Monatliches Archiv:August 2020

Geheimdienste mit Staatstrojanern

Regierung plant „Quellen-TKÜ plus“ durch Agenten
Innen- und Justizministerium haben laut einem Bericht vereinbart, dass Geheimdienste mit Staatstrojanern auch auf gespeicherte Chats und Mails zugreifen dürfen!!!

Geht es nach den Bundesministerien für Inneres und Justiz, werden die Befugnisse der Geheimdienste von Bund und Ländern mit dem geplanten Gesetz „zur Anpassung des Verfassungsschutzrechts“ noch einmal deutlich erweitert. Die Sicherheitsbehörden sollen mithilfe von Staatstrojanern nicht nur die laufende Messenger-Kommunikation sowie Internet-Telefonate und Video-Calls abhören dürfen, sondern im Rahmen einer „Quellen-TKÜ plus“ auch auf gespeicherte Chats und Mails zugreifen. Auf diesen Ansatz haben sich Verhandlungsführer der beiden Ministerien im Rahmen der laufenden Ressortabstimmung innerhalb der Bundesregierung geeinigt. Mit der Quellen-Telekommunikationsüberwachung (TKÜ) wird es den berechtigten Stellen bislang ermöglicht, den „laufenden“ Nachrichtenaustausch direkt auf dem Endgerät mitzuschneiden, bevor er ver- oder nachdem er entschlüsselt wird.

Aufgebohrter Staatstrojaner

Idee hinter der aufgebohrten Variante ist es dem Bericht zufolge, dass die berechtigten Behörden rückwirkend auch alte Kommunikation ausforschen dürfen, sobald die Spionagemaßnahme bewilligt ist. Sie sollten rechtlich so gestellt werden, als hätten sie sofort loslegen können und nicht auf die erfolgreiche Platzierung eines Trojaners auf dem Zielgerät warten müssen. Das Vorhaben ist brisant, da damit die Grenzen zu weitergehenden heimlichen Online-Durchsuchungen von IT-Systemen noch weiter verschwämmen. Das Bundesverfassungsgericht, bei dem zahlreiche Klagen gegen Kompetenzen zum Einsatz von Staatstrojanern auf Bundes- und Länderebene anhängig sind, hatte schon mehrfach Bedenken geäußert und ein eigenes Computer-Grundrecht entwickelt, um die Vertraulichkeit und Integrität der vernetzten Gerätewelt abzusichern. Die G10-Kommission soll dem Bericht zufolge die Kontrolle über die erweiterte Quellen-TKÜ übernehmen und entlang jüngster Vorgaben aus dem BND-Urteil des Bundesverfassungsgerichts personell mit mehr technischem und juristischem Sachverstand gestärkt werden.

Eine Eilanordnung ohne das Plazet der Kommission werde nicht möglich sein, heißt es weiter. Umstritten seien zwischen beiden Häusern noch Möglichkeiten der Weitergabe abgehörter Daten an ausländische Geheimdienste, was den Beschluss eines Regierungsentwurfs durch das Bundeskabinett noch verzögert. Bürgerrechtler, Medienorganisationen und Verbände der Digitalbranche laufen seit Monaten Sturm gegen die tief in die Grundrechte einschneidende Initiative. Unterdessen taugt der Staatstrojaner nicht unbedingt als alltägliches Ermittlungswerkzeug. Seit drei Jahren dürfen Ermittler Software auf technischen Geräten installieren, erklärt der Berliner Oberstaatsanwalt Ralph Knispel.

Wir stimmen dagegen …….. und Sie?

WLAN-Router im Visier von Hackern

WLAN-Router im Visier von Hackern

Die Angriffe auf WLAN-Router nehmen drastisch zu, während viel mehr Nutzer auf sichere Router im Homeoffice angewiesen sind. Aktuell greifen Kriminelle viel mehr Home-Router an als je zuvor, wie aus einer Studie des Antiviren-Herstellers Trend Micro hervorgeht. Zwischen September und Dezember 2019 hat sich die Zahl fast verzehnfacht, nämlich von 23 auf 249 Millionen unberechtigte Login-Versuche. Allein im März dieses Jahres registrierte das Unternehmen fast 194 Millionen solcher Angriffe. Die Sicherheitsforscher gehen davon aus, dass mit der Verlagerung von Firmendaten in Heimnetzwerke solche Attacken für Kriminelle weit lukrativer werden. Die aktuelle Angriffswelle führen anscheinend Profis, die Brute-Force-Verfahren skriptgesteuert anwenden, um Zugangsdaten diverser Internet-of-Things-Geräte zu knacken. Home-Router stehen auf Grund ihrer zentralen Lage im Netzwerk der Opfer im Visier der Angreifer: Der Router ist das erste Gerät des Heimnetzes, das aus dem Internet ansprechbar ist. Er eignet sich zudem als Brückenkopf für weitere Angriffe auf IoT-Geräte dahinter. Ziel der Angreifer ist es, die Geräte in ein Botnetz einzuspannen, um damit etwa DDoS-Angriffe auf Firmen-Websites zu führen.

Firmware oft veraltet

Dass Home-Router immer mehr in den Fokus professioneller Angreifer rücken, könnte daran liegen, dass es um die Sicherheit solcher Geräte anhaltend schlecht bestellt ist. So hat zum Beispiel das Fraunhofer-Institut für Kommunikation, Informationsverarbeitung und Ergonomie (FKIE) die Firmware von 127 nicht näher genannten Home-Routern der Hersteller Asus, AVM, D-Link, Linksys, Netgear, TP-Link und Zyxel auf Sicherheitslücken abgeklopft. Huawei-Router haben die Forscher nicht untersucht, da der Hersteller keine Firmware-Dateien auf seiner Website bereitstellt. Aus gleichem Grund hat Fraunhofer auch die verbreiteten Provider-Router nicht berücksichtigt.

Das Ergebnis dieser Teiluntersuchung ist ernüchternd: Viele Hersteller entwickeln gar keine Sicherheitsupdates für ihre Geräte, sodass Informationen über viele alte Router-Schwachstellen lange im Umlauf sind. Die Fraunhofer-Forscher hatten die Firmware der Router mittels eigener Methoden automatischen Tests unterzogen und so ermittelt, von wann der darin enthaltene Linux-Kernel stammt. Zudem haben die Forscher untersucht, ob gängige Exploit-Schutzmaßnahmen umgesetzt sind und ob Sicherheitsprobleme wie voreingestellte Passwörter vorhanden waren.

Für 22 der 127 getesteten Geräte sind seit zwei Jahren gar keine frischen Firmware-Updates erhältlich. Mehr als ein Drittel der Gerätefirmware basiert auf Linux-Kernelversionen, die seit mindestens neun Jahren keine Sicherheitsupdates erhalten. Die Firmware eines Linksys-Geräts gründet gar auf einem knapp 18 Jahre alten Linux-Kernel. Das Bild setzt sich bei den Exploit-Abwehrmaßnahmen fort: Auch hier könnten die Hersteller viel mehr tun, um ihre Router sicherer zu machen. Immerhin schnitten die AVM-Router mit Abstand am besten ab, ASUS und Netgear konnten ebenfalls ein paar lobende Worte der Tester verbuchen.

BSI will mehr Sicherheit

Dass die vielfältigen Sicherheitslücken in Home-Routern gestopft werden müssen, hat auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) erkannt und Anfang Juli eine neue Prüfspezifikation für Router im Endkundenbereich veröffentlicht. Auf dieser Basis sollen Hersteller, Prüfer und „andere Interessierte“ die Sicherheit von Home-Routern untersuchen können. Laut BSI will man so Testergebnisse vergleichbar machen, damit das Home-Router-Angebot insgesamt sicherer wird. Anhand der neuen Prüfspezifikation lassen sich Router im Rahmen der vom BSI gegen Ende 2018 veröffentlichten technischen Richtlinie für Home-Router-Sicherheit auch zertifizieren. Bleibt zu hoffen, dass die Prüfkriterien dazu führen, dass IT Unternehmen ihre Kunden künftig die Sicherheit von Routern verbessern können und dadurch die Sicherheit überhaupt ein wichtiges Kaufkriterium wird.

Cookies und Bestandsdatenauskunft

Datenschutz: Einheitliche Regeln zu Cookies und Bestandsdatenauskunft geplant

Das Wirtschaftsministerium will mit einem Gesetzentwurf für ePrivacy gegen versteckte Mikrofone und Kameras sowie standortbasierte Werbung vorgehen. Das Bundeswirtschaftsministerium beabsichtigt, Vorschriften rund um die Privatsphäre für Online-Dienste inklusive Messenger aus der Datenschutzgrundverordnung (DSGVO), dem Telemediengesetz (TMG) und dem Telekommunikationsgesetz (TKG) zu vereinheitlichen. Ziel des „Telekommunikations-Telemedien-Datenschutz-Gesetzes“ (TTDSG) ist es, die verschiedenen Bestimmungen in einem „wirksamen und handhabungsfreundlichen“ Rahmen zusammenzuführen. Das Bundeswirtschaftsministerium von Peter Altmaier (CDU) hat in dem geleakten Referentenentwurf vor allem „die in vielen Fällen erforderliche Einwilligung in die Verarbeitung von Verkehrs- und Standortdaten oder in das Speichern und Abrufen von Informationen auf Endeinrichtungen der Endnutzer“ im Blick. So sollen erstmals die EU-Vorgaben zu Cookies aus der 2009 überarbeiteten EU-Richtlinie zum Datenschutz in der elektronischen Kommunikation im Lichte der DSGVO in nationales Recht umgesetzt werden. Die Bundesregierung hatte dies bislang nicht für nötig gehalten.

Gegen Cookie-Klick-Arien

„Das Speichern von Informationen auf Endeinrichtungen des Endnutzers oder der Zugriff auf Informationen, die bereits in seinen Endeinrichtungen des Endnutzers gespeichert sind, ist nur erlaubt“, wenn der Endnutzer darüber im Einklang mit der DSGVO „informiert wurde und er eingewilligt hat“, heißt es in Paragraf 9. Dies gelte nicht, wenn das entsprechende Setzen von Cookies „technisch erforderlich ist“, um eine Kommunikation elektronisch zu übermitteln oder um Telemedien bereitzustellen, „deren Inanspruchnahme vom Endnutzer gewünscht wird“. Als weitere Ausnahmen für ein Opt-in sieht das Ministerium eine ausdrückliche vertragliche Vereinbarung, „um bestimmte Dienstleistungen zu erbringen“, oder gesetzliche Auflagen. Der Endnutzer könne „die Einwilligung auch erklären, in dem er eine dafür vorgesehene Einstellung seines Browsers oder eine andere Anwendung auswählt“. Diese Klausel soll offenbar Cookie-Klick-Arien eindämmen, die viele Nutzer nerven. Sie ist allerdings auch schon in der grundlegenden ePrivacy-Richtlinie enthalten und entfaltete darüber keine große Wirkung.

Parallel hat die Bundesregierung auf Ebene des EU-Ministerrats eine Initiative gestartet, um die seit Längerem geplante, aber schon für tot erklärte ePrivacy-Verordnung als Update für die bestehende, in die Jahre gekommene Richtlinie doch noch beschlussreif zu machen. Dabei regt sie etwa an, dass werbefinanzierten Nachrichtenseiten das webseiten- und geräteübergreifende Tracking der Nutzer ohne deren Einwilligung und ohne weitere Schutzvorkehrungen erlaubt sein sollte. Im TTDSG-Entwurf ist davon noch keine Rede. Vielmehr will das Wirtschaftsressort darüber das „Do not Track“-Verfahren stärken.
„Neben Browsereinstellungen sind auch Online-Verfahren zum Einwilligungsmanagement – etwa über Datentreuhänder – denkbar“, ist der Begründung zu entnehmen. Zu berücksichtigen seien zudem neue Entwicklungen wie das Internet der Dinge mit Geräten wie intelligenten Stromzählern, die zunehmende Maschine-Maschine-Kommunikation und Künstliche Intelligenz (KI). Auf Basis eines einschlägigen Urteils des Europäischen Gerichtshofs müssten zudem gewisse „Anforderungen an die Wirksamkeit der Einwilligung“ einbezogen werden.

Anonymisierte Standortdaten

Sofern der Dienste-Anbieter Standortdaten von Nutzern verarbeitet, die etwa zum Weiterleiten einer Nachricht über ein elektronisches Kommunikationsnetz nicht nötig seien, sollen diese laut Paragraf 14 ohne Plazet des Betroffenen nur verarbeitet werden, soweit und solange dies erforderlich ist, um Services mit Zusatznutzen bereitzustellen. Die Geo-Informationen müssen zudem anonymisiert werden. Der Handy-Nutzer ist zudem per „Textmitteilung an das Endgerät“ darüber zu informieren, dass sein Aufenthaltsort ermittelt wurde. Das Regime für Geodaten für Telemediendienste werde damit deutlich strenger, kommentiert der Cottbusser Rechtsanwalt Jannik Krone: „Standortbasierte Werbung ist dann in Deutschland bei allen Apps mit Nachrichtenfunktion tot.“ Generell soll es beim Ansatz aus dem TMG bleiben, wonach der Dienste-Anbieter „die Nutzung von Telemedien und ihre Bezahlung anonym oder unter Pseudonym zu ermöglichen“ hat, „soweit dies technisch möglich und zumutbar ist“.