« IT-Sicherheit | Blog | Politik »

EU fordert Einhorn der Verschlüsselung

Samstag 28 November 2020   Kategorien: IT-Sicherheit, Physische Sicherheit, Politik, Verschlüsselung   von Rainer W. Gerling

Einhörner haben bekannter Weise magische Fähigkeiten und die werden auch gebraucht, um die Forderungen der Europäischen Union aus der Entschließung des Rates zur Verschlüsselung "Sicherheit durch Verschlüsselung und Sicherheit trotz Verschlüsselung" umzusetzen.

Die widersprüchliche Forderung aus dem Titel des Papiers verwenden das Wort Sicherheit in einer nicht synonymen Art. Das erste "Sicherheit" ist als Informations- und IT-Sicherheit gemeint. Wir schützen unsere Daten und Systeme durch Verschlüsselung. Das zweite "Sicherheit" ist im Sinne öffentlicher Sicherheit und Schutz vor Kriminalität gemeint. Dass "Terrorismus, organisierte Kriminalität, sexueller Missbrauch von Kindern" und andere schwere Cyberkriminalität zu bekämpfen ist, findet unser aller Zustimmung.

Nur die Vorstellung der Politiker man könne in die Verschlüsselung eine Art von Magie einbauen, so dass die Bösen durch die Verschlüsslung abgehalten werden, die Guten aber für einen rechtmäßigen, transparenten, notwendigen und verhältnismäßigen Zugang durch die Verschlüsselung nicht aufgehalten werden, das funktioniert nicht. Solche Lösungen können nur Einhörner finden und die gibt es ja bekannter Weise nicht.

Eine bekannte Lösung für eine (halb)staatliche Hintertür sind die TSA-Schlösser an unserem Gepäck. Nur die Berechtigten im Bereich der Sicherheitskontrollen an Flughäfen haben die erforderlichen Schlüssel. Und damit ist kein Missbrauch möglich. Dumm nur, das ein Foto der Schlüssel im November 2014 in der Washington Post in dem Artikel „The secret life of baggage: Where does your luggage go at the airport?” und damit im Internet erschienen ist, Dadurch existieren jetzt 3D-Druckvorlagen, die es jedem erlauben TSA-Schlüssel zu drucken. Details in meinem Kurzvortrag auf der 25. Konferenz "Sicherheit in vernetzten Systemen" des DFN-CERT.

Sicherlich wird die ETSI jetzt ihren kaputten Standard Enterprise Transport Security (ETS), als unsichere Alternative zu TLS 1.3, wieder ins Spiel bringen. Der ursprünglich mal eTLS genannte Standard hat sogar offiziell eine Schwachstellenummer: CVE 2019-9191. Dieser Standard bietet aber keine Lösung für das Problem, sondern entfernt lediglich Perfect Forward Secrecy aus dem TLS 1.3.

Die Frage ist nicht, ob eine Hintertür missbraucht wird, sondern nur wann eine Hintertür missbraucht wird!

Modernes https

Mittwoch 19 Februar 2020   Kategorien: IT-Sicherheit, Physische Sicherheit, Tipps, Verschlüsselung   von Rainer W. Gerling

Wir haben uns daran gewöhnt, Web-Seiten über verschlüsselte https-Verbindungen aufzurufen, damit niemand mitlesen kann. Bei dieser Verschlüsslung gibt es unterschiedliche Versionen: TLSv1.0, TLS 1.1, TLS 1.2 und TLS 1.3, die auch unterschiedlich sicher sind. Wegen der teilwiese massiven Unsicherheiten in den veralteten Protokollen (TLSv1.0 ist 20 Jahre alt) werden die führenden Browserhersteller die Unterstützung von TLS 1.0 und 1.1 ab etwa März 2020 abschalten. Web-Seiten, die dann kein TLS 1.2 anbieten, können dann nicht mehr mit aktuellen Browsern abgerufen werden.

Microsoft unterstützt im Rahmen des Angebots Office 365 bereits seit dem 31.10.2018 die Protokolle TLS 1.0 und TLS 1.1 nicht mehr. Der Standard der Kreditkarten-Industrie PCI DSS verbietet seit dem 20.6.2018 die Verwendung von TLS 1.0.

Die Zeitpläne der Browserhersteller zur Deaktivierung von TLS 1.0 und TLS 1.! sind wie folgt:

  • Google: ab Chrome 81 (ca. März 2020)
  • Mozilla: Firefox ab März 2020
  • Apple: Safari ab März 2020
  • Microsoft: IE 11 und Edge in der ersten Hälfte 2020

Aus Sicherheitsgründen ist der Einsatz veralteter Browser, um weiterhin TLS 1.0 und 1.1 nutzen zu können, daher nicht sinnvoll.

Wenn Sie also ab März 2020 feststellen, dass Web-Seiten nach einem Browser-Update nicht abrufbar sind, verwenden diese doch noch die alten Verschlüsselungsverfahren. Das kann nur der Anbieter der Web-Seite beheben. Bei einem Webservern im Unternehmen (ein aktueller Apache bzw. Microsoft IIS oder vergleichbarer Server) ist eine entsprechende Konfiguration problemlos möglich. Kritisch werden jedoch unter Umständen ältere proprietäre Systeme, wie Workflow-Systeme, Zeiterfassungs-Systeme, sog. embedded Web-Server in Geräten wie Firewalls, Router, Switches, Telefonanlagen, Gebäudeleittechnik etc., da hier Abhängigkeiten von der jeweiligen Firmware existieren. Hier gibt es erfahrungsgemäß noch viele Server, die noch kein TLS 1.2 oder besser unterstützen.

Dies gilt auch im Privatbereich. Wenn Sie z.B. auf die Web-Oberfläche Ihrer Heizungssteuerung oder Ihres älteren DSL, bzw. Kabel-Router ab März nicht mehr zugreifen können, liegt es wahrscheinlich an diesem Problem. Da müssen Sie sich dann mit dem Hersteller der Steuerung in Verbindung setzen, da nur er in der Lage ist das Problem zu beheben.

Soweit die erforderliche Konfiguration bei einem oder mehreren Geräten nicht möglich ist, wird der Zugriff über einen reverse Proxy empfohlen. Dabei ist darauf zu achten, dass das Netzwerksegment zwischen reverse Proxy und Web-Server geschützt ist. Bei einem entsprechenden hohen Schutz des Netzes zwischen reverse Proxy und Web-Server kann u.U. in diesem Segment auf Verschlüsselung verzichtet werden.

Bezüglich der konkreten Konfiguration für die Webserver Apache, lighttpd, nginx, Cherokee und MS IIS wird auf die Anleitung „Applied Crypto Hardening: bettercrypto.org“ oder die Empfehlungen von Mozilla "Security/Server Side TLS" verwiesen. Die Mozilla-Seite verlinkt auch einen Konfigurationsgenerator.

Sobald Anmeldungen mit Benutzername und Passwort über verschlüsselte https-Verbindungen laufen oder auf personenbezogene Daten zugegriffen wird, muss nach Art. 32 DSGVO bei den technischen Maßnahmen der Stand der Technik eingehalten werden, d.h. midestens der Level „Intermediate“ der Mozilla-Empfehlung. Dies gilt auch für Web-Angebote bei denen personenbezogene Daten, z.B. in Kontaktformulare oder Registrierungen, eingeben werden. Bei unkritischen Informationsangeboten kann auch noch übergangsweise nach einer Risikobetrachtung der Level „Old“ genutzt werden, um ältere Geräte nicht auszuschließen.

Sicherheitsrisiko freies WLAN

Samstag 11 August 2018   Kategorien: Physische Sicherheit, Politik   von Rainer W. Gerling

Bisher war die herrschende Meinung, dass freies WLAN wegen der Störerhaftung für den Betreiber ein Risiko darstellt. Jetzt hat die Regierung von Oberbayern klargemacht, dass freies WLAN an bestimmten Orten eine Gefahr für Leib und Leben der Bürger ist, und deshalb nicht genehmigungsfähig ist. Durch einen Antrag der Münchener Stadtratsfraktion Die Grünen - Rosa Liste und die jetzt veröffentlichte Antwort darauf brachte es ans Licht.

Insbesondere würde die Bereitstellung von WLAN in Sperrengeschossen mit einem Anwachsen von Personenzahlen einhergehen, da hier ein Wetterschutz und im Winter ein gewisser Schutz vor Kälte gegeben ist. In Abhängigkeit von der Anlage und Ausdehnung des Sperrengeschosses der jeweiligen U-Bahn-Haltestelle sei es möglich, dass zusätzlich anwesende Personenansammlungen zu den maximal zu erwartenden Fahrgastströmen im Gefahrfall negative Auswirkungen auf die Sicherheit der in der Haltestelle anwesenden Personen haben und somit ein erhöhtes Gefährdungspotential für alle darstellen.

Grünen-Fraktionschef Dr. Florian Roth reagierte auf die Mitteilung mit scharfer Kritik: „Die Unterstellung, es könne durch ein WLAN-Angebot auf den Bahnsteigen zu ‚Personenansammlungen‘ kommen, da dort ein ‚Wetterschutz‘ gegeben sei, ist an den Haaren herbeigezogen. Wie wäre vor diesem Hintergrund das Betreiben von Verkaufsständen für Backwaren und Getränken etc. in Sperrengeschossen und sogar auf Bahnsteigen zu rechtfertigen? WLAN im Öffentlichen Nahverkehr wird auch im Masterplan zur Luftreinhaltung als Anreiz zum Umsteigen auf den ÖV genannt. Laut Regierung von Oberbayern ist das aber offenkundig unerwünscht. Die CSU-Staatsregierung brüstet sich gern damit, bei der Digitalisierung an der Spitze des Forstschritts zu marschieren – in der Praxis wird behindert und blockiert.

Vor diesem Hintergrund sollten alle Betreiber von Verkehrsmitteln mit unterirdischen Bahnsteigen und darüberliegenden Sperrengeschossen eine Neubewertung der Sicherheit vornehmen. Führt neben dem freien WLAN möglicherweise auch der Verkauf von Backwaren, Getränken, Zeitschriften und anderen Dingen an diesen Orten zu einer erhöhten Nutzung der Infrastruktur von „Personen, die nicht an der Nutzung der … Bahnen interessiert sind“?

Schlüssel sind tod?

Dienstag 06 Januar 2015   Kategorien: Physische Sicherheit   von Rainer W. Gerling

Das IT-News Seite Golem.de berichtet über Firmen wie KeyMe oder KeyDuplicated, die aus Fotos von Schlüsseln über 3D-Drucker Kunststoff-Schlüssel erstellen. Angeblich wurde ein solcher Dienst noch nie missbraucht. Das grundlegende Konzept ist immer gleich (und wurde auch bereits auf dem 29. Chaos Communication Congress, 29C3, vorgestellt): Aus einem oder mehreren Fotos (sehr komfortabel in der Cloud zu speichern) wird ein 3D-Modell des Schlüssels erstellt, das dann auf einem 3D-Drucker ausgedruckt wird. Der Plastik-Schlüssel soll für einige wenige Schließvorgänge halten. Mit Kiosk-Lösungen soll das Beschaffen eines Ersatzschlüssels so einfach wie das Erstellen von Fotoabzügen im Drogeriemarkt werden. Sollte das mit den Schlüssel der Schließfächer der Deutschen Bahn auch funktionieren (warum eigentlich nicht?), hat die DB einen größeren Umrüstaufwand.

Letzt endlich sind die 3D-Drucker der Tod der mechanischen Schlüssel. Und das gilt nicht nur für Haustüren sondern für alle Schlüssel: Spind-Schlüssel, Schreibtisch-Schlüssel und auch für die erwähnten Schließfach-Schlüssel. Wir stehen am Anfang eines Weges, der zur vollständigen Ablösung mechanischer Schlüssel führen wird.

Als vordergründige Lösung im Zeichen von Smart Home erscheinen RFID, NFC, Magnetstreifen oder Smartphone basierte Schlösser als der perfekte Ausweg. Aber Vorsicht, hier gibt es neue Probleme.

Magnetstreifen kann man problemlos kopieren. Kein Ausweg. Einfache RFID-Chips (die z.B. nur eine Seriennummer enthalten, die dann abgefragt wird) kann man einfach duplizieren. Auch kein Ausweg.

Aber es gibt noch ein weiteres Problem, das insbesondere Nachrüstlösungen kompliziert macht. Wenn ich nicht mechanisch mit dem Schlüssel das Schloss antreibe, dann muss das Schloss eine Stromversorgung haben. Kaum jemand dürfte das bereits berücksichtigt haben. Bleiben nur Batterien im Schloss. Und schon ist die regelmäßige Wartung (sprich Batteriewechsel) des Schlosses eine neue Aufgabe. Als kurzfristige Nachrüstlösung sind batteriebetriebene Schlösser keine optimale Lösung.

Aber es gibt auch schon alternative Lösungen: Zusätzlich zu der mechanischen Codierung des Schlüssels kommt eine magnetische Codierung zum Einsatz. Erste Produkte existieren (z.B. das Magnet-Code-System der Fa. EVVA) und sind im 3D-Drucker nicht so ohne weiteres kopierbar. Das gilt für die magnetische Codierung; der mechanische Teil ist natürlich kopierbar. Und eine Stromversorgung im Schloss ist bei der magnetischen Codierung auch nicht erforderlich.

Und auch die Deutsche Bahn betreibt bereits Alternativen. Im Leipziger Hauptbahnhof gibt es Schließfächer, die ohne mechanische Schlüssel funktionieren. Man erhält einen Ausdruck mit einem sechstelligen numerischen Code, mit dem das Schließfach wieder geöffnet werden kann.

Autoschlüssel neuerer Autos sind auch so ohne weiteres nicht mechanisch kopierbar, da seit dem 1.1.1998 alle neuzugelassenen Fahrzeuge eine elektronische Wegfahrsperre (d.h. eine RFID-basierte Authentisierung des Schlüssels) haben müssen.

IT-Sicherheit nervt ...

Dienstag 30 September 2014   Kategorien: Awareness, IT-Sicherheit, Physische Sicherheit   von Rainer W. Gerling

Haben Sie auch schon einmal Ihren Haustürschlüssel in der Wohnung vergessen? Das ist sehr ärgerlich und der Schlüsseldienst kostet richtig viel Geld. Was haben Sie daraus für Konsequenzen gezogen? Sie achten mehr auf Ihren Schlüssel. Den Gedanken das Schloss auszubauen, damit ein vergessener Schlüssel keinen Stress mehr macht, den haben Sie nicht gehabt; oder zumindest ganz schnell wieder verworfen. Der Schutz Ihrer Wohnung ist Ihnen wichtig. Und auf die Sicherheitsmaßnahme "Schloss" wollen Sie nicht verzichten, auch wenn es manchmal Nerven und Geld kostet.

Wenn Sie allerdings Ihr Passwort vergessen haben oder ein System Sie ausgesperrt hat, weil Sie einmal zu oft ein falsches Passwort eingegeben haben, dann kommt ganz schnell die Forderung nach einer Abschaffung der IT-Sicherheitsmaßnahme, weil sie nervt.

Der Schutz der Daten auf Ihrem privaten oder dienstlichen Rechner hat für Sie offensichtlich einen anderen Stellenwert, als der Schutz Ihrer Wohnung.

IT-Sicherheits-Maßnahmen sollen die Daten und Informationen – unabhängig davon, ob es Ihre eigenen oder fremde Daten sind, die auf den Rechnern gespeichert sind – schützen, genauso wie das Schloss in Ihrer Wohnungstür Ihren Besitz schützt. Während die Notwendigkeit des Schlosses eingesehen wird, fehlt es in der virtuellen Welt noch an der Erkenntnis, dass die virtuellen Schlösser auch notwendig sind. Auch wenn Sie manchmal Stress verursachen und nerven.