Home      Themenübersicht / Sitemap      Webmaster      

 

167. Newsletter - sicherheitskultur.at - 31.12.2020

von Philipp Schaumann

Zum Archiv-Überblick

 

Hier die aktuellen Meldungen:

1. Digitale Gewalt in Beziehungen

Über dieses Thema hatte ich bereits früher berichtet, z.B. Spyware und Spy-Apps in der Familie und Beziehung.

Apple hat jetzt eine Anleitung veröffentlich: Wie man das iPhone vor dem Partner schützt:

In iOS kann man mittels der 'Find My' App nicht nur sein iPhone wiederfinden, sondern auch Familienmitglieder (wenn diese Feature aktiviert ist). Dies ist eine der Möglichkeiten, wie Partner einander ausspionieren können. Apple hat nun eine hilfreiche Anti-Anleitung geschrieben, nämlich wie man/frau es schafft, die Tracking-Möglichkeiten in iOS sicher zu de-aktivieren: Device and Data Access when Personal Safety is At Risk (pdf) .

Ein deutschsprachiger Bericht dazu: Wie man das iPhone vor dem Partner schützt. So etwas bräuchten wir jetzt noch für Android und auch auf deutsch.

Aber jetzt kommt eine Warnung von Frauenhäusern: Wenn eine Frau Gefahr läuft, sich durch das De-Aktivieren der 'digitalen Gewalt' verstärkte physische Gewalt einzuhandeln (weil der Kontrollverlust für den Täter schwer zu ertragen ist), so sollte am Gerät erst dann etwas verändert werden wenn dieses Risiko, z.B. durch eine Unterbringung in einem Frauenhaus, gebannt ist. Parallel zur weiteren Nutzung des alten Geräts kann evt. zusätzlich ein neues Gerät für Vertrauliches genutzt werden.

Kaspersky findet 2020 in Deutschalnd 2300 Fälle von Spionagesoftware auf Smartphones. Das sind aber nur die Fälle, bei denen die Kaspersky Sicherheitssoftware auf dem Gerät installiert ist. Im europaweiten Vergleich liegt Deutschland an der Spitze: ... mehr als 2.000 Fälle von Stalkerware in Deutschland

Der Chaos Computer Club behandelt das Thema digitale Gewalt immer wieder auf seinen Konferenzen. Hier die Links auf die Videos der Privacyweek Wien des Chaos Computer Clubs zu diesem Thema.

Viele Hilfsorganisationen für diese und andere Probleme finden sich auf meiner Seite Hilfe im Internet.

 

2. Die aktuellen Antitrust-Initiativen in den USA

Die neue Anklageschrift der 30+ US-Staaten wirft Google und Facebook ziemlich brutales Vorgehen im Kampf gegen mögliche Konkurrenz vor. Die Details sind auf Googles Werbekartell: Das behaupten die klagenden US-Staaten, inkl. der Anklageschrift selbst.

Ganz konkret geht der Anklagetext in technische Details wie die blitzschnellen Online-Auktionen die beim Öffnen von Webpages mit Werbung durchgeführt werden. Dass diese Auktionen jeweils stattfinden und dass dabei die Tracking-Daten des Seitenbesuchers ausgetauscht und bewertet werden (damit die Werbetreibenden entscheiden können, wie viel ihnen eine Einschaltung bei diesem Menschen wert ist), das wurde bereits früher sehr ausführlich beschrieben, z.B. in der Tracking-Studie des EFF in 2019 - Details auch unter Spuren im Internet.

Was Google in dem Text jetzt vorgeworfen wird, das ist, dass diese Online-Auktionen durch die Google-Algorithmen extrem verfälscht werden. Da haben z.B. manche Werbeplattformen mehr Zeit als andere um ihr Angebot zu berechnen (und können dadurch eine bessere Bewertung des Seitenbesuchers durchführen), Google räumt sich und bevorzugten Plattformen wie Facebook zusätzliche Zeit ein und andere Bevorzugte bekommen den Zuschlag auch dann, wenn sie nicht das höchste Gebot abgegeben haben. D.h. Google bevorzugt sich selbst und vor allem Facebook, mit dem eine Konkurrenz im Werbemarkt auf diese Weise verhindert wird.

Das ist aber natürlich nur ein kleiner Aspekt der Probleme die wir mit den großen Tech-Monopolen haben. Da wäre z.B. auch, dass Amazon seine eigenen Partner systematisch unterbietet, z.B. ihnen wenn sie mit einem Produkt Erfolg haben, diesen Erfolg unterwandert indem das Produkt dann zu einem günstigeren Preis von Amazon direkt angeboten wird. Auf diese Weise kann Amazon seine Händler experimentieren lassen und beim Erfolg ihnen den wieder wegnehmen. Und dass z.B. beim Buchmarkt ein Monopol entstanden ist, um das kein Autor oder Verlag mehr herumkommt. Ähnliches gilt für die riesigen Gewinne die Amazon während der Lockdowns gemacht hat und die Effekte die Airbnb auf die Mietpreise in den Innenstädten hat.

Sehr ähnlich funktionieren ja auch die Monopole von Apple und Google-Android. Die beiden Firmen entscheiden, welche Apps angeboten werden dürfen, sie schneiden dicke 30% vom Umsatz der App-Entwickler mit und bieten bei zu großen Erfolg einer App eine Konkurrenz-Eigenentwicklung an (und verbieten die Original-App weil Konkurrenz zu einem Apple-Feature - Apple hat das schon öfters gespielt). Diese 30% sind der Grund, warum Spotify sich dagegen wehrt, 30% ihres Umsatzes an Apple abzugeben, ebenso EPIC (Fortnite) für ihre In-Game Käufe. Dies ist wohl auch der Grund, warum ich in der Thalia-App keine Bücher kaufen kann, die Gewinnspanne der Buchhändler gibt diese 30% einfach nicht her. Details in Spotify vs. Apple: Die Vorwürfe im Faktencheck.

Oder das Problem, dass alle diese Firmen (ganz drastisch Facebook und Google), möglichst alle Startups aufkaufen die eine Konkurrenz werden könnten, z.B. Instagram und Whatsapp, bzw. alle Google Erfolgsprodukte (z.B. Youtube, Android, etc.) waren Firmenübernehmen. (Bei Tiktok und Snapchat ist das zwar nicht gelungen, aber bisher ist Facebook/Instagram/Whatsapp immer noch der Marktführer.)

Aber darüber regten sich die Gesetzgeber nur in Europa auf, denn das meiste davon ist in den USA juristisch (derzeit noch) nicht angreifbar. Und dafür muss ich etwas tiefer in das US-Kartellrecht (Antitrust-Law) einsteigen. Das begann 1890 mit dem Sherman Antitrust Act. Es ging um die Zerschlagung der riesigen Monopole für fast alles: Stahl, Kupfer, Erdöl, Zucker, Zinn, Kohle, Papier, bis hin zu Salz. Aber dann hat der Richter Robert Bork eine neue Doktrin aufgestellt. Er hat behauptet, dass Antitrust Gesetze lediglich dafür sorgen sollten, dass die Kunden nicht übervorteilt würden, nicht jedoch das Funktionieren der Märkte und der Konkurrenz stärken sollten. Wenn ein dominierender Anbieter die gesamte Konkurrenz aufkauft, aber dabei doch für die Kunden Vorteile bietet indem z.B. die Preise und der Service auf Amazon günstiger sind als beim lokalen Händler, so soll dies nach Robert Bork nicht zu einem Antitrust-Verfahren führen.

Und weil Amazon typischerweise keine höheren Preise hat, sondern eher auf Grund ihrer Großeinkäufe, ihrer Marktmacht und anderer Tricks für die Kunden keine Nachteile bringt so ist ihr Verhalten nach der Robert Bork-Doktrin OK. Ebenso Google als Suchmaschinengigant mit umfassenden Kenntnissen über fast alle von uns: Ihre Dienste sind kostenlos, die Qualität gut und dass die Konkurrenz im Werbemarkt (und allen anderen Märkten in denen Google auch unterwegs ist) kaputt gemacht wird, fällt laut Robert Bork nicht unter Antitrust.

Mehr zu den Problemen durch die Tech-Monopole auch bei Science Fiction Autor Cory Doctorow, den ich hier zusammengefasst habe: Cory Doctorow: How to Destroy "Surveillance Capitalism".

Auch zu den Tech-Monopolen: Francis Fukuyama: How to Save Democracy From Technology.

Hier jetzt ein Bericht von jemandem, der hinterfragt hat, ob er die angeblich besseren Suchergebnisse von Google wirklich braucht (denn die allermeisten der Suchanfragen sind so trivial, dass die Alternativen wie Qwant, Duckduckgo, Ecosia gleich gute Antworten liefern ohne dass unsere persönlichen Daten verarbeitet werden müssen - wie sie das tun findet sich in "I Ditched Google for DuckDuckGo. Here's Why You Should Too".

 

3. "Digital Services Act" (DSA) und Fediverse-Pflicht für Social Networks?

In der EU wurden diesen Monat 2 Gesetzes-Initiativen gestartet, das Digital Markets Act (DMA) und das Digital Services Act (DSA). Neben dem Umgang mit unzulässigen oder rechtswidrigen Inhalten geht es beim Digital Markets Act auch um Einschränkungen der Möglichkeiten für sog. Gatekeeper. Das sind Betreiber von digitalen Plattformen, speziell Konzerne mit monopolartiger Macht wie z.B. Google, Apple, Facebook, Amazon, Microsoft, Airbnb, Booking.com, etc. Ihnen sollen einige "unfaire Praktiken" verboten werden, die sie auf Grund ihrer Monopolstellung derzeit ausüben.

Das ist recht breit gefasst:

Hier einige Details: Digital Services Act: EU-Kommission will Ampeln fürs Netz etablieren. Es geht z.B. um vorinstallierte Apps, das Verhalten von Amazon gegenüber seinen Händlern, Regeln die z.B. Verbieten, dass Hotels oder Geschäfte vor Ort billiger sein dürfen als auf booking.com oder Amazon, und vieles anderes was diese Quasi-Monopole so tun.

Hier zwei hilfreiche Links mit den Strategieüberlegungen hinter den beiden Verordnungsentwürfen - hilfreich, da man die Idee hinter den Entwürfen versteht ohne sich 'durch die Texte zu durchzuackern'.

Digital Services Act (DSA) - Gesetz über digitale Dienste: mehr Sicherheit und Verantwortung im Online-Umfeld
Das betrifft alle digitalen Dienste und soll einheitliche Vorschriften zum Schutz von Verbrauchern, aber auch Firmen die diese Dienste nutzen bieten. Themen sind z.B. viel mehr Transparenz bzgl. ihrer Handlungen und Entscheidungen: Gesetz über digitale Dienste.

Digital Markets Act (DMA) - Das Gesetz über digitale Märkte: für faire und offene digitale Märkte
Hier geht es um die großen Plattformen und einen Versuch, ihre Dominanz und Übermacht einzubremsen. Diese werden als "Gatekeeper" bezeichnet, d.h. als Firmen, die den Zugang zu bestimmten Märkten kontrollieren (können). "Groß" wird definiert als "starke wirtschaftliche Position mit erheblichen Auswirkungen auf den Binnenmarkt", eine "eine starke Vermittlungsposition" für Märkte und Marktzugänge und "gefestigte und dauerhafte Marktstellung", immer innerhalb der EU. Das sind wohl Amazon, Google, Microsoft, Apple, Facebook, booking.com, AirBNB, etc.
Die folgende Zusammenfassung beschreibt, was mit diesen passieren soll: Gesetz über digitale Märkte.

Sehr spannend finde ich aber auch den Teilaspekt, dass alle Social Networks und Messenger kompatibel werden sollen: Digital Services Act: Messenger & Co. sollen interoperabel werden. Das entspricht der Idee des Fediverse, das ich früher beschrieben habe: Das Fediverse - ein System von föderierten Instanzen von verteilten Social Networks.

Die Idee hinter der Initiative und dem Fediverse ist simpel: Alle Social Networks und Messenger beruhen auf dem gleichen Prinzip mit 2 Grundfeatures: Es werden Inhalte erstellt und mehr oder weniger permanent gespeichert. 1. Feature: Gruppen anderer Nutzer (friends oder follower) können diese lesen (z.B. Facebook, Instagram, Twitter, Mastodon, Tiktok, aber auch Fotosharing, Link-Sharing, Video-Sharing, ... ).

Die 2. Feature sind persönliche Nachrichten an einzelne Nutzer (wie z.B. Whatsapp, Skype, Matrix, Signal, Telegram, Threema, etc.). Es gibt keinen Grund, warum nicht beide Features über ein einheitliches Protokoll interoperabel implementiert werden könnten. Fediverse tut dies bereits seit 2008.

Falls das DSA zum EU-Gesetz wird, so kann ein Mastodon-Nutzer anderen Menschen auf Twitter oder Tiktok oder Facebook folgen ohne dort einen Account zu haben. Und Menschen die Signal nutzen könnten mit Whatsapp Nutzern Fotos und Texte austauschen. Ergebnis wäre, dass die Situation entfällt, dass ich auf Whatsapp sein muss, weil meine Kinder eben dort sind und nicht auf Signal oder Matrix. Und dass ich auf Mastodon posten könnte und Twitter-Nutzer könnten das abrufen.

ABER: beim diesjährigen Chaos-Kongress rC3 gab es einen Vortrag dazu: Die rosarote Brille des Fediverse (beginnt leider erst bei Minute 15). eest9 findet diese Öffnung theoretisch gut, hat aber Angst, dass auch der 'Schmutz' (Hasspostings, etc.) aus den schlecht moderierten Networks dann im Fediverse, z.B. auf Mastodon, landen könnte.

2. ABER: Big Tech Turns Its Lobbyists Loose on Europe, Alarming Regulators Silicon Valley is building a powerful influence industry in Brussels, which has 'never seen this kind of money' spent this way. Big Tech Turns Its Lobbyists Loose on Europe, Alarming Regulators

Noch ein Beitrag zu diesem Thema vom Chaos-Kongress rC3: The EU Digital Services Act package von Eliska Pirkova und Christoph Schmon

epicenter.works und die Arbeiterkammer Österreich haben (wohl bereits vor einiger Zeit) ein Arbeitspapier mit Wünschen für eine Regulierung der großen Internet-Plattformen geschrieben: https://platformregulation.eu/

Spätere Aktualisierung: Soweit war mein Stand im Dezember 2020, dazu gab es dann ein Update / Ergänzung im Jan. 2021 mit einer skeptischen Prognose was die Umsetzung betrifft.

 

4. Existenzielle Auswirkungen von Sicherheitsverletzungen bei Unternehmen ??

Können Sicherheitsverletzungen (z.B. Data Leaks) die Existenz eines Unternehmens beenden oder vergessen Märkte und Kunden so was eh schnell? Dazu gab es einige Diskussionen und Unterlagen beim Workshop on the Economics of Information Security - WEIS (dieses Jahr theoretisch in Brüssel, real aber 'im Internet'.

Hier eine Studie zu dieser Frage:
Cyentia Institute: Analyzing the 100 largest cyber loss events of the last five years (PDF). Und ein Spreadsheet: Google-docs spreadsheet that has a crowdsourced list of companies that failed Dokument auf Google-Docs (für alle, die sich das trauen ;-) - ich habe mich getraut)

 

5. Cybercrime is (often) boring - Burnout bei den IT-Admins der 'bösen Seite'

Dieser Vortrag analysiert die täglichen Arbeitsbedingungen der Masse der Cyberkriminellen. Die allermeisten machen nämlich keine 'genialen' Hacks, sondern sie machen 24 Std.-Wartung für die Netz- und Server-Infrastruktur die für den Betrieb der Ransomware-Angriffe, dDoS, etc. notwendig sind. Netze am Laufen zu halten kann schon unter normalen Umständen mühsam sein, aber diese IT-Techniker müssen mit ständigen Take-down Aktivitäten kämpfen und sind mehrheitlich schlecht bezahlt und äußerst frustriert, finden aber keine alternativen Jobs dort wo sie wohnen.

Cybercrime is (often) boring: maintaining the infrastructure of cybercrime economies by Ben Collier, Richard Clayton, Alice Hutchings (University of Cambridge), Daniel Thomas (University of Strathclyde) Die Studie zur langweiligen Cyberkriminalität (PDF).

"It is generally accepted that the widespread availability of specialist services has helped drive the growth of cybercrime in the past fifteen to twenty years. Individuals and groups involved in cybercrime no longer need to build their own botnet or send their own spam because they can pay others to do these things.

"What has seldom been remarked upon is the amount of tedious administrative and maintenance work put in by these specialist suppliers. There is much discussion of the technically sophisticated work of developing new strains of malware or identifying zero-day exploits but the mundane nature of the day to day tasks of operating infrastructure has been almost entirely overlooked. Running bulletproof hosting services, herding botnets, or scanning for reflectors to use in a denial of service attack is unglamorous and tedious work, and is little different in character from the activity of legitimate sysadmins.

"We provide three case studies of specialist services that underpin illicit economies and map out their characteristics using qualitative sociological research involving interviews with infrastructure providers and scraped data from webforums and chat channels. This enables us to identify some of the distinct cultural and economic factors which attend this infrastructural work and to note, in particular, how its boring nature leads to burnout and the withdrawal of services. This leads us to suggest ways in which this new understanding could open novel avenues for the disruption of cybercrime.

 

6. Das fiel mir auf dem rC3 Kongress des CCC auf

(vieles ist bereits online, anderes wird bald geschnitten sein)


es geht vor allem um die Geschichte und die Aktualität der Crypto Wars Ross Anderson: WHAT PRICE THE UPLOAD FILTER?.

Welche Daten und Töne übertragen die "smarten" Lautsprecher und Assistenten, wer hört sich das dann an, wie peinlich ist das eigentlich und ob man dagegen was tun kann Die Journalistin @sveckert: ALEXA, WHO ELSE IS LISTENING?.

Alistair Alexander und Auris-E. Lipinski: Big tech's 100bn delusion with self-driving cars
Tenor: Self-Driving, so wie propagiert, funktioniert nicht für regulären Verkehr und löst auch keines unserer Verkehrsprobleme. Viele gute Zitate (mittlerweile auch aus der leicht ernüchterten Industrie), Analyse der Unfälle , etc. - es geht einfach nicht. Und: zu viele Autos erzeugen das Verkehrsproblem, egal wer lenkt und ob elektrisch oder mit Diesel oder Wasserstoff. Big tech's 100bn € delusion with self-driving cars.

Und zum gleichen Thema zusammen mit 2 Chaos-Kollegen:
André Igler, Philipp Schaumann und telegnom: 'Elektromobilität' und warum sie so, wie sie derzeit vorgeschlagen wird, nicht funktionieren kann
Wir greifen uns das Unterthema "Elektro" aus dem Themakomplex "PKW-Zukunft" und zeigen, dass Elektro allein die Umwelt auch nicht retten kann, sondern dass es einen bunten Strauß von Maßnahmen - ohne drastische Veränderungen retten wir das Klima nicht. 'Elektromobilität' und warum sie so, wie sie derzeit vorgeschlagen wird, nicht funktionieren kann.

2x Klima: Climate Tipping Points
Die physischen Grundlagen von Tipping Points: bistabile Gleichgewichtszustände, dann Beispiele Grönland (das Abschmelzen ist bereits nicht mehr zu stoppen), den Golfstrom (bereits seit Jahrzehnten im Rückgang, aber verstärkt durch das Schmelzwasser aus Grönland) und das Absterben der Korallenriffe (durch Erwärmung und noch wichtiger, das Fallen des PH-Werts [Übersäuerung durch CO2]) 1. Stefan Rahmstorf: Climate Tipping Points und 2. ergänzt durch Ricarda Winkelmann: The big melt: Tipping points in Greenland and Antarctica

Sehr interessant: CORONA-WARN-APP - wie das gelaufen ist mit der Idee der zentralen Datensammlung versus der dezentralen Architektur, welche Rolle dabei Google und Apple gegen die Regierungen gespielt hat und wie das dann alles gelaufen ist. Lars Roemheld - DIE GESCHICHTE DER CORONA-WARN-APP - zu dem zentral vs. dezentral Konflikt auch sehr interessant der Wikipedia-Eintrag dazu.
Auch zur Corona-App: Jiska Classen "Stopp Corona": Warum Bluetooth trotz aller Defizite die beste Wahl für Contact-Tracing ist

 

7. Thema Phishing

Phishing bleibt für mich das Kernproblem das Firmen lösen müssen um Sicherheitsvorfälle zu verhindern.

How Experts Detect Phishing Scam Emails
Jemand hat versucht, das aufzuschreiben, was eine Expert:in automatisch macht wenn er:sie ein ungewöhnliches Email bekommt. Eine solche Analyse hilft evt. beim Unterrichten Anderer wie Phishing erkannt werden kann. How Experts Detect Phishing Scam Emails.

Ich persönlich meine, dass bei Schulungen das Erkennen von Phishing-Mails auf jeden Fall an konkreten Beispielen geübt werden muss, davon gibt es ja genug :-( . Jetzt eine schlechte Nachricht dazu: Der Heise Artikel: "gründlich geschult und trotzdem geklickt" berichtet, dass trotz Awareness-Schulung 1 von 5 Mitarbeitern bei einer großen Simulation auf Phishing-Mails hereinfiel. IT-Sicherheit: gründlich geschult und trotzdem geklickt

 

8. Das (für mich) frustrierende Thema Awareness-Schulungen

Frustrierend, (aus meiner Sicht) weil ich die Umsetzung im Berufsleben frustrierend fand (nicht genügend Aufmersamkeit, nicht genug Geld, nicht genügend Zeit, nicht genügend effektiv). Hier ein neuer Ansatz:

fit4internet.at ist ein "Verein zur Steigerung der digitalen Kompetenzen in Österreich". fit4internet. fit4internet.at wird von einigen Behörden, Organisationen und Firmen unterstützt, z.B. die ovos media GmbH. Diese hat ein kostenloses Quiz, bzw. Kurs oder Wettbewerb zu Cyber Security eingebracht.

Zu finden ist dieses Training/Quiz/Spiel auf Cyber Security Quiz.

Check your digital skills evaluate your digital skills.

Die Themen decken ein breites Themenfeld ab, von Schadsoftware, Phishing, CEO Betrug bis zu Datenschutz. Auch Hass-im-Netz und Cyber-Mobbing und anderes werden behandelt. Das Ganze gibt es auch mit Gamification, d.h. im Wettbewerb mit anderen.

 

9. Neu auf der Sicherheitskultur.at

Zusätzlich zu den bereits oben erwähnten Themen gibt es eine neue Version des Glossars. Mein Glossar.

Da kommt aber Anfang Januar noch einiges dazu. Das Jahr 2020 war recht ertragreich was neue IT-Sicherheitsherausforderungen betrifft. :-(

 

Humor

Verifying that you're not a robot - Jeder hat bestimmt damit zu kämpfen.

Die Erde bewirbt sich in der Galactic Federation.

 

Auch das fand ich bemerkenswert:

Guided tour through Bosch's "The Garden of Earthly Delights" - really well done. (Sound on.)

- Scroll down. And down. And down. Consider yourself warned: it's dark. How deep does the hole go?

- Scroll right. And right. And right. This is a grim data visualization of wealth inequality: Wealth shown to scale
Das, was dort dargestellt wird, sollte man immer bedenken, wenn man liest, dass mal wieder ein reicher Mensch 100 Mio für einen guten Zweck gegeben hat. Von der Steuerabsetzbarkeitsgrenze von 10% sind sie damit weit entfernt, denn diese Beträge verdienen die ganz Reichen in ganz kurzer Zeit / wenigen Tagen zurück. - Denn diese Vermögen geben sich nicht mit 0,1% Zinsen zufrieden, bei einem guten Aktienpaket sind immer noch 5% drin.