27. Tätigkeitsbericht (2005)

10    | Aus dem IT-Labor

10.1    | Neue Methode: Penetrationstests

Wie sicher IT-Systeme gegenüber Angreifern abgeschottet sind, zeigt sich, wenn sie Hackerangriffen ausgesetzt werden. Dies geht nicht unter Laborbedingungen. Realitätsnahe Tests dürfen die Systeme aber auch nicht zerstören. Ein neues SUSA-Angebot bietet eine sichere Alternative.

Die meisten Daten verarbeitenden Stellen sind sich der Tatsache bewusst, dass sie sich mit der Vernetzung ihrer IT-Systeme Angriffen auf die Datensicherheit aussetzen. Dies führt zu Sicherheitsmaßnahmen, die nicht erlaubte Aktivitäten unterbinden bzw. sensible Daten vor unberechtigten Zugriffen schützen sollen. Welche Qualität ihre Sicherheitspolicy allerdings tatsächlich erreicht, kann von ihnen in der Regel nur schwer erkannt werden. Es steht oft die Frage im Raum: "Könnte vielleicht nicht doch ein Angreifer an den Sicherheitsbarrieren vorbei auf vertrauliche Daten zugreifen?" Um dies zuverlässig beantworten zu können, ist eine professionelle Analyse der Sicherheitspolicy erforderlich.

An dieser Stelle setzt unser neues Angebot im Rahmen des Projektes "Systemdatenschutz  – ULD-Support für Administratoren (SUSA)" an. Dabei werden die getroffenen Sicherheitsmaßnahmen in einem "aggressiven", gleichwohl kontrollierten Verfahren unter Produktionsbedingungen auf ihre Wirksamkeit hin untersucht. Die Daten verarbeitenden Stellen können also ihre IT-Sicherheit durch gezielte Testangriffe überprüfen lassen.

Dazu bilden unsere Mitarbeiter und von uns beauftragte externe Dienstleister mit Spezial-Know-how ein "Security-Analyseteam", das mit Methoden arbeitet, die bei internen oder externen Hackern bekannt sind.

  • Die Konfiguration der IT-Systeme wird systematisch nach Schwachstellen durchsucht. Die Mitarbeiter-PCs werden bezüglich ihres Funktionsumfanges, der den Benutzern zugewiesenen Befugnisse sowie der Datenverwaltung analysiert, Defizite aufgedeckt und zu Demonstrationszwecken ausgenutzt.
  • Bei der Überprüfung der Firewall-Systeme werden "klassische" Penetrationstests durchgeführt. Unter Einsatz gängiger Hackertools wird von außen ein unberechtigter Zugriff auf die IT-Systeme und auf die Daten versucht.
  • Die IT-Systeme der Daten verarbeitenden Stellen sind in der Regel alle miteinander vernetzt. Darüber hinaus gibt es häufig Schnittstellen zu anderen Netzen bzw. Außenstellen, Einwahl- bzw. Fernwartungszugängen oder gar die Integration von Funknetzen (Wireless LAN). Ziel spezieller Penetrationstests ist es, sich von innen oder von außen unerkannt in das Netzwerk einzuschleusen, um z. B. die auf den Leitungen transportierten Informationen abzugreifen. Auch in diesem Bereich erfolgt die Aufdeckung von Sicherheitslücken lediglich zu Demonstrationszwecken.

Derartige Sicherheitsüberprüfungen  laufen in vier Phasen ab.

  • Die erste Phase umfasst im Wesentlichen die Durchführung der Penetrationstests. Der Daten verarbeitenden Stelle werden in einem Bericht der Überprüfungsgegenstand, die eingesetzten Angriffsmethoden sowie die Ergebnisse erläutert.
  • Die zweite Phase befasst sich mit der Beseitigung der technischen Mängel. Die erarbeiteten Lösungsansätze werden in einem Konzept beschrieben. Es macht die einzelnen Schritte der Mängelbeseitigung transparent. Die IT-Systeme werden anschließend einem erneuten Penetrationstest ausgesetzt, um sicherzugehen, dass alle Defizite beseitigt wurden.
  • In der dritten Phase erfolgt die Beseitigung der organisatorischen Mängel. Darunter fallen insbesondere die Erstellung von korrekten Dokumentationsunterlagen sowie die Anpassung der aufbau- und ablauforganisatorischen Regelungen.
  • Sofern die Daten verarbeitende Stelle vom ULD ein Zertifikat wünscht, das den ordnungsgemäßen Einsatz der überprüften IT-Systeme bescheinigt, schließt sich in einer vierten Phase ein Auditverfahren an (Tz. 9.2). Dies setzt den Aufbau eines Datenschutzmanagementsystems voraus, das die dauerhafte Aufrechterhaltung und Kontrolle des erreichten Sicherheitsniveaus zum Ziel hat.

Die durchzuführenden Arbeiten, die handelnden Personen, der Zeitaufwand und die Kosten werden zwischen der Daten verarbeitenden Stelle und dem ULD vertraglich festgelegt. Die Überprüfung wird grundsätzlich unter Beteiligung der IT-Verantwortlichen der Daten verarbeitenden Stelle transparent durchgeführt. Das gilt insbesondere auch für die Aktivitäten der externen Spezialisten.

Was ist zu tun?
Verwaltungen mit großen IT-Netzwerken und/oder mit Übergängen in das Internet  bzw. andere externe Netzwerke sollten den Aufwand für Penetrationstests abschätzen lassen. Es zeigt sich, dass er geringer wiegt als das latente Risiko von Lücken in der IT-Sicherheit.

 

10.2    | Wenn der Postmann dauernd klingelt – neue Ansätze an der Spamfront

Eine wahre Flut an Viren  und unerwünschter Werbung ergießt sich Tag für Tag in die E-Mail-Postfächer von Firmen, Behörden und Privatpersonen und richtet mitunter immensen Schaden an. Ein international standardisiertes Verfahren, das diese Flut eindämmen sollte, scheiterte letztlich an Softwarepatenten.

Inzwischen ist geklärt, dass zwischen der Verbreitung von Viren und Spam  – unerwünschte Werbung – per E-Mail ein Zusammenhang besteht: Moderne Viren verbreiten sich nicht nur selbst weiter, sie nutzen die infizierten Systeme auch, um über diese Spam-E-Mails – in der Regel unter falschem Absender – zu verbreiten. Dazu wird den Verbreitern der Viren eine Hintertür geöffnet, durch die der befallene Rechner kontrolliert und ausspioniert werden kann.

? DNS

Domain Name Service – Internetdienst, der zu einem Domain-Namen u. a. die zugehörige IP-Adresse liefert.

Mehrere Gruppen der Open-Source-Bewegung sowie kommerzielle Unternehmen arbeiten seit einiger Zeit an Verfahren, die das Versenden von E-Mails unter falschem Absender deutlich erschweren bzw. zumindest erkennbar machen sollen. Die meisten dieser Verfahren beruhen darauf, dass im Domain Name Service (DNS) ein zusätzlicher Eintrag vorgenommen wird, der angibt, über welche Server E-Mails einer bestimmten Absende-Domain verschickt werden dürfen. Empfangende E-Mail-Server können dann prüfen, ob eine E-Mail über einen autorisierten Server verschickt wurde oder aus einer nicht autorisierten Quelle, z. B. von einem infizierten PC, stammt.

? IETF

Internet Engineering Task Force – offene, internationale Vereinigung zur technischen Standardisierung des Internets.

Trotz unterschiedlicher Ansätze schien es, dass unter der Bezeichnung "SenderID" ein konsensfähiger Vorschlag für einen IETF-Standard geschaffen würde. In quasi letzter Minute jedoch löste sich die zuständige Arbeitsgruppe der IETF selbst auf, nachdem festgestellt wurde, dass Microsoft auf Teile dieses softwarebasierten Verfahrens Patentansprüche geltend machte. Damit ist ein allgemein akzeptierter Standard in weite Ferne gerückt, sodass Anwenderinnen und Anwendern auch weiterhin nur geraten werden kann, den eigenen Rechner selbst zu schützen. Das ULD liefert Hinweise und Anleitungen dazu auf seinen Webseiten.

www.datenschutzzentrum.de/selbstdatenschutz/internet/

 

10.3    | Jagd nach PINs und TANs per Phishing

Unter Phishing-Mails versteht man elektronische Nachrichten, die eine seriöse Herkunft vortäuschen und den Nutzer auf gefälschte Webseiten locken. In der Mail wird versucht, den Nutzer zur Angabe von sensiblen Daten auf dieser gefälschten Seite zu bewegen. Solche Versuche gab es bereits früher, oft unter Vorspiegelung einer Systemadministrator-Mail. Seit Anfang 2004 geistern zunehmend geschicktere "Bauernfänger" durchs Netz.

Unter Ausnutzung diverser Sicherheitslücken und Eigenarten von Mailprogrammen und Browsern entwickelten sich die so genannten Phishing-Mails zu einem Phänomen, dem viele Nutzer hilflos gegenüberstanden. Anfangs waren es nur kaschierte Links in der betreffenden E-Mail. So stand unter einer hochoffiziell wirkenden Mail, die auf den ersten Blick von der Postbank stammte, ein Link auf "http://postbank.info". Die Mail forderte den Nutzer auf, sich auf der Seite anzumelden, um Benutzerdaten zu aktualisieren. Auf der verlinkten Seite wartete ein originalgetreuer Nachbau von postbank.de.

Später tauchten Phishing-Mails auf, die bei einem Klick auf einen ganz anderen als den angezeigten Link verwiesen. Mittels eines HTML-Formularfeldes wurde im Mailprogramm zwar die korrekte Adresse einer Bank angezeigt, der Klick führte jedoch auf eine Fälschung. Skeptische Nutzer konnten spätestens hier stutzig werden, denn der Browser  zeigte die falsche Adresse durchaus an. Aber auch hierfür fanden Gauner eine Lösung: Mithilfe von JavaScript, Flash oder XUL-Dateien lassen sich in nahezu allen aktuellen Browsern einzelne Elemente der Benutzeroberfläche manipulieren. Das führt dazu, dass in der Adressleiste des Browsers eine andere URL angezeigt wird oder sogar ein kleines Schloss – Symbol für eine sichere SSL-Verbindung.

? PIN/TAN

Hinter den Kürzeln PIN und TAN verbergen sich die Begriffe "Persönliche Identifikationsnummer" und "Transaktionsnummer".

Bei der PIN handelt es sich um eine Geheimnummer, die einem bestimmten Nutzer einmalig zugewiesen wird. So authentifiziert sich z. B. der Nutzer einer EC-Karte mit der dazugehörigen PIN gegenüber dem Geldautomaten.

Die TAN hingegen ist nur für eine einzige Transaktion gültig. Online-Banking-Kunden erhalten eine Reihe von TANs, den so genannten TAN-Block. Soll beispielsweise eine Überweisung im Internet  getätigt werden, meldet sich der Kunde mit seiner PIN bei seiner Bank an und bestätigt die Überweisung mit einer TAN. Diese Nummer wird danach aus der Liste gestrichen, sie ist fortan ungültig. Für die nächste Transaktion ist wieder die PIN des Kunden und eine andere TAN nötig.

Die Faustregel, wichtige Adressen wie die seiner Bank stets manuell einzugeben, erschien zuerst logisch. Nur durch den Klick auf einen Link in einer E-Mail gelang es den Betrügern bislang, den Browser  auf gefälschte Seiten zu lotsen. Wer hingegen ein Lesezeichen im Browser eingerichtet hatte oder die Adresse stets manuell eintrug, war sprichwörtlich "auf der sicheren Seite". Doch auch diese Strategie wurde bald unterwandert. Es gelang den "Phishern" durch einen in die Mails eingebetteten Code, manipulierte Host-Dateien auf den Rechnern ahnungsloser Nutzer zu installieren. In dieser Host-Datei sind statische Zuordnungen von Domain-Namen zu IP-Adressen gespeichert. Unter normalen Umständen enthält diese Datei keinerlei Einträge, die Auflösung eines Domain-Namens zur entsprechenden IP-Adresse wird online durch den DNS-Server des Providers vorgenommen. Wird in die Host-Datei jedoch beispielsweise die Zeile "213.178.69.184 postbank.de" eingetragen, so würde der Rechner die Seite des ULD ansteuern, wenn "postbank.de" aufgerufen wird. Das Perfide an dieser Variante ist, dass es für den Nutzer unter Umständen vollständig unsichtbar ist, dass er sich auf einer falschen Seite befindet, wenn diese das Original entsprechend gut imitiert.

Den Urhebern all dieser Fälschungen geht es stets um eines: Benutzerdaten und -kennungen für diverse Online-Dienste, meist von Banken,  zu erschleichen. Insbesondere das PIN/TAN-Verfahren  ist für dieses Vorgehen anfällig: Kann ein Nutzer dazu gebracht werden, auf einer gefälschten Seite seine PIN und eine gültige TAN einzugeben, gelangt der "Phisher" in den Besitz einer gültigen PIN/TAN-Kombination und könnte umgehend selbst eine Buchung tätigen. Allerdings wäre dieses Vorgehen auffällig. Im schlimmsten Fall leitet daher die gefälschte Webseite den Nutzer einfach mit einer kurzen Fehlermeldung und dem Hinweis, die TAN sei ungültig, auf die korrekte Seite um. Hier gibt der Nutzer nun eine andere TAN ein, erledigt seine Transaktion und vergisst die Fehlermeldung. In Wahrheit ist der Betrüger im Besitz einer gültigen, d. h. unbenutzten PIN/TAN-Kombination.

Alternativ zu PIN und TAN bieten viele Banken  das HBCI-Verfahren  an, bei dem sich der Nutzer über eine Chipkarte  gegenüber der Webseite authentifiziert. Dazu muss am PC ein spezielles Lesegerät installiert werden, das im Regelfall ein eigenes Tastenfeld besitzt. Auf diesem Tastenfeld gibt der Nutzer eine PIN ein und startet so den Authentifizierungsvorgang. Dritte haben keine Möglichkeit, diesen Vorgang zu beeinflussen oder abzuhören, da er ausschließlich im Chipkartenleser stattfindet. Eventuell auf dem Rechner eingeschleuste Überwachungsprogramme für die Tastatur (so genannte Keylogger) bleiben wirkungslos, weil die PIN-Eingabe ausschließlich auf dem Lesegerät vorgenommen wird.

Die Manipulation des Betriebssystems ist nur durch Ausnutzung von Schwachstellen in Webapplikationen möglich. Auch deshalb sollten Nutzer die Verwendung alternativer Mailprogramme und vor allem Browser  in Betracht ziehen. E-Mail-Programme, die keinerlei aktiven Code ausführen können, bieten deutlich mehr Sicherheit. Kommt ein solches Programm nicht infrage, sollte die Ausführung von aktivem Code unbedingt abgeschaltet werden. Aufseiten des Webbrowsers ist der Internet  Explorer nicht zu Unrecht in Verruf geraten – kein anderer Webbrowser hat mehr Schwachstellen. Durch seine große Verbreitung ist er zudem erstes Angriffsziel. Alternativen wie Firefox, Mozilla  und Opera bieten hier deutlich mehr Sicherheit.

PIN und TAN bieten zwar große Flexibilität und Unabhängigkeit von einem speziellen PC. Gerade diese Mobilität birgt jedoch das Risiko des Missbrauchs durch Dritte. HBCI ist aufwändiger und weniger flexibel, jedoch gegen bisher bekannte Missbrauchsversuche resistent.

Was ist zu tun?
Nutzer sollten alle Links, die in E-Mails stehen, mit größter Skepsis betrachten. Im Zweifelsfall ist die Adresse manuell in den Browser einzugeben. Die Verwendung von alternativen Browsern und Mailprogrammen ist ratsam. Bietet die Hausbank HBCI an, ist dies unter Sicherheitsaspekten gegenüber PIN/TAN die bessere Wahl.

 

10.4    | Internettelefonie  – VoIP

Voice-over-IP  ermöglicht Telefonieren über eine Internetanbindung oder in einem lokalen Computernetz. Da Telefonie und Datenkommunikation sich dabei die gleichen Leitungen teilen, erübrigt sich eine eigene Telefoninfrastruktur. Die neue Technik bringt nicht nur Kostenvorteile mit sich, sondern wirft auch Fragen des Datenschutzes auf.

Mit Voice-over-IP (VoIP) kann prinzipiell jeder, der über das technische Know-how und ein wenig Kapital verfügt, zum Anbieter von Sprachdiensten werden, ohne erst kilometerlange Kabel in der Republik verlegen zu müssen. Einige Internetprovider bieten ihren Kunden inzwischen VoIP als Zusatzdienst an. Netzinterne Gespräche sind dabei in der Regel kostenlos.

Wirtschaftliche Hürde ist in der Regel eher der Zusammenschluss mit dem herkömmlichen Telefonnetz, denn dann werden Gebühren an die Telefongesellschaften fällig. Sollen die VoIP-Kunden per Rufnummer aus dem Festnetz erreichbar sein, muss zudem ein entsprechender Rufnummernblock von der Regulierungsbehörde für Telekommunikation und Post  (RegTP) erstanden werden. Über die Frage, wer unter welchen Bedingungen welche Nummernblöcke bekommen darf, wird noch gestritten.

Angesichts der Diskussion über Geld und Technik gerät die Frage nach Datenschutz und Datensicherheit leider in den Hintergrund. Die Technik bietet einerseits die Möglichkeit, vertrauliche Kommunikation abhörsicher zu gestalten. Doch ignorieren einige Anbieter andererseits bei dem Wirbel um technische Funktionalität, Verbindungsgebühren und Rufnummernvergabe schon mal datenschutzrechtliche Vorschriften, wie sie z. B. bei der Erfassung und Abrechnung von Gesprächsverbindungen gelten.

? RTP

Real-Time Transfer Protocol  – Protokoll zur Datenübertragung in Echtzeit

Die Frage der Abhörsicherheit ist bei VoIP noch relevanter als bei herkömmlicher Telefonie: Auf ihrem Weg durchs Internet  können die zur Übertragung verwendeten Datenpakete auf jeder Station unbemerkt gelesen werden. Insbesondere für Unternehmen, die ihre Mitarbeiter ins Ausland senden, ist VoIP eine günstige Methode, die Kommunikation mit dem Team daheim zu gewährleisten. Durch konsequenten Einsatz von Verschlüsselung  können sie sich vor Wirtschaftsspionage wirksam schützen.

? SIP

Session Initiation Protocol  – Protokoll zum Aufbau einer Verbindung

Gängige Protokolle für VoIP wie SIP und RTP sind auch in verschlüsselnden Varianten definiert. Doch gibt es bisher nahezu keine endkundentauglichen Geräte, die Verschlüsselung  unterstützen. Hier liegt zweifelsohne ein großer Markt brach. Im Rahmen unseres Innovationszentrums ULD-i  versuchen wir, Partner aus Wirtschaft und Wissenschaft zu finden, damit Bürgerinnen und Bürgern ebenso wie Unternehmen in diesem Marktsegment datenschutzfördernde Techniklösungen angeboten werden können.

Was ist zu tun?
Anbieter von VoIP-Produkten müssen Lösungen mit sicherer Ende-zu-Ende-Verschlüsselung auf den Markt bringen. Provider für VoIP-Verbindungen müssen die Einhaltung datenschutzrechtlicher Vorgaben sicherstellen.

 

10.5    | WPA – neuer Anlauf bei der WLAN-Verschlüsselung

Funknetzwerke sind beliebt und begehrt. Vom Heimanwender, der im Garten via Notebook surfen möchte, über Krankenhäuser  mit mobiler Datenerfassung bis hin zur Anwaltskanzlei, die ihre Räumlichkeiten flexibel und ohne lästige Kabel vernetzen möchte, reicht die Bandbreite. Inzwischen spricht sich herum, dass Funknetzwerke in Sachen Sicherheit – vorsichtig ausgedrückt – problematisch sind.

Die Hardware der ersten Generation von Funknetzen – auch WLAN (Wireless Local Area Networks) genannt – verfügt über eine als WEP  bezeichnete Verschlüsselung, die sicherheitstechnisch als gleichwertig zu drahtgebundenen Lösungen konzipiert war. Diese Verschlüsselung wurde jedoch umgehend gebrochen, und Programme, die ein solches "Aufbrechen" von verschlüsselten Funknetzwerken ermöglichen, sind frei verfügbar. Da man kein Kryptoexperte sein muss, um solche Tools zu nutzen, ist jeder interessierte Nutzer technisch in der Lage, in WEP-geschützte Netze einzubrechen.

Schlimmer als diese offenkundige Schwäche der WEP-Verschlüsselung wiegt der Umstand, dass viele WLAN-Geräte standardmäßig mit einer komplett deaktivierten Verschlüsselung ausgeliefert werden, sodass sie für eine Nutzung durch Dritte weitgehend offen sind. Dieser Umstand ändert sich nur allmählich.

Im Jahre 2000 wurde mit der Entwicklung eines Nachfolgers von WEP begonnen. Um die Zwischenzeit bis zu seiner Fertigstellung zu überbrücken, entschloss sich das Institute of Electrical and Electronic Engineers (IEEE), das die Entwicklung und Standardisierung für Funknetzwerke vorantreibt, zu einem Zwischenschritt. Mit WPA  wurde im Jahr 2003 ein Teilstandard veröffentlicht, der dem dringenden Bedarf nach einer einheitlichen und brauchbaren Lösung Rechnung tragen soll. WPA ist der bisherigen WEP-Verschlüsselung in mehreren Punkten überlegen: Die Achillesferse von WEP war der Initialisierungsvektor. Mit seinen 24 Bit ermöglichte er eine sehr begrenzte Anzahl solcher Vektoren. WPA stellt für den Initialisierungsvektor nun statt 24 eine Länge von 48 Bit zur Verfügung. Die Integritätsprüfung wurde deutlich verbessert und verhindert nun, dass Datenpakete aufgefangen, verändert und dann weitergesendet werden können. Des Weiteren wurde der bei WEP konstante Schlüssel über ein Temporal Key Integrity Protocol (TKIP) durch dynamische Schlüssel ersetzt, die pro Benutzer und Datenpaket erzeugt werden.

WPA setzt als Zwischenlösung nicht alle von der IEEE geplanten Verbesserungen um, insbesondere im Hinblick auf das verwendete Verschlüsselungsverfahren. Das liegt vor allem an der angestrebten Hardwarekompatibilität: WPA soll weitgehend auf bisheriger WLAN-Hardware laufen und dort durch ein Softwareupdate realisierbar sein. Ende 2004 wurde schließlich WPA2 unter dem offiziellen Namen "802.11i" als Standard veröffentlicht. Zur Verschlüsselung  kommt ein grundlegend anderer Algorithmus zum Einsatz, der "Advanced Encryption Standard" (AES). Dieser ist weithin erprobt und gilt als praktisch sicher. Allerdings benötigt AES zur Ver- und Entschlüsselung deutlich mehr Rechenleistung, weshalb WPA2 auf bisheriger Hardware nicht lauffähig ist.

Erste berichtete Schwächen von WPA2 beziehen sich lediglich auf die für den Verschlüsselungsaufbau notwendigen Passwörter. Diese können einfach durchprobiert werden. Ist das Passwort schwach, ist auch die damit gesicherte Verschlüsselung leicht zu brechen. Schlechte Passwörter sind jedoch keine Schwäche des Verschlüsselungsalgorithmus. Ein weiteres Problem liegt in den höheren Hardwareanforderungen des 802.11i-Standards, die neue Hardware nötig machen. Bestehende Geräte lassen sich allenfalls auf die Zwischenlösung WPA umrüsten. Ein Mischbetrieb aus WPA und WPA2 ist nicht möglich bzw. führt dazu, dass alle Geräte mit WPA arbeiten. Nach wie vor sind Virtuelle Private Netzwerke (VPNs) eine Alternative, in denen verschlüsselte Verbindungen zwischen den Rechnern Ende-zu-Ende aufgebaut werden. Diese sind von dem dazwischen liegenden Netz und dessen Technik und Sicherheit unabhängig.

Was ist zu tun?
Bestehende mit WEP betriebene WLAN-Hardware sollte umgehend auf WPA-Tauglichkeit überprüft und möglichst umgerüstet werden. Zur Initialisierung nötige Passwörter sollten auf keinen Fall normalsprachlicher Natur sein, sondern Sonderzeichen und Zahlen enthalten und ausreichend lang sein. Sollen über ein Funknetzwerk sensible Daten übertragen werden, ist zusätzlich ein Virtual Private Network notwendig, um von möglichen Schwächen der WLAN-Verschlüsselung unabhängig zu sein.

 

10.6    | Viel Wirbel um GMail

Mit GMail bietet Suchmaschinenprimus Google einen E-Mail-Service an. Dieser ist kostenlos und bietet neben 1 Gigabyte Speicherplatz und Tools zur Mailverwaltung auch reichlich Zündstoff für Datenschutzdiskussionen.

Die Kernkompetenz von Google liegt im Suchen und Finden von Daten. GMail unterscheidet sich von anderen Webmailanbietern darin, dass die E-Mails nicht strukturiert in Ordnern und Unterordnern gespeichert, sondern über eine Suchfunktion erschlossen werden. Finanzieren soll sich der Dienst über eingeblendete Werbung. Die Aufmerksamkeit der Datenschützer zog GMail auf sich, da zum Einblenden der Anzeigen die Inhalte der E-Mails ausgewertet werden. Die Werbung soll so im Kontext der jeweils aufgerufenen E-Mail angezeigt werden.

Während man beim Empfänger, d. h. dem GMail-Nutzer, vielleicht noch von einer Einwilligung  zum "Lesen der eigenen Post" ausgehen kann, ist dies beim Absender in der Regel nicht gegeben.

Neben diesem offensichtlichen Eingriff in die Vertraulichkeit der persönlichen Kommunikation finden sich in der Datenschutzerklärung (Privacy Policy) des Dienstes weitere Haken. So behält sich Google vor, auch nach Auflösung des Accounts die E-Mails weiter zu speichern. Zudem will Google das Verhalten der Nutzer auswerten, z. B. auf welche Werbung mit einem Klick reagiert wurde. Google sichert dabei auf sehr eigentümliche Art Vertraulichkeit zu: "We do not disclose your personally identifying information to third parties unless we believe we are required to do so." Einzige Voraussetzung für die Datenweitergabe ist es also für Google zu glauben, diese sei erforderlich.

Während die automatische Auswertung von E-Mails zu Werbezwecken ein besonders negatives Licht auf Google wirft, ist die Firma mit ihrer Datenschutzerklärung zu GMail kein vereinzeltes schwarzes Schaf. In den Bedingungen und Erklärungen anderer Dienste findet man meist ähnlich gruselige Bedingungen.

Was ist zu tun?
Jeder sollte sich vor der Nutzung von Diensten die Datenschutzerklärungen genau durchlesen und gegebenenfalls überlegen, ob er tatsächlich bereit ist, einen "kostenlosen" Dienst mit seiner Privatsphäre zu bezahlen.

 

10.7    | Windows XP  ServicePack 2 : Paradigmenwechsel bei Microsoft?

Viel war spekuliert worden im Vorfeld des zweiten ServicePacks für Windows XP. Von einer neuen Windows-Version namens "Reloaded" war die Rede, es sollte keine Updates für illegale Windows-Versionen geben, und Tauschbörsen sollten unter Windows XP nicht mehr funktionieren. ServicePack 2 kam – und damit vieles anders, als viele erwartet hatten.

Mit dem ServicePack 2 – kurz: SP2 – schlägt Microsoft eine grundlegend neue Marschrichtung ein. Galt bislang die Prämisse, alles müsse so einfach wie möglich funktionieren, führt Microsoft mit SP2 plötzlich Sicherheitsmechanismen ein, die einige Funktionalitäten beeinträchtigen. Auf Betriebssystemebene wird beispielsweise mit der NX-Funktion für 64-Bit-Prozessoren und deren Softwarenachbildung für andere CPUs das Auftreten von Buffer-Overflows deutlich erschwert. In der Folge funktionierten etliche Programme mit dem neuen ServicePack nicht oder nur eingeschränkt: Unsauber programmierte Software, die bislang vom System toleriert wurde, kollidierte mit den schärferen Ausführungsbestimmungen. Auch der Internet  Explorer zeigt eine Abkehr von der bisherigen Strategie. Was sich mit der P3P-basierten Cookie-Behandlung angekündigt hatte, wird jetzt mit standardmäßig aktiviertem Pop-Up-Blocker und eingeschränkten ActiveX-Funktionalitäten fortgeführt. Auch hier funktionierten einige Webseiten nicht ordnungsgemäß, die beispielsweise wichtige Informationen in Pop-Up-Fenstern anzeigen oder Plug-Ins automatisch installieren wollten. Die Einführung eines neuen Systemdienstes namens "Sicherheitscenter" erinnert den Nutzer sehr eindringlich (man möchte sagen: penetrant) an die Installation von Antivirensoftware, einer PC-Firewall und aktuellen Sicherheitsupdates.

Bei vielen Anwendern führten die angekündigten Veränderungen durch das ServicePack 2 zu Verunsicherungen, wie Anfragen bei uns belegen. Dabei können die Sicherheitsfunktionen des SP2 nur auf den ersten Blick überzeugen. So lässt sich das Sicherheitscenter leicht, vor allem auch scriptgesteuert abschalten, ohne dass der Nutzer davon etwas merkt. Die integrierte Firewall  macht bei der Übernahme der Regeln der Vorversion mitunter grobe Fehler und gibt Drucker und Verzeichnisse nicht nur im lokalen Netz, sondern im gesamten Internet  frei.

Ein Hauptproblem beim Einsatz von Windows bleiben die Benutzerrechte. Die meisten Anwender melden sich als Administrator am System an und ermöglichen auf diese Weise auf dem PC befindlichen schädlichen Programmen die Übernahme des Rechners. Die Warnungen des Sicherheitscenters beispielsweise lassen sich über einen Registry-Schlüssel deaktivieren. Ein Wurm, innerhalb eines Administratorkontos ausgeführt, kann diesen Eintrag in der Registry ändern, was ohne Administratorrechte nicht möglich ist. So lindert das ServicePack 2 sicherlich einige Symptome, die Ursachen massiv unsicherer Windows-Systeme vor allem im Heimbereich werden jedoch nicht beseitigt. Hinzu kommen Ungereimtheiten in den Sicherheitsfunktionen des SP2. So meldet das Sicherheitscenter nicht unbedingt, wenn der Virenscanner nicht läuft, sondern leuchtet dem Nutzer mit einem grünen "Aktiv"-Hinweis entgegen. Auch der Schutz vor Buffer-Overflows ist löchrig und lässt sich mit etwas Aufwand aushebeln.

ServicePack 2 für Windows XP ist ein Schritt in die richtige Richtung. In der Standardkonfiguration wird ein XP-System deutlich sicherer. Überflüssige Funktionen wie der Nachrichtendienst oder die ActiveX-Installation sind automatisch deaktiviert, Sicherheitsfunktionen wie der Download-Schutz für den Internet  Explorer oder die rudimentäre Firewall  sind bereits ohne Zutun des Nutzers aktiv. Trotzdem verteidigt Microsoft erfolgreich seinen Ruf, unausgereifte Software zu veröffentlichen. Etliche der Sicherheitsfunktionen besitzen Schwachstellen, die in absehbarer Zeit ausgenutzt werden dürften. Anwender können sich also auch mit dem ServicePack 2 noch nicht entspannt zurücklehnen.

 

10.8    | Trusted Computing

Unter dem Begriff "Trusted Computing" wird ein Mehr an Sicherheit versprochen. Nach wie vor ist nicht eindeutig erkennbar, wer damit vor wem geschützt werden soll.

Im letzten Tätigkeitsbericht (26. TB, Tz. 11.2) hatten wir die Grundzüge von Trusted Computing beschrieben. Trotz der Kritik der Datenschützer, der sich namhafte Interessenvertreter anderer Bereiche anschlossen, hat sich seitdem im Bereich der Hardwarespezifikation nicht viel getan. Der Gesamtverband der deutschen Versicherungswirtschaft äußerte sich zum Thema "Risiko Trusted Computing" und kommt zu ähnlichen Schlüssen wie wir:

"Die sich hier abzeichnenden Risiken sind für die Versicherungswirtschaft inakzeptabel, da sie nicht zuletzt infolge gesetzlicher Vorschriften als verantwortliche Stelle im Sinne des Bundesdatenschutzgesetzes die vollständige Kontrolle über ihre Daten, Inhalte und Geräte behalten muss."

"Die vorgeschlagenen Techniken des Trusted Computing basieren auf Vertrauen gegenüber den bereitstellenden Firmen, ohne dass in irgendeiner Form entsprechende gesetzliche Kontrollen und Möglichkeiten der Anwender zur Durchsetzung ihrer Schutzinteressen existieren."

Im Bereich von Trustworthy Computing, so die Microsoft-Bezeichnung für deren Softwareerweiterungen auf Betriebssystemebene, wurde von Microsoft das Projekt NGSCB (Next Generation Secure Computing Base) vorerst auf Eis gelegt. Stattdessen scheint sich Microsoft auf die NX (No eXecution)-Prozessortechnologie zu konzentrieren, die Speicherüberläufe reduzieren soll, welche die üblichen Angriffspunkte für bösartigen Programmcode darstellen, und Entwicklern erlaubt, Speicherseiten als nichtausführbar zu markieren. Neuere Vorschauversionen von Microsofts nächster Version von MS Windows (Longhorn), enthalten kein NGSCB mehr. Bevor man hier die Datenschutzimplikationen betrachtet, muss man auf Microsofts neue Konzepte warten.

Was ist zu tun?
Daten verarbeitende Stellen müssen vom Einsatz von Trusted Computing absehen, solange nicht die vollständige Kontrolle durch die Anwender über Daten, Schlüssel, Inhalte und Geräte gegeben ist.

 

10.9    | Anonymes Logging  – eine Problemanalyse

Jeder Betreiber einer Homepage möchte wissen, wie sich die Besucher seiner Seite verhalten. Das Mitloggen der IP-Adressen der Besucher führt regelmäßig zu Konflikten mit dem Datenschutz. Abhilfe könnte hier eine Anonymisierung  der Daten schaffen. Dies erweist sich jedoch schwieriger, als es auf den ersten Blick scheint.

Wie viele Nutzer besuchen täglich meine Homepage? Wie lange verweilen sie? Über welche Links auf fremden Webangeboten gelangt der Nutzer zu meinem Angebot? Welche Bereiche meiner Homepage sind besonders attraktiv, und welche finden kein Interesse? Auf welchen Pfaden bewegt sich ein Nutzer durch mein Webangebot? Das sind die wohl meistgestellten Fragen von Homepage-Betreibern. Um Antworten zu erhalten, wird der eingesetzte Webserver so konfiguriert, dass die vom Rechner des Nutzers übermittelten Daten in ein Logfile geschrieben werden. Auswertungstools analysieren diese Logfiles und bereiten die Ergebnisse grafisch auf. Je nach Speicherdauer der Logfiles erhält der Betreiber so die Möglichkeit, einen Überblick über das Verhalten seiner Besucher über einen bestimmten Zeitraum zu bekommen.

Aber zur aussagekräftigen Beantwortung der Fragen nach Besucherzahl und deren Bewegungen auf der Seite verlangen die Auswertungstools eindeutige Identifikatoren, um einzelne Seitenaufrufe korrekt Besuchern zuordnen zu können. Nichts liegt also näher, als die IP-Adressen der Besucher mitzuloggen, die diese eindeutigen Zuordnungen ermöglichen. Diese von fast allen Homepage-Betreibern ausgeübte Praxis wird von uns kritisiert: Die als personenbezogen einzustufenden IP-Adressen werden mitunter über sehr lange Zeiträume gespeichert, z. B. für Jahresauswertungen zur Erkennung von saisonalen Unterschieden. Letztendlich lassen sich aus der Menge der mitgeloggten Daten auch aussagekräftige Profile der einzelnen Besucher herstellen.

Ein gängiger Lösungsversuch ist die Pseudonymisierung der IP-Adressen durch Abtrennen der ersten beiden Ziffernblöcke. Falls ein Serviceanbieter mit weltweitem Kundenstamm keine weiteren Merkmale der Nutzer auswertet, z. B. die Sprachauswahl oder die Browserkennung, erfüllt diese Praxis zumindest den Sinn der Pseudonymisierung. Immerhin ca. 65.000 IP-Adressen nutzen jeweils dieselben letzten beiden Ziffernblöcke. Die Auswertung des Nutzerverhaltens verliert so aber an Aussagekraft. Beschränkt sich das Serviceangebot nur auf bestimmte Regionen, nimmt auch der Grad der Pseudonymisierung  stark ab, da ganze IP-Adressräume als mögliche IP-Adresse der Nutzer nicht mehr infrage kommen. Zusammenfassend: Beim Abschneiden von Ziffernblöcken von IP-Adressen ohne Erfassung weiterer Merkmale verhält sich der Grad der Pseudonymisierung umgekehrt proportional zur Aussagekraft der Logfile-Auswertung.

Als einfacher Ausweg aus der Misere erscheint die Substitution der IP-Adresse durch einen beliebigen Platzhalter. Um allerdings korrektes Besucherverhalten reproduzieren zu können, muss einer IP-Adresse immer wieder derselbe Platzhalter zugeordnet werden. Dies ließe sich natürlich durch eine Zuordnungstabelle bewerkstelligen. Wird diese genauso lange gespeichert wie die Logfiles, ist keine Besserung des Problems aufgetreten. Im Falle einer regelmäßigen und kurzzeitigen Löschung  dieser Tabelle entstehen Verfälschungen in den Auswertungen der Besucherströme. Denn ein Besucher kurz vor der Löschung der Zuordnungstabelle wird nach der Löschung als ein neuer Besucher identifiziert werden, sodass die Besucheranzahl fälschlicherweise steigt und die Besucherpfade um den Löschpunkt herum keine Aussagekraft mehr besitzen. Setzt der Anbieter die Löschung der Zuordnungstabelle auf den Tageszeitpunkt, an dem seine Seite am wenigsten besucht wird, hält sich die Artefaktbildung in der Auswertung in Grenzen.

Der nächste logische Schritt ist das Ersetzen der IP-Adresse ohne Speicherung der Zuordnung von IP-Adresse und Pseudonym. Hier drängt sich der Einsatz einer Einweg-Hash-Funktion (Secure Hash) förmlich auf. Diese Funktion bietet die Möglichkeit, sozusagen on-the-fly eine IP-Adresse in eine verschlüsselte Nachricht umzuwandeln. Ein großer Vorteil dieser Funktion ist die Unumkehrbarkeit, was bedeutet, dass sich aus einer verschlüsselten Nachricht nicht der Originaltext (hier wäre es die IP-Adresse) erzeugen ließe. Einen zweiten Vorteil stellt die Eindeutigkeit dar, die besagt, dass aus einer Originalnachricht immer der gleiche verschlüsselte Text errechnet wird. Für unseren Fall, der Anonymisierung  von IP-Adressen mit Erhaltung der Auswertbarkeit, scheinen die genannten Vorteile unschlagbar zu sein. Leider versteckt sich innerhalb des zweiten Vorteils ein K.o.-Kriterium für die verfolgte Zielsetzung: Die Anzahl der Originalnachrichten ist beschränkt und ihr Aussehen bekannt.

Jeder Computerbesitzer ist in der Lage, von allen existierenden IP-Adressen den zugehörigen Hash-Wert zu erzeugen. Wahrscheinlich ist so eine Liste sogar im Internet  zu finden. Ob nun wirklich von allen 4,2 Milliarden IP-Adressen der Hash-Wert zu errechnen ist, um ein pseudonymisiertes Logfile zu repersonalisieren, hängt wiederum vom Webangebot ab. Ein regionaler mitteleuropäischer Serviceanbieter wird sich sicherlich nicht für die einzelnen IP-Adressen aus Asien in seinem Logfile interessieren, welche mit großer Wahrscheinlichkeit von dort stationierten Suchmaschinen stammen. Nach Streichung von nicht relevanten und verbotenen IP-Adressen verbleiben maximal zehn Prozent aller IP-Adressen, die für diesen Anbieter als potenzielle Kunden-IP-Adressen in Betracht kommen. Eine Zuordnungstabelle von IP-Adressen zu ihren Hash-Werten in dieser Größe zu erzeugen ist für aktuelle Heimcomputer keine schwierige Aufgabe. Leider entwickelt die Secure-Hash-Funktion ihre größte Stärke genau dann, wenn ihre Ausgangsmenge nicht beschränkt ist, sodass sie für die Anonymisierung  von Logfiles nicht infrage kommt.

Der Bedarf an intelligenten Lösungen ist vorhanden. Viele Anbieter haben uns gegenüber schon ein großes Interesse an der Möglichkeit des anonymen Loggings gezeigt. Es verwundert, dass noch keine zufrieden stellende Lösung existiert. Dies mag ein Indiz für den Schwierigkeitsgrad der Lösung sein.

Was ist zu tun?
Für die datenschutzgerechte Auswertung von Internetnutzungsverhalten wäre eine Anwendung die ideale Lösung, die Logdaten anonymisiert, bevor sie ins Logfile geschrieben werden, und dabei die Logauswertung so gering wie möglich verändert. Eine solche Lösung sollte nicht nur auf das Weblogging beschränkt sein, sondern sollte sich auch auf andere Logprozesse (z. B. auf einem Mailserver oder einer Firewall) anwenden lassen.

Zurück zum vorherigen Kapitel Zum Inhaltsverzeichnis Zum nächsten Kapitel