Starker Service. 7 Tage 24 Stunden für Sie da.


Ich warte seit 2 Wochen auf den Kontozugang habt entsprechend die Meldeanschrift im Banking geändert und Hab auch die großen Filialen von Wells Fargo.

Soundtrack Plus, und we ll die unheimliche play the first Erzählstimme track from our der FM4 jungen Christmas Frau saugen Tapes - a collection einen in die of melancholische handpicked alternative Welt von songs Trauma, for the das silly eigentlich season.

Android: Clevere E-Mail-Apps mit vielen Funktionen

Retail-Investitionen in Forex-Markt hat in den letzten Jahren aufgrund der raschen Zunahme der Online-Handelsplattformen und Online-Banking Kontozugang und.

Gerne teilen wir Ihnen die Höhe auch telefonisch mit. Software Banking per FinTS. Mobil, online, per Telefon oder Fax. Bitte wählen Sie ein Thema: Zurück Kredite div', targetSelector: Zurück Girokonto div', targetSelector: Zurück Karten div', targetSelector: Zurück Kontoverwaltung div', targetSelector: Zurück Zahlungsverkehr div', targetSelector: Zurück Depot div', targetSelector: Zurück Handeln div', targetSelector: Zurück Wertpapiere div', targetSelector: Zurück Zugänge div', targetSelector: Zurück Services div', targetSelector: Zurück Karriere div', targetSelector: Zurück Zugangsdaten div', targetSelector: Zurück Weitere Themen div', targetSelector: Die Geldautomatensuche für Deutschland von comdirect finden Sie einfach unter https: Weitere Informationen zur Bargeldversorgung finden Sie unter folgendem Link: Folgende Limits gelten für Ihre comdirect Karten: Kontaktformular Für alle, die lieber schreiben.

Live-Chat Chatten Sie mit uns. PaX existiert noch heute und ist Teil des Grsecurity-Projekts, das einen Kernel-Patch mit zahlreichen zusätzlichen Sicherheitsfunktionen für den Linux-Kernel bereitstellt. Doch das Problem dabei: In vielen Fällen greift diese überhaupt nicht. Klassischerweise können Sprungbefehle in Software auf feste Adressen verweisen.

Damit der Code an beliebige Speicherbereiche geladen werden kann, muss dies bereits bei der Kompilierung berücksichtigt werden. Der gcc-compiler bietet hierfür die Option -fpic pic steht für Position Independent Code , für den Linker muss die Option -pie für Position Independent Executable angegeben werden.

Und genau hier hapert es: Insbesondere auf alten PC-Systemen mit 32 Bit ist das ein Problem, denn hier ist die Zahl der Prozessorregister knapp und für den positionsunabhängigen Code wird ein zusätzliches Register benötigt.

Bei einem Test von uns mit der Codierung eines Videos mit dem Programm ffmpeg betrug der Unterschied etwa 1,5 Prozent. Der Stack- und der Heap-Speicher landen trotzdem an zufälligen Adressen und Bibliotheken werden generell mit positionsunabhängigem Code kompiliert.

Aber für einen wirklichen Schutz reicht das nicht. Insbesondere um vor sogenannten Return-Oriented-Programming-Angriffen zu schützen, ist eine Randomisierung des eigentlichen Programmcodes wichtig. Dabei trat ein unerwartetes Problem auf: Firefox schaltete daraufhin die entsprechende Funktion wieder ab. Der Dateimanager greift zur Erkennung von ausführbaren Dateien auf die Bibliothek libmagic zurück, die Teil des Tools file ist.

Anders als Mozilla liefern diese beiden Browser ein Shellskript zum Starten mit, sie sind somit von dem Problem in den Dateimanagern nicht betroffen. Fedora und Debian aktivieren das Feature nur für einzelne Tools, die als besonders sicherheitskritisch gelten.

Gleiches gilt auch für andere auf Debian basierende Distributionen wie Ubuntu. Mitglieder von Google s Projekt Zero entdeckten beim Versuch, eine Glibc- Sicherheitslücke auszunutzen, dass man zumindest unter Bit-Systemen die Speicherrandomisierung von Suid- Binaries mit Hilfe des Befehls ulimit weitgehend deaktivieren kann. Linux legt zwar den Programmcode an einer zufälligen Stelle im Speicher ab, aber der Hauptprogrammcode und der Code von nachgeladenen Bibliotheken wird immer im selben Abstand abgelegt.

Das bedeutet, dass ein Angreifer, der im Hauptprogramm aufgrund eines Fehlers möglicherweise Kenntnis von einer Speicheradresse erlangt, damit eine Sicherheitslücke in einer Bibliothek ausnutzen kann. Android ist von der offset2lib-schwäche ebenfalls betroffen. Anders als unter gängigen Linux-Distributionen kommt unter Android in aller Regel auch Adressrandomisierung zum Einsatz. Nicht betroffen sind Linux-Systeme, die Pax benutzen. Solange die meisten Linux-Distributionen aber keine Dateien mit positionsunabhängigem Code ausliefern, hilft das alles nicht viel.

Die im September geleakten Nacktbilder von US-Prominenten, die aus dem Online-Speicherdienst icloud gestohlen wurden, zeigen ein weiteres Mal, dass im Netz nichts und niemand sicher ist. Manchmal sind es nur zu einfach gesetzte Passwörter, die es Kriminellen leicht machen, Fotos, Kreditkartendetails oder ganze Identitäten zu stehlen. Ein erklärtes Ziel dieser Internationalen Konferenz ist es, Akademiker, Regierungs- und Wirtschaftsvertreter, sowie die Hacking-Community zusammenzubringen und den Dialog rund um das Thema Sicherheit zu intensivieren, wie Sarah Kriesche berichtet.

Entgegen allen Klischees sorgen sich junge Leute zum Beispiel mehr um die Privatsphäre als ältere. Mariann Unterluggauer war dabei und hat die Anwesenheit von Gästen wie Ben Hayes von Statewatch und Peter Hustinx, ehemals Datenschutzbeauftragter in der Barroso-Kommission, dazu genutzt, um der Frage nachzugehen, warum es so schwer ist, das Bedürfnis der Bevölkerung nach Datenschutz, Privatheit und Kommunikationsfreiheit politisch umzusetzen.

Schon beim Aktivieren werden Informationen an diese Netzwerke übertragen und dort gespeichert. Näheres erfahren Sie durch einen Klick auf das i. Sarah Kriesche Moderation und Redaktion: Und das häufig zu Recht: Webseiten versuchen mit Cookies unser Surf-Verhalten aufzuzeichnen, Fitnessgadgets speichern unseren Körperzustand - und melden ihn weiter.

Sarah Kriesche hat dort einen "ethischen Hacker" zum Interview getroffen. Die Ankündigung von WhatsApp, ihr populäres, aber bis dato kaum gesichertes Chatprogramm künftig zu verschlüsseln, markiert den ersten Höhepunkt eines Trends, der seit Monaten sichtbar ist.

Sichere Protokolle und Methoden, die aus der Hackersphäre stammen und nur von einer Minderheit benutzt wurden, ziehen in weit verbreitete Anwendungen ein. Am Donnerstag wurde mit "Detekt" der erste, auf sogenannte "Staatstrojaner" spezialisierte Virenscanner veröffentlicht. Zur Früherkennung von Angriffen auf Netzwerke generell wird mit der freien "Suricata"-Suite auch ein mächtiges Abwehrinstrument für fortgeschrittene Anwender benutzbar, das sich mit teuren kommerziellen Produkten für Unternehmensnetze messen kann.

Prototypisch für diese Entwicklung steht Cryptocat, das auch als iphone-app und bald auch für Android erhältlich ist. Die Gemeinsamkeiten Diese drei, von ihren Funktionen völlig unterschiedlichen Tools weisen jedoch eine ganze Reihe von Gemeinsamkeiten auf. Zum einen liegt bei allen der Quellcode offen, denn nur dann lässt sich von unabhängiger Seite überprüfen, ob der Code auch wirklich keine Hintertüren enthält.

Zweitens stammen all diese Programme von Entwicklergemeinschaften, die ihre Arbeit über Stiftungen und Spenden finanzieren. TextSecure bietet sicher verschlüsselten Chat sowohl für Androids und iphones und ist aber mit mehreren, anderen Chatprogrammen - etwa Pidgin Windows, Linux oder Adium Mac - kompatibel, die ebenfalls das "Off the Record"-Protokoll beherrschen.

Wie TextSecure hat auch Redphone in allen Sicherheitstests bis dato hervorragend abgeschnitten. Anlass für diese Unkenrufe war, dass die neuen iphones mit Passwortschutz ausgeliefert werden Die eigentliche Macht dieser Programme liegt in der Offenheit ihres Quellcodes begründet. Da die berühmte "Kette der Sicherheit" insgesamt nur so stark ist, wie ihr schwächstes Glied, lässt sie sich nur dann auch lückenlos überprüfen.

Wer diese TextSecure-Server auch betreibt, hat weder eine Möglichkeit, die Konversationen mitzuschneiden, noch kann er Schlüssel an Behörden herausgeben, weil die Schlüssel nicht auf dem Server, sondern auf den Clients der Benutzer gespeichert sind. Dasselbe gilt bald auch für die weltweit auf Millionen geschätzten Nutzer von WhatsApp. Anders als TextSecure ist Suricata kein Tool für Endanwender, vielmehr wurde es für Administratoren entwickelt, die damit Angriffe auf ihr Netz frühzeitig erkennen können.

Die Entwicklung von Suricata wurde bereits vor sieben Jahren begonnen, ein eigenes graphisches Benutzerinterface hatte dabei keine besondere Priorität. Offenbar war das Projekt von den. Dieselbe Suricata-Suite ist allerdings als Tool für die Kommandozeile in allen Linuxdistributionen schon enthalten.

In den Netzen von Geheimdiensten und Militärs gehören solche Softwaretools seit jeher zum Sicherheitsstandard und genau von dort kommt Suricata eigentlich her, von der "dunklen Seite der Macht". Das erscheint paradox, hat aber dennoch einen völlig rationalen Hintergrund. Obendrein hängt der Sicherheitsgrad noch völlig davon ab, wieviele Coder mit entsprechender Erfahrung den Quellcode laufend überprüfen.

Die erste Version von "Detekt" ist ein vergleichsweise einfaches, aber hochspezialisiertes Tool, das eine selektive Zielgruppe bedient. Es richtet sich an Menschen, die wichtige Gründe haben, derartige staatliche Angriffe auf ihre Kommunikation zu befürchten.

Detekt soll in erster Linie Dissidenten und Journalisten schützen, die von Geheimdiensten und politischer Polizei in nichtdemokratischen Staaten angegriffen werden. Die Anzeige selbst stammt von einem britischen Staatsbürger, der aus Bahrain stammt.

Der Zeitpunkt der Veröffentlichung von "Detekt" direkt vor den ersten Wahlen in Bahrain nach dem Volksaufstand von am Samstag war nicht zufällig. Die Zielgruppe von Detekt ist allerdings nicht auf autoritär regierte Staaten wie Bahrain beschränkt. Anfragen von Journalisten nach dem Gesetz zur Informationsfreiheit hatten ergeben, dass eine ganze Reihe britischer Journalisten systematisch und jahrelang in ihrem persönlichen Umfeld bespitzelt wurde. Zum anderen muss man als Supermacht führend dabei sein, weil sich dieser ebenso globale wie mächtige Trend zur quelloffenen sicheren Verschlüsselung ohnehin nicht stoppen lässt.

Prototypisch für diese Entwicklung steht Cryptocat, das auch als iphone- App und bald auch für Android erhältlich ist. Offenbar war das Projekt von den Sponsoren siehe unten zur Integration in eigene Benutzeroberflächen vorgesehen.

Zwei Klicks für mehr Datenschutz: Näheres erfährst Du durch einen Klick auf das i. Problemfelder dabei sieht Neumann gleich an mehreren Orten und über verschiedene Ebenen verteilt.

Ein wesentlicher Punkt ist, dass es für White Hat Hacker einfach nicht lukrativ genug sei, gefundene Sicherheitslücken offen zu legen. Wer eine Schwachstelle entdeckt, kann sie allerdings am Schwarzmarkt um ein Vielfaches verkaufen", bemängelt Neumann. Einen unüberbrückbaren Interessenskonflikt sieht Neumann in der Tatsache, dass IT-Sicherheitsthemen allesamt im Innenministerium angesiedelt sind.

Bis hatte die deutsche Bundesregierung einen Vertrag mit dem französischen Sicherheitsunternehmen Vupen, das auf den Handel mit Zero-Day- Schwachstellen spezialisiert ist.

Ein solches Verhalten signalisiere, dass woanders weit mehr Geld mit dem Aufdecken von Sicherheitslücken zu machen ist, wodurch auch der Handel mit Sicherheitslücken extrem angeheizt wird. Wenn bei Fahrzeugen etwa Probleme mit den Bremsen auftreten, kann es sein, dass die komplette Serie zurückgerufen wird. Bei Software gebe es so etwas nicht. Bis hatte die deutsche Bundesregierung einen Vertrag mit dem französischen Sicherheitsunternehmen Vupen, das auf den Handel mit Zero-Day-Schwachstellen spezialisiert ist.

Neumann kritisiert, dass Vupen-Mitarbeiter etwa bei Bug-Bounty- Events auftreten, Sicherheitslücken zeigen, aber die Schwachstellen weder dokumentieren noch erklären. Wer's nicht glaubt, versuche mal, die Information über eine versehentlich offene Tür an eine Einbrecherbande zu verkaufen.

Und Haftung für Software gibt's generell nicht. Dazu ist Software zu komplex, und auch zu abhängig von anderen Softwarekomponenten, Hardwaresystemen und zu vernetzt. Wo ist nun wirklich die Ursache für einen Schaden, und zu welchem Prozentsatz ist die Softwarelücke schuld?

Diese Frage kann im Normalfall kein Gericht zweifelsfrei beantworten. Ein Auto fährt durch ein Schlagloch; der Reifen platzt. Die Reaktionszeit der Rettung soll so stark verkürzt werden. Textsecure soll als eigenständiges Produkt bestehen bleiben. Eine weitere Zusammenarbeit soll es dennoch geben.

Textsecure-Benutzer sollen auch künftig nicht direkt mit Whatsapp-Nutzern verschlüsselt kommunizieren können. Technisch sei es zwar durchaus möglich, dass die Nutzer beider Messenger direkt kommunizieren könnten, es bestehe aber diesbezüglich von beiden Seiten kein Interesse. Geplant sei jedoch, dass in Whatsapp auch der Gruppenchat künftig verschlüsselt wird.

Die Überraschung bei der Ankündigung, Whatsapp verwende jetzt das von Open Whisper Systems entwickelte Verschlüsselungsprotokoll, sei geplant. Dessen Integration habe bereits vor Monaten begonnen. Die Kryptographie sei aber so gut umgesetzt, dass es niemand gemerkt habe. Es habe keine Fehlermeldung durch Benutzer während der Umstellung gegeben, sagte Corbett. Open Whisper Systems arbeite gerade vornehmlich an der Version von Textsecure in ios.

Wenn sie fertig ist, wird sie in Signal für ios integriert. Für Android wird es auch eine Version von Signal geben. So sei beispielsweise geplant, die ge-.

Bislang ist der Markt der mobilen Messenger sehr zersplittert, in aller Regel sind die verschiedenen Systeme nicht miteinander kompatibel.

Den Versuch, verschiedene Messenger-Systeme miteinander kompatibel zu gestalten, gab es bereits einmal: Neben vielen Fachvorträgen spielen dabei auch grundlegende Themen eine wichtige Rolle. So sei es bezeichnend, dass dieser Bereich üblicherweise in den Innenministerien angesiedelt ist - und damit exakt dort, wo auch massive Anstrengungen unternommen werden, jegliche Computersicherheit zu unterwandern.

Der deutsche Bundesnachrichtendienst hat gerade erst angekündigt, in den kommenden Jahren 4,5 Millionen Euro für Zero-Day-Exploits zu Spionagezwecken ausgeben zu wollen.

Damit werden aber genau jene Kreise finanziert, die solche Lücken aus finanziellen Motiven gezielt zurückhalten. Eine Doppelstrategie in IT-Sicherheitsfragen funktioniere aber schlicht nicht. Wer willentlich Sicherheitslücken in Kauf nehme, um einen Spionagevorteil zu haben, gefährde damit auch die eigene Infrastruktur. Ähnlich verhalte es sich mit Hintertüren wie jene zur "Lawful Interception" bei Telekomunternehmen: Jeder Angreifer wisse, dass es diese gebe, also sei sie ein lohnendes Ziel, da man an einem Punkt garantiert alle Daten bekomme.

Alternativen Dabei könnten Staaten auch ganz anders agieren. Etwa indem mit öffentlichen Geldern Bug Bounties ausgeschrieben werden, um Sicherheitsforschern einen Anreiz zu geben, diese zu melden, anstatt sie gewinnbringend am Schwarzmarkt zu verkaufen.

Immerhin werden aktuell bereits tausende Euros für Zero-Day- Exploits geboten. Immerhin gebe es genügend Personen, die keine bösen Absichten hegen, und lieber auf diesem Weg ihr finanzielles Auskommen finden. Derzeit scheint aber der politische Wille für solche eine proaktive Sicherheitspolitik zu fehlen. Investitionen Zumindest ortet Neumann zarte Fortschritte im Unternehmensbereich.

Aber auch hier gibt es natürlich noch viel Luft nach oben. So sei es bezeichnend, dass dieser Bereich üblicherweise in den Innenministerien angesiedelt ist und damit exakt dort, wo auch massive Anstrengungen unternommen werden, jegliche Computersicherheit zu unterwandern. Der deutsche Bundesnachrichtendienst hat gerade erst angekündigt, in den kommenden Jahren 4,5 Millionen Euro für Zero Day Exploits zu Spionagezwecken ausgeben zu wollen. Immerhin werden aktuell bereits tausende Euros für Zero Day Exploits geboten.

Fehlernder Wille Hohe Preise für Bug Bounties würden zwar zweifellos auch die Preise am Schwarzmarkt steigen lassen, trotzdem zeigt sich der Sicherheitsexperte von den positiven Auswirkungen einer.

Eine Weiterverwendung und Reproduktion über den persönlichen Gebrauch hinaus ist nicht gestattet. Das Thema gehöre breiter diskutiert und an Schulen vermittelt, so ein Vorschlag. Die IT-Security liegt am Boden und kaum jemanden scheint es zu kümmern. Ein Grund für den katastrophalen Zustand der IT-Sicherheitsbranche sei daher, dass meist nur technische Details diskutiert werden, ohne nach langfristigen Lösungen zu suchen.

IT-Security breiter diskutieren "Nur wenn man aus dem rein technischen Eck herauskommt und IT-Security breiter angeht, um psychologische, pädagogische, politische sowie soziologische Gesichtspunkte erweitert und mit Aspekten des Social Engineering verknüpft, kann es gelingen, nachhaltige Konzepte zu erarbeiten", sagte Schumacher. Daher setzt er sich dafür ein, dass IT-Sicherheit endlich auf wissenschaftlicher Ebene, Disziplin übergreifend diskutiert wird.

Es müsste Grundlegendes gelehrt werden, etwa wie Computer und Netzwerke funktionieren und es müssten dringend auch netzpolitische Themen wie Datenschutz und Privacy vermittelt werden. Leider ist diese Veranstaltung noch nie zustande gekommen, da das Interesse der Lehrpersonen einfach nicht vorhanden war. Wie kann man sich solch eine internationale IT-Sicherheitskonferenz vorstellen? Man erhält kompetente Antworten von Experten, gepaart mit Demonstrationen von Schwachstellen, auf die Unternehmen reagieren müssen.

Teile der Inhalte haben ihre Premiere zur DeepSec und wurden bisher noch nicht öffentlich diskutiert. Vor der Konferenz finden zweitägige Workshops statt, in denen Trainer mit den Teilnehmern ausgewählte Inhalte durchgehen. Die Trainings sind nicht nur passive Vorlesungstage sondern Unterricht zum Anfassen und Ausprobieren.

Alle Teilnehmer lernen persönlich betreut an Beispiele aus der realen Welt. An den zwei darauf folgenden Tagen findet die eigentliche Konferenz statt. Über 30 Vorträgen zeigen aktuellen Bedrohungen im Bereich der Informationstechnologie und darüber hinaus. Aktuelle IT News Österreich computerwelt. Wie kann man sich solch eine internationale IT Sicherheitskonferenz vorstellen? Schreiben Sie den ersten Kommentar.

Abonnieren d Disqus deiner Seite hinzufügen Datenschutz. Spezialwaffen, schöne Frauen, schnelle Autos, Flugzeuge, versteckte Kameras und Tonbandgeräte, ein gestählter Körper und alle Psycho-Tricks der Welt sind selbstverständlich inbegriffen. Doch wie sieht das Leben von Agenten und Agentinnen im wirklichen Leben aus? Warum und seit wann gibt es Geheimdienste und wie sind sie organisiert?

Und was leisten sie überhaupt? In den vergangenen Jahren sind aber auch Bilder von Geheimdiensten entstanden, die Menschen aus westlichen Demokratien entführen und in Diktaturen auf Auftrag foltern und verschwinden lassen. Es drängen sich unweigerlich Vergleiche auf zwischen der teils gefürchteten und teils belächelten Stasi der ehemaligen DDR und dem riesigen Überwachungs- und Spionageapparat der heutigen USA.

Können wir sie kontrollieren? Und wie viel "intelligence" liefern sie überhaupt angesichts der Datenflut heutiger elektronischer Kommunikation? Sonja Bettel zur Sendereihe. Sonja Bettel zur Sendereihe Kategorie: Die ist verblüffend einfach, geradlinig und strukturell ganz ähnlich auch in anderen Entwürfen der NSA anzutreffen. Der dafür vorgesehene Blockchiffre-Modus namens "Galois Counter Mode" GCM aber wurde bereits von einem namhaften Kryptografie-Eperten von Microsoft als generell angreifbar bezeichnet und vernichtend kritisiert.

Speziell und eindringlich wurde davor gewarnt, diese Chiffre für Echtzeit-Protokolle einzusetzen, als negatives Praxisbeispiel dafür wurde die Verschlüsselung von Internettelefonie angeführt.

Und das, obwohl mehrere andere Chiffriermodi für diesen Zweck zur Verfügung stehen, die gerade diese Schwächen nicht aufweisen. Das entspricht der darunterliegenden, grundlegenden Methodik der NSA, die potentiell verheerende Wirkung dieser Vorgehensweise wurde von einem internationalen Forscherteam erst Ende März in der Praxis nachgewiesen.

Und stets war mindestens eines dieser Elemente bereits davor in die Kritik der Fachwelt geraten, was die NSA jedoch nicht davon abgehalten hat, "verbesserte" Versionen davon erneut aufs Tapet zu bringen. GCM hat deshalb bei Cloudfm4.

Mit der Qualität, also dem Grad der Zufälligkeit dieser Zahlen, aber steht und fällt jeder Verschlüsselungsvorgang.

Im Rahmen des "Bullrun"-Programms, das gerade unter Netzwerkern für besondere Empörung gesorgt hat, schleusen NSA-nahe Techniker möglichst plausible Erweiterungen in bestehende Verschlüsselungsprotokolle ein, um diese auszuhebeln. Ebenso ist ein Einsatz in rechenschwachen Umgebungen, also "Embedded"-Geräten denkbar. Dafür wurde der Modus nämlich entwickelt. Die Schnelligkeit din diesem Chiffriermodus wird freilich dadurch erzielt, dass Authentifizierung und Verschlüsselung mit einer einzigen Funktion abgewickelt werden.

Anders als etwa beim Cloud-Computing, wo gewaltige Datenmengen ver- und entschlüsselt werden müssen, nehmen sich die bei VoIP-Telefonie anfallenden Daten nachgerade verschwindend aus. Angesichts der Leistungsfähigkeit der Prozessoren in heute gängigen Smartphones falle dieser Gewinn an Performance deshalb in der Praxis überhaupt nicht mehr ins Gewicht, sagte Kafka. Was auf den ersten Blick nur doppelt so viel ist, ergibt bei einer Exponentialrechnung doch deutlich mehr.

Ein solcher Faktor im Trillionenbereich macht dann doch einen gewaltigen Unterschied, wenn angegriffen wird" sagte Kafka. Hier sieht man, unter welchen Druck der weltweit insgesamt recht kleine Kreis von Verschlüsselungsspezialisten durch die NSA geraten ist. Die Forderung nach Absetzung Igoes auf der Mailing-Liste, samt dem Thead mit den Antworten der anderen Techniker Igoe hatte einen Entwurf für ein passwortbasiertes Protokoll zum Schlüsselaustausch namens "Dragonfly" präsentiert, das er als einziger, der in der Forschungsgruppe versammelten Techniker für gut befunden hatte.

Dass vordergründige Konspirationsthesen hier überhaupt nicht greifen, zeigt die Erwähnung McGrews in der. Der Bombardierkäfer in der Wikipedia Der Abwehrmechanismus dieser Laufkäferart besteht darin, zwei jeweils für sich gesehen harmlose Flüssigkeiten getrennt im Körper vorzuhalten.

Wenn sie jedoch vermischt und ausgespritzt werden, erhitzt sich diese Mischung plötzlich auf etwa Grad wobei sie obendrein noch stark ätzend wirkt. Speziell und eindringlich wurde davor gewarnt, diese Chiffre für Echtzeit- Protokolle einzusetzen, als negatives Praxisbeispiel dafür wurde die Verschlüsselung von Internettelefonie angeführt.

Die vorschnelle Annahme, dass sich da Cisco mit der NSA zusammengetan hätte, um sichere Verschlüsselung zu sabotieren, wäre jedoch grundverkehrt. Wie die Praxis in den Arbeitsgruppen der IETF zeigt, wird nicht nur bei kryptografiebezogenen Einreichungen dem jeweiligen Vertschlüsselungsexperten auch ein Spezialist für die Ebene der Protokolle beigestellt. Mit immer mehr Konnektivität steigen auch die Angriffsflächen.

Die Sicherheit spielt bei Herstellern und Kunden kaum eine Rolle. Das Szenario klingt nach einem Agentenfilm: Der Patient kann so getötet werden, ohne dass es jemand im Krankenhaus bemerkt. Reine Fiktion ist das aber nicht. Der Hacker Barnaby Jack manipulierte beispielsweise eine Insulinpumpe so, dass sie die gesamte Dosis auf einmal abgab.

Für einen Patienten wäre das tödlich. Jack nutzte dafür die Funkschnittstelle des Geräts - aus bis zu Meter Entfernung ist das möglich. Der Sicherheitsexperte Kevin Fu experimentierte mit einem Defibrilator, dessen abgehörte Funksignale genutzt werden können, um ihn ein- und auszuschalten. Auch das kann für einen Patienten tödlich sein. Mit zunehmender Konnektivität der diversen medizinischen Geräte erweitere sich auch die Angriffsfläche, sagte Grunow Golem.

Gleichzeitig werde die Gefahr von den Herstellern aber immer weiter unterschätzt. Unsichere Systeme können tödlich sein Zwar stehe die gesundheitliche Sicherheit der Patienten bei Herstellern von medizinischen Geräten weiter an erster Stelle, die Sicherheit ihrer Geräte gerate aber immer mehr ins Abseits, sagte Grunow.

Grunow hält das für berechtigt, wenn auch etwas übertrieben. Zwar müsse ein Angreifer bei vielen Herzschrittmachern fast direkt vor seinem Opfer stehen, um erfolgreich zu sein, denn die Schnittstelle werde durch Induktion aktiviert, um Akkulaufzeit zu sparen. Einmal erfolgreich manipuliert könnte ein fehlkonfigurierter Herzschrittmacher aber tödlich sein.

Auch die IT in Krankenhäusern veraltet laut Grunow immer mehr - eine Gefahr für die sicheren Netzwerke, in denen medizinische Geräte hängen sollten. Hinzu kommen immer mehr Geräte, die von ambulanten Patienten. Gefährdete Patientendaten Seit längerem werden Vitalparameter aus Krankenwagen über GSM an das Krankenhaus übertragen, damit sich die Ärzte vorab ein Bild über den Zustand eines Patienten machen und sich notfalls über Funk beraten können.

Dabei ist das direkte gesundheitliche Sicherheitsrisiko bei Überwachungsgeräten noch relativ gering. Mit ihnen lassen sich aber persönliche Daten eines Patienten abgreifen. Gefährlicher sind da schon die Diagnosegeräte. Immerhin kann ein über das Netzwerk gesteuertes Blutdruckmessgerät so manipuliert werden, dass die Manschette über einen längeren Zeitraum aufgepumpt bleibt und dem Patienten Schmerzen bereiten kann.

Die Software, die die Daten solcher Geräte verarbeite, sei nicht mehr für neue Windows-Versionen aktualisiert worden. Die damals teuren Geräte müssten durch noch teurere, aktuelle ersetzt werden, um solche Angriffsflächen zu vermeiden. Mit Geld, das den Krankenhäusern heute jedoch fehle. Deshalb würden oftmals kostengünstige Geräte angeschafft.

Deren Hardware bestehe meist aus billigen Platinen asiatischer Hersteller, in Serien hergestellt und in leicht variierenden Gehäusen verbaut. Es gebe bereits Patientenmonitore, die einen eingebetteten Webbrowser enthielten - mit Internetzugriff.

Die Geräte haben dann zwei Netzwerkschnittstellen, eine für ein Trusted-Netzwerk, über das Patientendaten an eine zentrale Überwachungsstation laufen, und eine für ein Untrusted-Network für den Zugriff auf das Internet. Viel, zu viel Netzwerk Grunow ist aber davon überzeugt, dass es ein Leichtes sei, durch Hacking Daten von einem Netz zum anderen zu übertragen.

Er habe von Fällen erfahren, bei denen Ärzte neue Maschinen angeschafft und ans Netzwerk angeschlossen hätten, ohne die IT-Abteilung zu informieren. Bei manchen Geräten wundert sich Grunow allerdings, warum sie überhaupt netzwerkfähig sind.

Etwa bei den Narkosegeräten, die den Patienten während einer Operation ja auch am Leben halten. Welche Geräte das sind, will Grunow nicht ver-.

Besonders im Bereich der medizinischen Technik hält Grunow den Grundsatz des "responsible disclosure" für unerlässlich, also eine verantwortungsvolle Veröffentlichung von Sicherheitslücken, um Patienten nicht zu gefährden. Vor allem die Hersteller hätten kaum eine Ahnung, wie viele Angriffsmöglichkeiten solche Geräte böten. Sie seien tatsächlich "Rocket Science", sagte Grunow, hochkomplexe Geräte voller proprietärer Protokolle und Software, die nur sehr schwer zu debuggen sei.

Auch für den Patienten fatale Softwarefehler seien möglich. Die fälschliche Anzeige einer Asystolie, die den Tod eines Patienten bedeute, sei noch einer der harmlosen Fehler. Mitte des Jahres entdeckten Sicherheitsforscher hart-kodierte - also unveränderbare - Passwörter in netzwerkfähigen Infusionspumpen, die bei Operationen eingesetzt werden.

Das Problem sei ein grundlegendes, sagte Grunow: Wir als Patienten vertrauten diesen Geräten ebenso wie die Ärzte. Und die Hersteller stünden unter dem Konkurrenzdruck, immer bessere Geräte mit immer mehr Funktionen herzustellen. Mit der zunehmenden Vernetzung werde auch die Fernüberwachung bei Patienten zu Hause zunehmen. Sofern die Hersteller nicht von den Kunden - den fachkundigen Ärzten - unter Druck gesetzt würden, werde sich kaum was ändern, befürchtet Grunow.

Die Hersteller zeigten sich aber weitgehend wenig kooperativ. Erst wenn etwas furchtbar schieflaufe, seien sie bereit, mit den Sicherheitsexperten zu reden. Grunow sei aber auf die Zusammenarbeit angewiesen. Die Geräte, die er untersuchen wolle, kosteten meist mehrere zehntausend Euro - und seien zudem schwer zu beschaffen.

Sarah Kriesche Bereits zum 7. Das Themenspektrum reicht von der Überwachung durch Geheimdienste, über die Analyse und Bewertung von Datenlecks, bis hin zu Zukunftsszenarien der Informationsgesellschaft.

Ein Bericht von Sarah Kriesche. Es waren erstaunlich viele, die zudem viele Informationen über ihren Besitzer verraten. Bluetooth ist inzwischen in fast jedem mobilen und immobilen Gerät verbaut - und oftmals unbemerkt vom den Besitzern aktiviert. Smartphone-Nutzer telefonieren etwa über Bluetooth-Headsets, und die Entertainmentelektronik in Fahrzeugen sucht nach Bluetooth-Geräten, die sie einbinden kann. Selbst Prothesen haben inzwischen Bluetooth-Schnittstellen.

Tools habe es schon vorher gegeben, sagten sie auf der Sicherheitskonferenz Deepsec in Wien. Allerdings erweiterten sie die von ihnen entwickelte Werkzeugsammlung so, dass die Informationen auch GPS-Daten enthalten.

So entstanden etwa Bewegungsprofile von Menschen, die ihre Mobiltelefone mit aktiviertem Bluetooth nutzten. Mit ihrem Werkzeug könnten Diebe aber auch eine Positionsliste erstellen, etwa von für den Diebstahl lohnenswerten Objekten. Das Fazit der Sicherheitsforscher: Bluetooth überall Etwa in einem Gerät zur Messung der Lungenfunktionen, das viele Patienten mit Asthma mit sich tragen.

Inzwischen werden auch Prothesen mit einer Bluetooth-Schnittstelle versehen. Wiederholte sich beispielsweise der Weg jeden Tag in der Früh zur gleichen Uhrzeit, gingen die Forscher davon aus, dass das Opfer auf dem Weg zur Arbeit war. Bis zu Meter Allerdings ist die Reichweite bei Bluetooth begrenzt. Per Standard definiert liegt der Radius bei etwa zehn Metern.

Das gilt für Bluetooth-Geräte der Klasse 2, die 2,5 mw verbrauchen und einen Leistungspegel von 4 dbm haben. Im Freien können sie aber aus bis zu 50 Metern Entfernung noch erkannt werden. Gegenwärtig liegen Geräte mit Bluetooth der Klasse 3 im Trend. Mit einer Leistungsaufnahme von 1 mw und einem Leistungspegel von 0 dbm sind sie nur für den Einsatz bei kurzen Strecken und in Geräten mit langer Akkulaufzeit gedacht, wie etwa Headsets, Hörgeräten oder Pulsmessern, die beispielsweise ihre Daten an Smartphones weitergeben.

Durchschnittlich liegt deren Reichweite bei etwa einem Meter, maximal sind es zehn. Zunächst besorgten sie sich einen Akku, damit der kleine Rechner auch unterwegs mit Strom versorgt wird. Ein Laptop mit Bluetooth tut es natürlich auch. Die kann dann per Skript ausgewertet werden. Alternativ macht das auch ein Webserver, der die Daten optisch aufbereitet und gleich noch die Position der erfassten Geräte im Kartenmaterial anzeigt.

Es gebe aber auch Hersteller, die. Bluetooth biete als Schnittstelle zahlreiche Möglichkeiten, könne aber auch sehr einfach dazu missbraucht werden, die Privatsphäre zu verletzen.

Vor allem mit der zunehmenden Verbreitung von Bluetooth in medizinischen Geräten steige auch die Gefahr für die Anwender nochmals deutlich. Die Werkzeugsammlung liegt auf Github und läuft gegenwärtig nur unter Linux. So leicht lassen sich Medizingeräte hacken Barbara Wimmer , Eigentlich war der Patient tot.

Am Monitor, der zur Überwachung seiner Vitalparameter eingesetzt wurde, lebte er jedoch noch. Grunow manipulierte dabei zuerst den Bildschirm des Monitors, in Folge spielte er aber auch im zentralen Netzwerk falsche Daten ein.

Das Ganze dauerte nur wenige Minuten. Der futurezone erzählte der Sicherheitsforscher, der für das Unternehmen ERNW in Heidelberg an einem entsprechenden Research- Projekt beteiligt ist, wie das möglich wird und warum Hersteller den Aspekt der IT-Security von medizinischen Geräten sträflich vernachlässigen.

Herr Grunow, Sie erforschen die Sicherheit von Medizingeräten. War es einfach, an die entsprechenden Geräte heranzukommen? Nein, es ist nicht ganz einfach, an die Geräte zu kommen. Entweder man braucht dafür Lizenzen z. Das darf man auch nicht ohne spezielle Ausbildung und Berechtigungsscheine betreiben.

Da wir das als IT-Security-Unternehmen nicht aufweisen können, haben wir beim Patientenmonitoring angefangen. Die Daten, die man aus dem Patientenmonitor gewinnt, sind für den Arzt auch Grundlage, um Entscheidungen über seine nächsten Schritte zu treffen. Die Idee ist, den Überwachungsbildschirm, der die Vitalzeichen des Patienten anzeigt, so zu manipulieren, dass es halt einen lebenden Patienten anzeigt, obwohl der Patient gerade Probleme hat oder möglicherweise schon verstorben ist.

Der Monitor ist dabei mit einem Netzwerkkabel am internen Netzwerk angeschlossen und sendet seine Daten an die Zentralstation. Wir haben getestet, ob man diese Zentralstation so angreifen kann, dass ich ihr vorgauklen kann, dass es dem Patienten wunderbar geht, obwohl er gerade Probleme hat.

Das haben wir bei den Modellen von Monitoren, die wir uns bisher angesehen haben, geschafft. Wir konnten sowohl den Bildschirm als auch die Zentralstation so manipulieren, dass angezeigt wird, was wir wollen und zwar auch im laufenden Betrieb.

Wir haben einen Weg gefunden, uns im Kommunikationsprozess dazwischen zu schalten und den Monitor aus der Kommunikation auszuklinken und selbst Daten an die Zentralstation zu schicken. Wie wir das genau gemacht haben, haben wir den Herstellern übermittelt. In der Regel müssen die Hersteller dann in einem bestimmten Zeitraum reagieren. Wird das bei Medizingeräten auch gehandhabt? Stimmt, normalerweise gibt man eine Deadline an, um den Hersteller unter Druck zu setzen, damit er die Sicherheitslücken behebt.

In dem Fall muss man da ein bisschen vorsichtiger sein, weil man das Druckmittel gar nicht in der Hand hat. Da hängen Menschenleben dran und in so einem Fall kann man nicht einfach rausposaunen, wie man es gemacht hat. Bei medizinischen Geräten haben wir das Problem, dass die Hersteller die Geräte ganz schlecht patchen können, weil diese in den Kliniken stehen und dort Patches auszurollen ist extrem schwer. Verraten kann ich lediglich, dass der Monitor, mit dem ich den Hack demonstriert habe, extrem häufig benutzt wird und zwar mit unterschiedlicher Optik, aber dem gleichen Einbau.

Sind die Hersteller von Medizingeräten kooperativ, wenn Sie Probleme melden? Das ist extrem unterschiedlich. Es gibt aber auch Hersteller, die blockieren. Was wir allerdings bemerken ist, dass die Bereitschaft der Hersteller im Vorhinein was zu tun, relativ gering ist.

Es kristallisiert sich stark heraus, dass das Thema Security bei ihnen gar nicht auf der Agenda steht. Wenn eine Zertifizierungsbehörde jemanden im Jahr sagen muss, dass er auf Security zu achten hat, liegt wohl einiges im Argen. Das konnten wir mit unseren Forschungen bisher bestätigen. Wie kann man die Geräte, jetzt speziell die Patientenmonitore, sicherer machen?

In dem Bereich könnte man mit der verschlüsselten Kommunikation anfangen. Über eine verschlüsselte Kommunikation findet man dann auch Wege, die Geräte untereinander zu authentifizieren.

Im Moment ist es nämlich so, dass wir als Angreifer uns einfach auf einem Patientenmonitor anmelden und als anderes Gerät ausgeben können und es wird uns immer geglaubt. Da ist keinerlei Mechanismus implementiert, der schaut, ob das wirklich.

Das muss man auch historisch betrachten. Mittlerweile ist das aber aus technischer Sicht überhaupt kein Problem mehr. Doch so etwas kostet etwas, ist aufwendig und deswegen bleibt es oft auf der Strecke. Das klingt absurd, wenn man bedenkt, dass es dabei um Menschenleben geht. Wenn wir an kritische Infrastrukturen denken, reden wir immer über Atomkraftwerke oder die Scada-Steuerung. Aber wenn es darum geht, dass ein Angriff auf ein System ein Menschenleben kosten kann, ist das die wohl kritischste Infrastruktur.

Deswegen ist es erschreckend, dass die Hersteller da nicht mehr investieren. Warum wird so wenig in die IT-Security von Medizingeräten investiert? Das ist aber relativ einfach.

Im Zweifelsfall hält einem wenig davon ab, ein Gerät so umzuprogrammieren, dass man sich damit in das Netzwerk der Klinik hängen kann. Wenn man ein Gerät unter Kontrolle hat, kann man auch das Netz kontrollieren. Wie kann man ein Umdenken bei den Herstellern und Kliniken erreichen?

Die FDA hat einen Anfang gemacht. Auch wir als Security-Analysten sind gefragt, in dem wir uns gezielt Geräte anschauen müssen, um ein bisschen Druck auszuüben. Wenn IT-Security auch von den Kliniken eingefordert wird, wird es auch helfen.

Über die Kliniken lässt sich auch leichter Druck ausüben, denn letztendlich sind sie verantwortlich, wenn etwas passiert. Hier sind wir auch auf der Suche nach Kooperationspartnern. Kann man Herstellerversäumnisse in einem Krankenhausnetzwerk überhaupt ausbügeln? Bei den Geräten, die wir uns angesehen haben, kann ich nicht empfehlen, sie ans Netzwerk zu hängen. Die sollte man nur vom Netzwerk abgekoppelt betreiben, weil die Schwachstellen schwerwiegend sind.

Man hat künftig nur noch eine Warte, wo eine Person sitzt, die mehrere Patientenbildschirme über das Netzwerk beobachtet. Am meisten gefährdet ist alles, was ein Feedback zum Patienten hat wie z. Wenn Patienten auf der Intensivstation mehr als ein Medikament verabreicht bekommen, hängen diese Medikamente in automatisierten Spritzenpumpen. Diese werden heutzutage auch mit Netzwerkschnittstellen gebaut, so dass man von der Leitwarte aus sehen kann, wie diese gerade eingestellt sind.

Über Sicherheitslücken könnte man da aber. Der verstorbene Sicherheitsspezialist Barnaby Jack hat das z. Barnaby Jack wollte zuletzt einen Herzschrittmacher-Hack demonstrieren, doch kurz zuvor ist er verstorben.

Ja, er hat Forschungen in dem Gebiet gemacht. Es gibt auch wissenschaftliche Analysen dazu mit interessanten und bedrohlichen Ergebnissen. Dick Cheney hatte in einem Interview gesagt, dass er sich seine Wireless-Schnittstelle in seinem Herzschrittmacher deaktivieren lässt, weil er Angst davor hat, dass ihm Terroristen über die Luftbrücke das Gerät ausschalten.

Das ist eine absolut realistische Bedrohung. Die Hersteller vertrauen dabei immer darauf, dass sie proprietäre Protokolle einsetzen, die keiner kennt und gehen davon aus, dass die Hürde für den Angreifer so hoch ist, dass er nicht auf die Idee kommt, sich das genauer anzusehen und Schwachstellen zu suchen. Das ist aber ein Trugschluss. Würden Sie sich noch in ein Krankenhaus legen mit dem Wissen, das Sie haben? Wenn es um das eigene Leben geht, dann denkt man in der Regel nicht darüber nach.

Da möchte man, dass einem geholfen wird und da geht man das Risiko ein. Das würde ich auch jedem raten. Nicht nur in Krankenhäusern kommt viel neue Medizintechnik zum Einsatz, sie ist auch für den Heimgebrauch stark im Steigen. Wo liegen hier die Gefahren?

Die Technik wird halt immer billiger. Solche Geräte werden nie dafür gebaut, dass sie sicher sind, sondern immer nur dazu, dass sie ihre primäre Funktion erfüllen. Wenn man IT-Security gut macht, kann man das auch schlecht in Zahlen messen, denn man bemerkt sie nicht. Deswegen ist es schwer für Unternehmen, damit in der Chefetage zu argumentieren. Es ist sehr zeitintensiv. Die Kliniken müssen Geräte bereitstellen.

Die müssen aus einem Wartungszyklus herausgenommen werden. Dann muss sichergestellt sein, dass die Geräte nach den Tests genauso funktionieren wie vorher. Das ist alles extrem aufwendig und muss gut geplant werden. So leicht lassen sich Medizingeräte hacken von Barbara Wimmer , Der futurezone erzählte der Sicherheitsforscher, der für das Unternehmen ERNW in Heidelberg an einem entsprechenden Research-Projekt beteiligt ist, wie das möglich wird und warum Hersteller den Aspekt der IT- Security von medizinischen Geräten sträflich vernachlässigen.

Joanna Pianka Wie haben Sie das bewerkstelligt? Da ist keinerlei Mechanismus implementiert, der schaut, ob das wirklich ein Gerät ist, dem ich vertrauen kann. Joanna Pianka Kann man Herstellerversäumnisse in einem Krankenhausnetzwerk überhaupt ausbügeln? Über Sicherheitslücken könnte man da aber drankommen.

Das würde ich auch. Barbara Wimmer Nicht nur in Krankenhäusern kommt viel neue Medizintechnik zum Einsatz, sie ist auch für den Heimgebrauch stark im Steigen. Wie haben Sie das bewerkstelligt? So leicht lassen sich Medizingeräte hacken Letztes Update am , Der futurezone erzählte der Sicherheitsforscher, der für das Unternehmen ERNW in Heidelberg an einem entsprechenden Research-Projekt beteiligt ist, wie das möglich wird und warum Hersteller den Aspekt der IT-Security von medizinischen Geräten strä ich vernachlässigen.

Die Daten, die man aus dem Patientenmonitor gewinnt, sind für den Arzt auch Grundlage, um Entscheidungen über seine nächsten Schritte zu tre en.

Das haben wir bei den Modellen von Monitoren, die wir uns bisher angesehen haben, gescha t. In dem Fall muss man da ein bisschen. Verraten kann ich lediglich, dass der Monitor, mit dem ich den Hack demonstriert habe, extrem häu g benutzt wird und zwar mit unterschiedlicher Optik, aber dem gleichen Einbau.

Wenn eine Zerti zierungsbehörde jemanden im Jahr sagen muss, dass er auf Security zu achten hat, liegt wohl einiges im Argen. Über eine verschlüsselte Kommunikation ndet man dann auch Wege, die Geräte untereinander zu authenti zieren. Aber wenn es darum geht, dass ein Angri auf ein System ein Menschenleben kosten kann, ist das die wohl kritischste Infrastruktur. Auch wir als Security- Analysten sind gefragt, in dem wir uns gezielt Geräte anschauen müssen, um ein bisschen Druck auszuüben.

Solche Geräte werden nie dafür gebaut, dass sie sicher sind, sondern immer nur dazu, dass sie. Es gibt einen Bug in Ihrem System. Wir können Ihn für xy beheben. Statt den immer wiederkehrenden Kanon von besserer Verschlüsselung und sicherem Abspeichern herunterzubeten, hinterfragten die Informatiker Grundsätzliches wie: Gibt es überhaupt einen Cyberwar? Ein Computerbildschirm zeigt Programmcode-Zeilen.

Es gibt Einbrüche, es gibt Kompromittierungen. Wir wollten einfach nur klarmachen, dass dies völlig in Ordnung ist, dass man über alles offen reden kann. Das hat nichts mit Preisgabe zu tun, sondern ist ein Zugeben: Ja, ich habe welche. Ja, es gelingt mir nicht immer und wie können wir das in Zukunft besser machen. Fehler lassen sich vermeiden, indem man sie oft genug begeht. Hier muss man die geeignete Portion lernen, damit man etwas verbessern kann.

Das Problem, das in der IT-Security oft stattfindet, ist: Wenn nicht passiert, glaubt man, dass alles in Ordnung ist. Erst dann, wenn etwas passiert, fängt man an, die Konfigurationen zu hinterfragen und zu verbessern. Wenn ich weniger Fehlschläge haben will, muss ich oft etwas verbessern. Denn die Fehlschläge sind der Anlass, wo man was macht, denn normalerweise macht man ohne Anlass nichts. Sicherungen werden meist erst dann erstellt, wenn Daten bereits verloren gegangen sind.

In einem Vortrag wurde darauf hingewiesen, dass es der NASA keineswegs billiger kommt, wenn sie ihre Daten in entfernte Rechenzentren auslagert. Ein Grund dafür ist, dass nicht nur ein Cloud-Service genutzt werden kann, sondern. Dabei die Übersicht nicht zu verlieren ist ein Mehraufwand für die Administratoren.

Wir haben momentan noch kaum die Basis im Griff! Wir haben kaum eine Kontrolle darüber, wer in unserem System herumspaziert. Wir hören es in unseren Vorträgen, dass teilweise ein halbes bis ein Jahr lang Backdoors existieren. Das ist wirklich problematisch. Ein Krieg, der vermehrt von militärischen Organisationen, Politikern und Medien heraufbeschworen wird. Krieg ist ein todbringendes Handwerk, das strikten Regeln zu folgen hat.

So steht es im Völkerrecht: Ein Krieg hat einen eindeutigen Anfang - die Kriegserklärung eines Staates -, und er hat ein eindeutiges Ende, an dem ein Friedenschluss oder auch eine Staatenbildung steht.

Beides trifft auf einen Cyberwar, der mit Software geführt werden soll, nicht zu. Die Sicherheitsexperten auf der Deep Sec lehnen diesen Begriff daher ab.

Ein Cyber-Krieg ist kein klassischer Krieg mit neuen Mitteln, sondern etwas ganz anderes. Wenn ich 'Krieg' sage, dann habe ich plötzlich Waffen, und dann hat der eine mehr und der andere weniger.

Das sind alles Analogien. Die klingen zwar gut, aber wenn ich wieder zurück gehe zur Security, dann kann ich damit nichts anfangen. Wenn ich mir jetzt überlege: Was ist eine Cyber- Waffe? Was ist eine digitale Waffe? Das ist nichts anderes als Code. Das macht überhaupt keinen Sinn. Das Problem, das in der IT-Security. Ein Grund dafür ist, dass nicht nur ein Cloud-Service genutzt werden kann, sondern mehrere. In mit diesen Fragen vertrauten Kreisen zeigt man sich hingegen wenig überrascht über all die Enthüllungen.

Warum der Zukunftsausblick kaum erfreulicher ist, und die Enthüllungen trotzdem einen positiven Effekt haben könnten, erläutert er im Gespräch mit Andreas Proschofsky. Sicherheitsexperten haben in diesen Belangen durch ihren Blick hinter die Kulissen eine andere Sicht der Dinge. Wir haben uns auch intensiv mit dem Spionageskandal beschäftigt und keinerlei Überraschungen bei Kollegen entdecken können.

Die jetzt in der Presse veröffentlichten Szenarien wurden schon lange auf Sicherheitskonferenzen diskutiert. Man kann sogar noch einen Schritt zurückgehen und die Cypherpunk-Bewegung zitieren, die seit Anfang der er Jahre starke Kryptographie propagiert hat, um digitale Kommunikation, sei es von Firmen oder Privatpersonen, zu schützen.

Damals war das Internet längst nicht so weit verbreitet wie jetzt, dennoch hatten einige Experten Schreckensvisionen, die sich jetzt bewahrheitet haben. Bislang gibt es zwar einige Empörung über spezielle Details der Enthüllungen - etwa die Überwachung des Mobiltelefons der deutschen Kanzlerin - aber wenig konkrete Konsequenzen. Was müsste passieren, um die Daten der Nutzer besser vor dem scheinbar beinahe uneingeschränkten Zugriff von Geheimdiensten zu schützen?

Oder ist dieser Kampf angesichts der Möglichkeiten solcher Organisationen bereits verloren? Die Konsequenzen wären eine Verbesserung der Sicherheit, und da schlägt bei vielen eine einfache Risikoanalyse verbunden mit Resignation zu: Kaum eine Firma und keine Privatperson kann das Budget der Geheimdienste schlagen.

Es schleicht sich trotz Empörung eine Machtlosigkeit ein, da man scheinbar gegen eine Übermacht steht. Das stimmt nicht ganz, und daher gehen auch einige der betroffenen Firmen gegen die Bedrohung des Ausspionierens vor zwar viel zu spät, aber immerhin. Der positivste Aspekt in diesem Zusammenhang für die IT Sicherheitsexperten ist die Tatsache, dass man die Risiken nun endlich offen diskutieren kann ohne in die Ecke der Verschwörungstheoretiker gestellt zu werden.

Das ist ein guter Anfang und die Branche darf diesen nicht verspielen. Aktuell werden immer wieder Ideen über rein europäische bzw. Ist dies überhaupt realistisch? Diese Gedanken sind reine Augenauswischerei und Marketing Gags. Das Internet und das eigene Netzwerk ab dem eigenen Gerät muss als vertrauensunwürdig angesehen werden. So sollten auch Entwickler und Administratoren denken. Alle anderen Ansätze stützen sich auf Annahmen, die dann in sich zusammenbrechen, wenn man am Fundament rüttelt.

Oder hilft ohnehin nur die Abkehr von solchen Systemen? Die Cloud-Anbieter haben sich selbst ein Bein gestellt, weil sie ihre Systeme nicht richtig abgesichert haben und kaum Auskunft über ihre Infrastruktur geben. In anderen Branchen geht das nicht so einfach. Wenn die Lebensmittelindustrie im Supermarkt "Cloud- Eier" von Hühnern verkaufen möchte, so muss man erklären, wie das sein kann, und woher die kommen.

Bei der IT-Cloud ist das anscheinend egal, weil man nicht mal angeben muss, dass Benutzerdaten munter fröhlich im Klartext zwischen Rechenzentren hin- und herkopiert werden. Cloud-Anbieter verkaufen letztlich Vertrauen, und neben den rechtlichen Aspekten, die sicher auch nachgebessert werden müssen, muss sich jeder Anbieter der Vertrauensfrage stellen.

IT Sicherheitsexperten empfehlen Cloud-Lösungen vor Verwendung eingehend zu prüfen, weil die Technologien einfach da sind. Teilweise wird das mittlerweile getan, mehr als vor dem Spionageskandal. Können einzelne Nutzer überhaupt etwas tun, um sich besser vor Überwachung zu schützen?

Ja, das können sie. Weder Privatpersonen noch kleine Firmen sind zur Gänze machtlos. Man kann mit der Geldbörse abstimmen und nicht vertrauenswürdige Dienstleistungen ob Cloud oder andere gegen andere austauschen. Man kann Lieferanten unbequeme Fragen stellen, und man kann versuchen seine eigenen Daten nicht einem Einzelnen anzuvertrauen. Darüber hinaus kann man das Verhalten hinterfragen, wie mit Daten umgegangen wird.

Das ist der schwerste Schritt, denn oft muss man Gewohnheiten umstellen. Es ist eine Vielzahl von Möglichkeiten, die zur Verfügung stehen. Ändern scheint sich daran bislang aber wenig. Kaum ein Anbieter kann es sich leisten, das komplette Netz auszutauschen. Man behilft sich da mit zusätzlicher Technologie, die bekannte Schwächen vermeidet. Das ist aber nicht nur im Mobilfunk so. Es gibt viele Zeitbomben wie alte Betriebssysteme oder nicht gewartete Software. Der beste Zeitpunkt für drastische Änderungen sind leider immer noch drastische Vorfälle.

Mit LTE wird derzeit nach und nach die nächste Mobilfunkgeneration ausgeliefert. Sieht es bei dieser in Sicherheitsbelangen besser aus? Der Markt drängt nach LTE, also muss man es schnell umsetzen.

Um Zeit und Geld zu sparen, ist zu erwarten, dass nicht alle Sicherheits-Features von Anfang an eingesetzt und auch nicht nachgerüstet werden. Immerhin haben die Frequenzen viel Geld gekostet, und das Geld muss wieder verdient werden. Sicherheitsforscher haben sich mit LTE schon beschäftigt, und wir gehen davon aus, dass es nicht weniger Sicherheitsprobleme geben wird. Wir hatten dazu schon auf der DeepSec einen Ausblick von einem Vortragenden.

Bisher sind wir nicht enttäuscht worden. In den vergangenen ein bis zwei Jahren wurden immer öfter Sicherheitslücken in den für den privaten Internetzugang nötigen Routern diskutiert. Wieso reagieren die Hersteller hier nicht?.

Das ist eine Kombination aus "never change a running system" und dem "Black Box Problem". Gerade bei Internetanbietern mit sehr vielen Anschlüssen können missglückte Upgrades zu vermehrten Supportanfragen führen, die dann Geld kosten. Dazu kommt, dass Hersteller verschieden gut im Beheben von Schwachstellen sind und gerne "Black Boxes" ausliefern, in die man nicht reinschauen sollte.

Muss man sich angesichts solcher Erfahrungen nicht Sorgen darüber machen, dass die Zahl jener Geräte, die mit dem Internet verbunden sind - vom Auto bis zur Waschmaschine - rasant zunimmt?

Das "Internet der Dinge" ist definitiv eine Herausforderung an die Sicherheit und wird uns in der Zukunft noch sehr viele Überraschungen bescheren. Es sollte nicht verwundern, wenn die IT-Sicherheit auf der Strecke bleibt, weil die Sicherheitstests für die IPv6-fähige Glühbirne bestimmt nicht ganz so streng ausfallen wie solche für die neueste Firewall.