Immer wieder und immer neu - auf dem ausverkauften 4. Bremer IT-Sicherheitstag, dessen Organisation ich für das ifib unterstützte, wurde deutlich: Angreifer nutzen immer wieder alt bekannte Schwächen aus, von unklaren Abläufen bis fehlerhaften Zugriffsberechtigungen. Sie finden jedoch auch immer neue Wege zum Ziel, indem sie Zulieferer angreifen und gezielt E-Mails mit Schadsoftware in bestehende Kommunikationsabläufe einstreuen. Aufgrund der großen Nachfrage wird die Veranstaltung am 26. Februar 2015 erneut angeboten, Interessenten können sich bereits jetzt unter .(Javascript muss aktiviert sein, um diese E-Mail-Adresse zu sehen) registrieren.
Sowohl die Praxisbeispiele als auch die Rückmeldungen der 120 Teilnehmer zeigten, dass das Thema Informationssicherheit im Alltag der Geschäftsführung häufig noch eine untergeordnete Rolle spielt: Wenig Personal, knappe Finanzen und immer wieder aufgeschobene Pläne zur Verbesserung der Sicherheit sind an der Tagesordnung. Vielleicht überzeugen hier die aktuellen Beobachtungen, deren Ergebnisse die Sicherheitsfirma Checkpoint auf dem Bremer IT-Sicherheitstag präsentierte:
Neue wie auch bestehende Lösungen verwenden zunehmend mehr Informationen, um Computer, Smartphones, aber auch Smart Meter, Industrieanlagen und andere Geräte im Netz zu identifizieren. Auch in der Identifikation von Nutzern werden zunehmend mehr Faktoren (z.B. Passwort und Token), Kanäle (z.B. TAN via SMS) oder Kontextinformationen (z.B. Uhrzeit oder Geräteinformationen) verwendet. Auch Systeme zur automatischen Erkennung und Behandlung von sicherheitsrelevanten Ereignissen setzen auf diese Kontextinformationen. Diese Lösungen setzen jedoch eine gute Kenntnis der eigenen EDV voraus, um aussagekräftige und vor allem korrekte Regeln zu erzeugen.
Berichtet wurde nicht nur von neuartigen Angriffen, etwa indem die E-Mailkommunikation belauscht wird, um Phishingmails gezielt als die Antwort zu tarnen, die erwartet wird oder das Platzieren von Schadsoftware auf der Internetseite des von Mitarbeitern bevorzugten Pizza-Lieferdienstes. Sofern Unternehmen ihre IT besser schützen, weichen die Angreifer auf die Zulieferer oder Auftragsdatenverarbeiter aus. Bei Sicherheitstests genügte oft auch der Blick in den Papierkorb neben dem Kopierer, um ganze Fallakten in Form von Fehlkopien zu finden oder ein Klebestreifen an der Tür, um deren Schließen zu verhindern und sich nach Feierabend Zutritt zu verschaffen. Selbst der nicht-gesperrte Arbeitsplatzrechner war noch häufig anzutreffen, obwohl dem in der Regel mit einer einfachen Tastenkombination abzuhelfen ist. Fragt man nach den Ursachen hierfür, stehen Zeitmangel, fehlende Informationen oder unzureichende Regelungen häufig an erster Stelle.
Diese Beispiele zeigen, dass Informationssicherheit heute mehr denn je Teil eines erfolgreichen IT-Managements ist. Sie geht oft über die eigene IT hinaus und ihre gesetzlichen oder vertraglichen Rahmenbedingungen sollten bereits in den IT-Entwicklungsplänen berücksichtigt werden. Die Kontrolle der Auftragnehmer ist nicht minder wichtig und werden personenbezogene Daten verarbeitet, ist sie sogar gesetzlich vorgeschrieben. Informationssicherheit basiert nicht zuletzt aber auch auf einer guten, kommunikativen Unternehmenskultur.
Save the Date:
4. Bremer IT-Sicherheitstag (Neu-Auflage): 26. Februar 2015 (sicherheitstag@heise.de)
5. Bremer IT-Sicherheitstag: 11. November 2015
Weitere Beiträge zum Thema: Geschäftsprozesse • IT-Management Zuordnung: Nachrichten • Veranstaltungen Adressaten: Öffentliche Verwaltung • Schulen und Schulträger • Hochschulen • Vereine und Verbände • Gesundheitseinrichtungen
(0) Kommentare • Permalink
Kurz gefasst:
Der Hersteller von Threema hat bereits viel unternommen, um eine sichere Kommunikation so nutzerfreundlich wie möglich anzubieten. Beim Ausprobieren des Programms sind uns jedoch noch zwei Probleme aufgefallen: Unter ungünstigen Umständen kann ein Angreifer die Identität eines Nutzers übernehmen (geräteunabhängig) und ein Beenden des Threema-Prozesses sowie -Dienstes kann unter Android die sichere Handhabung der Passphrase für den Hauptschlüssel erschweren. Einige Verbesserungsvorschläge hat der Hersteller Kasper Systems bereits übernommen, andere befinden sich noch in der Umsetzung.
ifib hilft, die Sicherheit des Threema-Messengers zu verbessern
Seit Edward Snowden staatliche Abhöraktionen ins Licht der Öffentlichkeit gerückt hat, stehen auch Programme zur sicheren Kommunikation wieder im Fokus. Darunter auch sogenannte Messenger, wie zum Beispiel Threema von der Schweizer Firma Kasper Systems GmbH. Threema ist ein Programm für Mobiltelefone mit iOS oder Android, das den verschlüsselten Nachrichtenaustausch zwischen Endgeräten ermöglicht.
Der Hersteller von Threema hat bereits viel unternommen, um eine sichere Kommunikation so nutzerfreundlich wie möglich anzubieten. Beim Ausprobieren des Programms unter Android sind uns jedoch noch zwei Probleme aufgefallen: Unter ungünstigen Umständen kann ein Angreifer die Identität eines Nutzers übernehmen und ein Programmabsturz kann die sichere Handhabung der Passphrase für den Hauptschlüssel erschweren. Beide Probleme werden weiter unten kurz skizziert.
Die Kasper Systems GmbH nahm direkt nach Eingang der Hinweise Kontakt zum ifib auf. In einem offenen und freundlichen Austausch konnten wir unseren Beitrag zur Verbesserung von Threema vorstellen. Unsere Vorschläge zur Bestätigung eines ID-Wechsels wurden schnell aufgegriffen, erste Änderungen wurden binnen 14 Tagen umgesetzt. Eine so konstruktive und schnelle Reaktion auf sicherheitsrelevante Probleme ist nicht selbstverständlich, unserer Meinung nach jedoch ein zentrales Vertrauensmerkmal in der Herstellung sicherer Systeme. Kasper Systems zeigte hier erfreulicherweise, dass das selbst gewählte Threema-Motto „seriously secure mobile messaging“ in der Tat ernst genommen wird.
Ein beinahe heimlicher ID-Wechsel
Jedem Threema-Nutzer ist eine eindeutige Kennung zugeordnet, die sogenannte Threema-ID oder kurz ID. Diese ID können Nutzer freiwillig um ihre E-Mailadresse und ihre Handynummer ergänzen, um von anderen Threema-Nutzern gefunden zu werden. Geht das alte Gerät samt Threema-Client verloren, kann eine bestehende ID durch eine neue ID ersetzt werden. Hierzu empfiehlt die FAQ-Liste des Herstellers, die neue ID mit derselben E-Mailadresse und Handynummer zu verknüpfen, welche für die alte ID benutzt wurden. Da diese Angaben jeweils nur mit einer ID verknüpft werden, wird die Verknüpfung mit der alten ID automatisch aufgehoben. Somit wird die alte ID bei Chatpartnern nicht mehr angezeigt. Ein Angreifer kann dies ausnutzen, wenn er die E-Mailadresse kennt, die mit dem Kontakt eines Nutzers verknüpft ist. Dabei ist es egal, ob man Threema unter Android oder iOS verwendet, der Fehler liegt im Verfahren selbst.
Dazu erzeugt der Angreifer zunächst eine neue Threema-ID und verknüpft diese mit der E-Mailadresse des Nutzers. Diese Änderung wird jedoch nicht sofort übernommen, denn Kasper Systems sendet grundsätzlich eine Rückfrage per E-Mail an den Nutzer, um sich den Wechsel auf eine neue Threema-ID bestätigen zu lassen. Das bietet bereits ein gewisses Maß an Sicherheit, es sei denn der Nutzer missversteht die E-Mail oder der Angreifer hat selbst Zugriff auf das E-Mailkonto. Dabei genügt bereits ein unachtsamer Klick auf den in der E-Mail enthaltenen Link, um die Änderung der Threema-ID zu bestätigen. Danach tritt die ID des Angreifers endgültig an die Stelle der vermeintlich alten ID des Nutzers und ist mit der E-Mailadresse des Nutzers verknüpft.
Führt ein Bekannter des Nutzers nun eine Synchronisation seiner Kontaktliste durch, stellt der Client für die E-Mailadresse des Nutzers fest, dass eine neue ID vorliegt und ersetzt die vermeintlich alte ID des Nutzers durch die ID des Angreifers. Der Bekannte wird also zukünftig seine verschlüsselten Nachrichten an den Angreifer schicken und nicht an den Nutzer. Der Austausch der ID erfolgt ohne besonderen Hinweis, kann jedoch von sehr aufmerksamen Nutzern trotzdem bemerkt werden. Zum einen werden die IDs unter den Kontaktnamen angezeigt, so dass hier die ID-Änderung auffallen kann. Zum anderen verlieren Kontakte mit der höchsten Vertrauensstufe, angezeigt durch 3 grüne Punkte, mindestens eine Vertrauensstufe, da die neue ID des Angreifers nicht über die Funktion „ID scannen“ ausgetauscht wurde.
Ursprünglich war der Text der Nachfrage so kurz und allgemein gehalten, dass Konsequenzen der Bestätigung nicht sehr deutlich erkennbar waren. Wir schlugen daher vor, sowohl den Text als auch den Ablauf der Bestätigung aussagekräftiger zu gestalten. Der Nutzer erhält weiterhin eine E-Mail mit Überprüfungslink, um die Änderung zu bestätigen, der Link führt nun jedoch zu einer Internetseite von Threema mit einem Bestätigungsdialog. Diesen Dialog gibt es in zwei Varianten: Greift der Nutzer von derselben Internetadresse auf den Überprüfungslink zu, von der aus auch die Änderung angestoßen wurde, wird die neue ID zusammen mit der E-Mailadresse angezeigt, mit der sie verknüpft werden soll. Erfolgt der Zugriff von einer anderen Internetadresse, muss der Nutzer zusätzlich noch die alte ID eingeben. Der Wert dieser Maßnahme liegt dabei nicht in einer vermuteten Geheimhaltung der alten ID, sondern vielmehr darin, dass dem Nutzer die ID-Änderung von alter zu neuer ID deutlich präsentiert wird.
Kasper Systems wird zukünftig eine zusätzliche Threema-Nachricht über die Deaktivierung an eben jene ID schicken, die deaktiviert werden soll. Dies sollte einen Nutzer wirksam alarmieren, der keine Änderung veranlasst hat, und so wesentlich zur Verbesserung der Sicherheit beitragen. Hierfür ist jedoch eine passende Schnittstelle zwischen Internetanwendungen und dem Threema-Chat-Netzwerk erforderlich, die derzeit von Kasper Systems entwickelt wird. Es ist noch nicht entschieden, ob Änderungen von IDs und Vertrauensstufen künftig mit einer Nachricht oder einer gesonderten Auflistung angezeigt werden. Sollten hier zu viele Nachrichten in einem kurzen Zeitraum eintreffen, könnte dies den Nutzer desensibilisieren und so gerade der sicheren Nutzung entgegen wirken.
Das Passwort für den Hauptschlüssel zur Ver- und Entschlüsselung wird in Threema unter Android als Passphrase bezeichnet und unter iOS als Code. Dieses Passwort muss vor der Verwendung des Hauptschlüssel eingegeben werden und bietet somit zusätzlichen Schutz. Diese Funktion ist nach der Installation zunächst deaktiviert. Aktiviert man diese Funktion und setzt ein Passwort, sollte die spätere Deaktivierung nur nach Eingabe dieses Passwortes möglich sein. Man kann das Programm an dieser Stelle jedoch unter Android ins Stolpern bringen, wenn man alle Threema-Prozesse und -Dienste beendet.
Nachdem man den Schalter für den Hauptschlüssel in den Threema-Einstellungen wieder auf „Aus“ gesetzt hat, ignoriert man die Passwortabfrage und verlässt das Programm über den Home-Button. Nun ruft man über die Systemeinstellungen die Prozessübersicht auf und beendet sowohl den zugehörigen Threema-Prozess als auch den Threema-Dienst. Startet man anschließend wieder Threema, ist die Passwortabfrage verschwunden und der zugehörige Schalter steht auf „Aus“.
Aktiviert man diese Einstellung wieder, kann man ein neues Passwort eingeben. Danach ändert sich jedoch der Status des Schalters nicht, er zeigt weiterhin an, das der Hauptschlüssel nicht durch ein Passwort geschützt wird. Beendet man Threema (anstatt es nur zu suspendieren) und ruft es erneut auf, wird ein Passwort abgefragt – gültig ist jedoch nur das zuerst eingegebene, alte Passwort. Das zweite, neu eingegebene Passwort wird nicht akzeptiert, so dass hier kein gravierendes Sicherheitsproblem vorliegt. Dieses Verhalten konnten wir unter Android 4.3 und 4.2.2 herbeiführen, unter iOS 6.1.2 war dieses Verhalten nicht zu beobachten.
Solche Fehler beruhen in den meisten Fällen auf falsch gesetzte Prioritäten in der Abfolge von Programmschritten, so dass uns hier nur eine ausführliche Beschreibung der Schritte zur Reproduktion des Fehlers blieb. Wir hoffen jedoch, dass sie Kasper Systems ebenfalls bei der Fehlerbehebung unterstützen.
Nachtrag vom 14.08.2013: Das Problem der Code-Abfrage war unter iOS 6.1.2 nicht zu beobachten. Die Angaben zu den Android-Versionen wurden nachgetragen.
Letzte redaktionelle Änderungen: 15.08.2013
Weitere Beiträge zum Thema: Informationsfreiheit • IT-Management Zuordnung: Nachrichten Adressaten: Öffentliche Verwaltung • Schulen und Schulträger • Hochschulen • Vereine und Verbände • Gesundheitseinrichtungen
(0) Kommentare • Permalink
Unsere Gruppe von Studierenden im internationalen Master-Studiengang Digital Media an der Universität Bremen hat heute in einer Abschlusspräsentation ihre interaktive Anwendung nebst Evaluationsergebnissen vorgestellt. Das Team wird von Seiten des ifib von Jan Broer, Dorothee C. Meier und mir betreut.
Ziel von PrIMA (Priming Information for Medical Association) war es, das bekannte "Priming"-Konzept für Gesundheitsfragen zu nutzen und damit die Kommunikation zwischen Arzt/Ärztin und Patient/in zu stärken. Dafür wurde eine interaktive Anwendung für einen Multi-Touch Table entwickelt, der in einem Wartezimmer steht. Die Patienten können sich darüber Begriffe in Erinnerung bringen, die sie zur Beschreibung von Schmerzen verwenden können. Durch die Interaktion mit der Anwendung als auch mit anderen Nutzer/innen prägen sich Begriffe leichter ein und können später im direkten Gespräch mit einer Ärztin bzw. einem Arzt leichter verstanden und verwendet werden, was die Diagnosephase erleichtert. Die ersten Evaluationsergebnisse zeigen eine signifikante Verbesserung des Begriffsverständnisses und damit der Ausdrucksfähigkeit. Am Tisch wir weiter entwickelt und es werden auch weitere Anwendungen vorangetrieben.
Zuordnung: Nachrichten • Projekte Adressaten: Gesundheitseinrichtungen
(0) Kommentare • Permalink
© 2008 XHTML . CSS .
Powered by ExpressionEngine