Welt der Fertigung
Sie sind hier: Startseite » Suchen » Interviews

Cloud & Co. als Gefahrenquellen

Leichtes Spiel für Spione

Marko Rogge hat als ehemaliger Hacker ein tiefes Verständnis für die Manipulationsmöglichkeiten moderner Technik. Anders als immer wieder dargestellt, sind weder die Cloud noch das Smartphone harmlose Begleiter des beruflichen oder privaten Lebens. Sein Wissen um die Verwundbarkeit dieser Technik stellt Marko Rogge mit seinem Unternehmen ›Omega Defense‹ allen Unternehmen zur Verfügung, die kompetenten Rat in Sachen Datenschutz benötigen.

Marko Rogge

Fachmann in Sachen Datenschutz und Geschäftsführer des Unternehmens ›Omega Defense‹.


Sehr geehrter Herr Rogge, Smartphones entwickeln sich zum Renner. Massenweise werden kostenlose Apps darauf installiert, die sich, gut versteckt in den (rasch weggeklickten) Allgemeinen Geschäftsbedingungen, weitreichenden Zugriff auf Funktionen und Daten des Smartphones einräumen lassen. Haben Sie Beispiele, welche Apps besonders lange elektronische Finger haben?


Es ist eine Gratwanderung zwischen Nutzbarkeit und Sammelwut an Daten der Anwender. Beispiel hier wären Messengerdienste wie Whatsapp, die untransparent Userdaten transferieren und das vollständige Adressbuch auslesen ohne das andere, unbeteiligte User sich dagegen wehren können. Beispiel: Sie haben Whatsapp und ich nicht, jedoch ist meine Nummer bei Ihnen hinterlegt und so gelangt meine Nummer ebenfalls zum Betreiber von Whatsapp. Ein anderes Beispiel wäre hier auch die App von TV Spielfilm, die einen vollen Zugriff auf die Telefonfunktion (Android) gewährt haben will. Der Sinn für den Zugriff bei einer TV-App ist schlicht nicht einsehbar.

Was machen diese Apps, wovon der Nutzer nichts mitbekommt?

Wie im Beispiel voran beschrieben, wird das Adressbuch abgeglichen oder mittels Zugriff auf die Telefonfunktion könnte ein Smartphone zu einer Wanze umfunktioniert werden, ohne das der User dies mitbekommt.

Ist es generell so, dass bei kostenlosen Apps die Gefahr am größten ist, sich einen Schnüffler einzufangen?

Das kann ich so nicht bestätigen. Erst kürzlich hat Google seine Zahlungen zurück gestellt, um betrügerische Entwickler abzuschrecken.

Warum wird zum Schutz des Bürgers nicht von Haus aus ein Gesetz erlassen, das solche Umtriebe stoppt? In jedem Vertrag sind überraschende Klauseln, mit denen man nicht rechnen muss, unwirksam. Bei Apps, deren Funktion und Programmzweck keinen Zugriff auf Daten nötig macht, soll dies anders sein?

Persönlich bin ich der Meinung, dass man gerade im dem Bereich doch auch auf die Mündigkeit der Benutzer achten sollte. Es gibt hinreichend Beispiele dafür, dass z.B. Banking-Trojaner die über Smartphones eingeschleust werden, Schaden anrichten und das über eine installierte App, die eben nicht gleich als schadhaft erkannt wurde. Dahin gehend, um sich dem Betrug zu wehren, reichen aus meiner Sicht die Gesetze derzeit aus.

Was ist ihr Vorschlag, um schon vor dem Herunterladen zu erkennen, was die APP für Rechte haben will? Schließlich ist es hanebüchen, dass es etwa Programmzeitschriften-Apps gibt, die Zugriff auf die Telefonfunktion des Geräts wünschen. Was geht es eine Programmzeitschrift an, wer angerufen wird? Eine gesetzliche Offenlegungspflicht in informativer Form würde wohl viele Nutzer vor der unbedachten Installation derartiger Software abhalten.

Interessanter Weise wird dies bei Android vollständig unterstützt und auch dem User angezeigt, er muss es nur auch lesen. Eine Weigerung die noch so tolle App dann zu installieren, sollte vom User kommen.

(Siehe auch: http://shakal.blog.de/2013/01/10/android-recht-rechte-abzutreten-15413553/)

Vielfach sind Smartphones kompliziert zu bedienen. Technisch wäre es doch sicher kein Problem, einen Button einzubauen, der jeden unerwünschten Zugriff einer App auf Daten unterbindet. Warum gehen Hersteller diesen Weg nicht, um ihre Produkte sicherer zu machen?

Die Smartphones werden immer komplexer in der Bedienung und trotz Sicherheitsbedenken der Experten, wollen die Anwender genau das haben. Es gibt hinreichend Möglichkeiten sich zu schützen, man muss diese auch nutzen. Das Sicherheitskonzept von iOS (iPhone) ist durchdacht und hilft z.B. Daten zu verschlüsseln. Genutzt wird es immer noch nicht hinreichend, wie auch die E-Mail Verschlüsselung. Auch gibt es Software, die entsprechende Zugriffe von Apps überprüfen und notfalls unterbinden. Leider sind oftmals dafür Expertenkenntnisse erforderlich, sodass der normale Anwender davon unberührt bleibt.


Immer wieder ist davon zu hören, dass in Fernost gefertigte Chips versteckte Funktionen enthalten, die sich bestens dafür eignen, einen PC oder ein Smartphone auch ohne entsprechendes Programm in ein Spionagewerkzeug zu verwandeln. Gibt es da konkrete Beispiele?


Ich persönlich möchte mich dazu nicht öffentlich äußern. Gebe allerdings zu bedenken, dass vor vielen Jahren bereits eine kontrollierbare Plattform namens ›Palladium‹ geschaffen, die dann durch TCPA (jetzt TCG) erweitert wurde.
(http://de.wikipedia.org/wiki/Trusted_Computing_Platform_Alliance)
Hierbei gibt es offiziell seitens der Hersteller bereits diese Möglichkeiten. Auch wurden immer wieder Stimmen laut, die chinesischen Herstellern wie Huawei und ZTE solche Möglichkeiten unterstellen und teilweise auch nachweisen konnten.

Es wurde bekannt, dass Regierungsmitglieder spezielle Handys nutzen, die nicht so leicht abzuhören sind. Wie arbeitet diese Technik?

Da bekanntlich der momentan genutzte Mobilfunkstandard als unsicher gilt, nutzen viele aus Regierung und anderen, sensiblen Bereichen Verschlüsselungstechnologien. Es gibt Software, die auf das SRTP oder ZRTP Protokoll aufbauen und so verschlüsselte Gespräche von einem zum anderen Teilnehmer ermöglichen. Damit ist das Abhören durch das Netz zunächst einmal mehr als erschwert. Aber auch Hardware gibt es, die man auch als Unternehmer erwerben kann. Als Beispiel hier das Unternehmen Rhode & Schwarz, die entsprechende Technik anbieten.

Warum ist diese Technik nicht Standard, sodass jeder Bürger unbesorgt ein Smartphone nutzen kann?

Für die meisten Anwender ist der Standard der, dass er ein Smartphone mit allen Annehmlichkeiten nutzen will. Einhergehend damit verliert sich allerdings eben auch die Sicherheit, die billigend in Kauf genommen wird.

Auch die Navigations-App von Navigon ist ins Gerede gekommen, heimlich Daten auszuspionieren. Was wissen Sie darüber?

Leider habe ich darüber keine konkreten Informationen, außer denen, die in den Medien lesbar waren. Abgesehen davon hat auch Apple mit seinen iPhones Positionsdaten gesammelt und sich selbst zugesendet.

Welche Apps sind noch kritisch zu betrachten und warum?

Die Liste wäre ziemlich lang und würde den Rahmen sprengen. Die Wirtschaftswoche veröffentlichte dazu eine sehr schöne Übersicht.
(http://www.wiwo.de/technologie/digitale-welt/schutz-von-firmendaten-diese-apps-machen-ihr-smartphone-unsicher/7615312.html)

Auch Windows und Outlook stehen im Verdacht, „nach Haus“ zu rufen. Gibt es dazu Schutzmaßnahmen?

Kein leichtes Thema. Ich denke, dass hier betrachtet werden muss, ob dem in der Tat so ist und wenn dem so ist, wird ein Berater sicherlich dahin gehend helfen können, entsprechende Lösungen zu beschaffen, die auch ausgehenden Datentraffic analysieren und notfalls unterbinden. Bei einigen Systemen dürfte dies aufgrund von „Updatemechanismen“ durchaus schwerer werden.

Eignet sich Linux nicht besser für sicherheitskritische Arbeitsumgebungen?

Linux ist per Default nicht als sicherer zu betrachten. Server arbeiten überwiegend auf Basis von Linux und sind ein sehr begehrtes Angriffsziel. Fast alle Firewallsysteme basieren auf dem Linux-Kernel und arbeiten durchaus sicher und effizient. Für den Arbeitsalltag wäre selbst ich nicht sicher, ob ich Linux empfehlen würde, wenn gleich ich durchaus ein Fan von Linux bin.

Welches Betriebssystem für PCs beziehungsweise für Smartphones würden Sie niemals einsetzen, da es zu unsicher für Daten ist?

„Sagen Sie niemals nie.“
Android, iOS oder auch Windows können durchaus sicher betrieben werden.


1998 wurde der Berliner Hacker ›Tron‹ Tod aufgefunden. Er hatte in seiner Diplomarbeit an einem absolut abhörsicheren ISDN-Telefon gearbeitet und wurde eines Tages erhängt an einem Baum gefunden. Jeder der Tron kannte äußert, dass es sich hier um Mord handelt. Ist diese Tat eine Bestätigung, dafür, dass verschlüsselte Handygespräche für normale Unternehmen und Nutzer unerwünscht sind?

Ein schweres Thema, aber eben genau aus dem Grund nicht undenkbar. Man beachte in diesem Zusammenhang vielleicht auch, dass sehr wenige Verschlüsselungstechnologien aus Deutschland kommt. Aber es die o.g. These wirklich zutrifft, möchte ich nicht sagen.
Verschlüsselung ist einsetzbar und sollte genutzt werden. Nicht jeder der so etwas entwickelt hat, hing danach an einem Baum.

Mittlerweile werden viele Telefonate über das Internet geführt. Vielfach ohne Wissen der Kunden. Insbesondere Dienste wie Skype werden hier genutzt. Skype ist ja kostenlos, doch hat niemand etwas zu verschenken. Was ist das Geschäftsmodell dieses Unternehmens und wie sicher sind hier die Daten beziehungsweise über Skype geführte Gespräche?

Ich persönlich habe mich nie mit dem Geschäftsmodell von Skype oder dem von Microsoft auseinander gesetzt um zu erfahren, wie man damit Geld verdienen will außer das man darüber auch normale Festnetz- und Mobilnetznummern erreichen kann und dies als Bezahldienst. Das hierbei auch in Gespräche möglicherweise rein gehört werden kann, ist sehr wahrscheinlich. Offiziell wird so etwas stetig dementiert. Allerdings gibt es ausreichend Software, die genau dies bestätigt. (megapanzer.com) Unternehmenskunden sollten auf andere Lösungen setzen und damit nicht sparen wollen. Microsoft integriert Skype immer mehr in Office Lösungen, was für die Unternehmenskommunikation durchaus kritisch betrachtet werden kann, sofern man Skype dafür nutzt.

Behörden spielen auf ihre neu angeschafften Laptops alle nötigen Programme auf und versiegeln danach in manchen Fällen alle Schnittstellen, sodass darüber kein Datenaustausch mehr stattfinden kann. Sind diese Maßnahmen geeignet gegen Datenklau beziehungsweise Spionage?

Es gibt sicherlich ausreichend Maßnahmen, um sich zu schützen. In einigen Fällen wird dies in der Tat so durchgeführt, hindert allerdings daran, nachträgliche Wartungen, Patches etc. aufzuspielen. Es sollte einfach sorgfältig abgewogen werden, welche Maßnahmen sind für welche Fälle erforderlich, um seine Unternehmensdaten zu schützen. Nicht unterschätzen sollte man hier die eher manuelle Form der Spionage und des Datenklau mittels interne Mitarbeiter. Ein häufig in Vergessenheit gelangter Fakt.

Sollten Unternehmen nicht besser mehrere Techniken einsetzen, um weniger verwundbar zu sein? Denkbar wäre, dass ein einfaches Handy für Telefonate und ein geschützter Laptop mit verschlüsselter Festplatte für den Rest genutzt wird. Auf diese Weise werden kritische Daten nur auf dem Laptop vorgehalten. Schließlich sind Smartphone-Daten etwa von Vertriebsmitarbeitern via Spionage-App leicht mitlesbar, wenn diese mit dem PC abgeglichen werden.

Wird ein Unternehmen, welches sich eben gut absichert schwerer angreifbar, wird der Weg über weniger gesicherte Zulieferer gewählt. Je kleiner ein Unternehmen, umso weniger Budget ist zur Unternehmenssicherheit vorhanden. Wobei es hier auch darauf ankommt, in welchem Bereich ein Unternehmen arbeitet. Ein 20 Mann-Technologieunternehmen, welches mir bekannt ist, hat Sicherheitsmaßnahmen, die an manche Regierungsstelle erinnert.

Konto-PIN, Kreditkartendaten, Zugangscode zur Konstruktionsdatenbank – es gibt nichts, was man dem Smartphone nicht anvertraut, um sich nicht lange Zahlenwüsten merken zu müssen. Spione bekommen so alles auf dem Serviertablett präsentiert. Haben Sie einen Tipp, wie es besser geht, ohne auf moderne Technik verzichten zu müssen?

Datensparsamkeit ist das Schlagwort. Man sollte sich als Unternehmer immer fragen, ob und welche Daten mobil transportiert werden müssen und welche nicht. Mobilität setzt nicht zwangsweise voraus, dass man alles am Man(n) haben muss.

Der Standort von Handys lässt sich problemlos ermitteln. Auf diese Weise können Bewegungsprofile erstellt werden. Gibt es dazu einen praxisgerechten Tipp, um nicht zu viel von seiner Reisetätigkeit preiszugeben?

Das ist kaum möglich, wenn man sein Firmensmartphone auch für die Navigation nutzt. Es ist oft genug vorgekommen, dass hier Eingriffe vorgenommen wurden und die Bewegungsprofile entsprechend zu einer Konfrontation mit dem Arbeitgeber und Arbeitnehmer führen. Es ist sicherlich fragwürdig, in wie fern hier eine Auswertung vorgenommen werden darf. Datenschutz des Arbeitnehmer, sofern dieser nicht ausdrücklich solchen Praktiken zugestimmt hat.

Zum Abhören vertraulicher Gespräche können sogar Fensterscheiben genutzt werden, die durch den Sprechschall in Schwingungen versetzt werden. Diese werden mit einem Laser abgetastet und das Schwingungsmuster, ähnlich wie beim Abspielen einer CD, hörbar gemacht. Wie sieht es denn mit drahtlosen Mäusen und Tastaturen aus. Sind das nicht auch trojanische Pferde, die man sich, insbesondere als Unternehmen, da ins Haus holt?

Man sollte nicht jeden technischen Fortschritt verteufeln, aber dennoch wachsam und informiert sein. Sicherlich können z.B. Laptoptastaturen über ein ähnliches Verfahren belauscht werden und man kann damit die Eingaben abhören. Drahtlose Technik ist davon ebenso betroffen, solange genutzte Technologien, wie z.B. Bluetooth nicht sicher sind.

Kann es sein, dass über Wireless-LAN drahtlos zum Drucker gesendete Druckaufträge heimlich den Weg ins Internet finden. Immerhin könnte der Router ja durch eine geheime Schaltung dies ermöglichen.

Die Angriffsvektoren sind hier sehr vielseitig und ich befürchte, dass diese Ausgabe dafür nicht ausreichend Platz hat. Allerdings ist es in der Tat so, dass nebst verschlüsselte WLAN von Experten doch recht schnell aufgebrochen werden können, um so Daten abzufangen. Das Framework Metasploit bietet dazu ausgefeilte Skripte, die dies ermöglichen. Aber auch aircrack-ng bietet dahin gehend sehr viele Angriffsmöglichkeiten, vor denen Unternehmen geschützt sein sollten.


Überhaupt ist der Trend zur Drahtlos-Technik gerade im industriellen Umfeld bedenklich. Was raten Sie Unternehmen und dem sicherheitsbewussten Anwender, wenn er dennoch nicht auf diese Technik verzichten möchte?


Man sollte bei jeder Sicherheitsüberlegung in der Tat eine Risikoanalyse durchführen um zu erkennen, ob bestimmte Bereiche der Technik/Herstellung abgetrennt und in gesonderten Netzwerkbereichen arbeiten. Eine möglichst hohe Verschlüsselung bietet Schutz vor Manipulation und weiteren Einfallsmöglichkeiten. Sabotage wäre hier durchaus dann noch möglich, aber vom Schaden her geringer, als wäre ein Übergriff auf das Unternehmensnetzwerk möglich.

Auf öffentlichen Plätzen werden immer mehr Kameras aufgebaut. Heutige Gesichtserkennungssoftware funktioniert schon erschreckend gut. Ist hier nicht unsere Privatsphäre massiv bedroht?

Ein schweres Thema muss ich gestehen. Grundsätzlich natürlich, denn was mit den gewonnenen Daten geschieht, ist in Deutschland leider nicht transparent, außer, dass man den Bürger vor Terrorismus bewahren möge. Ich betrachte das Thema durchaus kritisch und halte es für massiv übertrieben. Kriminalität verlagert sich nachweislich dahin, wo keine solchen Maßnahmen greifen.

Nutzer, die in sozialen Netzwerken, wie etwa Facebook, Mitglied sind, gehen sehr freizügig mit ihren Daten um. Wie erklären Sie sich diesen Leichtsinn und was raten Sie den Nutzer dieser Netzwerke?

„Schreibe in Facebook & Co die Daten rein bei denen Du auch bereit bist, diese morgen in einer Tageszeitung auf Seite 1 zu lesen.“ Der Irrglaube, man sei in einem privaten Netzwerk ist enorm groß. Das dem nicht so ist zeigt ein Beispiel: Eine Arbeitnehmerin meldet sich krank und postet kurz darauf lustige, aktuelle Fotos von der Sonneninsel Mallorca, wo sie sich köstlich amüsierte. So etwas geht natürlich nicht.

Man hört vereinzelt, dass Facebook auch von der CIA unterstützt wird. Liegt es da nicht auf der Hand, dass die Daten generell mitgelesen werden? Immerhin sind die USA dabei, riesige Abhöranlagen zu errichten, um jede Mail und jedes Telefongespräch auf verdächtige oder interessante Inhalte zu analysieren.

Möglich ist vieles und mittels Überwachungsgesetze in den USA auch legitimiert. Es werden und müssen Schnittstellen dafür bereitgestellt werden. Fraglich allerdings, wer diese Flut an Daten wirklich auswerten will und zu welchem Zweck. Für eine gezielte Strafverfolgung ist dies durchaus sinnvoll. Eine normale Überwachung ist hier allerdings schon sehr schwer durchführbar, auch wenn wir von Big Data sprechen.

Momentan werden massive Werbekampagnen bezüglich der Cloud durchgeführt. Gerade Unternehmen sollen auf den Zug aufspringen. Es wird versprochen, dass die Daten garantiert sicher seien und ausschließlich das Unternehmen beziehungsweise der Nutzer darauf Zugriff hat. Ist dieses Versprechen nicht eher dem Bereich der Fabel zuzuordnen?

Ich persönlich rate keinem Unternehmen, aus Kostengründen hier eine solche Lösung zu wählen.

Was raten Sie gerade Unternehmen, wenn sie die Cloud trotz aller Gefahren nutzen möchten?

Man muss genau analysieren wo ist der Standort der Cloud Server, wo steht das Rechenzentrum, welche Kommunikation geht dahin und zurück, wie sind Daten dort abgelegt, wird deutsches Recht berücksichtigt und vieles mehr. Ein komplexer Prozess, der augenscheinlich von den Anbietern so vereinfacht wird. Selbst Amazon hatte einen Zwischenfall, bei dem Daten in der EC2 (Elastic Cloud) unwiederbringlich weg wahren. Wer haftet in diesen Fällen? Welches Gesetzt greift? Mit diesen Themen muss man sich auseinander setzen, möchte man solche Services für sein Unternehmen nutzen.

Das bargeldlose Bezahlen kommt immer mehr in Mode. In Schweden sind sogar Bestrebungen im Gange, das physische Geld komplett abzuschaffen. Die Bürger sollen nur noch via Chipkarte oder Einzugsauftrag bezahlen können. Die zunächst harmlos erscheinende Idee birgt immense Risiken für den Einzelnen. Wie ist ihre Meinung dazu?

„Nur Bares ist Wahres.“ Ein Ausspruch, der für die heutige Zeit etwas übertrieben sein mag, aber viel aussagt. Mittels elektronischer Zahlungssysteme (RFID, Plastikgeld etc.) werden auch wieder neue Angriffsmöglichkeiten geöffnet. Es gilt sicherlich nicht alles zu verteufeln, aber mit Bedacht einzusetzen.

Zum Schluss: wie ist ihre persönliche technische Ausstattung, um am täglichen Leben teilzunehmen und wie schützen sie sich vor zu viel Schnüffelei?

Vor der Installation überlegen was man sich installiert und welche Zugriffe damit ermöglicht werden. Weitere Details möchte ich aus Sicherheitsgründen nicht veröffentlichen.

Sehr geehrter Herr Rogge, vielen Dank für das Interview

Zu Marko Rogge

Marko Rogge ist ein ausgewiesener Fachmann, wenn es um Datensicherheit geht und ist Geschäftsführer des Unternehmens ›Omega Defense‹. Den tiefen Einblick in die Welt der EDV erarbeitete er sich als Hacker. Seine Erkenntnisse sollten sich alle Unternehmen zu Eigen machen, die mit sensiblen Daten umgehen. Sein Expertenwissen gibt Marko Rogge auch auf großen Veranstaltungen weiter, die sich eines regen Zuspruchs erfreuen.

Download

Diesen Artikel können Sie hier im PDF-Format [199 KB] herunterladen.

 

Mehr Informationen:

Kontakt  Herstellerinfo 
OMEGA DEFENSE
Forensik & Investigations
Schuchardstr. 5-11
64283 Darmstadt
Tel.: +49-172-4939129
E-Mail: mr@omega-defense.com
www.marko-rogge.de
 

War dieser Artikel für Sie hilfreich?

Bitte bewerten Sie diese Seite durch Klick auf die Symbole.

Zugriffe heute: 2 - gesamt: 12489.