| Home Themenübersicht / Sitemap Notizen Webmaster |
von Philipp Schaumann
|
Link-Konventionen: Fette Links öffnen ein fremde Seite in einem neuen Fenster Blau hinterlegte Links bleiben auf der sicherheitskultur.at |
Der Standard brachte vor einiger Zeit einen Überblick über Cloud Speicherdienste. Der Artikel vergleicht Dropbox mit SugarSync, Wuala, Box, Skydrive, Amazon Cloud Drive, Ubuntu One, Teamdrive, SparkleShare, Picasa, Google Docs und Google Music und natürlich Apples iCloud. In dem Standard Artikel geht es hauptsächlich um Features, wie viel freien Speicher es kostenlos gibt, etc.
Der Economist weist in einem Artikel Keys to the cloud castle. Die meisten der Services erwähnen, dass die Daten bei ihnen naütrlich sicher sind, übertragen mit HTTPS und dann (oft) verschlüsselt gespeichert. Der Artikel weißt darauf hin, dass es darum geht, wer die Schlüssel für die Daten hat. Dropbox bietet viele Services an und kann z.B. den Datenzugriffa auch dann wiederherstellen, wenn der Benutzer sein Passwort vergessen hat. Das bedeutet, dass der Schlüssel bei Dropbox liegt und nicht beim Benutzer selbst. Zitat aus dem Artikel:
"What Dropbox provides is more than adequate for most users. Those with a more stringent need for privacy — most often because they are breaking either a just or unjust law — need to take responsibility for their own privacy, not count on a remote, third party service to provide it."
Das ist natürlich Blödsinn, dass der Grund für den Privatsphärewunsch zumeist Gesetzesübertretungen sind, es gibt noch viele andere legitime Gründe für den Schutz der Privatsphäre (das habe ich an anderer Stelle ausführlich erklärt). Aber natürlich ist es eine gute Idee, den Schutz selbst in die Hand zu nehmen, z.B. indem ich die Dateien vor der Synchronisation mit einem Tool wie TrueCrypt verschlüssele, oder ein Werkzeug wie EncFS, SecretSync, oder BoxCryptor verwende, das für die Integration mit Dropbox entwickelt wurde.
Wann immer ich erwarte, dass ich mehr tun kann als nur Synchronisieren, so kann ich nicht erwarten dass ich exklusiven Zugriff zu den Inhalten habe. D.h. alle Webmail-Anbieter, wie Gmail, GMX, und Hotmail, alle Dokument-Kollaborationsdienste wie Google Docs, und alle "Sharing-Dieste" wie Flickr, Youtube, Facebook, aber auch kommerzielle Services wie Salesforce.com haben Zugriff zu den Daten.
Es gibt aber auch Datei-Synchronsierungsdienste, die nur für die Synchronisation zwischen meinen Geräten gedacht sind, z.B. das europäische System Wuala. Hier ist ein Artikel der die Sicherheitskonzepte von Dropbox vs. Live Mesh, SpiderOak, SugarSync, Wuala vergleicht. Wuala hat 2 Vorteile: die Daten bleiben in Europa und werden bereits auf dem lokalen Gerät verschlüsselt. Aber auch SpiderOak gilt es recht sicher. D.h. SpiderOak und Wuala bieten Sicherheitsfeatures, bei denen der Benutzer in voller Kontrolle seiner Dateien ist, auch die Administratoren haben keinen Zugriff. (Warum die Speicherung in Europa und durch eine europäische Firma einen großen Unterschied machen kann erkläre ich weiter unten.
Jetzt zur speziellen Problematik Wie sicher ist iCloud?: Zitat: "iCloud sichert Ihre Inhalte, indem sie verschlüsselt über das Internet gesendet, in verschlüsseltem Format gesichert und sichere Token zur Authentifizierung verwendet werden. Nicht verschlüsselt gesichert werden allerdings unter anderem E-Mail und Notizen." Hier die Details von Apple, was alles verschlüsselt wird - die Frage, was bleibt unverschlüsselt steht nur implizit im Text.
Vor einiger Zeit gab es Berichte über die Möglichkeit des US-Zugriff auf Europas Daten im Rahmen von Cloud Services. Daten die US-Firmen in der EU gespeichert haben sind im Zugriff des US-Behörden. Hier noch mehr Details in einer Zusammenfassung auf ZDNet. Dort wird dann auf weitere Details verlinkt, z.B. findet sich dort:
"The Act also applies to companies based in the U.S., whether they are headquartered there — such as Apple, Google or Microsoft — or are a subsidiary of a larger non-US company. For example, although the BBC has its headquarters in London, it also has studios and offices in the U.S., making these U.S.-based offices vulnerable to the Act."
Security Requirements und andere Studien
Vom deutschen Bundesamt für Sicherheit im Informationswesen (BSI) gibt es ein umfangreices PDF zu Security und Cloud Services: Eckpunktepapier Sicherheitsempfehlungen für Cloud Computing Anbieter. Eine ENISA-Studie hilft bei Risikoabschätzung für Cloud Computing.
Die deutsche Gesellschaft für Informatik hat Thesen zu Sicherheit und Datenschutz in Cloud Computing veröffentlicht und gibt viele interessante Literaturhinweise zu rechtlichen und regulatorischen Fragen.
Punkt 4: Bei der Nutzung öffentlicher Clouds (und auch hybrider) sind nationale Gesetze und branchenspezifische Selbstregulierungsmaßnahmen einzuhalten (Compliance); daraus folgt für einige Branchen, dass Clouds gar nicht genutzt werden dürfen.
Unter SCADA versteht man das Überwachen und Steuern technischer Prozesse mittels eines Computer-Systems. Solche Systeme werden heute bei sehr vielen technischen Prozessen eingesetzt, u.a. auch bei der Wasser- und Energieversorgung. Die dabei eingesetzten technischen Mess- und Steuerelemente heißen PLC (Programmable logic controller), auf deutsch speicherprogrammierbare Steuerungen (SPS). Die Computer die für die Steuerung eingesetzt werden und die PCSs waren früher in separaten Netzen und hatten keine Verbindung mit dem „Office-Netz“ und vor allem nicht mit dem Internet. Heute ist dies oft nicht mehr der Fall, weil auch diese Systeme Daten von außen beziehen oder nach außen liefern.
Aber selbst wenn diese Systeme keine direkten Verbindungen nach außen haben, so stellen sie doch einen Angriffspunkt dar, wie der Fall Stuxnet gezeigt hat, bei dem die Wiederaufbereitungsanlage angegriffen wurde obwohl sie über das Internet nicht direkt erreichbar war (für die Details siehe den Link). Nach Stuxnet ist dieses Thema auf einmal in die Öffentlichkeit gerückt, aber seit vielen Jahren warnen Sicherheitsexperten vor den vielen Schwachstellen und der zum Teil mangelhaften Absicherung vieler SCADA-Systeme.
Die Firma C4-Security ist ein Spezialist in SCADA Research. In ihrer Präsentation SCADA Security - Generic Electric Grid Malware Design (PDF) berichten sie 2009, dass die Argumentation der SCADA-Betreiber, dass eh nichts passieren kann weil alles viel zu komplex sei, nicht stimmt und dass es auch im SCADA-Bereich Zeit ist, zu "herkömmlichen" Sicherheitsmethoden wie Authentisierung der Kommunikationspartner und Verschlüsselung der Verbindungen über zu gehen. In einem anderen PDF erklären sie ein konkretes Angriffsbeispiel: Control System Attack Vectors and Examples.
Auf dem Chaos Computer Club Kongress wurde 2007 bereits präsentiert: SCADA (in)Security: Hacking Critical Infrastructures. Der Vortrag bringt viele Darstellungen der Kontrollnetze und berichtet über reale Beispiele von IT-Problemen in der SCADA-Welt und wie weit diese Welt hinter dem State-of-the-Art der IT-Sicherheit hinterher ist.
Internet Security Systems X-Force (heute Teil von IBM) präsentierte ihre Erkenntnisse zum Thema SCADA-Security (PDF, ich glaube aus 2006) folgendermaßen: "You can go to the store and buy a book on pen-testing that will give you all the knowledge you need to cause a widespread power blackout". Sie berichten, dass es ihnen bereits während der Verkaufspräsentation einmal gelungen ist, über ein offenes WLAN in das Kontrollnetz einzudringen und dass sie selten bei ihren Penetration-Tests nicht erfolgreich waren.
März 2011:
Security Researcher (und vermutlich nicht nur die) haben mittlerweile Schwachstellen in ziemlich vielen SCADA Programmen gefunden (Industrieleittechnik: Sicherheitslücken in Hülle und Fülle). D.h. ähnliche Angriffe lassen sich gegen viele technische Objekte durchführen. Allerdings gehört dazu deutlich mehr als nur die Schwachstellen in der SCADA Software. Der Angreifer muss auch sehr genau wissen, welche Geräte dort gesteuert werden und wie sie angesprochen werden können. So besagen ja die Gerüchte, dass für den Angriff auf Natanz eine Anlage mit den gleichen Zentrifugen aufgebaut wurde damit die Angriffssoftware getestet werden kann.
 |
Quelle: SCADA (in)Security: Hacking Critical Infrastructures |
April 2011:
Studie: Stuxnet befällt deutsche Energieversorger.
Heise:de schreibt: "Im Rahmen einer Studie des Antivirenherstellers McAfee antworteten 59 Prozent der befragten Strom-, Gas- und Wasserversorger aus Deutschland, dass sie den Stuxnet-Wurm in ihren Systemen entdecken konnten. Nach bisherigem Kenntnisstand hat der Schädling bei den Firmen keinen Schaden angerichtet; Stuxnet hat es vermutlich auf eine iranische Urananreicherungsanlage in Natanz abgesehen und wird nur aktiv, wenn es sein Ziel identifiziert hat. "Hätten seine Schöpfer den Wurm jedoch anders konfiguriert, wäre das Schadenspotential immens gewesen", so McAfee-Manager Hans-Peter Bauer."
Zur gleichen Studie: Warnung vor Angriffen auf Stromnetze. Und der Report von McAfee: Dramatic Increase in Cyberattacks and Sabotage on Critical Infrastructure.
Mai 2011:
US-Regierung warnt vor Siemens-Sicherheitsleck. Die Erklärung von Siemens, dass nur wenn die IT-Sicherheitsschranken überwunden seien, die Software so attackiert werden könne, dass sie in einen Sicherheitsmodus fahre und sich abschalte ist ein wenig schwach. Das ist nun mal die Eigenschaft von IT-Security Bedrohungen, dass diese normalerweise nur schlagend werden, wenn mehrere Dinge zusammentreffen. Aber dass das immer wieder gelingt zeigen die dramatischen Beispiele der letzten Wochen, z.B. bei Sony.
Juni 2011:
Siemens gibt bekannt, dass sie Lücken in Automatisierungssystemen geschlossen haben. In einem Siemens Security Advisory (pdf) wird dargelegt, dass über einen sog. Replay-Angriff Daten eine eine Programm-Steuerung (PLC) gesendet werden können, obwohl die eigentlich durch ein Passwort geschützt ist. So (oder so ähnlich) könnte Stuxnet gearbeitet haben.
Februar 2012:
Es geht immer weiter mit den Schwachstellen-Veröffentlichungen im SCADA-Bereich: Hoping to Teach a Lesson, Researchers Release Exploits for Critical Infrastructure Software. Hier ein Zitat das die Verwundbarkeit der Stromnetze anzeigt:
The GE PLC is nearly two decades old but is still used in electric substations for power generation and in other key critical infrastructure systems. GE has said that it plans to release a new, more secure, version of the product this year, but it’s unclear whether that version fixes any of the vulnerabilities uncovered by the researchers. The company has said in a product bulletin published in 2010 that it has “no plans to develop additional cyber security features in previous generation D20 products due to limitations in the hardware and software platforms,” which leaves current customers using those systems potentially open to attack.
Mehr dazu gleich im nächsten Beitrag weiter unten.
Smart Meter und Smart Grid hängen zusammen, aber sollten von der Risikobetrchtung her separat analysiert werden. Warum in der Zukunft ein Smart Grid benötigt wird, kann ich nachvollziehen. Durch die zunehmende dezentrale Stromerzeugung werden die Stromlieferanten vor ziemliche technische Probleme gestellt. Hier nur 1 Beispiel: wenn z.B. lokal in einem Dorf die Bauern große Flächen für Solarzellen nutzen so liefern diese Solarzellen, je nach Implementierung 1 oder auch 3 Phasen in das lokale Verbrauchsnetz. Viele Verbraucher, z.B. Heißwasserbereiter, hängen auch nur an 1 Phase. D.h. es kann in so einem Netz leicht vorkommen, dass auf einer Phase des Umspannwerks ein hoher Verbrauch, auf einer anderen Phase ein hoher Bedarf ist. So etwas kann leicht zu Instabilitäten im Netz führen. Um dies auszugleichen muss der Stromlieferant über solche Situationen zeitnah informiert sein. Daher müssen alle diese Komponenten miteinander Daten austauschen können. Dies wird Smart Grid genannt.
Smart Meter leuchten mir deutlich weniger ein. Damit wird der Ersatz der derzeitigen Ferrariszähler durch kleine billige Computer gemeint, die dann nicht nur den Stromverbrauch eines Haushalts zeitnah zurückmelden können, sondern auch Steuerungsfunktionen bis hin zum Abschalten des Zählers aus der Ferne enthalten. Diese intelligenten Zähler müssen hauptsächlich deswegen eingeführt werden, weil eine EU-Richtlinie dies verlangt. Beführworter propagieren, dass die Verbrauchen durch die Möglichkeit, zeitnah über ihren augenblicklichen Stromverbrauch informiert zu sein, weniger Strom verbrauchen werden. Diese Systeme sollen auch die Stromanbieter in die Möglichkeit versetzen, variable Tarife anzubieten, die eine Stromnutzung zu Zeiten schwachen Stromverbrauchs belohnen. Manchmal wird in diesem Zusammenhang das Argument gebracht, dass dann die Waschmaschine um 1 Uhr Nachts gestartet werden kann, aber dieses Argument ist selbst manchen Beführwortern peinlich, da es in Miethäusern ganz klar ist, dass dieses Argument Unsinn ist. Insgesamt ist mit Einsparungen im einstelligen Prozentbereich zu rechnen (was die höheren Kosten nicht wirklich rechtfertigt, eine Kampagne zum Vermeiden von Stand-By bei Unterhaltungselektronik kann ähnliche Einsparungen bringen).
Gefährdung von Datenschutz und Privatsphäre
Problematisch an den Smart Metern sind zum Einen die möglichen Gefährdungen der Privatsphäre dadurch dass die Stromlieferanten nun wissen, wann die Bewohner einer Wohnung zu Hause sind, wann sie duschen, etc, sondern auch, weil diese Zähler sehr billig sein sollen und daher, so wie es bis jetzt aussieht, stark an der Security gespart wird. Hier ein Bericht über den Vortrag beim letzten Chaos Computer Congress, der aufzeigt, was man mit einem ungesicherten Smart Meter alles tun kann. Grundsätzlich gibt es viele Möglichkeiten, ein solches komplexes System anzugreifen: Smart Meter als Einfallstor für Angreifer.
In Deutschland hat sich mittlerweile das BSI (Bundesamt für Sicherheit in der Informationstechnik) dieser Problematik angenommen und hat entsprechende Schutzprofile für solche Geräte entworfen, die zu Anforderungen an zukünftige Geräte werden sollen (hier ein Artikel dazu: Intelligente Stromzähler: Entwurf für Schutzprofil zur Diskussion gestellt).
 |
Quelle: cybersecurityaustria.at Hier weitere Beispiele |
In Österreich liegen die Initiativen bisher leider noch außerhalb der Politik. Der private Verein Cyber Security Austria nimmt sich in Österreich dieses Themas an. Dort gibt es eine Reihe von Unterlagen, u.a. eine Studie zu Smart Metering and mögliche Auswirkungen auf die nationale Sicherheit (pdf). Der empfehlenswerte Text enthält viele weiterführende Links auch auf die internationale Situation und listet die verschiedenen Bedrohungen auf. Der Text ist voll von weiterführenden Links, d.h. es gibt viel Lesestoff zu diesen Themen.
Gefährdung der Integrität des Stromnetzes
Wie der Titel besagt geht es dabei nur am Rande um den Datenschutz, Kern des Risikos wird in böswilligen Manipulationen der Zählernetze gesehen, die schlimmstenfalls zu einem provozierten großflächigen Stromausfall führen können. Daher beschäftigt sich der zweite Teil der Studie auch mit dessen Auswirkungen. Und wer sich wirklich gruseln will, dem sei die umfangreiche Studie des deutschen Bundestages über die Auswirkungen eines längerdauernden, flächendeckenden Stromausfalls empfohlen. Der Text ist sehr umfangreich und detailliert. Er legt dar, wie ziemlich schnell die Situation für die Bevölkerung sehr unangenehm wird: ohne Strom bricht ziemlich schnell auch die Wasserversorgung, Bargeldversorgung, Lebensmittelversorgung, Abwasserentsorgung und ähnliche Dienste zusammen. Die Gesundheitsversorgung hält noch gute 48 Stunden, dann geht auch dort der Diesel für die Notstromaggregate aus. Dort wird dann nicht nur das Essen knapp, sondern irgendwann müssen die Maschinen abgestellt werden.
Österreich ist bisher von längeren großflächigen Stromausfällen weitgehend verschont geblieben, in Deutschland hat es aber 2005 und 2006 einige größere Ausfälle gegeben (siehe die Liste rechts).
 |
Quelle: MIT Studie zu Future Grids (Link siehe im Text) |
Eine kurze Studie des Center for Strategic and International Studies "The Electrical Grid as a Target for Cyber Attack" (pdf) analysiert in wieweit die Stromversorgung Ziel von Sabotageangriffen sein kann (sie berühren auch die wichtige Unterschiedung zwischen Spionage, Sabotage und Cyberkrieg.
Die ganzen Angriffsmöglichkeiten und die dramatischen Folgen klingen so, als wäre das ein spannender Stoff für einen Terroristen/Spionage/Desaster Thriller.
Hier noch ein interessantes Kapitel aus einer MIT Studie zu Future Grids (pdf). Hier finden sich viele recht technische Hintergründe zu den Komponenten der Smart Grids (und ein Hinweis, dass die möglichen Bedrohungen weit über Datenschutz-Verletzungen hinaus gehen).
Aktualisierung Feb. 2012:
Die Arbeiterkammer (AK) und die Mietervereinigung in Österreich fordern: "Zwangseinführung von Smart Metern aussetzen".
Ein Artikel in Slate 'Opt-in' settings don't absolve internet companies behandelt das Thema "Externalitäten". Darunter versteht man, wenn Kosten nicht vom Verursacher getragen werden, z.B. wenn eine Entscheidung, z.B. für die Nutzung einer bestimmten Technologie, Auswirkungen auf andere Menschen hat, die sich gar nicht für diese Technologie entschieden haben. (An anderer Stelle schreibe ich mehr über dieses und andere Konzepte der Informationssicherheit und bringe z.B. als Beispiel, dass das Transportieren von Spam-Emails für die Allgemeinheit hohe Kosten verursacht, die nicht vom Spam-Versender getragen werden.)
Der Slate-Artikel bringt ein Beispiel aus den Nicht-IT-Bereich das zeigen soll, dass die Entscheidung Einzelner (heute Opt-In genannt) für eine bestimmte Technologie sich auf alle anderen Menschen auswirken kann. Wenn eine große Zahl von Menschen in einer Wohngegend sich für den Individualverkehr mit PKWs entscheiden, so wird der öffentliche Nahverkehr in dieser Gegend mangels Nachfrage reduziert, was Auswirkungen auch auf die hat, sie sich nicht für PKW-Nutzung entschieden haben.
Der Artikel erklärt, dass wir es bei der Gesichtserkennenung mit der gleichen Problematik zu tun haben. Google und Facebook führen jetzt (Ende 2011) die automatische Gesichtserkennung flächendeckend bei ihren Social Networks ein. In bester Facebook-Manier dort natürlich erst mal für alle automatisch aktiviert, Google etwas vorsichtiger, der Benutzer muss sich aktiv dafür entscheiden (Opt-In). (Google’s Executive Chairman Eric Schmidt warnte noch Anfang 2011 vor dieser Technologie und nannte sie "too creepy even for Google").
Der Artikel in Slate erklärt jetzt, dass die Entwicklung der vergleichsweise harmlosen und freiwilligen Nutzung der Gesichtserkennung in Social Networks dazu geführt hat, dass diese Technologie zu dieser Perfektion entwickelt wurde und nun auch für alle Diktaturen zur Verfügung steht, die damit automatisiert die Fotos und Videos der regierungskritischen Demonstranten auswerten können. Natürlich hätte diese Technologie trotzdem entwickelt werden können, aber im Gegensatz zu den 40er bis 70er Jahre, wo Forschungsaktivitäten im militärischen Bereich die IT-Entwicklung stark angetrieben haben wird Forschung heute weitgehend durch die Nachfrage im Konsumentenbereich vorangetrieben und finanziert und das Militär verwendet die "Abfallprodukte". D.h. die schnelle Perfektionierung der Gesichtserkennung (die noch vor einem Jahrzehnt als in weiter Ferne gesehen wurde) verdanken wir (und die Diktatoren der Welt) vermutlich sehr wohl der Nachfrage aus dem Social Networking, mit allen den dort verbundenen Probleme für die Privatsphäre.
Ein anderes Beispiel das mir eingefallen ist liegt im Bereich Personal Finance Management (PFM). Darunter werden Softwarelösungen wie Quicken oder Microsoft Money verstanden, die dem Benutzer einen besseren Überblick über seine Einnahmen, Ausgaben, etc. ermöglichen soll. Seit 2011 wird solche Software auch verstärkt im Bankenbereich als Zusatzfunktion des Internet-Bankings angeboten. Dies hat für den Kunden den Vorteil, dass er die Rohdaten nicht erst mühsam in ein separates (und oft kostenpflichtiges) Softwarepaket eingeben (oder importieren) muss, sondern die Software wertet einfach die Kontenbewegungen der Giro-, Spar- und Kreditkarten-Konten aus und stellt sie in mehr oder weniger hübscher Form dar, z.B. so wie hier bei der Strands.
Für die Bank ergeben sich optimalerweise 2 Vorteile: die Kunden werden durch die Möglichkeit der automatischen Auswertung angehalten, weniger oft mit Bargeld zu zahlen um auf diese Weise dem System detailliertere Daten zur Verfügung zu stellen. Außerdem ergibt sich damit für die Bank die Möglichkeit, erheblich mehr über ihren Kunden zu erfahren. Hier tritt jetzt der Opt-In Effekt ein: Theoretisch haben die Banken immer Zugriff auf die Kontenbewegungen der Kunden, aber die meisten Banken haben (derzeit) noch keine Software um diese Kontenbewegungen systematisch und automatisch auszuwerten. Die Beschaffung einer solchen Software lohnt für eine Bank auch nur dann, wenn eine nennenswerte Zahl der Kunden von der Bargeldnutzung auf die konsequente Nutzung der Bankomat- oder Kreditkarten umschwenkt.
Und hier entsteht die Externalität: einige Kunden haben kein Problem damit, dass die Bank analysieren kann, wieviel sie wofür ausgeben und freut sich sogar, wenn die Bank dann entsprechende Sonderangebote oder Loyalty Programme anbietet (Opt-In) - anderen graut es bei dieser Vorstellung. Die begeisterten Nutzer dieser Dienste (die sich ihre Privatsphäre über die kostenlosen Auswertungen oder Loyality Programme "abkaufen" lassen) führen aber dazu, dass sich für die Banken diese Software "rechnet" und flächendeckend eingesetzt werden kann. Natürlich lernt die Bank über die Kunden die im Supermarkt mit Bargeld zahlen deutlich weniger, aber trotzdem deutlich mehr als wenn die Bank die Software nicht einsetzen würde.
Das ist sehr ähnlich zur Problematik der Gesichterkennung: durch diejenigen die ihre Privatsphäre bereitwillig teilen (oder opfern) entstehen Lösungen für die bessere Beobachtung oder Analyse auch der anderen (die sich dem nur mit erheblichem Aufwand wirklich entziehen können, wer kommt heute ganz ohne Bankkonto aus?).
Philipp Schaumann, http://sicherheitskultur.at/
Home