Desaströse Sicherheitsinfos zum Wochenstart

SicherheitSo langsam haben wir alle die ‘Weihnachtspause’ überwunden – aber die Sicherheitsprobleme werden (auch nach dem Ende des XBox Live-Angriffs) nicht weniger. Zudem fand die Jahresversammlung des Chaos Computer Clubs statt. Heute ein kurzer Überblick über die Nachrichtenlage im Hinblick auf aktuelle Sicherheitsthemen. Mit dabei: mTAN/SMS-TAN ist unsicher, Verschlüsselung wird von der NSA (und anderen ‘Dritten’) geknackt – und die Kredit- und Bankdaten mit Chip sind ebenfalls total unsicher.


Anzeige

Verschlüsselung durch NSA & Co knackbar

Es geht zwar der Spruch “wer nichts zu verbergen hat, braucht auch keine Verschlüsselung”, und so kratzt den Großteil der Anwender die Meldungen über die NSA-Angriffe auf Internet und Telekommunikationsinfrastruktur nicht. Ist natürlich eine Lieschen Müller-Haltung, die eindeutig zu kurz gesprungen ist. Eigentlich sind wir alle auf sichere Verschlüsselungsverfahren angewiesen. Wenn ich in Firmen Mails abrufe, hoffe ich auf eine sichere Verschlüsselung, die nicht vom Wettbewerb einfach mal mitgelesen wird. Greife ich auf mein Online-Bankkonto zu und wickele ich Transaktionen ab, muss ich mich verlassen, dass diese nicht durch Dritte entschlüsselt, ausgewertet und missbraucht werden können. Firmen setzt auf “die Cloud” und die Industrie haut mit der Worthülse “Industrie 4.0” um sich. Ohne sichere Verschlüsselung wird das im Hinblick auf Datensicherheit zum Desaster. Leider muss davon ausgegangen werden, dass zwischenzeitlich viele Verschlüsselungsmethoden und –Ansätze wie VPN, https etc. durch die NSA, andere Geheimdienste und damit wohl auch durch unbefugte Dritte geknackt werden können. Spiegel Online hat aus den Snowden-Dokumenten einen sehr langen, aber sehr lesenswerten Artikel zum Thema erstellt, der hier abrufbar ist. Auch bei heise.de findet sich ein Artikel zum Thema. Des weiteren verweise ich mal auf den aktuellen heise Security-Artikel, der Chyber-Angriffe mit umfunktionierter Sicherheitssoftware (die für Penetrationstests verwendet wird) thematisiert. Auf dem CCC-Kongress wurde die NSA als “kriminelle Vereinigung” eingestuft – keine Ahnung, zu welchem Schluss ihr nach einiger Überlegung kommt.

Onlinebanking-Fallen: Apps, mTAN und SMS-TAN unsicher

Die Banken wollen die Kunden für Online-Banking gewinnen und bieten allerlei Apps für diesen Zweck an. Um Transaktionen sicherer zu machen, gehen viele Banken von dem papierbehafteten TAN- und iTAN-Verfahren weg und bieten sogenannte mTANs oder SMS-TANs auf Mobilfunkgeräte zur Authentifizierung an. Bei der Recherche habe ich diesen macwelt.de-Artikel aus 2013 gefunden, der Bankgeschäfte ohne Risiko anpreist.

Bereits 2013 gab es diesen Zeit Online-Artikel, der darauf hinweist, dass das mTAN-Verfahren wohl unsicher sei. Hier war es so, dass die Betrüger sich Kundendaten besorgten und eine zweite (Ersatz-)SIM-Karte zuschicken ließen, die dann für die mTAN-Authentifizierung verwendet werden konnte. Das mTAN-Verfahren wurde daher von Experten seit einiger Zeit als unsicher eingestuft.

Auf dem jetzt stattgefundenen CCC-Jahrestreffen wurde auch die von mir im Artikel UMTS-Sicherheitslücke aufgedeckt vor Weihnachten bereits thematisierte SS7-Schwachstelle im UMTS-Netz erneut aufgegriffen. Wie heise.de hier berichtet, wurde gezeigt, wie sich im UMTS-Netz Gespräche und SMS umleiten, abhören und entschlüsseln. Damit ist auch klar, dass eine Authentifizierung per SMS unbrauchbar ist. Neben der Zwei-Faktor-Authentifizierung per Mobilfunkgerät für die gängigen Online-Konten wurde damit auch die Transaktionsabsicherung durch SMS-TANs (mTANs) endgültig beerdigt. Das stellt Golem.de hier fest und hier wird es auch thematisiert.

Nächste Hiobsbotschaft (obwohl zu erwarten): Die allseits beliebten Banking-Apps für Android, iOS & Co. sind sicherheitstechnisch wackelig wie der Milchzahn eines siebenjährigen. Auf dem CCC-Jahrestreffen wurde das Thema Mobile Banking in einer Session behandelt. Hier gibt es ein Vortragsdokument, welches die Sicherheit von Banking-Apps thematisiert. Ergebnis: Mit der Privatsphäre und Datensicherheit ist es bei Banking-Apps nicht weit her. Wird in diesem Artikel unter dem Abschnitt Banking-Apps erfassen zu viele Daten abgehandelt. Und ich erinnere an meinen Beitrag hier, wo ich angebe, dass 5,8 % der Android-Apps wegen Apache Cordova-Lücke angreifbar sind/waren.

Karten mit Chip unsicher

Noch eine Hiobsbotschaft gefällig? Auf dem CCC-Jahrestreffen haben sich Spezialisten mit Kredit- und Bankkarten befasst, die mit einem Chip versehen sind. Diese Chips wurden im Rahmen des EMV-Standard als Manipulationsschutz eingeführt und sollten den “unsicheren” Magnetstreifen ersetzen. In diesem Artikel berichtet heise.de über einen Vortrag der italienischen Sicherheitsfirma Inverse Path. Deren Spezialisten ist es gelungen, die PIN-Absicherungsmechanismen für Bezahlvorgänge bei Chip-Karten komplett auszuhebeln. Grund: Bereits das Protokolldesign weist schwere Fehler in Form unverschlüsselter Kommunikation auf. Konkret läuft es darauf hinaus, dass mit relativ einfachen Mitteln Systemen ohne gültige Chip-Karte eine gültige PIN vorgegaukelt werden kann.

Zitat: Als großes Problem machte Barisani den Ansatz von Banken aus, die Schuld den Betreibern der EMV-Infrastrukturen sowie den Kunden selbst in die Schuhe zu schieben und so die Haftung von sich abzuwälzen. Vielfach behaupteten die Kreditinstitute, dass der Nutzer nicht sorgfältig genug mit der PIN umgegangen sei und die Sicherheitsfunktionen hinreichend seien.

Kurz: Als Kunde ist man immer der Dumme und muss für die Schludrigkeit der Banken und ihrer Auftragsfertiger auch noch haften. Tja, und da soll eine vergleichsweise “unintelligente” Chip-Karte gegen Bezahlmodelle wie Google Wallet oder Apple Pay ausgetauscht werden.

Trojaner bei Merkel, Fingerabdrucksensor und Datenschutz und mehr


Werbung

Ich glaub, mich verlässt gerade die Lust – Du kannst eigentlich nur noch den Stecker ziehen, einen Haufen Goldmünzen als Zahlungsmittel im Garten vergraben und Kommunikation nur mental im Gehirn stattfinden lassen, um halbwegs sicher gegen Ausspähen zu sein. Aber zum Abschluss habe ich noch ein paar Links mit weiteren Infosplittern.

Und noch was zum Abschluss: Microsoft propagiert für Windows ja Secure Boot und Trusted Computing, um Schädlinge abzuhalten und eine sichere Nutzung zu gewährleisten. Das Thema ist ja schon seit Jahren umstritten. Auf die BSI-Warnung vor Windows 8, die dann zurückgezogen wurde, hatte ich im Artikel BSI warnt doch nicht vor Windows 8 bereits hingewiesen. Es wurde seinerzeit auf Szenarien hingewiesen, die Systeme unbenutzbar machen könnten. Jetzt gibt es eine eindeutige Warnung vor Secure Boot und Trusted Computing, wie heise.de schreibt. Hintergrund: Auf Grund der Microsoft Patch-Debakel der letzten Monate, speziell des ungültigen Root-Zertifikats stellen Sicherheitsspezialisten wohl berechtigt die Frage, ob man einer solchen Firma die Sicherheits-Infrastruktur anvertrauen kann? Ich würde es sogar ausweiten: Es gibt viele kleine Microsofts, überall, die solche Desaster hinterlassen. Die ganzen Wolkenblasen a la Internet of Things, Cloud, always online etc. sind sicherheitstechnisch der absolute GAU. Die obigen Infos spiegeln es ja eindrücklich wider. Zeit, innezuhalten und das Ganze kräftig zu überdenken – so wie es momentan läuft, kann es ein “weiter so” nicht mehr geben. Die ganze Situation kommt mir so wie eine ungebremste Schussfahrt in Richtung steile Klippe vor. Und als Gegenmaßnahme kommt die Empfehlung, es mit “mehr Gas geben” zu versuchen. Oder wie seht ihr das?


Anzeige
Dieser Beitrag wurde unter Allgemein, Internet, Sicherheit abgelegt und mit , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

1 Response to Desaströse Sicherheitsinfos zum Wochenstart

  1. Pingback: Online-Banking: mTAN und Banking-Apps unsicher | Günnis Seniorentreff 50+

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.