Seine Meinung vertreten

von

Es gibt viele Möglichkeiten den eigenen Standpunkt, seine Meinung zu vertreten. Leider erscheint es einfacher GEGEN etwas zu sein, als FÜR etwas einzutreten. Wir sind GEGEN Atomkraft, GEGEN Umweltverschmutzung, GEGEN Nazis.Das alles ist immer so negativ, mit wenig Hoffnung und voller Kontra. Gegen etwas zu sein hat keine Perspektive, denn es löst sich von selbst auf.

Wäre es nicht mindestens genau so schön, FÜR Solar, FÜR Filtersysteme, FÜR Menschlichkeit zu sein? Ich jedenfalls bin FÜR zuhören, FÜR’s lernen und FÜR Menschlichkeit!

Related Images:

IT Risiko der Piraten

von

Risiko ist das, was unser Leben -oft unbewußt- bestimmt. Wenn IT Security “Experten” von Security sprechen, so assoziieren wir unter anderem die Sicherheitsleute, die Zollkontrollen und all das, was wir als Einschränkung unserer Freiheit wahrnehmen – nicht zu letzt die ewigen Passwortprobleme. Der Begriff Security ist folgerichtig negativ belegt. Deshalb habe ich mir angewöhnt statt von Security lieber von Risiken zu sprechen – denn mit dem Begriff verbinden wir wertneutraler eine allgemeine Thematik.

Hinweis vorweg: Ich nehme keinesfalls in Anspruch, den nachfolgenden Text als vollständig und fehlerfrei verkaufen zu wollen. Es ist ein Kompromiss zwischen meinem Interesse das Verständnis in diesem Bereich zu fördern einerseits und der dafür ohne Auftrag aufgewandten Zeit andererseits. Es ist (m)eine Sicht der Dinge und bestimmt nicht die einzig mögliche Sichtweise.

In Abschnitten:

  1. Die Angreifer
  2. Der Angriff
  3. Die Abwehrmaßnahmen
  4. Der Schaden
  5. Die Wahrscheinlichkeit
  6. Das Risiko
  7. Abschließend

Die Angreifer

Grundsätzlich ist jede konkurrierende Interessensgruppe potentieller Nutznießer einer Schadenssituation bei den Piraten. Das heißt folgerichtig, dass eine Vielzahl an Organisationen und Menschen mit den entsprechenden Möglichkeiten Angriffe auf die Piraten durchführen könnten.

Glücklicherweise ist der Großteil dieser Gruppen sehr wohl in der Lage diese Angriffe auf nicht-technischer Ebene, zum Beispiel durch gute Mediennutzung auszuführen. Hierbei muss dann auch seltener die Schwelle zur Illegalität überschritten werden und der Schaden in der Reputation kann sogar längerfristig wirken.

Neben der oben genannten Gruppe von kontroversen Interessensvertretern, gibt es weitere Gefahrengruppen. Zum Beispiel könnten extremistisch-ideologische Einzeltäter sich durch den Erfolg der Partei genötigt sehen, Ihr einen Dämpfer zu verpassen. Auch könnten ambitionierte Datenreisende („Script-Kiddies“) einfach Freude am Versuch haben.

Von ernstzunehmenden Angriffen, die kein kompromittierendes Ziel verfolgen, sondern die Sicherheit von Systemen erproben und verbessern (ethical hacking), könnte ebenfalls eine Gefahr ausgehen, die ich aber persönlich eher als gering einstufen würde.

Der Angriff

Das Dienste durch das Ausnutzen legaler Technologie zu einem Ausfall gebracht werden können ist nicht neu. Ein solcher Angriff ist zwar ärgerlich, aber wenn die Verfügbarkeit der Systeme unproblematisch ist, ist er auch nicht nachhaltig schädlich. Der Ausfall von Diensten zu bestimmten Zeiten (z.B. heiße Wahlkampfphase, großes Live-Event etc.) kann aber sehr wohl zu Schädigungen in der Außenwahrnehmung führen.

Nun aber gesetzt dem Fall, wir haben es mit einem Angreifer oder einer Angreifergruppe zu tun, deren Ziel nicht ein Ausfall der Systeme (deny of service), sondern ein gezieltes Kompromittieren ist. Hierbei kommt es dann gewöhnlich zu einem überlegten Einsatz von vielen Techniken und Methoden. Techniken des Social Engineering (z.B. Spearfishing) genauso wie Netzwerkangriffe (wiretapping, DNS re-route, crafted network packages, etc.) und zero-day Vulnerabilities kommen zum Einsatz. Und, nicht zu vergessen, der Angreifer verfolgt im der ersten Angriffswelle ein Ziel und hat viel Zeit dieses zu erreichen. Er braucht Zugang zu dem System.

Das Vorgehen sähe dabei in etwa so aus:

  1. Informationen über die eingesetzten Systeme sammeln (locations, IP, OS, Apps, extensions, routing etc.)
  2. Informationen über die Menschen dahinter sammeln (Aufgaben, Background, Sicherheitsempfinden, Aufmerksamkeit, Vorlieben, Interessen etc)
  3. Das anzugreifende System wählen (Geringe Wartung, bekannte Vulnerabilities, hoher vermuteter Informationsgehalt, unzureichende Schutzmechanismen)
  4. Angriff ausführen
  5. Hintertür einbauen und Spuren verwischen
  6. Systemdaten kopieren und offline analysieren (logs, Webroots, registry, /etc dir,  pam, history, snmp strings, temp folders etc.)
  7. gefundene Accountdaten und Informationen bei anderen System über den offiziellen Zugriff probieren
  8. Schaden anrichten

Die Abwehrmaßnahmen

Die wichtigste Abwehrmaßnahme ist nicht in der Technologie, sondern im Menschen zu finden. Ein hohes Sicherheitsbewußtsein aller Beteiligten ist DIE Grundvoraussetzung für erfolgsversprechende ernsthafte Gegenmaßnahmen. Hierbei aber muss die Technik helfen. Denn vor jeder Gegenmaßnahme steht das Erkennen eines Angriffs.

Deny of Service Angriffe
Gegenmaßnahmen für eine Teilgruppe der DOS (Deny of service)-Angriffe lassen sich einfach umsetzen (Patching, Kapazitätsplanung). Gegenmaßnahmen für den Bereich der netzwerkbasierten DOS Angriffe sind aber teilweise technologiebedingt nur durch erheblichen Mehraufwand erfolgsversprechend umsetzbar.

Probing Angriffe
Bezeichne ich als halbherzige Angriffsversuche mit Hilfe von vorgefertigten Tools durch mehr oder weniger begabte ambitionierte Datenreisende. Schutz bietet in den meisten Fällen schon das Einhalten von Grundsätzen der IT Sicherheit.

Ernsthafte Angriffe
Zunächst steht zu befürchten, dass ernsthafte Angriffe über einen längeren Zeitraum unentdeckt bleiben – können. SIEM Systeme sind hier ein wichtiges Mittel, um zeitnahe Reaktionen zu ermöglichen.

Ebenso ist zu befürchten, dass IT durch Dritte auf den Angriff hingewiesen wird. Ein Szenario, welches leider häufiger beobachtet werden kann. Die Folgen in so einem Falle sind ins Besondere in Bezug auf die Außenwirkung zu bedenken.

Die Abwehr- und Schutzmaßnahmen, die ergriffen werden, müssen sauberen Prozessen folgen. Sie sind nicht nur technischer Natur (Border defense, Firewalls, DMZ, Intrusion Prevention, Content Filtering, Access Control, Patching, Hardening, Encryption etc) sondern im gleichen Maße auch organsatorischer Natur (dicsretionary vs. madatory access control, double proof, need-to-know, least-privilege, job-rotation, accreditation, etc.).

Grundsätzlich spielt sich die Abwehr von Angriffen auf mehreren Ebenen ab. Ähnlich wie eine Zwiebel mit Ihren Schichten, folgt das defense-in-depth Konzept dem Ziel, das Eindringen durch viele Schutzschichten zu erschweren.

Der Schaden

Die technische Infrastruktur der Piraten ist robust. Sie ist von Profis vernetzt und dezentral. Ein kurzfristiger Ausfall der Systeme führt wahrscheinlich nicht zu direkten finanziellen Einbußen, da kein Verkaufsgeschäft betrieben wird.

Für eine politische Organisation ist aber das Schadenspotential besonders im Bereich der Reputation zu suchen. Als Piratenpartei behaupten wir unter anderem Kernkompetenzen im Bereich Datenschutz, Transparenz und dem Internet allgemein. Ein Schaden, der also in diesen Bereichen entsteht wirft zwangsläufig die Frage nach der eigenen Kompetenz auf. Ein Sicherheitsunternehmen, bei dem eingebrochen wird, ist genauso fraglich, wie der KFZ Mechaniker, dessen PKW dauerhaft kaputt ist.

Besonders schwer wiegt ein Schaden, der durch Offenlegung von personenbezogenen Daten entstehen könnte, da es erklärtes Parteiziel ist, diese besser zu schützen (siehe SPD Hack im April 2012).

Dieser Schaden ist schwer zu bemessen und hängt auch mit der Publizität des Vorfalls zusammen. Ebenso spielt die Art der vorfallsbezogenen Kommunikation eine größere Rolle bei der Schadensbegrenzung.

Merke:
IT Schäden sind interdisziplinär! Der Pressesprecher, der Vorstand und die Fraktion müssen genauso im Boot sein, wie die betroffenen Mitglieder.

Die Wahrscheinlichkeit

In der IT Security besteht der Konsens, dass es die Frage, ob man angegriffen wird, nicht gibt. Die Frage muss lauten WANN man angegriffen wird. Die Wahrscheinlichkeit wie häufig und in welcher Intention ein Angriff erfolgt,  lässt sich unter anderem aus einer fundierten Gefahrenanalyse ableiten. Hierfür stehen aber zu wenig Informationen zur Verfügung und es würde in diesem Kontext zu weit führen. Die Frage der Wahrscheinlichkeit eines Angriffs muss deshalb unbeantwortet bleiben.

Das Risiko

In der IT Security kann man Risiken kalkulieren. Allgemein gilt die Formel:

Risiko = Auswirkung * Wahrscheinlichkeit

Das Risiko in unserem Fall ist schwer zu beziffern, da die Auswirkungen, der Schaden, schwer zu belegen ist. Auch um die Wahrscheinlichkeit zu fixieren fehlen ausreichend Informationen und Fakten. Leider kann dadurch auch die Frage nach dem tatsächlichen Risiko nicht beantwortet werden und vieles verbleibt im Bereich wilder Spekulationen. Deshalb ist es mir nicht möglich zu einer belastbaren Risikoabschätzung zu kommen.

Abschließend

Ziel dieses Artikels sollte es auch eher sein, zum Nachdenken anzuregen. Ich freue mich über jedes Feedback und bin gerne bereit etwas ausführlicher zu werden… 😉

Und: Danke, dass Du bis zum Ende gelesen hast!

Related Images:

Vor- und Nachteile dezentraler PiratenIT

von

Das die IT der Piraten in Schleswig-Holstein ein Spiegelbild der Partei ist, ist nicht verwunderlich, sondern konsequent. Ein Kern von x Piraten organisiert die IT. Durch die individuelle Vernetzung und die gegenseitige Anerkennung hat man einen gemeinsamen Nenner gefunden, der den Status Quo definiert. Das Ganze passiert auf der Basis der individuell gemachten Erfahrung und mit dem Kompetenzlevel des Backgrounds eines jeden Einzelnen.

Da Teilnehmer eigenverantwortlich Dienste anbieten und oder  verwalten, kann man von einem dezentralen Aufbau sprechen. Daran ändert auch eine zentrale Koordinationsrolle wenig. Die Systeme sind losgelöst von einem Gesamtkonzept – oder das Gesamtkonzept ist nicht offensichtlich. Es gibt weder Standards, noch Richtlinien – auch die Diensteverfügbarkeit ist nicht definiert. https://infosocke.piratenpad.de/infosammlung?

Aber, es musste all das auch nicht geben, als die Partei noch aus wenigen Mitgliedern, die sich größtenteils gegenseitig kannten, bestand. Also bitte, das oben geschriebene ist keine Kritik, sondern eine Bestandsaufnahme, so wie sie sich mir als Außenstehendem präsentiert.

Der größte Vorteil der dezentralen IT ist mit dem des Internet vergleichbar. Durch ihren vermischten Aufbau und viele individuelle Zuständigkeiten und keine (oder wenige) zentrale Backend-Infrastrukturen bieten die Piraten viele unterschiedliche, aber als Einzelsystem weniger lohnenswerte, Ziele. Angriffe auf die Verfügbarkeit können zwar Teile ausbremsen, aber schwerlich alles lahmlegen. Das ein System kompromittiert wurde stellt den Schutz der anderen Systeme in der Theorie nicht in Frage.

Der größte Nachteil der dezentralen IT ist Ihre fehlende Systemintegration. Durch zentrale Backend Infrastrukturen (z.B. DNS, Time, Syslog, Directory, OTRS, AccessControl, SIEM)  kann Administration, Sicherheit und Skalierbarkeit auf einen professionelleren Level gehoben werden. Gerade die fehlende zentrale Administration kann im Angriffsfall zu fatalen Folgen führen – zum Beispiel, wenn ein -längst vergessener- Account auf eine wichtige Datenbank genutzt wird. Oder ein Admin Account kompromittiert wird. Eine schnelle zentrale Sperrung ist in dezentralen Systemen nicht möglich; es fehlt die Möglichkeit der zentralen Schadensabwehr. Schlimmer noch: Es reduziert die Möglichkeit einen Angriff überhaupt zu erkennen.

Ich bin bei einem Gespräch im Nebensatz mit der Aussage konfrontiert worden, dass zentrale Systeme aber auch zentrale Angriffsflächen bieten. Dem stimme ich absolut und ohne Einschränkung zu. Sie bedürfen aufgrund Ihrer Wichtigkeit einen größeren Schutz. Allerdings gebe ich zu bedenken, das wenige Systeme einfacher geschützt werden können als Viele. Ein Angreifer braucht nur 1 Fehler, in 1 System,  in 1 Sekunde…

Related Images:

Datenschutz fängt bei uns allen an

von

Die Piraten vertreten eine durchdachte und ernsthafte Position in Bezug auf Datenschutz und Privatsphäre. Mir erscheint es deshalb sehr wichtig, dass wir diese Position auch selbst vorleben!

Nehmen wir den Schutz unserer eigenen Daten wichtig, so ist es unsere Verantwortung, den Schutz personenbezogener Daten von anderen Personen sogar noch wichtiger zu nehmen und ernsthaft zu betreiben.

Diese Daten von Anderen werden uns in gutem Glauben überlassen. Das müssen wir ernst nehmen.

Am einfachsten kann ich das, was ich meine, durch ein paar Beispiele erläutern.

————————————————————-

Beispiel 1

Ich habe Dir meine Telefonnummer gegeben. Wir telefonieren ja häufiger.

Ein (gemeinsamer) Freund versucht mich zu erreichen aber hat meine Nummer nicht. Er fragt Dich! Du gibst sie Ihm.

Problem:

Du hattest KEIN Recht, meine Nummer weiter zu geben.

Alternative Lösung:

Vermittlung anbieten: Du willst Oliver erreichen? Ich ruf’ Ihn gerne für Dich an oder gebe deine Daten an Ihn weiter, wenn Du willst.

————————————————————-

Beispiel 2

Jemand unbekanntes hat mir eine eMail geschickt und eine Anfrage gestellt, die ich nicht direkt beantworten kann.

Mit der Absicht diese Anfrage transparent zu machen und Hilfe aus dem Schwarm zu bekommen, leite ich diese eMail mit erläuternden Worten in eine Zeitung (Mailinglisten, Newsforen etc. sind nichts anderes!)

Problem:

Diese eMail enthielt Kontaktinformationen und/oder kompromittierende Informationen, die nun – ohne Zustimmung des Verfassers – in die Öffentlichkeit getragen wurden.

Alternative Lösung:

Indirekte Wiedergabe der eMail, statt Copy&Paste.

—————————————————————–

 Beispiel 3

Jemand sagt Dir etwas und bitte darum Anonym bleiben zu dürfen. Du versicherst es Ihm und erzählst seine Geschichte, sein Anliegen – ohne seinen Namen zu nennen, in der Öffentlichkeit.

Problem:

Hier sind es sogar mehrere Probleme. Das Erste ist offensichtlich. Du kannst keine Anonymität garantieren, höchstens Vertraulichkeit zusichern. Und selbst dabei solltest Du vorher Recht und Gesetz auf deiner Seite wissen.

Problem Nummer 2: Durch die Details, die Du erzählst werden Rückschlüsse auf die Quelle möglich.

Alternative Lösung:

Die Verantwortung direkt ablehnen – Quelle an autorisierte Personen (Anwälte, Journalisten etc.) verweisen. Das hat nichts mit fehlender Hilfeleistung zu tun – du hilft durch verweisen – sondern mit notwendigem Selbstschutz.

————————————————————-

Wie Ihr hoffentlich erkennt, haben alle Beispiele gutherzige Ursachen. In dem Versuch zu helfen leiten wir auch Kettenbriefe weiter, klicken auf Like Buttons oder kopieren wir Statustexte. Aus dem gleichen Grund klicken wir bei Web-pages auf “Share” und geben eMail Adressen oder Telefonnummern bedenkenlos frei…

Es geht nicht darum, nicht mehr zu helfen – aber professionelle Hilfe berücksichtigt auch die Mittel und Wege.

Achtet bitte alle darauf, welche Daten Ihr von Fremden weitergebt.

Danke.

PS:

Nach einem ähnlichen Vortrag vor Jahren vor unserer CIO kam diese später zu mir und sagte: “This isn’t limited to the internet world!”

Ich antwortete: “Security is a lifestyle.”

Related Images:

Datenschutz vs. Transparenz vs. Privatssphäre

von

Datenschutz vs. Transparenz vs. Privacy.

Datenschutz und Datenvermeidung betrifft primär die Frage, wie viele Daten notwendig sind, wo sie wann und wie lange gespeichert werden und wie der Zugriff kontrolliert wird – die Einhaltung rechtlicher Vorgaben ist hierbei als das Minimum anzusehen.

Transparenz als Stichwort verstehe ich als Ziel durch nachvollziehbare Informationen Zusammenhänge aufzudecken und auch offen und öffentlich zu agieren. Das gilt mE ins Besondere für durch Gruppen oder die Gemeinschaft unterstützte Güter und Vertreter.
Vorsicht: Nur Öffentlichkeit ist noch nicht Transparenz.

Privatsphäre ist ein Wort, welches für viele Menschen unterschiedliche Abstufungen hat. Aber alle Ansichten sollte die Tatsache vereinen, dass jeder selbstbestimmt über seine Daten verfügen kann. Hierbei ist schon ein erstes Problem in der Tatsache begründet, dass der Übergang zwischen privaten und öffentlichen Daten durch jeden individuell anders gesehen werden kann.

Um jetzt die einzelnen Dinge in unsere Welt zu übertragen:

Je öffentlicher jemand agiert, desto mehr muss er ggf. Teile seiner Privatsphäre opfern. Wenn wir Transparenz fordern, so fängt diese bei uns selber an.

Transparenz, Datenschutz und Privatsphäre widersprechen einander nicht.
Alles was im öffentlichen Raum getätigt wird, muss transparent bleiben. Aber jeder Teilnehmer kann jederzeit aus dem öffentlichen Raum zurücktreten. Die Privatsphäre sollte das Ganze im Idealfall nur eingeschränkt berühren.
Das hat nicht hauptsächlich mit Datenschutz zu tun, sondern vielmehr mit einer Frage, die jeder für sich selbst beantworten muss.

Aufgrund eines nicht ausreichenden Datenschutzes (übrigens würde ich das unserer Piratenpartei am wenigsten unterstellen) allerdings eine alles-oder-nichts Haltung einzunehmen halte ich für nicht tragbar.

Das durch Profiling und data mining Beziehungen entdeckt werden können ist unter bestimmten Voraussetzungen durchaus wünschenswert. Das Problem – und nun sind wir beim Datenschutz – liegt aber hier vielmehr in dem kontinuierlichen und methodischem Missbrauch der erhobenen Daten aus unterschiedlichen Interessen. In diesem Zusammenhang haben wir im Wahlprogramm einige klare Statements.

Related Images: