217. Newsletter - sicherheitskultur.at - 28.02.2025

von Philipp Schaumann

Zum Archiv-Überblick

 

Hier die aktuellen Meldungen:

1. Ein digitaler Putsch

Zuerst eine Ergänzung zum Artikel im vorigen Newsletter über Transhumanismus und Longtermismus als Philosophie der Silicon Valley Herrscher. Ganz in diesem Sinne ist Musks Entscheidung zu sehen, die US Entwicklungshilfe USAID komplett und ersatzlos einzustellen. Was zählen denn die derzeit lebenden Menschen gegen die riesige Zahl der möglichen zukünftigen Generationen?

Außerdem ein paar Gedanken zu dem 'digitalen Putsch' in den USA. Heute können ein Staat und seine Behörden ganz ohne Panzer und Blutvergießen entmachtet werden, einfach, indem die Putschisten die Administrator-Rechte bei den Verwaltungsrechnern übernehmen, die bisherigen Benutzer sperren, Daten löschen oder manipulieren, oder Zahlungen stoppen. Das Entscheidende dabei ist, dass auf diese Weise Zahlungen gestoppt werden können, selbst wenn nur das Parlament diesen Stopp hätte anordnen können. So könnten Zahlungen für einzelne Firmen oder Personen, die Musk oder jemand anderer für anti-MAGA hält, sehr einfach blockiert werden.

Boeing rechnet damit, dass die Entwicklung der 'Mondrakete SLS' durch Boeing bald beendet sein wird - Boeing hat bereits eine beträchtliche Zahl der Raketen-Techniker entlassen. Was der Artikel nicht erwähnt: Ich wäre sehr überrascht, wenn die US-Mondpläne nicht auf Raketen von SpaceX umgestellt, bzw. gleich durch Mars-Pläne ersetzt würden. Wenige Tage später wird gemeldet: Musk will die Raumstation ISS "so bald wie möglich" vom Himmel holen und das Geld stattdessen für die Besiedelung des Mars ausgeben.

Außerdem gewinnt Musk auf diese Weise Zugang zu vertraulichen Firmen- und Personendaten die für eigene Zwecke verwendet werden können. Das Finanzministerium verlautet, dass das Musk-Team "nur Lesezugriff" auf Zahlungsdaten habe, dem widersprechen aber andere Berichte.

Die Horrorstories aus den USA gehen immer weiter: An der Grenze zum Staatsstreich: Wie Elon Musk die USA ausweidet. Ohne eine klar definierte Rolle hat der reichste Mann der Welt in kurzer Zeit den US-Regierungsapparat komplett unterwandert, er schließt eigenmächtig Behörden, feuert Beamte und greift auf hochsensible Daten und Systeme zu, richtet neue Zugriffsberechtigungen ein (und hebelt damit Sicherheitskonzepte wie getrennte Rollen und 4-Augen-Prinzip aus) und zieht sogar sensible und persönliche Daten für AI-Training ab. Beamte mit Erfahrung (auch in Sicherheitsfragen) werden massenhaft entlassen. Sogar Mitarbeiter der Behörde, die für die Sicherheit der Kernwaffen zuständig ist oder für das Funktionieren der Hochspannungsnetze.

Ganz vieles davon verstößt offensichtlich gegen Gesetze. Gerichte haben begonnen, diese Vorgänge durch einstweilige Verfügungen zu stoppen, aber wenn Zugänge zu den Systemen erstellt sind und Daten abgezogen, dann ist das Kind bereits in den Brunnen gefallen, Unbefugte (ohne die üblichen Sicherheitsüberprüfungen, ohne Erfahrung in diesem kritischen Systemen) haben Zugriff zu den Daten.

Ein Beispiel für den Diletantismus: "Zusammengeschustert": Behörden-Website von Doge gehackt.

Ausländische Geheimdienste sind vermutlich eifrig dabei, nach Sicherheitslücken in den neuen Zugriffen zu suchen um auf die Daten zuzugreifen. Das ist eine extremes Sicherheitsrisiko für den ganzen Staat. 2 Artikel aus Sicht von IT-Security und Compliance: AI and Civil Service Purges, DOGE as a National Cyberattack

Falls jemand glaubt, das wäre einfach Chaos ohne Konzept, nein, hier zum großen Plan dahinter: “Project 2025”: Wie Trump dem Plan zur Aushöhlung der Demokratie folgt. Die Website vergleicht den Plan und was davon bereits erreicht wurde.

 

2. Zugriff auf iPhone-Backups und andere Behördenwünsche

Die Innenminister der EU versuchen ja immer wieder, unter dem Vorwand 'Schutz von Kindern', Stichwort CSAM, ein Aufweichen der sicheren gegenseitigen Verschlüsselung in Chat-Programmen wie Whatsapp, Signal und anderen zu erreichen.

Großbritannien unternimmt nun einen anderen Versuch zum Aufweichen der Vertraulichkeit: Apple soll die seit 2022 eingeführte Advanced-Data-Protection-Funktion wieder abschalten. Diese Funktion bietet iOS-Nutzern eine optionale End-to-End-Verschlüsselung für ihre iCloud-Backups. Dadurch kann selbst Apple nicht auf die so verschlüsselten Dateien zugreifen. Dh. Apple kann derzeit, bei Benutzern, die diese Funktion aktiviert haben, bei Behördenanfragen keine Daten der iOS-Nutzer herausgeben, egal aus welchem Land die Anfrage kommt und wie viel Druck dieses Land auf Apple ausüben kann.

Das stört die britische Regierung, sie verlangt eine Aufweichung. Aber dann hat auch jedes andere Land die Möglichkeit, die Daten von iOS-Nutzern anzufordern. Ob die britische Regierung mittels des Investigatory Powers Act von 2016 auch Daten von beliebigen Bürgern weltweit (mit oder ohne Begründung) anfordern kann oder möchte, ist nicht ganz klar. Siehe auch die schlechten Nachrichten zur UN-Cybercrime Convention die Russland initiiert hat und wohl auch durchsetzen kann.

Etwas später die Entscheidung von Apple: Apple turns off iCloud encryption feature in UK. Apple erklärt, sie würden diese Sicherheitsfeature nun für Benutzer in Großbritannien nicht mehr unterstützen. Wir werden sehen, ob nun andere Länder auch so etwas fordern.

Schweden hat sich ganz schnell gemeldet, sie wünschen sich eine Hintertür (Backdoor) in end-to-end-verschlüsselten Systemen wie Whatsapp (wiki) und vor allem Signal (wiki). Signal hat bereits verkündet, dann sie sich in diesem Fall lieber aus dem Land zurückziehen würden. Jetzt kommt die Ironie: Das schwedische Militär nutzt Signal für interne Kommunikation und ist ganz stark gegen jegliche Aufweichung der Sicherheit von Signal.

Im Zusammenhang mit jedem terroristischen Anschlag kommt die Forderung nach mehr Überwachungsmöglichkeiten. Dafür gibt es technisch 2 Optionen:
Die erste Option ist die Quellen-TKÜ (wiki). Damit kann in Deutschland das Gerät eines explizit genannten Verdächtigen nach richterlichem Beschluss 'infiziert' werden und Daten auf dem Gerät können 'aus der Ferne' ausgelesen werden. Das klappt natürlich nur, wenn die Person bereits unter einem Verdacht steht. Dies war z.B. beim Attentäter von Villach offenbar nicht der Fall.

Sehr unglücklich ist, dass EU Länder, hier zB Italien, wenn sie diese Möglichkeiten der Überwachung haben, diese dann gegen Journalisten und Aktivisten statt gegen Schmugler, Drogenhändler und Terroristen einsetzen: Italian investigative journalist and two activists alleged to have been targeted by Paragon Solutions spyware.

Die zweite technische Lösungsoption läuft über die Anbieter des Kommunikationsdienstes. Sie sollen gezwungen werden, eine technische Lösung zu schaffen, so dass sie auf die Klartextdaten der Kommunikation zugreifen und dadurch an Behörden weitergeben können.

Der CERT.at-Artikel Chat Control vs. File Sharing behandelt die technischen Optionen, die die Anbieter von Whatsapp, Signal, etc. hätten, wenn Regierungen sie zwingen würden, die Inhalte der Dialoge preis zu geben.

Das Beispiel, das im Artikel verwendet wird ist Napster (wiki), der Filesharing-Dienst. Ursprünglich ein zentraler Service, aber nachdem Behörden immer wieder Daten über Filesharing-Aktivitäten forderten wurde das Protokoll auf innovative Weise so umgestellt, dass die Zentrale von Napster keine Informationen über das Filesharing-Geschehen hat. Analog dazu ließe sich auch das Protokoll von Signal (wiki) auf eine komplett dezentrale Lösung, zB analog zum Fediverse (wiki) oder Matrix (wiki) oder Jabber (wiki) umbauen. Die Details im Artikel.

Anderseits hat die Cybersicherheitsbehörde der USA allen Benutzern verschlüsselte Kommunikationskanäle stark angeraten, da die herkömmlichen Telefonsysteme in den USA seit gut einem Jahr von der chinesischen Hackergruppe Salt Typhoon bundesweit unterwandert sind. Bisher konnten die Angreifer aus den Systemen noch nicht 'vertrieben' werden. Es wird von Milliardenkosten für den Austausch der alten Router-Hardware gesprochen.

 

3. Kryptokriminalität und Nordkorea - Kryptoforensik

Nordkorea hat es auf Grund der Sanktionen ja nicht ganz einfach, seine Devisen für seine Staatsfinanzen zu verdienen. Schon seit Jahren spielen daher staatliche Cyberkriminelle eine wichtige Rolle bei der Finanzierung des Staatshaushalts, zB auch bei der Finanzierung der Kernwaffenentwicklung.

Die Staatshacker, in diesem Fall die sehr prominente Gruppe die im Westen Lazarus genannt wird, hat einen Riesen-Coup gelandete: Größter Kryptoraub aller Zeiten: Cyberkriminelle erbeuteten fast 1,5 Milliarden Dollar bei Bybit.

Die Kryptobörse möchte (verständlicherweise) so viel wie möglich von dem Geld zurück bekommen, sie setzt einen 'Finderlohn' von 10% aus. Auf diese 150 Mio. USD stürzen sich alle sog. Kryptoforensiker. Wie sie versuchen das Geld zurückzuholen, das wird im folgenden Interview mit einem Kryptoforensiker erklärt. Denn, wie ich an anderer Stelle erklärt habe, sind Kryptozahlungen nicht anonym, sondern nur pseudonym.

Hier mehr zu den nordkoreanischen Staatshackern: die Gruppe Jumpy Pisces arbeitet mit Ransomware. Oder: Nordkoreanische Hacker TraderTraitor erbeuteten in Japan Bitcoin in Millionenhöhe. Oder: Nordkorea verblüfft mit High-Tech-Cyberangriffen und Nordkorea bezahlt Kernwaffen mit gestohlener Kryptowährung.

Das geht schon ziemlich lange so: Legendär ist aus 2016: Cyberdiebstahl von 101 Millionen US$ am 4. Februar 2016, ein recht komplexer Angriff, denn 100 Mio USD kann man ja nicht einfach so transferieren ohne Spuren zu hinterlassen - hier die Geldwäschetechnik: "Das in die Philippinen überwiesene Geld wurde weiter in Spielcasinos transferiert und verschwand dann in dunklen Kanälen".

 

4. Ergänzungen früherer Beiträge

Die Auto-Hersteller als Datenkraken

Ergänzung zu meinem Bericht über die Die Auto-Hersteller als Datenkraken. netzpolitik.org hat ihre Leser gebeten, die gesammelten Daten von ihrem jeweiligen Hersteller anzufordern. Die Ergebnisse sind verlinkt.

 

Die Krypto- Love-Scam Lager in Myanmar

Ergänzung zu den Scam-Lagern in Myanmar: Thailand, das bisher die Myanmar-Provinzen in denen sich die Scam-Lager in Myawaddy, Payathonzu und Tachileik befinden mit Energie versorgt hat, hat nun den Strom abgedreht. Das trifft aber natürlich die ganze Bevölkerung, ist also keine wirkliche Lösung. Ohne Energie gibt es auch kein sauberes Trinkwasser, das ist wirklich eine brutale Intervention.

Ergänzung März 2025:
Das ist leider aber nicht das Ende dieser Zwangsarbeitslager - mit Hilfe von Starlink sind die Lager wieder online. Die Details im März.

Das hatte gefehlt: Watchlist-internet.at: Geswiped, geflirted, getäuscht? Vorsicht vor Love Scams auf Dating-Portalen. Wie kann man so etwas erkennen, speziell bei Freunden und Freundinnen, und wie kann man ihnen helfen.

 

Virtual Friend gibt Hilfestellung zu Selbstmord

Der Markt für virtuelle Girl- und Boyfriends boomt angeblich. Die Chatbots sind aber nicht ganz ungefährlich: AI chatbot told a user how to kill himself—but the company doesn’t want to “censor” it. Zum Glück war der Mensch in diesem Fall kein depressiver Nutzer, sondern ein Wissenschaftler, der aber von dem Vorschlag zum Selbstmord, einschließlich konkreten Vorschlägen für die Durchführung ziemlich geschockt war. Und dies ist nicht der erste Fall, sowas kann immer wieder passieren und hat wohl auch bereits zu Selbstmorden und Selbstverletzungen geführt (viele Details im verlinkten Artikel und auch in der Wikipedia). Die Anbieterfirma Character.ai (wiki) will an ihren Chatbots nichts ändern. Hier mein früherer Artikel zu virtual girlfriends.

 

Bedienfehler und Ladendiebstahl an den SB-Kassen - AI als Lösung?

Wie ich lese, haben die immer häufiger anzutreffenden Selbstbedienungskassen in unseren Supermärkten das Problem großer Fehlerzahlen: KI-gestützte Überwachungs- und Analysetools werden nun eingesetzt, um die angeblich hohe Zahl von (beabsichtigten oder unbeabsichtigten) Bedienfehlern erkennen zu können. Es geht um vergessenes Scannen, das Vertauschen von Artikeln oder Scan-Codes, etc.

Auch eine automatische Alterskontrolle soll mithilfe von KI durchgeführt werden, es geht wohl um Alkohol und Zigaretten. Ich mag dieser Kassen ja eh nicht, aber durch KI werden sie für mich nicht sympatischer. Hier der frühere Artikel zur Zukunft des Bezahlens im Einzelhandel.

 

Familien-Spyware mit hilfreichem Kundendienst

Die Spionage-App mSpy vermarktet sich als Werkzeug für besorgte Eltern, die wissen wollen, was ihre Kinder auf dem Smartphone tun. Darüber kann man trefflich streiten, m.E. sollte so was nur mit Wissen der Kinder passieren, 'gegenseitiges Vertrauen' nennt sich so was. Siehe auch: Fremder packte Kinder am Arm: Sollen Eltern Volksschulkinder tracken?

Aber geleakte Nachrichten des Kundendienst von mSpy zeigen nun, dass auch der ausdrückliche Wunsch, Partner oder Partnerinnen illegal zu überwachen beim Kundendienst von mSpy auf viel Verständnis und Hilfsbereitschaft stößt. Die Anrufer bekommen nicht Ärger, sondern Ratschläge. Der Kundendienst hilft gerne, wenn man den eigenen Partner stalken will.

So findet und stoppt man solche privaten Spionage-Apps, bzw. mit diesen Sicherheitseinstellungen verhindert, bzw. erschwert man die Installation durch andere Menschen.

Aber Achtung: wer von Regierungen überwacht wird, das ist eine andere Liga - diese Apps kann man mit einfachen Tricks nicht entdecken. Mehr zum Thema Spyware in Familien und der Politik in einem früheren Newsletter.

 

Kostenlos: ÖIAT-Online-Schulungen

Kostenlose Online Schulungen beim Österreichischen Institut für angewandte Telekommunikation (ÖIAT). Hier die kommenden Termine und Themen - alle diese Schulungen sind empfehlenswert (ich nehme an vielen davon teil).

Die Termine und Themen der Kurse ab März: (Abends, entweder 18:30 - 20:00 oder 17:00 - 20.00)

  • 03. März | Digitale Mediennutzung - Wie kann ich mein Kind gut begleiten?
  • 10. März | Deepfakes - KI-manipulierte Inhalte (er)kennen lernen
  • 13. Mai | Deepfakes - KI-manipulierte Inhalte (er)kennen lernen

    • Anmeldung auf academy.oiat.at - der Zoom-Link kommt dann per Email - wie gesagt: m.E. sehr empfehlenswert.