Monatliches Archiv:Juli 2020

16.07.2020

Microsoft unterstützt die Polizei mit speziellen Überwachungsplattformen und Cloud-Lösungen, auf die auch andere Hilfssheriffs bauen.

Im digitalen Zeitalter geht auch bei der Polizei ohne die Zusammenarbeit mit Tech-Firmen nicht mehr viel. „Microsoft ist zusammen mit Amazon und anderen Cloud-Anbietern einer der Hauptakteure in diesem Bereich“, schreibt das Online-Magazin The Intercept in einer Reportage über den von Microsoft mit Massenüberwachung, biometrischer Gesichtserkennung und Online-Datendiensten vorangetriebenen „Polizeistaat“. Microsoft stehe zwar im Gegensatz zu anderen Tech-Größen auch nach den Black-Live-Matters-Protesten nicht im Zentrum der öffentlichen Kritik, heißt es in dem Dossier von The Intercept. Der Konzern verschleiere aber gezielt seine einschlägigen Geschäftsbeziehungen, stecke „knietief in Dienstleistungen für die Strafverfolgung“ und fördere ein System von Unternehmen, „die der Polizei Software über Microsofts Cloud und andere Plattformen zur Verfügung stellen“.

„Massenüberwachungsplattform für Polizisten“

Als Beispiel nennt das Magazin die von der Firma entwickelte „Massenüberwachungsplattform für Polizisten“ in Form des „Domain Awareness System“ (DAS). Microsoft habe das System für das New York Police Department (NYPD) gebaut und später auf Atlanta, Brasilien und Singapur ausgeweitet. Das Portal integriere unterschiedliche Informationsquellen, um die drei Kernfunktionen Echtzeit-Alarm, Hilfe bei alltäglichen Ermittlungen und kriminalpolizeiliche Analysen zu erfüllen. Durch das System beobachte das NYPD die persönlichen Bewegungen der gesamten Metropole, führt der Autor aus. Anfangs habe es Daten aus Kameras zur Videoüberwachung, Umweltsensoren und automatischen Kfz-Kennzeichen-Scannern aufgenommen. Von 2010 an seien Aufzeichnungen von Beschwerden, Verhaftungen, Notrufen und Haftbefehlen hinzugekommen, um das bisherige Material in einen Kontext zu bringen. Mittlerweile habe die Behörde Videoanalysen, automatische Mustererkennung, Techniken für Predictive Policing und eine App für die Ordnungshüter hinzugefügt. Schon bis 2016 soll das DAS unter anderem zwei Milliarden Nummernschildaufnahmen bei 3 Millionen Lesevorgängen pro Tag bei einer Speicherfrist von fünf Jahren, 15 Millionen Beschwerden, mehr als 33 Milliarden öffentliche Dateneinträge, über 9000 Kameraaufzeichnungen sowie Videos von mehr als 20.000 Bodycams enthalten haben. Das gesamte Archiv lasse sich mit speziellen Algorithmen durchsuchen, um relevanten Daten sowie neuen Erkenntnissen auf die Spur zu kommen.

Microsoft Cloud für Überwachungsfunktionen

Zudem hat sich Microsoft dem Bericht nach mit zahlreichen Anbietern von Überwachungssystemen zusammengeschlossen, die ihre Produkte auf der „Government Cloud“ der Azure-Sparte des Unternehmens betrieben. Der Konzern vermarkte zudem Plattformen etwa für Drohnen und Roboter, um Polizeieinsätze auf lokaler, staatlicher und föderaler Ebene zu vernetzen. Kaum bekannt sei ferner, dass Microsoft eine Abteilung „Öffentliche Sicherheit und Justiz“ mit Mitarbeitern unterhalte, die früher in der Strafverfolgung tätig gewesen seien. Dabei handle es sich um das „wahre Herzstück“ der Hilfssheriffdienste des Unternehmens. Neben der konzeptuellen Skizze eines rundum vernetzten Polizisten („The Connected Officer“) hat die Firma die „Microsoft Advanced Patrol Platform“ (MAPP) als White-Label-Lösung für ein mit dem „Internet der Dinge“ verbundenes Streifenfahrzeug auf den Markt gebracht. Diese integriert Überwachungssensoren und Inhalte von Datenbanken über die Azure-Cloud. Dazu gehören etwa Abfertigungsinformationen, Fahranweisungen, Aufzeichnungen über Verdächtige und standortbezogene Kriminalitätsdossiers, ein per Sprache steuerbares Kennzeichenlesegerät, eine Vermisstenliste und Schichtberichte.

Eine vom Microsoft-Partner Aeryon Labs bereitgestellte Drohne, der SkyRanger, patrouilliere parallel den Himmel, um Live-Streams zu liefern, ist dem Bericht zu entnehmen. Die unbemannten Fluggeräte könnten der Datenplattform Luftaufnahmen zur Verfügung stellen, die es den Beamten auch ermöglichten, forensische Beweise von einem Tatort zu sammeln. An die MAPP könnten zudem Polizeiroboter etwa von ReconRobotics angeschlossen und ferngesteuert werden. Ein so hochgerüsteter Wagen wird laut Microsoft zum „Nervenzentrum“ der Strafverfolgung. Dank Kooperation und kritischer Infrastruktur aus Redmond biete „eine Schattenindustrie kleinerer Firmen der Staatsmacht weitere breite Überwachungsfunktionen, arbeitet der Verfasser heraus. Genetec etwa biete so eine Cloud-basierte Videoüberwachung und Big-Data-Analysen an, Veritone Dienste zur automatisierten Gesichtserkennung. In Chicago deckten so 35.000 Kameras die Stadt ab. Detroit ermuntere seine Einwohner, ein „grünes Licht“ neben installierte elektronische Augen zu stellen, die mit einem polizeilichen Analysezentrum verknüpft seien. Bei der dort ebenfalls erfolgenden biometrischen Erkennung passieren aber Fehler.

Widerstand in eigenen Reihen

Vorigen Monat baten Hunderte von Microsoft-Mitarbeitern ihren Chef Satya Nadella, Verträge mit Strafverfolgungsbehörden zu kündigen und Black Lives Matter zu unterstützen. Der Konzern kündigte daraufhin an, keine eigenen Programme zur Gesichtserkennung an die US-Polizei verkaufen zu wollen. Dabei handelt es sich dem Bericht nach aber um einen PR-Trick, da die Technik fester Bestandteil vieler Videoüberwachungssysteme und Kriminalitätszentren sei, die Microsoft in mehreren US-Städten betreibe. Das volle Ausmaß des Einbezugs des Unternehmen in den Polizeikomplex sei kaum auszuloten, da es Cloud-Deals mit Drittparteien nicht immer öffentlich mache. In Redmond wollte die Zusammenschau keiner kommentieren.

06.07.2020

Bundeskartellamt: Smart-TV-Hersteller verstoßen massiv gegen die DSGVO

Vernetzte Fernsehgeräte sammeln oft ohne Wissen der Betroffenen intime Nutzungsdaten, haben die Wettbewerbshüter festgestellt. An der IT-Sicherheit hapere es. Das Bundeskartellamt hat schwere Mängel beim Datenschutz und der IT-Sicherheit bei vernetzten Fernsehgeräten ausgemacht und fordert von den Herstellern umfangreiche Nachbesserungen. Sie verweisen zudem auf weitere Probleme wie „die Rechtmäßigkeit von Werbeeinblendungen im TV-Portal“. Insgesamt hätten die in Deutschland aktiven Smart-TV-Hersteller fast durchgehend schwerwiegende Transparenzmängel rund um die Privatsphäre der Verbraucher. Damit verstießen sie massiv gegen die Datenschutz-Grundverordnung.

Die Geräte können laut der “ Sektoruntersuchung Smart-TVs “ vielfältig personenbezogene elektronische Spuren erheben. So könnten etwa das generelle Fernsehverhalten einer Person, ihre App-Nutzung, ihr Surf- und Klickverhalten oder auch biometrische Daten wie Stimme oder Cursorbewegungen sowie die im Einzelnen über den Fernseher abgespielten Inhalte erfasst und ausgewertet werden.

Dass die Hersteller solch intime Nutzungsdaten sammeln und etwa für personalisierte Werbung verwenden, könne der Verbraucher meist erst verhindern, indem er Einstellungen an seinem Fernsehgerät ändert und sich durch zahlreiche Menüs hangelt. Sich über die Datenschutzbestimmungen bereits vor dem Kauf zu informieren, sei oft nicht oder nur mit großem Aufwand möglich. Bei der Ersteinrichtung fügten sich die meisten Kunden zudem den angezeigten Bedingungen, da sie dazu keine Alternative sähen. Für die Käufer sei meist nicht nachvollziehbar, dass die Datenschutzbestimmungen „für eine Vielzahl von Diensten und Nutzungsprozessen gelten sollen“. Die Verbraucher erführen nicht zuverlässig, welche personenbezogenen Daten verarbeitet, für wie lange gespeichert und an Dritte übermittelt werden. Etliche Hersteller gewährleisten zudem nicht, dass der Standard der Geräte für IT-Sicherheit auch in den Jahren nach dem Kauf durch Software-Aktualisierungen aufrechterhalten wird; dazu mache kein Unternehmen verbindliche Angaben. Für die Verbraucher sei diese Information aber unerlässlich, „um einschätzen zu können, wie lange sie das Gerät uneingeschränkt gefahrlos verwenden können“.

Forderungen an die Politik

Das Bundeskartellamt fordert, dass Nutzer besser und zielgerichteter „über die Möglichkeit zur extensiven Datensammlung und -verarbeitung“ durch alle Geräte im Internet der Dinge aufgeklärt werden. Die Unternehmen sollten notwendige Informationen klarer und einfacher vermitteln müssen. Anwendern sollte es leichter gemacht werden, Datenschutzstandards schon vor dem Kauf etwa durch eingängige Bildsymbole zu berücksichtigen. Nötig sei zudem ein „klarer gesetzlich geregelter Anspruch des Verbrauchers auch gegenüber dem Hersteller auf Software-Updates“. Der Gesetzgeber solle auch Haftungsfragen beim Zusammenspiel der verschiedenen Akteure im Bereich des „Internet of Things“ (IoT) klären, meint die Wettbewerbsbehörde.

Die Ermittlungen betrafen rund 20 Anbieter, die in Deutschland internetfähige Fernsehgeräte unter eigenen Marken absetzen.

02.07.2020

Massive Sicherheitsprobleme durch offene Git-Repositorys

In Deutschland sind Git-Repositorys auf zehntausenden Servern ungeschützt per Webbrowser zugänglich. Angreifer haben ein leichtes Spiel und können neben Code auch Zugangs- und Nutzerdaten abgreifen.

Zehntausende von Webservern in Deutschland machen Repositorys des Versionskontrollsystems Git per Browser zugänglich. Die Server veröffentlichen dadurch nicht nur aktuellen und überholten Quellcode, sondern publizieren oft auch Konfigurations- und Zugangsdaten. Zu diesem erschreckenden Befund kommen Sicherheitsexperten der „Deutschen Gesellschaft für Cybersicherheit“ aus Flensburg. Die IT-Fachleute suchten deutsche Internetadressen nach öffentlichen Git-Repositorys ab. Unter 6.927.416 gescannten .de-Domains und -Subdomains fanden sie 41.252 betroffene Systeme, in deren Wurzelverzeichnis ein Repository zugänglich ist. Die wahre Zahl betroffener Server liegt wahrscheinlich deutlich höher, weil die Flensburger keine Repositorys in Unterverzeichnissen erfassten. Aufgrund der schieren Zahl von Treffern sah sich die Sicherheitsfirma außer Stande, sämtliche Betroffenen zu kontaktieren. Sie wandte sich stattdessen an die Wochenzeitung Die Zeit und den Norddeutschen Rundfunk, um öffentlich auf die Gefahr hinzuweisen.

In der Tat ist die Liste beeindruckend. Darin finden sich politische Lokalverbände, ebenso wie Projekte namhafte IT-Firmen bis hin zu DAX-Konzernen. Betroffen waren beispielsweise Systeme des Versicherungskonzerns Allianz, des Triebwerksherstellers MTU und des Hosting-Anbieters Host Europe. Das Gros sind allerdings private Homepages sowie Webpräsenzen kleinerer Unternehmen. Wie problematisch die Lücke jeweils ist, hängt vom Einzelfall ab. Stichproben ergaben, dass immer wieder auch Konfigurationsdaten in den Archiven sind, die nicht öffentlich bekannt sein sollten. Sogar Zugangsdaten lassen sich oft finden, darunter Passwörter für Datenbankserver. Spätestens in solchen Fällen können Kundendaten bedroht sein. Das ist umso schlimmer, weil sich betroffene Server weitgehend automatisch erfassen und nach Zugangsdaten durchsuchen lassen. Es gibt sogar spezialisierte Browser-Plug-ins, die vor dem Problem warnen und betroffene Repositorys direkt herunterladen.

Kleiner Fehler, große Wirkung

Verantwortlich ist weder eine Sicherheitslücke von Git, noch eine der Webserver-Software. Stattdessen handelt es sich um klassische Fehlkonfigurationen: Git-Repositorys, genauso wie die Archive anderer Versionskontrollsysteme, sollten sich nicht im Web-Root eines Webservers befinden. Wer sie dennoch dort platziert, muss den Webserver entsprechend konfigurieren, um die Archive zu schützen – was die genannten Firmen inzwischen getan haben. Eigentlich sollte all das hinlänglich bekannt sein. Schon 2015 warnte das Projekt Internetwache.org vor derart fehlkonfigurierten Servern. Offenbar hat sich deren Warnung bei vielen deutschen Systemadministratoren noch nicht herumgesprochen.

Gegenmaßnahmen

Betroffene sollen den Mangel in jedem Fall schleunigst beheben. Wer sich nicht sicher ist, kann einfach http://meine-domain.de/.git/config im Browser aufrufen. Zeigt der Browser eine Konfigurationsdatei an, ist der Server von dem Problem betroffen. Sie sollten dann entweder das Git-Repository verschieben, sodass es nicht mehr im Web-Root des Servers liegt. Oder Sie konfigurieren den Webserver so, dass Zugriffe auf das Verzeichnis „.git“ unterbunden werden. Directory-Listings zu deaktivieren, ist kein Schutz. Der Webserver liefert dann zwar keine Dateilisten mehr aus, aber gültige URLs lassen sich auch über die interne Struktur von Git-Repositorys konstruieren. Es gibt Tools, die das vollautomatisch erledigen und so ein Repository vollständig herunterladen, ohne auf Dateilisten vom Server angewiesen zu sein. Die Fälle zeigen, dass Sicherheitsprobleme häufig nicht in technischen Finessen begründet liegen, sondern in Konfigurationsfehlern. Unentschuldbar wird es, wenn die Fehler auch noch seit Jahren bekannt und einfach zu beheben sind.