Archiv des Autors: guenna

BND belauscht Internetverkehr von 25 Internet-Providern

Der Bundesnachrichtendienst (BND) belauscht angeblich seit mindestens zwei Jahren die Leitungen von 25 Internet-Providern, von deren Leitungen er am Datenknotenpunkt De-CIX in Frankfurt einige anzapft. Das berichtet das Nachrichtenmagzin Der Spiegel, der sich auf eine Anordnung zur „Beschränkung des Brief-, Post- und Fernmeldegeheimnisses“ bezieht. Dieses vom Bundeskanzleramt und Bundesinnenministerium abgezeichnete vertrauliche Schreiben zur strategischen Fernmeldeaufklärung habe der BND an den Verband der deutschen Internetwirtschaft eco verschickt. Die rechtliche Grundlage ist im G10-Gesetz geregelt.

In der Anordnung werden laut Spiegel neben ausländischen die deutschen Unternehmen 1&1, Freenet, Strato AG, QSC, Lambdanet und Plusserver genannt. Die Spähaktionen des BND richteten sich vor allem gegen Länder oder Regionen wie Russland, Zentralasien, den Nahen Osten und Nordafrika. Dort ansässige Provider würden ebenfalls aufgeführt. Der BND werte den Datenstrom nach Schlagworten zur Bereichen wie wie Terrorismus oder Proliferation aus. E-Mails und Telefonate von Deutschen seien nicht darunter. Diese seien grundsätzlich tabu.

Wie der BND vermeidet, bei der strategischen Fernmeldeüberwachung innerdeutschen Verkehr zu erfassen, ist nicht bekannt. Eine Antwort auf eine kleine Anfrage der Grünen im Bundestag wollte die Bundesregierung im September an diesem Punkt aus Gründen des „Staatswohls“ nicht geben. Auf die Frage, wie groß die vom BND erfassten Datenmengen sind, hatte die Regierung geantwortet: „Eine statistische Erfassung von Daten im Sinne der Frage fand und findet nicht statt.“ (anw)

Deutsche Mail-Provider lassen tracken

Die Mail-Provider T-Online, GMX, Web.de, Freenet und 1und1 lassen es zu, dass ihre Kunden beim Lesen ihrer Mail beobachtet werden. Konkret passiert das über sogenannte Tracking-Pixel, die etwa beim Öffnen der Nachricht im Webmail-Frontend automatisch geladen werden. Dies verrät dem Absender, dass, wann, womit und wo ungefähr diese Mail gelesen wurde. Auch Nutzer von iPhones oder Apple Mail haben dieses Problem, berichtet c’t in der aktuellen Ausgabe.

Das Tracking funktioniert über das automatische Nachladen von Bildern aus dem Internet, das die meisten Webmailer standardmäßig einschalten. Schlimmer noch: Die Mitglieder der Aktion „E-Mail made in Germany“ T-Online, GMX, Web.de und Freenet bieten nicht einmal eine Option, das abzuschalten, versenden aber teilweise selber E-Mails mit Tracking-Bildern. Durch das Nachladen dieser unsichtbaren Bilder erfolgt beim Öffnen der Mail ein Zugriff auf den Server des Absenders. Dieser verrät ihm nicht nur, dass die Mail einen Leser gefunden hat, sondern auch dessen IP-Adresse, die sich einem Provider und einem ungefähren Ort zuordnen lässt und das verwendete Programm – also etwa Firefox 19 auf Windows 7. Und diese Informationen sind bares Geld wert.

Ausgerechnet die angeblichen „amerikanischen Datenschutz-Schlampen“ Yahoo und Google zeigen, dass es auch anders geht. Hier kann der Anwender selbst zwischen Komfort und Privatsphäre wählen; standardmäßig ist das automatische Nachladen aber abgeschaltet. Externe Elemente erscheinen dann erst, wenn der Anwender „Bilder nachladen“ anklickt. Das ist auch die Voreinstellung spezieller Mail-Programme wie Thunderbird und auch Windows Mail. Lediglich Apple Mail tanzt aus der Reihe und lädt standardmäßig alle möglichen Inhalte nach. Dort – wie auch bei iOS-Geräten muss der Anwender das selbst in den Einstellungen abschalten. Viele Mail-Apps auf Android-Smartphones laden ebenfalls bestimmte Elemente nach. Die werden allerdings derzeit nicht zum routinemäßigen Tracking eingesetzt. (ju)

Ombudsmann warnt vor Onlineshop-Falle

Auf seiner Watchlist Internet warnt der Internet-Ombudsmann in Österreich vor dem Internet-Shop der Firma „Factory Store OHG“. Der vermeintlich aus demselben Land stammende Elektronik-Anbieter bewirbt verlockend günstige Schnäppchen unter anderem über Kleinanzeigen-Portale. Doch wer bei diesem Fake-Shop bestellt, erhält laut zahlreicher Meldungen von Geschädigten keine Ware und verliert sein Geld.

Zu den Lockangeboten gehören unter anderem besonders günstige Preise für das iPhone 5 oder die Playstation 3 mit dem aktuellen Spiel „GTA 5. Wer darauf eingeht, wird aufgefordert, den Kaufbetrag per Vorauskasse zu überweisen.

Die Watchlist Internet gibt Tipps, wie man die Vertrauenswürdigkeit eines Online-Shops prüfen kann: „Bei Anzeichen wie verdächtig günstigen Preisen, Vorauszahlung mittels Banküberweisung als einziges Zahlungsmittel und einem mangelnden oder gar fehlenden Impressum ist äußerste Vorsicht geboten“, erklärt Bernhard Jungwirth, Projektleiter „Internet Ombudsmann“.

Wer Online-Betrugsfälle vermutet, kann dies bei der Watchlist melden. Der Internet-Ombudsmann bietet außerdem eine kostenlose Beratung oder Streitschlichtung in konkreten Fällen an. Geschädigten Personen rät der Ombudsmann – wie im Fall der „Factory Store OHG“ – dringend , Anzeige bei der Polizei zu erstatten.

Internet Ombudsmann ist eine von der EU-Kommission anerkannte außergerichtliche Streitschlichtungsstelle. Sie erhält Fördermittel vom Bundesministerium für Arbeit, Soziales und Konsumentenschutz sowie von der Bundesarbeitskammer in Österreich. Die Meldung von Beschwerde-Fällen oder allgemeinen Anfragen rund um E-Commerce und verwandte Themen an den Internet Ombudsmann erfolgen über dessen Site. In Deutschland existiert ebenfalls eine Schlichtungsstelle, die nach dem Österreichischen Vorbild eingerichtet wurde. Die vom Europäischen Verbraucherzentrum nach wie vor verbreitete Adresse des deutschen Ombudsmannes ist ungültig. (rh)

Betrüger locken Smartphone-Nutzer mit angeblicher Werbung für G Data

Betrüger nutzen Markennamen und Logos von G Data, um Smartphone-Nutzern wertlose Premium-SMS-Abonnements zu verkaufen. Mit Hilfe von Werbung in verschiedenen Apps versuchen die Gauner, Nutzer auf Webseiten zu locken, die vorgeben, Versionen von G Datas Antivirus-Produkten für Smartphones zu vertreiben. Wer auf den Trick hereinfällt, schließt ein teures SMS-Abo ab und erhält natürlich keine Software; das kann dann bis zu 15 Euro pro Woche kosten. Das Geld wird über die Handy-Rechnung abgebucht.

Laut G Data steht hinter der Kampagne die Mobile Minded BV aus Arnheim. Der Antiviren-Hersteller aus Bochum hat nun rechtliche Schritte gegen den Missbrauch seiner geschützten Namen und Logos eingeleitet. Momentan wurde die betrügerische Werbung in Polen, Finnland, den Niederlanden und Frankreich beobachtet. G Data hält es für wahrscheinlich, dass auch deutsche Nutzer auch Ziel werden könnten.

Die Sicherheitsexperten raten betroffenen Nutzern, bei ihrem Mobilfunk-Anbieter auf die Pressemitteilung der Firma zu verweisen und eine Erstattung des Geldes zu verlangen. Oft ist dies allerdings schwierig, da die Provider auf die Anbieter des Abos als Ansprechpartner verweisen.

Bis jetzt scheinen die Betrüger nur Android-Nutzer im Fadenkreuz zu haben. Das ergibt durchaus Sinn, da diese durch die Berichterstattung über Android-Schadsoftware sensibilisiert sein dürften. Solche Premium-SMS-Dienste von vornherein zu sperren, ist zwar theoretisch möglich, gestaltet sich aber oft als schwierig. (fab)

Neuer Personalausweis ist nicht sicher

Der Chaos Computer Club (CCC) hat in einer Stellungnahme die Antwort des Bundesinnenministeriums auf eine Kleine Anfrage des Linken-Abgeordneten Jan Korte kritisiert. Korte wollte in einer Reaktion auf die TV-Sendung Report München über die Unsicherheit des neuen Personalausweises (nPA) wissen, wie die bekannte Schwachstelle – Einsatz eines Basislesers an einem kompromittierten PC – behoben werden kann. Die Antwort des BMI, das Betriebsystem regelmäßig zu aktualisieren sowie einen aktuellen Virenschutz und eine Firewall zu installieren, erbost den CCC. Er bezeichnet diese Ratschläge als „trügerische Sicherheit“. Moderne Schadsoftware würde häufig nicht von Antivirenprogrammen erkannt.

In der vom CCC veröffentlichten Antwort der Bundesregierung werden erstmals die Kosten der Einführung des neuen Ausweises aufgeschlüsselt. Ein kompletter Bericht über die Ausgaben muss nach einer Aufforderung des Rechnungsprüfungsausschusses bis zum 30. Dezember 2013 vorliegen. Nach den jetzt bekannt gewordenen Zahlen betrugen die Einführungskosten des nPA bis Ende 2011 16,6 Millionen Euro. Diese Summe wurde vom BMI, vom Bundesamt für Sicherheit in der Informationstechnik (BSI) und vom Bundesverwaltungsamt (BVA) ausgegeben, um die nötige Infrastruktur zu konzipieren und aufzubauen. Im Rahmen des IT-Investitionsprogrammes wurden weitere 41 Millionen gezahlt. In dieser Summe sind die Anwendungstests, die Programmierung der Ausweis-App, der technische Support und die finanzielle Subvention von Lesegeräten enthalten, zu der auch der vom CCC kritisierte Basisleser ohne eigene Tastatur zählt. Nicht enthalten sind die Kosten des Ausweises für die Behörden. Diese werden durch die Bürger bezahlt, die einen solchen Ausweis bestellen (müssen).

Nach Angaben der Bundesregierung treffe es nicht zu, dass der nPA „gehackt“ werden konnte. Daher sehe man keine Veranlassung, Konsequenzen aus der TV-Sendung zu ziehen: „In den drei Jahren seit seiner Einführung gab es keinerlei Vorfälle, die Zweifel an der Sicherheit des Chips und der in ihm gespeicherten Daten hervorrufen“. Diese Aussage bestreitet der CCC durch den Verweis auf einen auf dem 27C3 vorgetragenen Relay-Angriff über ein Netzwerk auf den nPA. Hier sollte das Bundesinnenministerium besser die Bevölkerung über die mögliche Gefahr aufklären. „Anstatt sich der Problematik zu stellen und die Risiken durch Aufklärung zu minimieren, setzt das BMI offenbar auf staatlich behauptete IT-Sicherheit und erklärt dem Trend der Zeit folgend das ePA-Sicherheitsproblem für beendet“, meint der Chaos Computer Club.

Unabhängig davon empfehlen nPA-Experten grundsätzlich den Einsatz von Standard- und Komfort-Lesegeräten. Diese besitzen eine eigene Tastatur und können einen sicheren Kommunikations-Kanal unabhängig vom eventuell kompromittierten PC aufbauen. Die BSI-Richtlinie TR-03119 lässt drei Kategorien von Lesegeräten für die Funktionen zur Internet-Authentifizierung mittels des elektronischen Personalausweises zu, den Basisleser (Cat B), den Standardleser (Cat S) und den Komfortleser (Cat K). Gemeinsam ist allen die kontaktlose Schnittstelle nach ISO 14443 zur Karte sowie die eCard-API zum Host-PC.

Gegenüber der Basisversion bieten Cat-S-Geräte die Möglichkeit zu sicheren Firmwareupdates und verfügen über ein eigenes PIN-Pad zur sicheren Eingabe der sechsstelligen Geheimzahl verfügen. Beim Komfortleser kommen darüber hinaus ein zweizeiliges Display, ein kontaktbehaftetes Interface nach ISO 7816 sowie die Zertifizierung nach den Common Criteria hinzu. Mit den Cat-K-Geräten lassen sich dann auch, sofern der Inhaber diese Option des neuen Ausweises nutzt, qualifizierte elektronische Signaturen erstellen, vor allem aber kann man mit ihnen dank der zusätzlichen Schnittstelle auch die kontaktbehafteten HBCI-Karten zum Online-Banking oder die GeldKarte weiter nutzen. (Detlef Borchers) / (axk)

Datenschützer warnt vor Fingerabdruck-Sensor des iPhone 5S

Apples kommendes iPhone 5S soll über einen Fingerabdruck-Sensor die Identität des Nutzers feststellen. Der Hersteller bewirbt die Funktion als eine Vereinfachung, die die bisherige Eingabe einer PIN-Nummer oder eines Passwortes beim Einkauf im App Store ersetzen soll.

Doch der Hamburger Datenschutzbeauftragte Prof. Dr. Johannes Caspar warnt vor der Speicherung des Fingerabdrucks in Apples neuem iPhone 5S: „Biometrische Merkmale kann man nicht löschen. Sie begleiten uns das Leben lang. Fingerabdrücke sollte man daher nicht für alltägliche Authentifizierungsverfahren abgeben, insbesondere wenn sie in einer Datei gespeichert werden“, sagte Caspar dem Hamburger Nachrichten-Magazin Der Spiegel. Apples Argument, die Fingerabdruck-Daten würden nur verschlüsselt im Gerät gespeichert werden, hält Caspar nicht für durchschlagend. „Der normale Nutzer ist gegenwärtig kaum in der Lage zu kontrollieren, was Apps mit dem Handy machen, auf welche Daten des Geräts sie zugreifen, welche Informationen sie auslesen. Technischen Vorkehrungen zu trauen war schon vor Prism nicht ohne Risiko.“ Caspar empfiehlt weiter: „Außerdem gilt der Grundsatz der Datensparsamkeit. Wo es nicht sein muss, sollte man seine biometrischen Daten auch nicht hinterlassen. Schon gar nicht aus Bequemlichkeit.“

Apple betont derweil, dass die Fingerabdruck-Daten nicht zu den Cloud-Servern des Unternehmens übertragen würden und nur auf dem iPhone selbst gespeichert würden. Allerdings hatte das Nachrichtenmagazin Der Spiegel bereits in der vergangenen Woche gemeldet, dass der NSA-Geheimdienst auf Wunsch auf alle sensiblen Daten der Mobilfunk-Betriebssysteme iOS, Android und Blackberry zugreifen könne. (hag)

Datenschutz für Jugendliche nicht vorrangig

Dürften 14- bis 17-Jährige am 22. September an der Bundestagswahl teilnehmen, würden 36 Prozent von ihnen CDU/CSU wählen, 24 Prozent SPD, 18 Prozent die Grünen, 9 Prozent Piratenpartei, 4 Prozent die Linke und 3 Prozent FDP. Auf die Frage, welches Thema für sie wahlentscheidend ist, antworteten 4 Prozent mit „NSA-Affäre/Datenschutz“. Höher rangieren mit 11 Prozent „Bildung, Ausbildung, Schule“ und mit 9 Prozent „Umwelt, Tierschutz“. Ebenfalls auf 4 Prozent kamen die Themen Sozialpolitik und Finanzpolitik. Das ergab eine Umfrage von Infratest dimap für das Projekt „U18“. Dafür wurden 516 Jugendliche telefonisch befragt.

80 Prozent der Jugendlichen informieren sich im Fernsehen über Politik. Das Internet ziehen 59 Prozent heran, 58 Prozent bilden ihre Meinung in Gesprächen mit der Familie. 57 Prozent gaben Zeitungen und Zeitschriften als Informationsquelle an, 53 Prozent das Radio und 38 Prozent soziale Netzwerke. Insgesamt gaben 3 Prozent der Befragten an, sich „sehr stark“ für Politik zu interessieren, 20 Prozent „stark“, 58 Prozent „weniger stark“ und 19 Prozent „gar nicht“. 65 Prozent wünschen sich mehr Einfluss auf politische Entscheidungen.

Das Projekt U18 hält am morgigen 13. September eine Wahl für Jugendliche ab. Die knapp 1500 Wahllokale haben dann von 8 bis 18 Uhr geöffnet. Das Projekt wird unterstützt vom Bundesministerium für Familie, Senioren, Frauen und Jugend und der Bundeszentrale für politische Bildung.

BSI-Empfehlungen für sichere Windows-PCs

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat Empfehlungen für den sicheren Betrieb von Windows-PCs zusammengestellt, die aufmerksamen Lesern unserer Webseite bekannt vorkommen dürften: Antiviren-Software – durchaus auch kostenlose –, Backups, Sicherheitsaktualisierungen, ein alternativer Browser wie Googles Chrome und „stets ein gesundes Misstrauen“ sind die Eckpunkte des Konzepts.

Die Empfehlungen unterteilen sich in solche für Privatanwender und für kleine Unternehmen und Selbstständige. Beide beziehen sich ausschließlich auf Microsoft Windows; Mac OS X oder gar Linux kommen nicht vor. Die Sicherheitsempfehlungen predigen nicht den maximalen Schutz ohne Rücksicht auf Kosten, Komfort oder Funktionsumfang, sondern versuchen, einen praktikablen Kompromiss für eine solide Grundsicherung zu skizzieren.

Insbesondere vermeidet es das BSI, das Geschäft mit der Angst zu fördern und verweist gezielt auf solide, aber kostenlose Lösungen wie MSE, Avira, Avast, Secunia PSI und Threatfire. Sätze wie „Die Installation einer zusätzlichen Firewall ist nicht mehr erforderlich, da das System durch die von Windows 7 bereitgestellte Firewall hinreichend gegen Angriffe über das Netz geschützt wird“ werden die Hersteller von Sicherheits-Software nicht gerne lesen.

Sicherlich für manchen überraschend empfiehlt das BSI als sichere Browser-Alternative Google Chrome. Dessen Sandbox und die Auto-Update-Funktion erhöhen die Sicherheit deutlich, erklärt der Leitfaden. Diese Einschätzung teilen auch viele Sicherheitsexperten. (ju)