>

 

 

176. Newsletter - sicherheitskultur.at - 30.09.2021

von Philipp Schaumann

Zum Archiv-Überblick

 

Hier die aktuellen Meldungen:

 

1. PrivacyWeek 2021 des Chaos Computer Clubs: 25.Okt.- 31. Okt. 2021

Die Veranstaltung wird wie im vorigen Jahr 100% online sein, d.h. welt-weit gut zu erreichen. Hier das spannende (vorläufige) Programm: PrivacyWeek 2021.

Das werden 7 Tage mit Vorträgen, Workshops, Kunstprojekten und Diskussionsrunden zu den Themen

Die PrivacyWeek 2021 wird vom Chaos Computer Club Wien ehrenamtlich organisiert, ist für Teilnehmende kostenlos und vollständig online. Teilnehmende können Vorträge per Stream verfolgen, (anonym) Fragen an die Vortragenden stellen und sich in Workshops und Gesprächsrunden mit Vortragenden und anderen Teilnehmenden austauschen. Ich werde wohl auch mit dem einen oder anderen Vortrag zu hören sein.

 

2. Mal wieder was für die Weiterbildung: Cybersecurity Law, Policy, and Institutions

Es gibt (mal wieder) ein kostenloses Lehrbuch: Robert Chesney (University of Texas School of Law): Cybersecurity Law, Policy, and Institutions (version 3.1). Er nennt dies ein "interdisciplinary 'Casebook'" aus der Schnittstelle zwischen Juristerei und Cyber-Security. Kostenlos als PDF.

Nicht direkt zur Weiterbildung, aber etwas für Fans der Computer-Geschichte und für Nostalgiker: Aus der ganz frühen Geschichte von Netzwerken, Personal Computing und "Hacking" - Das Chaos Computer Buch als PDF im Download

Für Menschen die sich dafür interessieren, wie sich das alles so entwickelt hat hatte ich in einem früheren Newsletter auf 2 weitere Bücher verwiesen: Yasha Levine- Surveillance Valley: The Secret Military History of the Internet und "Where Wizards Stay Up Late" von Katie Hafner und Matthew Lyon. Hier gibt es mehr zu den beiden Büchern.

 

3. Bitcoin (und andere Kryptowährungen) vs. digitales Zentralbank-Geld

Parallel zu den Diskussionen rund um mögliche Regulierungen von Kryptowährungen und dem Kryptowährungs-Hype mancher Investoren arbeiten derzeit fast alle staatlichen Zentralbanken an eigenen digitalen Währungen. Einer der Gründe warum sie das tun ist natürlich der Erfolg/Hype der Kryptowährungen. Außerdem haben sich in anderen Weltgegenden Kreditkarte, Debitkarte und Bankomatkarte noch nicht so weit verbreitet (z.B. in China) und da gibt es einen Bedarf für elektronische Zahlungsmittel. Bei uns könnte eine digitale Zentralbankwährung für Händler interessant sein, wenn z.B. die Gebühren für die Abwicklung entfallen würden.

Was ist der Unterschied zwischen digitalem Zentralbank-Geld und herkömmlichen Kreditkarten, Debitkarten und Bankomatkarten?
Bankomatkarten repräsentieren von den Banken "geschaffenes" Geld, d.h. die Banken "haften" für die Beträge auf dem Konto. Das Geld der Zentralbanken wird von den Zentralbanken "geschaffen" und diese haften für die Zahlung (z.B. die EZB für unsere Euros). Die chinesische Zentralbank testet ihr digitales Geld seit 2014 und ist ab 2022 bereit für vollen Einsatz, die ECB wohl nicht vor 2028.

Praktisch könnte das dann so aussehen, dass jede:r auch ein "Konto", ein Guthaben bei der EZB hat, und eine dazu passende Karte oder App (oder integriert in die Bezahlapps der Banken). Vorteil des Zentralbankgelds gegenüber den Kryptowährungen sind die schnellere Abwicklung der Zahlungen, der feste Währungskurs, bzw. Wert und die Haftung der Zentralbanken. (Derzeitige Kryptowährungen sind ohne jegliche Haftung und für Massengeschäfte wie das Bezahlen von Lebensmitteln nicht wirklich geeignet, sie sind langsam und haben einen gigantischen Stromverbrauch - siehe unten).

Was die Anonymität von Zahlungen betrifft ist ein digitales Zentralbank-Geld gegenüber Bargeld natürlich ein deutlicher Rückschritt. Aber auch Bitcoin ist nicht wirklich anonym, siehe zur vermeintlichen Anonymität von Kryptowährungen. Die EZB hat sich noch nicht entschieden, welches Maß an Anonymität implementiert werden soll, da gibt es viele Optionen. Derzeit sind alle Nicht-Bargeld Transaktionen technisch transparent, der Zugriff der Behörden ist aber gesetzlich geregelt und eingeschränkt. Das Maß an Vertraulichkeit so einer EZB-Währung würde wohl ebenfalls per Gesetz geregelt werden. Auch eine Staffelung der Vertraulichkeit nach Betragshöhe wäre technisch möglich.

Siehe auch zur Zukunft des Bargelds.

 

Jetzt zu aktuellen Kryptowährungen:
Da tut sich einiges - zuerst hatte China nur das Mining in ihrem Land verboten (siehe etwas weiter unten), nun wird auch die Nutzung und der Handel von Kryptowährungen illegal: China verbietet Handel mit Kryptowährungen.

Anderseits führt Ecuador Bitcoin als 2. offizielle Währung ein (die andere offizielle Währung ist der US-Dollar). Hier zum Hintergrund dieses etwas eigenartigen Schrittes: Bitcoin wird in El Salvador zum offiziellen Zahlungsmittel.

Und wenn alle über das Klima reden: einer der großen Kritikpunkte der Kryptowährungen ist der gigantische CO2-Fußabdruck (mit ganz wenige Ausnahmen). Der Energieverbrauch der "proof of work"-Währungen liegt in der Größenordnungen von Ländern wie den Niederlanden - und das hauptsächlich dafür, dass einige Spekulanten ihr Vermögen verschieben und vermehren können.

China hatte vor Kurzem das Mining in ihrem Land verboten (wo es sehr viele Miner auf der Basis von günstigem Kohlestrom gab). Als Ergebnis sind viele der Miner in die Südstaaten der USA gezogen, wo unausgelastete und unrentable Kraftwerke Strom im Dauerbetrieb günstig angeboten haben - Strom der so umweltschädlich ist, dass selbst in den USA immer weniger Bedarf dafür besteht (die Anwohner beschwerten sich, weil durch das heiße Kühlwasser Seen 'umgekippt'.

Jetzt die neue Entwicklung: Bitcoin-Miner kaufen Kohlekraftwerke, um ihren enormen Energiebedarf zu decken.

Einschub: was ist Bitcoin-Mining.

Hier noch ein ausführlicher Artikel zu Kryptowährungen und schmutzigem Strom: Bitcoin miners bring new business to America's fossil fuel power plants.

 

4. Dauerthema Ransomware - die Story bleibt (leider) interessant

Ich hatte bereits früher über die komplexen Beziehungen zwischen den russischen Ransomware-Gruppen und dem russischen Staat geschrieben, ohne die diese Gruppen wohl auf die Dauer nicht operieren könnten. Die US-Cybersecurityfirma Recorded Future hat jetzt dazu eine Studie veröffentlicht. Tenor: Russische Geheimdienste und Strafverfolger haben genug Einfluss auf kriminelle Hackergruppen in dem Land, um diese zumindest vorübergehend beispielsweise zum Stillhalten zu bewegen, kontrollieren aber nicht ihre tagtäglichen Aktivitäten. Das erklärt wohl auch, dass die Kriminellen recht offen innerhalb von Russland ihren Reichtum zur Schau stellen können solange sie keine Schäden in Russlands Einflussbereichen anrichten und internationale Gegenmaßnahmen nicht zu drastisch ausfallen.

Ein Artikel dazu: REvil & Co.: Kreml hat Einfluss auf Cyberkriminelle, kontrolliert sie aber nicht - hier die Studie. Diese Verhältnisse können sehr gut am Beispiel der REvil-Gruppe gezeigt werden, die für den Kasey-Angriff verantwortlich gemacht werden.

Und nun kommt die Fortsetzung meines Artikels des Vormonats zum Kaseya-Angriff:

REvil hat es mit der Hebelwirkung des Angriffs auf den Software-Lieferanten geschafft, die Daten von 1500 Firmen zu verschlüsseln. Daher hielt REvil die Summe von 70 Mio US$ für einen globalen Schlüssel für angemessen. Zusätzlich haben sie einzelne Angebote bei den 1500 Opfern gemacht. Damit haben die Angreifer aber den Bogen doch etwas überspannt. Auf jeden Fall war dann REvil (erst mal) verschwunden (zusammen mit ihrer gesammten Infrastruktur), dafür ist aber später ein zentraler Schlüssel für alle 1500 Firmen aufgetaucht und zwar kostenlos.

Und jetzt (Sept. 2021) ist die REvil-Gruppe wieder da: REvil: Ransomware-Gang in neuer Aufstellung wieder aktiv.

Nun sind auch die Hintergründe bekannt geworden: FBI hielt wochenlang Generalschlüssel zurück. Dem Bericht zufolge war das FBI durch einen Zugriff auf Server der Cyberkriminellen aus Russland in Besitz des Schlüssels gelangt. Der wurde aber zuerst nicht den Opfern übergeben sondern geheim gehalten, damit die Kriminellen nicht merken, dass ihre Server übernommen wurden. Die haben das aber dann doch gemerkt, haben alle ihre Server gelöscht und sind von der Bildfläche verschwunden - siehe die Meldungen weiter oben. Die Idee des FBI war wohl, irgendeinen Gegenschlag auszuführen, daher haben sie die Firmen 3 Wochen ohne den Generalschlüssel gelassen (worüber die Firmen nicht wirklich erbaut sind - 3 Wochen früher wieder in der Produktion sein wäre gut gewesen). Das ganze ist eine Spur mysteriös - und welche Rolle der russische Geheimdienst dabei spielt, da kann man nur spekulieren.

Im September gab es einen Supply Chain Angriff in Österreich (und zwar in einem eng umgrenzten Gebiet). Grund für die regionale Beschränkung war, dass das primäre Opfer ein IT-Unternehmen war, der lokal viele Kunden hat. Indem die Angreifer ('Black Matter') dieses Unternehmen infizierten, wurde die Schadsoftware auch auf insgesamt 34 Kunden übertragen. Der Dateien wurden abgezogen und dann verschlüsselt.

 

Wie finden die Gruppen ihre Opfer?
Die Ransomware-Gruppen haben verschiedene Wege um Zugriff zu den Systemen der Opfer zu bekommen. Da sind z.B.

 

Jetzt kommen weitere Details über die Arbeitsteilung bei den Ransomware-Kriminellen:
Dies ein Artikel zu Websites, auf denen Zugriffsrechte zu Firmennetzen gehandelt werden: Ransomware gangs target companies using these criteria.

Hier die Wunschliste der BlackMatter Ransomware Gang:
Sie bevorzugen Opfer in den USA, Canada, Australia, und Great Britain mit Umsätzen > $100 million or more. Dafür bieten sie $3,000 - 100,000. Der Artikel sagt, dass 47% der Ransomware-Gruppen keine Healthcare-Opfer suchen (Grund Ethik - aber die anderen 53% haben damit kein Problem: Mehrere Kliniken nach Hackerangriff vom Netz genommen) oder Education oder non-profit Organisationen (26%) (Grund: die können nicht genug zahlen). 37% sind nicht an Regierungs-Organisationen interessiert, die Gruppen haben Angst vor 'unwanted attention'. Auf jeden Fall zu vermeiden: Commonwealth of Independent States (CIS) = ex-UdSSR.

Hier ein Beispiel für den Ankauf von Zugangsdaten: Hacker dringen in Computersysteme der Vereinten Nationen ein. Es ging hier wohl "nur" um Spionage und nicht Ransomware.

Gegen diese Angriffstricks kann sich ein Unternehmen nur schützen, wenn keiner der Mitarbeiter zu viele Zugriffsrechte hat, die er verraten könnte (z.B. durch interne Netzsegmentierungen, 2-Faktor-Logins, 4-Augen-Prinzip).

Und noch ein Beispiel was die Kriminellen mit den abgezogenen Daten machen können: Hackers are leaking children's data - and there's little parents can do. Der Artikel berichtet, dass als Ergebnis der vielen erfolgreichen Ransomware-Angriffe im Darknet immer mehr Daten von Kindern angeboten werden, zum Teil mit vielen Details.

Dieser Ransomware-Abschnitt hier ist eine Fortsetzung aus dem vorigen Newsletter und wird bestimmt weiter fortgesetzt, außerdem werde ich im Laufe der Privacyweek-Konferenz, Ende Oktober siehe oben, dieses Thema auch behandeln.

 

5. Wie geht es weiter bei der Regulierung der Algorithmen (Schlagwort 'AI Act')?

Dies ist eine Fortsetzung meines früheren Artikels: Zukünftige Regulierung von Algorithmen (und AI).

Auch in den USA tut sich was: Wired berichtet 'Congress working on a version of the "Algorithmic Accountability Act"'. The Fight to Define When AI Is 'High Risk'.

Der Artikel beschreibt Aktivitäten in den USA und in Brüssel. Bei der EU haben sich 300 Organisationen als Lobbyisten zu diesem Thema eingetragen lassen, auch z.B. (für mich überraschende) Verbündete wie die 'European Evangelical Alliance' die Kirchen in über 30 Ländern vertritt und ebenfalls Bedenken bzgl. Algorithmen hat. Der Artikel gibt einen guten Überblick über die Problematik der Algorithmen-Regulierung. Hier ein Artikel über die Lobbyschlacht in Brüssel: Was sich Google & Co den Kampf gegen EU-Regeln kosten lassen.

Aktualisierung Anfang Okt 2022: netzpolitik.org kommentiert eine große Anhörung zum AI Act - KI-Definition spaltet Fachleute. Die Industrie versucht, eine möglichst enge Definition im Gesetz zu verankern, ich persönlich stimme mit folgender Aussage überein: "Ausschlaggebend solle nicht sein, um welche Technologie es sich handelt, sondern welche Auswirkungen sie auf die Grundrechte hat. Auch könne eine zu enge Definition Innovation hemmen, da Unternehmen dann versucht sein könnten, weniger komplexe Systeme zu verwenden, um der Regulierung zu entgehen."

Die Zukunft des AI Acts wird wahrscheinlich in 2023 entschieden. Danach gibt es bestimmt noch mal ausreichend Zeit für die Umsetzung, d.h. so schnell wird da leider nichts passieren. :-(

Und noch eine Aktualisierung 2022: die AI Liability Directive. Dabei geht es darum, dass es für Konsumenten einfacher werden soll, für Schäden die durch AI-Entscheidungen passieren, Schadenesatz einzuklagen: "The new bill, called the AI Liability Directive, will add teeth to the EU's AI Act". Wenn so etwas auch als Sammelklage, z.B. von Verbraucherverbänden möglich ist, so kann das durchaus eine effektive Abschreckung sein. 100€ Schmerzensgeld für jeden von 100 Mio Bürger, das können dann leicht kräftige Summen werden. Hier die nächste Aktualisierung in meinen Newslettern.