|
Sehr geehrte Leserinnen und Leser,
in den Kurzmitteilungen geht es unter anderem um (un)sichere Systeme für digitale Zeugnisse. Das Thema im Fokus dreht sich um das Melden von Datenlecks. Auf eine Übersicht mit den vielen Projekten, in denen sich die GI engagiert, weisen wir in den GI-Meldungen hin. Für Nostalgie sorgt schließlich unser Fundstück.
Wir wünschen Ihnen viel Spaß mit dieser Ausgabe!
auf gi-radar.de weiterlesen
Digitale Zeugnisse + Cyberangriffe auf NGOs + Handysucht + soziale Netzwerk-Alternativen + Gehalts-Check + Passwort-Check beim Bayerischen Digitalministerium + Risiken Datenleck-Meldungen + GI-Arbeitspapiere + Klaus-Tschira-Medaille + Helmut und Heide Balzert-Preis + GI-Webtalk zur Datenspende + 25 Jahre Computermuseum Stuttgart
KURZMITTEILUNGEN
Offizielle Dokumente sicher verwalten und austauschen: per Blockchain, SSI oder ganz anders? (ZEIT). Derzeit wird mit dem Ausstellen digitaler Abiturzeugnisse experimentiert. Damit dies bei potenziellen Arbeitgebern oder Hochschulen anerkannt wird, muss es natürlich als vertrauenswürdig gelten. Erste Versuche wurden bereits von Sicherheitsforschern begutachtet – und als zu unsicher bewertet. weiterlesen
Cyber-Angriff auf das Rote Kreuz: wie verwundbar sind NGOs? (NZZ). Bereits im Januar wurde bekannt, dass das Internationale Rote Kreuz Opfer einer Cyber-Attacke geworden ist. Nun gibt es weitere Details. Unabhängig vom konkreten Fall stellt sich die Frage, wie gut sich Nicht-Regierungsorganisationen (Non-Governmental Organizations NGO) schützen (können), die mitunter höchst sensible, personenbezogene Daten haben. weiterlesen
Bin ich schon süchtig? Oder ist das „nur“ der normale Spieltrieb oder Zeitvertreib? Wenn das Daddeln am Mobiltelefon überhand nimmt (Spiegel). Bislang wird vor allem über die Internet- oder Spielsucht von Kindern und Jugendlichen gesprochen. Tatsächlich aber sind auch Erwachsene nicht davor gefeit, zu viel Zeit am Handy und in sozialen Netzwerken zu verbringen. Wie man sich mittels Apps selbst zu disziplinieren lernt. weiterlesen
Twittern oder „mastodonen“: Wie sich Behörden im Netz Sichtbarkeit verschaffen (Netzpolitik). Twitter kennt (nahezu) jeder, Mastodon als freie Plattform schien bislang eher etwas für die Eingeweihten zu sein. Nun sind dort aber zunehmend öffentliche Einrichtungen präsent. weiterlesen
IT-Fachleute finden sich beim Gehalt in der Spitzengruppe (Wirtschaftswoche). Laut einer Umfrage rangieren IT-Fachleute hinter Ärztinnen und Ärzten sowie Angestellten im Ingenieurswesen auf dem dritten Platz, was das Durchschnittsgehalt angeht. Gerade die Halbleiter- und die Biotechnologiebranche zahlen besonders gut. weiterlesen
Passwort niemals verraten – nur einem bayerischen Ministerium. Eine süffisante Betrachtung (golem). Mit das Erste, was man gemeinhin über Passwörter lernt ist, dass man sie niemandem anvertrauen soll. Das bayerische Digitalministerium fragt aber explizit nach Ihrem Passwort mit dem Versprechen zu prüfen, ob es sicher ist. Warum das eher suboptimal ist und auch die anderen Empfehlungen des Ministeriums nicht mehr dem aktuellen Stand des Wissens entsprechen, kann man hier nachlesen. weiterlesen
THEMA IM FOKUS
Risiken und Nebenwirkungen (beim Melden) von Datenlecks. Kaum eine Woche vergeht, in der nicht ein neues Datenleck publik wird. Auf Webseiten wie dem Identity Leak Checker des Hasso-Plattner-Institutes (hpi.de) oder “Have I Been Pwned?” (haveibeenpwned.com) kann man durch die Eingabe der E-Mail-Adresse prüfen, ob und wann die eigenen Daten möglicherweise in die Hände Unbefugter gelangt sind. Neben schwerwiegenden Sicherheitslücken in (Web-)Applikationen kommt es immer wieder dazu, dass Administrator:innen Konfigurationen falsch anpassen oder schlicht das 1x1 der IT-Sicherheit nicht einhalten und es so Angreifer:innen erleichtern, an Daten zu gelangen. Oft liegt es in der Hand freiwilliger, ethischer Hacker:innen, diese Datenlecks oder Offenlegungen frühzeitig zu melden, um möglichen Angreifer:innen zurvor zu kommen. In dieser Ausgabe geben wir einen Einblick in diese Arbeit und mögliche Problemstellungen.
Nicht nur Kriminelle streifen auf der Suche nach Datenlecks durch das Internet, sondern auch Sicherheitsforscher:innen. Sie scannen Listen von Domains oder ganze IP-Adressbereiche nach Daten und Anwendungen mit fehlendem Zugangsschutz. Sie schauen nach sogenannten git-Ordnern oder anderen Werkzeugen zur Versionsverwaltung, nach einzelnen Dateien wie Kernelspeicher- oder Datenbankabbildern, nach zip-Archiven mit Backups oder Dateien mit Metainformationen, die versehentlich offen zugänglich auf Webservern abgelegt wurden. Teilweise finden sich auch offen zugängliche Datenbankschnittstellen. Da die gesuchten Daten oft einer bestimmten Struktur folgen, lässt sich das Scannen leicht automatisieren.
Ein bereits ausführlich beschriebenes Problem sind öffentlich abrufbare Inhalte in git-Ordnern. Werden diese gefunden und listet der Webserver Verzeichnisinhalte auf (sog. directory listings), dann kann der Ordner einfach gespiegelt und das Repository lokal ausgecheckt werden. Aber auch ohne directory listings können Repositories heruntergeladen werden. Das liegt daran, dass git im Kern ein einfacher Key-Value-Speicher ist. Alle versionierten Dateien und auch Informationen über Commits und die Struktur der Repositories werden als Objekte gespeichert und über einen Hash identifiziert. Zusätzliche Dateien, die immer an den gleichen Orten zu finden sind, wie .git/HEAD oder .git/index, referenzieren Objekte, die zum Teil weitere Objekte referenzieren. Mit diesen Informationen können nach und nach ganze Repositories heruntergeladen werden. Diese enthalten unter anderem den Quellcode, auch in früheren Commits gelöschte Dateien, manchmal Zugangsdaten oder API-Keys sowie in Einzelfällen auch Backups. (Internetwache.org, lynt.cz, Meli et al.)
Es gibt aber auch Datenlecks, die deutlich weniger technisches Hintergrundwissen erfordern. So gibt es beispielsweise zahlreiche Anleitungen im Web, die beschreiben, wie man Backups von Dateien oder Datenbanken anfertigen kann. Meist beschreiben diese das Vorgehen mit simplen Befehlen, welche Daten beispielsweise als backup.zip (golem.de) in dem Ordner ablegen, in dem der Befehl aufgerufen wurde. Wenig erfahrene Administrator:innen führen diese Befehle einfach aus und belassen Backups damit in öffentlich erreichbaren Verzeichnissen. 2017 waren so beispielsweise über 200.000 Datensätze der deutschen Post über die URL www.umziehen.de/dump.sql zugänglich (zeit.de).
Weitere Probleme ergeben sich durch unsichere Standardkonfigurationen von Applikationen. So sind zum Beispiel viele Fälle dokumentiert, in denen Datenbanken oder Datenbankschnittstellen ohne Authentifizierung zugreifbar waren. So konnte etwa der IT-Sicherheitsforscher Bob Diachenko 2021 106 Millionen Datensätze über Thailand-Reisende einsehen (comparitech.com). Ursache des Datenlecks war ein Elasticsearch-Cluster, das aus dem Internet und ohne nennenswerte Absicherung erreichbar war.
Zu weiteren Dingen, die auf Webservern vergessen oder versehentlich dort platziert werden, gehören unter anderem: Speicherabbilder (hboeck.de), sog. DS_Store (internetwache.org), temporäre Dateien (int21.de), private Schlüssel (golem.de) oder Dateien mit Umgebungsvariablen (zdnet.com).
Welche konkreten Folgen solche Schwachstellen haben können, hat der Chaos Computer Club (CCC) – unter Beteiligung des Mitautors dieses Artikels, Matthias Marx – in der vergangenen Woche beleuchtet. Der Club hat 50 Datenlecks gefunden und verantwortungsvoll gemeldet (ccc.de). Die Sicherheitsforscher des CCC hatten Zugriff auf mehr als 6,4 Millionen persönliche Datensätze von Kund:innen, Fluggästen, Bewerber:innen, Patient:innen, Versicherten und Nutzer:innen sozialer Netzwerke. Zudem konnten sie in vielen Fällen auf Quellcodes und Logdateien zugreifen.
Wenn Datenlecks rechtzeitig entdeckt, gemeldet und geschlossen werden, wird verhindert, dass Daten in (noch weitere) unbefugte Hände gelangen. Dennoch sind die Verantwortlichen, denen Datenlecks zur Behebung gemeldet werden, nicht immer angetan. Immer wieder wird Strafanzeige gegen Meldende erstattet (taz.de, golem.de). Solche Anzeigen bedeuten ein unkalkulierbares Risiko für Sicherheitsforscher:innen (ccc.de). Sie sind auf den guten Willen der Verantwortlichen angewiesen oder müssen hoffen, dass die Verfahren eingestellt werden (arstechnica.com, spiegel.de).
So werden gefundene Datenlecks unter Umständen gar nicht erst gemeldet, wodurch letztlich das IT-Sicherheitsniveau in Deutschland sinkt. Die Ampelkoalition möchte sich dieses Problems annehmen und verspricht im Koalitionsvertrag: „Das Identifizieren, Melden und Schließen von Sicherheitslücken in einem verantwortungsvollen Verfahren, z.B. in der IT-Sicherheitsforschung, soll legal durchführbar sein.“ (bundesregierung.de). Die Autoren erwarten daher, dass Deutschland bald ein sichereres Umfeld für Sicherheitsforscher:innen wird. Eine Forderung, die von der GI schon zur Einführung des Hackerparagrafen im Jahr 2007 so formuliert wurde (gi.de).
Dieses Thema im Fokus haben die GI Junior-Fellows Tim Philipp Schäfers und Matthias Marx geschrieben, die selbst schon einige Datenlecks verantwortungsvoll gemeldet haben. Welche Daten haben Sie schon einmal verloren? Wer hat Ihre Daten schon einmal verloren? Wir freuen uns über Ihre Einsendungen.
GI-MELDUNGEN
GI-Projektergebnisse im Überblick. Die GI initiiert mittlerweile sehr viele Projekte mit Ministerien und anderen Institutionen. Deren Arbeitsergebnisse haben wir nun auf einer Seite zusammengefasst. Schauen Sie rein und machen sich ein Bild, wo die GI überall aktiv ist. Wahrscheinlich werden Sie sich wundern. weiterlesen
Klaus-Tschira-Medaille für besondere Verdienste um die Informatik in den Anwendungen ausgeschrieben. Bereits zum dritten Mal suchen die GI und die Klaus-Tschira-Stiftung nach herausragenden Persönlichkeiten, die die Informatik in den Anwendungen weitergebracht haben. Bis zum 31. Mai nehmen wir Nominierungen entgegen. weiterlesen
Premiere für den Helmut- und Heide Balzert-Preis für digitale Didaktik. Der vom Ehepaar Balzert gestiftete Preis zeichnet innovative Didaktikkonzepte aus und ist mit 10.000 Euro dotiert. Eingereicht werden können sowohl Konzepte aus der Hochschul- als auch aus der Erwachsenenbildung. Die Jury freut sich auf spannende Arbeiten. weiterlesen
Persönliche Daten: schützen oder spenden? Ein Webtalk der GI. Bei der eingangs gestellten Frage werden die Meisten sich wahrscheinlich reflexhaft für den Schutz der eigenen Daten entscheiden. Dennoch ist die Datenspende in manchen Kontexten sinnvoll und gut. Wie man zu verantwortungsvollen Entscheidungen für sich (und die Gesellschaft) kommt, thematisiert ein GI-Webtalk am 2. März. weiterlesen
Kennen Sie eigentlich den GI-Pressespiegel? Dort sammeln wir die Berichterstattung über unsere Fachgesellschaft in Zeitungs-, Radio- und Fernsehbeiträgen. Derzeit äußert sich Simone Opel, Sprecherin unseres Beirats IT-Weiterbildung, unter anderem in der FAZ zu Karrierewegen in der IT und den Voraussetzungen für ein Informatik-Studium. Schauen Sie rein, es gibt da immer wieder Neues.
FUNDSTÜCK
Zweimal dreimal kurbeln zum Multiplizieren, danach einmal den Nippel durch die Lasche – ach nein, das war etwas Anderes … 25 Jahre Computermuseum in Stuttgart. In diesen Tagen feiert das Computermuseum in Stuttgart seinen 25. Geburtstag. Seit einem Vierteljahrhundert sammeln hier Interessierte komplette Artefakte, Einzelteile und Skurrilitäten. Minirechner in mit rotem Samt ausgeschlagenen Köfferchen, spezielle Additoren für die Arbeitszeit oder eine Maschine namens Addifix, mit der man im Supermarkt seine Einkäufe zusammenrechnen kann. In einem Video präsentiert der Begründer des Museums liebevoll seine Schätze. Zum Fundstück (uni-stuttgart.de)
Welches Fundstück hat Sie zuletzt inspiriert? Senden Sie uns Ihre Ideen!
Dies war Ausgabe 305 des GI-Radars. Zusammengestellt wurde diese Ausgabe von Dominik Herrmann – natürlich nur auf Systemen, die mit starken Passwörtern gesichert sind. GI-Geschäftsführerin Cornelia Winter hat die Mitteilungen und Meldungen zusammengetragen. Das nächste GI-Radar erscheint am 11. März 2022.
Im GI-Radar berichten wir alle zwei Wochen über ausgewählte Informatik-Themen. Wir sind sehr an Ihrer Meinung interessiert. Für Anregungen und Kritik haben wir ein offenes Ohr, entweder per E-Mail (redaktion@gi-radar.de) oder über das Feedback-Formular bei SurveyMonkey. Links und Texte können Sie uns auch über Twitter (@informatikradar) zukommen lassen.
|
