Deep Packet Inspection: GroKo goes China!

Deep Packet Inspection: GroKo goes China!

Die große Koalition hat eine Gesetzesänderung angeschoben, mit der Provider im Kampf gegen Netzstörungen künftig auch sogenannte “Steuerdaten” auswerten sowie den Datenverkehr “unterbinden” können. Die Piratenpartei lehnt dies strikt ab. Weiterlesen

Digitale Waffen sind eine reale Bedrohung unserer Infrastruktur

Digitale Waffen sind eine reale Bedrohung unserer Infrastruktur

ANONYMITÄT - FREIHEIT - NETZ - TIMECODEX CC BY NC ND

Quasi als Randnotiz berichtete Yukiya Amano, Direktor der internationalen Atomenergiebehörde IAEA, bei seinem Deutschlandbesuch am vergangenen Wochenende, dass der Betrieb mindestens eines Atomkraftwerks durch Einschleusen von Malware gestört wurde. Welches Kraftwerk in welchem Land genau betroffen war, sagte er nicht. Nur, dass Schwachstellen im Computersystem zur Manipulation genutzt wurden, der Vorfall bereits zwei bis drei Jahre zurückliege und angeblich nur eine leichte Systemstörung hervorgerufen wurde, die keine Abschaltung des Reaktors notwendig gemacht habe. Auch im Kernkraftwerk Gundremmingen in Süddeutschland wurde schon im Frühjahr 2015 bei Routinekontrollen Schadsoftware entdeckt, woraufhin in engem zeitlichen Zusammenhang ein Block des Kraftwerks vom Netz genommen wurde. Wir sehen in den Vorfällen mehr als nur unbedeutende Zwischenfälle und fordern Bund und Länder auf, den Schutz von zentralen Infrastruktureinrichtungen ernst zu nehmen und die Bevölkerung dadurch vor den Gefahren durch digitale Bedrohungen zu schützen: Längst sind Bomben und Waffen nicht die einzigen Bedrohungsszenarien, die man sich für wichtige Einrichtungen wie Kraftwerke, Bahnhöfe, Flughäfen, Krankenhäuser oder Industrieanlagen vorstellen kann. Auch sogenannte D-Waffen, also digitale Waffen, gefährden unsere Infrastruktur- und Industrieanlagen. Wir brauchen endlich wirksame Schutzmechanismen vor diesen digitalen Bedrohungen. Ein Abkoppeln der zentralen Steuerungscomputer vom Internet reicht hierbei alleine nicht aus. Wir müssen uns vielmehr auch über die Sicherheit und Schwachstellen der verbauten Hardware Gedanken machen. Hierbei bieten diverse Schnittstellen wie USB-Ports oder das interne Netz Einfallstore. Neben individualisierter Spezialhardware für risikobehaftete Anlagentechnik müssen wir über die eingesetzten Betriebssysteme und Softwareprodukte nachdenken. Standardbetriebssysteme wie Windows sind bei Anlagen dem gleichen Risiko ausgesetzt, dass Schwachstellen und digitale Hintertüren im System ausgenutzt werden, wie das beim heimischen PC auch möglich ist, nur mit wesentlich verheerenderen Folgen. Wir brauchen eine digitale Gefahrenabwehr. Auch regelmäßige, intensive Routineüberprüfungen der Systeme auf einen Befall mit Schadsoftware müssen verbindlich werden. Außerdem muss sich Deutschland auf internationaler Ebene für die Schaffung eines neuen internationalen Verhaltenskodex einsetzen und eine D-Waffen-Konvention fordern, um die Tradition der Konventionen gegen atomare, biologische und chemische Waffen (ABC-Waffen) zu erweitern.Wenn wir die Risiken nicht endlich ernst nehmen und auch von Seiten der Gesetzgeber von Bund und Land rechtliche Voraussetzungen schaffen, dass Betreiber von diesen Einrichtungen ihre Schutzmechanismen an den aktuellen Stand der Technik und die gegenwärtige, nicht mehr nur fiktive Bedrohungslage anpassen, werden wir in naher Zukunft vielleicht Opfer von Reaktorunglücken, Strom-Blackouts oder Zugkollisionen sein, die durch digitale Einbrüche in Computersysteme hervorgerufen wurden.   Dieser Gastbeitrag soll zur weiteren Diskussion über das Thema anregen, uns interessiert die Einschätzung unserer Leser.

Safer Internet Day

Safer Internet Day

NSA - JUST SAY NO - be-him CC BY NC ND

Anlässlich des Safer-Internet-Day warnt Stefan Körner, Bundesvorsitzender der Piratenpartei, vor allzu leichtfertigem Umgang mit personenbezogenen Daten. Körner rät Bürgern, sich und ihre Daten im Internet zu schützen und möchte das Bewusstsein für den Wert der eigenen Daten stärken: „Der Safer-Internet-Day ist eine gute Gelegenheit, Leute daran zu erinnern, wie wertvoll Daten wirklich sind und sie zu einem sparsamen Umgang anzuhalten. Daten sind der Rohstoff der Zukunft, wie Unternehmen wie Google oder Facebook, die sich ganz überwiegend durch Datenhandel finanzieren, deutlich zeigen. Wer sorglos überall Datenspuren hinterlässt oder allzu freigiebig mit seinen persönlichen Informationen umgeht, wird schnell zum gläsernen Menschen. Werden die gesammelten Daten miteinander verknüpft, können leicht Personen- und Bewegungsprofile erstellt werden, mit Hilfe derer erstaunlich genaue Rückschlüsse auf den persönlichen Freundeskreis, darauf, wann man sich wo mit wem getroffen hat, auf Beruf und Hobbys oder sogar auf Krankheiten gezogen werden. Um das zu verhindern, sollten persönliche Daten so selten wie möglich freiwillig angegeben werden. Denn Datensicherheit beginnt bei Datensparsamkeit. Es muss klar sein, dass demjenigen, der Daten produziert, diese Daten auch gehören. Was er mit seinen Daten macht, muss komplett ihm überlassen bleiben. Gleichzeitig sollte man sich vor unberechtigten Zugriffen auf seine Daten etwa durch die Verwendung sicherer Passwörter, regelmäßiges Löschen des Browser-Verlaufs und der Cookies, Nutzung von Anonymisierungsdiensten wie Tor sowie von alternativen Suchmaschinen wie ixquick oder alternativen Social-Media-Kanälen wie Diaspora und durch Versenden verschlüsselter Mails schützen.“   Weiterführende Links:   Alternative und datensparsame Suchmaschine: https://www.ixquick.com/ Alternative zu Facebook, Diaspora: https://www.joindiaspora.com/ Plugin, um – wenn möglich – mit SSL-Verschlüsselung zu surfen: https://www.eff.org/https-everywhere Anonymisierungsdienst Tor: https://www.torproject.org/ Anleitung und Links zum Thema E-Mail Verschlüsselung: http://howtopgp.jugendhackt.de/ Anleitung zur Passworterstellung: https://www.youtube.com/watch?v=jtFc6B5lmIM Linuxdistributionen mit integrierten Anonymisierungsdiensten und Sicherheitstools: Tails: https://tails.boum.org/index.de.html Kali Linux: https://www.kali.org/ Qubes OS: https://www.qubes-os.org/

PIRATEN warnen vor deutschem Minority Report – kein „Predictive Policing“

PIRATEN warnen vor deutschem Minority Report – kein „Predictive Policing“

+++ PIRATEN warnen vor deutschem Minority Report – kein „Predictive Policing“ +++ Die PIRATEN sehen den Einsatz von Software, die personenbezogene Daten auf Verhaltensmuster für polizeiliche Zwecke auswertet, dem sogenannten IT-gestützten „Predictive Policing“, mit großer Sorge. So kommt aktuell in Fresno im US-amerikanischen Bundesstaat Kalifornien eine neue Software mit dem Namen „Beware“ zum Einsatz. Stefan Körner, Vorsitzender der Piratenpartei Deutschland: „Dieser Trend ist allerdings nicht neu: Polizei-Personal wird durch Software immer mehr beraten und ersetzt. Prognostizierende Software für die Polizei gilt als Weg in die polizeiliche Zukunft. Welche Algorithmen nach welchen Kriterien in dem Softwareprodukt arbeiten, weiß nur der Entwickler. Als wahrscheinlich gilt aber, dass Daten aus Social-Media Bereichen systematisch ausgewertet werden. Auch in Deutschland laufen Versuche mit sogenannter Prognosesoftware, die allerdings noch nicht das US-Ausmaß erreicht haben, da hier der Aspekt der Durchleuchtung und des Scoring von Menschen (noch) fehlt. Neben datenschutzrechtlichen Bedenken besteht die Möglichkeit, dass Probleme sich durch den Einsatz einer solchen Auswertungs- und Vorhersagesoftware sogar noch verschärfen, statt Verbrechen aufzuklären oder zu verhinden.Das Programm nutzt nur Daten, wie etwa Tatort und Tatzeit, die sich schon im polizeilichen System und den dort geführten Datenbanken befinden und durch Algorithmen zusammengeführt und ausgewertet werden. Daraus errechnet das System mittels eines bestimmten Algorithmus eine gewisse Wahrscheinlichkeit. Unter Umständen engt die Software dadurch die von den Polizeibeamten in den Blick genommenen möglichen Tatorte sogar zusätzlich ein. Die düstere Zukunftsvision von Steven Spielberg im Film Minority Report, in dem Menschen noch vor der eigentlichen Tat verurteilt werden, nimmt also immer mehr Gestalt an. Das ist nicht die Zukunft, die PIRATEN wollen! Kein ,Predictive Policing’“.

PIRATEN sagen: IT-Systeme der Landesbehörden in NRW durch Cryptolocker infiziert – Bürgerdaten sind nicht sicher

PIRATEN sagen: IT-Systeme der Landesbehörden in NRW durch Cryptolocker infiziert – Bürgerdaten sind nicht sicher

+++ PIRATEN sagen: IT-Systeme der Landesbehörden in NRW durch Cryptolocker infiziert – Bürgerdaten sind nicht sicher +++ Zur Meldung, dass die IT Systeme im Innenministerium, im Schulministerium, im Umweltministerium, im Landesrechnungshof sowie im Landschaftsverband Rheinland (LVR) durch einen Cryptolocker kompromittiert wurden, sagt Marc Olejak, parlamentarischer Geschäftsführer der Piratenfraktion in NRW: »Die Schadsoftware ist durch die verwendeten Schutzsysteme wie Virenscanner nicht erkannt worden. Die IT-Fachleute der Landesregierung waren nicht in der Lage, dies zu verhindern. Das ist ein Armutszeugnis für hochbezahlte staatliche Profis. Gerade in einem sensiblen Bereich wie dem Innenministerium darf so etwas nicht passieren. Das ist wieder einmal der Beweis, wie wenig sicher die IT-Systeme der Regierung und der Behörden sind. Wir fordern Datensparsamkeit und einen intelligenten Umgang mit den Bürgerdaten. Wer kontrolliert die Ministerien auf Schwachstellen und wie ist ein so eklatanter Mangel möglich? Wie sicher sind die Bundesministerien? Wird dort auch mit unseren Daten geschludert?«

PIRATEN entsetzt über weitere Hintertüren bei PC-Hersteller DELL

PIRATEN entsetzt über weitere Hintertüren bei PC-Hersteller DELL

Pressemitteilung Zur sofortigen Veröffentlichung Berlin, den 25. November 2015 +++ PIRATEN entsetzt über weitere Hintertüren bei PC-Hersteller DELL +++ Wieder einmal erfahren wir von hausgemachten Sicherheitslücken bei neu erworbenen PC-Systemen. Diesmal trifft es den amerikanischen Hersteller DELL, der auf seinen Geräten offenbar fahrlässig ein eigenes Root-Zertifikat installiert. Entdeckt wurde dieses Zertifikat von rotorcowboy, einem Benutzer des Internetportals reddit. Das Informationsportal Heise Online bestätigt in einer aktuellen Warnung, dass dadurch ohne großen Aufwand sämtliche SSL/TLS-Verschlüsselung umgangen werden kann. So war es den Spezialisten von Heise möglich, zum Beispiel die Kommunikation beim Onlinebanking problemlos mitzulesen. Heute wurde eine weitere Schwachstelle bekannt, die das Bundesministerium für die Sicherheit der Informationstechnik (BSI) als schwerwiegend eingestuft hat. Auf DELL-Computern ist ein weiteres CA-Zertifikat mitsamt privatem Schlüssel entdeckt worden. Damit ist es jedem möglich, gültige Zertifikate auszustellen und die Verschlüsselung von Webseiten ad absurdum zu führen. DELL hat nach Bekanntwerden der Schwachstelle den Patch zum Löschen von eDellRoot zur Verfügung gestellt. Sind zur Querfinanzierung vorinstallierte Programme auf neu erworbenen Computern in den meisten Fällen nur lästig und störend, kompromittieren solche Vorgehensweisen der Hardwarehersteller immer wieder die Sicherheit selbst versierter Anwender. Hierdurch werden die Systeme mühelos angreifbar und die Daten sowie die Privatsphäre der Anwender fahrlässig gefährdet. PIRATEN rufen die Hersteller dazu auf, hier mehr Sorgfalt walten zu lassen. Stefan Körner, Bundesvorsitzender der Piratenpartei Deutschland führt aus: »Die Piratenpartei fordert die Hardwarehersteller auf, sich ihrer Verantwortung bewusst zu werden und ihre Kunden nicht länger solchen Gefahren auszusetzen. Microsoft zeigt seit 2014 mit dem Verkauf sogenannter ›Signatur Edition‹ Computern ohne die Dreingabe zusätzlicher Software, wie es gehen kann.« Körner ergänzt: »Ein wirksamer Schutz der eigenen Daten und der Privatsphäre fängt auf dem heimischen PC an. Ist dieser von vornherein kompromittiert, so hilft auch keine noch so gut gemeinte Initiative der Regierung zum Ausbau des Verschlüsselungsstandortes Deutschland zum Schutz der Bürger und deren Privatsphäre.«

Einladung: Sicherheitskonferenz der Piratenpartei Deutschland und Workshop #Onlinesicherheit für Redakteure

Sehr geehrte Medienvertreter, die Piratenpartei Deutschland wird sich am 24. und 25. Januar 2015 in München mit den wichtigen sicherheitspolitischen Fragen “nach Snowden” beschäftigen. Hauptschwerpunkt werden Fragestellungen über das Verhältnis Freiheit und Sicherheit, Staaten & NGOs aber auch die Medien betreffend sein. Dazu möchten wir sie herzlich einladen. Neue sicherheitspolitische Herausforderungen verlangen neuartige Herangehensweisen. Die etablierte Politik und Behörden neigen jedoch bei sicherheitspolitischen Fragestellungen zur Anwendung veralteter Konzepte, wie beispielsweise einen Ausbau der Massenüberwachung oder eine noch stärkere Reglementierung der Gesellschaft. Nicht selten werden dabei Vorurteile geschürt und Furcht unter der Bevölkerung gestreut. Wir wollen der Frage nachgehen, wie Sicherheitspolitik im 21. Jahrhundert neu gedacht und effektiv umgesetzt werden kann, ohne die Grundlagen unserer Gesellschaft, die wir erhalten und verbessern wollen, dafür aufs Spiel zu setzen. Außerdem werden wir einen Workshop zur Onlinesicherheit für Reporter anbieten. Stéphane Koch, der bereits Workshops für den National Press Club mit Unterstützung durch den The Medill National Security Journalism Initiative sowie dem Reporters Without Borders USA gehalten hat, wird den Workshop leiten. Wann: 24 – 25. Januar 10:00 – 21:00 Uhr am Samstag und 10:00 – 16:00 Uhr am Sonntag Wo: Ring-Studios München Frankfurter Ring 247, 80807 München Teilnehmer sind u.a: • Stéphane Koch (Genf, zum Thema: “Anonymous Communications, Data Security And Protection Of Sources for Journalists & NGOs”) • Dr. Rob Imre, PhD (The University of Newcastle, zum Thema: “Mediatization and Capitalization of the Surveillant Assemblage”) • Dr. Mark Daniel Jaeger (Zürich, zum Thema: “Sicherheitspolitik heute: Konventionelle und neue Herausforderungen”) • Angelika Beer, MdL (Mitglied des Landtags Schleswig-Holstein) • Peter Matthiesen, Oberstleutnant a.D. • Enno Lenze (Berlin, zum Thema: Gegenwärtige Situation im Irak) • Prof. Dr. Hans-Georg Fasold (Essen, zum Thema: Erdgas-Infrastruktur in Deutschland und Europa) • Peter Finkelgruen (Köln, zum Thema: Entwicklungslinien der Konflikte im Nahen Osten) • Yvonne Hofstetter (München, Managing Director | TERAMARK TECHNOLOGIES GmbH und Expertin für Datamining und Big Data zum Thema: „Schlüsseltechnologien für die Sicherheitsvorsorge“ mit Blick auf Deutschland/Europa) Weitere Informationen finden Sie unter http://www.pirate-secon.org Da wir nur eine beschränkte Anzahl an Plätzen vergeben können, bitten wir um eine Anmeldung. Dies gilt insbesondere für den Workshop ‘Onlinesicherheit für Journalisten’. Der Termin für den Workshop wird bei einer erreichten Mindestteilnehmerzahl rechtzeitig bekannt gegeben. Für Rückfragen steht ihnen Martina Flasch martina.flasch [at] piratenpartei.de +49 (0) 1709920075 zu Verfügung. Wir würden uns über ihre Teilnahme freuen und verbleiben mit freundlichen Grüßen, Alexander Kohler, Koordinator der Sicherheitskonferenz alexander.kohler [at] piratenpartei.de +49 (0) 1717423740

Bundesregierung versenkt Millionen in Fehlplanungen für sicheres Datennetz – Piraten fordern Planungsstopp und Einbindung von Parlament und Experten

Die Bundesregierung will im Frühjahr 2015 ein Konzept für den Betrieb eines sicheren Datennetzes für Bundesbehörden vorlegen. Der Bundesrechungshof stellt jetzt bereits in der Konzeptphase massive Mittelverschwendungen, Fehlplanungen und Managementfehler fest [1]. Stefan Körner, Bundesvorsitzender der Piratenpartei, kritisiert das laienhafte Vorgehen der Bundesregierung in bei einem so wichtigen Thema für die Digitalisierung Deutschlands: »Ehrlich gesagt, überrascht uns dabei nichts. Die Bundesregierung hat in der Vergangenheit mehrfach ihre Ahnungslosigkeit bei allem, was IT-Projekte und Sicherheit in der digitalen Welt betrifft, bewiesen. Jetzt versucht sie erneut, verzweifelt die Kontrolle über ein Thema zu erlangen, von dem sie und auch die Mitarbeiter in den nachgelagerten Ministerien offensichtlich kaum die notwendige Erfahrung haben. Dass es da zu Fehlplanungen kommt, war zu erwarten. Dabei gibt es auf parlamentarischer und außerparlamentarischer Ebene ausreichend Kompetenz, die man sich bei Themen wie sichere Datennetze ins Boot holen könnte. Dafür benötigt man lediglich die notwendige Offenheit und die Souveränität, auch Kompetenzträger außerhalb der eigenen Machtreihen anzuhören und Vorarbeiten wie die Ergebnisse der Enquete-Kommission “Internet und Digitale Gesellschaft” zu berücksichtigen. Bevor es hier also zu weiteren Fehlplanungen und noch größeren finanziellen Löchern kommt, sollte der gesamte Planungsprozess für ein sicheres Datennetz der Bundesbehörden neu aufgesetzt werden – unter Beteiligung aller Betroffenen und auch von außerministerialen Experten auf diesem Gebiet.« Quellen: [1] http://www.zeit.de/politik/deutschland/2014-10/de-maiziere-innenministerium-bundesrechnungshof-datensicherheit-fehler

Nacktbild-Skandal: Ein faktischer Appell für mehr Datensicherheit im Netz

Auf bisher noch ungeklärtem Wege sind am gestrigen Tage Nacktbilder von bekannten Hollywood-Schauspielerinnen im Netz aufgetaucht [1]. Für die Piratenpartei ist das ein prägnantes Beispiel, wie wichtig Datensicherheit bei der Nutzung digitaler Dienste ist. Dazu Stefan Körner, Bundesvorsitzender der Piratenpartei Deutschland: “Hier wurden Menschen in Folge der Nutzung digitaler Dienste ihrer intimsten Momente und ihrer Privatsphäre beraubt und es lässt sich ad hoc noch nicht einmal feststellen, wie das geschehen konnte. Für uns ist das ein klares Indiz, dass wir zwar laufend neue Apps, Cloud-Dienste und stets mit dem Internet verbundene Smartphones angeboten bekommen, der Datenschutz dabei aber immer noch auf der Strecke bleibt. Für uns ist das nicht nur ein faktischer Appell an Unternehmen, ihr Engagement bei der Entwicklung datensicherer Softwareanwendungen zu verstärken. Für uns ist das viel mehr ein Aufruf an die Politik. Denn auch bei uns hat eine Bundesregierung jüngst in der eigenen Digitalen Agenda festgestellt, dass die Sicherheit für die eigenen Daten in der Eigenverantwortung der Nutzer liegen solle. Das kann und darf nicht sein. Anstatt die eigenen Nachrichtendienste mit Trojanern und anderer Schadsoftware auszustatten, brauchen wir konkrete politische Initiativen für eine Stärkung der IT-Infrastruktur. Unternehmen müssen über die EU-Datenschutzverordnung stärker in die Pflicht genommen werden, die eigenen Softwareprodukte datenschutzfreundlich und datensicher zu gestalten. Auch fordern wir konkrete Investitionen in den Aufbau einer überwachungsresistenten IT-Infrastruktur auf Basis freier Software und offener Standards. Insbesondere setzen wir uns für ein staatlich finanziertes Trustcenter ein, das jedem Menschen unabhängig vom Einkommen die Möglichkeit gibt, Dokumente und E-Mails für eine abhörsichere Korrespondenz zu verschlüsseln und rechtskräftig digital zu signieren.“ Quellen: http://www.zeit.de/digital/internet/2014-09/4chan-stars-fotos-leak