Archiv der Kategorie: Datenschutz

Beim Umgang mit dem chinesischen Technologiekonzern Huawei ziehen die Bundestagsfraktionen nun überraschend an einem Strang. In einem gemeinsamen Beschluss fordern die Fraktionen die Bundesregierung auf, Hersteller vom deutschen Netz auszuschließen, bei denen das Risiko „von staatlicher Einflussnahme ohne rechtsstaatliche Kontrolle, Manipulation oder Spionage besteht“.

Heißt das jetzt, der Einfluss der US-Konzerne, die allesamt dem „Patriot Act“ unterliegen, das die totale Überwachung durch die US-Geheimdienste besagt, wird jetzt radikal beschnitten?

Nein, da leckt man lieber Stiefel. Es geht gegen China, das den USA als Weltmacht in die Suppe spuckt.

Delete Facebook

Der US-Internetgigant Facebook hat die Massenüberwachung aller WhatsApp-Inhalte beschlossen und führt bei der Gelegenheit gleich noch eine Zensur mit ein (1). Dies berichtete das US-Wirtschaftsmagazin Forbes (2). Der Bruch der Privatsphäre ist allumfassend, Kryptografie wird ignoriert: Betroffen sind auch die verschlüsselte Kommunikation und sonstige Inhalte. Die abgehörten Daten wandern, wie bei den US-Giganten üblich — da gesetzlich vorgeschrieben — auch an die US-Behörden, die ein Treiber dieser „Innovation“ sein dürften.

Facebook will bei den Überwachungs- und Zensurmaßnahmen direkt in den Kommunikationsanwendungen ansetzen — vor allem bei WhatsApp. Dadurch entfällt für die US-Behörden — wie auch für Facebook — das aufwendige Suchen nach Sicherheitslücken in Geräten und Software, die es erlauben, Schadcodes oder eben Überwachungssoftware einzuschleusen. Zudem werden Sicherheitslücken in der Regel nach einiger Zeit gepatcht. Letzteres ist nun nicht mehr relevant und damit auch keine Hilfe mehr, da die neue Vorgehensweise eine völlig andere ist.

In dem Forbes-Bericht des AI- und Big-Data-Spezialisten Kalev Leetaru mit dem Titel „Die Verschlüsselungsdebatte ist vorbei — Tot in den Händen von Facebook“ heißt es unter anderem zu dem Vorstoß des US-Internetkonzerns (1):

„Historisch war das Kompromittieren von Endgeräten ein teurer und komplexer Prozess, getrieben von einem Katz- und Maus-Spiel mit Hardware- und Software-Herstellern, um Schwachstellen zu finden, die genutzt werden konnten, um sie (Überwachungs- und Schadprogramme, Anmerkung des Übersetzers) aus der Ferne zu installieren und die notwendigen Privilegien auf dem Gerät zu erhalten.

Solche Versuche sind schwer zu skalieren, und je mehr Geräte infiziert sind, desto wahrscheinlicher ist es, dass die Schwachstelle entdeckt und gepatcht wird.

Als Problemlösung stellte Facebook Anfang des Jahres erste Ergebnisse seiner Bemühungen, eine globale Massenüberwachungsinfrastruktur direkt auf die Geräte der Nutzer zu bringen, wo diese die Schutzmechanismen einer Ende-zu-Ende-Verschlüsselung umgehen kann, vor.

In Facebooks Vision soll der tatsächliche Ende-zu-Ende-Verschlüsselungsclient — wie WhatsApp — eingebettete Content-Moderation und Blacklist-Filteralgorithmen enthalten. Diese Algorithmen werden kontinuierlich von einem zentralen Cloud-Service upgedatet, die aber lokal auf dem Gerät des Nutzers laufen. Sie scannen jede Klartext-Nachricht, bevor sie gesendet wird und jede verschlüsselte Nachricht, nachdem sie entschlüsselt wurde.

Das Unternehmen wies sogar darauf hin, dass es, wenn es Verstöße (von Facebook oder den Behörden definierte Inhalte, Anmerkung des Übersetzers) entdeckt, eine Kopie des zuvor verschlüsselten Inhalts unbemerkt kopieren und zu zentralen Servern für eine weitere Analyse senden wird, auch wenn der Nutzer dem widersprochen hat — was es zu einem richtigen Telekommunikationsüberwachungsdienst macht.“

Der Forbes-Artikel spricht in diesem Zusammenhang von „maschinenbasierter Überwachung von Milliarden Nutzern gleichzeitig“. Die Ausweitung der Überwachung auf andere Apps und das ganze Telefon — „Smartphone“ — kommt dann mit an Sicherheit grenzender Wahrscheinlichkeit als nächster Schritt, so die Prognose des Forbes-Berichts:

„Während sich einige Telefonhersteller davon distanzieren konnten, indem sie maßgeschneiderte Telefone samt Betriebssystemen anbieten, die ein solches Scanning nicht beinhalten, werden solche Geräte wahrscheinlich selten sein — nur benutzt von denen, die gewillt sind, weite Wege zu gehen, um der Überwachung durch die Regierung zu entgehen, und so automatisch große Aufmerksamkeit auf sich zu ziehen. Es ist wahrscheinlich, dass viele Regierungen mit der Zeit einfach Gesetze verabschieden, welche den Besitz und die Nutzung solcher Geräte verbieten, genauso wie viele Gerichtsbarkeiten Geräte verbieten, die Temposündern Strafzettel ersparen wollen.“

Quellen und Anmerkungen:

(1) https://blog.fdik.org/2019-07/s1564510212.html
(2) https://www.forbes.com/sites/kalevleetaru/2019/07/26/the-encryption-debate-is-over-dead-at-the-hands-of-facebook/

+++

Dieser Beitrag erschien am 31.07.2019 bei Rubikon – Magazin für die kritische Masse.

+++

Danke an den Autor für das Recht zur Veröffentlichung.

Sichere eMail gegen Überwachungswahn

Empfehle Tutanota & kämpfe mit uns für Privatsphäre!

Unser Ziel mit Tutanota ist es nicht den Profit zu maximieren oder Investoren zufrieden zu stellen. Wir entwickeln Tutanota um die Massenüberwachung zu bekämpfen und das Scannen deiner privaten Daten durch Internetkonzerne zu verhindern. Deshalb investieren wir alle unsere Einnahmen in unser stetig wachsendes Team von Entwicklern. Für Werbung geben wir keinen Cent aus. Statt dessen möchten wir dich bitten, die Wichtigkeit von Privatsphäre weiterzutragen. Hilf deinen Freunden das Internet ohne Google & Co zu nutzen, indem du uns auf Social Media folgst und unsere Beiträge teilst. Hier ist ein Best-of, das du direkt an deine Freunde weitergeben kannst:

How to Leave Google Behind: Quick Guide to Take Back Your Privacy Online.

Why should I use Tutanota instead of Gmail?

Tutanota – a secure and anonymous email service.

Tausen Dank für deine Unterstützung & liebe Grüße,
dein Tutanota Team

Folge uns, um stets die neuesten Updates von Tutanota zu erhalten:

Tutanota bei Twitter
Tutanota bei Reddit
Tutanota bei Instagram
Tutanota bei Facebook
Tutanota bei Mastodon
Tutanota bei Google+

Hybrid-Apps als Einfallstor für Angriffe auf Unternehmen

Oliver Küch, Presse- und Öffentlichkeitsarbeit des Fraunhofer-Institut für Sichere Informationstechnologie SIT, teilte am 6. Oktober mit:

Immer mehr Hybrid-Apps im Einsatz – diese bringen Risiken der Webtechnologie auf Unternehmens-Smartphones. Die Experten für mobile Sicherheit des Fraunhofer-Instituts für Sichere Informationstechnologie SIT zeigen die App-Testlösung „Appicaptor“ und neue Untersuchungsergebnisse zu App-Sicherheit vom 10. bis 12. Oktober auf der it-sa in Nürnberg (Halle 9 Stand 410).

Viele, auch seriöse, mobile Apps haben schwerwiegende Sicherheitslücken in der Programmierung, die Angreifer ausnutzen und somit große Schäden für Unternehmen anrichten können. Besonders anfällig für Angriffe sind Hybrid-Apps, die auf unterschiedlichen mobilen Betriebssystemen laufen. Das ist das Ergebnis des neuen Appicaptor Security Index des Fraunhofer SIT, der sich dieses Jahr besonders auf die Sicherheitsanalyse der Hybrid-Apps konzentriert.
Plattformübergreifende, also Hybrid-Apps, nutzen Webtechnologien wie HTML und JavaScript. Damit importieren sie auch die Sicherheitsnachteile dieser Technologien vom Browser in die Apps – wo sie ungleich gravierendere Schäden für Unternehmen anrichten können, da durch die App-Schnittstellen zum Betriebssystem auch weitere Unternehmensdaten und Sensoren aus dem Smartphone angreifbar werden. „Hybrid-Apps sind aufgrund des fehlenden Integritätsschutzes der Anwendungslogik für den Unternehmenseinsatz besonders kritisch zu sehen“, sagt Dr. Jens Heider, Leiter des Testlabors für mobile Sicherheit am Fraunhofer SIT. Allerdings sind diese Apps bei Entwicklern sehr beliebt, da eine Anwendung nur einmal programmiert werden muss und dann plattformübergreifend läuft, was Zeit und Kosten sparen soll. „Wir haben eine Zunahme an verwundbaren Hybrid-Apps in den unterschiedlichen App-Stores festgestellt“, sagt Jens Heider.
Darüber hinaus wird eine Untersuchung dieser Apps erschwert, da ein Mix aus JavaScript und nativem Code genutzt wird. „Gerade Schwächen von JavaScript-Code werden bei vielen App-Analysen häufig nicht ausreichend berücksichtigt.“, erklärt Jens Heider. Hier haben die Fraunhofer-Forscher ihre Analysemethoden erweitert und so angepasst, dass auch Hybrid-Apps automatisiert untersucht werden können.
Laut dem Appicaptor Security Index ist es zudem auffällig, dass Hybrid-App-Entwickler überwiegend auf die Nutzung bestehender Schutzmaßnahmen in ihren Apps verzichten und Bibliotheken mit bekannten Sicherheitslücken einsetzen – sei es aus Zeitdruck oder Unkenntnis.
Die Fraunhofer-Sicherheitsforscher haben jeweils die 2000 Top-Apps für die mobilen Betriebssysteme Android und iOS automatisiert untersucht. „Smartphone-Nutzer, die Apps mit einer schlechten Sicherheitsqualität nutzen, können über Schwachstellen dieser Apps Opfer von Angriffen Dritter werden, ohne explizite App-Malware installiert zu haben.“, erklärt Jens Heider. Dabei können Angreifer gravierende Schäden anrichten, je nachdem, über welche Berechtigungen die anfällige App verfügt: „Hat eine App etwa Zugriff auf Mikrofon und Dateisystem, kann eine seriöse Nachrichten-App zu einer Wanze umfunktioniert werden“. Unter Android kann ein Angreifer in diesem Fall auch unbemerkt Inhalte wie interne Fotos oder vertrauliche PDF-Dokumente aus dem (externen) Dateisystem auslesen und in einen Cloud-Speicher des Angreifers kopieren. Laut Appicaptor Security Index sind zudem mehr als 70 Prozent der Apps zur Verwaltung von Dokumenten und Dateien nicht sicher genug, um in Unternehmen eingesetzt zu werden. So sind beispielsweise übermittelte oder gespeicherte Daten nicht hinreichend gegen den unbefugten Zugriff durch Dritte geschützt.
Auf der it-sa zeigen die Fraunhofer-Wissenschaftler die App-Testlösung Appicaptor, mit der sie die Apps untersucht haben. Appicaptor scannt automatisch große Mengen von beliebigen iOS- und Android-Apps, untersucht sie auf IT-Sicherheit und Einhaltung von Datenschutzvorgaben und bewertet, ob sie für den Unternehmens- oder Behördeneinsatz geeignet sind oder nicht. Dabei arbeitet Appicaptor wahlweise mit Standardregeln oder gibt Empfehlungen entsprechend den individuellen Sicherheitsvorgaben und -anforderungen. Die Tests können automatisch wöchentlich wiederholt werden, sodass auch Änderungen bei sehr häufig aktualisierten Apps stets berücksichtigt werden können.
Das Fraunhofer SIT zeigt auf der it-sa außerdem Lösungen für mehr IT-Sicherheit in der digitalisierten Industrie sowie die „Volksverschlüsselung“, eine einfache Verschlüsselungshilfe für jedermann.

Weitere Informationen:
http://www.sit.fraunhofer.de/it-sa2017 Fraunhofer SIT-Auftritt auf der it-sa 2017
http://www.sit.fraunhofer.de/securityindex2017 Appicaptor Security Index 2017:
http://www.appicaptor.de mehr Informationen zu Appicaptor

Der Yahoo-Obama-Regime-Skandal

Aus dem Startmail Blog » Wie sich der Yahoo-Hack auch auf Sie auswirkt.

Im Jahr 2015 erlaubte Yahoo einer US-Regierungsbehörde ein Spionage-Tool auf seinem System zu installieren, damit Agenten heimlich eingehende E-Mails lesen konnten. So können Sie sich schützen.

Der Yahoo-Hack ist aus mehreren Gründen schockierend:
•    Die US-Regierung kann jede eingehende E-Mail von Yahoo- UND Nicht-Yahoo-Kunden lesen, unabhängig davon, ob sie eines Vergehens verdächtigt werden.
•    Das Spionage-Tool war eigentlich eher eine Schadsoftware, die nicht nur der Regierung, sondern auch Hackern ungehinderten Zugang zu den Benutzerkonten erlaubte.
•    Das wurde durch eine Yahoo-Sicherheitslücke aus dem Jahr 2014 offengelegt, die größte in der Geschichte. In diesem Fall stahl ein Hacker E-Mail-Adressen, Geburtsdaten, Sicherheitsfragen und sogar Passwörter. Mehr als 500 Millionen Kunden waren dem Risiko des Identitätsdiebstahls ausgesetzt.

Dabei ist der Yahoo-Skandal nur die Spitze des Eisbergs. Aus folgenden Gründen:

Jede US-amerikanische Organisation hat sich den staatlichen Überwachungsanforderungen in Übereinstimmung mit dem Patriot Act zu fügen – und darf per Gesetz kein Wort darüber verlieren, sonst drohen rechtliche Konsequenzen. Wenn Ihr E-Mail-Provider GMail, Outlook oder ein anderer US-basierter E-Mail-Service ist, dann ist es sehr wahrscheinlich, dass eine US-Regierungsbehörde auch Ihre E-Mails im Jahr 2015 gelesen hat, genauso wie E-Mails von Yahoo. Die US-Regierung könnte sogar gerade jetzt Ihre E-Mail-Nachrichten lesen, aber das werden Sie wahrscheinlich nie erfahren.

E-Mails lieber über sichere europäische Dienste wie StartMail versenden!

StartMail hat seinen Sitz den Niederlanden, außerhalb der US-Gerichtsbarkeit, und ist nicht von der US-Massenüberwachung betroffen. Außerdem ist Privatsphäre in den Niederlanden gesetzlich geschützt.

Wir berechnen einen fairen Marktpreis für unsere Leistungen. Das gibt uns die Garantie, dass wir tatsächlich nur für unsere Kunden arbeiten können. Wir müssen keine Rücksicht auf Werbekunden, Unternehmen oder Regierungsbehörden nehmen, da wir uns selbst finanzieren. Und weil wir diesen fairen Preis berechnen, können Sie langfristig auf uns zählen.

Testen Sie StartMail für 3 Monate kostenlos!

Wir bieten sichere private E-Mail-Accounts mit userfreundlichen Features wie One-Click-PGP-Verschlüsselung, sodass nur die Menschen, denen Sie schreiben, Ihre E-Mails lesen können. Aber nehmen Sie uns nicht einfach nur beim Wort:  Finden Sie es selbst heraus.

Es wird Sie sicher freuen, dass StartMail die US-Regierung und neugierige Werbetreibende von Ihrem Posteingang fernhält. Und um Ihnen den Deal zu versüßen, geben wir Ihnen für begrenzte Zeit einen 25%-Rabatt auf ein einjähriges StartMail-Abo (Sie erhalten also 3 Monate gratis). Ihre monatlichen Kosten für E-Mail-Privatsphäre und Ruhe machen damit nur noch rund € 3.- aus. Das ist weniger als Sie für eines dieser hippen Coffee-to-go-Getränke bezahlen.

Darüber hinaus legen wir noch 2 kostenlose einjährige Begleit-Konten drauf, die Sie Freunden oder Familienmitgliedern schenken können.

Melden Sie sich einfach bei StartMail.com an und geben Sie im Feld “Rabatt-Code verwenden” YAHOO ein. Die 25 % Rabatt werden sofort vom Kaufpreis abgezogen.

StartMail verwenden heißt, sich aktiv für mehr Privatsphäre einzusetzen!

Ans Herz gelegt: Browser-Erweiterungen für Datenschutz

Datenschutz ist ein Menschenrecht und muss gegen den Griff der Konzerne genauso verteidigt werden, wie gegen die dreisten Angriffe der Nachrichtendienste NSA, CGHQ, BND, …

Dein Webbrowser ist nicht Dein Freund: Er lässt zu, dass Dein Surf-Verhalten verfolgt wird, während Du Dich durchs Web bewegst, gibt oft persönliche Informationen über Dich preis und ist eine dauernde Wunde endloser Sicherheitsprobleme. Das schreiben die freien Vögel von riseup.net und ich kann nur empfehlen, sich diese Informationen und Tipps genau anzusehen. Das ist kein Zufall sondern Absicht. Entgegen aller markigen Werbesprüche sind Browser-Firmen die Wünsche der Werbeindustrie wichtiger als Deine Privatsphäre und Sicherheit.

So gab es Beispielsweise in den 90-iger Jahren eine riesige Debatte [1] über die Auswirkungen der Cookies von Drittanbietern auf die Privatsphäre. Folge war, dass die offizielle technische Spezifikation für Cookies verlangte [2], dass diese Form von „Überwachungs“-Cookies standardmäßig deaktiviert sein sollte. Was meinst Du, was daraus geworden ist? Fast alle Browser ignorierten diese Anforderung unter dem Druck der Werbe-Firmen [3]. 

2010: Nachdem ein*e Mozilla-Entwickler*in Cookies von Drittanbietern standardmäßig deaktivierte, wurden die Werbetreibenden verdammt wütend und wie es der Zufall so will, befahlen die Mozilla-Geschäftsführer*innen, dass die Änderung sofort rückgängig gemacht werde [4]. Nach diesem Vorfall brachten die Browserfirmen unauffällig einen neuen Cookie-Standard heraus, der es ihnen erlaubte, die Cookies von Drittanbietern standardmäßig zu aktivieren.

Das Cookie-Debakel ist nur eines von vielen Beispielen. Wenn eine der Browser-Firmen Deine Sicherheit und Privatsphäre respektieren würde, würden sie fremde http-Referrer, Flash, Java-Applets, und Cookies von Drittanbietern einfach abschalten. Google hat ein sehr gutes Team für Browser-Sicherheit, aber ihnen sind die Hände gebunden aufgrund politischer Firmenentscheidungen, mit denen Google die Werbeindustrie bei Laune hält.

Alles also ein Trauerspiel. Trotzdem kannst Du Deine Browser-Nutzung ein klein wenig besser und sicherer machen, indem Du Riseups nützlichen Anleitung zu wichtigen Browser-Erweiterungen folgst:

help.riseup.net/en/better-web-browsing

[1] Shah, R. C., & Kesan, J. P. (2009). Recipes for cookies: how institutions shape communication technologies. http://papers.ssrn.com/sol3/papers.cfm?abstract_id=565041

[2] https://tools.ietf.org/html/rfc2109

[3] Bruner, R. E. (1997, May). Advertisers win one in debate over “cookies”: Netscape move may settle sites concern over controversial targeting tool http://adage.com/article/news/advertisers-win-debate-cookies/405/

[4] Soghoian, C. (2010). Thoughts on Mozilla and Privacy. http://paranoia.dubfire.net/2010/12/thoughts-on-mozilla-and-privacy.html

 

Unsere Geräte laufen nicht allein durch Glückwünsche

Wir haben es versucht, aber wir können den Laden hier nicht nur durch guten Willen zusammenhalten. Stattdessen verwandeln wir Geld in Server und Elektrizität und Arbeit und Bandbreite. Zusammen halten diese Dinge unseren kleinen magischen Winkel des Internets aufrecht, in dem die Parole digitale Gerechtigkeit lautet und nicht Big Data.

Wenn Du denkst, es sei wichtig, dass es Alternativen wie Riseup gibt, dann nimm etwas Geld in die Hand und spende noch heute: https://riseup.net/de/spenden

In solidarity,

The Riseup Birds7