und Passworten. Die Account-Daten können dann zum weiteren Versand von Phishing-E-Mails, Zugriff auf andere Benutzerberechtigungen (viele verwenden überall dasselbe Passwort), oder dem Eröffnen von Benutzerkonten bei Diensteistern verwendet werden.

Gelangt der Angreifer in Ihren eBay Account, kann er unter Ihrem Namen Waren verkaufen. Wird Ihr Mail-Account für den Versand von SPAM missbraucht, so kann Ihr Arbeitgeber vielleicht tagelang nur eingeschränkt E-Mails verschicken, da der Mail-Server Ihres Arbeitgebers auf einer schwarzen Liste gelandet ist.

Da letztlich das Ziel ist, ohne viel Arbeit an Geld zu kommen, wird auch immer wieder versucht in Ihr Internetbanking manipulativ einzugreifen. Es gibt viele Leute, die auf diese Art schon Geld verloren haben.

Hier mal ein konkretes Beispiel für die Folgen eines Klicks:Ein Kollege in einer Uni klickt auf den Link und gibt seine Daten ein. Er fühlte sich unter Druck gestetzt und wollte sich schnell wieder freischalten lassen und hat deshlab seine Mailadresse und sein Passwort preisgegeben. Im Laufe der folgenden Nacht gab es dann sieben Anmeldungen aus Ägypten und Nigeriabeim Webmail-Server der Uni. Dabei wurden 379 Mails verfasst, einige davon mit sehr vielen Adressen im BCC-Feld. Das führte zu 129.836 versendeten Mails und 39.418 abgelehnten Mails, die dann als Unzutsellbarkeitsbenachrichtungen im Posteingang des Nutzers waren. (Dank an Max B. für die konkreten Zahlen)

Die Technische Universität München bietet zum Thema "Phishing" einen netten kleinen Phishing Selbstlerntest an. Haben Sie alle Mails richtig klassifiziert?

Haben Sie auch schon einmal Ihren Haustürschlüssel in der Wohnung vergessen? Das ist sehr ärgerlich und der Schlüsseldienst kostet richtig viel Geld. Was haben Sie daraus für Konsequenzen gezogen? Sie achten mehr auf Ihren Schlüssel. Den Gedanken das Schloss auszubauen, damit ein vergessener Schlüssel keinen Stress mehr macht, den haben Sie nicht gehabt; oder zumindest ganz schnell wieder verworfen. Der Schutz Ihrer Wohnung ist Ihnen wichtig. Und auf die Sicherheitsmaßnahme "Schloss" wollen Sie nicht verzichten, auch wenn es manchmal Nerven und Geld kostet.

Wenn Sie allerdings Ihr Passwort vergessen haben oder ein System Sie ausgesperrt hat, weil Sie einmal zu oft ein falsches Passwort eingegeben haben, dann kommt ganz schnell die Forderung nach einer Abschaffung der IT-Sicherheitsmaßnahme, weil sie nervt.

Der Schutz der Daten auf Ihrem privaten oder dienstlichen Rechner hat für Sie offensichtlich einen anderen Stellenwert, als der Schutz Ihrer Wohnung.

IT-Sicherheits-Maßnahmen sollen die Daten und Informationen – unabhängig davon, ob es Ihre eigenen oder fremde Daten sind, die auf den Rechnern gespeichert sind – schützen, genauso wie das Schloss in Ihrer Wohnungstür Ihren Besitz schützt. Während die Notwendigkeit des Schlosses eingesehen wird, fehlt es in der virtuellen Welt noch an der Erkenntnis, dass die virtuellen Schlösser auch notwendig sind. Auch wenn Sie manchmal Stress verursachen und nerven.

Jeder hat mindestens einen USB-Stick und nutzt ihn auch häufig. „Kannst Du mir mal schnell die Datei auf den Stick kopieren?“ und schon steckt der eigene Stick in einem fremden Rechner. Es werden auch schnell fremde USB-Sticks in den eigenen Rechner gesteckt, um mal schnell etwas darauf zu kopieren. Dieser Umgang ist unter IT-Nutzern allgemein akzeptiertes „Sozialverhalten“.

Gerade wurde bekannt, dass Berliner Sicherheitsforscher einen Weg gefunden haben, handelsübliche USB-Sticks in Angriffswerkzeuge umzuprogrammieren. Aus dem Speicherstick wird so z.B. eine virtuelle Tastatur, die automatische alles das tun kann, was ein Nutzer an der Tastatur auch tun kann. Und dieser Angriff funktioniert unter allen Betriebssystemen! Und aus der Digitalkamera wird eine Netzwerkkarte, die den gesamten Datenverkehr des Rechner umleiten kann.

Derzeit gibt es keinen allgemeinen sinnvollen Schutz gegen den Angriff, außer die USB-Ports zu deaktivieren. Die Komforteinbußen sind leider ziemlich hoch. Die Firma G DATA stellt zumindest den Windows Anwendern eine Schutz-Software kostenfrei zur Verfügung. Diese Software meldet, wenn eine unbekannte USB-Tastatur an den Rechner gesteckt wird. Der Anwender muss dann selber entscheiden, ob er die Tastatur nutzen will oder nicht.

Von Zeit zu Zeit blendet die Software Werbung für G DATA Produkte ein.

Für die Nutzung von USB-Sticks sollte man sich die Verwendung von zwei USB-Sticks angewöhnen. Den einen – mit den wertvollen und schützenswerten Daten – steckt man nur an den oder die eigenen Rechner. Die Daten sind zusätzlich verschlüsselt; unter Windows z.B. mit Bitlocker To Go (Windows ab Version 7).

Der andere USB-Stick – idealerweise mit einem Schreibschutzschalter – wird genutzt, wenn man seinen Stick z.B. für Präsentationen an fremde Rechner stecken muss. Und auf diesem Stick sind keine wertvollen und/oder vertraulichen Daten. Einer der wenigen noch verfügbaren USB-Sticks mit einem mechanischen Schreibschutzschalter ist der Trekstor CS. Der Schreibschutz stellt sicher, dass keine Schadsoftware heimlich auf den Stick kopiert werden kann.

Auch mit einem Smartphone kann man derartige Angriffe durchführen. Mal schnell das fremde Smartphone am USB-Port des Notebokks laden, kann unangenehme Folgen haben. Ein USB-Kondom kann da helfen, da es nur Strom und keine Daten durchlässt.