Die niederländische Verteidigungsministerin Ank Bijleveld (Bielefeld? Die gibt’s doch gar nicht!) wollte medial beweisen, daß sie auch während der coranabedingten Wohnhaftquarantäne voll bei der Sache ist und ließ sich bei einer geheimen Video-Sitzung mit den EU-Verteidigungsministern am heimischen Schreibtisch für einen Tweet fotografieren. Nur leider vergaß sie vorher den Brief mit den Zugangsdaten vom Schreibtisch zu entfernen, denn darauf waren fünf der sechs Ziffern der PIN zu erkennen. Nach einem Hinweis ist es daraufhin in einem bravourösen Akt europäischen Hackertums dem niederländischen Journalisten Daniel Verlaan völlig überraschend gelungen die fehlende sechste Ziffer der PIN zu ermitteln und am — dann nicht mehr so ganz geheimen — Treffen teilzunehmen. Das niederländische Verteidigungsministerium sprach von einem „dummen Fehler“, menschliches Versagen Nr. 1, gemeint war allerdings das Foto mit den inkriminierenden Daten, menschliches Versagen Nr. 2. Weiterlesen
Tag Archiv für Sicherheit
Menschliches Versagen?
Endlich sichere Weihnachtsmärkte
Es weihnachtet gar sehr! Auch das in trübem Grau versinkende Berlin bereitet sich auf die Weinachtszeit vor. Noch bis vor einigen Jahren herrschte Land auf Land ab, wie sich Viele sicherlich noch erinnern können, gähnende Leere auf den Weihnachtsmärkten. Es wahr einfach zu gefährlich, ein unbeschwerter Gang über diese völlig unbewehrten Märkte war einfach nicht möglich. Doch die Zeiten haben sich geändert, die Kriminalität hat einen Tiefstand erreicht — sagt die Regierung — und jetzt könne man auch letzten verbliebenen Schutzlücken schließen. Weiterlesen
Niederländischer Inlandsgeheimdienst hört Rechtsanwälte ab
Stück für Stück vervollständigt sich das Bild der sich nicht an rechtstaatliche Prinzipien gebunden fühlenden Geheimdienste in den sogenannten westlichen Demokratien. Nun ist öffentlich geworden, daß der niederländische Inlandsgeheimdienst AIVD (Algemene Inlichtingen- en Veiligheidsdienst) gezielt Rechtsanwälte abhört.
Jeder Rechtsanwalt und andere (berufliche) Geheimnisträger die heute noch Dienste über das Internet offerieren ohne einen Schlüssel (PGP, S/MIME) für eine sichere Kommunikation anzubieten, handeln grob fahrlässig, gegen die Interessen ihres Mandanten und müssen sich dem Vorwurf des mutwilligen Mandantenverrats gefallen lassen, da sie eine grobe Verletzung ihrer Fürsorgepflicht begehen. Das rechtswidrige Handeln von Geheimdiensten gehört zwar ebenfalls unterbunden, was jedoch immer nur national erfolgt, kann aber nicht zur Entlastung der Berufsgeheimnistäger beitragen, da sie von der Abhörpraxis Kenntnis haben, jedoch keinen Versuch unternehmen die Kommunikation mit ihren Mandanen adäquat zu schützen.
Zum Thema hier im Blog:
Die Verschlüsselungskompetenz der Abgeordneten
Die FAZ hat mal bei den Abgeordneten nachgefragt, wie sie’s mit der Verschlüsselung halten.[1, 2] Das Endergebnis ist ernüchternd, aber nicht überraschend. Etliche Aussagen von Abgeordneten sind bezeichnend dafür, daß sie das Problem überhaupt nicht verstanden haben. „Ich gehe davon aus, dass alle von meinem Bundestags-Account verschickten E-Mails geschützt sind.“ so Dagmar Enkelmann (Die Linke), wohingegen Enak Ferlemann (CDU) seine e-Mails, man höre und staune, „nach den Vorschriften des Bundesdatenschutzgesetzes“ verschlüsselt.[2] Inkompentenz an allen Ecken. Diese Leute werden nicht in der Lage sein, die NSA-Spionageaffäre aufzuklären, denn dazu muss man wenigstens näherungsweise wissen worum es geht. Schlimmer noch erscheint mir jedoch, daß Einige ihre Funktion als Abgeordnete nicht verstanden haben. Weiterlesen
Rechtsanwälte im Internet
Ich hatte in den letzten Monaten, bereits lange vor der Snowden-Affäre, viel Kontakt mit Rechtsanwälten. Neben der Suche nach geeigneten Kanzleien kam es dabei auch zu, über den Erstkontakt hinausgehender, Korrespondenz, die unter Anderem per e-Mail geführt wurde. Einige Anwälte bevorzug(t)en sogar ausdrücklich die Abwicklung per e-Mail, auch gegenüber dem Telefon, da sie schwer erreichbar sind. Schon damals ist mir aufgefallen, daß zwar fast jede Kanzlei im WWW vertreten ist, aber die Allerwenigsten einen Hinweis auf die Möglichkeit einer verschlüsselten Kontaktaufnahme bieten (weder auf der Webseite, noch in den Mailsignaturen). Gerade bei RA sollte man eigentlich ein höheres Sicherheitsbewusstsein erwarten. Selbst wenn die Leistung vom Klienten nicht aktiv nachgefragt wird, müsste ein RA spätestens bei der ersten Mailantwort seinem Mandanten die Möglichkeit zumindest anbieten. Weiterlesen
Können die Geheimdienste SSH und PGP entschlüsseln?
Mitte Juni behauptete Edward Snowden in einem Chat mit Lesern des „The Guardian“ (Edward Snowden: NSA whistleblower answers reader questions), daß Verschlüsselung tatsächlich schützt. Weiterlesen
Alle hören ab, nicht nur die NSA
Wenn die Angelegenheit nicht so ernst wäre, könnte man sich prächtig amüsieren, denn allmählich gerät die Abhöraffäre um Prism durch ihre offen dargestellte Scheinheiligkeit, Inkompetenz und Lügerei zu einer Farce.
Zunächst verwundert der Aufschrei über Prism doch etwas, zumindest für denjenigen für den das Internet kein Neuland (s.u.) ist. Bereits vor Jahren, noch weit vor den Anschlägen vom 11.9 in New York, war bekannt, daß die Geheimdienste mithören. Damals war es eine Zeitlang Mode unter e-Mails und Usenet-Beiträge eine bunte Liste von Wörtern anzuhängen, auf die die Filter der Spitzel anspringen sollten. Die wohl eher naive Idee dahinter war, die Dienste derart mit Daten einzudecken, daß sie in ihrer Auswertung nicht hinterherkamen. Mit der Aufdeckung von Prism wurde übrigens versucht die Idee für einen Tag wiederzubeleben: Troll the NSA. In Anbetracht der politischen Entwicklung — George Bush, die Anschläge in New York, Guantánamo, Afghanistankrieg etc. — war nie die Annahme gerechtfertigt, die Dienste könnten weniger lauschen. Sich also jetzt über Prism derart zu echauffieren zeugt dann doch Vergesslichkeit. Vielleicht hilft es aber wenigstens die Überwachung wieder in die Köpfe der Wähler zurückzubringen. Weiterlesen
Der E-Postbrief mit Ende-zu-Ende-Verschlüsselung — Sicher?
In einer Presseerklärung bewirbt die Deutsche Post ihren e-Postbrief jetzt für Berufsgruppen, die einem Berufsgeheimnis unterliegen, wie Rechtsanwälte, Ärzte etc. Ermöglicht werden soll dies durch eine Ende-zu-Ende-Verschlüsselung der elektronischen Kommunikation, wobei der Verschlüsselungsvorgang selbst direkt im Browser abläuft. Weiterlesen
Filehoster Mega: Sicherheit aus Anwendersicht
Der erste Ansturm auf den neuen Filesharingdienst Mega von Kim Schmitz alias Kim Dotcom hat sich gelegt und Alltag macht sich breit. Eines der Hauptwerbeargumente von Mega („The Privacy Company“) ist seine Sicherheit mittels durchgängiger Verschlüsselung. Abseits der rein technisch-mathematischen, aber wichtigen Diskussion (Antwort von Mega) zur Sicherheit der verwendeten Algorithmen und deren Implementation bleiben prinzipielle Schwachstellen im System, deren Behebung unweigerlich auf Kosten der universellen Nutzbarkeit und Einfachheit gehen würde, was wiederum die Masse der Anwender abschrecken würde. Weiterlesen
Führungskräfte gefährden IT-Sicherheit
Die Firma Easynet hat vor ein paar Tagen unter dem Titel „Don’t blame Generation Y for applications on the network“ die Ergebnisse einer Befragung zur IT-Sicherheit vorgestellt.
The global study of 182 CIO and IT Directors from the UK, France, Belgium, Netherlands, Spain and Italy explored the key priorities for businesses in terms of apps and business processes and attitudes towards the cloud.
Eine Studie mit Teilnehmern aus UK, Frankreich, Belgien, den Niederlanden, Spanien und Italien als globale Studie zu bezeichnen klingt nach Graf Bobby, der einen Globus von Österreich-Ungarn erwerben wollte.
Viel bemerkenswerter ist aber das Ergebnis der Befragung: Weiterlesen