Home      Themenübersicht / Sitemap      Webmaster      

 

169. Newsletter - sicherheitskultur.at - 28.02.2021

von Philipp Schaumann

Zum Archiv-Überblick

 

Hier die aktuellen Meldungen:

 

1. Aus der Schnittmenge von Literatur und Datendiebstahl: 'Benjamin Quaderer: Für immer die Alpen'

Buchumschlag: Quaderer Für immer die Alpen

Aktueller Anlass: der Rauriser Literaturpreis 2021 geht an Benjamin Quaderer für sein Buch 'Für immer die Alpen'.

Hier der Hintergrund des Buches: Im Jahr 2010 lieferte der sog. "Datendieb" Heinrich Kieber CDs mit Kundendaten der Vaduzer LGT Treuhand, bei der deutsche Bürger ihr unversteuertes Geld versteckt hatten an mindestens 1 deutsches Finanzamt. Heinrich Kieber hat dafür wohl 4,6 Millionen Euro erhalten. Das war damals nur eine vielen ähnlichen Geschäften zwischen Bank IT-Technikern und der deutschen Finanz. Siehe Juli 2010 in der Süddeutschen: Geldversteck Liechtenstein: Steuer-CD, die nächste.

Ergebnis der Veröffentlichung dieser (durchaus umstrittenen) Ankäufe waren ganze Wellen von Selbst-Anzeigen von deutschen Steuerzahlern, ein Landes-Finanzminister schrieb: "die beste Investition die ich je gemacht habe".

Umstritten, weil die "Datendiebe" ja gegen Gesetze verstoßen haben (Bankgeheimnis und so) und so was (eigentlich) von einem Staat nicht unterstützt werden sollte - andererseits . . . "die beste Investition die ich je gemacht habe". Betroffen waren u.a. HSBC, Crédit Suisse, die Vaduzer LGT Treuhand, die Liechtensteiner Landesbank LLB, UBS (Union Bank of Switzerland), ...

Auf meiner sicherheitskultur-Website finden sich viele Details zu den oft sehr schillernden Geschichten hinter diesen Daten-Leaks und ihren oft sehr schillernden Tätern und ihrem zum Teil tragischen Ende (z.B. der Österreicher Wolfgang U., der erhängt in seiner Zelle gefunden wurde). Ausführlich behandelt auf der sicherheitskultur.at auch mit Verweisen auf die Ö-Gesetzeslage: 2010 - Swiss Leaks: Gedanken zum Thema 'Datendiebstahl' und den sog. Steuer-CDs

Ausführlich literarisch behandelt wurde die Geschichte rund um Heinrich Kieber. Zuerst sein eigenes Buch (über 600 Seiten), erhältlich als eBook Heinrich Kieber: Der Fürst. Der Dieb. Die Daten.

Die literarische Bearbeitung 'Benjamin Quaderer: Für immer die Alpen' wurde nun mit dem durchaus renomierten Rauriser Literaturpreis ausgezeichnet (siehe 1. Link in diesem Posting). Der Text ist teilweise eng an Teile aus Kiebers Text angelehnt, aber sonst eine mehr oder weniger freie literarische Arbeit - es hat mir als Ergänzung zu Kiebers Buch gut gefallen.

Dann gibt es einen Dokumentarfilm über sein wildes, ungewöhnliches Leben: Heinrich Kieber - Datendieb (noch nicht gesehen). Und als Sachbuch (noch nicht gelesen): Sigvard Wohlwend: Der Datendieb: Wie Heinrich Kieber den größten Steuerskandal aller Zeiten auslöste

Zu den HSBC Files gibt es eine journalistische Bearbeitung der "International Consortium of Investigative Journalists" (ICIJ).

Ergebnis dieser Welle war wohl, dass die Schweizer Gesetze so weit geändert wurden, dass die unversteuerten Gelder nun außerhalb von Europa gelagert werden, siehe 2013 Offshore-Leaks: Der seltsame "Medienscoop" und z.B. die Panama-Papers.

 

2. Anonymisierung und Pseudonymisierung Tutorials

Anonymisierung und Pseudonymisierung sind zwei Kerntechniken beim Datenschutz. Dabei hilft die Anonymisierung, indem auf solche Weise anonymisierte Daten gar nicht mehr unter den Datenschutz fallen, d.h. "Problem gelöst". Pseudonymisierung hilft mir dabei nur teilweise: Die Daten unterliegen immer noch dem Datenschutz (weil immer noch formal personen-bezogen) und daher brauche ich als Data Controller (früher Data Owner) immer noch eine Rechtsgrundlage für die Verarbeitung und vor allem für die Weitergabe oder Überlassung der Daten an Dritte.

Aber als eine wichtige "privacy-by-design"-Technik (siehe Art 25 DSGVO) erhöht eine Pseudonymisierung den Schutz der Daten deutlich (siehe Art 32 DSGVO) - z.B. als Schutz bei Verlust der Daten oder vor den eigenen Mitarbeitern oder denen des Controllers. Außerdem ermöglicht es, die Data Minimization-Anforderung zu erfüllen (jeder darf nur genau DIE Daten sehen und verarbeiten, die für den vorher definierten Zweck unbedingt notwendig sind). Dieser Schutz ist speziell auch dann sehr relevant, wenn die Daten weitergegeben werden, z.B. für statistische Auswertungen bei denen die Identität des Einzelnen nicht relevant für die Forschungsfrage ist.

Das für mich hilfreichste Papier zu Anonymisierung ist bereits aus 2014: Opinion 05/2014 on Anonymisation Techniques. Dies ist ein Papier der früheren ARTICLE 29 DATA PROTECTION WORKING PARTY der EU zur Erklärung von Anonymisierung und wie falsch gemachte Anonymiserung angegriffen werden kann.

Als Einführung empfehle ich meinen Vortrag der auf Grundlage des obigen Papiers entstanden ist: Anonymization workshop - Tipps, Tricks und Fallen -

Hier der Link zu dem PDF meines Vortrags Probleme bei der Anonymiserung von Daten, in dem die hier dargestellten Probleme illustriert werden. Ich erkläre, wo die Fehlerquellen liegen und mit welchen Tricks und Verfahren Datensätze wirklich anonymisiert werden können.

Eine meiner Kernaussagen ist, dass es für Anonymisierung und Pseudonymisierung nicht genau 1 simples Schema geben kann, denn eine sinnvolle Anonymisierung oder Pseudonymisierung setzt voraus, dass ich weiß, was mit den auf diese Weise bearbeiteten Daten danach noch geschehen soll. Wenn ich den zukünftigen Zweck der Daten kenne, so finde ich zumeist einen Weg, die Daten so zu bearbeiten, dass sie sich für den jeweiligen (Forschungs-)Zweck immer noch eignen und trotzdem ausreichend geschützt sind. Voraussetzung ist natürlich, dass ich die grundlegenden Techniken und vor allem ihre Grenzen kenne. Dies ist auch eine der Kernaussagen der folgenden aktuellen Papieren der EU-Organisation ENISA. Hier die zwei Anleitungen zu Pseudonymisierung:

ENISA: Pseudonymisation techniques and best practices

ENISA: Data Pseudonymisation: Advanced Techniques and Use Cases

Sehr ähnlich dazu (auf englisch): Ross Anderson - Inference control. (Das Buch zum Vortrag von Ross Anderson findet sich auf seiner Website zu Security Engineering, das Kapitel zu Inference Control ist als PDF kostenlos erhältlich.) Beide Vorträge wurden übrigens bei (den sehr empfehlenswerten) Privacyweek-Events des Chaos Computer Clubs in Wien gehalten.

 

3. Schlechte Tipps von offizieller Stelle

Die Zeitschrift golem.de bringt einen Artikel darüber, dass der deutsche Datenschutzbeautragte schlechte Sicherheitstipps vorschlägt: Schlechte Tipps vom Datenschutzbeauftragten (er hat diese Tipps mittlerweile bereits zurückgezogen, aber dies ist trotzdem mal wieder ein Anlass, die guten von den gut-gemeinten Tipps zu trennen).

So schlägt er z.B. vor "Löschen Sie verdächtige E-Mails sofort und ohne sie zu öffnen". Mal abgesehen davon, dass in der Vorschau oft bereits eine "Öffnung" stattfindet, wie soll ich den Verdacht bekommen, ohne zumindestens den Text zu lesen.

Gute Tipps zu Emails sind: Laden Sie keine Anhänge runter, außer sie sind sich ganz sicher, dass sie diese Anhänge wirklich angefordert haben (die meisten Anhänge, die ich bekomme sind Versuche mich mit Ransomware zu infizieren, siehe Wie kann man sich schützen? (privat oder als Firma). Das zweite mögliche Problem mit Emails sind Phishing-Mails die mich auffordern, irgendwo mein Passwort einzugeben. Hier die Tipps, wie ich Phishing-Mails erkennen kann.

Und er schlägt vor: Keine Passwörter in "freien" WLANs eingeben? ABER: Korrekter wäre, keine Passwort auf unverschlüsselten Webseiten eingeben. Inzwischen warnen aber fast alle Browser bei Passworteingaben, die unverschlüsselt verschickt werden. Der korrekte Tipp wäre, dass es vor allem gefährlich ist, Passwörter auf der falschen Webseite einzugeben (nämlich auf Phishing hereinzufallen), doch davor schützt eine WLAN-Verschlüsselung nicht.

Er gibt auch den Tipp, Passwörter regelmäßig zu ändern, und das verweist auf die ebenfalls sehr fragwürdigen Ratschläge des BSI. Die BSI rät (leider) explizit davon ab, Passwörter und andere Zugangsdaten auf Geräten zu speichern. Im Klartext: Der Bundesdatenschutzbeauftragte rät von der Verwendung von Passwortmanagern ab.

Wichtige und korrekte Tipps sind hingegen: Jedes Passwort nur genau 1x verwenden, und das geht am besten, indem Passwort-Manager eingesetzt werden, verfügbar auf alle Betriebssystemen und Geräten (und notfalls sogar die Passworte im Web-Browser speichern und dort mit einem Master-Passwort absichern). Und für alles was kritisch ist, z.B. Email-Accounts, bitte 2-Faktor oder Multi-faktor Authentication einsetzen.

Hier meine Passwort-Tipps und hier über Passwort-Manager.

 

4. De-Platforming - Pro und Contra

Eine Fortsetzung meines vormonatigen Texts "Der Einfluss der Social Networks bei der Radikalisierung".

Unter "de-platforming" versteht man in den USA das Sperren eines Accounts in einem Social Network, so wie das mit vielen rechts-gerichteten Postern (und dem damaligen Präsidenten) in den letzten Monaten bei Twitter und Facebook passiert ist. In den USA ist das eine heftige Diskussion. Da wird vor allem auf das sog. First Amendment zur Verfassung verwiesen (mein Link führt zur deutschen Wikipedia). Dort wird z.B. Redefreiheit, Religionsfreiheit, Pressefreiheit, Versammlungsfreiheit festgeschrieben. Anderseits ist es das Recht jeder privaten Plattform (oder jedes Geschäftes), sich seine Kunden frei auszuwählen. Dadurch dass jemand nicht auf Twitter posten kann, ist ja seine Redefreiheit nicht auf Null gebracht, man kann sich auch eine Website einrichten. Andererseits haben diese Plattformen so hohe Marktanteile im Mediengeschehen, dass sie sehr viel Macht und Einfluss haben.

Das ist ja auch einer der Gründe, warum die EU an dem Digital Markets Act arbeitet, bei dem es darum geht, die Macht der von der EU "Gatekeeper" genannten Plattformen zu beschränken (der Link führt zu den Erwägungen und Ideen hinter der m.E. richtigen Initiative).

Nun zur Frage, ob De-Platforming die Möglichkeiten dieser Organisationen, ihr Gedankengut zu verbreiten, überhaupt wirksam einschränkt. Der Standard hat dazu einen interessanten Artikel: Distanz zwischen Corona-Leugnern und Rechtsextremen schrumpft. Einerseits wird die Reichweite durch Sperrung auf den beiden großen Plattformen deutlich kleiner und deshalb auch die Fähigkeit begrenzt, ihre Inhalte in den Mainstream hineinzutragen. Auf Twitter und Facebook ist es QAnon gelungen, die an sich unpolitische Bewegung "Save the Children" zu unterwandern und dadurch aus ihrer eigentlichen Verschwörer-Bubble auszubrechen und viele neue Anhänger zu finden.

Auf der anderen Seite ziehen sich diese Gruppen jetzt auf andere Plattformen zurück (z.B. Telegram) und dort entstehen ideologisch homogene Echokammern, in denen kaum noch Widerspruch existiert. Diese anderen Plattformen haben aber sehr oft nicht die Feature, dass Inhalte von einem "Kanal" in einen anderen übertragen werden, wie Facebook und Youtube das mit ihren Vorschlägen tun. Trotzdem besteht auf Plattformen wie Telegram die Gefahr, dass rechtsextreme und verschwörungsideologische Inhalte zwischen Kanälen von Impfgegnern, Corona-Skeptikern, QAnon-Anhängern bis hin zu Rechtsextremen und Neonazis ausgetauscht werden. Diese Gruppen ziehen sich dort in so etwas wie ein "Exil" zurück, in dem sie nicht von Löschungen ihrer Beiträge belästigt werden.

Die NY Times vergleicht das mit einem epidemiologischen Modell: Are Private Messaging Apps the Next Misinformation Hot Spot? Alle die bereits infiziert sind können sich dort in ihrer Bubble versammeln und gegenseitig anstecken, aber eine Ausbreitung in die Rest-Bevölkerung wird deutlich reduziert.

" . . . It’s a pretty bad metaphor, but you see what I mean. We know that when they’re on big, mainstream platforms like Facebook, Twitter and YouTube, extremists don’t just talk among themselves. They recruit. They join totally unrelated groups and try to seed conspiracy theories there. In some ways, I’d rather have 1,000 hardened neo-Nazis doing bad stuff together on an encrypted chat app than have them infiltrating 1,000 different local Dogspotting groups or whatever. . . . When you open Facebook or Twitter, the first thing you see is your timeline, a general feed that includes posts by your friends. But you could also see posts from strangers if your friends reshared them or Liked them. When you open Signal or Telegram, you see a list of the conversations you are having with individuals or groups of people. To get a message from someone you don’t know, that person would need to know your phone number to reach out to you.

 

5. BSI-Standard zu BCM - Version 2.0

Das ist jetzt eher für die Profis (die wissen, dass BCM für business continuity management steht). Dieses betriebliche Kontinuitätsmanagement soll dafür sorgen, dass der essentielle Geschäftsbetrieb auch in Krisensituationen weitergeführt werden kann.

Anlass dieses Beitrags ist die Veröffentlichung des IT-Grundschutz-Standards 200-4: Notfallmanagement als Community-Drafts. Die Secorvo Security News 01/2021 weist darauf hin, dass dies eine grundlegende Überarbeitung des bisherigen Standards ist. Der neue Standard gibt auf 298 Seiten neben einer theoretischen Einordnung der verschiedenen BCM-Aspekte praktische Hilfestellung für den schrittweisen Aufbau eines BCM. Dort findet sich auch eine Abgrenzung zwischen BCM und dem IT-Service-Continuity-Management (ITSCM) (das sich um die Verfügbarkeit der IT bei "einfachen" ("üblichen") Ausfällen kümmert. Hier zum Dokument Business Continuity Management - Community Draft.

 

6. Bitcoin-Kuriositäten

Mein Punkt hier ist: so etwas, was solch bizarre Meldungen erzeugt ist für mich keine Währung, sondern ein Spekulationsobjekt und zwar ein recht umweltschädliches. Hier einige der aktuellen Stories dazu:

Wenn ich mein Bankzugangs-Passwort vergessen habe, so gehe ich zur Filiale, weise mich dort aus und bekomme ein neues Passwort. Das geht bei einer Cryptocurrency nun mal nicht. Daher kommen viele eigentlich sehr reiche Menschen nicht mehr an ihr Vermögen: Lost Passwords Lock Millionaires Out of Their Bitcoin Fortunes.

Und natürlich zieht dieser Hype und Kurs-Höhenflug alle möglichen dunklen Gestalten an: Bitcoin-Höhenflug spielt betrügerischen Plattformen in die Karten. Betrüger nutzen aus, dass viele Menschen glauben, sie könnten noch schnell auf diesen Zug aufspringen und werden dabei ausgenommen.

Die Annahme, dass Bitcoin-Kursgewinne steuerfrei wären ist natürlich falsch. Und die Steuerbehörden sind dabei, diese Steuern auch einzutreiben. Steuerfalle Bitcoin: Wie die EU Anleger durchleuchten will. Denn wie ich an anderer Stelle erkläre: Bitcoin ist zwar pseudonym aber nicht anonym. Die Herausforderung für jeden, der über eine große Menge Bitcoins verfügt, das ist, irgendetwas sinnvolles mit dem Vermögen zu machen, z.B. in Euros umzutauschen. Spätestens an dieser Stelle muss die Identität offen gelegt werden. Dazu passt auch: Bitcoins im Millionenwert in der Hand der Justiz.

Natürlich haben die Kryptowährungen zu einer unheimlichen Vereinfachung des "Inkassos" bei Verbrechen wie z.B. Erpressungen geführt (siehe Ransomware-Boom), aber das bedeutet nicht, dass die Polizei nicht trotzdem erfolgreich sein kann. Europol ist in der Bitcoin-Welt sehr sehr aktiv unterwegs und lauert vor allem dort, wo die Bitcoins in "richtiges Geld" umgetauscht werden sollen.

Und sehr ärgerlich ist der immense Stromverbrauch beim Verifizieren der Zahlungen (um Betrug auch ohne zentrale Stelle zu verhindern). Dahinter sind sehr gefinkelte Algorithmen, aber die Stromverbrauch entspricht wohl derzeit bereits dem Verbrauch von Argentinien. Studie: Bitcoin verbraucht mehr Strom als ganz Argentinien.

Viele Fragen zu Blockchains und Kryptowährungen behandelt mein Artikel: Blockchain, Smart Contract, Bitcoin und andere Kryptowährungen z.B. mit Antworten zu

 

Neues auf der sicherheitskultur.at

Keine neuen großen Textteile (neue Themen und Inhalte kommen neuerdings eher in diesen Newsletter), aber es gab Arbeiten am Glossar der Informationssicherheit und Netzpolitik.

 

Außerdem bemerkenswert: Climate Risks visualisiert und Lösungen aufgezeigt

Auch wenn die IT-Risiken die ich hier behandele manchmal recht dramatisch erscheinen, so ist doch mittelfristig die Klimakatastrophe für uns alle m.E. das deutlich größere Problem. Hier jetzt eine sehr schöne graphische Aufbereitung der erwarteten Szenarien für verschiedene Teile der Welt. Als Hauptbedrohung für Deutschland, Schweiz und den größeren Teil von Österreich wird Flooding prognostiziert, einige Alpengebiete werden in 'heat stress' kommen. Der Rest der Welt wird eine Mischung aus Hurricanes, Sea Level Rise, Wildfires, Water Stress, Heat Stress und Flooding erleben. Das sieht alles recht dramatisch aus.

Was könnten wir nun gemeinsam dagegen tun? Hier ist eine sehr interessante und umfassende Studie (als Buch und als Website): Drawdown. Für diese Veröffentlichung wurden 100 mögliche Lösungen auf ihre Durchführbarkeit und vor allem ihre Wirkung hin untersucht. Man kann die Lösungen auf der hier verlinkten Webseite nach 2 Szenarien sortieren: 1,5 Grad Begrenzung und 2 Grad Begrenzung.

Da finden sich dann Lösungen, deren Effektivität und Wirkung ich viel niedriger eingeschätzt hätte. Sehr hoch steht z.B. die Reduktion der Nahrungsmittelvernichtung (weil sie entweder im Laden, im Kühlschrank oder auch im Lagerhaus schlecht werden) und die Verbesserung der Schulbildung für Mädchen weltweit (weil das die Bevölkerungszahlen reduziert). Für jede vorgeschlagene Lösung gibt es ausführliche Erklärung wie groß die Auswirkung ist.

Eine Maßnahme, die wohl sehr wichtig ist, die ich aber sonst noch nicht gehört hatte, das ist die saubere Entsorgung der großen Menge FCKW die noch in alten Klimaanlagen (entweder in Betrieb oder auf der Müllhalde) als Zeitbombe schlummern.
 


 


 

Philipp Schaumann, http://sicherheitskultur.at/

Zum Archiv-Überblick

Home

 


Copyright-Hinweis:
Das Copyright des Materials auf diesen Webseiten liegt, falls kein anderer Autor genannt wird, bei Philipp Schaumann. Creative Commons License
Diese Texte sind lizensiert unter der Create Commons Attribution-Noncommercial-Share Alike 2.0 Austria Lizenz. Natürlich gelten auch die Regeln des Fair Use und über Ausnahmen bzgl. der Lizenz kann jederzeit mit den Autoren gesprochen werden.