Die Website von Wolfgang Schäuble ist offensichtlich gehackt worden. Am Abend des 10. Februar enthält die Homepage über Stunden hinweg unter anderem einen dominant als neuesten Eintrag prangenden Link: “Visit: –> Vorratsdatenspeicherung <–”, der direkt auf http://www.vorratsdatenspeicherung.de führt (via http://twitter.com/insideX). Selbstverständlich wird das Thema  an diesem Abend bei Twitter intensiv diskutiert. Die Schadenfreude in der Internet-Szene ist groß, und die Hacker bedienen den Humor der Zielgruppe passgenau: So ist beispielsweise der Lebenslauf von Herrn Schäuble um den neuesten Eintrag ergänzt worden: “Ich benutze eine unsichere Version von Typo 3.” (Typo 3 ist das Content-Management-Systen, auf dessen Basis die Homepage des Ministers offensichtlich betrieben wird.)

Nachtrag: Näheres am “Tag danach” bei heise.

Anfang Oktober hatte ich zum Thema Mobile Security auf ein Interview bei ebigo.de verwiesen. Wie schwerwiegend die Probleme bei der mobilen Nutzung von Notebook und Handy inzwischen sind, zeigt die politische Diskussion in UK. Dort könnte demnächst die Justiz für mehr Datenschutz sorgen: Wer ein Notebook mit unverschlüsselten persönlichen Daten Dritter verliert, der soll strafrechtlich verfolgt werden. Diese Forderung hat nun der Datenschutzbeauftragte der dortigen Regierung erhoben, nachdem zahlreiche Fälle schwerwiegender Datenverluste verzeichnet wurden (Beispiele).

In einem Interview für die Mittelstandsinitiative "ebigo.de – E-Business. IT. Antworten für den Mittelstand" nehme ich für connect zu folgenden Fragen Stellung:

• Nehmen Unternehmen das Thema Mobile Security ernst?
• Woran fehlt es beim Schutz am häufigsten?
• Welche Gefahren drohen den Unternehmen heute?
• Bringt die Zukunft mobile Gefahren, an die heute noch niemand wirklich denkt?

Tenor: Während die Diskussion um Handyviren maßlos übertrieben ist, sind Schutzmaßnahmen in ganz anderen Bereichen sinnvoll und wichtig. Nicht nur das, sie sind teils auch einfach umsetzbar. Dazu zählen Datenverschlüsselung und Device Management. …

weiterlesen bei ebigo.de

Drei Jahre ist der Hype um Cabir & Co. nun schon her. Jahrelang versäumte die Antivirenindustrie keinen Anlass, auf die angeblich große Gefahr durch Viren auf dem Mobiltelefon hinzuweisen. Nur tut sich leider nichts. Während der mobile Schutz sensibler Unternehmensdaten durch Verschlüsselung und Device Management immer wichtiger wird, will sich einfach kein Hacker so recht dem Kampf an der mobilen Virenfront stellen. Welch ein Fiasko: Die Security-Branche kann sich auf diesem etwa so gut wie die Stuttgarter Rad-WM frequentierten Schlachtfeld ebensowenig eine goldene Nase verdienen wie die Cybercrime-Szene. Denn die scheitert an den im Vergleich zur PC-Welt ungleich strikteren Sicherheitskonzepten der Handys und Smartphones.

Eine Herausforderung für jeden, der mobile Virenscanner verkaufen will. Wo keine Bedrohung ist, da braucht man keinen Schutz dagegen.

So ein Pech aber auch!

So nahm die Panikmache in jüngster Zeit denn auch geradezu groteske Züge an. Wie bei einer im Februar von McAfee veröffentlichten Mitteilung mit dem Titel: "Handy-Viren grassieren: Bereits 83 Prozent aller Mobilfunkbetreiber betroffen."

Ob das noch was wird mit den Handyviren?

Man verzeihe mir ein gewisses Amüsement, wenn ich heute auf silicon.de lese:  "Die Sicherheitsexperten von F-Secure sehen Schädlinge für mobile Geräte als keine wirklich ernste Bedrohung an." Doch nicht nur dies, F-Secure-CEO Kimmo Alkio wird auch mit der Aussage zitiert, dass sich daran so rasch nichts ändern werde.

Das sehe ich auch so, und nicht erst seit gestern.

Nachtrag zum gestrigen Thema skype-Wurm (der je nach Antiviren-Anbieter W32.Pykspa.D [Symantec], WORM_SKIPI.A [Trend], W32/Pykse.worm.b [McAfee], WORM_SKIPI.B [Trend] heißt): Eine sehr gute Anleitung zum Entfernen des Virus, die sich ohne Weiteres auf Virenscanner anderer Anbieter übertragen lässt, findet sich bei Symantec. Wichtig und gestern mit einem Betroffenen in der Praxis erprobt sind folgende Punkte:

• Systemwiederherstellung abschalten (unter Arbeitsplatz)
• alle manipulierten Einträge in der Hosts-Datei (System32\drivers\etc) löschen
• manuell die Virendefinitionen updaten
• vollen Scan über alle Dateitypen durchführen, Virus sollte jetzt erkannt werden
• den Rechner neu startem
• die Systemwiederherstellung wieder einschalten

Oft sind öffentliche Sicherheitswarnungen meines Erachtens etwas übertrieben – der jüngst in den Medien erwähnte Skype-Wurm hat jedoch soeben tatsächlich bei mir angeklopft. Nun – Viren finden sich öfter in vielen Inboxen. Also nichts Besonderes? Doch. Ich finde das Vorgehen erschreckend – siehe Screenshot. Die Malware startet ein skype-Chatfenster, gaukelt versuchte Interaktion vor und setzt das Opfer so unter Zugzwang. Wer den Link anklickt und sich das “lustige Foto” ansieht, der infiziert seinen Rechner. Zum Glück gibt es Lösungsansätze.

Abstürzende Flugzeuge, kollidierende Züge, orientierungslos auf dem Meer umherirrende Militärschiffe – das sind nur einige wenige Beispiele für die Folgen von Softwarefehlern. Heute Nachmittag kam eine interessante Meldung von der Telekom herein:

"Deutsche Telekom gibt Sicherheitshinweis zu Firmware-Fehler bei den Faxgeräten Multifax 500 und 700"

Und was kann im schlimmsten Fall passieren?

"Bei einer Überhitzung der Patrone kann es zu einer Verschmelzung von Kunststoffteilen in direkter Umgebung der Patrone oder der Patronenkontakte kommen. Auch lässt sich nicht ausschließen, dass das Faxgerät durch die Hitzeentwicklung Feuer fängt."

Was klar macht: Nicht nur fehlerhafte Hardware wie Notebook-Akkus kann draußen beim Endverbraucher gefährlich werden. Vielmehr sind auch Softwarefehler geeignet, zu ganz realen Schäden – wie einer abgebrannten Bude – zu führen. Dafür gab es in den vergangenen Jahren zahlreiche mehr oder minder relevante Beispiele.

Daher die Frage an alle Leser: Gibt es wirklich schlimme Softwarefehler – sogenannte Bugs – die mehr als nur ein paar Unannehmlichkeiten bereitet haben?

Dass Virenautoren Daten auf den Rechnern ihrer Opfer verschlüsseln, damit unbrauchbar machen und für die Freischaltung Lösegeld erpressen, ist bekannt und wurde unter anderem bei meinem neulichen Besuch bei F-Secure nochmals deutlich. Neu ist dagegen, dass Malware-Hersteller behaupten, ihr Handeln sei legitim. Man stelle sich vor: Der eigene PC wird von einem Virus lahmgelegt, und dahinter steckt eine Firma, die zu allem Überfluss noch frech auf ein tatsächlich abgeschlossenes Online-Abonnement verweist und ausführt, sie sei mit ihrer “Strafaktion” durch einen Computervirus im Recht.

Einem Bericht bei Risks Digest nach nach haben sich bereits 200 Briten bei der zuständigen Aufsichtsbehörde beschwert, weil ihre PCs Gegenstand gezielter Angriffe waren. Besucher einschlägiger Sites, die ein dreitägiges “Test-Angebot” in Anspruch nahmen, erklärten sich im vermutlich teils nicht gelesenen, teils nicht verstandenen Kleingedruckten mit Sanktionen einverstanden, die im äußersten Falle die Unbrauchbarkeit des eigenen PCs beinhalten sollten. Diese, so der Text der Vereinbarung, würden in Kraft treten, falls der Nutzer nicht innerhalb von drei Tagen kündigt, sein Abonnemant damit durch Unterlassen des Widerrufs endgültig abschließt und sich anschließend dennoch weigert, die sodann fällige Gebühr von 39,99 Britischen Pfund für ein dreimonatiges Abonnement zu bezahlen.

Ergebnis: Der Kunde zahlt nicht, und tatsächlich, Popup-Fenster, die eine Begleichung des ausstehenden Betrages verlangen, erscheinen mit nach und nach zunehmender Dauer auf dem PC-Bildschirm und lassen sich weder schließen, verschieben noch in den Hintergrund verschieben. Die digitale Form des Geldeintreibens mit unlauteren Mitteln.

Der Spiegel berichtet online, dass Handys von der Polizei zur Wanze umfunktioniert werden können. Stimmt, nur neu ist die Information nicht: Im Rahmen eines bei connect erschienenen Artikels hatte ich darauf vor mehr als einem halben Jahr hingewiesen. Bereits am 27. November 2006 war, wie wenig später von cnet berichtet, in einem richterlichen Statement von Richter Lewis A. Kaplan. zu lesen, wie das FBI Handys als mobile Wanzen einsetzt. Offensichtlich haben auch die deutschen Behörden diese Berichte und vielleicht die eine oder andere Information über kommerzielle Schadsoftware zur Kenntnis genommen und geben nun stolz zu Protokoll, dass sie das “auch können”. Chapeau!

Technisch betrachtet ist das Ganze überhaupt kein Problem. Betrachten wir zunächst den Lauschangriff bei eingeschaltetem Gerät: Hier kann ein zuvor manipuliertes Handy Anrufe von bestimmten Rufnummern vom Nutzer unbemerkt annehmen und damit (in der Regel, dazu gleich mehr) unbemerktes Lauschen ermöglichen. Eine entsprechende Lösung teste ich im Moment interessehalber selbst, natürlich auf einem eigenen Gerät, das auch nur von mir genutzt wird.

Wenn die Firmware eines Gerätes entsprechend verändert wird, so ist ein Vorgaukeln des Ausschaltens, bei dem in Wirklichkeit Lauschfunktionen aktiv bleiben, ebenfalls kein Problem, es existieren Quellen, die solche Geräte liefern können.

Doch ist ein solches Szenario, unbemerktes Live-Lauschen via Handy durch den Staat, realistisch? Nein. Nicht im Geringsten. Denn in großem Stil ließen sich Lauschangriffe auf diese Weise kaum durchführen. Schließlich verursacht die Kommunikation zwischen Handy und Basisstation sehr häufig und vor allem im GSM-Modus (UMTS weniger) Störgeräusche in Geräten wie Radioempfängern. Würde Live-Lauschen mit Hilfe vermeintlich abgeschalteter Handys häufig eingesetzt, dann wäre schon längst nicht nur ein Betroffener darauf aufmerksam geworden, dessen Handy Störgeräusche im benachbarten Radio, PC-Lautsprecher oder ähnlichen Geräten auslöst, obwohl es vermeintlich ausgeschaltet ist. Wer würde da als Betroffener nicht skeptisch? Kein professioneller Abhörer würde sich in großem Stil auf eine so leicht ad absurdum zu führende Lösung verlassen, er würde ja geradezu seinen Kopf riskieren, da der Lauschmechanismus sehr rasch öffentlich bekannt würde.

Grund zur Entwarnung ist das allerdings nur kurzfristig. Denn theoretisch ließe sich dieser Effekt durch eine reine Aufnahmefunktion im Hintergrund umgehen. Diese Funktion würde dann bei vermeintlich ausgeschaltetem Handy erst einmal nur alle Umgebungsgeräusche aufzeichnen. Das als Sounddatei abgespeicherte Ergebnis würde dann erst bei wieder eingeschaltetem Handy im Hintergrund als komprimierte Datei via GPRS oder UMTS in etlichen kleinen Portionen übertragen. Der Betroffene hätte hier keine Chance mehr, verdächtige Störgeräusche in Radios usw. durch Funkübertragungen auszumachen. Doch auch hier lauern wieder viele Herausforderungen: Damit der betroffene Kunde beim Blick auf seine Handyrechnung sich nicht über hohe Datenübertragungskosten wundert, müssten Staat und Netzbetreiber hier enger zusammenarbeiten als ich mir das bis vor kurzem noch vorstellen konnte.

Weitere Brisanz bringen künftig Firmware-Updates over the air. Insider bestätigen, dass beispielsweise in den USA Firmware-Updates auch ohne Zustimmung und Wissen des Handynutzers erfolgen können, da der Nutzer hier häufig nicht Eigentümer, sondern nur Leinehmer der Hardware ist. Und in solchen Szenarien ist ein heimliches Installieren von Lauschcode natürlich überhaupt kein Problem mehr. Generell lässt sich beobachten: Betriebssystem-Updates via Internet, egal ob drahtgebunden oder via Festnetz, greifen immer stärker in die beim Endkunden laufenden Systeme ein – bis hin zum ungefragten Reboot mit Datenverlust in browserbasierten Anwendungen, wie ihn der geschätzte Kollege Peter F. Meyer aus Österreich beklagt.

Nachtrag: Die ganze Chose erinnert mich an eine amüsante Geschichte aus dem Jahr 2002, als die Frankfurter Rundschau Folgendes berichtete:

“Bei der Telefonüberwachung in Deutschland hat es eine schwerwiegende Panne gegeben. Aus Telefonrechnungen war zu schließen, dass Anschlüsse abgehört wurden. Die Belauschten wurden dafür sogar zur Kasse gebeten.

BERLIN, 30. Oktober. Die Computerpanne bei einem Telekommunikations-Unternehmen macht den deutschen Sicherheitsbehörden zu schaffen. Verdächtige, deren Telefon abgehört wurde, erhielten vom Mobilfunk-Anbieter O2 im Monat Oktober ungewöhnliche Rechnungen. Sie enthielten zahlreiche “abgehende Mailbox-Verbindungen” zu der immer gleichen Festnetz-Rufnummer. Wer sie wählt, hört den Satz: “Sie sind leider für diesen Anruf nicht berechtigt.” Denn es handelt sich um eine Nummer, über die die Sicherheitsbehörden belauschte Gespräche aufzeichnen. Die Beträge für diese angeblichen Verbindungen wurden den Abgehörten in Rechnung gestellt.”

Haben Sie das schonmal erlebt? Nichtsahnend wohnen Sie einer Veranstaltung bei, und plötzlich meldet sich Ihr Handy, weil es eine Nachricht via Bluetooth empfangen hat. Skepsis macht sich breit. Erlaubt sich da jemand einen Spaß? Ist es einer der von F-Secure, Kapersky & Co. propagierten und meines Erachtens immer noch völlig lächerlichen Handyviren, der es trotz seiner Schwächlichkeit und seiner grundsätzlichen Designfehler tatsächlich in einer Nacht- und Nebel-Aktion aus dem Labor geschafft hat?

Solche Erlebnisse werden Sie aktuell noch selten haben. Im Gegenteil, an den teilweise auf Bahnhöfen sichtbaren Plakaten mit Werbung streuendem Infrarot-Auge habe ich mich in der Vergangenheit mehrfach vergeblich bemüht, doch bitte endlich einen Gutschein auf meinem Handy empfangen zu dürfen. Ging nicht. Dennoch. Der Sündenfall mit Bluetooth-Werbung ist mir zuletzt 2005 bei einer Messe in Köln passiert. Nervig – eine Bluetooth-Spamschleuder belästigte die gesamte Umgebung mit ihren Botschaften, und ein Kollege nach dem anderen schaltete sein Bluetooth-Modul aus. Übrigens: Dass die meisten Handynutzer den Nahfunk stets deaktiviert haben entspricht nicht meiner Erfahrung.

Löblich ist nun, dass die Werbebranche zu erkennen scheint, dass solche Praktiken die Kunden vergraulen statt begeistern: „Wir begrüßen den stark wachsenden Trend zu innovativen mobilen Marketing-Kampagnen und PoS-Promotions auf Bluetooth-Basis“, erklärt heute in einer Pressemitteilung Alexander Klose, Senior Project Manager und verantwortlich für den Bereich Bluetooth bei 12snap Deutschland. „Zugleich weisen wir explizit auf die Risiken bei unsachgemäßer Planung hin. Wer die einzigartigen Interaktionsmöglichkeiten von Bluetooth in der Kundenansprache nutzen will, sollte unbedingt Zustimmungsroutinen wie das Touch-In-Verfahren einsetzen.”

Meines Erachtens ein zukunftsweisender Weg: Nur wer mit seinem Mobiltelefon oder einem anderen kommunikativen Gerät eine Werbefläche berührt oder sich ihr bis auf sehr geringe Distanz nähert, der stimmt auch dem Erhalt weiterer Informationen bis hin zu Vouchers oder Multimedia-Inhalten zu.

Hoffen wir, dass sich erstens diese Erkenntnis in der Branche nachhaltig durchsetzt und zweitens die Security-Industrie lokale Funkschnittstellen in der Öffentlichkeit nicht gänzlich als Teufelszeug abstempelt – sonst wird das nichts mit den Bluetooth-Promotions.