Tag Archives: Sicherheit

Heartbleed – Sicherheitslücke

Seit einigen Tagen ist bekannt, dass es eine schwerwiegende Sicherheitslücke in der OPENSSL-Verschlüsselung gibt. Viele Firmen, aber auch Privatleute, setzen auf die Technologie und nicht auf die SSL Technologie.

Das Bundesamt für Informationssicherheit stuft die Sicherheitslücke als kritisch ein:
“Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stuft diese Schwachstelle als kritisch ein. Ein Angreifer ist unter Ausnutzung der Schwachstelle in der Lage, Speicherinhalte des OpenSSL Servers auszulesen, sofern diese die “Heartbeat”-Erweiterung aktiviert haben. Mithilfe des “Heartbleed Bugs” können zudem unter Umständen die geheimen Schlüssel von OpenSSL-Servern ausgelesen werden.”
http://www.bsi.bund.de/DE/Presse/Kurzmitteilungen/Kurzmit2014/Heartbleed_11042014.html;jsessionid=C9F4010082106B19C6381EE14C2C7F9E.2_cid361

Eine kleine Grafik zeigt wer aktuell betroffen ist:
http://venturebeat.files.wordpress.com/2014/04/lwg_heartbleed.jpg

Wie Ihr wisst bin ich MVP für Office 365 und so fand ich natülich den passenden Eintrag auf dem Office Blog:
blogs.technet.com/b/security/archive/2014/04/10/microsoft-devices-and-services-and-the-openssl-heartbleed-vulnerability.aspx

“Nach einer gründlichen Untersuchung, bestimmt Microsoft, dass Microsoft-Konto, Microsoft Azure, Office 365, Yammer und Skype, zusammen mit den meisten Microsoft-Dienste, werden nicht von der OpenSSL “Heartbleed” Schwachstelle betroffen. Implementierung von SSL / TLS Windows ist auch nicht betroffen. Einige Dienstleistungen weiterhin überprüft und mit weiteren Schutzmaßnahmen aktualisiert werden.”

Konkret heißt es: Kunden von Office 365 oder auch eines Microsoft Kontos sind nicht betroffen.

Der sichere Weg in der Unternehmenskommunikation – Email verschlüsselung in Office 365

Nachdem auch im Unternehmen immer mehr auf die sichere Unternehmenskommunikation geachtet wird und werden muss, habe ich mich in diesem Blogbeitrag noch einmal mit dem Thema in Verbindung mit Office 365 beschäftigt.

 

Exchange Online in Office 365
Zunächst werden Emails in Office 365 über den in der Office 365 Umgebung integrierten Exchange Online Server empfangen und gesendet. Jeder Office 365 Account ist gleichzeitig eine Emailadresse. Die Emails werden in Default nicht verschlüsselt. Das ist der Stand der Dinge, wenn man einen Office 365 Tantent erhält.

 

Emailverschlüsselung Teil 1: Right Management / Informations Right Management

Im Rahmen des Right Management kann der Administrator auf der einen Seite festlegen welche Benutzer mit welchem Inhalt untereinander Emails schreiben können und welche nicht. Auf der anderen Seite können auch Benutzer festlegen wer von Administrator vordefinierte Gruppen Emails versenden oder auch welche den Inhalt der Email sehen können.

Beschränkungen können so vom User unter Optionen bei Outlook in der Email eingestellt werden:

  • drucken
  • weiterleiten
  • kopieren
  • nur lesen
  • vordefinierte Gruppen (z.B. Abteilungen)

Ein kleiner Nachteil ist, dass die Beschränkungen nur innerhalb der Organisation möglich ist. Benutzer können so ihre Emails und deren Inhalte vor anderen Benutzern innerhalb der Organisation und vor Externen schützen, wenn die Email an einen Account innerhalb der Organisation geht. Dies kann soweit gehen, dass auch die Screenshotfunktion des Betriebssystems und auch die z.B. von OneNote nicht verfügbar ist.

Die Email an sich ist mit einem roten Kreis mit einem kleinen weißen Strich in der Mitte gekennzeichnet. Dieses Symbol kennt ihr bestimmt aus dem Straßenverkehr, es ähnelt dem Durchfahrt-Verboten Schild.

 

Emailverschlüsselung Teil 2: TLS Verschlüsselung
Unter TLS Verschlüsselung versteht man ein hybrides Verschlüsselungsverfahren. Den meisten unter euch müsste es als Webstandard TLS/SSL im Browser bekannt sein .Wenn ihr zum Beispiel Onlinebanking macht oder in einem Online-Shop einkauft wird dieser Standard genutzt. Die Hauptaufgaben liegen einmal in der Authentifizierung der Kommunikationspartner unter Verwendung von asymetrischen Verschlüsselungsverfahren und Zertifikaten, sowie der Austausch eines gemeinsamen Sitzungsschlüssels (Session-Key). Weiterhin dient es zur vertraulichen Datenübertragung von einem Ende zum Anderen mit Hilfe symmetriescher Verschlüsselungsverfahren unter Verwendung eines gemeinsamen Sitzungsschlüssels. Als Letztes soll durch dieses Verfahren die Integrität der transportierten Daten unter Verwendung eines Message Authentication Codes sichergestellt werden.

Eine Informationen findet ihr beim BSI (Bundesamt für Sicherheit in der Informationstechnik)
Beispiel für öffentliche Einrichtungen: https://www.bsi.bund.de/DE/Publikationen/Mindeststandards/SSL-TLS-Protokoll/SSL-TLS-Protokoll.html

 

Bei Office 365 und der Emailversendung bedeutet dies, dass zunächst in einem ersten Schritt eine vertrauliche TLS Verbindung zwischen den Sender und Empfänger aufgebaut wird und dann in einem zweiten Schritt die Email über diese sicherere Verbindung versendet wird.

Die Regel kann für alle Emails oder auch für nur bestimmte Sender oder Empfänger konfiguriert werden. Im Default, ist diese Regel nicht definiert.

Kleiner Nachteil: Auch der Partner muss eine TLS Verschlüsselung anbieten. Informationen erhaltet Ihr hier über ein Szenario für TLS mittels Forefront: http://technet.microsoft.com/en-us/library/gg430177.aspx

 

Emailverschlüsselung Teil 3: Exchange Hosted Encryption (EHE) vs. Office 365 Encryption (angekündigt)
Vergleichen wir einmal den heutigen Möglichkeiten mit den zukünftigen Sicherheitseinstellungen:
1. Screen: Neu ab Q1 2014   2. Screen: aktueller Stand (E3 Plan)

neu alter Screen

Auf dem Screenshot ist zu erkennen, dass zwei neue Optionen als Regel in dem Bereich “Nachrichtensicherheit” auszuwählen sind.

Erste Informationen zu der Verschlüsselung und ihrer Einrichtung habe ich in meinem Blogartikel mit dem Titel ” verschlüsselte Email mit Office 365 ” geschrieben. Dort findet Ihr auch eine Verlinkung zu dem Blogeintrag, der die zusätzlichen Einstellungen ankündigt und weitergehende Informationen gibt. Hier nun noch die kurze Zusammenfassung:

Office 365 Message Encryption:

  • Send Encrypted Mail to anyone
  • Custom Branding (Logo, Encryption portal text, Header text, Disclaimer text)  – bei EHE nicht möglich, aber für mich persönlich ein Muss in der Unternehmenskommunikation
  • Message size Limit (25 MB) – bei EHE liegt dieser nur bei 10MB  – Anhänge werden mit einbezogen und auch verschlüsselt
  • Integration with Exchange transport rules (Yes, simplified with single-action encryption and decryption rules)
  • Integration with Data Loss Prevention
  • User experience (Rich, modern Office 365 user Interface)
  • Purchase Option (Included with Windows Azure Rights Management)
  • Authentication method for recipients to access encrypted emails outside of your organization. (Microsoft Account or Office 365 Organizational Account)

 Office 365 Encryption einstellen und starten (genauere Informationen bei TechNet) 

 

Teil 4: Verschlüsselung der Übertragungswege
Microsoft kündigte weiterhin am 04.12.2013 an, dass es die Daten der Kunden besser vor dem Zugriff der Behörden schützen will. Es sollen mehr oder sogar alle Übertragungswege geschützt werden. In einem weiteren Schritt kündigte Microsoft an und im Anschluss auch Google sowie Apple, dass sie auch gerichtlich gegen das aus ihrer Sicht illegale Abfangen von Daten außerhalb der USA ohne Gerichtsbeschluss vorgehen wollen. Dies würde in dem jeweiligen Land gegen die dortigen Gesetze verstoßen. Bezieht man dies auf Deutschland und das hier geltende Recht liegt ein Verstoß gegen geltendes Recht vor, welches auch strafrechtlich verfolgt werden müsste, wenn es sich beweisen ließ.

möglicherweise liegen vor:
§ 202 b StGB (“Abfangen von Daten”)
§ 202 a StGB (“Ausspähen von Daten”)
§ 202 c StBG (“Vorbereiten des Ausspähens und Abfangens von Daten”)

§§ 44, 43 BDSG

§ 269  StGB   (“Fälschung beweiserheblicher Daten”)

Verfügbarkeit:
Zunächst nur die E Pläne und dann auch die A-Pläne und alle anderen.

 

Quellen:

Protecting Customer data from government snooping

Exchange Hosted Encryption (EHE) upgrade center
http://technet.microsoft.com/en-us/library/dn532175.aspx

Security White Paper Office 365 (Bietet sehr gute Informationen)
http://download.microsoft.com/download/6/6/2/662F89E4-9340-4DDE-B28E-D1643681ADEB/Security%20in%20Office%20365%20Whitepaper.docx

 

Über WhatsApp kann man Paypal- und Googlekonten ausspionieren

 

Auch in der letzten Zeit habe ich immer wieder über Sicherheitslücken bei WhatsApp gesprochen und nun kommt nach einer Zeit der Ruhe wieder eine erschreckend große Lücke auf.

ZDNet beruft sich auf das deutsche Sicherheitsunternehmen Curesec (cureblog.de)  und berichtet, dass Hacker es geschafft hätten über WhatsApp auf Bezahlkonten wie Paypal und Google Wallet zuzugreifen. Die Gefahrt so ZDNet, resultiere aus einer Mischung aus verschlüsselten und unverschlüsselten Verbindungen.

Zwar hat WhatsApp aufgerüstet und in der bezahlten Variante zwischen Server und Bezahldienst eine SSL-Verbindung eingerichtet, aber zwischen dem Browser der App und dem WhatsApp Server werden die Daten in Klartest verschoben. Dieser Browser startet bei jedem Bezahlvorgang.

Weitere Informationen findet Ihr hier:

1. ZDNet
http://www.zdnet.de/88163371/sicherheitsfirma-uber-whatsapp-lucke-lassen-sich-paypal-und-google-konten-ausspionieren/?utm_source=rss&utm_medium=rss&utm_campaign=rss&utm_source=twitterfeed&utm_medium=twitter

2. cureblog.de
https://cureblog.de/2013/07/phishing-google-wallet-and-paypal-by-abusing-whatsapp/

Bring your own device

 

Die Consumeration of IT schreitet immer weiter voran. Sehr viele Unternehmen erlauben es Ihren Mitarbeitern die gestellte Hardware auch für private Zwecke zu nutzen oder auch private Hardware für das Unternehmen zu nutzen. Vielfach finden es die Angestellten umständlich und kompliziert Hardware in doppelter Ausführung mit sich zu führen. Dies gilt nicht nur für eine mögliche Geschäftsreise, sondern auch für den Weg zum Arbeitsplatz. Einige Mitarbeiterinnen besitzen sogar keinen privaten Rechner oder Smartphone mehr, da Sie Ihre gesamte Kommunikation über ihre Geschäftsgeräte abwickeln.

Diese Entwicklung schreitet extrem schnell voran. Eine Ursache lässt sich darin erkennen, dass schicke, funktionelle und leistungsstarke Hardware seit einigen Jahren auch für den Consumer zu akzeptablen Preisen verfügbar ist. Früher war diese Hardware entsprechend kostspielig und nur über exklusive Vertriebswege für Firmen beziehbar.

rechtliche Probleme:
Nun wirft diese Praxis einige rechtliche Probleme auf.

Wir wollen uns einmal mit dem Problem des Datenschutzes der Kundendaten beschäftigen. Dieses Thema sorgte in den letzten Jahren immer wieder zu regen Diskussionen, da das Thema Datenhandel immer mehr in den Fokus rückt.

Ich bin sehr viel unterwegs und habe bei den letzten drei Flugreisen (100% Geschäftsleute) kleine Umfragen gestartet und aktuell auch hier über meinen Blog. Im Flieger war das Ergebnis:

24 Geschäftsleute befragt, ob Sie Ihr Blackberry/IPhone für private Dinge nutzen und für die geschäftliche Kommunikation. Konkret habe ich gefragt, ob sie alle ihre Geschäftskontakte auf Ihrem Diensthandy haben und Apps wie WhatsApp. Das Ergebnis hat mich nicht wirklich erstaunt. Von 24 Geschäftleuten auf dem Weg von Köln nach München hatten 23 WhatsApp auf Ihrem Diensthandy.
Ich fragte bei 4 Geschäftsleuten weiter, ob Ihre Firma ( Globale Firmen/ Autobranche + Luftfahrt ) die private Nutzung gestattet.  Diese bestätigten dies und in den Regelungen stände nichts von einem Verbot von WhatsApp und Co.
Als ich diese Personen aufkläre, dass das gesamte Telefonbuch auf die Server von WhatsApp geladen wird, sagten Sie, dass es Ihnen egal sei.

Dies erstaunte mich sehr stark.

positive Erkenntnis:
Nur eine Person der 24 Befragten der Stichprobe holte zu meinem Erstaunen ein privates Handy hervor und meinte, hier habe ich WhatsApp drauf, aber nicht auf meinem Geschäftshandy.  Warum er sich so verhalte, erkläre er mir auch: “Es gab einen Datenklau in seiner hochspezialisieren Firma und interne Kundendaten tauchten bei der Konkurrenz auf. Es wurden sogar die privaten Nummern der CEOs der Kunden von der Konkurrenz angerufen.” Danach gab es ein Review der Datenschutz-Guidelines seines Unternehmens. Den Kunden hätten Sie verloren, aber das würde Ihnen nicht nochmal passieren.  Warum alle anderen im Flieger so unvorsichtig seinen, verstehe er auch nicht.

 

Ergebnis:
Der Umgang der Daten in dieser Stichprobe verstößt gegen geltendes Recht. Die Sorglosigkeit vieler Geschäftsleute erstaunt mich sehr!

Bundesdatenschutzgesetz

Lösung:
Ich habe mir alle gänigen Handy angeschaut. Lediglich das neue WindowsPhone 8 verfügt über einen vom restlichen Handy abgeschotteten Bereich, der von einem Unternehmen gesteuert werden kann und der zurzeit den größst möglichen Schutz bietet.

Informationen findet Ihr hier:
http://www.windowsphone.com/de-DE/business/for-business 

 

Informationen zu dem Thema beim Bundesministerium des Inneren:

Bring your own device:
Broschüren + Informationsmaterial

https://www.sicher-im-netz.de/unternehmen/2246.aspx

 

 

 

Der sicherste Browser ist…

 

Die allgemeine Frage ist:  Welchen Browser sollte ich nutzen?

Wir wollen dieser Frage aus Gründen der Sicherheit einmal nachgehen. Also welcher Browser hat im vergangenen Jahr die wenigsten Schwachstellen gehabt und welche Schwachstellen sind noch offen?

Als Grundlage nutzen wir die Statistik des Bundesamt für Sicherheit in der Informationstechnik vom 1.03.2012 bis zum 1.03.2013:

Safari                            (Apple): 88 Schwachstellen (67 kritisch/alle geschlossen)
Chrome                      (Google): 259 Schwachstellen (163 kritisch/ alle geschlossen)
Internet Explorer (Microsoft): 019 Schwachstellen (14 kritisch/alle geschlossen)
Firefox                        (Mozilla): 188 Schwachstellen (128 kritisch/alle geschlossen)

Rangfolge nach den objektiven Daten des BSI:

wenigste Schwachstellen

1. InternetExplorer

2. Safari

3. Firefox

4. Chrome

meiste Schwachstellen

Schwachstellen

Zusammenfassung:

Schaut man sich nun diese Daten des  BSI genauer an, muss man zwangsläufig zum Ergebnis kommen, dass der InternetExplorer der Browser mit großem Abstand mit den wenigsten Schwachstellen ist.

Laut der aktuellen Ergebnisse des letzten Jahres:
Empfehlung: Internet Explorer
Don´t: Chrome und Firefox

Informationen/Quelle:

https://www.cert-bund.de/schwachstellenampel

 

 

 

Die Schwachstellenampel

 

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlicht in regelmäßigen Abständen als Angebot des “Warn- und Informationsdienst” (WID) und dem Bürger-CERT Informationen zu aktuellen Schwachstellen bei vielen Softwareprodukten. Diese Informationen sind öffentlich zugänglich.

Die Informationen über die Schwachstellen stammen aus verschiedenen kommerziellen Schwachstellen-Informationsdiensten und von öffentlich zugänglichen Angeboten aus dem Internet, so die CERT-Bund Webseite.

Der aktuelle Auswertungszeitraum 1.03.2012 bis 1.03.2013:

Adobe

  • Adobe Reader: 54 Schwachstellen (54 kritisch/ alle geschlossen)
    = BSI Bewertung ist grün
  • Adobe Acrobat: 53 Schwachstellen (53 kritisch/ alle geschlossen)
    = BSI Bewertung ist grün
  • Flash Player: 82 Schwachstellen (77 kritisch/ alle geschlossen)
    = BSI Bewertung ist grün

Apple

  • Mac OSX: 26 Schwachstellen ( 9 kritisch/alle geschlossen)
    = BSI Bewertung ist grün
  • Safari: 88 Schwachstellen (67 kritisch/alle geschlossen)
    = BSI Bewertung ist grün
  • Quicktime: 19 Schwachstellen (19 kritisch/alle geschlossen)
    = BSI Bewertung ist grün

Google

  • Chrome: 259 Schwachstellen (163 kritisch/alle geschlossen)
    = BSI Bewertung ist grün

 Linux

  • Kernel: 109 Schwachstellen ( 25 kritisch/alle geschlossen)
    = BSI Bewertung ist grün

Microsoft

  • Windows: 99 Schwachstellen (57 kritisch/alle geschlossen)
    = BSI Bewertung ist grün
  • Internet Explorer: 19 Schwachstellen (14 kritisch/alle geschlossen)
    = BSI Bewertung ist grün
  • Office: 31 Schwachstellen (22 kritisch/alle geschlossen)
    = BSI Bewertung ist grün

Mozilla

  • Firefox: 188 Schwachstellen (128 kritisch/alle geschlossen)
    = BSI Bewertung ist grün
  • Thunderbird: 175 Schwachstellen (124 kritisch/alle geschlossen)
    = BSI Bewertung ist grün

Oracle

  • Java DE Develoment Kit (JDK): 149 Schwachstellen ( 92 kritisch/ 1 offene)
    = BSI Bewertung ist rot
  • Java Runtime: 151 Schwachstellen (124 kritisch/ 1 offene)
    = BSI Bewertung ist rot

 

 

Informationsquellen für Schwachstellen:

Informationen zur Schwachstellenampel:

https://www.allianz-fuer-cybersicherheit.de/ACS/DE/_downloads/cybersicherheitslage/BSI-CS_028.pdf?__blob=publicationFile

WhatsApp bleibt unsicher

 

Wie SpiegelOnline und mehrere Fachmagazine heute berichteten, ist und bleibt der SMS ähnliche Dienst WhatsApp unsicher. Immer noch können Unbefugte über das Programm Zugang zum gesamten Smartphone erhalten. Alle Bemühungen der Entwickler von WhatsApp sind fehlgeschlagen.

Betroffen sind alle großen Plattformen wie Apples AppStore, GooglePlay oder auch der WindowsPhone Store von Microsoft.

Besonders bei IOs Handy und bei Android Handys sei der unbefugte Zugang zum Smartphone besonders einfach. Es genüge deren MAC-Adresse, bzw deren IMEI Seriennummer um Zugang über die Software auf das Smartphone zu bekommen, berichtete Heise Security.

Erneut Account Klau bei Whats-App  (heise) 29.11.2012

WhatsApp geht gegen Entwickler vor (heise) 29.11.2012

WhatsApp fast ungeschützt (heise) 14.11.2012

Aus rechtlicher Sicht könnte man davon ausgehen, dass jede Nutzerin und jeder Nutzer ein aus ihrer Sicht bekanntes Risiko eingehen, wenn sie diese App auf Ihrem Smartphone installieren. Wenn bereits mehrfach auch über allgemeine Medien wie SpiegelOnline berichtet wird, ist das Sicherheitsrisiko über die Fachwelt auch an den klassischen Konsumen durchgedrungen.
Eine andere Sicht könnte es sein, dass der klassische Konsument das Sicherheitsrisiko durch fehlenden Sachverstand nicht einschätzen kann.

Interessante werden diese Fragestellungen und Meinungen, wenn man sich vor Augen führt, dass viele Anwälte, Ärzte, Polizisten und vor allem viele Unternehmen heute als Diensthandys Smartphones einsetzen. Dieser Blick eröffnet eine für Anwälte sehr lohnende Sicht. Wer möchte diesbezüglich nicht einmal die Frage vor Gericht klären lassen, wer für Schäden durch Unternehmensspionage über schädliche Apps haftet?