Home      Themenübersicht / Sitemap      Notizen      Webmaster      
Newsletter AboVorläufige Gedanken, erfreuliches, beklagenswertes

 

Philipps Notizen - 2010

von Philipp Schaumann

An dieser Stelle werden Beobachtungen veröffentlicht, die ich interessant finde, ohne dass die Texte immer gleich in einen logischen größeren Zusammenhang eingereiht werden müssen.

 


Link-Konventionen:
Fette Links öffnen ein fremde Seite in einem neuen Fenster
Blau hinterlegte Links bleiben auf der sicherheitskultur.at


21.11.2010 - Software die tötet - z.B. Drohnen (drones, UAV) - aktualisiert: Killer-Robots

Predator-Cockpit, Quelle: http://dronewars.net/

Dass bei den Angriffen mit unbemannten Drohnen in Afganistan eine große Zahl von Zivilisten umkommen ist gut dokumentiert (Berichte bezeugen bis zu 10 Zivilisten pro getötetem Taliban). Jetzt gibt es in den USA ein Gerichtsverfahren, das eine plausible Erklärung andeutet, nämlich Programmierprobleme die ziemlich tödlich ausgehen: (Inside the Lawsuit That Could Ground Deadly CIA Predator Drones).

Da haben wohl 2 Firmen gemeinsam an der Software für die Drohnen gearbeitet. Bei den Ortsbestimmungen und Berechnungen gab es erhebliche Probleme mit Gleitkommazahlen, aber die CIA wollte die Software sofort haben. Eine der beiden Firmen hat sich geweigert, die halbfertige Software auszuliefern (zumindest hat sie eine Garantie verlangt dass sie selbst für etwaige Todesfälle durch ungenaue Zielfindung nicht verantwortlich sind).

Das haben sie nicht bekommen und sie sind aus dem Projekt herausgeworfen worden. Die andere Firma hatte den Quellcode nicht, hat aber die Betaversionen re-engineert (sic!) und ausgeliefert. Die schlechte Treffsicherheit der Drohnen erscheint somit erklärlich. Jetzt wird prozessiert. Die ausgebotete Firma verlangt dass die Nutzung der Software eingestellt wird (nicht, weil dadurch unbeteiligte Menschen getötet werden, sondern weil ihr Intellectual Property verletzt wurde).

2015 kommen noch mehr Details über die Qualität des "targeted killings" an die Öffentlichkeit. Es zeigt sich, dass das nicht wirklich so "targeted" ist, sondern dass oft auf gut Glück geschossen wird: Drone Strikes Reveal Uncomfortable Truth: U.S. Is Often Unsure About Who Will Die. Anlass ist der Tod von 2 Geiseln bei einem Angriff (immer (und genau dann) wenn Amerikaner sterben, so werden Fragen gestellt, die sonst niemanden interessieren). Dabei stellt sich dann heraus, dass das Militär sehr oft nicht weiß, auf wen sie schießen. 2 amerikanische Al Qaeda Mitglieder wurden in einem früheren Angriff getötet, die gar nicht das Ziel waren. Zitat: "most individuals killed are not on a kill list, and the government does not know their names." Insgesamt wurden bei Drohnenangriffen 8 Amerikaner getötet, nur 1 davon stand auf der "kill list", die anderen hat es zufällig erwischt. D.h. targeted killing gibt es nicht. Was der Artikel auch beschreibt, das ist, dass der Drohnenkrieg in den USA (mit der Ausnahme von einigen linken Demokraten und liberären Republikanern) bei der Bevölkerung Zustimmung findet: Kein Wunder, es sterben keine US-Soldaten dabei.

Dez. 2010: Nicht nur die Drohnen töten im Krieg
Ein ziemlich fundierter Artikel in der NY Times diskutiert den immer stärker werdenden Einsatz von Robotern im Iran und Afghanistan: War Machines: Recruiting Robots for Combat. Der Einsatz betrifft derzeit hauptsächlich Geräte die nur halb-autonom sind, d.h. sie werden von einem Soldaten gesteuert der über eine Video-Verbindung sehen kann, was der Roboter "sieht". Der Trend geht jedoch immer mehr auch zu autonomen Systemen und die werfen eine ganze Reihe von juristischen und ethischen Problemen auf, z.B. wenn die Entscheidung Zivilist oder Feind einem Computer überlassen wird.

Oktober 2011:
Ein Bericht in Wired über Infektionen der Software der Dronen: Computer Virus Hits U.S. Drone Fleet und ein Artikel in der NYT: Coming Soon: The Drone Arms Race. Der Artikel berichtet, dass jetzt auch andere Länder aktiv am Bau von unbemannten Flugkörpern für Angriffszwecke entwickeln. Die Autoren sehen eine neue Form des Krieges: Das Überfliegen von Grenzen um dort Personen zu jagen, die als Terroristen beschuldigt werden. Die USA hat diese Form des Krieges begonnen, andere Länder werden folgen.

Juli 2012:
Jetzt wird über die Zulassung von Drohnen auch für zivile Zwecke diskutiert, nicht nur in den USA, sondern auch in anderen Ländern.

Dazu hier: RESEARCHERS HACK, HIJACK DRONES. Offensichtlich kann nicht nur der Iran Drohnen übernehmen. Aber ein so richtig warmes Gefühl will bei dem Gedanken, dass bald um uns herum unbemannte Flugzeuge dieser Qualität fliegen werden, nicht auf. Weitere Details zum Drohen-Hijacking: Texas college hacks drone in front of DHS oder Drones vulnerable to terrorist hijacking, researchers say oder Civilian drones vulnerable to hackers, can be hijacked, used as missiles.

 

Viel mehr Details zum Einsatz von Robots (automatisiert oder ferngesteuert) im Krieg gibt es auf meiner anderen Website philipps-welt.info.

Feb. 2013: Killer-Robots
Eine sehr interessante Studie behandelt die ethischen und juristischen Fragen rund um "Autonomous Weapons, vulgo "Killer Robots": LOSING HUMANITY - The Case against Killer Robots. Autonomous Weapons sind solche, die selbstständig ihre Ziele aussuchen und dann selbstständig schießen, ohne dass ein Mensch auf einen Knopf drückt, so wie (jetzt noch) bei den Drohnen, den UAVs. Solche Systeme sind keine reine Science Fiction, es gibt bereits "defensive systems", die automatisch, wenn scharf gemacht, versuchen anfliegende Raketen oder Granaten zu entdecken und abzuschießen. Beispiele sind Phalanx bei der US Navy zur Verteidigung von Schiffen, die zu unrühmlicher Bekanntheit kam, weil diese Waffe in den Abschuss eines zivilen iranischen Passagierflugzeugs involviert war. Die US-Army setzte ein ähnliches System zur Verteidigung ihrer Stellungen im Irak ein und die Bundeswehr hat so etwas unter dem Namen NBS Mantis in Afghanistan im Einsatz. Auch das israelische Abwehrsystem Iron Dome muss zu schnell reagieren als dass ein Mensch eingreifen könnte.

Die sehr lesenswerte Studie beschäftigt sich dann mit solchen Systemen die für allgemeine Militäraufgaben vorgesehen sind, die sind bei vielen Armeen in Arbeit. Probleme dabei sind vor allem, dass solche Systeme

Als weiteres Problem wird genannt, dass dadurch dass die eigenen Soldaten bei solchen Einsätzen nicht mehr zu Schaden kommen (so wie jetzt schon bei den Drohnen Einsätzen der USA) die Hemmschwelle für den Einsatz in fremden Ländern immer mehr fallen könnte. Auch für Diktatoren, die ihre eigenen Bevölkerung unterdrücken wollen haben Killer Robots große Vorteile gegenüber einer menschlichen Armee, die sich doch manchmal zur Meuterei entschließt.

Ein weiterer problematischer Punkt ist, dass im Falle dass von einem Roboter ein offensichtliches Kriegsverbrechen begangen wurde (z.B. große Menge Zivilisten erschossen), es keine Möglichkeit gibt, jemanden zur Verantwortung zu ziehen. Der Kommandant der ihn losgeschickt hat konnte nicht wissen, dass der Roboter so etwas tun würde (es stand nicht im Datenblatt), der Programmierer der evtl. einen Fehler gemacht hat kann nur bei grober Fahrlässigkeit zur Haftung herangezogen werden und der Roboter kann sowieso nicht sinnvoll bestraft werden.

Problematisch wird in der Zukunft werden, dass in dem Augenblick wo einige Armeen diese Dinge im Einsatz haben, es für die anderen notwendig sein könnte, ebenfalls solche einzusetzen und zwar solche, die noch schneller und noch bedenkenloser schießen als die vom Feind.

Nachlese aus dem Jahr 2012:
Ein Artikel im Economist (Robots go to war) weisst aber auch auf potentielle Probleme hin, wie z.B. dass Regierungen schneller bereit zu Angriffen sind wenn sie keine eigenen Soldaten riskieren müssen. Ein Beispiel dafür ist der amerikanische Einsatz von tödlichen Drohnen in bisher 15 Ländern der Welt.

 

Feb. 2014:
2014 wird bekannt, wo die Koordinaten für die Angriffe zumeist herkommen: Tracking von Smartphones. Dies ist natürlich speziell dann problematisch, wenn das Smartphone längst an jemand anderen weitergegeben wurde. Dafür gibt es z.B. hier Hinweise.

 

Nov. 2014:
Ein Artikel in der NYT Fearing Bombs That Can Pick Whom to Kill über intelligente Systeme die sich ihre Ziele selbst aussuchen. Kein Science Fiction mehr: "Britain, Israel and Norway are already deploying missiles and drones that carry out attacks against enemy radar, tanks or ships without direct human control." Diese Waffen wurden bereits aktiv eingesetzt, z.B. von Großbritannien im Libyen-Konflikt.





20.11.2010 - Überwachtes Internet

Es gibt derzeit eine ganze Reihe von Aktivitäten, die die Konzeption des Internets erheblich verändern könnten. Bruce Schneier verlinkt auf 2 interessante Artikel dazu (aus denen ich einige Stichworte wiedergeben werde): Dan Geer on "Cybersecurity and National Policy" und The militarization of the Internet.

Susan Crawford weißt darauf hin, dass es derzeit in den USA eine Reihe von Aktivitäten gibt, die alle in die gleiche Richtung zielen: ein sog. "authenticated internet". Da ist z.B. der Vorstoß der Strafverfolgungsbehörden dass aller Datenverkehr des Internets durch Server in den USA gehen muss und dass bei allen verschlüsselten Verbindungen eine Hintertür für die Behörden eingebaut werden muss. Dies würde bedeuten, dass selbst Skypeverkehr zwischen 2 Geräten im gleichen lokalen Netz zwangsweise über die USA geführt werden müsste.

Dieser Ansatz stellt das Konzept des Internets auf den Kopf und versucht aus dem Internet ein Telefonnetz zu machen. Darüber habe ich an ganz anderer Stelle geschrieben: Das Internet ist im Gegensatz zum Telefonnetz konzipiert als ein Netz von intelligenten Endgeräten.

Parallel dazu reden viele Politiker und Militärs von zukünftigen Cyberkriegen, die auch 'pre-emptive' sein können und die "active threat neutralization" enthält und dem Militär das Recht einräumen soll, auch notfalls in die Rechner von US-Bürgern einzudringen (bei Ausländern natürlich sowieso). Und es gibt mehr Stimmen nach einem 'authenticated internet'. Das könnte z.B. so aussehen, dass nur noch surfen kann, wer seine Bürgerkarte in das entsprechende Gerät gesteckt hat.

Der andere Artikel 'Cybersecurity and National Policy' ist akademischer und beschäftigt sich Sicherheitskonzepten. Im Artikel geht es um nationale Sicherheit, d.h. Sicherheit der Netze eines Landes, aber die gleichen Denkansätze sind genauso relevant, wenn man sie in Richtung 'Sicherheits-Policy für ein Unternehmen' liest. Hier einige der Thesen:

Er bezieht sich auf den Ingenieursspruch: Schnell, billig oder hohe Qualität, beliebige 2 können gleichzeitig implementiert werden, nie alle 3 gemeinsam. Für die Informationssicherheit wandelt er es ab auf 'Freiheit, Sicherheit, Bequemlichkeit', welche 2 sind gewünscht. Und sein Fazit am Ende des Artikels ist, dass für ihn die Freiheit die erste Priorität ist und dann die Sicherheit als zweites, d.h. für ihn sicher kein 'authentisiertes Internet' mit zentralen Servern in den USA.

Er definiert Sicherheit als die 'Abwesenheit von Überraschungen, die mit denen man nicht umgehen kann' (absense of unmitigatable surprises). Ein sicheres System ist eines, das auch bei Angriffen noch mit reduzierter Kapazität zur Verfügung steht, bzw. wo Prozesse vorliegen, die Alternativen zur Verfügung stehen, die ein Weiterfunktionieren ermöglichen. Risiko-Absorbierung statt Risiko-Vermeidung.

An dieser Stelle sieht er in Bezug auf die Abhängigkeit jedes Einzelnen, aller Firmen und der Gesamtgesellschaft von der IT ziemlich schwarz: ("our dependence on all things cyber as a society is now inestimably irreversible and irreversibly inestimable"). Als Beispiel nimmt er die Globalisierung mit ihrer Abhängigkeit von extrem zerbrechlichen Versorgungsketten (supply chain). Er postuliert, dass deren Sicherheit ohne einen Überwachungsstaat nicht zu gewährleisten ist.

Dann fragt er, welche Möglichkeiten eine Regierung hat, um die Sicherheit des Internets zu erhöhen, die 3 Steuerungsmöglichkeiten sind: Vorschriften (regulations), Steuern und Versicherungspreise. Regulierungen klappen seiner Meinung nach am besten, wenn es wenige große Martkteilnehmer gibt, so wie beim Telefon und kaum, wenn die Anbieter, so wie bei der Software und der Internetkommunikation vollkommen zersplittert und zum Teil sehr klein sind.

Steuern die die Sicherheit von Software und Systemen fördern (z.B. durch steuerliche Absetzbarkeit gewisser Entwicklungen) wären komplex und hätten sicher genausoviel unerwünschte Nebenwirkungen wie Wirkungen.

Steuerung über Versicherungspreise sieht er darin, dass der Staat die Möglichkeit hätte, Haftung für unsichere Software einzuführen und solche Haftungsausschlüsse wie in den unsäglichen EULAs (end-user licence agreement) zu verbieten. Er befürchtet, dass dann die Software-Industrie in Länder umzieht, die bei so etwas nicht mitmachen.

Sein nächster Vorschlag ist "no system fails silently". D.h. wenn etwas passiert, so muss es öffentlich werden, so wie dies ja in einigen Staaten, jetzt auch Ö, als "data breach law" in Datenschutzfragen eingeführt wurde.

Letzter Diskussionspunkt ist dann, wer für die vielen infizierten PCs, eines der Grundübel des Internets, verantwortlich gemacht werden sollte/könnte. Optionen wären: der Besitzer des PCs, der ISP (Internet Service Provider) des Kunden, oder der Entwickler der unsicheren Software. Gegen den ISP spricht, dass dies ohne eine sehr intensive Überwachung des Datenverkehrs des Kunden nicht möglich wäre, siehe oben, das überwachte Internet. Bei der Software graut ihm ein wenig vor einer neuen Behörde, die die Unbedenklichkeit von Software zertifieren würde.

Und sein letzter, sicherheits-philosophischer Punkt betrifft das von ihm mitentwickelte Kerberos als Authentisierungssystem. Das geht von der Prämisse "ich bin OK und du bist OK, das Netz dazwischen interessiert uns nicht" aus. Dieses Konzept ist für viele Anwendungen überholt. Für einen Anbieter von Internet-Banking muss gelten "mein Server ist OK, das Netz ist feindlich und der Rechner des Kunden mit einer hohen Wahrscheinlichkeit infiziert". Nur auf dieser Grundlage können heute sichere Services angeboten werden. Und dies ist leider bisher nur zu selten der Fall (ein positives Beispiel dafür ist Internet-Banking mit SMS-TAN, vorausgesetzt das SMS wird nicht auf einem verwundbaren Smartphone empfangen.





17.11.2010 - Wilde Geschichte eines Hackers

Die Sonntagsbeilage der NY Times berichtet in einem sehr langen Artikel The Great Cyberheist über Albert Gonzales, auch bekannt unter dem Pseudonym Soupnazi, der hinter dem Auffliegen der Shadowcrew-Hacker-Website gesteckt hat (Six "Shadow Crew" Members Plead Guilty).

Die Geschichte ist aber noch viel wilder. Die NY Times schreibt "He was leading a double life within a double life". Er hat nämlich während er im Auftrag des Secret Service die Gruppe unterwandert hat gleichzeitig auch noch den Secret Service hintergangen und ein Netz aufgebaut, das die größten Kreditkartendiebstähle der bisherigen Geschichte durchgeführt hat (BJ’s Wholesale Club, Marshall, TJX, OfficeMax, Barnes & Noble, Target, Sports Authority, Boston Market und viele andere). Dies geschah zuerst über Eindringen in WLANs, dann über Re-engineering der POS (Point of Sales)-Terminals und dann Eindringen in die Netze und Server in denen die Kreditkarten verarbeitet wurden. D.h. sie haben quasi ALLE Kreditkarten-Transaktionen der betroffenen Firmen mitgeschnitten.

Und noch einen Manager von der dunklen Seite des Internets hat es erwischt.

Juni 2011:
Das mit dem Doppelrolle scheint gar nicht so eine Ausnahmen zu sein: 2011 One in four US hackers 'is an FBI informer.





17.11.2010 - Die RIM Zwickmühle

Dieser Artikel auf heise.de beschreibt sehr gut die Hintergründe für die Zwickmühle von RIM. Es geht darum dass einerseits RIM seine Blackberry-Smartphones als die sichersten Smartphones und damit auch für Firmen geeignet positioniert. Gleichzeitig machen über eine ganze Reihe von Regierungen Druck auf RIM um ein Abhören der Kommunikationen in ihrem Land zu ermöglichen.

Firmen die Blackberry einsetzen sind vermutlich beunruhigt wenn sie lesen, dass sich jetzt RIM mit den Ländern über das Abhören geeinigt hat. heise schreibt:

Diese Graphik zeigt die unterschiedlichen Kommunikationswege der privaten und der Firmengeräte sehr gut. Mitarbeiter in Unternehmen die Blackberry einsetzen sind aber evtl. beunruhigt über die Tatsache, dass die Administratoren die Liste aller ihre Telefonate sehen können.




Microsoft meldet 2007 ein Patent für eine "Überwachung" der Fernsehzuschauer an - jetzt ist eine Implementierung in der Xbox angedacht
Quelle: Engadget (siehe Artikel)

17.11.2010 - Is your Videogame watching you?

Futurezone berichtet über mehrere Artikel in den USA zur Frage Is your Videogame watching you?. Die Artikel beschreiben dass Microsofts Chief Operating Officer Dennis Durkin vergangenen Donnerstag gegenüber Investoren durchblicken ließ, dass die Kamera von Microsofts Xbox 360 Controller-System Kinect für Analysezwecke eingesetzt werden könnte. Die gewonnen Daten könnten ausgewertet und für personalisierte Werbung genutzt werden, so Durkin.

Das Wallstreet-Journal berichtet, dass die Kamera und die Software des Systems, die dazu eigentlich dazu dient, dass die Bewegungen der Spieler automatisch erkannt und als Steuerung für die Spiele verwendet werden können auch so clever ist, dass sie Gesichtserkennung durchführt um automatisch den jeweiligen Spielern ihre Avatare zuzuordnen.

Daraus folgert natürlich auch, dass das System auch weiss, wie viele Personen im Raum sind und vermutlich auch noch weitere Informationen hat, die es weitergeben kann. Aber natürlich könnte das System auch ganze Filme zurückübertragen.

Sprecher von Microsoft rudern jetzt heftig zurück: Microsoft reassured users today that none of its systems “use any information captured by Kinect for advertising targeting purposes.” Digitaltrends kommentiert diesen Satz mit: "They can, but they’re not. Yet." Das ist nämlich der Kern der Story, es gibt sehr hoch positionierte Leute in Microsoft, die ernsthaft über eine Überwachungskamera im Wohnzimmer ihrer Kunden nachdenken und öffentlich darüber reden. Die Hemmschwelle beim Überwachen liegt sehr niedrig.

Engadget weisst in ihrem Artikel darauf hin, dass das ganze ja nicht wirklich neu ist. Sie verlinken auf einen früheren Artikel Microsoft envisions invasive approach to targeted advertising aus dem Jahr 2007 über ein Patent vom Microsoft in dem ein sehr ähnliches System (statt Xbox damals der Fernseher) bereits zum Patent angemeldet wurde.

Ich vermute, dass der Prototype dieses "Überwachungssystems" in einem Microsoft-Labor bereits funktioniert, dass es jetzt aber als nicht-opportun gesehen wird, darüber zu reden.

Hier ein Witz zum Thema: Kinect als Überwachungskamera (wer den Schaden hat ....)

 

Mai 2013:
Sehr aktuell in diesem Zusammenhang die Diskussion im die neuen Features von Xbox Kinect: Xbox Kinect: Totale Kontrolle ohne Ausweg.





16.10.2010 - Schwachstellen: Es wird nicht besser, es wird schlechter

Die Firma Secunia bietet mit ihrem Personal Security Inspector (PSI) eine sehr empfehlenswerte kostenlose ständige Sicherheitsüberprüfung für Windows Rechner. Das Tool überprüft Windows-Betriebssysteme und vor allem die vielen Standard-Anwendungen auf technische Schwachstellen. Als Gegenleistung bekommt Secunia einen einzigartigen Überblick über den Stand der Schwachstellen auf den Heimrechnern. Dies haben sie jetzt in ihrem Secunia Half Year Report 2010 (pdf) veröffentlicht.

November 2011:
Noch ein Stück persönlicher werden ähnliche Angriffe auf drahtlos-gesteuert Insulinpumpen, die dazu gebracht werden können, eine tödliche Dosis abzugeben. Zur Beruhigung der Patienten: diese Angriffe gehen nur gegen die drahtlosen Modelle und sind nur sehr schwer zu implementieren (erfordern spezielle Hardware und Software). Und natürlich kann der Täter sein Opfer, wenn er mal auf diese Nähe herangekommen ist, auch auf vielfältige andere Weise töten.

Peinlich (und leider typisch) ist, dass die Gerätehersteller, genau wie die Anbieter von drahtlosen Herzschrittmachern, sich keinerlei Gedanken zu möglichen Schutzmechanismen gegen Angriffe gemacht haben. Man zeigt sich beim Hersteller eher überrascht und will ein Industrikonsortium einberufen, um kompatible Schutzmethoden zu entwickeln ("dann gründen wir erst mal ein Komitee").

Sie berichten dabei, dass die Lage bei den Schwachstellen seit 2005 dramatisch schlechter geworden ist. Offensichtlich hat die Software-Industrie insgesamt es nicht geschafft, Programme auf den Markt zu bringen, die sicherer sind als noch vor 5 Jahren. Zitat:

Quelle: Secunia - Klick bringt volle Größe

Es hat, wie die Graphik zeigt, lediglich Verschiebungen gegegeben. So hat es Microsoft geschafft, bei den Schwachstellen deutlich hinter den anderen Firmen zurückzufallen, d.h. ihre Initiative für sicherere Software, die Microsoft seit Beginn des Jahrtausends sehr aktiv betreibt, scheint sich auszuzahlen. Apple streitet jetzt mit Oracle im die höchste Zahl von neu veröffentlichten Schwachstellen. Zitat:

Für mich gibt es für den Anwender daher nur die 1 Lösung die ich auf allen meinen PCs einsetze: den Personal Security Inspector installieren.

 

 

Zu einer etwas anderen Analyse kommt Microsoft in ihrem Microsoft Security Intelligence Report (SIR) 1. Hälfte 2010.

Microsoft sieht einen leichten Rückgang bei der Zahl der öffentlich berichteten Verwundbarkeiten (National Vulnerability Database - http://nvd.nist.gov).

 

Quelle aller dieser Graphiken: Microsoft Security Intelligence Report (SIR) 1. Hälfte 2010

 

 

Microsoft sieht natürlich die gleiche Verschiebung weg vom Betriebssystem zu den Anwendungen, aber auch dort sehen sie einen Rückgang der Verwundbarkeiten.

 

Mehr Statistiken aus diesem Bericht finden sich auf der Seite zu Data Loss.




Okt. 2014: Studie zum Risiko "Handynutzung im Auto", auch bei Nutzung einer Freisprecheinrichtung.


16.10.2010 - Handy am Steuer - ziemlich tödlich

Ich hatte bereits an anderer Stelle darüber geschrieben: Gehen von den Handys Gefahren aus?. Ja, und zwar erhebliche, nämlich durch die Benutzung im Straßenverkehr. Anlass für diese Notiz ist zum Einen, dass einem Kollegen ein junger Mann hinten reingefahren ist (mit erheblichem Sachschaden an dessen Fahrzeug) der gerade vom Handy abgelenkt war. Und in den USA wird der tödliche Unfall des Schönheitschirurgen Dr. Frank Ryan thematisiert, der sich vom Handy abgelenkt über eine Klippe gestürzt hat.

Ein recht vernünftiger Blogger berichtet dass es noch viel schlimmer kommen kann. Der Trend geht dahin, Autos als Entertainment-Center auszustatten, mit direkten Internet-Anschluss und Displays im Armaturenbrett.

Die Automobil-Industrie ist sehr daran interessiert, mit irgendwelchen neuen Features auf den Markt zu kommen und die Unterhaltungsindustrie ist natürlich auch sofort begeistert. Und die Gesetzgeber werden sich auch hier breit schlagen lassen und nach so kosmetischen Zugeständnissen wie Spracherkennung und Freisprecheinrichtung (die nachgewiesenermaßen keine Reduzierung der Unfälle bringen - Hands-Free Cellphone Devices Don't Aid Road Safety, Study Concludes und (pdf, 8 MB)) solche Geräte erlauben.

Zitat Consumer-Reports: "The National Safety Council (NSC) earlier this month [Juli 2009] released an estimate described as “conservative” that more than 636,000 crashes, 330,000 injuries, 12,000 serious injuries, and 2,600 deaths are caused a year by a distracted drivers on cell phones."

 





18.09.2010 - Stuxnet - der SCADA Wurm

Zu den Sicherheitsproblemen im SCADA-Umfeld und dem Spezialfall Smart Meter und Smart Grid gibt es mehr an anderer Stelle.

Auf der Seite der privaten Nutzer läuft das Thema der allgemeinen Vernetzung unter Smart Home, Home Automation, Smart City und "Smart Everything", zusammengefasst oft mit Internet of Things (IoT).

Juni 2012:
die Lösung des Stuxnet-Rätsels weiter hinten

Dez. 2014: Eine Vorgängeraktion in 2008: Cyber-Attacke soll Ölpipeline zerstört haben. Viele interessante Details, z.B. Eindringen in das interne Netz durch die Verkabelung der Überwachungskameras, ein durchaus beliebter und gängiger Weg. Ein Motiv für die Aktion hatte der russische Geheimdienst.

Dez. 2014: Der BSI Lagebericht 2014 berichtet von einem erfolgreichen Angriff auf ein deutsches Stahlwerk.

Juni 2016: FireEye berichtet von einer Schadsoftware die sie Irongate getauft haben, und die ICS, d.h. industrial control systems angreift. Die Software wurde (noch) nicht im Einsatz beobachtet, ein Verdacht ist, dass es sich um einen Test oder Proof-of-Concept handelt.

Das Thema fing eigentlich relativ harmlos an: Siemens hat in seiner SCADA Software hardcoded-passwords für den Zugriff der Applikation zur MS-SQL-Datenbank. Und jemand hatte bereits vor Jahren das Passwort in einem Support-Blog veröffentlicht. Und Siemens sagt, bitte bitte nicht ändern, sonst geht ja die Applikation (z.B. das Kraftwerk) nicht mehr.

Und damit die Schadsoftware die dieses Passwort ausnutzt um die Spionage zu betreiben auch sauber installiert haben sich die Angreifer die Mühe gemacht und die Software sauber digital signiert und zwar mit (vermutlich gestohlenen) private keys von taiwanesischen Herstellern (Realtek Semiconductor und JMicron Technology Corp).

Und dann stellt sich heraus, dass das Ganze noch viel komplexer ist. Die Schadsoftware stielt nicht nur Daten, sie greift direkt in Industrial Control Systems (ISC) ein (die als Untermenge die SCADA-Systeme enthalten). ISCs bestehen aus Programmable Logic Controllers (PLC) (speicherprogrammierbare Steuerungen) die mit Hilfe dieser Systeme programmiert und gesteuert werden. ISCs verwalten den Code für die PLCs. Im Fall der Siemens S-7 Steueranlagen wird die Software in den PLCs durch eine Windows-Software WinCC kontrolliert und gewartet.

Simatic Darstellung
Quelle: f-secure.com - Klick bringt volle Version

Die FAZ schreibt: "Der digitale Erstschlag ist erfolgt"

Symantec berichtet:

Die Computerworld schreibt:

Die Experten sagen, dass dieser Wurm extrem komplex ist und sehr viel Know-How für seine Entwicklung erfordert hat. 60% aller infizierten Systeme finden sich in Iran, ob das Zufall ist oder nicht, bleibt derzeit offen.

Es wäre wohl nicht das erst mal, dass so Software für Sabotage genutzt wird. Wenn man den Gerüchten glauben schenken darf, so gab es 1982 einen Präzedenzfall, Symantec schreibt:

Angeblich handelte es sich um amerikanische Software die in einer russischen Gaspipeline eingesetzt wurde. Die Quelle dieser Story ist das Buch "At the Abyss" von Thomas C.Reed, Secretary of the US Air Force.

Hier eine Analyse des Infektionsprozesses der PLC Steuerungssoftware.

Quelle: http://www.langner.com/en/index.htm

25.9.2010:
Der Hamburger Security-Experte für Produktionssysteme Ralph Langner hat zusammen mit Kollegen den Code dieser Malware detailliert untersucht und dabei erstaunliches festgestellt. Der Code sucht gezielt nach einem Datenblock 890 und fügt dort an genau einer bestimmten Stelle zusätzlichen PLC Code ein, der allerdings vor den Benutzern des WinCC Systems verborgen wird. Dieser zusätzliche Code sorgt dafür, dass eine gewisse Routine, die einen bestimmten Prozess kontrolliert, unter gewissen Umständen übersprungen wird. Falls diese Routine eine Regulierung durchführen würde, so spricht viel für die Annahme, dass das Ziel dieses Angriffs eine sehr gezielte Sabotage darstellt. Dieser Code funktioniert nur mit ganz spezieller Steuerungssoftware und Geräten. Nun zu den möglichen Tätern. Langner schreibt:

Die Experten spekulieren, dass die Gerüchte über "technische Probleme" die in der letzten Zeit bei der iranischen Kernbrennstoff-Anreichungsanlage aufgetreten sind, kein Zufall sind. Die Anlage wird durch den russischen Integrator Atomstroiexport betreut, deren eigene Website seit langer Zeit infiziert ist. Außerdem erweckt dieser Screenshot der angeblich aus der Anlage in Bushehr stammt und eine Fehlermeldung zeigt, die besagt, dass die WinCC-Software nicht lizensiert ist, kein großes Vertrauen in die Professionalität der Installation und deren Sicherheitsvorkehrungen.

30.9.2010:
Weitere Berichte und Analysen, auch die Spekulation, dass Busheer nicht das Hauptziel des Angriffes war, sondern die unterirdische Urananreicherungsanlage in Natanz und dass der Schaden bereits 2009 eingetreten ist.

Die FAZ schreibt:

Die NY Times weist auf eine im Jahr 2009 gesunkene Zahl von aktiven Zentrifugen hin.

Allerdings ist es auch möglich, dass Anlagen im Iran nur im Rahmen eines aus dem Ruder gelaufenen Angriffs auf Indien befallen wurden. Kaspersky hat neuere Zahlen veröffentlicht, wonach Indien das Epizentrum der Stuxnet-Aktivitäten war und ist.Der russische Kraftwerksbauer Atomstroyexport, der mit infizierten Laptops mutmaßlich den Stuxnet-Wurm in Bushehr eingeschleppt haben soll, arbeitet derzeit beispielsweise auch gerade am indischen Atomkraftwerk Kudankulam.

Die FAZ weist auf einen Test in den USA im Jahr 2007 hin:

Der Leiter der US Cyber Consequences Unit Scott Borg hat Mitte 2009 einen Angriff durch den Mossad in einem Interview mit der israelischen News-Seite Ynetnews beschrieben. Dort steht auch ein möglicher Hinweis wie der Schadcode in die Anlage gekommen sein könnte:

 

Zusammenfassungen und Analysen

Symantec publiziert eine schöne Zusammenfassung der technischen Details zu Stuxnet, eine detaillierte technische Beschreibung des Infektionsprozesses, der die extreme technische Komplexität aufzeigt und ein 49-seitiges Stuxnet Dossier (pdf).

CERT.AT hat eine Anleitung veröffentlicht: Erkennung von Stuxnet im eigenen Unternehmen (pdf).
F-secure.com bringt ein sehr gutes FAQ: Stuxnet Questions and Answers. (Leckerbissen: "Q: How could governments get something so complex right? - A: Trick question. Nice. Next question."

Die ultimative, sehr ausführliche, gut bebilderte Zusammenfassung gibt es bei arstechnica: How digital detectives deciphered Stuxnet, the most menacing malware in history.

Zu den Sicherheitsproblemen im SCADA-Umfeld gibt es mehr an anderer Stelle.

 

Nachtrag Nov. 2010: Shodan, die SCADA-Suchmaschine
Die Presse berichtet über eine spezialisierte Suchmaschine Shodan, mit deren Hilfe verwundbare SCADA und andere ICS (industrial control systems) leicht gefunden werden können. Die US-Regierung hat dazu einen Alert herausgegeben. Langsam wird es wirklich eng für Firmen, die ihre Kontrollsysteme nicht sauber vom Internet getrennt haben.

 

Nov. 2010: Die Auflösung
Symantec berichtet, dass sie mit Hilfe eines Experten für solche Steuerungssysteme das Rätsel gelöst haben: Stuxnet: A Breakthrough. Die Module die verändert werden kontrollieren die Drehzahlen von sehr sehr schnellen Elektromotoren. Die Software spricht an wenn die Frequenz über 807 Umdrehungen pro Sekunde liegt. Motoren über 600 Umdrehungen unterliegen den Export-Restriktionen weil sie eigentlich fast nur für Urananreicherung benötigt werden.

Hier was die Software tut:

Für mich als Laien auf diesem Gebiet bedeutet dies, dass damit erstens der Motor kräftig belastet wird und zweitens das Material, das mit der Zentrifuge separiert werden soll, ordentlich durcheinander gemischt wird. Hier ein Link zu einem FAZ-Artikel dazu Die Angreifer kennen ihr Ziel offenbar ganz genau.

Noch eine November: Stuxnet hat zwei "digitale Sprengköpfe". Stuxnet greift sowohl Steuerungen der Siemens-Typen S7-300 (315) als auch S7-400 (417) (in Bushehr zur Turbinensteuerung eingesetzt) an. Hier die Details: 417 attack code: Doing the man-in-the-middle ON the PLC.

Und noch mal November: Es wird berichtet dass Stuxnet kommerziell angeboten wird. Eine Veränderung zum Angriff auf andere Infrastrukturen wird aber sehr schwer sein, da es extrem detaillierte Kenntnisse des technischen Aufbaus der Steuerungen voraussetzt.

Dez. 2010: Vergleich mit Natanz-Berichten
Das Institute for Science and International Security (ISIS) hat die Berichte der Internationalen Atomenergie-Behörde IAEA über Natanz mit den Berichten über Stuxnet verglichen: Did Stuxnet Take Out 1,000 Centrifuges at the Natanz Enrichment Plant? Preliminary Assessment. Fazit: Zu der Zeit wo Stuxnet aktiv war gab es in Natanz auch technische Probleme. Der Bericht untersucht die Wahrscheinlichkeit, dass diese beiden Tatsachen ursächlich miteinander verknüpft sind.

Jan. 2011:
Die NY Times berichtet dass es Hinweise gäbe, dass Stuxnet eine US-israelische Gemeinschaftsarbeit sei: Stuxnet Gemeinschaftsprojekt der USA und Israels?. Es wird sogar spekuliert, dass die Software in einem Anreicherungszentrum in der Negev-Wüste getestet wurde. Andere Experten widersprechen jedoch dieser Theorie ("Er hoffe, dass die Entwickler digitaler Waffen mehr auf der Pfanne hätten, als die Tricks, die bulgarische Teenager schon in den 90er Jahren zur Tarnung ihrer Viren eingesetzt hätten.")

April 2012:
Jetzt gibt es neue Berichte über (angebliche) Hintergründe: Innenangreifer half bei Stuxnet-Infektion. Angeblich war es ein Mitarbeiter der den ersten USB-Stick eingesteckt hat. So eine Veröffentlichung führt jetzt natürlich zu einer weiteren Suche nach unsicheren Mitarbeitern, was die Arbeitsmoral und die Effektivität weiter reduzieren wird, d.h. egal ob der Bericht stimmt, er schadet dem Vorankommen bei der Aufbereitung des Urans. Der Artikel verlinkt auf die Orignalquellen.

 

Juni 2012:
Die Hintergründe der Stuxnet-Saga
Es kommt wieder Leben in die Stuxnet-Saga: In den USA wird ein Buch veröffentlicht (“Confront and Conceal: Obama’s Secret Wars and Surprising Use of American Power”) und die NYTimes berichtet vorab (der Buchautor ist NY Journalist).

Nach diesem Buch begann die Sache in den USA bereits 2006 mit einer Entscheidung von G.W.Bush eine Cyberwaffe gegen die Urananreichung in Natanz einzusetzen. Die Entwicklung war dann wirklich so wie bisher vermutet wurde: es wurden Zentrifugen die in Lybien durch den Ausstieg aus der Atomanreichung frei geworden waren als Testobjekte eingesetzt, irgendwann wurde auch der isrealische Geheimdienst involviert, u.a. wegen ihres Know-Hows, aber auch weil durch die enge Involvierung ein israelischer Angriff verhindert werden sollte. 2008 kam die Software zum ersten Mal zu Einsatz, aber nur sehr begrenzt. Einzelne Zentrifugen zeigten dann ungewöhnliches Verhalten, aber die Steuerungen zeigten oft weiterhin korrekte Werte an. Ziel war zu diesem Zeitpunkt, Verwirrung bei den Betreibern zu erzeugen und Zweifel in das korrekte Funktionieren zu säen. Dies ist wohl auch gelungen, zum Teil wurden dann Zentrifugen abgebaut, die gar nicht gestört worden waren. Es kam zu Entlassungen beim Personal und ähnlichen Folgen. Die Angreifer legten großen Wert darauf, dass die Störungen in sehr großen Abständen auftraten und immer wieder unterschiedliche Formen zeigten. Auf diese Weise konnte die Sabotage 2 Jahre vor den Betreibern verborgen bleiben.

2008 kam Obama ins Amt und Bush drängte ihn, das geheime Programm weiterzuführen. Er hat dann nicht nur weitergeführt, sondern auch noch intensiviert. Es folgten immer neue Varianten der Software die immer wieder andere Störungen produzierten, bis dann 2010 ein Missgeschick passierte: Bis dahin war es gelungen, alle Infektionen auf Natanz zu beschränken. Durch einen Programmierfehler kam die Software dann ins Internet und verbreitete sich über die Welt. So wurde sie dann entdeckt und analysiert.

Im Weißen Haus gab es Krisensitzungen, aber es wurde entschieden, mit einer neuen Variante die Sabotage weiterzuführen. Offenbar mit Erfolg, 2 weitere neue und aggressivere Varianten waren in der Lage, 1000 von 5000 Zentrifugen zumindest temporär zu beschädigen.

Ob das Ganze ein Erfolg war wird heftig diskutiert, einige sagen dass der mögliche Kernwaffenbau um 1 - 2 Jahre zurückgeworfen wurde, andere bestreiten dies. Mir ist nicht ganz klar, warum es zu dieser Veröffentlichung kommt: Offenbar waren sehr viele der Geheimnisträger bereit, zwar anonym, aber doch sehr offen über das immer noch streng geheime Programm zu reden. Der Wahlkampf liegt als Grund nahe: so zeigt dieses Buch Obama als energischen Cyberkrieger, andererseits zeigt das Buch auch, dass Geheimnisse nicht gut gehütet werden. Politisch bringt die Tatsache, dass das die US-Regierung den Angriff quasi zugibt einen Präzedenzfall für Cyber-Sabotage aus politischen Gründen - dabei sind die USA ein selbst sehr stark exponiertes Land was Cyberspace betrifft. Der Nicht-Einsatz von Cyberangriffen gegen Libyen wurde damit begründet, dass die USA anderen Ländern keinen Präzedenzfall bieten wollten, jetzt haben wir aber genau diesen Präzedenzfall.

Eine gute graphische Zusammenfassung in der NY Times.

Sept. 2012:
Fragen zur Stuxnet-Saga
Da gibt es jetzt einen Pressemann der einige gute Fragen stellt,z.B. ob die technischen Details der Verbreitung der Infektionen so überhaupt möglich sind. Bzw. ob das nicht eigenartig ist, dass über so eine geheime Aktion jetzt ein Buch geschrieben werden konnte, weil die Geheimnisträger irgendwie nicht schweigen können?? - Stuxnet: Leaks or Lies?.

Hier noch eine sehr gute Zusammenfassung von ESET: Stuxnet Under the Microscope.

Feb. 2013:
Symantec hat jetzt entdeckt, dass erste Versionen von Stuxnet bereits 2007 im Iran aktiv waren und versucht hat, durch Manipulation von Ventilen die Zentrifugen zu zerstören. Diese alten Versionen finden sich zum Teil heute noch in Siemens Steuerungsanlagen, auf denen sie aber keinen Schaden anrichten, da sie nur in der Anreicherungsanlage ihren Angriffscode aktiv einsetzen.

Nov. 2013:
Symantec entdeckt, und Ralph Langer beschreibt in eine detaillierten Analyse, dass es offenbar eine ältere Variante von Stuxnet gibt, die bereits in 2005 in Natanz eingesetzt wurde, aber wohl von Agenten installiert und daher keine Infektions-Funktionalität enthalten hat: "To Kill a Centrifuge". Interessanterweise hat er Hinweise auf diese Variante sogar in Pressefotos gefunden. Die detaillierte Analyse (pdf) ist ebenfalls sehr spannend.

Feb. 2016:
Neue Details: Stuxnet angeblich Teil eines größeren Angriffs auf kritische Infrastruktur des Iran.

 





05.08.2010 - Peinlich: Social Networks als Falle für IT- und Security Experten

In einem dreiwöchigen Experiment testeten die Antivirus-Spezialisten von Bitdefender wie gut sich Social Networks nutzen lassen. Für die gefälschte Anfrage im Social Network erstellten sie das Profil einer 21-jährigen Blondine. Angeschrieben wurden je 1.000 Männer und Frauen. Um eine möglichst repräsentative Menge von Probanden zu erreichen, wurden zudem User zwischen 17 und 65 Jahren in das Experiment mit einbezogen. Das Durchschnittsalter betrug 27,3 Jahre.

Bereits nach 7 Tagen hatten 94 Prozent der 2.000 weltweit angeschriebenen User den Kontakt bestätigt. Immerhin 13 Prozent von diesen machten sich im Anschluss wenigstens die Mühe nachzufragen, woher man sich genau kenne. Als Hauptgrund für die Kontaktaufnahme gaben 53 Prozent „das schöne Gesicht“ der 21-Jährigen an. Mitrbeiter der IT-Branche waren unter den Vertrausseeligen kräftig vertreten (Hier die Details: malwarecity.com). Von diesen IT-lern waren wiederum 31 Prozent im Bereich IT-Security tätig.

Anschließend wählten die Tester 20 der Probanden die die Anfrage bestätigt hatten aus, um eine kleine Konversation mit der 21-jährigen Dame zu führen. Hier galt es herauszufinden, wie viele private Informationen die einzelnen Nutzer bereit waren, dem Fake-Kontakt preiszugeben. 10 Prozent der IT-Mitarbeiter hatten bereits nach einer halben Stunde privater Konversation der jungen Dame sensible Informationen wie Adresse, Telefonnummer sowie den Namen von Vater und Mutter etc. verraten. Nach zwei Stunden Gespräch hatten 72 Prozent sogar vertrauliche Daten über ihren Arbeitsplatz verraten, beispielsweise Informationen über noch nicht veröffentlichte Software oder Zukunftsstrategien etc.

 





05.08.2010 - Unethisches bei der PC Reparatur

Das Verhalten der Kollegen IT-Experten kann schon manchmal arg peinlich sein. Computerbild hat korrekt laufende PCs zu den Reparatur-Services von Medion, Asus, Hewlett Packard, Fujitsu Siemens, Toshiba, Targa, Conrad und PC-Feuerwehr gebracht, und zwar mit der Bitte eines Checkouts ohne Datenverlust. Das Ergebnis steht unter Repariert und ausspioniert: PC-Techniker schnüffeln in Ihrem PC!.

Das Ergebnis: Bei über der Hälfte der Computer schnüffelten PC-Techniker durch die privaten Dateien, was für diese Reparatur generell nicht erforderlich war. Sie betrachteten Urlaubsbilder, sichteten Dokumente, schauten sich Videos an und kopierten sogar Dateien. In einem Fall war die Platte neu formatiert, in einem anderen Fall eine ganz neue Platte eingebaut. Einer der Rechner startete nicht mehr, er war falsch wieder zusammengesetzt worden, ein anderer hatte angeblich neuen Hauptspeicher eingesetzt bekommen, Diagnoseprogramme waren vorher jedoch nicht genutzt worden. Die traurigen Details sind auf computerbild.de.

Fazit ist, was ich seit Jahren behaupte: Wir (die IT-ler) bringen dringend Ethikregeln, so dass diese Kollegen zumindest ein schlechtes Gewissen haben. Oder wir brauchen viel mehr solcher Tests.

 




Nicht nur haben die Hacker rund um 4chan "moot" an Platz 1 gebracht, sondern die Reihenfolge aller Personen so manipuliert, dass ein Satz entsteht

 

04.07.2010 - 4chan: Time 100 Precision Hack 2009

Irgendwie war das im Frühjahr 2009 an mir vorbeigerauscht. Der Time 100 (most influential person) war im Jahr 2009 gehackt worden. Ich wusste bereits, dass Online-Polls im Internet oft zu einem Wettbewerb zwischen IT-lern (z.B. 2 Universitäten) ausarten, Playboy-Polls sind berühmt dafür.

Mehr zu Hacktivismus erkläre ich an anderer Stelle.

Aber diese Manipulation hatte noch eine zusätzliche Qualität: Nicht nur haben die Hacker rund um 4chan "moot" an Platz 1 gebracht, sondern die Reihenfolge aller Personen so manipuliert, dass ein Satz entsteht. Hier sind Insider-Informationen dazu: Inside the precision hack die die Perfektion der eingesetzten Software anzeigt, mit deren Hilfe so eine exakte Manipulation möglich ist.

 





26.06.2010 - Copyright, ACTA und Google

Zum Thema Copyright, dessen Wert und dessen Durchsetzung lässt sich trefflich streiten. Aber es gibt ein paar Punkte, da kann ich mich drüber streiten, da staune ich nur, was alles möglich ist.

Die Österreichische Nationalbibliothek lässt ihre 400.000 Bände vom 16. bis ins 19. Jahrhundert von Google kostenlos einscannen. Ich bin ja kein großer Fan der Datensammelwut von Google, aber in diesem Fall halte ich das für eine Win-Win Situation. Google bekommt die Ergebnisse der Scans nicht-exklusiv, die Nationalbibliothek kann die Inhalte selbst auf ihre Website stellen, kann diese von alle Suchmaschinen der Welt indizieren lassen und die Wissenschaft und die Öffentlichkeit haben endlich bequemen Zugriff auf diese Bücher.

Dann kommen die Verleger beginnen sofort zu jammern, dass das ein nationaler Ausverkauf sei. Auch die IG Autorinnen Autoren regen sich auf. Auf dem IT-Rechtstag letzte Woche berichteten Anwälte der (Zeitungs-)Verleger, dass ein Mechanismus geschaffen werden müsste, damit die Zeitschriften verhindern könnten, dass ihre Inhalte ungefragt von Google indiziert werden.

Hier die Neuigkeit für die Verleger und ihre Anwälte: Diesen Mechanismus gibt es bereits. Er heißt robots.txt. Dies ist eine kleine Textdatei die auf jedem Webserver liegen sollte und in der angegeben wird, welche der dortigen Inhalte indiziert werden sollen und welche nicht. Bei sicherheitskultur.at wird da z.B. spezifiziert, dass keine Bilder für die Bildersuche indiziert werden sollen (Disallow: /images/*). So einfach ist das nämlich. Die zweite Option sind dann noch die Meta-Tags von HTML-Seiten, da kann das noch mal spezifiziert werden.

D.h. die Inhaber der Verwertungsrechte haben sehr wohl die Möglichkeit, die Nutzung ihrer Inhalte durch Google zu verhindern, man müsste sich nur etwas besser auskennen. Ebenso halte ich das Opt-Out beim Scannen von verwaisten Werken für eine akzeptable Option. Buchverleger sollten übrigens nicht zu sehr über die "Enteignung von Autoren" reden, der Begriff passt eigentlich viel besser auf Verträge mit Autoren die ich gesehen habe:

Da bleibt von "alleiniger Inhaber aller Rechte" nicht viel übrig.

Das andere ärgerliche Thema rund um Copyright sind die ACTA-Verhandlungen (Anti-Counterfeiting_Trade_Agreement). Die Futurezone des ORF (die ja auf Wunsch der Zeitungsverleger - siehe oben - im Rahmen des neuen ORG-Gesetz eingestellt werden soll) berichtet US-Plan gibt Marschrichtung vor und dann ein paar Tage später Verbraucherschutz: ACTA verletzt Grundrechte. Und das fasst sehr gut meine Meinung dazu zusammen. Da wird wohl den Internet-Service-Providern (ISP) auferlegt, den Datenverkehr ihrer Kunden aktiv zu überwachen. Und es wird wohl, so wie es aussieht, auch auf das Three Strikes-Prinzip hinauslaufen. D.h. wegen dem Vorwurf einer zivilrechtlich relevanten Taten wird das Grundrecht auf Information beschnitten, indem der Betroffene keinen Internetzugang mehr bekommen soll.

 





12.06.2010 - Geschäftsmodell Angst vor Copyright-Klagen

Drei Artikel zu Geschäftsmodellen rund um Copyright-Klagen. Da ist erstmal ein Trojaner der wenn er einen Rechner infiziert hat dort ein Fenster öffnet und den Benutzer informiert, die (nicht-existierende) ICPP Copyright Foundation hätte Raubkopien auf dem Rechner gefunden und es müssten zur Vermeidung eines Prozesses 400 Euro per Kreditkarte gezahlt werden. Wer sich darauf einlässt und das entsprechende Fenster für die Zahlung nutzt, dem werden dann zwar diese 400 Euro nicht von der Kreditkarte abgebucht (das wäre vermutlich zu leicht nachzuverfolgen), die so gewonnenen Kreditkarteninformationen werden einfach für weitere Betrügereien verwendet.

Der nächste Artikel beschäftigt sich dann mit richtigen Gerichtsverfahren. The RIAA? Amateurs. Here's how you sue 14,000+ P2P users berichtet, dass die großen Plattenverlage mittlerweile kaum noch Downloader verklagen, aber andere Anwälte haben das Geschäftsmodell für sich selbst entdeckt und produzieren in knapp über 3 Monaten fast so viele Klagen wie die RIAA-Verwertungsgesellschaft seit Beginn der Kampagne - bereits jetzt 15 000 für die ersten Monate 2010 allein durch eine Gesellschaft.

Die Anwälte suchen sich relativ unbekannte "independent" Filmproduzenten, suchen im Internet wer deren Filme herunterlädt und drohen mit Prozess, alternativ eine Zahlung von 1500 bis 2500 US$. Ein großer Teil der so Bedrohten zahlt; es ist ein tolles Geschäft, für die Anwälte und die Filmproduzenten die auch ihren Anteil bekommen.

In Deutschland ist Bushido berüchtigt für seine Abmahnungskampagnen. Es werden Unterlassungserklärungen und pauschal 859 Euro verlangt. Angeblich lässt er auch Fans abmahnen, die Texte von ihm auf Websites stellen.

Dabei ist Bushido kein unbeschriebenes Blatt: Ihm selbst werden zahlreiche Urheberrechtsverletzungen vorgeworfen und er ist auch schon einschlägig verurteilt worden. Der vorige Links gibt auch Hinweise, wie man sich gegen Bushido und ähnliche Ansuchen wehren kann. Kurzttipp: Bevor Sie irgendwas tun, nehmen Sie Kontakt mit einem Anwalt auf, die Erstberatung ist meistens kostenlos und dann wissen Sie besser über ihre Rechte bescheid.

Juni 2010:
heise.de berichtet von gefäschten Emails mit Abmahnungen einer nicht mehr exisitierenden Kanzlei, Bezahlung angefordert über Paysafecard wird gefordert, eine sehr beliebte anonyme Bezahlmethode im Internet-Untergrund.

 




2017: Die eco Beschwerdestelle der deutschen Netzbetreiber berichtet, dass sie 2016 100 Prozent der illegalen Inhalte in Deutschland gelöscht haben und durch Kontakte zu ähnlichen Stellen im Ausland auch sehr hohe Löschungsraten erzielen können.


12.06.2010 - Thema Internetsperren und Kinderpornographie

Das ist leider ein sehr besetztes Thema, das kaum irgendwo sachlich diskutiert werden kann. Wer gegen Internetsperren ist steht sofort im Ruf, Kinderpornographie zu befürworten. Ein recht vernünftiger Arikel in der Futurezone des ORF Kinderporno: SPÖ und ÖVP für Internet-Sperren verweist auf eine Aktion in Deutschland "Löschen funktioniert".

Die österreichischen Parlamentarier haben sich dazu durchgerungen, dass "das Löschen solcher Inhalte Vorrang vor dem Sperren haben" soll, anderseits sehen sie die Sperren immer noch als zweitbeste Lösung. Weiter unten in dem Artikel werden dann auch die Missbrauchsmöglichkeiten erwähnt: "So wurden in der deutschen Diskussion auch Forderungen nach Sperren von Torrent-Trackern für unlizenzierten Tausch von Mediendateien oder Glücksspielangeboten laut."

Der Arbeitskreis aus Deutschland (siehe 2. Link) hat das mal durchgetestet. Sie haben auf Grund von europäischen Sperrlisten automatisiert 348 verschiedene Webhosting-Provider in 46 Ländern angeschrieben und über rund 1943 gesperrte vorgeblich illegale Webseiten informiert. Ergebnis: 250 Webhoster haben prompt auf die Anfrage geantwortet, hatten aber hauptsächlich legale Inhalte gefunden; 10 Hoster gaben an, ingesamt 61 illegale Inhalte entfernt zu haben. Also - so schwer ist das mit dem "Entfernen statt Sperren" offensichtlich nicht. Die verbotenen Inhalte werden nämlich zum überwiegenden Teil in Ländern gespeichert, wo ein Entfernen der Inhalte sehr leicht möglich ist.

Hier ein Artikel dazu aus der futurezone des ORF: Kinderpornos meistens in USA gehostet. Dieser Artikel beruht auf einer Presseerklärung der stopline.at, auf der illegale Inhalte im Web gemeldet werden können und die von der ISPA, der Vereinigung der Internet Service Provider in Ö betrieben wird. Hier die Aussendung ISPA-Stopline: Im ersten Halbjahr 2010 kein österreichischer Server betroffen.

Die Hoster der Websites auf der Sperrliste waren übrigens gar nicht darüber informiert, dass diese URLs auf der Sperrliste sind. Wenn sie informiert worden wären hätte man die meisten der URLs erst gar nicht auf die Sperrliste setzen müssen weil die Hoster entweder die Inhalte gelöscht oder die Fehleinschätzung korrigiert hätten. Das regelmäßige Verteilen der aktuellen Sperrlisten an die Betreiber der DNS-Infrastruktur ist vermutlich oft mehr Arbeit als das Entfernen der Inhalte aus dem Netz.

Und jetzt zu den schlechteren Nachrichten: Bei der überwiegenden Mehrheit der Webseiten zeigte sich bei der Überprüfung, dass die Webseiten kein kinderpornographisches, teilweilse überhaupt kein irgendwie beanstandbares Material enthielten - die Webauftritte waren folglich zu Unrecht gesperrt. In Finnland werden zudem auch mehrere inländische Webseiten blockiert die sich kritisch mit den dortigen Internet-Sperren auseinandersetzen. D.h. solche Sperren werden bereits jetzt für Zensurzwecke eingesetzt. Auch aus Australien wird Zensur über solche Sperrlisten berichtet.

Technische Implementierung und deren Wirkungslosigkeit
Es gibt nur eine wirklich sichere Möglichkeit um im Internet-Zugriffe zu sperren: alle Zugriffe müssen über eine oder mehrere zentrale Firewalls gehen. Dies ist in Nordkorea und in China implementiert. Die in Europa vorgeschlagenen Sperren sind keine wirklichen Sperren (und das entsprechende Gesetz heißt in D. Zugangserschwerungsgesetz). Es sollen lediglich die DNS-Server in den jeweiligen Ländern die URLs zu den "gesperrten" Inhalten nicht mehr auflösen. D.h. der DNS-Server gibt keine IP-Adresse zurück sondern zeigt eine Seite die besagt, dass auf gesperrte Inhalte zugegriffen werden sollte. Nach der in D. geplanten Implementierung hätte auch automatisch eine Meldung an die Behörden generiert werden sollen, damit sie diesem Fall nachgehen können.

Die Umgehung einer solchen Scheinsperre ist extrem einfach: der Benutzer ändert bei seinem PC die Netzwerkeigenschaften und stellt die Adresse des DNS z.B. auf 8.8.8.8. Das ist der neue Google-DNS, der in den USA liegt, wo eine solche Scheinsperre als Zensur gesehen würde. D.h. eine solche Scheinsperre wäre extrem wirkungslos, auch ich würde lieber über den Google-DNS surfen als Gefahr zu laufen, dass ich wegen einer der vielen oben aufgezeigten "false positives", d.h. fälschlichen Sperrungen, Besuch von der Behörde bekomme und schlimmstenfalls mein Rechner für eine ausführliche Untersuchung beschlagnahmt wird.

Die Lösung: Löschen statt Sperren
Der Test aus D. hat gezeigt, dass von den 348 Webhostern 250 prompt reagiert haben. Was ist mit dem Rest? Auch hier gibt es Lösungen. Banken und größere Firmen nutzen kommerzielle Anti-Phishing-Dienste (z.B. RSA Fraud Center und CSIS Antiphishing), die sich rühmen, JEDE Website vom Netz zu nehmen. Bei seriösen Betreibern ist das Recht einfach. Alle seriösen Webhoster haben Abuse-Kontaktadressen (meist abuse@), bzw. Compliance Officers und diese Anti-Phishing-Dienste haben deren Telefonnummern. Ein Anruf genügt, und eine Phishing-Website ist vom Netz. Bei den nicht-seriösen Webhostern ist es schwieriger. Sie werden "bullet-proof" Webhoster genannt, weil sie auf solche Anfragen nicht reagieren.

Aber auch hier haben diese Anti-Phishing-Dienste Mittel und Wege, das Problem zu lösen. Z.B. verfügen solche Anti-Phishing-Dienste über Kontakte zu vielen Polizeibehörden und da findet sich dann zumeist ein Weg, die Website vom Netz zu nehmen. Der Punkt ist: wenn private Firmen es schaffen, "Inhalte vom Netz zu nehmen" dann ist es schwer verständlich warum die Polizeibehörden der Welt - gemeinsam - dies nicht schaffen können und daher zu dem (untauglichen) Mittel der Scheinsperre greifen wollen. Daher die Forderung ganz vieler Organisationen: Endlich diese Inhalte systematisch löschen zu lassen. Falls die Polizeibehörden dazu ressourcenmäßig nicht in der Lage sind, so übernehmen die kommerziellen Anbieter dies bestimmt sehr gern.

Der oben referenzierte Artikel der ISPA erklärt sehr schön, dass es auch heute eine gut funktionierende Kooperation gibt und dass das Löschen kein unlösbares Problem ist:

Das Kernproblem sind die Kindesmisshandlungen selbst, nicht die Fotos
Das eigentliche Problem ist aber nicht die Kinderpornographie, sondern die auf diesen Bildern und Videos sehr oft dargestellten sexuellen Misshandlungen der Kinder und die dadurch in den Opfern ausgelösten körperlichen und psychischen Traumatisierungen (der Begriff "Kindesmissbrauch" ist in diesem Zusammenhang zumindestens extrem unglücklich; das Wort "Missbrauch" unterstellt implizit, dass es auch einen korrekten Gebrauch von Kindern geben könnte). Diese Misshandlungen sind es, die zum Schutz der Kinder strafrechtlich verfolgt und so effektiv wie möglich erschwert werden müssen.

Oft zeigt sich, wie in dem aktuellen Wiener Fall, dass die Verfolgung von Kinderpornographie-Zugriffen Hinweise auf Kindesmisshandlungen gibt, so wie es auch in diesem Fall zu sein scheint. Diese Misshandlungen werden natürlich weder durch Zugaungserscherungen noch durch das Löschen der Inhalte abgestellt.

Das Löschen der Inhalte ist aber eine Behinderung des Marktes mit solchen Bildern und Videos. Es ist eine grauslige Tatsache, dass viele Bilder und Videos auch auf Nachfrage hergestellt werden und dass eine Behinderung solcher Foren, in denen (gegen Bezahlung) Bestellungen für bestimmte Inszenierungen abgegeben werden, sehr wohl Kinder vor diesen Misshandlungen retten kann.

Juli 2010:
Und schon wieder werden neue Überwachungswünsche unter dem Vorwand Kinderpornografie bekannt: EU plant massive Ausweitung der "Vorratsdaten-Sammlung". Diesmal geht es nicht um die Erschwerung des Zugriffs, sondern um eine Aufzeichung und Auswertung der Suchbegriffe in Suchmaschinen um angeblich auf diese Weise "Online-Kinderpornografie und anstößige sexuelle Inhalte rasch und effektiv zu bekämpfen" - wie auch immer das gehen soll. Und wie auch immer diese Auswertungen den Opfern helfen können.

Wirkliches Ziel muss doch sein, die Anbieter der Daten zu identifizieren (dafür braucht es aber keine Überwachung der Suchmaschinen, sondern vielleicht nur einfach eine Nutzung der Suchmaschinen durch die Exekutive - "Google ist dein Freund") und dann diesen Anbietern das Handwerk zu legen.

Noch mal Juli 2010:
Hier Berichte aus Australien, wo die Regierung bereits ziemlich weit war. Es ging in dem Gesetzesentwurf nicht nur um Kinderpornographie, sondern auch um Anleitungen zu Verbrechensbegehung (was immer da alles drunter fällt, evtl. auch solche Berichte über Angriffe wie ich sie auf dieser Website bringe).

Mittlerweile ist die Regierung wieder vorsichtiger geworden und ist bereit, diesen Schutz auch anders zu implementieren. Hier ein Artikel aus Australien: Conroy backs down on net filters. Auch hier fordern Aktivisten "better equip parents to protect their children at home, and better equip police to combat the issues at their source".

Hier ein recht guter Hintergrundartikel: Kindesmissbrauch: Netzsperren als Wegsehen mit vielen weiteren Links zum Thema.

August 2010:
heise.de: Provider: "Löschen statt Sperren" funktioniert. Ähnlich klingt der Bericht der schweizer Koordinationsstelle zur Bekämpfung der Internet-Kriminalität (Kobik). Sie berichten darüber, dass sie sehr erfolgreich diese Inhalte aus dem Web entfernen (lassen).

Sept. 2010:
Futurezone berichtet über die Wiederkehr der Netzsperren. Der Artikel berichtet über 2 Dokumente: die International Watch Foundation dokumentiert IWF experience, tactical suggestions and wider considerations (pdf). IWF ist sehr aktiv und erfolgreich beim Entfernen aus dem Internet, sowohl in Großbritannien wie auch in anderen Ländern. Weil es aber Fälle gibt, an denen auch sie scheitern befürworten sie ein gezieltes URL-Sperren. Sie sprechen sich aber explizit gegen das Sperren von Domain-Names (und damit IP-Adressen), so wie das heute vorgeschlagen wird. Sie sagen, dass ein großer Teil der illegalen Inhalte auf legitimen Seiten gehostet wird, z.B. Photosharing, und dass es zu erheblichen Colateralschäden kommen würde. Es bieten eine täglich 2x aktualisierte Liste von ca. 500 vollständigen URLs an, die aus den ca. 40 000 Reports die sie pro Jahr bearbeiten, übrig bleiben. Sie betonen, dass das auf diese Liste setzen jeweils nur eine Interim-Lösung ist bis die Entfernung aus dem Internet gelungen ist.

Und aus Deutschland gibt es ein Harmonisierungspapier zum zukünftigen Umgang mit Hinweisen auf kinderpornografische Webseiten das beschreibt, dass es bisherigen bei der Bekämpfung von Kinderpornographie in Deutschland eine Ungleichbehandlung der Meldung an die 3 deutschen Stellen gab, das BKA aber eine einheitliche Vorgehensweise durchsetzt, bei der das Entfernen die allerhöchste Priorität hat. (Hier übrigens die Links von Meldestellen).

In den USA gibt es mittlerweile Pläne das DNS System gegen Urheberrechtsverletzungen zu missbrauchen. Die EFF hat einen offenen Brief von 87 prominenten US-Internetpionieren initiiert. Über das Antipiraterieabkommen ACTA könnten diese Maßnahmen auch nach Europa kommen.

Eine weitere Studie beschäftigt sich mit der Effektivität der Netzsperren. Der deutsche AK Zensur hat sich 167 Einträge von Sperrlisten aus Schweden und Dänemark (pdf) angesehen und dabei festgestellt, dass lediglich drei Adressen noch Inhalte enthielten, die als Kinderpornografie klassifiziert werden können.

Febr. 2011:
Futurezone berichtet über ein konkretes Ermittlungsbeispiel und zeigt auf Netzsperren warnen die Täter.

April 2011:
Ein sehr guter Artikel von der bundesdeutschen Justizministerin Sabine Leutheusser-Schnarrenberger setzt sich kritisch mit dem angeblichen Recht auf Vernetzung der Post-Privacy-Befürworter auseinander. Aber dann geht sie auch auf die Problematik der Netz-Sperren ein:

Mai 2011:
Deutschland: Löschen statt Sperren nun fix.

Dezember 2011:
EU-Minister fordert mehr Anstrengungen beim Löschen von Kinderpornographie.

Jan. 2012:
Auf dem Chaos Computer Congress 2011 wird ein System vorgestellt (und kritisiert), mit dessen Hilfe Kinderpornographie im Netz über Hash-Werte identifiziert werden soll. Ich persönlich finde diesen Vorschlag zumindest diskussionswürdig. Da bereits diese Hashwerte vorliegen sehe ich kein Problem, wenn die Crawler der Suchmaschinen in diesen Fällen Alarm schlagen.

April 2013:
Österreich Jahresbericht 2012 Stopline: Kinderpornos und Wiederbetätigung im Internet: 2.615 Meldungen 2012. Tenor: Die Meldungen steigen gravierend, das "Prinzip Löschen statt Sperren" bleibt.

Juni 2013:
Google will mit Hilfe der Internet Watch Foundation eine Datenbank der Hashes aller bekannten Bilder erstellen und allen Suchmaschinen als Filter zur Verfügung stellen, damit diese Bilder in Suchmaschinen nicht mehr aufscheinen, außerdem sollen alle Funde an die Behörden gemeldet werden.

Dez. 2013:
Wie schwierig das Sperren ist zeigen die ersten Erfahrungen mit dem britischen Pornographie-Filter. Dieser richtet sich nicht speziell gegen Kinderpornographie, sondern gegen jede Form von Pornographie. Die englischen Internetnutzer sollen sich den Zugang zu solchen Inhalten explizit freischalten müssen. Heise.de berichtet, dass es dabei jede Menge False-Positives gibt (d.h. irrtümlich gesperrte Seiten): Britische Provider schrauben an ihren Pornofiltern. Und zwar nicht nur bei Kinder-Hilfsorganisationen, sondern auch bei einer Abgeordneten, die für diese Porno-Filter ist. Für Deutschland wurde so ein Modell auch bereits vorgeschlagen.

 




Okt. 2014: Studie zum Risiko "Handynutzung im Auto", auch bei Nutzung einer Freisprecheinrichtung.

Nov. 2014: Ein sehr interessanter und umfassender Artikel zu Fahrzeug-Elektronik: Der Kampf ums Cockpit. Viele technische Details, auch zum Paradigmenwechsel von fahrer-zentriert zu computer-zentriert

Sommer 2015: Eine 99-seitige Studie zu Adventures in Automotive Networks and Control Units

April 2015: Autodiebe machen sich bei Fahrzeugen mit elektronischen Schlüsseln die Hände nicht mehr schmutzig. Hier ein Artikel über die wachsende Zahl von Diebstählen mittels Elektronik.

Dieser wissenschaftliche Artikel beschreibt, dass ein einfacher Signalverstärker das Signal des echten Schlüssels so verstärkt, dass der Wagen sich öffnet und startbereit ist, bevor der Eigentümer in der Nähe ist: Relay Attacks on Passive Keyless Entry and Start Systems in Modern Cars.

März 2016: ADAC: Viele aktuelle Pkw-Modelle über Funk knackbar.

Juli 2016: Je mehr High-Tech drin ist, desto mehr Angriffsmöglichkeiten gibt es: Zero-day flaw lets hackers tamper with your car through BMW portal . BMW hat es nicht geschafft, die Schonfrist die die Entdecker es Problems ihnen gegeben hatten, für eine Behebung des Problems zu nutzen: BMWs ConnectedDrive ist löchrig.

August 2016: Ganz schlechte Nachricht: Schwachstellen im Design des CAN-Bus, der die Grundlage aller Kommunikation in modernen Fahrzeugen darstellt. Angreifer können unter Ausnutzung einer Feature die Geräte "abschaltet", die offenbar falsch funktionieren, dafür sorgen, dass einzelne Geräte im System ignoriert werden. Diese Funktion lässt sich nicht "patchen", das ist im Standard so vorgesehen. Hersteller können nur versuchen, mit der Situation irgendwie intelligent umzugehen.


30.05.2010 - Hacker-Angriffe auf Autos bis zu autonomen Fahrzeugen

Die Fragen der gesellschaftlichen Auswirkungen von autonomen und/oder vernetzten Fahrzeugen werden auf meiner anderen Website behandelt.

Dort findet sich auch der Spezialfall Ethik autonomer Fahrzeuge mit einem Link zu einem (Youtube-)Vortrag dazu von mir

Ebenfalls relevant sind alle Probleme, die ich in meinen Artikeln zu Internet of Things (IoT) aufzeige. Denn natürlich sind die Autos ein weiteres Objekt in Internet der Dinge.

Ein interessanter Artikel Experimental Security Analysis of a Modern Automobile (pdf) zeigt, wie leicht angreifbar moderne Autos mit ihren 50 - 70 integrierten Prozessoren sind (embedded systems). Diese Prozessoren werden typischerweise mittels CAN-Bus miteinander gekoppelt, an dem nicht nur Systeme wie Engine Control Module, Electronic Brake Control Module, Transmission Control Module und Body Control Module angeschlossen sind, sondern auch das Autoradio (das zumeist auch verwendet wird um alle Blinker- und Warngeräusche zu erzeugen und daher eng mit den anderen Fahrzeugprozessoren gekoppelt sein muss), die Klimananlage, die Airbags, die Diebstahlsicherung, das Navi, die Instrumentierung im Armaturenbrett, der elektronische Türöffner und das Telematic-Module, das über GSM (Handy) eine Lokalisierung und Blockierung des gestohlenen Autos erlaubt.

Die Sicherheitsphilosophie der Ingenieure bezieht sich jedoch nur auf Safety (das Vermeiden von Unfällen, z.B. bei Ausfall von Prozessoren oder des Daten-Bus, und nicht auf Security (dem Schutz gegen böswillige Datenpakete im Bus-System. Solche böswilligen Datenpakete können auf vielfältige Weise in das Datennetz kommen. Ein möglicher Weg wäre der Anschluss eines kleinen Computers (z.B. ein iPhone) an den Diagnosestecker unter dem Armaturenbrett. Ein anderer Weg geht über die drahtlosen Systeme die an den Bus angschlossen sind, z.B. den Türöffner und das Telematic Module.

Eine weitere Angriffsmöglichkeit sind Geräte die nicht vom Hersteller stammen, z.B. Autoradios und Navis die von vielen Anbietern verfügbar sind und auch mit vielen anderen Prozessoren kommunizieren müssen (z.B. um zu wissen ob Blinkergeräusche erzeugt werden müssen).

Die Spezifikationen des CAN-Bus besagen, dass Signale nur von autorisierten Systemen akzeptiert werden sollen, aber den Testern der beiden Universitäten ist es gelungen, über jede der Angriffspfade alle Prozessoren beliebig anzusprechen. So konnten sie z.B. einzelne Räder gezielt blockieren, die Bremse vollständig deaktivieren, das Auto hupen lassen, vollständig deaktivieren, oder auch dafür sorgen dass es trotz abgezogenen Schlüssels immer weiter lief. Diese böswilligen Signale können auch ganz gezielt eingesetzt werden wenn das Fahrzeug bestimmte Betriebszustände erreicht, z.B. bei einer bestimmten Geschwindigkeit. Auch hier sagt wiederum die Spezifikation, dass z.B. die Bremsen ein Deaktivierungskommando nur akzeptieren dürfen, wenn das Fahrzeug steht, aber auch diese Sicherheitsregeln waren in den beiden Testfahrzeugen nicht implementiert.

Immer grüne Welle - Angriffe auf Verkehrsampeln

Eine Studie in den USA hat untersucht, ob Angreifer sich so in die Vernetzungen zwischen den Ampelanlagen an den Kreuzungen reinhängen können, dass der Angreifer immer grüne Welle hat. Die kurze Antwort ist: JA.

Die untersuchten Ampelanlagen sind mittels WLAN-ähnlicher Technologien miteinander verbunden, unverschlüsselt natürlich, Authentisierung über die Default-Passworte des Herstellers, die Steuerungen mit einem offenen Debug-Port und zusätzlichen Verwundbarkeiten. Grüne Welle vor dem Fahrzeug und danach alle 4 Ampeln auf rot ist überhaupt kein Problem.

Die einzige gute Nachricht ist, dass ein Angriff den ich aus einem Science Fiction Roman aus dem 60igern oder 70igern kannte, NICHT geht: Alle 4 Ampeln gleichzeitig auf grün. Das verhindert nämlich die MUU (Malfunction Management Unit). Wenn diese bestimmte Signale erhält, die mittels Jumpern als gefährlich programmiert wurden, dann schaltet sie auf "Blinken" für alle 4 Ampeln.

Hier die Science Fiction Geschichte: ein Computer hat viele Sensoren und kann auf Grund der Verkehrssituation im Lande, dem Wetter und vielen anderen Parametern die Anzahl der Verkehrstoten des Folgetages 100% korrekt vorhersagen. Der Held der Kurzgeschichte entdeckt nach einem Unfall in den er selbst verwickelt ist, dass der Computer falls die Zahl der Toten kurz vor Mitternacht noch nicht erreicht ist, mittels Ampeltricks ("grün für alle") geeignet nachhilft. - Aber, wie gesagt: das setzt physisches "umjumpern" in der Schaltbox voraus, und das wäre "unsportlich".

Juni 2015: Neue Beispiele für Traffic Light Hacking
Die NY Times berichtet: Traffic Hacking: Caution Light Is On.

Das heißt, es gibt vielfältige Angriffsmöglichkeiten die von "nur extrem nervig" (Dauerhupton) bis tödlich reichen (Deaktivierung des Bremssystems wenn eine bestimmte Geschwindigkeit erreicht wird). Und das allerbeste für Morde durch Angriff auf den Datenbus ist, dass es den Angreifern gelungen ist, nach erfolgtem Angriff alle Spuren einer Manipulation der Systeme wieder zu überschreiben, d.h. sie konnten Programme im Speicher der Prozessoren manipulieren und nach erfolgter Tat automatisch den Originalcode wieder drüber speichern.

August 2010:
heise.de berichtet über eine weitere Studie zu Sicherheit elektronischer KFZ-Steuerungen: Security and Privacy Vulnerabilities of In-Car Wireless Networks: A Tire Pressure Monitoring System (TPMS) Case Study. Es geht dabei um Angriffe auf Autos über die drahtlose Verbindung zwischen den Ventilen und der Bordelektronik, die in den USA bereits jetzt Pflicht sind und in der EU sehr bald Pflicht werden.

Die Autoren finden heraus, dass es keine Absicherung gegen fremde Signale gibt. So gelingt es bei 2 gängigen Automarken in das Fahrzeugsystem einzudringen und die Reifendruckanzeigen während der Fahrt von einem anderen Auto aus zu manipulieren (damit könnte man z.B. einen Fahrer dazu zu bringen anzuhalten, was für Räuber eine gute Gelegenheit ergibt).

Ebenso konnten die Autoren die Fahrzeuge anhand der IDs der Reifendrucksensoren auch auf 40 m Entfernung noch tracken. Noch dramatischer: Im Rahmen der Tests hat die ganze TPMS-Unit irgendwann ihren Geist aufgegeben und musste kostspielig ersetzt werden, das sollte mittels "verwirrender" Dateninhalte eigentlich nicht möglich sein. 2016 zeigt eine Studie, wie schwierig es ist, so etwas abzusichern: "Security and Privacy Vulnerabilities of In-Car Wireless Networks: A Tire Pressure Monitoring System Case Study."

März 2011:
Ich glaube, das Thema wird uns noch mehr beschäftigen: Auto-Bremsen per Bluetooth und MP3-Trojaner gehackt. Dieser Angriff hat über die Freisprechanlage funktioniert, sie konnten das Fahrzeug auch über ein dem Auto noch nicht bekanntes Handy steuern. Außerdem funktionierte die Infektion über eine CD mit einer manipulierten MP3-Datei. Hier der Link zu Originalartikeln: Taking Control of Cars From Afar und With hacking, music can take control of your car. Der Angriff über Musik im 2. Artikel ist in so fern interessant, weil er "skaliert", d.h. flächendeckend eingesetzt werden kann: Der Angreifer kann die Systeme im Auto mittels einer präparierten MP3-Datei übernehmen. Der Angreifer könnte die Datei über Filesharing flächendeckend verteilen. Wenn die Datei auf eine CD gebrannt wird und im Autoradio abgespielt, dann übernimmt der Schadcode die Computer im Auto. Sofern der Wagen entsprechend ausgerüstet ist sendet er die Position des Wagens an den Angreifer (entweder über Internet-Anschluss im Auto oder GSM). Wenn dann der benachrichtigte Dieb zu Wagen kommt, so kann die Elektronik die Türen öffnen und den Wagen starten.

Noch ein Artikel über Forscher in Magdeburg die ebenfalls mehr Schutzfunktionen für die IT im Auto fordern.

August 2011:
Neuer Angriff gegen Autos: Hackers unlock car via text. Die Forscher haben per SMS die Autotüren geöffnet und den Motor gestartet. Und noch mal hier: Cars vulnerable to hack attacks.

März 2012:
Auf der Blackhat Europa Konferenz zeigen Sicherheitsexperten, wie Fahrzeuge, die mit der sog. “M2M”-Technologie ausgerüstet sind angegriffen werden können und zwar mittels SMS.

Mai 2012:
Ein Artikel berichtet über Upgrading Auto Software In A Flash. Es geht darum, dass für Autos mittlerweile die gleiche Problematik besteht wie für jeden anderen Computer: die Software muss ständig aktualisiert werden. In den USA wurden bereits 2007 mehr als 1 Mio. Autos für Software-Updates in die Werkstatt gerufen, August 2011 hat Honda allein 2 Mio Rückrufe gehabt, und Jaguar 18000 im Oktober. Um dieses Problem zu lösen hat eine Organisation, die OMA-DM (Open Mobile Alliance Device Management) einen Standard für over-the-air Software Updates für Autos entwickelt, mit deren Hilfe die Software aktualisiert werden kann ("reflashing").

Herbst 2012:
Video: Hackers steal keyless BMW in under 3 minutes. Es gibt wohl eine Diebstahlwelle von BMWs in Großbritannien, und zwar solche die keine mechanischen Schlüssel mehr nutzen. (siehe auch weiter unten)

Nach dem was ich gelesen habe sind es nicht Schwachstellen in der Elektronik die hier ausgenutzt werden, sondern die Diebe nutzen die gleiche Funktionalität mit deren Hilfe es möglich ist verlorene Schlüssel zu ersetzen. Die Prozedur dauert in der Werkstatt angeblich 30 Min aber die Diebe haben es geschafft, in 3 Minuten ohne Zugang zum Wagen einen neuen elektronischen Schlüssel zu berechnen.

Juli 2013:
Arstechnica bringt einen Bericht über Angriffe auf Autoelektronik mit Manipulation der Bremsen: Tampering with a car’s brakes and speed by hacking its computers: A new how-to.

Feb. 2014:
Spanische Forscher konnten ein kleines Modul vorstellen, das in den CAN-bus von Autos integriert wird und dann drahtlos Kommandos von Angreifern empfangen und an die Bordelektronik senden kann. Sie wollen damit die Hersteller wach rütteln, so dass diese Absicherungen, z.B. durch Authentisierung zwischen den Komponenten am Bus, einführen.

Sept. 2014:
Die NY Times berichtet über einen neuen Trend in den USA: Es werden Kredite für Autos an Personen vergeben, bei denen zweifelhaft ist, ob sie ihre Raten bezahlen können (die gleiche Geschichte wie bei den sog. Sub-Prime Hypotheken die uns die Finanzkrise beschert hat. Die "geniale" Lösung für die Kreditgeber: das Fahrzeug wird mit einem Empfänger ausgestattet der das Fahrzeug bei Zahlungsrückständen jederzeit lahmlegen kann. Außerdem ein GPS, damit das Fahrzeug leicht beschlagnahmt werden kann, oder um zu sehen, ob der Schuldner immer noch regelmäßig an die Arbeitsstätte fährt.

Die Schuldner berichten von Situationen, bei denen das Fahrzeug irgendwo auf der Straße lahm gelegt wurde, und oft auch bei nur kurzen Zahlungsverzögerungen und nicht, wie im Gesetz bzgl. "Re-posessions" vorgeschrieben bei 30 Tagen Verzug. Außerdem wird von Zinsen bis zu 29% berichtet. 2 Millionen Geräte sind derzeit im Einsatz.

Jan. 2015:
Der ADAC entdeckt, dass sich die BMWs der Serie ConnectedDrive auch ohne Schlüssel öffnen lassen, der Fehler ist in der Zwischenzeit behoben. Hier Details zum BMW Hack (bzw. weiter oben habe ich im Herbst 2012 auf ein Video eines solchen BMW-Diebstahls verlinkt. NICHT behoben ist der Angriff vom April 2015 mittels "Relay Attack", den ich ganz am Anfang erwähne.

Auch Jan. 2015:
Derzeit in den USA, aber wer weiß: Autoversicherungen bieten "Dongles" an, die in den Wartungsport des Autos gesteckt werden und die dann das Fahrverhalten, die Aufenthaltsorte und andere Daten an die Versicherung übertragen, 2 Mio der Geräte sind im Einsatz. Mit ein wenig Bastelei konnten Techniker die Firmware des Dongles modifizieren, bzw. die Elektronik der Fahrzeuge angreifen.

Juli 2015:
Erich Möchel vom ORF stellt dar, dass es Chrysler gelungen ist, aus dem überschaubaren Problem, dass Hacker über Schwachstellen im Uconnect-Infotainmentsystem einen Jeep Cherokee fernsteuern konnten, ein noch größeres Problem zu machen (hier der sehr lesenwerte ausführliche Bericht in Wired: Hackers Remotely Kill a Jeep on the Highway—With Me in It. Das Erschreckende an dem Bericht ist, dass sie nicht nur 1 einzelnes Fahrzeug übernehmen können, sondern jedes Fahrzeug, das mittels Uconnect kommuniziert - eine Flotte von Zombie-Autos).

Chrysler bot zum Patchen der Fahrzeugelektronik der 1,4 Millionen betroffenen PKWs den Download von ".exe"- und ".zip"-Dateien für die Autoelektronik an. Die Kunden wurden aufgefordert, eine ganze Reihe von ".exe" und ".zip"-Dateien auf ihre Privat-PCs herunterladen und dabei alle Warnungen des Betriebssystems zu ignorieren. Sodann sollten die Dateien auf einem USB-Stick installiert werden, über den das "Sicherheitsupdate" in den Bordcomputer des Wagens eingespielt werde. Wenn das keine Vorlage für das Einbringen von Fremdsoftware auf diesen Systemen ist!

Wenn sich diese Technik einbürgert, so wird es bald Phishing Mails geben, man solle die Software hinter diesem Link auf seinem Fahrzeug installieren. Hier die Website von Uconnect, bei der man seine 17-stellige Vehicle Identification Number (VIN) unverschlüsselt übertragen muss. Das Patchen fängt gleich gut an.

Zu den Kuriositäten zählt dann schon, wenn ein Kleinkind in Deutschland den elektronischen Autoschlüssel aus dem Fenster des Fahrzeugs wirft und daraufhin der Motor auf der Autobahn abschaltet. Moderne elektronische Schlüssel müssen nicht mehr im Fahrzeug stecken, sondern nur noch in Funkreichweite sein.

Dez. 2015:
Ein ausführlicher Artikel zu den technischen Details von OBD, dem On Board Diagnose System in allen modernen Autos. Zitat: " Die aktuellen Euro-Normen verlangen, dass bei einem überschreiten gemessener Grenzwerte das Motorsteuergerät einen kompletten Datensatz mit den eben genannten Parametern speichert und über den standardisierten OBD-Anschluss (OBD steht für On Board Diagnose) des Fahrzeugs zugänglich macht. . . . Ferner gibt es für die Hersteller einige ökonomische Gründe, Daten zu sammeln. Wer als Käufer eine Gewährleistungs- oder Garantieleistung für sein Fahrzeug möchte, dem sehen die Vertragswerkstätten schon gern in die Datenkarten. Wenn dann im Protokoll vermerkt ist, dass der Motor bereits in der Einfahrzeit bei kaltem Öl immer zu hoch gedreht wurde, haben Hersteller und Werkstatt etwas in der Hand, um Leistungen zu verweigern."

Autonome Fahrzeuge

Aug. 2015:
In der c't ist ein guter Überblick über die derzeit unterschiedlichen Klassifizierungen von autonomen Fahrzeugen. In einem anderen Artikel finden sich dort psychologische, juristische, planerische und technische Herausforderungen zu autonomen Fahrzeugen die heute oft noch ignoriert werden.

Ebenfalls lesenswert ist natürlich meine Betrachtung zur Ethik von autonomen Fahrzeugen an anderer Stelle.

 




Weiter unten Aktualisierungen und viele Details zu den einzelnen Fällen der unterschiedlichen Banken, die bis heute reichen und 2015 als "Swiss Leaks" diskutiert werden. Da sind spannende und verwirrende Krimis darunter.

Hier der Link zur Swiss Leaks Website der "International Consortium of Investigative Journalists" (ICIJ), auf der auch Länder und betroffene Personen genannt werden

13.02.2010 - Swiss Leaks: Gedanken zum Thema 'Datendiebstahl' und den sog. Steuer-CDs (d.h. gestohlene Bankdaten mit "Steuersünder-Daten")

Was da im Augenblick mit dem Ankauf von Kundendaten von liechtensteiner und schweizer Bankkunden passiert ist aus Sicht eines Bank-Sicherheitsverantwortlichen eine ganz heiße Kiste. Da wird durch den Ankauf ein Markt geschaffen, der viele frustierte System-Administratoren in Versuchung bringen könnte. Eine ganze Reihe von guten Punkten bringt Hans Zeger unter Dürfen gestohlene Personendaten gehandelt und verwertet werden? (Der folgende Text bezieht sich NUR auf österreichisches Recht.)

'Datendiebstahl' kann es gar nicht geben, Diebstahl bezieht sich immer auf Dinge, keine Daten, Ideen oder ähnliches. ARGE DATEN: Vor einigen Jahren wurden aus einer Justizanstalt tausende Häftlingsakten auf eine DVD kopiert und verkauft. Nach Rückgabe der DVD wurden die Strafverfahren eingestellt, da kein Diebstahl mehr bestehe.

Der Text auf dieser Website konzentriert sich auf die strafrechtliche und kriminilogische Ebene der Data Leaks in Banken. Natürlich ist das, was einzelne/viele(?) Banken betrieben haben oder vielleicht weiter betreiben Beihilfe zur Steuerhinterziehung, mehr oder weniger plump, direkt und mitwissend. Und solche Steuerhinterziehung schadet der Allgemeinheit, im Fall Griechenland ist dies deutlich sichtbar, in vielen Schwellenländern (siehe die Liste der HSBC-Kunden - weiter oben verlinkt) schadet es vermutlich noch mehr und war vor der Veröffentlichung der Namen nicht so sichtbar. Dieser Aspekt muss bei der Bewertung des Datendiebstahls mit berücksichtigt werden.

Wie der Falter im Feb. 2015 schreibt ist leider die Veröffentlichung keine Garantie, dass etwas passiert. Zitat: "Die Liste der 2062 griechischen HSBC-Kunden war der griechischen Regierung seit 2010 bekannt, sie ignorierte sie und entfernte nur Verwandte von Kabinettsmitgliedern daraus."

Aber strafbar macht sich ein Administrator (ob Bank oder Klinik oder Industriebetrieb) durch die Weitergabe von internen Daten auf jeden Fall. In Ö z.B. Strafgesetzbuch - § 122 Verletzung eines Geschäfts- oder Betriebsgeheimnisses oder die einschlägigen Vertraulichkeitsregelungen, z.B. im Bankengesetz, Telekommunikationsgesetz und im Ärztegesetz (das nämlich nicht nur für Ärzte, sondern für alle Beschäftigten im Gesundheitswesen gilt).

Ebenfalls greift bei einem Verkauf solcher Daten die Strafbestimmung in § 51 DSG (und ist neuerdings ein Offizialdelikt und damit in vom Staatsanwalt zu verfolgen): Wer in der Absicht, sich (etwa durch Verkauf) einen Vermögensvorteil zu verschaffen, Daten, die ihm ausschließlich auf Grund seiner berufsmäßigen Beschäftigung anvertraut oder zugänglich geworden sind (z.B. als Bankmitarbeiter), einem anderen (etwa einem "Datenhehler", dem Staat direkt oder auch einem angeblich "zufälligen" Finder) zugänglich macht, kann mit bis zu einem Jahr Freiheitsstrafe belangt werden. Dies trifft auch alle Mittäter und es ist bereits der Versuch strafbar. (Zitat Rainer KNYRIM)

Die sog. Cybercrime-Paragraphen (§148a StGB – Betrügerischer Datenverarbeitungsmissbrauch, §118a StGB – Widerrechtlicher Zugriff auf ein Computersystem, §119a StGB - Missbräuchliches Abfangen von Daten, §126b StGB – Störung der Funktionsfähigkeit eines Computersystems, §126c StGB – Missbrauch von Computerprogrammen oder Zugangsdaten, §225a StGB – Datenfälschung) haben zumindest in Ö einige Einschränkungen: Vorraussetzung ist die Verletzung (und nicht nur Überwinden) von spezifischen Sicherheitsvorrichtungen („herkömmliche“ Vorkehrungen wie verschlossene Türen reichen nicht aus).

Ebenfalls Voraussetzung ist die Absicht, sich oder anderen einen Vermögensvorteil oder anderen einen Vermögensnachteil zuzufügen, bzw. die Daten jemand anderem oder öffentlich zugänglich zu machen. Im konkreten Fall in der Schweiz (2010) sagt der Administrator, dass er lediglich dafür sorgen wollte, dass Gesetzesbrecher bestraft werden. Er hatte ja diese Daten auch schon vor Jahren den schweizer Behörden unentgeltlich angeboten.

Auch das Datenschutzgesetz greift nicht sehr gut, es regelt nämlich die rechtmäßige Vearbeitung von Daten, außerdem sind die Strafen in Ö auf 25000 Euro begrenzt. Aber selbst wenn eine solche Datensammlung nicht-rechtmäßig entstanden ist, so kann sie in Ö oder D. doch als Beweis verwendet werden, im Gegensatz zum angelsächsischen Recht.

Die Verarbeitung der Daten durch die Steuerbehörden ist dann aber wiederum ganz sicher eine rechtmäßige Datenverarbeitung, da die Verfolgung von Steuerhinterziehern Aufgabe der Behörde ist. Sicher verboten wäre eine Anstiftung zum Ausspähen von Betriebsgeheimnissen (§122 StGB), Verletzung von Telekommunikationsgeheimnissen (§119), Verletzung von Amtsgeheimnissen (§310 StGB) und Amtsmissbrauch (§302 StGB), etc. Aber ob der Ankauf bereits eine Anstiftung ist, bleibt offen.

Gefundene Daten, z.B. auf einem im Taxi liegengebliebenen Laptop (viele Hundert jeden Tag in den Großstädten) können legal verwendet (und vermutlich sogar auf eBay angeboten) werden solange keine Sicherungen überwunden worden sind (z.B. eine Festplattenverschlüsselung). ARGE DATEN:

Mein Beitrag aus dem Jahr 2008 hat sich auch schon mit dem Thema Datendiebstahl beschäftigt.

 

Der erste der Krimis: die Schweizer Niederlassung der HSBC-Bank
Recht spannend (wie ein Krimi) lesen sich übrigens auch die Details im Fall der Schweizer HSBC-Bank, Februar 2010. Hier zuerst der Standard, und für alle die französisch können dann ein Interview mit Hervé Falciani und weitere Artikel im Le Figaro. Hervé Falciani erklärt die lange Geschichte wie er zuerst versucht hat, seinen Arbeitgeber für eine Aktion gegen Geldwäsche zu begeistern, dann die schweizer Behörden und wie er dann aufgegeben hat und versucht hat, die Daten zu verkaufen. Da kommt dann eine Scheinfirma in Hongkong vor, ein Tripp nach Beirut unter falschem Namen und ein Server in Canada auf dem die Daten in verschlüsselter Form ruhen.

Feb. 2015: HSBC
Jetzt geht es nach langer Zeit weiter mit der HSBC. Die Kundenliste wurde an das Recherchenetzwerk "International Consortium of Investigative Journalists" (ICIJ) übergeben und die veröffentlichen jetzt viele spannende Details von den Geschäften vieler Prominenter und Reicher. Sie betreffen Kunden aus mehr als 200 Ländern mit Einlagen von insgesamt über 75 Milliarden Euro im Jahr 2007. Angeblich haben zwischenzeitlich konnten die Finanzbehörden mehr als eine Milliarde Euro an Steuernachzahlungen und Strafen eingetrieben. Der Whistleblower Hervé Falciani ist zwischenzeitlich in der Politik aktiv, derzeit für die Podemos in Spanien.

Dez. 2015: HSBC
Falciani wurde in Abwesenheit zu 5 Jahren Haft verurteilt: Bank-Kundendaten an Behörden übermittelt: Fünf Jahre Haft. Der Vorwurf ist, dass auch Geld geflossen ist, sonst würde die Handlung als Whisteblowing durchgehen.
 

Juli 2010: 7 CDs aus Liechtenstein und der Schweiz - unter anderem Crédit Suisse
Mittlerweile berichtet die Presse von einem blühenden Markt für Daten-CDs und die Selbstanzeigen schnellen in die Höhe (was ja an sich eine gute Sache für das Allgemeinwohl ist - 1 Milliarde Euro zusätzlicher Steuereinnahmen). Es wird von mittlerweile 7 CDs aus Liechtenstein und der Schweiz berichtet (mit unterschiedlicher Qualität) und einem gut florierenden Markt für Bank-Administratoren (und anderen Mitarbeitern mit Zugriff auf Kundenlisten) denen die Einhaltung der Gesetze nicht so sehr am Herz liegt. Auch die Crédit Suisse kommt in Bedrängnis und muss Hausdurchsuchungen über sich ergehen lassen.

August 2010:
Es kommt Bewegung in den Fall der Liechtenstein-CD. Aus irgendeinem Grund hat jemand bei den Geheimdiensten die falsche Identität von Heinrich Kieber angetastet, dies hat zu einem Streit zwischen den bundesdeutschen Geheimdiensten geführt. Außerdem gibt es eine Theorie vom zweiten Mann und der Informant hat Angst, wohl berechtigerweise, wenn man die Details aus dem Dokumentarfilm über sein extrem wildes Leben berücksichtigt. So sieht er übrigens aus. Und hier gibt es seine Geschichte, auf über 600 Seiten von ihm selbst erzählt in Der Fürst. Der Dieb. Die Daten. Von Heinrich Kieber als kostenloses PDF.

 

Mai 2012: Crédit Suisse
Hier jetzt die Geschichte der Crédit Suisse Daten-CD, wie sie sich jetzt aus öffentlich zugänglichen Informationen mittlerweile herausschält (Zitate aus Der Standard - Links in chronologischer Reihenfolge):

Im Mittelpunkt steht nicht der eigentliche Datendieb, sondern Wolfgang U. Der Österreicher stammt aus einem Dorf in Tirol. Er zog in jungen Jahren in die Schweiz, lebte zuletzt in der Stadt Winterthur. Er ist ein Self-Made-Man, führt zuletzt eine Webdesign- und Werbefirma. U. geht regelmäßig ins Fitnesscenter. Dort pflegt er eine lose Freundschaft mit dem Bankangestellten S. L., der bei der Crédit Suisse arbeitet. S. L. hat zu dieser Zeit bereits illegal Daten von der Bank kopiert. Er sagt,er habe Daten zu Bankkunden der Crédit Suisse aus historischem Interesse an der Nazizeit und aus Langeweile zu sammeln begonnen. Im Fitnesscenter in Winterthur soll U. diese Daten gefunden und ihren Wert erkannt haben.

Ab 2008 liefert L. Daten an U. Zwischen 1500 und 2000 Kundendaten sollten es am Ende sein. Vom März 2008 bis November 2009 trifft sich U. siebenmal mit Steuerfahndern aus Wuppertal.

Der Österreicher war im September 2010 in der Schweiz festgenommen worden und hatte sich in der Zelle erhängt. Laut Obduktion handelte es sich um Selbstmord. Der Bankangestellte war im Dezember 2011 wegen Wirtschaftsspionage zu zwei Jahren bedingter Haft und einer Buße von 3.500 Franken verurteilt worden.

Aber damit ist die Geschichte noch lange nicht zu Ende, denn auf dem österreichischen Mittelsmann wurden insgesamt 2,5 Mio Euro auf 3 Konten in 3 Ländern überwiesen. Und bei der Überweisung von 900 000 Euro durch einen Notar im Auftrag des Finanzamts Nordrhein-Westfalen ins österreichische Dornbirn kam wegen des Verwendungszwecks "Erbteilung gemäß Aufteilungsvereinbarung" Verdacht auf Geldwäsche auf. Rückfrage beim Absender führte zu einer Bestätigung durch das Finanzamt, dass die Überweisung von 2,5 Mio rechtens sei. Da jetzt nicht mal mehr die Beträge zusammen passten wurde von der Sparkasse die Polizei eingeschaltet und der gesamte Deal kam ans Tageslicht.

Ab Frühjahr 2010 sitzt die österreichische Justiz zwischen den Stühlen: Nach einem deutschem Rechtsgutachten handeln die Steuerfahnder und der Datendieb U. legal. Die Verwertung illegal erworbener Beweise ist in Deutschland in Steuerfällen zulässig, wie das Bundesverfassungsgericht 2010 festgestellt hat. In der Schweiz ist es ein Fall von Wirtschaftsspionage, unbefugter Datenbeschaffung und Verletzung des Bankgeheimnisses. Wer andere zur Spionage anstiftet, muss aber sowohl in der Schweiz als auch in Deutschland mit Haftstrafen rechnen. Die Schweiz hat deswegen Haftbefehl gegen die 3 Verhandler der deutschen Finanzbehörden erlassen. Und die Schweiz klagt auf Herausgabe des Geldes, die Erben des österreichischen Vermittlers möchten ihrerseits das Geld abheben. In der ersten und zweiten Instanz ist der Antrag der Schweizer abgelehnt worden.

Herbst 2012 dann eine neue Wendung: Schweiz besteuert Honorar für "illegale" Steuer-CD. Der Täter hatte sich in U-Haft umgebracht, aber die Erben haben Probleme mit dem das Finanzamt Zürich, das Steuern in Höhe von 1,5 Mio. Franken einheben will. Die Details sind recht spannend und in den oben verlinkten Artikeln nachzulesen.

Sept. 2013:
Es geht immer weiter: Die schweizer Behörden versuchen, an das Geld eines der Beteiligten an der Credit Suisse CD zu kommen. Dabei wird vor Gericht u.a. über die Frage gestritten, ob der Zweck die Steuerhinterzieher zu melden den Datendiebstahl rechtfertigt.

Dez. 2014:
Der Prozess um das Erbe des österreichischen Bankdatendiebs Wolfgang U. läuft immer noch. Die Daten sind von Credit Suisse, es geht immer noch darum, ob die Erben des Täters ein Anrecht auf die deutschen Gelder haben.

Aug. 2017:
Die Geschichte um die Credit Suisse Daten-CD geht immer weiter. Der Standard berichtet in einem langen zusammenfassenden Artikel den neuesten Stand: Schweizer Geheimdienst spionierte deutsche Steuerfahnder aus. Die deutsche Staatsanwaltschaft hat vergangene Woche bekanntgegeben, dass sie gegen den Schweizer Staatsbürger Daniel M. Anklage erheben wird. Daniel M. soll im Auftrag des Schweizer Nachrichtendienstes jene deutschen Steuerfahnder ausspioniert haben, die von Wolfgang U. die Bankdaten gekauft hatten. Das heißt, jetzt arbeiten die Behörden gegeneinander, die Schweizer versuchen, etwas gegen die Steuerfahnder zu finden.
 

August 2010: UBS
Und hier gleich zum nächsten Informanten und dem nächsten Fall von "Datendiebstahl im Umfeld von Steuerhinterziehung": Bradley Birkenfeld ist der Informant hinter dem Streit USA gegen UBS (und muss jetzt erst mal in den USA (!!) einsitzen. Die ausführliche Artikelserie bringt viele Hintergründe über schweizer Nummernkonten. In diesem Fall geht es nicht mal um EDV, sondern hier wurden wohl Karteikärtchen fotokopiert, aber auch das ist Datendiebstahl. Wie auch im obigen Fall handelt es sich beim Täter im eine recht schillernde Persönlichkeit und die Motive scheinen nicht unbedingt im Drang zu liegen, der Gerechtigkeit zum Durchbruch zu verhelfen.

Dez. 2012:
Die Ankäufe in Deutschland gehen weiter: Neue Steuer-CD der UBS deckt massiven Steuerbetrug auf. Der Artikel berichtet, dass seit der ersten CD in 2007 40.000 Bürger Selbstanzeige erstattet hätten, aber die Vermutung, dass damit fast alle Betroffenen erwischt seien, ist offenbar falsch. Von den neuen 1300 Konten waren nur 135 bekannt gewesen.

 

Mai 2013: Offshore-Leaks
Der Artikel im Standard Offshore-Leaks: Der seltsame "Medienscoop" wirft einige offene Fragen zu der ganzen Geschichte mit den 240 GB (bzw. 400 GB) Daten aus Steueroasen auf. Es stellt sich heraus, dass die Daten wohl eine ganze Zeit vorher bereits den Behörden zur Verfügung standen und dann aus einem unbekannten Grund der Presse zugespielt wurden: "Erst jetzt ist zu erfahren, dass die Quelle die Daten 2009 den dortigen Behörden angeboten und 2010 auch übergeben hat. Erst danach gelangte die Festplatte in die Hände des Internationalen Konsortiums für investigative Journalisten (ICIJ) in Washington."

Es geht wohl um Daten aus 3 unterschiedlichen Firmen, unklar ist, wie diese Daten auf 1 Datenträger kommen (oder ob die ursprünglich aus verschiedenen Quellen stammen und dann zwecks besserer öffentlicher Vermarktung zusammengelegt wurden).

 



Philipp Schaumann, http://sicherheitskultur.at/

Home

 


Copyright-Hinweis:

Das Copyright des Materials auf diesen Webseiten liegt, falls kein anderer Autor genannt wird, bei Philipp Schaumann. Creative Commons License
Diese Texte sind lizensiert unter der Create Commons Attribution-Noncommercial-Share Alike 2.0 Austria Lizenz. Natürlich gelten auch die Regeln des Fair Use und über Ausnahmen bzgl. der Lizenz kann jederzeit mit den Autoren gesprochen werden.