luckycloud Adventskalender

Security-Tipp #13

 

Liebe Leserinnen und Leser,

spätestens seit der Snowden-Affäre ist uns bekannt, dass die großen Internet-Giganten, wie Google, Dropbox, Facebook etc. kontinuierlich Kundendaten abgreifen, analysieren und zu werbetreibenden Zwecken weiterverwenden.

Als wenn das nicht schon genug wäre, erhalten Behörden, wie z.B. die NSA, von den Anbietern spezielle Hintertürchen. Allerdings gibt es genügend Fälle, die beweisen, dass die Regierung nicht nur auf den Schutz der Bevölkerung bedacht ist.

Die aktuellen Gespräche in der EU über das Verbot von Ende-zu-Ende-Verschlüsselungen bei Messenger-Diensten machen deutlich, dass Hintertürchen nicht nur für US-Geheimdienste interessant sind.

Wir zeigen Ihnen, wieso es hierbei nicht nur um den Schutz der Privatsphäre geht, sondern auch um die Sicherheit.

Tipp #13:
Sicherheitslücken erkennen

Nahezu jede unserer Internetaktivitäten wird verfolgt, gespeichert und analysiert. Es gibt praktisch von jedem heutzutage einen digitalen Fußabdruck. Bei der Nutzung von Cloud-Diensten werden die Meta-Daten herausgefischt und Nutzerdaten weiterverkauft. Dies ist besonders bei kostenlosen Cloud-Diensten der Fall. Hier wird der Nutzer nicht als Kunde betrachtet, sondern zum reinen Produkt gemacht.

Die Datenschutz Grundverordnung verleiht uns etwas mehr Transparenz, aber solange die Datenschutzbehörden nicht eingreifen oder keine Datenskandale bekannt werden, fehlen uns oft Beweise, um sicherzustellen, dass tatsächlich niemand mittels Backdoors unbefugt auf Daten zugreift.

Unter dem Begriff „Backdoor“ ist eine Art Hintertür zu verstehen, mit der man sich Zugriff auf ein IT-System oder auf Nutzerdaten zu verschaffen kann. Hierfür richten Entwickler spezielle Zugänge ein, um Sicherheitsmechanismen der Anwendung zu umgehen. Nicht immer steckt ein schlechter Hintergedanke dahinter. Solche Zugänge werden häufig zur Behebung von Fehlern genutzt. Gleichzeitig werden damit potenzielle Schwachstellen im System geschaffen, die schnell als Sicherheitslücke von Angreifern ausgenutzt werden. In den meisten Fällen entstehen Backdoors allerdings durch unbeabsichtigte Programmierfehler. Statt diese Fehler zu melden, nutzten die Geheimdienste die Schwachstellen aber viel lieber selber aus und natürlich auch andere Angreifer, die z.B. Ransomware einsetzen oder Industriespionage betreiben.

Nicht umsonst gibt es immer wieder politische Debatten über die Schaffung von Hintertüren für Behörden. Selbst der US-Senator Ron Wyden von der Demokratischen Partei ist der Meinung, dass Backdoors eine Bedrohung der nationalen Sicherheit darstellen, denn es dauert meist nicht lange bis diese ebenfalls von Cyberkriminellen entdeckt werden.

Wie schützen Sie sich vor Sicherheitslücken?

An dieser Stelle wollen wir kurz das Thema Updates aufgreifen. Updates zur Fehlerbehebung sind wichtig und sollten regelmäßig eingespielt werden. Doch in der IT gibt es ein bekanntes Sprichwort: „Never play on Patchday!“

Folgender Grundgedanke steckt dahinter: Wenn ein System aktualisiert und verbessert wird, ist es ein potenzielles Einfallstor für neue Probleme. Wenn ein neues Update herauskommt, dann ist es meistens nicht falsch ein paar Tage abzuwarten. Doch auch hier gibt es keine pauschale Antwort darauf, nach wie vielen Tagen ein Update eingespielt werden sollte. Im Zweifel könnte man auf Bewertungen von Experten, wie vom BSI, zurückgreifen. 

Backdoors erkennen

Bei proprietärer Software besteht immer die Gefahr, dass Anbieter Hintertüren eingebaut haben.

Hier kommt das Thema „Open-Source-Software“ ins Spiel: Bei der sogenannten „Freien-Software“ wird der Programmcode hinter einer Software für jeden offengelegt. Der erste Gedanke bei Vielen ist dann: „Wenn der Code für jeden sichtbar ist, dann ist es doch unsicher.“

Und genau hier entstehen Missverständnisse: Bei proprietären bzw. nicht-offen-gelegten Programmcodes könnten mehr Fehler vorhanden sein als bei Open-Source-Software, da die Fehler unentdeckt bleiben. Mehr Fehler bringen wiederum mehr Sicherheitslücken mit sich. Das hängt auch damit zusammen, wer die Software programmiert hat.

Wenn der Software-Anbieter den Programm-Code offenlegt, dann schafft die Offenlegung mehr Transparenz und führt dazu, dass sich mehr Entwickler aus unterschiedlichen Bereichen mit dem Code auseinandersetzen und nach potenziellen Backdoors suchen.

Was geheim bleiben muss, ist nicht der Code, sondern der Schlüssel. Wo wir wieder beim Thema Ende-zu-Ende-Verschlüsselung wären. Sollten Sie das Thema verpasst haben, können Sie es hier nachlesen.

Wie Sie nach und nach sehen können, ist IT-Security eine Disziplin, bei der die einzelnen Maßnahmen miteinander zusammenhängen und wer weiß: Vielleicht schaffen wir es, Sie bis zum 24.12.2020 für das Thema Datensicherheit zunehmend zu begeistern.

Wir hoffen, Sie genießen noch das restliche Wochenende, um morgen die vorletzte Woche vor Weihnachten mit genügend Energie und Vorfreude zu meistern.

Mit freundlichen Grüßen
luckycloud | Christmas Team

Facebook Twitter LinkedIn Youtube Instagram

luckycloud GmbH
Solmsstraße 26 | 10961 Berlin | Germany
Geschäftsführer: Luc Mader
Sitz der Gesellschaft: Berlin
Registergericht: Amtsgericht Charlottenburg HRB 169276
+49 30 814 570 920 | christmas@luckycloud.de | www.luckycloud.de

Modify your subscription    |    View online