Tag Archives: Sicherheit

Vortrag: „Security by Design?“

Triggerwarnung: work in progress

Vergangene Woche durfte ich auf dem 1. IT-Grundschutztag 2017 zum Thema Security by Design? vortragen. Das Leitthema der Veranstaltung war Application Security und ich habe passend zu unserer Forschung einen Blick auf die Softwareentwicklung geworfen. Sichere Software ist leicht gefordert, aber die Umsetzung im Entwicklungsalltag bereitet Schwierigkeiten: In frühen Phasen der Entwicklung kämpft man mit Ungewissheit und es ist schwer, Entscheidungen zu treffen; später weiß man mehr, aber die Veränderung wird schwierig – nicht nur technisch, sondern auch in den Strukturen und Routinen des Entwicklerteams.

Der Vortrag entstand aus einer früheren Fassung, die ich gemeinsam mit Andreas Poller auf dem Workshop „Partizipatives Privacy by Design“ im vergangenen Oktober in Kassel gehalten habe. Aus Andreas’ Vortrag auf der CSCW’17 habe ich mir auch Slides geborgt.

Wer die Tonspur zu den Slides hören möchte: einfach fragen.

Advertisements

Quiz

Die Götter der Cybersicherheit zeigen sich zorning. Was tun Sie, um die Götter zu besänftigen?

  1. Ich opfere zwei Accounts und eine App.
  2. Ich twittere meine Sünden und bete ein Internet-Mem.
  3. Ich vollführe wie jede Woche das Passwortritual, natürlich mit Ziffern und Sonderzeichen.

Unter allen Teilnehmern verlose ich Sicherheitshinweise, Expertentipps und Zufallszahlen.

2. CAST-Seminar »Sichere Software entwickeln« am 15. Mai 2014

Unser CAST-Seminar »Sichere Software entwickeln – Erfahrungen, Methoden, Werkzeuge« geht in die zweite Runde. Am 15. Mai 2014 laden wir zum Erfahrungsaustausch ins Darmstadtium ein. Vorträge von Praktikern und aus der angewandten Forschung beleuchten das Thema von allen Seiten. Unsere Themen in diesem Jahr:

  • Organisation der sicheren Softwareentwicklung in Großunternehmen
  • Security in schlanken und agilen Processen
  • Denial-of-Service-Schwachstellen in Anwendungen
  • Sicherheitsaspekte der Schnittstellenentwicklung
  • Bedrohungsmodellierung und Sicherheitsanforderungen in der Praxis
  • Skalierung von Methoden am Beispiel der Risikoanalyse

Anmeldung und Programm unter http://www.cast-forum.de/workshops/infos/190.

Zwei Karten, zwei Philosophien

Ich bekomme eine neue Smartcard. Ausgestellt von der Fraunhofer-PKI, kann ich mit der Karte E-Mail und anderes verschlüssel und signieren sowie Urlaub beantragen, Besprechungsräume reservieren und meine Arbeitsstunden auf Projekte buchen. Zur Karte gehört ein Passwort, falls ich sie mal verliere, und aufgedruckt trägt sie ein Jugendfoto meiner selbst.

Ich besitze schon so eine Karte, sie funktioniert auch, doch die PKI möchte mir eine neue ausstellen. Das ist ein komplizierter Vorgang. Ich bekomme einen PIN-Brief, dann muss ich die Karte abholen und dabei einen amtlichen Lichtbildausweis vorzeigen. Vermutlich werde ich auch unterschreiben müssen, dass ich die neue Karte erhalten habe. Alles muss sehr sicher sein, sonst könnte womöglich jemand in meinem Namen Räume reservieren oder Urlaub beantragen.

Von meiner Bank bekam ich vor einigen Tagen ebenfalls eine neue Smartcard. Mit dieser Karte kann ich einkaufen und Geld abheben. Sie kam mit der Post, lag einfach im Briefkasten. Meine bisherige PIN glt auch für die neue Karte.

Die eine Karte steht für ein System, das besonders sicher sein möchte und stattdessen besonders bürokratisch ist. Die rechtsverbindliche elektronische Signatur hat sich deswegen im Alltag nie durchgesetzt, die eID-Funktion des neuen Personalausweises bislang auch nicht. Entworfen hat man Technik und Rechtskonstrukte, keine Anwendungen.Der primäre Zweck besteht darin, in einem formalen Sinn sicher zu sein.

Die andere Karte repräsentiert eine Dienstleistung: Zahlungsverkehr in verschiedenen Ausprägungen. Eine Plastikkarte als Mittel dazu ist praktisch; dass später Magnetstreifen und Chips hinzukommen würden, ahnte man bei der Erfindung des Plastikgeldes noch nicht. Die begleitenden Prozesse bleiben unbürokratisch, sie sind pragmatisch gestaltet. Nicht formale Sicherheit ist das Ziel, sondern akzeptable Risiken.

P.S.: Diese Woche ist Smartcard-Workshop.

Unterschätzte Risiken: Turmspringen gen Osten

Im Dieburger Freibad bleibt die obere Hälfte des Sprungturms künftig gesperrt. Der Grund:

»Nach den neuen Vorgaben europaweit geltender Richtlinien muss gewährleistet sein, dass sportliche Badegäste „nicht gegen die Sonne springen“, und dabei Schwimmer im Becken etwa wegen Blendung übersehen, so Thomas. Es dürfe nur noch „nach Norden“ gesprungen werden. Der Sprungturm in Dieburg zeigt nach Osten.«

(Echo Online:
Plötzlich steht der Sprungturm im Dieburger Freibad falsch)

Den Turm erst mittags zu öffnen, wenn die Sonne nicht mehr aus dem Osten scheint, wäre wohl zu einfach gewesen. Das Vorsorgeprinzip hat uns dank der EU fest im Griff – sicher ist sicher, da gibt es keine Diskussion. Oder steckt vielleicht die Freibadsanierungslobby dahinter?

Update: Erst mittags öffnen geht doch.

Werden Kreditkarten billiger?

Vielleicht können wir uns langsam von der Vorstellung verabschieden, dass man mit seinen Kreditkartendaten im Netz “vorsichtig” sein müsse oder die Karte am besten gar nicht benutze. Diese wohlmeinenden Sicherheitshinweise waren zwar schon immer Blödsinn. Eine Kreditkarte ist dazu da, dass man sie benutzt, es gibt wenige Möglichkeiten, dabei Vorsicht walten zu lassen, und beim User ist die Sicherheit ohnehin schlecht aufgehoben. Nun gibt es auch noch Hinweise darauf, dass sich reine Kartendaten ohne PIN für Kriminelle immer weniger lohnen:

»Credit cards are no longer valuable, so criminals now want PIN numbers. Earlier this week, Symantec reported credit card data can sell for as little as six cents in online criminal markets, which consist of “various forums, such as websites and Internet Relay Chat (IRC) channels, which allow criminals to buy, sell, and trade illicit goods and services.” Verizon reports the value of credit card data at fifty cents, down from a minimum of $10 in mid-2007.

In contrast, Symantec said, bank credentials can sell for $10 or more. Verizon did not disclose a price for PIN data, but said, “the big money is now in stealing personal identification number (PIN) information together with associated credit and debit accounts.”«

(Credit Cards No Longer King in Crime Networks)

Der Artikel scheint schon ein Jahr alt zu sein.

Weihnachten überleben

Weihnachten zu überleben ist nicht so einfach, denn zu Hause lauern viele Gefahren. Noch ein wenig gefährlicher als andere lebt, wer sein Haus mit Jongleuren teilt, denen das Diabolo ausgerechnet auf der Treppe herunterfällt.

Unfallgefahr: Diabolo liegt auf der Treppe herum, Frau mit Wäschekorb kommt die Treppe herunter und sieht es nicht
(Foto: DSH)

Unser Tipp: bremsen Sie rechtzeitig den Bewegungsdrang Ihrer Mitbewohner. Geeignete Mittel hält jede gut sortierte Hausapotheke bereit. Continue reading Weihnachten überleben

Willkürliches Herumgeschubse

Wohlmeinende Sicherheitshinweise finden wir allerorten. Oft sind sie  nur deshalb entstanden, weil jemand gezwungen war, sich zum Thema zu äußern. Wozu das führt, wissen wir seit Harry G. Frankfurt sehr gut und offensichtlich wird es, wenn sich die Hinweise direkt widersprechen.

Kinder sollten Internetseiten niemals direkt ansurfen, indem sie die Adresse in den Browser eingeben, lernen wir heute. Fein, aber wenn sie dann erwachsen sind, dann sollen sie die URL fürs Online-Banking immer direkt eingeben. Und nun? [Oliver, Du hast doch Kinder. Wie würdest Du ihnen das erklären? :-)]

Sicherheitshinweise können zu sinnvollem Verhalten auffordern oder von weniger sinnvollem abraten: »Legen Sie im Auto den Sicherheitsgurt an!« oder: »Versuchen Sie nie, schlauer zu sein als die Bahnschranke!« Dagegen ist nichts zu sagen,außer dass man die Wirkung nicht überschätzen sollte. Sicherheitshinweise werden nicht nur nicht gelesen, sie setzen auch an der falschen Stelle an. Sicherheitshinweise vermitteln Wissen, aber keine Fähigkeiten, Regeln oder Gewohnheiten und sind deshalb ungefähr so wirksam wie das Lesen eines Kochrezeptes gegen den Hunger.

Darüber hinaus können Sicherheitstipps auch eine Ausrede sein, eine Ausrede dafür, dass man dem Benutzer willkürlich Aufgaben zuweist. Das machen wir in der IT-Sicherheit gerne, wenn wir am Ende unserer Weisheit angelangt sind oder die Lehrbuchwelt von Alice und Bob mit der Realität verwechseln. Dann verfügen wir schon mal, der Benutzer unseres Systems habe auf kleine gelbe Schlösser zu achten und aus eigenem Antrieb SSL-Zertifikate zu prüfen, obwohl ihm das Arbeit macht und für den Erfolg seiner Interaktion mit dem System völlig bedeutungslos ist.

So einfach ist das nicht mit der Sicherheitstechnik

Als ich Auszüge aus dem Urteil 23 U 38/05 des Oberlandesgerichtes Frankfurt ins Blog stellte, hielt ich mich zunächst mit Kommentaren zurück. Jetzt diskutiert ein Telepolis-Artikel das Urteil im Zusammenhang mit der Kameraüberwachung in Supermärkten und der Möglichkeit, damit Kunden bei der PIN-Eingabe zu beobachten.

Der Artikel endet mit der anscheinend unvermeidlichen Forderung nach besserer Sicherheitstechnik. So einfach ist das aber nicht. Das Grundproblem des EC-Karten-Urteils ist ja gerade die Überschätzung der Sicherheitstechnik. Grob gesagt ist das Gericht der Ansicht, alle möglichen und aus Sicht des Sicherheitsingenieurs erforderlichen Betrachtungen nicht anstellen zu müssen, sondern System und Verfahren dem Anschein nach für sicher halten zu dürfen. Bessere oder auch nur für besser gehaltene Sicherheitstechnik kann die Richter in dieser Sicht nur bestärken. Einwände hätten dann noch weniger Chancen auf Gehör und ernsthafte Berücksichtigung.

Das könnte man hinnehmen, gäbe es eine mehr oder weniger perfekte Technik, die alle Probleme angemessen löst. So eine Sicherheitstechnik ist jedoch nicht in Sicht. Einige Anregungen, was sich mit Karten und Terminals noch alles anstellen lässt, gibt die Truppe um Ross Anderson in ihrem Blog:

Wenn man solche Gedanken zu Ende spinnt, kommt man zu dem Schluss, dass vorerst in jedem System mit Schwachstellen zu rechnen ist, gerade an der Schnittstelle zum Benutzer. Was wir wirklich brauchen, ist deshalb nicht bessere Sicherheitstechnik, sondern klügere Gerichte. Sie müssen klären, welche Einwände gegen die Sicherheitsvermutung gerechtfertigt sind und welche nicht, und das geht nur auf der Grundlage einer detaillierten technischen Betrachtung des Gesamtsystems. Die ist mühsam und aufwändig, aber notwendig. Nach Augenschein kann man Sicherheit nicht sinnvoll beurteilen.

Derzeit hat man als Geschädigter die besten Karten, wenn ein Verfahren Sicherheitsmängel hat, die auch ein Richter versteht, und wenn man außerdem erklären kann, was diese Sicherheitsmängel mit dem konkreten Fall zu tun haben oder zu tun haben könnten. Solche Fälle landen allerdings oft gar nicht erst vor Gericht, weil die Banken so böse dann doch nicht sind. Das Urteil des Oberlandesgerichts macht uns also letztlich nicht schlauer, sondern folgt implizit einer perversen Logikeinem Zirkelschluss: wäre eine echte Schwachstelle ausgenutzt worden, wäre der Fall gar nicht vor Gericht gelandet, deshalb wird die Klage abgewiesen. Das kann vollkommen richtig sein, aber die Begründung ist falsch.

Sicherheit im Flugzeug

Wer sich für Sicherheit beim Fliegen interessiert, der ist bei Patrick Smith gut aufgeehoben. Den hatten wir hier schon einmal zum Thema Sicherheit auf Flughäfen. Als Pilot kann er aber noch mehr erklären, nämlich zum Beispiel:

  • Wie gefährlich die Benutzung von Mobiltelefonen an Bord wirklich ist,
  • Warum Passagierflugzeuge kein Fallschirme für Passagiere mitführen,
  • Was wir aus dem glimpflich ausgegangenen Brand eines Flugzeugs in Japan lernen können, und zwar zum einen als Passagiere, zum anderen als Medienkonsumenten, oder
  • Was es mit »zu kurzen« Landebahnen auf sich hat.

Als gelegentlicher Fluggast wünsche ich mir allerdings etwas mehr Transparenz, was den Sinn einzelner Sicherheitsmaßnahmen betrifft. Vielleicht nicht als Bestandteil der üblichen Einweisung durch das Kabinenpersonal, aber doch so deutlich, dass sich nicht allzu viel Bullshit in den Köpfen verbreitet. Warum muss erst jemand Kolumnen schreiben, damit wir die Dinge erklärt bekommen?

Deutschsprachige Kompetenz zum Thema findet man übrigens in der Usenet-Newsgroup de.rec.luftfahrt, in der sich auch einige Piloten herumtreibeen.

Wie übersetzt man »trusted« richtig?

Im Englischen kann man ohne sprachliche Verrenkungen zwischen trusted und trustworthy unterscheiden. Trotzdem kriegen es viele nicht richtig hin. Auf Deutsch ist das noch viel schwerer. Trustworthy lässt sich noch entspannt und korrekt mit vertrauenswürdig übersetzen: das bedeutet, dass etwas Vertrauen verdient, dass Vertrauen – ganz gleich, ob man es tatsächlich hat oder nicht – jedenfalls nicht enttäuscht würde. Ob jemand oder etwas vertrauenswürdig war, wissen wir zuverlässig immer erst hinterher, wenn uns das Ergebnis wovon auch immer gezeigt hat, dass unser Vertrauen gerechtfertigt war. Meine Bank zum Beispiel hat sich in der Vergangenheit als vertrauenswürdig erwiesen. Viel spricht dafür, dass sie es auch in Zukunft bleiben wird, aber hundertprozentig weiß ich das jetzt noch nicht.

Für die Zukunft muss ich meiner Bank vertrauen: ich vermute oder hoffe, dass sie sich als vertrauenswürdig erweisen wird, und handle jetzt schon so, als sei sie es. Ich könnte mich statt dessen auch bei einer anderen Instanz absichern, hätte dort aber dasselbe Problem. Meine Bank, oder die andere Instanz, ist damit trusted. Meine Sicherheit hängt davon ab, dass sie sich wie erhofft verhält. Tut sie es nicht, bricht mein Sicherheitskonzept zusammen. Ein anschauliches Beispiel gibt es hier. Der Übersetzer ist trusted, jemand vertraut ihm. Er ist aber nicht trustworthy, denn er enttäuscht dieses Vertrauen.

Für diese Rolle in der Vertrauensbeziehung hätte ich gern ein deutsches Adjektiv. Vertraut passt nicht. Abhängig ist gerichtet und genau umgekehrt: ich bin abhängig von dem, dem ich vertraue. Im Einzelfall kann man sich vielleicht in Umschreibungen retten, aber darunter leidet die Verständlichkeit. Einfach trusted zu benutzen ist auch nicht besonders schön, das Lesen macht dann keinen Spaß mehr. Betraut oder verantwortlich ginge vielleicht, wenngleich mir beides unüblich scheint. Wie lösen unsere geschätzen Leserinnen und Leser dieses Problem?