Ein hundertprozent sicheres Betriebssystem gibt es nicht. Jede Software enthält Fehler und Lücken. Das ist keine Entschuldigung, muss aber wohl auch mal deutlich gesagt werden. Denn jetzt wurde in Googles Handy-Betriebssystem Android eine Sicherheitslücke entdeckt. Wer sich mit einem Android-Handy in ein offenes WLAN begibt und dort Daten wie Termine, Kontakte oder Foto zum Onlinedienst Google überträgt, läuft Gefahr, dass die Daten abgegriffen werden.
Das haben deutsche Forscher in Zusammenarbeit mit amerikanischen IT-Experten herausgefunden. Bedenklich ist, dass sich die Android-Geräte und die Onlinedienste von Google bislang unverschlüsselt unterhalten haben. Das hat Google mitlerweile korrigiert, zumindest bei Terminen und Kontakten. Beim Fotodienst Picasa dauert es offensichtlich etwas länger, bis man die Lücke stopfen kann. Aber immerhin: Die Lücke ist beseitigt. Der Datenaustausch mit den Google-Server erfolgt jetzt über eine verschlüsselte Verbindung.
Allerdings haben nur wenige Benutzer etwas davon, denn die Handyhersteller müssen Updates für ihre Geräte anbieten – das kann Google nicht selbst, das erledigen die Hersteller. Manche Geräte lassen sich überhaupt nicht aktualisieren, und das ist problematisch, da sich Sicherheitslecks dann auch nicht stopfen lassen. Hier kann Apple punkten, denn Apple kann jederzeit Updates für iPhone und iPad anbieten, der Benutzer muss sie dann nur laden.
Das Problem ist aber sowieso ein ganz anderes: Offene WLANs sind grundsätzlich unsicher, unabhängig davon, welches Betriebssystem man verwendet. Die Daten werden unverschlüsselt übertragen. Jeder kann sich mit wenig technischem Aufwand dazwischen hängen und den Datenverkehr abhören oder mitschneiden, ein Leichtes, da auch Zugangsdaten aufzugreifen und später zu missbrauchen.
Das ist den meisten Usern gar nicht klar, die offene WLANs verwenden. Deshalb sollte man offene WLANs nur mit Vorsicht genießen, so bequem es ist, unterwegs mal eben kostenlos online zu gehen.
Die bekannt gewordene Sicherheitslücke betrifft also keienswegs nur Android-Smartphones, sondern alle Geräte, die in einem offenen WLAN unverschlüsselt Daten übertragen. Auch jeder Notebook ist potenziell betroffeng. Die Anbieter von Online-Diensten, auch Facebook und Twitter, müssen darauf bestehen und dafür sorgen, dass Anmeldungen grundsätzlich nur noch verschlüsselt erfolgen.
Das ist ganz schön peinlich für Facebook-Gründer Mark Zuckerberg: Ein Hacker hatte diese Woche ein Sicherheitsleck im populären sozialen Netzwerk ausgenutzt und auf der Zuckerberg-Fanseite einen Beitrag im Namen des Facebook-Gründers hinterlassen.
Dass so etwas geht, erschreckt viele – völlig zu Recht. Offensichtlich hat Zuckerberg getobt. Denn schon wenige Stunden später war das Sicherheitsleck geschlossen. Dieser Vorfall wiederholt sich also nicht. Das ist auch gut so, denn die Sicherheitslücke wurde auch von der tunesischen Regierung ausgenutzt, um Dissidenten ausfindig zu machen.
Das Leck ist also nun geschlossen. Ab sofort kann man Facebook auch mit einer gesicherten Verbindung verwenden, also mit https anstatt http. Man muss nur drauf achten und das ggf. selbst einrichten, denn von alleine unterstützt Facebook diese deutlich sicherere Variante der Datenverbindung leider immer noch nicht.
Ein Minischritt in die richtige Richtung also, ein großer Wurf leider nicht.
Seit Anfang des Monats bekommen wir nur noch den neuen Personalausweis ausgehändigt. So groß wie eine Scheckkarte – und mit eingebautem Funk-Chip. Ultramodern also, so modern, dass man sich damit sogar im Internet rechtsverbindlich ausweisen kann.
Was durchaus eine praktische Sache ist, wenn es denn funktioniert und auch sicher ist. Doch daran gibt es immer wieder Zweifel. So musste das Bundesamt für Sicherheit in der Informationstechnik BSI jetzt eine Sicherheitslücke in seiner Software einräumen.
In einer Software, die Bürger dazu benutzen, um sich am PC sitzend im Internet auszuweisen, etwa um Onlinegeschäfte zu tätigen. Mit einem relativ simplen Trick lässt sich die Software austricksen. Hacker können die Identität des Benutzers stehlen oder auch manipulieren. Ein Albtraum für Datenschützer.
Und vor allem eine peinliche Schlappe für alle Beteiligten, vor allem für die Behörden – denn die hatten ja nun wirklich genug Zeit, alles sorgfältig vorzubereiten und zu testen.
Sorgenfalten auf der Stirn sind für Datenschützer nichts Ungewöhnliches – doch diesmal haben sie wirklich allen Grund dazu. IT-Experten vom Isec Forschungslabor haben ein Sicherheitsproblem entdeckt, das wirklich bedenklich ist. In einem 15-seitigen Aufsatz (PDF) beschreiben die Experten ausführlich und verständlich, wie sich mit vergleichsweise geringem Aufwand (und das macht es so erschreckend) jeder Benutzer von Social Networks im Web „entanonymisieren“ lässt.
Entanonymisieren – klingt nicht gut, und ist auch nicht gut. In der Praxis bedeutet das nämlich, dass jede Webseite, die entsprechend präpariert wurde und die in der Studie erwähnten Tricks anwendet, die Identität jedes Datensurfers ermitteln kann, der vorbeikommt. Da könnte man auch mit dem Personalausweis vor der Webcam rumwedeln… Der Trick erlaubt, ganz konkret herauszufinden, dass Person xyz mit dem Profil auf Xing, Facebook oder Co. vorbei schaut.
Potenziell betroffen und damit gefährdet sind alle, die sich in sozialen Netzwerken tummeln und dort sozialen Gruppen angeschlossen haben. Es gibt Tausende solcher Gruppen, zu jedem nur denkbaren Thema. Hier treffen sich Leute, um sich auszutauschen oder zu informieren.
Durch das Surfverhalten in den sozialen Netzwerken und den Besuch von Gruppen entsteht eine Art Fingerabdruck. Dieser Fingerabdruck ist normalerweise unsichtbar, kann aber durch einen Trick sichtbar gemacht und dann analysiert werden – bis zur Enttarnung, bis zur Feststellung der konkreten Identität ist es dann nur noch ein erstaunlich kleiner Schritt.
Das klingt komplizierter, als es ist – leider. Es braucht nur relativ simple Programme, um den Fingerabdruck zu lesen und auszuwerten. Möglich wird das alles deswegen, weil zum einen die sozialen Netzwerke verraten, wer in einer Gruppe Mitglied ist – und zum anderen alle Browser einer Webseite auf Nachfrage mitteilen, welche Webseiten in der Vergangenheit angesteuert wurden. Wer diese Erkenntnisse geschickt miteinander kombiniert, hat schnell herausgefunden, wer auf einer Webseite vorbeisurft.
Die Folge: Im günstigsten Fall erscheint perfekt auf einen zugeschnittene Werbung. Im ungünstigsten Fall jubeln einen Betrüger konkrete Software unter, um einen weiter auszuspionieren, auch Phishing-Angriffe lassen sich auf diese Weise perfektionieren. Man kann sich leicht ausmalen, wie die zumeist kreativen Online-Betrüger die neuen Erkenntnisse für sich zu nutzen wissen.
Es wird jetzt zu diskutieren sein, wie konkret die Bedrohung ist, wie sich die Sicherheitslücke schließen lässt (in den sozialen Netzwerken, aber auch in den Browsern) und wie man sich als Internetbenutzer am besten verhält.
Folgender Trick würde das Problem auf jeden Fall reduzieren: Für soziale Netzwerke wie Xing, Facebook, SchuelerVZ und Co. verwendet man einen anderen Browser als für den Rest. Auf diese Weise ist sichergestellt, dass kein Fingerabdruck weitergegeben werden kann. Wer keine sozialen Netzwerke nutzt und hier auch keine Gruppen ansteuert, muss sich derzeit ebenfalls keine Sorgen machen.
Hacker, Cracker und Datendiebe haben ein waches Auge. Sie suchen sich immer die Sicherheitslücken aus, die am meisten Ausbeute versprechen. Deshalb verwenden sie am liebsten Lecks in Betriebssystemen – oder in Programme, die möglichst viele Menschen verwenden.
Jahrelang waren Windows und Internet Explorer die meist-gehackten Programme.
Vorbei. Im vergangenen Jahr wurde der Adobe Reader besonders oft gehackt. Eine Anwendung, die fast jeder PC-Benutzer auf seinem Computer hat, um PDFs anschauen und ausdrucken zu können. Das Programm ist gratis, PDFs sind heute wichtig – deswegen benutzt es fast jeder.
Wie das amerikanische Wirtschaftsmagazon <a href=“https://www.forbes.com/2009/12/10/adobe-hackers-microsoft-technology-cio-network-software.html“>Forbes jetzt berichtet</a>, haben auf IT-Sicherheits spezialisierte Experten im vergangenen Jahr Sage und Schreibe 45 sicherheitsrelevante Fehler im Adobe Reader entdeckt – die von Hackern ausgenutzt wurden oder hätten ausgenutzt werden können. Das sind 31 Lücken mehr als im Jahr zuvor.
Bedenklich.
Hacker scheinen sich nun verstärkt auf Sicherheitslecks in Anwendungen zu stürzen. Denn diese Sicherheislecks werden in der Regel nicht so schnell gestopft: Während mittlerweile viele Anwender verstanden haben, dass sie ihr Betriebssystem regelmäßig auf den neuesten Stand bringen müssen (oder es gleich automatisch vom Betriebssystem selbst erledigen lassen), sind sie bei den Anwendungen nachlässig und kümmern sich nie oder selten um Updates.
Da kommen womöglich unbequeme Zeiten auf die Anbieter von Anwendungs-Software zu: Sie müssen künftig schneller auf entdeckte Fehler und Lecks reagieren – und die Anwender auch, sie müssen dafür sorgen, dass gestopfte Sicherheitslecks auch auf ihren Rechnern gestopft werden. Indem sie Updates einspielen!
