Tag Archives: Sicherheit

Über WhatsApp kann man Paypal- und Googlekonten ausspionieren

Auch in der letzten Zeit habe ich immer wieder über Sicherheitslücken bei WhatsApp gesprochen und nun kommt nach einer Zeit der Ruhe wieder eine erschreckend große Lücke auf.

ZDNet beruft sich auf das deutsche Sicherheitsunternehmen Curesec (cureblog.de) und berichtet, dass Hacker es geschafft hätten über WhatsApp auf Bezahlkonten wie Paypal und Google Wallet zuzugreifen. Die Gefahrt so ZDNet, resultiere aus einer Mischung aus verschlüsselten und unverschlüsselten Verbindungen.

Zwar hat WhatsApp aufgerüstet und in der bezahlten Variante zwischen Server und Bezahldienst eine SSL-Verbindung eingerichtet, aber zwischen dem Browser der App und dem WhatsApp Server werden die Daten in Klartest verschoben. Dieser Browser startet bei jedem Bezahlvorgang.

Weitere Informationen findet Ihr hier:

1. ZDNet
http://www.zdnet.de/88163371/sicherheitsfirma-uber-whatsapp-lucke-lassen-sich-paypal-und-google-konten-ausspionieren/?utm_source=rss&utm_medium=rss&utm_campaign=rss&utm_source=twitterfeed&utm_medium=twitter

2. cureblog.de
https://cureblog.de/2013/07/phishing-google-wallet-and-paypal-by-abusing-whatsapp/

Bring your own device

Die Consumeration of IT schreitet immer weiter voran. Sehr viele Unternehmen erlauben es Ihren Mitarbeitern die gestellte Hardware auch für private Zwecke zu nutzen oder auch private Hardware für das Unternehmen zu nutzen. Vielfach finden es die Angestellten umständlich und kompliziert Hardware in doppelter Ausführung mit sich zu führen. Dies gilt nicht nur für eine mögliche Geschäftsreise, sondern auch für den Weg zum Arbeitsplatz. Einige Mitarbeiterinnen besitzen sogar keinen privaten Rechner oder Smartphone mehr, da Sie Ihre gesamte Kommunikation über ihre Geschäftsgeräte abwickeln.

Diese Entwicklung schreitet extrem schnell voran. Eine Ursache lässt sich darin erkennen, dass schicke, funktionelle und leistungsstarke Hardware seit einigen Jahren auch für den Consumer zu akzeptablen Preisen verfügbar ist. Früher war diese Hardware entsprechend kostspielig und nur über exklusive Vertriebswege für Firmen beziehbar.

rechtliche Probleme:
Nun wirft diese Praxis einige rechtliche Probleme auf.

Wir wollen uns einmal mit dem Problem des Datenschutzes der Kundendaten beschäftigen. Dieses Thema sorgte in den letzten Jahren immer wieder zu regen Diskussionen, da das Thema Datenhandel immer mehr in den Fokus rückt.

Ich bin sehr viel unterwegs und habe bei den letzten drei Flugreisen (100% Geschäftsleute) kleine Umfragen gestartet und aktuell auch hier über meinen Blog. Im Flieger war das Ergebnis:

24 Geschäftsleute befragt, ob Sie Ihr Blackberry/IPhone für private Dinge nutzen und für die geschäftliche Kommunikation. Konkret habe ich gefragt, ob sie alle ihre Geschäftskontakte auf Ihrem Diensthandy haben und Apps wie WhatsApp. Das Ergebnis hat mich nicht wirklich erstaunt. Von 24 Geschäftleuten auf dem Weg von Köln nach München hatten 23 WhatsApp auf Ihrem Diensthandy.
Ich fragte bei 4 Geschäftsleuten weiter, ob Ihre Firma ( Globale Firmen/ Autobranche + Luftfahrt ) die private Nutzung gestattet. Diese bestätigten dies und in den Regelungen stände nichts von einem Verbot von WhatsApp und Co.
Als ich diese Personen aufkläre, dass das gesamte Telefonbuch auf die Server von WhatsApp geladen wird, sagten Sie, dass es Ihnen egal sei.

Dies erstaunte mich sehr stark.

positive Erkenntnis:
Nur eine Person der 24 Befragten der Stichprobe holte zu meinem Erstaunen ein privates Handy hervor und meinte, hier habe ich WhatsApp drauf, aber nicht auf meinem Geschäftshandy. Warum er sich so verhalte, erkläre er mir auch: “Es gab einen Datenklau in seiner hochspezialisieren Firma und interne Kundendaten tauchten bei der Konkurrenz auf. Es wurden sogar die privaten Nummern der CEOs der Kunden von der Konkurrenz angerufen.” Danach gab es ein Review der Datenschutz-Guidelines seines Unternehmens. Den Kunden hätten Sie verloren, aber das würde Ihnen nicht nochmal passieren. Warum alle anderen im Flieger so unvorsichtig seinen, verstehe er auch nicht.

Ergebnis:
Der Umgang der Daten in dieser Stichprobe verstößt gegen geltendes Recht. Die Sorglosigkeit vieler Geschäftsleute erstaunt mich sehr!

Bundesdatenschutzgesetz

Lösung:
Ich habe mir alle gänigen Handy angeschaut. Lediglich das neue WindowsPhone 8 verfügt über einen vom restlichen Handy abgeschotteten Bereich, der von einem Unternehmen gesteuert werden kann und der zurzeit den größst möglichen Schutz bietet.

Informationen findet Ihr hier:
http://www.windowsphone.com/de-DE/business/for-business

Informationen zu dem Thema beim Bundesministerium des Inneren:

Bring your own device:
Broschüren + Informationsmaterial

https://www.sicher-im-netz.de/unternehmen/2246.aspx

Der sicherste Browser ist…

Die allgemeine Frage ist: Welchen Browser sollte ich nutzen?

Wir wollen dieser Frage aus Gründen der Sicherheit einmal nachgehen. Also welcher Browser hat im vergangenen Jahr die wenigsten Schwachstellen gehabt und welche Schwachstellen sind noch offen?

Als Grundlage nutzen wir die Statistik des Bundesamt für Sicherheit in der Informationstechnik vom 1.03.2012 bis zum 1.03.2013:

Safari                           (Apple): 88 Schwachstellen (67 kritisch/alle geschlossen)
Chrome                      (Google): 259 Schwachstellen (163 kritisch/ alle geschlossen)
Internet Explorer (Microsoft): 019 Schwachstellen (14 kritisch/alle geschlossen)
Firefox                        (Mozilla): 188 Schwachstellen (128 kritisch/alle geschlossen)

Rangfolge nach den objektiven Daten des BSI:

wenigste Schwachstellen

1. InternetExplorer

2. Safari

3. Firefox

4. Chrome

meiste Schwachstellen

Zusammenfassung:

Schaut man sich nun diese Daten des BSI genauer an, muss man zwangsläufig zum Ergebnis kommen, dass der InternetExplorer der Browser mit großem Abstand mit den wenigsten Schwachstellen ist.

Laut der aktuellen Ergebnisse des letzten Jahres:
Empfehlung: Internet Explorer
Don´t: Chrome und Firefox

Informationen/Quelle:

https://www.cert-bund.de/schwachstellenampel

Die Schwachstellenampel

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlicht in regelmäßigen Abständen als Angebot des “Warn- und Informationsdienst” (WID) und dem Bürger-CERT Informationen zu aktuellen Schwachstellen bei vielen Softwareprodukten. Diese Informationen sind öffentlich zugänglich.

Die Informationen über die Schwachstellen stammen aus verschiedenen kommerziellen Schwachstellen-Informationsdiensten und von öffentlich zugänglichen Angeboten aus dem Internet, so die CERT-Bund Webseite.

Der aktuelle Auswertungszeitraum 1.03.2012 bis 1.03.2013:

Adobe

Adobe Reader: 54 Schwachstellen (54 kritisch/ alle geschlossen)
= BSI Bewertung ist grün
Adobe Acrobat: 53 Schwachstellen (53 kritisch/ alle geschlossen)
= BSI Bewertung ist grün
Flash Player: 82 Schwachstellen (77 kritisch/ alle geschlossen)
= BSI Bewertung ist grün

Apple

Mac OSX: 26 Schwachstellen ( 9 kritisch/alle geschlossen)
= BSI Bewertung ist grün
Safari: 88 Schwachstellen (67 kritisch/alle geschlossen)
= BSI Bewertung ist grün
Quicktime: 19 Schwachstellen (19 kritisch/alle geschlossen)
= BSI Bewertung ist grün

Google

Chrome: 259 Schwachstellen (163 kritisch/alle geschlossen)
= BSI Bewertung ist grün

Linux

Kernel: 109 Schwachstellen ( 25 kritisch/alle geschlossen)
= BSI Bewertung ist grün

Microsoft

Windows: 99 Schwachstellen (57 kritisch/alle geschlossen)
= BSI Bewertung ist grün
Internet Explorer: 19 Schwachstellen (14 kritisch/alle geschlossen)
= BSI Bewertung ist grün
Office: 31 Schwachstellen (22 kritisch/alle geschlossen)
= BSI Bewertung ist grün

Mozilla

Firefox: 188 Schwachstellen (128 kritisch/alle geschlossen)
= BSI Bewertung ist grün
Thunderbird: 175 Schwachstellen (124 kritisch/alle geschlossen)
= BSI Bewertung ist grün

Oracle

Java DE Develoment Kit (JDK): 149 Schwachstellen ( 92 kritisch/ 1 offene)
= BSI Bewertung ist rot
Java Runtime: 151 Schwachstellen (124 kritisch/ 1 offene)
= BSI Bewertung ist rot

Informationsquellen für Schwachstellen:

http://de.norton.com/security_response/threatexplorer (Norton)
http://secunia.com/community (Secunia)
http://cve.mitre.org/cve/index.html (Common Vulnerabilities and Exposures List/ CVE)

Informationen zur Schwachstellenampel:

https://www.allianz-fuer-cybersicherheit.de/ACS/DE/_downloads/cybersicherheitslage/BSI-CS_028.pdf?__blob=publicationFile

WhatsApp bleibt unsicher

Wie SpiegelOnline und mehrere Fachmagazine heute berichteten, ist und bleibt der SMS ähnliche Dienst WhatsApp unsicher. Immer noch können Unbefugte über das Programm Zugang zum gesamten Smartphone erhalten. Alle Bemühungen der Entwickler von WhatsApp sind fehlgeschlagen.

Betroffen sind alle großen Plattformen wie Apples AppStore, GooglePlay oder auch der WindowsPhone Store von Microsoft.

Besonders bei IOs Handy und bei Android Handys sei der unbefugte Zugang zum Smartphone besonders einfach. Es genüge deren MAC-Adresse, bzw deren IMEI Seriennummer um Zugang über die Software auf das Smartphone zu bekommen, berichtete Heise Security.

Erneut Account Klau bei Whats-App (heise) 29.11.2012

WhatsApp geht gegen Entwickler vor (heise) 29.11.2012

WhatsApp fast ungeschützt (heise) 14.11.2012

Aus rechtlicher Sicht könnte man davon ausgehen, dass jede Nutzerin und jeder Nutzer ein aus ihrer Sicht bekanntes Risiko eingehen, wenn sie diese App auf Ihrem Smartphone installieren. Wenn bereits mehrfach auch über allgemeine Medien wie SpiegelOnline berichtet wird, ist das Sicherheitsrisiko über die Fachwelt auch an den klassischen Konsumen durchgedrungen.
Eine andere Sicht könnte es sein, dass der klassische Konsument das Sicherheitsrisiko durch fehlenden Sachverstand nicht einschätzen kann.

Interessante werden diese Fragestellungen und Meinungen, wenn man sich vor Augen führt, dass viele Anwälte, Ärzte, Polizisten und vor allem viele Unternehmen heute als Diensthandys Smartphones einsetzen. Dieser Blick eröffnet eine für Anwälte sehr lohnende Sicht. Wer möchte diesbezüglich nicht einmal die Frage vor Gericht klären lassen, wer für Schäden durch Unternehmensspionage über schädliche Apps haftet?