IT-Sicherheit 2018: Paukenschläge und Trommelwirbel

Von Bernd Schöne. Die Auswirkungen des US-Wahlkampfs sind bis 2018 spürbar. In den USA untersucht Sonderermittler Robert Mueller mögliche Verbindungen von Trump zu Russland, insbe-sondere mögliche Wahlbeeinflussungen. Das britische Datenanalyseunternehmen Cambridge Ana-lytica soll geholfen haben, extrem präzise zugeschnittene Propaganda für die US-Wahl, aber auch für den Brexit zu erstellen. Zuvor war es vom US-Milliardär Robert Mercer wohl zu diesem Zweck gegründet worden.

Grundlage waren enorme Datenmengen, die das Unternehmen von Facebook erhielt. Im März 2018 erhob der ehemalige Datenanalyst von Cambridge Analytica (CA), Christopher Wylie, schwere Vorwürfe. Die Daten von rund 87 Millionen Nutzeraccounts sollen unerlaubt abgegriffen worden sein, um aus diesen Propagandastrategien für zielgerichtete Werbung und Desinformation zu ge-winnen (Mikrotargeting). Kunde war Trumps Wahlkampf-Chefstratege Steve Bannon, der bereits beim Aufbau der Firma mitwirkte.

Cambridge Analytica war seit 2014 an etlichen Wahlkampf-Kandidaturen beteiligt und soll dazu Persönlichkeitsprofile von 50 Millionen Wählern angefertigt haben. Im März prahlte der Chef von CA, Alexander Nix in einem Interview mit illegalen Praktiken. Er gab an, dass Donald Trump die Präsidentschaftswahl nur dank seiner Firma gewonnen habe. Ob Aufschneiderei oder Realität ist ohne eingehende wissenschaftliche Analyse nicht zu beantworten. Während des US-Wahlkampfes verlor CA Kunden, weil diese den Methoden des Unternehmens nicht mehr vertrauten. Entschei-dend war aber die Wandlung des 26 Jahre alten Wylie. Dieser wurden zum Whistleblower.

Das technische Inventar von Cambridge Analytica ist für den IT-Insider weder neu noch überra-schend. Die entsprechenden Dataminig-Tools sind seit Langem bekannt und wurden unter anderem von europäischen und deutschen Wissenschaftlern entwickelt. Ob und wann sie eingesetzt werden, und wann ihre Verwendung legal oder illegal ist, stört IT-Techniker zunächst wenig. Sie fragen sich, ob ihr Einsatz möglich und zielführend ist? Die Antwort lautet nach dem Wahlkampf 2016 eindeu-tig: „ja“.

Dank präziser Nutzeranalysen, beruhend auf den Datenspuren von Milliarden Computeranwendern, ist eine Manipulation von Wahlen und Abstimmungen möglich, denn man kann jeden Personenkreis mit exakt jenen Informationen ködern, für den sie anfällig sind. Der werbetreibenden Wirtschaft ist die Lenkung von Verbrauchern allerdings schon seit Beginn des 20. Jahrhunderts bekannt. Wie da-rauf zu reagieren ist, das bestimmt die Politik, und nicht die Technik.

Als Folge musste sich Facebook-CEO Mark Zuckerberg vor dem US-Kongress und dem EU-Parlament unbequemen Fragen stellen. Das Fernsehen übertrug live. Die Anworten waren allerdings wenig ergiebig. Vorbei ist der Skandal noch lange nicht, Cambridge Analytica ist seit Mai 2018 insolvent, die Eigentümer gründeten darauf ein Nachfolgeunternehmen Namnes “Emerdata“. Neuer Ärger droht Facebook durch seinen Zulieferer „Six4Three“. Das britische Parlament hat die Heraus-gabe interner Facebook-Dokumente von diesem Unternehmen erzwungen. „Six4Three“ hatte für Facebook Software entwickelt.

Die Dokumente scheinen brisant zu sein, denn es wird mit allen juristischen Mitteln versucht ihre Veröffentlichung zu verhindern. Nicht einmal die Parlamentarier sollen es lesen dürfen. Facebbok kämpft weiter gegen den Vorwurf des Whistleblowers Christopher Wylie, von Anfang an alle Vor-gänge rund um Cambridge Analytica gewusst zu haben. 500 000 Pfund soll Facebook wegen des Datenskandals allein an die britische Datenschutzaufsicht zahlen. Weitere Strafen könnten folgen und es mehren sich politische Stimmen, die nach Regulierungen der Datensammler Google und Facebook rufen.

Zeitgleich gibt es Vorschläge, die Dienste effektiver zu besteuern. Die Gelegenheit für politische Maßnahmen erscheint günstig, denn erstmals treten die USA nicht geschlossen auf. Bei dieser Ge-legenheit könnte man auch diskutieren, warum die westlichen Staaten es einem Unternehmen mit großen Marktdurchdringung erlauben, ohne demokratische Kontrollen der Welt die eigenen Regeln aufzuprägen.

Ob es sich beim Facebook-Skandal um eine Frage des Datenschutzes oder der IT-Sicherheit handelt, mag jeder selber entscheiden. Beim markantesten Paukenschlag 2018 stellt sich diese Frage nicht, denn sie stellt die IT-Sicherheit praktisch aller Computersysteme und damit der gesamten zivilisierten Staatengemeinschaft in Frage.

Im Januar 2018 wurden eine Reihe von massiven Sicherheitslücken bei Intel Prozessoren öffentlich. Sogar Tagespresse und das Fernsehen griffen das Thema auf. Danach wurde es rasch wieder still um „Meltdown“ und „Spectre“, so der zusammenfassende Name für die im Januar veröffentlichten Si-cherheitslücken. Bereits im Februar lagen den Antivirenfirmen 140 Angriffswerkzeuge vor, mit denen Kriminelle die Schwachstellen ausnutzen wollten. Die Anzahl der bekannten Schwachstellen steigt. Wikipedia spricht von acht zusätzlichen Angriffspunkten, die nun unter dem Namen Next Generation (Spectre-NG) die Hackergemeinde beschäftigen. Neben CPUs von Intel kranken auch Power PC-Prozessoren auf Basis der IBM-Power-Architektur sowie CPUs von AMD, Apple, ARM, Citrix, Huawei, Nvidia, NXP, Oracle und Qualcomm an den Schwachstellen. Nicht nur PCs können Opfer sein. Es wurden Verwundbarkeiten bei NAS-Systemen bekannt. Diese sind vor allem bei klein- und mittelständischen Betrieben beliebt, weil sie unkompliziert zu installieren sind und rasch mehr Speicherplatz im Büro schaffen. Auch NAS-Systeme verfügen über eine CPU, und sind damit anfällig für „Meltdown“, „Spectre“ und deren Geschwister.

Dass so viele Firmen und praktisch alle geläufigen Prozessoren betroffen sind, hat einen simplen Grund. Es handelt sich nicht um einen Angriff, sondern um den „Stand der Technik“. Seit Jahrzehn-ten nutzen CPU-Hersteller die Technik des vorläufigen Auslesens, auch „Out-of-order execution“ genannt. Der Prozessor führt hier Befehle aus, die er gar nicht bekommen hat, aber die er erwartet. So ist er im Falle eines Falles schneller mit den Kalkulationen fertig. Eigentlich sollten solche virtu-ellen Befehle keine Spuren hinterlassen. Aber genau dies hat sich als Irrtum erwiesen. Mit geeigne-ten Werkzeugen lassen sich die gebräuchlichen Verfahren missbrauchen. So redselig die Prozessor-Hersteller untereinander sind, so diskret sind sie nach außen.

Viele Befehle und Abläufe sind schlecht dokumentiert. So mussten Forscher der Northeastern Uni-versity in Boston und des IBM-Forschungszentrum in Zürich zunächst mit Mitteln des Reverse En-gineering die internen Abläufe innerhalb der CPU rekonstruieren, bis sie mit dem selbst geschriebe-nen Werkzeug „Speculator“ auf die Suche nach neuen Verwundbarkeiten gehen konnten. Besonde-re auf dir Fließkommaregister der CPU achten die Ingenieure. Denn dort legen Verschlüsselungs-programme die hoch sensiblen privaten Schlüssel ab und diese Register sind daher eine besonders lohnende Beute für Spionageprogramme.

Da es nicht möglich ist, alle betroffenen Prozessoren auszutauschen, bleibt nur der Weg über eine Notreparatur über das Betriebssystem. Nach anfänglichem Zögern stellt Microsoft über den Up-datemechanismus von Windows nun Software zur Verfügung, die zumindest das Ausnutzen dieser Schwachstellen verhindern soll. Auch Linux und Apple reagieren und selbst Intel hat nun Patches veröffentlicht. Bei den hastig gestrickten Patches kommt es aber zu unerwünschten Nebenwirkun-gen wie ungewollten Neustarts. Auch sind längst noch nicht für alle betroffenen Prozessoren Pat-ches verfügbar. Lange Listen mit Prozessoren und den notwendigen Maßnahmen kursieren im In-ternet.

Die Schwachstellen selbst sind damit nicht zu beseitigen, weil sie Teil der Hardware des Chips sind. Nur ein Austausch könnte das Problem beheben. Diesen fordert aber öffentlich kaum jemand. Ein eklatanter Unterschied zur Dieselproblematik. Über reale Schäden der Sicherheitslücken ist aktuell nichts bekannt. Wenn sie ausgenutzt worden sind, flossen Daten in äußerst diskrete Kanäle ab, die mit dieser Beute weder Handel betreiben noch sich auf Hackerkonferenzen damit wichtig machen.

Der auch als "Prozessor-Papst" bekannte deutsche Fachjournalist Andreas Stiller fasst die Situation so zusammen: „Die Sicherheitslücken Meltdown und Spectre treffen die Prozessorhersteller ins Mark – vor allem Intel. Aus den Lücken ergeben sich mehr als ein Dutzend Angriffsmöglichkeiten – ein Security-Supergau.“

Einmal mehr zeigt sich die Abhängigkeit der EU von importierter IT, und diese steigt noch.

Im Jahr 2018 gibt Fujitsu bekannt, sein Werk in Augsburg schließen zu wollen. Damit verliert Eu-ropa seine letzte PC-Schmiede. Im Oktober 2018 berichtete der Finanzdienst Bloomberg, dass chi-nesische Hacker spezielle Spionagechips direkt in die Elektronik von Servern einer US-Firma ein-gebaut hätten.

Betroffen sollen Mainboards der Firma Supermicro sein, die auch für das US-Militär, Geheimdienste und Internetkonzerne arbeitet. Auch hier soll es sich, wie bei „Meltdown“ und „Spectre“, um Hardware-Trojaner handeln. Die Gefahr geht aber von einem winzig kleinen Chip aus, der Hintertü-ren auf Servern öffnen soll. Die als Opfer bezeichneten IT-Riesen Apple und Amazon bestritten anschließend vehement jede Gefährdung. Geklärt wurde dies bis Ende des Jahres nicht. Ob es sich also um die „größten Enthüllung im Bereich der IT-Spionage seit den Snowden-Dokumenten" han-delt, wie in der Presse zu lesen war, oder um eine Fehlinformation, muss sich erst noch erweisen.

Ein weiterer Paukenschlag mit Widerhall in den Massenmedien war der massive Datenverlust in der Buchungszentrale der Hotelkette Marriott. Es wurden neben den Daten des Mutterkonzerns auch die aller Schwestermarken kopiert. Regierungskreise in Washington machen inzwischen den Iran für einen der größten Hacks des Jahres 2018 verantwortlich. Sensible Daten von 500 Millionen Kunden kamen der Hotelkette abhanden, darunter auch Pass- und Kreditkartendaten. Das alles sei nur Teil einer groß angelegten Aktion, die bereits mehreren Jahren kaufe, so die Trump-Administration. Anhand der gestohlenen Informationen ist es möglich, in die digitale Haut von ahnungslosen Hotel-gästen zu schlüpfen, und in ihrem Namen Geschäfte zu tätigen. Zunächst hatten die Hacker bei einem Tochterunternehmen des Hotelkonzerns durch einen "nicht autorisierten Netzwerkzugriff" ein Einstiegstor bei der Konzerntochter Starwood geöffnet.

Anschließend konnten sie die Informationen ungestört kopieren. Die Diebe verfügen nun über Na-me, Adresse, Telefonnummer, E-Mail-Adresse, Passnummer, Geburtsdatum und Geschlecht sowie Ankunfts- und Abreiseinformationen von 327 Millionen Gästen des Konzerns sowie Bezahlinfor-mationen, inklusive des Ablaufdatums der Kreditkarten. Bei 170 Millionen weiteren Gästen sind nur die Adressen betroffen.

Ein letzter, heftiger Paukenschlag dann im Dezember. Für zwei Tage bricht der Flugverkehr in Gat-wick, einem der wichtigsten Flughäfen Großbritanniens zusammen. Etwa 1000 Flüge mussten aus Sicherheitsgründen gestrichen werden. Auch Landungen waren nicht möglich. Grund waren Droh-nenüberflüge. Immer wieder wurde der Flughafen geöffnet, dann aber rasch wieder geschlossen. Die Abwehr von ferngelenkten, oder über GPS gesteuerten Flugkörpern ist Stand der Technik. PROTECTOR & WIK hat mehrfach über das Thema berichtet. Solche Systeme sind sowohl ortsfest als auch mobil verfügbar. Sie greifen allerdings in das Funksystem ein und stören den GPS-Empfang.

Eine Landung unter Sichtflugbedingungen sollte aber möglich sein. Eine nachvollziehbare Erklärung für das Flugchaos liegt bis heute nicht vor. Präsentiert wurde anschließend eine einzige beschädigte Drohne. Erst im Januar 2019 meldete die Deutsche Presseagentur, dass die britischen Flughäfen Gatwick und Heathrow künftig mit einer Anti-Drohnen Abwehrtechnologie geschützt werden. Die Flughäfen investieren mehrere Millionen Britische Pfund. Sollte das bis jetzt unterblieben sein, stellt sich die Frage nach Zuständigkeiten und der Verantwortung der Verantwortlichen.

Fast geräuschlos ging der Chaos Communication Congress in Leipzig über die Bühne. Zwei Vorträ-ge hätten es verdient gehabt, in die breite Öffentlichkeit zu gelangen. So schaffte es der seit Jahren als Biometrie-Schreck auftretende Hacker Jan Krissler alias Starbug zusammen mit Julian Albrecht, vor dem Auditorium einen "PalmSecure"-Scanner von Fujitsu zu manipulieren. Dieser nutzt das im Innern der Hand verborgene Venenmuster als biometrisches Merkmal für die Zutrittskontrolle. Die-se Scanner galten bis zu diesem Zeitpunkt als nicht täuschbar. Unter anderem nutzt auch der Bun-desnachrichtendiensts (BND) in Berlin Venenerkennung, ebenso Bankautomaten. Die beiden Ha-cker bauten aus Wachs eine Hand-Attrappe und versahen sie mit bearbeiteten Fotos der im Körper verlaufenden Blutbahnen. Diese Bilder hatten sie zuvor mit einer auf infrarotes Licht sensibilisierten Kamera gewonnen, die sie in einem WC-Händetrockner versteckten. Auf dem CCC-Kongress funktionierte der Hack mit den wichtigsten Venenerkennungssystemen des Marktes problemlos. Was er praktisch bedeutet, muss sich noch erweisen.

Den zweiten erwähnenswerten Vortrag hielt Prof. Sebastian Schinzel, Professor für IT-Sicherheit an der Fachhochschule Münster. Er berichtete über eine schwere Sicherheitslücke in Programmen zur Verschlüsselung von E-Mails. Er unterrichtete zunächst nur die betroffenen Organisationen und Firmen, Im April 2018 machte er diese unter der Bezeichnung „Efail“ dann öffentlich. Trotzdem dauerte es noch bis Ende des Jahres, bis die wichtigsten Schwachstellen der Ende-zu-Ende-Verschlüsselungstechniken bei „OpenPGP“ und „S/MIME“ behoben waren. Der Fehler liegt im Standard, wie der Wissenschaftler erläuterte. Denn die beiden Technologien sind seit den 90er-Jahren ohne großartige Updates im Einsatz und wurden nicht nachgerüstet.

Zusammen mit Kollegen der FH Münster, der Ruhr-Universität Bochum und der Katholieke Uni-versiteit Leuven modifizierte er Mails so, dass Bilder nachgeladen wurden. Im Pfad dieser Links lagen dann Teile des Klartexts. Milliarden von elektronischen E-Mails mit brisantem Inhalt schicken sich Menschen jedes Jahr zu. Dass sie auch in verschlüsselter Form eher Postkarten gleichen, schien niemanden zu interessieren, obwohl Firmenexistenzen und in Krisengebieten auch das Leben von Journalisten an sicherer Verschlüsselung hängt.

Dafür krachte es drei Tage nach Neujahr in der deutschen Medienlandschaft um so heftiger- viel-leicht, weil nun Volksvertreter die Opfer sind. Zum Jahreswechsel wurde ein massiver, allerdings auf Deutschland begrenzter Datendiebstahl bekannt. Hacker stellten auf Twitter massenhaft Datens-ätze von Politikern, Parteien und Prominenten ins Internet. Die Öffentlichkeit erfuhr davon am 4. Januar, nachdem der Sender RBB darüber berichtet hatte. Neben Privatnachrichten und Urlaubsbil-der fanden sich im Internet auch Personalausweise oder Kreditkarten-Informationen. Allein im Bundestag sind alle politischen Parteien außer der AfD betroffen. Bei CDU und CSU wurden 425 Personen Opfer das Datendiebe, darunter auch Angela Merkel. Bei der SPD waren 318 Mitglieder.

Prominente Fernsehmoderatoren, Sänger und Schauspieler finden sich ebenso auf der Liste der Be-stohlenen. Über Art und Umfang des Angriffs wurde zunächst nichts bekannt, die Informationen stammen aber aus verschiedenen Angriffen, die teilweise schon viele Monate zurückliegen. Die Betroffenen bemängelten, dass sie aus den Medien von dem Datenleck erfahren hatten, und nicht von den Sicherheitsbehörden. Einige von ihnen, wie der SPD Spitzenpolitiker Schulz, wurden von Privatpersonen auf ihrem geheimen Diensthandy angerufen. Die Nummern standen im Internet. Die IT-Sicherheit ist in der Mitte des gesellschaftlichen Diskurses angekommen.

Mehr bald im zweiten Teil des IT-Jahresrückblicks von Bernd Schöne exklusiv auf Sicherheit.info