Monatliches Archiv:Juni 2020

29.05.2020

Bundestag: Pflicht für Verdachtsmeldungen ans BKA und Passwortherausgabe

Das Parlament hat den Gesetzentwurf „zur Bekämpfung des Rechtsextremismus und der Hasskriminalität“ in verschärfter Form verabschiedet.

Anbieter von Telemediendiensten wie WhatsApp, Google mit Gmail, Facebook, Tinder & Co. müssen sensible Daten von Verdächtigen wie IP-Adressen und Passwörter künftig an Sicherheitsbehörden herausgeben. Dazu kommt eine Pflicht für Betreiber großer sozialer Netzwerke wie Facebook, TikTok und Twitter, strafrechtlich relevante Inhalte wie Hassbeiträge, Terrorismuspropaganda oder Bedrohungen und Darstellungen sexuellen Kindesmissbrauchs nicht mehr nur zu löschen, sondern parallel unaufgefordert – ebenfalls zusammen mit aussagekräftigen Internetkennungen inklusive Portnummern – ans Bundeskriminalamt (BKA) zu melden.

15.06.2020

Corona-App: Lücken gefunden

Die Corona-App der Bundesregierung braucht eigentlich noch mehr Zeit. „Es besteht noch Nachholbedarf“, so das Fazit der TÜV Informationstechnik. Mitarbeiter der TÜV Informationstechnik (TÜVit), einer auf IT-Sicherheit spezialisierten Tochter des TÜV Nord, prüfen seit knapp zwei Wochen die von der Bundesregierung in Auftrag gegebene Corona-Warn-App auf Sicherheitslücken. Dabei haben sie mehrere Mängel entdeckt und an die Entwickler gemeldet, damit diese die Fehler vor dem Start der App – der für die kommende Woche erwartet wird – beheben können. Eins der gefundenen Sicherheitsprobleme wurde von den TÜV-Prüfern dabei als recht schwerwiegend eingestuft.

Es besteht Nachholbedarf

Im Gespräch äußerte sich TÜVit-Geschäftsführer Dirk Kretzschmar mit Blick auf die bisher bei der Sicherheitsprüfung der Corona-App gesammelten Erfahrungen kritisch über den von der Regierung anvisierten Start-Termin der App nächste Woche. Man hätte sich den 30.06. „oder besser noch etwas später“ als Start-Termin gewünscht, sagte er. Die TÜVit prüft die von SAP und der Deutschen Telekom entwickelte App im Auftrag des Bundesamtes für Sicherheit in der Informationstechnik (BSI) auf Sicherheitslücken und Verstöße gegen die zugesicherten Privatsphäre-Garantien des Apple/Google-Contact-Tracing-API und der App-Entwickler. Schon als noch eine App in Zusammenarbeit mit der PEPP-PT-Initiative angedacht war, hatte Kretzschmar im Namen seiner Firma dem BSI ein Angebot unterbreitet, diese App kostenfrei auf Sicherheitslücken zu prüfen. Dieses Angebot sei zu diesem Zeitpunkt allerdings abgelehnt worden. Im Zuge der Neuentwicklung der App durch SAP und Telekom habe die TÜVit ihr Angebot noch mal erneuert und das BSI sei schließlich darauf eingegangen. Allerdings sei die vom TÜV vorgeschlagene Prüfdauer von vier Wochen auf eine Woche eingedampft worden, so Kretzschmar. Man habe es dann geschafft, eine zweite Woche dranzuhängen. Im Gespräch mit dem TÜVit-Chef klang aber trotzdem deutlich durch, dass die Corona-Warn-App durchaus noch etwas mehr Test-Zeit hätte gebrauchen können. „Es besteht noch Nachholbedarf“, so Kretzschmar.

TAN-Sicherheitslücke

Das gravierendste von den TÜV-Prüfern entdeckte Sicherheitsproblem besteht mit den TANs, die Patienten in die App eingeben können, um zu bestätigen, dass sie positiv auf SARS-CoV-2 getestet wurden. Nach Bestätigung einer positiven Diagnose kann ein App-Nutzer den Prozess anstoßen, mit dem seine Diagnose-Schlüssel über das Apple/Google-API an den Backend-Server der App übermittelt werden. Dadurch laden dann die Apps aller anderen Nutzer diese Schlüssel herunter und prüfen, ob ihr Anwender mit dem als positiv getesteten Anwender Kontakt hatte. Der Algorithmus, mit dem diese TANs generiert wurden, war relativ leicht zu knacken, so dass sich jeder solche TANs beliebig hätte erstellen können. Damit hätte man sich dann fälschlich als positiv getestet ausgeben können. Diese Sicherheitslücke hätte ein katastrophales Ergebnis auf den Betrieb der Corona-Warn-App haben können. Zuerst einmal ist zu befürchten, dass viele falsch-positive Diagnose-Schlüssel beim Runterladen auf alle Geräte im Netzwerk mindestens temporär zum Zusammenbruch der App-Infrastruktur geführt hätten. Außerdem wären viele Nutzer dann wohl mit falsch-positiven Warnungen auf eine mögliche Infektion und dem Gesuch, sich selbst unter Quarantäne zu stellen, konfrontiert worden, was wahrscheinlich zu einem Verlust des öffentlichen Vertrauens in die Corona-Warn-App geführt hätte. Ein solcher Angriff wäre wahrscheinlich nur koordiniert von einer Gruppe von Angreifern durchzuführen, da man ja nicht nur eine positive Diagnose fälschen, sondern sein Smartphone auch noch in Bluetooth-Reichweite von möglichst vielen anderen Geräten bringen muss. Trotzdem wäre es denkbar, dass sich Teile der Bevölkerung, welche die App sabotieren wollen, sich zu so einem Angriff zusammenschließen, sobald die entsprechende Sicherheitslücke bekannt geworden wäre. Immerhin warnen Kritiker des von DP3-T vorgeschlagenen und von Apple und Google umgesetzten Contact-Tracing-Models seit Monaten vor genau diesem Angriffsvektor.

Große Teile der App sind ungeprüft

Die TAN-Lücke und weitere von der TÜVit gefundene Probleme können die SAP- und Telekom-Entwickler hoffentlich vor Erscheinen der App beheben. Allerdings, sagte uns Dirk Kretzschmar, sind weite Teile der App-Infrastruktur außerhalb des Prüfauftrags seiner Mitarbeiter. Das Server-Backend und die von Apple und Google in ihren Betriebssystemen bereitgestellten Funktionen werden gar nicht geprüft. Auch die Verschlüsselung der SQLCipher-Bibliothek, welche die von der App auf dem Gerät gespeicherten Daten schützt, schauen sich die TÜV-Prüfer nicht an. Ein Penetration-Test dieser Verschlüsselung ginge „in Richtung Tiefenprüfung, welche wir durchführen können, wenn dies verlangt würde“, sagte Kretzschmar. Momentan sei eine solche Tiefenprüfung allerdings nicht Teil des Testauftrags. Solche Tests wären im aktuellen, von der Regierung bestimmten, Zeitplan allerdings auch arg unrealistisch, wenn sie gründlich durchgeführt werden sollen – jedenfalls legt das unsere Erfahrung mit ähnlichen Pentest-Unternehmungen nahe. Aktuell prüft die TÜVit nur die von den SAP- und Telekom-Entwicklern selbst umgesetzten Schutzmaßnahmen. Kretzschmar äußerte sich aber nicht nur kritisch zum Zeitplan der App-Veröffentlichung, sondern zeigte sich auch unzufrieden über das Vorgehen der Source-Code-Veröffentlichung im Rahmen des Corona-App-Projektes. Er bezeichnete es als „gewagtes Vorgehen“, den Quellcode der Open-Source-App vor der eingehenden Sicherheitsprüfung durch die TÜVit öffentlich zu machen. Das führe dazu, dass seine Mitarbeiter quasi im öffentlichen Wettkampf mit potenziellen Angreifern stünden, die über GitHub parallel ebenfalls Zugriff auf den Quellcode der App hätten. Die Mitarbeiter des TÜV-Teams müssen aufgrund des engen Zeitplans der Entwicklung der Corona-Warn-App ja so oder so schon ein bewegtes Ziel testen, da die App noch nicht fertig ist und ständig weiterentwickelt wird. Den TÜV-Prüfern wäre es da wohl lieber gewesen, diese Arbeit erst mal hinter verschlossenen Türen in Ruhe zu erledigen und den Quellcode der App danach der Öffentlichkeit zugänglich zu machen.

Privatsphäre unter die Lupe genommen

Die größte Sorge vieler potenzieller Anwender der Corona-Warn-App ist sicherlich die Frage nach der Privatheit ihrer Daten. Auf die Privatsphäre der App angesprochen, äußerte sich Kretzschmar recht zuversichtlich. Bisher sieht es wohl so aus, als ob die Corona-App in dieser Hinsicht das hält, was die Regierung versprochen hat. Tracking-Technologien, die über das im Apple/Google-API umgesetzte hinausgehen, habe man nicht gefunden, so der TÜVit-Chef. Auch leakt die App anscheinend keine Nutzerdaten nach außen. Bei diesen Ergebnissen muss man allerdings beachten, dass sie als vorläufig anzusehen sind, da mit dem Ende des TÜV-Prüfauftrags die Entwicklung der Corona-Warn-App mitnichten abgeschlossen ist. Kretzschmar signalisierte, dass der TÜV auch für weitere Tests zur Verfügung stehe. Es sei ihm wichtig, das Vertrauen der Bürger in diese kritische App zu stärken. Aus diesem Grunde habe man schließlich auch, als unabhängige Prüfinstanz, angeboten, die App kostenlos zu testen. Zahlende TÜV-Kunden hätten deswegen hintanstehen müssen. Das Verständnis dafür sei im Großen und Ganzen aber sehr ausgeprägt gewesen. „Jeder versteht, wie wichtig diese App gerade ist“, sagte Kretzschmar. Eine große Akzeptanz in der Bevölkerung sei unabdingbar dafür, dass die App funktioniere. Und für eine solche Akzeptanz sorge nur eine gründliche Sicherheitsprüfung durch eine unabhängige Instanz wie den TÜV oder DEKRA.

09.06.2020

Fieser Fake: Ransomware-Entschlüsselungstool verschlüsselt Daten nochmal

Opfer des Verschlüsselungstrojaners STOP Djvu sollten sich vor einem Fake-Entschlüsselungstool in Acht nehmen. Ein vermeintlich hilfreiches Tool macht alles nur noch schlimmer: Wer sich den Windows-Erpressungstrojaner STOP Djvu eingefangen hat, sollte sich vor einem im Internet kursierenden kostenlosen Entschlüsselungstool in Acht nehmen. Dabei handelt es sich um kein Helferlein, sondern um eine weitere Ransomware, die bereits verschlüsselte Daten nochmal verschlüsselt. Es gibt zwar ein legitimes Entschlüsselungstool, das funktioniert aber nur mit älteren Versionen von STOP Djvu. Das machen sich nun Kriminelle zu Nutze und verbreiten ihr Fake-Tool. Der Erpressungstrojaner ist weltweit unterwegs und hat es auf Privatpersonen abgesehen. Der Schädling kommt aber in der Regel nicht als E-Mail-Anhang auf Computer, sondern er versteckt sich hinter manipulierten Cracks für kostenpflichtige Software.

Fake-Tool nicht ausführen!

Wie das IT-Portal Bleepingcomputer berichtet, heißt der Fake-Entschlüssler „Decrypter DJVU“. Dahinter sollen die Entwickler des Verschlüsselungstrojaners Zorab stecken. Führen Opfer von STOP Djvu das Tool aus, startet im Hintergrund die Zorab-Ransomware und verschlüsselt die von STOP Djvu gefangengenommen Dateien nochmal. Die Dateien weisen dann die Endung .ZRB auf. Opfer sollen erneut ein Lösegeld zahlen. Sie werden also doppelt zu Kasse gebeten. Derzeit gibt es zufolge keine Schwachstelle in STOP Djvu und Zorab, an der ein Entschlüsselungstool ansetzen könnten. Das Lösegeld sollte man nicht zahlen, da Sicherheitsforscher in naher Zukunft eventuell so ein Tool entwickeln könnten. Ob es so ein Tool gibt, kann man auf der Website https://id-ransomware.malwarehunterteam.com/index.php prüfen. Dort kann man verschlüsselte Dateien hochladen und der Service prüft, ob es bereits ein Entschlüsselungstool gibt. Derzeit erkennt die Website über 860 Erpressungstrojaner.

Die STOP Djvu Ransomware ist nach wie vor aktiv. Der kostenlose Analyseservice ID-Ransomware gibt an, im vergangenen Monat pro Tag bis zu 800 Samples erhalten zu haben.

03.06.2020

Verletzung des Rechts, selbst zu entscheiden, an welche Privatpersonen Handynummern und Mailadressen weitergeben werden

Bei der Landesbeauftragten für Datenschutz und Informationsfreiheit gingen in den vergangenen Tagen zahlreiche berechtigte Beschwerden darüber ein, dass Gastwirtinnen und Gastwirte Listen mit Gästedaten ausliegen oder in den Gaststätten herumgehen ließen, anstatt die Daten für jeden erwachsenen Gast einzeln zu erfassen. Solche Listen sind nicht rechtmäßig, weil mit ihrer Hilfe nicht nur das Gesundheitsamt, sondern auch andere Gäste Namen, Emailadresse oder Telefonnummer und Verweildauer von Mitgästen erkennen können. Die Landesbeauftragte für Datenschutz und Informationsfreiheit, Dr. Imke Sommer, nimmt diese berechtigten Beschwerden zum Anlass, zu erläutern, welche Verarbeitungen personenbezogener Daten nach der 5. Corona-Verordnung erlaubt und sogar gefordert sind, und welche Verarbeitungen rechtswidrig sind.

Nach § 9a Absatz 2 Nr. 6 der 5. Corona-Verordnung müssen Gastwirtinnen und Gastwirte von allen Gästen, die sie drinnen bewirten, Zeitpunkt des Betretens und Verlassens der Räume und Name und Telefonnummer oder Name und E-Mail-Adresse dokumentieren. Diese Informationen müssen sie drei Wochen aufbewahren und danach löschen. Papierformulare müssen also geschreddert oder in ähnlicher Weise vernichtet werden. Die Gastwirtinnen und Gastwirte dürfen diese Informationen ausschließlich an das Gesundheitsamt weitergeben. Für jeden einzelnen erwachsenen Gast muss es ein eigenes Formular geben oder jeder Gast muss einzeln befragt und dann die Antworten notiert werden. Offene Listen sind verboten, weil Gäste dann auch die Informationen über die anderen Gäste lesen und schlimmstenfalls sogar fotografieren können. Einzelerfassungen verhindern also Stalking im Netz oder per Telefon. Zweck der Dokumentation ist die Infektionskettenverfolgung. Die Beschäftigten des Gesundheitsamtes werden sich in den Fällen, in denen sich im Nachhinein herausstellt, dass sich eine Besucherin eines Restaurants infiziert hat, mit Hilfe der bei den Gastwirtinnen und Gastwirten erfassten Daten darüber informieren, wer gemeinsam mit der nun Infizierten im Raum war und sich ebenfalls infiziert haben könnte. Darüber werden die betreffenden Personen per Mail oder Telefon informiert.

Aus den zahlreichen Beschwerden geht für die Landesbeauftragte hervor, dass viele Gastwirtinnen und Gastwirte die Regel missverstanden haben und bittet alle Gäste, denen solche Listen begegnen, die Gastwirtinnen und Gastwirte zunächst auf ihren Fehler hinzuweisen. Sofern sich Gastwirtinnen und Gastwirte uneinsichtig zeigen sollten, können sich die Gäste bei der Landesbeauftragten für Datenschutz und Informationsfreiheit beschweren. Die Landesbeauftragte weist in diesem Zusammenhang zusätzlich darauf hin, dass die Gastwirtinnen und Gastwirte ihren Gästen genau erklären müssen, was mit ihren Daten passieren wird. Dazu gehört auch, dass sie ihren Gästen beschreiben, wie sie die Informationen sicher aufbewahren und wie sie sie vernichten werden. Auch muss den Gästen mitgeteilt werden, dass sie ein Recht auf Auskunft, ein Recht auf Berichtigung, und nach drei Wochen das Recht auf Löschung der Daten haben und sie sich bei der Landesbeauftragten für Datenschutz und Informationsfreiheit darüber beschweren können, wenn sie den Eindruck haben, die Gastwirtinnen und Gastwirte sich nicht an die Regeln halten.