Skip to main content.

Security :: Leitsätze und Hintergründe

In dieser Rubrik möchte Ihnen Media & IT-Service ausgewählte Tipps, Hinweise, Links zu informativen Seiten sowie einige Softwarevorschläge für mehr Sicherheit im Umgang mit Windows geben.

Was sieht man von mir im Internet?

Ohne große Tricks und Umstände ist per Javascript von Ihrem Rechner und verwendetem Browser die folgende Information erhältlich, die von vielen Webseiten auch gespeichert wird (insbesondere, wenn Sie dort z.B. etwas eingekauft haben, in einem Forum angemeldet sind und dort Beiträge verfassen und dergleichen mehr. Schon jetzt leiten aus diesen von den Providern temporär oder fix vergebenen IP-Adressen einige Anbieter gezielte regionale Angebote ab, was z.B. in bestimmten Bereichen der zwischenmenschlichen Beziehungsanbahnung genutzt wird. Falls Javascript bei Ihnen nicht erlaubt ist, könnte diese Seite möglicherweise "komisch" aussehen". Kleines Beispiel:

Wie man sieht, eigentlich schon eine Menge Information, die darüber entscheiden können, ob z.B. der Webseitenbetreiber eine sogenannte "Browserweiche" nutzt zur Darstellungsoptimierung für den jeweiligen Browser oder gar böswillig Browserlücken nutzt und Trojanerangriffe nach Browsertypen durchführt und Schadcode auf ihrem Rechner ablädt. Auch das benutzte Betriebssystem zu ermitteln, ist kein Problem. Damit weiß dann z.B. ein möglicher Angreifer, daß er es z.B. mit einem Windows 2000 Rechner zu tun hat, als Browser z.B. der (unsichere) Internet Explorer eingesetzt wird und vor allem in welcher Version - was als Vorauswahl einiges erleichtern kann.

Vielleicht auch interessant, was sie hier über Ihren Rechner erfahren können: Heise.de Netzwerk-Tools

Hintergrund

Die virtuellen Weiten des Internet sind nicht immer nur ein Quell der Freude, sondern wie im realen Leben auch leider von einigen uns böse gesonnen Menschen durchsetzt, die Sie zu Ihrem Nachteil ausspähen wollen, Ihren Rechner für den Mailversand unter fremder Flagge nutzen und fernsteuern wollen. Kurz gesagt, es soll Ihnen Schaden zugefügt werden, der von nur einem kleinen virtuellen Schrecken bis hin zu massiven Vermögensverlusten und ausführlichem Kontakt mit unseren Sicherheitsbehörden reichen kann.

Durch die nunmehr beschlossenen Vorratsdatenspeicherung sämtlicher Verbindungsdaten von Emails, Internetsurfen, Telefonaten und bei Handy-Nutzung auch der Positionsangaben könnte es im Zweifelsfall sehr schnell durch Identitätsdiebstahl zu unerwünschten Hausbesuchen zwecks weiterer Beweissicherung und allem damit zusammenhängenden Ärger kommen. Leider wird dieses Problem durch Gesundheitskarte, die neuen Ausweise, die überall aufblühenden neuen Polizeigesetze und Verknüpfung von verschiedenen bislang getrennter Datenbanken weiter verschärft - wobei die Betroffenen nicht einmal informiert werden müssen, das sie unter Beobachtung standen.

Alleine was einem schon bei schlichter Verwechslung durch Doppelgänger mit gleichem Namen und gleichem Geburtstag blühen kann, ist hier nachzulesen:

  • Doppelgänger: Es kann nur einen geben Jan Oliver Krüger in Die Zeit vom 07.08.2006
    Das digitale Zeitalter verspricht den gläsernen Menschen. Bei gleichen Namen versagen Computer jedoch. Was einem alles passieren kann, der zufällig einen unliebsamen Namensvetter hat. Ein Erfahrungsbericht

    Anmerkung: Was sowas im Detail wirklich bedeuten kann bei mehrfach identischen Namen und Geburtsdatum bei den bevorstehenden Überwachungsszenarien kann sich der geneigte Leser mit etwas Phantasie sicher leicht vorstellen - wie das auch schon der Autor in seinem Artikel beschreibt: Probleme mit dem Arbeitsamt, Krankenkassenan- und abmeldungen, Banken, Versandhäusern und der Schufa dürften da noch zwar äußerst lästige, aber kleinere Probleme darstellen - wenn sich Judikative, Legislative, Verfassungsschützer und Geheimdienste aufgrund von Vergehen eines oder gar mehrerer Doppelgänger(s) plötzlich intensiv für einen interessieren, dürfte es richtig unangenehm werden. Denn der oft benutzte Satz "Ich habe ja nichts zu verbergen" wird leider immer flascher und dümmer. Jeder hat etwas zu verbergen, was z.B. nur seinen Arzt, seinen Steuerberater, den Partner etwas angeht - aber niemals den sammelwütigen Staat in all seinen inzwischen schon schizophrenen Ausprägungen, der von und zu allem über Datenabgleiche Verbindungen (Stichwort: Rasterfahndung) herstellen will. Denn der jeweils einzelne Datensatz alleine mag zwar interessant sein, ist aber weitgehend wertlos. Die (weitgehend automatisierte und ebenso ungeprüfte) Zusammenfügung der Puzzlesteinchen ist die riesige Gefahr, die sich auftut.

Aber auch das folgende ist kein Quell der reinen Freude, wenn die Tochter einer grossen amerikanischen Bank (Citibank mit rund 14 Milliarden USD Gewinn und den Rockefellers zugehörig) bei der Errechnung der TANs schlampt. Diese Bank ist übrigens wegen ihrer Kreditvergabe in der Öffentlichkeit umstritten. Auf jedem Kontoauszug steht: "Sie können ihr Konto jederzeit bis zu xxx Euro (Dispolimit) überziehen" ).

  • Citibank würfelt nicht: Unsichere TANs bei der Citibank Felix "FX" Leitner (dab/c't) in Heise Security vom 04.10.2006
    Die Sicherheit des PIN/TAN-Verfahrens hängt davon ab, dass sich eine gültige TAN nicht erraten lässt. Die Citibank macht es Betrügern dabei möglicherweise unnötig einfacher.
    Auszug: Ein Aspekt der Sicherheit des PIN/TAN Verfahrens ist, wie schwer eine gültige TAN vorherzusagen ist. Ein Betrüger hat bei einer sechsstelligen TAN von 000000 bis 999999 eine theoretische Wahrscheinlichkeit von 1 zu 1000000 eine gültige TAN zu erraten. Ist die Wahrscheinlichkeit eine TAN zu raten deutlich höher, so steigt das Risiko eines erfolgreichen Angriffs auf das Konto eines Kunden.
    Beim Betrachten einer TAN-Liste der Citibank aus dem Jahre 2005 fiel auf, dass die Zahlen alle mit der selben Ziffer begannen und aufsteigend geordnet waren. Eine TAN war zwischen 167 und 1348 größer als die vorherige in der gleichen Zeile. Der durchschnittlichen Abstand betrug 263. Bildet man die Differenzen zweier benachbarter TANs und trägt diese in ein Diagramm ein, so ergibt sich das folgende Bild: Siehe vollständigen Originalartikel unter dem Link der Überschrift.

  • Unsichere TAN-Listen bei der Citibank (dab/c't) in Heise Security vom 04.10.2006
    Auszug: Die Sicherheit des PIN/TAN-Verfahrens hängt davon ab, dass sich TANs nicht erraten lassen. Die Citibank macht es Betrügern dabei möglicherweise einfacher als nötig.

Inzwischen soll das Problem einigermassen sicher gelöst sein.

Aber es gibt noch ganz andere Sicherheitslöcher

Mehr zufällig ist wohl aufgefallen, was unsere obersten Staatsschützer und Innenminister sich da ausgedacht haben. Da Herrn Schäuble gerichtlich untersagt wurde, weiter so zu verfahren, will er nun zusammen mit seinem SPD-Kumpel Wiefelspütz mal wieder per Gesetzesänderung Unrecht zu praktikablem Recht machen. Mittlerweile ist die unselige Diskussion um Schäubles grundgesetzwidrigen Sicherheitswahnvorstellungen soweit ausgeufert, dass sich sogar der Bundespräsident bemüßigt fühlte, den Innenminister auf kleinere Flammme zu drehen - was die Bundeskanzlerin nicht wirklich anficht. Die steht (noch) hinter ihrem Schäuble.

  • Überwachung: Innere Sicherheit Artikelsammlung in Die Zeit als "zeitlose" Dokumentation
    Gerade nach einem Terroranschlag werden die Forderungen nach stärkerer Überwachung laut. Telefongespräche, SMS, Biometrie - Daten sollen länger gespeichert, europaweit vernetzt und vermehrt gesammelt werden. Wie viel Freiheit braucht die Demokratie? Und wie viel Überwachung braucht sie, um die Bürger zu schützen und besser zu versorgen? Eine Sammlung von ZEIT-Texten - nicht nur zur Terrorbekämpfung, sondern auch zu Patienten- und Kundendaten

    Anmerkung: Die ZEIT bietet hier eine sehr gute Zusammenfassung eigener Artikel zum Thema. Auch für diejenigen, die immer noch meinen, sie hätten nichts zu verbergen. Denn inzwischen geht uns der Staat direkt an die Wäsche.

  • WDR-Wirtschaftsmagazin markt: Trotz verbesserter Sicherheitsvorkehrungen sind PIN-Nummern von Bankkarten zu knacken Achim Pollmeier (WDR) in Presse Portal vom 02.09.07
    Köln (ots) - Entgegen den Behauptungen der Banken, die PIN-Nummern von Bankkarten seien hundertprozentig sicher, gibt es offenbar doch Möglichkeiten, die Geheimzahl zu ermitteln und so mit gestohlenen Karten Verbraucher zu schädigen. Das berichtet das WDR-Wirtschaftsmagazin markt am Montag, 03.09.2007, 21.00 Uhr. Bislang bestreiten Banken, dass es möglich sei, die Verschlüsselungscodes zu knacken, mit denen die PIN geschützt wird. Die Gerichte sind dieser Argumentation bisher fast immer gefolgt. Für Verbraucher hatte das zur Konsequenz, dass sie den durch Kartendiebstahl entstandenen Schaden selbst tragen mussten.

    Anmerkung: Endlich wird diese Sicherheitsschlamperei der Banken veröffentlicht, über den diese über Jahrzehnte den wissentlichen Betrug an ihren Kunden sanktioniert haben. Allerdings ist das noch nicht bei allen Richtern angekommen, wie neueste Urteile zeigen. Und das trotz eines Falles, wo die PIN noch im ungeöffneten verschlossenen Umschlag im heimischen Tresor lag.

  • Wenn der Nachbar heimlich mitsurft (je/c't) in Heise Online vom 21.07.07
    Nicht nur falsch eingerichtete WLANs öffnen ungebetenen Mitsurfern und Datenspionen den Zugang. Auch ein Konfigurationsfehler beim Provider kann dazu führen, dass DSL-Kunden unwissentlich Daten für andere Kunden desselben Providers freigeben, berichtet die c't in ihrer Ausgabe 16/07.

    Anmerkung: Hier geht es erst mal um das grundsätzliche Verständnis eines DSL-Anschlusses - der im Grundsatz ein aktiver Ethernetanschluß ist. Ein angeschaltetes xDSL-Modem hat also immer eine Verbindung zum Provider (auch wenn man ohne Login nicht surfen kann), die bei falscher Einrichtung lokal oder auf Proverseite fatal sein kann, da auch ohne Login trotzdem eine Verbindung zu anderen Rechnern hergestellt werden kann. Darum ist die sichere Lösung zur Abkoppelung des lokalen Rechners bzw. Netzes vom Rest der Welt immer ein Router. Allerdings eröffnet die bei Hansenet aufgetretene Panne natürlich auch ungeahnte Möglichkeiten im Sinne des gezielten Ausspionierens durch staatliche (oder andere) Stellen von der Providerseite her.
    Warum bei Hansenet (Alice) die Siemens Modems als Ethenernet-Bridge eingerichtet ausgeliefert werden, statt die ebenso integrierte Routerfunktionalität zu nutzen, wird wohl Alices Geheimnis bleiben.

  • Geldautomaten-Betrug: Der Kunde tippt, der Betrüger liest mit Katharina Iskandar in Frankfurter Allgemeine Zeitung vom 11.06.07
    Es war nichts Auffälliges an dem Geldautomaten, der in der Außenwand eines Bankhauses an der Konstablerwache eingelassen war. Nichts, was die Kunden hätte stutzig machen müssen. Sie haben wie üblich ihre Karte in das Lesegerät gesteckt, die PIN eingegeben. Dass ihre Daten just in diesem Moment per W-Lan an einen Unbekannten gesendet wurde, der mit seinem Laptop womöglich nur wenige Meter nebenan im Café gesessen hat, konnten die Bankkunden nicht ahnen. Das Gaunerstück flog wenige Tage später auf: Da waren ihre Konten schon leergeräumt.

  • Sparkassen schlampen bei Online-Banking-Sicherheit (ju/c't) in Heise Security vom 18.05.07
    Auszug: Die Web-Seiten für das Online-Banking vieler Sparkassen enthalten mehrere heftige technische Fehler, über die sich nahezu perfekte Phishing-Seiten erstellen lassen. Die dazu erforderlichen Angriffstechniken namens Cross Site Scripting (XSS) und Frame Spoofing sind bereits seit Jahren bekannt und sorgten in der Vergangenheit immer wieder für Schlagzeilen. Dass ausgerechnet die Login-Seiten eines ganzen Online-Banking-Portals dagegen anfällig sind, lässt eigentlich nur die Schlussfolgerung zu, dass sich die Verantwortlichen in den vergangenen Jahren nicht ausreichend um deren Sicherheit gekümmert haben.

  • Trojaner nutzen Windows-Update-Downloader (ju/c't) in Heise Online vom 16.05.07
    Auszug: Bei der Analyse von Ende März versandten Trojaner-Mails fanden Symantec-Forscher eine neue Methode, die die Schädlinge zum Nachladen weiterer Komponenten nutzen. Der Trojan-Downloader TrojanDownloader:Win32/Jowspry beauftragte den Background Intelligent Transfer Service (BITS, Intelligenter Hintergrundübertragungsdienst), der beispielsweise für den Download von Windows-Updates verantwortlich zeichnet, mit dem Herunterladen weiterer Schadmodule.
    Bislang mussten Schädlinge einigen Aufwand betreiben, um der Erkennung durch Personal Firewalls zu entgehen. Einige Trojan-Downloader bestätigten Nachfragen von Firewalls automatisch, steuerten andere Anwendungen wie den Internet Explorer fern oder injizierten eigenen Code in andere, für den Netzzugriff freigegebene Programme. Die Variante, keine eigenen Download-Routinen zu programmieren, sondern in Windows integrierte Mechanismen zur Umgehung der Firewall zu nutzen, ist ein Novum.

  • Know How: Bundestrojaner: Geht was – was geht Jürgen Schmidt in Heise Security vom 11.03.07
    Technische Optionen für die Online-Durchsuchung
    Die meinen das Ernst: Das unbemerkte Durchsuchen von PCs durch Ermittlungsbehörden soll gesetzlich geregelt und anschließend auch technisch umgesetzt werden. Und rein technisch wäre das sogar machbar. Doch erst bei genauer Betrachtung zeigt sich, in welches Dilemma die Behörden dabei geraten.
    Einige Spekulationen rund um das heimliche Ausforschen von Internet-PCs kann man schnell aussortieren. Selbst wenn es – wie im Kontext des sogenannten NSA-Keys vermutet – tatsächlich eine Hintertür in Windows geben sollte, käme die für solche Zwecke kaum zum Einsatz. Käme die Existenz einer solchen Hintertür raus – und das würde sie früher oder später – wäre es ein PR-GAU ohnegleichen. Und es ist kaum vorstellbar, dass ein multinationaler Konzern wie Microsoft das Wohl & Wehe seines Aktienkurses der Schweigsamkeit eines deutschen Polizisten anvertraut. So ganz ohne weiteres kann man nicht von außen die Daten eines Rechners zugreifen; im Regelfall wird der Netzwerkverkehr des Zielsystems gefiltert. Auf Systemen mit direktem Internet-Zugang kommen oft Personal Firewalls zum Einsatz, in vielen Fällen erledigt diese Aufgabe aber auch ein externer Router mit Firewall-Funktionen, der nur ausgehenden Verkehr zu lässt. Zugang für Online-Durchsuchungen über eine Hintertür in Firewalls ist zwar technisch möglich aber schon aufgrund der Vielfalt eher unwahrscheinlich. Somit muss man irgendwas an der Firewall vorbeischmuggeln, was dann die Tür von Innen öffnet.

    Anmerkung: Eine fundierte ausführliche Betrachtung über Möglichkeiten, Risiken und Nebenwirkungen. Wenn man sich dann noch obigen Artikel: Wenn der Nachbar heimlich mitsurft bei Heise anschaut, kommt man wohl drauf, wie der Zugriff nachher gedacht ist.

  • Die ETSI-Dossiers: Europäische Schnittstellen zur Überwachung sämtlicher digitaler Netze Erich Moechel in Telepolis vom 26.03.01
    Auszug: Ein internationaler Verbund von Polizeibehörden und Geheimdiensten entwickelt einen weltweiten Standard zum Abhören digitaler Netze. Hand in Hand mit der Industrie legen die Gremien, die ihre Tätigkeit immer mit dem Etikett "lawful" schmücken, die Technik der Abhörschnittstellen fest - am EU-Parlament vorbei. Von Anfang an arbeiteten hier US-Behörden mit den EU-Ländern zusammen.

    Anmerkung: Ein erschreckendes Dokument, das schon vor sechs Jahren über diese Schnüffelei und Spionage berichtet. Seit 1998 arbeiten Polizei und Dienste der EU und der USA fröhlich miteinander weitab von Parlamenten zusammen mit der Industrie, die diese Schnittstellen in in alle Telefonanlagen, Provider-Router (und inzwischen wohl auch in Home-Geräte wie DSL-Router und kleinen Telefonanlagen) installiert und den unwissenden Menschen verkauft. Wozu bedarf es da noch einer "Vorratsdatenspeicherung" und/oder eines "Bundes-Trojaners", wenn Telefonanaschluß und Internetzugang schon seit Jahren sowohl zentral beim Provider als auch direkt zugänglich sind? Oder sollen darüber die Bedürfnisse der anderen Klientel wie z.b. der Urheberrechtler aus Musik- und Filmindustrie, Verwertungsgesellschaften und Anwälten befriedigt werden? Die werfen dann eine IP-Adresse zum Provider, der mit Namen und Anschrift antwortet und dann hagelt es Abmahnungen. Offensichtlich ist das in fast 10 Jahren heimlich schon so weit fortgeschritten und installiert, das es sicher funktioniert - denn anders wären so genannte "Online-Durchsuchungen" kaum möglich. Wenn aber von Staats wegen "man in the middle"-Attacken ausführbar sind, bleibt für ortsgebundene Bürger kaum eine Chance. Von Rechtsstaatlichkeit keine Spur. Dazu passt die folgende neue Meldung sehr gut.

  • Sogenannte Online-Durchsuchungen: Wie die Behörden Computer ausspionieren otr./F.A.Z. Frankfurter Allgemeine Zeitung vom 05.02.07
    Auszug: Das treffendere Wort für die „Online-Durchsuchung“ von Computern wäre „Online-Kaperung“. Denn kein Computer kann nur dadurch ausspioniert werden, dass er ans Internet angeschlossen ist. Die Sicherheitsbehörden müssen zunächst spezielle Spionage-Programme auf den verdächtigen Rechner installieren, um sie auszuspähen - und sie müssen sie fernsteuern. Das ist so, als ob bei einer Hausdurchsuchung zuvor ein Beamter in die Wohnung geschmuggelt werden müsste, um die Tür von innen zu öffnen.
    Solche Programme heißen „Trojaner“ - frei nach dem Trojanischen Pferd. Das technische Prinzip ist simpel: Der Trojaner kommt als E-Mail-Anhang getarnt auf den Rechner oder von einer Internet-Seite, auf der man etwas herunterlädt. Das Programm startet sich dann von selbst und durchsucht die Daten auf der Festplatte.
    Der Unterschied zur Hausdurchsuchung: Der Computerbenutzer merkt nichts von der Ausspähung. Trojaner nutzen Sicherheitslücken, die nur mit großer Sachkenntnis gestopft werden können. „Der Privatnutzer kann sich dagegen kaum schützen“, sagt Constanze Kurz, Sprecherin des Chaos Computer Clubs, einer Lobby-Organisation, die für möglichst wenig staatliche Überwachung im Internet eintritt.

  • Schäuble fordert Gesetz für Online-Durchsuchungen FAZ, dpa in Frankfurter Allgemeine Zeitung vom 05.02.07
    Auszug: Nach der Entscheidung des Bundesgerichtshofs (BGH), der Polizei das heimliche Ausspionieren von Computern über das Internet zu untersagen, will Bundesinnenminister Wolfgang Schäuble (CDU) schnell eine entsprechende Rechtsgrundlage schaffen, um diese Praxis fortzusetzen. „Aus ermittlungstaktischen Gründen ist es unerlässlich, dass die Strafverfolgungsbehörden die Möglichkeit haben, eine Online-Durchsuchung nach entsprechender richterlicher Anordnung verdeckt durchzuführen“, sagte Schäuble am Montag.

    Anmerkung: Wer schützt den Bürger vor dieser Form des Staatsterrorismus und der allgemein zunehmenden staatlichen Willkür? Die unbelehrbaren Frontmänner Schäuble (CDU) und Wiefelspütz (SPD) und deren weitgehend unsichtbaren, aber dafür umso mächtigeren Hintermänner höhlen die grundgesetzlich garantierten Bürgerrechte tagtäglich tiefer aus.

  • HiB: Abziehen von Daten auf fremden Computern mittels spezieller Software Im Bundestag notiert: hib-Meldung 390/2006 vom 18.12.06
    Recht/Kleine Anfrage
    Berlin: (hib/BOB) Seit wann deutsche Sicherheitsbehörden das heimliche Abziehen von Daten auf fremden Computern mittels spezieller Software (Online-Durchsuchungen) anwenden und bei welchen Sicherheitsbehörden dies der Fall ist, will die Linksfraktion wissen. Sie hat dazu eine Kleine Anfrage (16/3787-PDF-Datei) eingereicht.

    Anmerkung: Diese kleine Anfrage der Linksfraktion hat es in sich. Denn eigentlich dürfte das überhaupt nicht funktionieren, dass Online die Sicherheitsbehörden fremde Rechner ausspionieren. Es sei denn, dass Microsoft (und andere OS-Anbieter) von der amerikanischen Regierung doch dazu verpflichtet wurden, sogenannte geheime Hintertüren einzubauen. Von der erheblichen Verletzung von Bürgerrechten soll hier gar nicht angefangen werden - aber Betriebssysteme mit regierungsamtlicher Hintertür auf Festplatte(n) und angeschlossene Geräte des Beitzers sind ja nun wohl das Allerletzte.
    So beschleicht einen immer wieder das Gefühl, die vielen gefundenen Löcher z.B. in Windows sind nicht zufällig entstanden sondern gezielt eingebaut. Falls die falschen die Löcher finden, werden diese nach einiger Zeit zugemacht (die Behörden brauchen ja etwas Zeit zur Umstellung) und dabei möglicherweise ein neuer Zugang geöffnet - und das Spiel beginnt von vorne.
    Mit etwas Kenntnis der Materie wird entweder über geplant bestehende Zugriffslöcher oder mit Unterstützung des Providers eine kleine Software in einen vom Benutzer abgerufenen Datenstrom mit eingespeist, die sich dann wie ein Trojaner auf dem staatlich angegriffenen Rechner installiert und dort alles mögliche veranstalten kann, Daten ausspähen und sich notfalls auf Befehl oder zeitlich voreingestellt auch wieder selber löschen kann.
    Es dürfte davon auszugehen sein, dass die Anfrage der Linksfraktionsicherlich nur sehr unzureichend beantwortet wird.

Diese kleinen bei YouTube gefunden Videos zeigen alltägliche Problemzonen und wie leicht diese zu überwinden sind.

  • Wahlstimmenklau im manipulierten Wahlcomputer
    Ein echtes Sicherheitsloch bei jeder Wahl mit solchen Geräten
    Das Video (englisch) zeigt am Beispiel eines Diebold-Wahlcomputers, wie einfach und und vor allem nicht nachweisbar so etwas funktioniert. Hinterher kann niemand mehr nachprüfen, für wen tatsächlich Stimmen abgegeben wurden, da es keine Wahlzettel zum Auszählen mehr gibt.

    Dazu passt gut diese Meldung:
    Niederländische Bürgerinitiative knackt Nedap-Wahlcomputer (Richard Sietmann)/(anw/c't) in Heise Online vom 05.10.2006
    Auszug: Der niederländischen Bürgerinitiative "Wij vertrouwen stemcomputers niet" (Wir vertrauen Wahlcomputern nicht) ist es kurz vor den bevorstehenden Parlamentswahlen am 22. November offenbar gelungen, einen Wahlcomputer des Typs Nedap ES3B (Anmerkung: dieser wird auch in Deutschland verwendet!) so zu manipulieren, dass dieser bei der Auszählung der Stimmen das Wahlergebnis verfälscht. In einem gestern ausgestrahlten Beitrag der Sendung Een Vandaag des holländischen Fernsehens Nederland 1 führte die Gruppe vor laufender Kamera vor, wie sie das Steuerungsprogramm des Wahlcomputers einfach durch den Wechsel zweier gesockelter EPROMS auf der Platine austauschte. Um an die Bausteine zu gelangen, mussten lediglich einige Gehäuseschrauben gelöst werden. Der gesamte Eingriff benötigte nicht einmal fünf Minuten.

    Den Beweis, "dass man mit unserer Wahlmaschine auch Schach spielen kann", so Nedap-Geschäftsführer Groenendaal, "würde ich gerne vorgeführt bekommen". In dem gestern ausgestrahlten Beitrag tat ihm die Gruppe den Gefallen, indem sie auf dem gehackten Gerät ein Schachprogramm installierte: Der umfunktionierte Wahlcomputer eröffnete mit d2-d4.

Gut dazu passend auch folgende Meldung bei Heise Online:

  • Floridas Wahlcomputer führen erneut Eigenleben (pmz/c't) in Heise Online vom 31.10.06
    Ein echtes Sicherheitsloch bei jeder Wahl mit solchen Geräten
    Obwohl die Kongresswahlen in den USA, bei denen alle 435 Sitze im Repräsentantenhaus sowie 33 Sitze im Senat zur Disposition stehen, offiziell für den 7. November anberaumt sind, ist der Stimmabgabeprozess in den Vereinigten Staaten bereits voll im Gang. Insgesamt 23 Bundesstaaten bieten ihren Bürgern per "Early Voting" (auch "Vote Banking" genannt) die Möglichkeit, Stimmen bereits rund zwei Wochen vor dem eigentlichen Urnengang abzugeben. Gebrauch können davon Personen machen, die am eigentlichen Wahltermin verhindert sind, etwa wegen eines Krankenhausaufenthalts oder einer Auslandsreise. In Florida zeigt sich beim "Early Voting" allerdings, dass die im Vorfeld der Wahlen befürchtete Unzuverlässigkeit von Wahlcomputern nackte Realität ist. Die Tageszeitung Miami Herald berichtet von teilweise haarsträubenden Verhältnissen bei der Stimmabgabe an eVoting-Maschinen im Sonnen-Staat. Auffallend häufig wollen die Geräte demnach Stimmen, die eigentlich für demokratische Kandidaten abgegeben wurden, den republikanischen Kontrahenten zuordnen. "Ich bin schockiert", zitiert der Miami Herald einen Wähler, der erst unter Mithilfe eines Wahlhelfers und nach mehreren Versuchen seine Stimme für den von ihm präferierten Kandidaten abgeben konnte. Florida hatte im Rahmen der Präsidentschaftswahlen vor zwei Jahren damit begonnen, "Early Voting" einzuführen, was damals von mehr als einer Million Bürger genutzt wurde. Der Wahlprozess war jedoch mit zahlreichen Pannen verbunden. So wurden beispielsweise im Volusia County die abgegebenen Stimmen versehentlich gelöscht. Hartnäckig halten sich auch Vorwürfe, dass in Florida Wahl-Computer gehackt und Wahlergebnisse gezielt manipuliert wurden. In einigen Bezirken stellte der spätere Wahlausgang die eigentlich zu erwartenden Ergebnisse auf den Kopf.

Auch die folgenden Dokumentationen haben es in sich:

  • Ihre Daten in den falschen Händen
    Knacken eines mit Fingerabdrucksensor mit Wärme- und Pulsschlagerkennung geschütztem Schlosses
    Das kleine Filmchen zeigt die Absurdität biometrischer "Sicherheit".

    Der Autor der Webseite "bootsektor" meint dazu: "Falls angesichts dieser gesammelten Erkenntnisse noch ein Volksvertreter in Bund und/oder Ländern fortfährt, nach gesteigerter Datenerfassung sowie biometrischen "Sicherheitsmassnahmen" zu krakeelen, stempelt er/sie sich selbst zum Vollidioten ohne einen blassen Schimmer vom tatsächlichen Stand der Technik. Kann man das so sagen? Ich glaube schon." [fe]

  • Sicherheitsschlösser einfach aufklopfen
    Ein echtes Sicherheitsloch bei jedem noch so teuren Schloss
    Das Video (englisch) zeigt Ihnen, wie einfach und schadenfrei so etwas funktioniert mit einem minimal angepassten Basis-Schlüssel für die jeweilige Schlossgruppe. Ach ja - und viel Spaß mit der Versicherung, wenn Haus oder Wohnung ausgeräumt sind, aber keine Einbruchsspuren vorliegen.

    Na - überzeugt? Das billigste Schloss tut es auch. Und lassen Sie sich vom Schlossnotdienst nichts erzählen darüber, wie schwierig es war, "Ihre" Tür zu öffnen. Das ist alles nur Show, wenn er es anders tut als hier gezeigt, wenn Sie dabei stehen. Jetzt wissen Sie es besser.

Wo wird uns mit welcher Methodik nachgeschnüffelt?

Auf dieser Seite versuchen wir eine nicht repräsentative Sammlung von Presseberichten aktuell zu halten.
Kleine Übersicht, was so alles ans Licht der Welt gekommen ist (oder in Arbeit ist). Wir gehen erschreckenden Zeiten als durchsichtige Bürger entegegen. George Orwells "1984" und die Möglichkeiten der DDR-Stasi sind dagegen Kinderkram.

Leitsätze

  1. Wer Sicherheit will, sollte sich zuerst fragen, warum und wogegen er sich schützen möchte (als Konzept aufschreiben und sich vor allem daran halten!) und welchen Preis er dafür zu zahlen bereit ist. Der Preis ist zum einen wirtschaftlicher Natur, zum anderen auch die (gelegentlich unbequeme) Praktikabilität im täglichen Umgang mit Rechner, Software und Daten. Für jemanden, der dazu neigt, in Emails gestellte Fragen zu seinen Online-Banking PIN und TAN zu beantworten, könnte die sich ergebende sichere Alternative z.B. vielleicht sein, wieder zu händisch ausgefüllten Überweisungsformularen zu greifen und diese bei der Bank oder bei der Post einzuwerfen. Und solche - möglicherweise unbequemen - Ersatzlösungen gibt es haufenweise. Vor dem unbedarften Benutzer (gerne auch von Fachleuten als "DAU" - Dümmster Anzunehmender User - bekrittelten Anwender) kann keine Sicherheitssoftware wie Firewall oder Virenscanner schützen, sondern diese gaukelt nur eine trügerische Sicherheit vor und wird damit eher zum selbst installierten Schädling.
  2. Die Sicherheit eines jeden Betriebssystemes, der installierten Applikationen und der abgelegten Daten hängt neben der von der Software bereitgestellten weitgehenden Fehlerfreiheit und deren Aktualisierung auch von der Auswahl verschiedener Hardwarekomponenten und in einem sehr hohen Ausmaß immer auch von den Menschen ab, die den Rechner eingerichtet haben und denen, die diesen Rechner benutzen. Neben Fehlern in Programmen ist nach wie vor der Mensch vor dem Rechner die größte Fehlerquelle und wird dadurch zum Sicherheitsproblem am eigenen Rechner.
  3. Je weniger Rechte der jeweilige Anwender an seinem Rechner hat, desto weniger Schaden kann er für sich selbst und andere anrichten. Das gleiche gilt dann auch für eingeschleuste bösartige Software - die sich ohne nötige Rechte nicht wirkungsvoll installieren und/oder ausbreiten kann.
  4. Arbeiten Sie also keinesfalls ständig als "Administrator" oder "Hauptbenutzer" an Ihrem Rechner, sondern ausschliesslich als Benutzer mit eingeschränkten Rechten. Leider ist das bei Windows NT, 2000 und XP der Standard nach der Installation.
  5. Benutzen Sie Passwörter bei der Windows-Anmeldung und wenn die Möglichkeit dazu besteht wie z.B. bei Programmen für Online-Banking.
  6. Benutzen Sie aktuelle Sicherheitssoftware mit regelmässig aktualisierten Referenzdateien. Hier finden Sie eine kleine Übersicht derartiger Software
  7. Verlassen Sie sich nicht ausschliesslich auf die installierte Sicherheitssoftware, sondern agieren Sie überlegt und ohne Hektik im Internet und beim Bearbeiten von Mails und unbekannten Dateien.
  8. Aktualisieren Sie regelmässig Ihre Windows-Installation - sofern es für Ihre Version Aktualisierungen gibt. Microsoft stellt im monatlichen Rythmus jeden zweiten Dienstag zum sogenannten "Patchday" Updates bereit, die kritische Lücken zu Ihrer Sicherheit schliessen sollen.
  9. Setzen Sie vor jeder Installation einen Wiederherstellungspunkt (ab XP und bestimmte Win9x-Versionen) bzw. erstellen/aktualisieren Sie besser vorher ein Image. Das dauert nur wenige Minuten und gibt Ihnen die Sicherheit mit minimalem Aufwand verlustfrei auf den bisher bekannten Stand zurück kehren zu können.
  10. Installieren Sie nur Software aus vertrauenswürdigen Quellen und vor allem - nur solche, die Sie wirklich regelmässig benötigen. Viele Rechner mutieren mit der Zeit zum Software- und Datengrab, wo keiner mehr weiß, wofür die jeweilige Software gut ist und warum die überhaupt jemals installiert wurde.
  11. Prüfen Sie nach der Installation neuer Software alle Menüpunkte in deren Konfiguration, ob es da Einstellungen zu deaktivieren gibt, die eine Verbindung zum Internet herstellen wollen. Nicht nur Programme, die mit Videos und Musik umgehen (z.B. die diversen Mediaplayer mitsamt ihren unsäglichen Visualisierungen) sind bekannt dafür, bei diversen Gelegenheiten "nach Hause zu telefonieren" und manchmal auch ungefragt andere Ziele ansteuern. Unterbinden Sie sowas notfalls in Ihrer Firewall.
  12. Sichern Sie regelmäßig Ihre Daten und z.B. Bilder auf andere Datenträger wie CDs und DVD's, die eine gute Qualität haben sollten für eine lange Lebensdauer Ihrer wichtigen Daten und unwiderbringlichen Bilder
  13. Achten Sie bitte darauf, was Ihnen da so alles an kleinen (und meist vollkommen überflüssigen) Helferlein in den Autostart gepackt wird und im Untergrund wertvolle Ressourcen frisst. Vielfach erscheinen nach dem Installieren von Hardware wie z.B. Druckern, Scannern, Grafikkarten, Mäusen und Tastaturen usw. eine oder mehrere neue Ikonen im sogenannten Tray in der rechten unteren Bildschirmecke. Jedes dieser kleinen Progrämmchen verbraucht Speicher und Rechenzeit und die darüber zugänglichen Funktionen erreichen Sie immer auch über [Start - Programme - Programmname]. Kritische Stimmen betrachten die ungefragt installierten Softwarezugaben von Logitech gar als Spyware, die auch gerne "nach Hause telefoniert". Hier sollten Sie also nur wirklich regelmässig benutzte Programme zulassen wie z.B. Firewall und Virenscanner (zumal das gerade bei den beiden letzteren auch die Funktionsanzeige darstellt).
  14. Programme wie OSA.EXE (lädt einen Teil von Office bereits beim Rechnerstart, damit Office-Anwendungen wenige Sekunden schneller starten), CFTMON.EXE (für Sprachumschaltungen in Office, die kaum ein Anwender benötigt), dem Windows (und anderen) Messenger und Anwendungen wie z.B. Netmeeting & Co., Remote Access und Remote Desktop (neben weiteren massiven Sicherheitsrisiken auch Ressourcenfresser, falls Sie diese gar nicht nutzen) stehlen Ihnen wertvolle Ressourcen, die Sie möglicherweise für andere Anwendungen dringend benötigen.
  15. Falls Sie (immer noch) den Internet Explorer benutzen, sollten Sie sich die möglichen Sicherheitszonen und deren erlaubte Inhalte und Möglichkeiten kritisch anschauen. "ActiveX" sollte ausschliesslich bei Kontakt mit nachgewiesen sicheren Seiten erlaubt sein (wie z.B. im lokalen Intranet oder beim Microsoft-Update). Java und Javascript stellen weitere Sicherheitslöcher dar, über das auf bösen Seiten Gefahr droht und daher möglichst nur bei bekannten Seiten, die nicht ohne funktionieren, aktiv gesetzt werden sollten. Wenn unbekannte Seiten nicht ohne Javascript und/oder ActiveX funktionieren, sollte man drüber nachdenken, was man dort verloren hat (oder dort will) und diese schnellstmöglich verlassen - denn es droht höchste Gefahr. Der Trend bei Viren und Trojaner geht immer mehr zu meist unauffälligem Verhalten mit dem Ziel, den befallenen Rechner entweder auszuspionieren (z.B. über Abspeicherung von Tastatureingaben und Screen-Shots bei Aufruf bestimmter Webseiten) oder aber den Rechner als ferngesteuerten Wirt zu benutzen für den Versand von Spam-Email und Denial of Service-Angriffen auf bestimmte Server. Hierfür existieren bereits sogenannte Rechnerfarmen aus hunderttausenden befallener Rechner, die als Dienstleistung gegen Geld für solche Zwecke "vermietet" werden.
  16. Ein weiteres Thema sind insbesondere beim Internet Explorerer die sogenannten Browser Helper Objects (BHO), die nützlich sein können, aber auch viele Gefahren beinhalten. Hier sollten Sie sich immer wieder fragen, ob diese oder jene Toolbar von Google, Yahoo, T-Online oder sonst wem, wirklich die grosse Hilfe ist, für die sie sich ausgibt. Oft dienen diese weniger dem Anwender, als vielmehr dem Herausgeber zum DataMining - also dem Datensammeln über Benutzergewohnheiten im Internet.
  17. Wenn Sie sich in Internet-Foren anmelden - benutzen Sie für jedes Forum ein anderes Pseudonym - vor allem eines, aus dem nicht auf Sie als Person geschlossen werden kann. Sonst kann es Ihnen passieren, über Ihren Benutzernamen z.B. bei Google ganz schnell ziemlich durchsichtig zu werden.

Ergänzende Informationen

  • Verbraucherschützer werfen Tele2 unlautere Telefonwerbung vor (pek/c't) in Heise Online vom 16.02.07
    Bei einem dieser Werbeanrufe hatten die Telefonwerber ausgerechnet den Juristen der bayerischen Verbraucherschützer am anderen Ende der Leitung. Der zog vor das Düsseldorfer Landgericht und erwirkte gegen Tele2 eine Unterlassungsverfügung (Aktenzeichen: 38 O 145/06). "Das Unternehmen ist hier ein Dauerkunde und schon häufiger abgemahnt worden", sagte ein Gerichtssprecher. Im vorliegenden Fall hatte sich Tele2 darauf berufen, das Direktmarketing nicht selbst durchzuführen. Zudem habe der Kläger an einem Gewinnspiel teilgenommen und dabei sein Einverständnis für Telefonwerbung erklärt.
    Da waren die Richter allerdings ganz anderer Meinung.

  • Vorsicht am Telefon! in ZDFheute.de vom 26.09.06
    Böses Erwachen bei ungewollten Verträgen
    Dass Telefonwerbung ohne vorherige Einverständnis des Angerufenen verboten ist, sollte eigentlich bekannt sein. Das sich viele Unternehmen nicht daran halten, auch. Dass man aber nach einem solchen Anruf, bei dem man sich auf ein Gespräch eingelassen hat, eine Vertragsbestätigung bekommt (die man meist innerhalb der 14 Tage nach dem Fernabsatzgesetz nicht kündigen kann, weil einen der Anbieter einfach ignoriert), das ist noch mal eine neue Dimension der Telefonwerbung.

  • Anonym im Netz?: Welchen Diensten kann man vertrauen? Joerg Heidrich in Spiegel Online vom 25.09.06
    Es gibt viele Gründe, warum man vielleicht lieber anonym in den weltweiten Netzwerken stöbert - und viele Behörden, die gern dabei zusehen. Netz-Nutzern auf der Suche nach Diskretion bieten sich eine ganze Reihe von Diensten an, doch nicht alle verdienen Vertrauen.
    Alle anderen Anonymisierungsdienste wie Anonymizer, Proxyblind oder The Cloak hält Andreas Pfitzmann, Informatikprofessor an der TU Dresden und für AN.ON technisch verantwortlich, nicht für vertrauenswürdig. Sie handelten allein nach dem Prinzip der Gutgläubigen: "Wir sind die Guten und vertrau uns."
    "Aus Sicht von Geheimdiensten ist es sogar eine sinnvolle Strategie, einen Anonymisierungsdienst unter einem Decknamen zu betreiben", fügt Pfitzmann hinzu, "weil dann eventuell auch verdächtige Personen den Dienst nutzen werden."
  • Fragwürdiges Gesetz gegen Hacker-Tools: "Kontraproduktiv für die IT-Sicherheit" Joerg Heidrich in Spiegel Online vom 25.09.06
    Neue Vorschriften gegen Computerkriminalität sollen die Verbreitung von Hacker-Software unter Strafe stellen. Der Plan schießt übers Ziel hinaus: Viele Firmen sind auf solche Software angewiesen - um Schwachstellen im eigenen System zu finden.
    Wirklich eine fragwürdige Idee - denn genau damit wird das Aufdecken von Sicherheitslücken verboten - nicht aber das Ausnutzen dieser Lücken
  • Sinnvoller Schutz für den Windows Internet-PC
    Auf dieser Webseite finden Sie viele weitere Informationen.
  • Das System nach einer Infektion neu aufsetzen
    Auf dieser Webseite wird beschrieben, warum das die beste Methode ist.
  • Netzwerkwürmer
    Verbreitungsweg, Eigenschaften, Schutz und Entfernung
  • Mailwürmer
    Fragen und Antworten
  • Schädlingen auf der Spur
    Eine detaillierte Beschreibung, was man sich so einfangen kann und welche Folgen das haben kann, lesen Sie in diesem vierteiligem Artikel bei Heise Security
Bitte beachten Sie: Alle Logos, Textmarken, Markenzeichen, Handelsmarken und Trademarks sind Eigentum der jeweiligen Firmen.
Ihre Benutzer-Info
IP-Adresse :
| weiter Vorratsdatenspeicherung und Überwachung
Seitenanfang