Archiv | IT Admin RSS for this section

CryptoParty auch für mobile Anwender – digitale Selbstverteidigung gegen Überwachung

Seit einigen Monaten spriessen CryptoParties wie Pilze aus dem Boden,
insbesondere seit durch die Leaks des Whistleblowers Edward Snowden die jenseits legaler wie möglicherweise legitimer rechtsstaatlicher Grenzen von „Angemessenheit“ völlig aus dem Ruder gelaufene digitale Total-Überwachung praktisch aller Menschen weltweit durch Geheimdienste gerade auch demokratischer und vorgeblich befreundeter Staaten wie der US-amerikanischen NSA und britischen GCHQ in einem für die meisten Menschen unvorstellbarem Ausmass der grossen Öffentlichkeit bekannt und den Nutzern nunmehr überdeutlich klar wurden
– ein nicht tolerables und völlig inakzeptables Agieren durch aktives Handeln, verantwortungsloses Dulden und sträfliches Unterlassen staatlicher Behörden in totalitärem Umfang ausserhalb der Grenzen von Rechtsstaatlichkeit und unter Verstoss gegen verfassungsmässig garantierte Grundrechte wie der informationellen Selbstbestimmung und des Schutzes der Privatsphäre in der Kommunikation.

Da die Regierungen ihrem Auftrag, Schaden von ihren Bürgern abzuwenden, offenbar bereits seit geraumer Zeit nicht gerecht werden und damit permanent ihren Amtseid sowie die Verfassung der jeweiligen Staaten (insbesondere USA ebenso wie Deutschland) brechen – der Journalist Heribert Prantl nannte in einem bemerkenswerten Essay in der Süddeutschen Zeitung diesen Zustand einen „Staatsnotstand“, beginnen Bürger, sich oft erstmalig oder nun verstärkt mit digitaler Selbstverteidigung zu beschäftigen, um sich im Angesicht der völligen Bankrotterklärung der Politik wenigstens ein Stück ihrer Grundrechte durch Eigeninitiative wieder zurückzuholen.

Die aus demokratischen wie rechtsstaatlichen Prinzipien sich ergebende Notwendigkeit wie vor allem aber auch faktisch bestehenden Möglichkeiten einer politischen Aufarbeitung der Thematik durch die bundesdeutsche Regierung bzw. Politik werden in Deutschland insbesondere durch wissenschaftlich fundierte Beiträge des Historikers und Freiburger Universitätsprofessors Dr. Josef Foschepoth in einer Reihe von Punkten einfach, übersichtlich und sozusagen als erforderliche Schritte abarbeitbar zusammengefasst, die er sowohl in seinem Buch „überwachtes Deutschland“ (Verlag Vanderhoeck & Ruprecht) als auch in einem Artikel auf seinem Blog und in seinem Vortrag „Die Bundesrepublik, das am meisten überwachte Land in Europa“ auf dem #30C3, dem 30. Kongress des CCC in Hamburg Ende Dezember 2013 veröffentlicht hat.
Mehrfach verwiesen in den vergangenen Monaten auch aktuelle Nachrichtensendungen der öffentlich-rechtlichen TV-Anstalten (ARD tagesschau vom 03.11.2013 und ZDF heute journal vom 25.10.2013) mit Beiträgen darauf und liessen Prof. Dr. Foschepoth in Interviews dazu zu Wort kommen.
Dennoch geht die politische Diskussion nicht nur durch die Parteien der alten wie auch der neuen Regierungskoalition sondern erstaunlicherweise auch der Opposition praktisch überhaupt nicht auf diese wichtigen und wesentlichen, sachlichen und fachlich fundierten wie praktisch anwendbaren und umsetzbaren Beiträge ein.
Auch dass der bisherige Bundesdatenschutzbeauftragte Peter Schaar gemäss seinem fachlichen Auftrag kaum verwunderlich immer wieder klar Position bezogen hat, hat lediglich dazu geführt, dass zum Jahreswechsel durch die neue Regierungskoalition sein Auftrag nicht weiter verlängert wurde.

Der von seinen eigentlich dafür verantwortlichen, gewählten und beauftragten Volksvertretern insofern praktisch völlig allein gelassene Bürger und Nutzer digitaler Dienste hat offenbar auf Dauer keine nennenswerte Lobby
– in der Parteienlandschaft nur jeweils durch Minderheiten aus meist den Innenpolitikern unterlegenen Netzpolitikern in den etablierten Parteien bis einschliesslich dem als Mitglied des Parlamentarischen Kontrollgremiums (PKG) und sowohl in Wort und Tat positiv hervorstechenden Bundestagsabgeordneten Hans-Christian Ströbele von Bündnis 90 / Die Grünen sowie immerhin jeweils als Gesamtpartei durch sehr klar und eindeutig positionierte Piratenpartei und Die Linke -,
die sich für seine verbrieften Grundrechte einsetzen oder stark machen würde.
So bleibt für entrechtete Bürger, die diese Situation nicht achselzuckend zu akzeptieren und tatenlos hinzunehmen gedenken, einer offenbar für die Tragweite der Katastrophe nur unverständlich kleinen Minderheit in der Bevölkerung, neben der dafür als probates Mittel bereits gescheiterten Bundestagswahl als Nutzer nur der Weg der digitalen Selbstverteidigung.

CryptoParty = Workshop „digitale Selbstverteidigung“

In ein Szenario geeigneter Mittel und Lösungen gehört allerdings, wie man beispielsweise einem ebenfalls auf dem #30C3 gehaltenen Vortrag von Linus Neumann mit dem Titel „Bullshit made in Germany“ entnehmen durfte, ganz sicher nicht die DE-Mail. Sichere eMail-Kommunikation sieht eindeutig anders aus.
Und unter anderem dazu lernt man eine ganze Menge auf so genannten CryptoParties wie sie im Übrigen beispielsweise durch CCC, Piraten und Grünen auch bereits organisiert wurden.

Was eine CryptoParty ist, wird im Übrigen auf mehreren Quellen und in verschiedenen Formaten (Video, Wiki, Blog, …) grundsätzlich deckungsgleich beschrieben:
http://de.wikipedia.org/wiki/CryptoParty
http://www.cryptoparty.in/parties/howto
http://www.youtube.com/watch?v=o9HOf16N0ho

Es handelt sich in aller Regel um eine frei zugängliche, kostenfreie Veranstaltung, die mehr oder weniger interaktiv abläuft und in einem Austausch zwischen Experten und ambitioniertem Publikum bei niedriger Schwelle bezüglich Kenntnisstand der Teilnehmer eine Art Workshop in digitaler Selbstverteidigung darstellt, wobei inhaltlich vor allem Open Source Software und Verschlüsselungstechnologien vorgestellt und deren praktische Nutzung auch Schritt für Schritt erklärt und demonstriert wird.
Die Teilnehmer sollen mit einer CryptoParty in die Lage versetzt werden, selbst verschlüsselt und sicher zu kommunizieren und ebenso ihre Daten verschlüsselt und sicher abzulegen, im Nachgang aber auch ihre eigenen Kommunikationspartner leicht und schnell ebenfalls zu sensibilisieren und in diese Kunst einzuführen.

Für eine gestern in München stattgefundene solche CryptoParty wurde ein Handout-Dokument für die Teilnehmer erstellt, das wir hier zum Download bereit stellen:
CryptoParty MUC Workshop Handout (PDF).

Wie die Teilnehmer lernen durften: 100%-ige Sicherheit gibt es nicht.
Und so müssen wir auch erklären, dass grundsätzlich auf Richtigkeit und Vollständigkeit natürlich keine Garantien gegeben werden können.
Dennoch: beide Daumen nach oben mit kräftiger Empfehlung zum Nachmachen.

Die vorgestellten Tools und Lösungen sind äusserst umfangreich
und deckten auch gleich 6 verschiedene mobile und Desktop-Betriebssysteme ab:
Windows, Mac OS, Linux, Android, iOS und Windows Phone –
ein äusserst ambitioniertes und für CryptoParties durchaus aussergewöhnlich umfangreiches und breites, trotzdem oder je nach Perspektive vielleicht auch gerade deshalb äusserst praxistaugliches Programm
mit der Besonderheit des Schwerpunkts auf mobile Nutzung.

Sie erstrecken sich

  • von sicherer eMail-Kommunikation mit OpenPGP-Verschlüsselung
  • über verschlüsselte Kurznachrichten mit einer Smartphone-App namens THREEMA aus der Schweiz,
  • XMPP-Messaging-Diensten und OTR-Verschlüsselung
  • oder Apps für verschlüsselte SMS/MMS,
  • verschlüsselte Sprachkommunikation (VoIP Telefonie),
  • Verschlüsselung von Speichermedien (geräteinterner Speicher, Festplatte, Speicherkarte, Daten-Container),
  • verschlüsselte Datenspeicherung mit Encryption Tools auf Cloud-Diensten
  • und verschlüsselte Collaboration-Tools
  • bis zu VPN-Tunnelverbindungen.

Dass wie angekündigt keine Vorkenntnisse erforderlich sein sollten, konnte insofern nicht durchgängig für das gesamte, teilweise doch sehr anspruchsvolle Programm gelten.
Die für die praktische Umsetzung wesentlichen Inhalte (insbesondere PGP-Verschlüsselung von eMails und Secure Messaging) konnten allerdings durchaus erfolgreich übermittelt werden, wie sich am Ende der Veranstaltung stichprobenhaft bei den Teilnehmern in Erfahrung bringen liess,
wenn man sich jedenfalls entsprechend der Aufforderung beim Event-Eintrag vorbereitet und die zur Nutzung beabsichtigten Tools vorher bereits heruntergeladen und installiert hatte (die lange Liste der Links war tatsächlich vorher vollständig kommuniziert worden).

Darüber hinaus gaben die Experten und Organisatoren sogar noch eine Art Erfolgsgarantie, indem den Teilnehmern für offene Fragen oder Umsetzungsprobleme die natürlich ebenfalls wieder kostenfreie Teilnahme am ansonsten identischen Zweittermin 1 Monat später (am 21.02.) angeboten wurde, ausserdem erhielten sie zum erfolgreichen Testen im Nachgang zur Veranstaltung die eMail-Adressen, öffentlichen PGP-Schlüssel und THREEMA IDs der anwesenden Experten.

Und schliesslich gab es als Zuckerl für die Teilnehmer auch noch jeweils 4 Gutschein-Codes zum kostenlosen Erwerb der iOS oder Android Version der vorgestellten Secure-Messaging-App THREEMA vom Schweizer Hersteller, dem Entwickler Manuel Kasper – jedenfalls für insgesamt 8 Teilnehmer, die sie sich noch nicht bereits vorher besorgt hatten.
Für 1,69 bzw 1,79 EUR hält sich die Investition aber auch so in Grenzen, zumal die Nutzung des Diensts komplett kostenlos ist – anders als beim höchst unsicheren und deshalb häufig in die Schlagzeilen gekommenen derzeit populärsten Wettbewerber „WhatsApp“. Ein weiterer nach wie vor höchst erfolgreicher Wettbewerber ist das bekanntermassen durch die NSA kompromittierte „Skype“ von Microsoft oder z.B. der „Facebook Messenger“.
Aufgrund der anhaltenden Nachrichtenlage und entsprechenden Sensibilisierung der Nutzer hat das recht einfach zu nutzende THREEMA es im Übrigen geschafft, schon seit Monaten in den Top 50 der App Hitlisten zu bleiben (zeitweilig sogar sehr weit oben).

Die lange Liste der auf der CryptoParty vorgestellten oder erwähnten sicheren Lösungen und Tools nach Anwendungsgebieten:

        TEIL 1  –   Verschlüsselte eMail-Kommunikation

eMail-Verschlüsselung: OpenPGP / GnuPG / GPG
http://www.gnupg.org/

Android: APG (OpenPGP, zusammen mit K-9 Mail)
http://play.google.com/store/apps/details?id=org.thialfihar.android.apg

iOS: iPGMail (OpenPGP)
http://itunes.apple.com/us/app/ipgmail/id430780873?mt=8

iOS: oPenGP (OpenPGP)
http://itunes.apple.com/de/app/opengp/id414003727
http://itunes.apple.com/de/app/opengp-lite/id405279153

Windows Phone: oPenGP (OpenPGP)
http://www.windowsphone.com/de-de/store/app/opengp/449af4e8-d259-431f-b5d9-3ebb092c13d1

Windows: Gpg4win (OpenPGP + S/MIME, zusammen mit Microsoft Outlook oder Claws Mail)
http://www.gpg4win.org/

Mac OS: GPGMail + GPG Suite (OpenPGP, zusammen mit Apple Mail oder Thunderbird)
http://gpgtools.org/

Windows / Mac OS / Linux: Enigmail (OpenPGP, zusammen mit Thunderbird)
http://addons.mozilla.org/de/thunderbird/addon/enigmail/

eMail-Programme:

Android: K-9 Mail (zusammen mit APG)
http://play.google.com/store/apps/details?id=com.fsck.k9

Windows / Mac OS / Linux: Mozilla Thunderbird (Addons/Plugins siehe oben, v.a. Enigmail)
http://www.mozilla.org/de/thunderbird/
http://www.mozilla.org/de/thunderbird/all.html

        TEIL 2  –   Secure Messaging

THREEMA:            Messaging mit End-To-End-Verschlüsselung (ECC mit NaCl)
http://threema.ch/
Android:               http://play.google.com/store/apps/details?id=ch.threema.app
iOS:                    http://itunes.apple.com/de/app/threema/id578665578?mt=8
versus OTR:                  http://threema.ch/de/faq.html

XMPP + OTR:       XMPP-Dienste: Facebook Messenger, Google Talk, Jabber, AIM, ICQ, …
Sichere XMPP-Clients mit OTR-Verschlüsselung:

Android: Xabber (XMPP-Dienste > FB, GT, …)
http://play.google.com/store/apps/details?id=com.xabber.android&hl=de
http://play.google.com/store/apps/details?id=com.xabber.androidvip&hl=de

Android: ChatSecure (ehem. Gibberbot; XMPP-Dienste > FB, GT, Jabber, AIM)
http://play.google.com/store/apps/details?id=info.guardianproject.otr.app.im&hl=de

iOS: ChatSecure (ehem. Gibberbot; XMPP-Dienste > FB, GT, Jabber, AIM)
http://itunes.apple.com/us/app/chatsecure-encrypted-secure/id464200063

Windows / Mac OS / Ubuntu / Linux: Pidgin plus OTR-Plugin
http://www.pidgin.im/download/
http://developer.pidgin.im/wiki/ThirdPartyPlugins
http://otr.cypherpunks.ca/index.php#downloads

Windows / Mac OS / Ubuntu / Debian / Linux: Jitsi
http://jitsi.org/Main/Download

Verschlüsselte SMS/MMS:

Android: TextSecure
http://whispersystems.org/#encrypted_texts
http://play.google.com/store/apps/details?id=org.thoughtcrime.securesms

iOS: TextSecure (in Entwicklung)
http://whispersystems.org/blog/iphone-rsn/

        TEIL 3  –   Verschlüsselte Sprachkommunikation / Telefonie      

OSTel (Open Secure Telephony des Guardian Project): Encrypted SIP Service Provider
https://ostel.co/
(Achtung: VoIP lässt nicht jeder Mobiltelefon-Provider bzw nur bei bestimmten Tarifen zu,
Alternative: über WLAN)

CSipSimple: (VoIP-Client, Nutzung z.B. mit Encrypted SIP Dienst wie OSTel)
http://code.google.com/p/csipsimple/
Android: CSipSimple
http://play.google.com/store/apps/details?id=com.csipsimple
http://nightlies.csipsimple.com/stable/CSipSimple-latest-trunk.apk

iOS: Acrobits SoftPhone (VoIP-Client, Nutzung z.B. mit Encrypted SIP Dienst wie OSTel)
http://itunes.apple.com/app/acrobits-softphone-sip-phone/id314192799

Android: Acrobits Groundwire (SRTP: SDES + ZRTP)
http://www.acrobits.cz/94/groundwire-for-android
http://play.google.com/store/apps/details?id=cz.acrobits.softphone.aliengroundwire
iOS: Acrobits Groundwire (SRTP: SDES + ZRTP)
http://www.acrobits.cz/11/acrobits-groundwire-for-iphone
http://itunes.apple.com/de/app/groundwire-business-caliber/id378503081?mt=8

PrivateGSM (SRTP/ZRTP, SIP/TLS):
http://guardianproject.info/wiki/PrivateGSM
http://www.privatewave.com/display/WS/PrivateGSM
Android: PrivateGSM Professional
http://play.google.com/store/apps/details?id=com.privategsm.beta
iOS: PrivateGSM Professional
http://itunes.apple.com/de/app/privategsm-professional/id401908184?mt=8

Android: RedPhone (ZRTP Encrypted VoIP Channel)
http://whispersystems.org/#privacy
http://play.google.com/store/apps/details?id=org.thoughtcrime.redphone

BlackBerry 10: SecuSUITE (SNS-Standard: CSD-Kanal, ISDN V110, SNS over IP)
http://www.secusmart.com/secusuite/
BlackBerry 10: SecuVOICE (SNS-Standard: CSD-Kanal, ISDN V110, SNS over IP)
http://www.secusmart.com/secuvoice/
Android: SecuVOICE (SNS-Standard: CSD-Kanal, ISDN V110, SNS over IP)
http://www.secusmart.com/secuvoice/android-smartphones/funktionsweise/

Windows / Mac OS / Ubuntu / Debian / Linux: Jitsi
http://jitsi.org/Main/Download

        TEIL 4  –   Gerät / Datenträger / OS / Virtualisierung / Container     

Android: BizzTrust
http://www.bizztrust.de

Android: SiMKo3
http://www.t-systems.de/simko

BlackBerry 10: BlackBerry Balance
http://de.blackberry.com/software/smartphones/blackberry-10-os/features-new/blackberry-balance.html

BlackBerry 10: SecuSUITE
http://www.secusmart.com/secusuite/

Android / iOS: Good Collaboration Suite
http://www1.good.com/applications/collaboration-suite/

Android:              Verschlüsselung (des Gerätespeichers) mit Bordmitteln
> Einstellungen > Sicherheit > Verschlüsselung > Gerät verschlüsseln
> Einstellungen > Sicherheit > Verschlüsselung > Externe SD-Karte verschlüsseln

Android: LUKS (Encrypted Container, im internen Gerätespeicher oder auf SD-Karte)
https://guardianproject.info/code/luks/
https://play.google.com/store/apps/details?id=com.nemesis2.luksmanager

TrueCrypt: (Festplatten-Verschlüsselung)
http://www.truecrypt.org
Windows / Mac OS / Linux:
http://www.truecrypt.org/downloads

OpenSource Alternativen bei mobilen Betriebssystemen:

Ubuntu Phone
http://www.ubuntu.com/phone

        TEIL 5  –   Collaboration + Cloud-Speicher (verschlüsselt)

Stackfield:           Collaboration Plattform mit End-to-End-Verschlüsselung (Freemium)
http://www.stackfield.com

Wuala:                verschlüsselter Cloud-Speicher-Dienst
http://www.wuala.com/de/
Android, iOS, Windows, Mac OS, Linux:
http://www.wuala.com/de/download/
Android:               http://play.google.com/store/apps/details?id=com.wuala.android
iOS:                    http://itunes.apple.com/us/app/wuala/id417749289?mt=8

BoxCryptor:         Verschlüsselung von Cloud-Speicher
http://www.boxcryptor.com/
Unterstützt Cloud-Speicher-Dienste: Dropbox, Google Drive, SkyDrive, BOX, SugarSync.
Für Android, iOS, Windows RT, Windows, Mac OS X, Linux, Chrome (Browser Plugin):
http://www.boxcryptor.com/de/download
BoxCryptor Classic:
Android:               http://play.google.com/store/apps/details?id=com.boxcryptor.android
iOS:                    http://itunes.apple.com/de/app/boxcryptor-classic/id484546808
BoxCryptor (2.x):
Android:               http://play.google.com/store/apps/details?id=com.boxcryptor2.android
iOS:                    http://itunes.apple.com/de/app/boxcryptor/id649940870?mt=8

        TEIL 6  –   VPN-Tunnelverbindung

Android:              VPN mit Bordmitteln
> Einstellungen > Drahtlos und Netzwerke > Weitere Einstellungen > VPN

iOS:                    VPN mit Bordmitteln
> Einstellungen > Allgemein > VPN

Windows Phone:   unterstützt VPN systemseitig nicht

OpenVPN:            http://openvpn.net/
Android: OpenVPN Connect http://play.google.com/store/apps/details?id=net.openvpn.openvpn&hl=de
iOS: OpenVPN Connect
http://itunes.apple.com/us/app/openvpn-connect/id590379981
Windows: OpenVPN Private Tunnel
http://swupdate.openvpn.net/privatetunnel/client/privatetunnel.msi
Mac OS: OpenVPN Private Tunnel
http://swupdate.openvpn.net/privatetunnel/client/privatetunnel.dmg


Quelle/n und weiterführende Links

(zusätzlich zu den z.T. im Artikel bereits aufgeführten):
http://cryptoparty-muc-20140117.eventbrite.de/
http://cryptoparty-muc-20140221.eventbrite.de/
http://thomas-pfeiffer.de/linkliste-mailverschluesselung/
http://www.jimmy-schulz.com/content/so-sch%C3%BCtze-ich-mich-vor-datendieben
http://www.facebook.com/groups/491112987636270/  – Facebook Gruppe „MOBILE SECURITY“
http://www.xing.com/net/enterprisemobi  – XING Fachforum „ENTERPRISE MOBILITY“
http://blog.unixweb.de/vpn-server-aufbau-mit-einem-raspberry-pi/

sowie zum Thema „Digitale Selbstverteidigung“
https://prism-break.org/#de
http://kryptoparty.de/?page_id=65
http://www.stopwatchingus-duesseldorf.org/tools/
http://demonstrare.de/demonstrare/etwas-mehr-sicherheit-mit-android-linux-und-windows/
http://cybermashup.com/2013/07/24/nsa-crypto-and-bananas/
http://www.theguardian.com/world/2013/sep/05/nsa-how-to-remain-secure-surveillance
http://www.youtube.com/watch?v=N8Sc6pUR1mA
http://www.youtube.com/user/CCCdeVideos

und weiterführende Links zu Technologien, Tools und wie man sie einsetzt
http://wiki.piratenpartei.de/PGP
http://www.spiegel.de/fotostrecke/openpgp-so-verschluesseln-sie-ihre-e-mails-fotostrecke-98718.html
http://wiki.piratenpartei.de/HowTo_Emails_verschl%C3%BCsseln_mit_PGP_mit_Thunderbird#Installation_und_Ver.C3.B6ffentlichen_der_Schl.C3.BCssel
http://www.verbraucher-sicher-online.de/anleitung/e-mails-verschluesseln-in-apple-mail-unter-mac-os-x?page=0,2#eigenes_schluesselpaar
http://wiki.ubuntuusers.de/GnuPG
http://stadt-bremerhaven.de/android-verschluesselte-e-mails-mit-agp-und-k9-senden-und-empfangen/
http://www.apfeltalk.de/community/threads/eine-anleitung-fuer-die-verschluesselung-von-mails-unter-ios-5.389590/
http://wiki.xmpp.org/web/OTR
http://irrsinnig.de/sicher-im-netz/verschluesselt-chatten-mit-otr
http://www.androidpit.de/verschluesselte-sms-chats-textsecure-xabber
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Sicherheitsberatung/Sicherheitshinweise/2009-07-10_Sicherheitshinweis_GSM_pdf.pdf
https://www.bsi.bund.de/DE/Themen/weitereThemen/MobileSecurity/SNS/sns_node.html
http://idw-online.de/de/news563139

und zur politischen Dimension der Thematik der digitalen Überwachung:
http://de.wikipedia.org/wiki/Edward_Snowden
http://www.sueddeutsche.de/politik/ueberwachungs-durch-us-geheimdienste-unterirdisch-1.1726074
http://www.v-r.de/de/title-0-0/ueberwachtes_deutschland-1007436/
http://foschepoth.wordpress.com/
http://www.youtube.com/watch?v=rd7-Z_X809A
http://www.tagesschau.de/multimedia/sendung/ws508.html
http://www.zdf.de/ZDFmediathek/kanaluebersicht/aktuellste/228#/beitrag/video/2014108/ZDF-heute-journal-vom-25-Oktober-2013
http://www.zeit.de/digital/datenschutz/2013-11/bericht-peter-schaar-nsa-gchq
http://www.youtube.com/watch?v=LNQapkhM4YY
http://www.youtube.com/watch?v=yqI-Q_46xnA
http://www.youtube.com/watch?v=VRv424ulV7Q
http://www.spiegel.de/politik/deutschland/ueberwachung-die-positionen-der-piraten-zu-nsa-und-prism-skandal-a-912930.html
http://www.youtube.com/watch?v=hp0FVvpfbFU

Überwachungsskandal: auch BlackBerry ist kompromittiert

Jetzt ist es offiziell: auch BlackBerry ist kompromittiert …

Das BSI Bundesamt für Sicherheit in der Informationstechnik warnt vor BlackBerry, weil britische Dienste Zugriff auf das “gesamte Nachrichtenaufkommen” haben.

„Auf Grund der unsicheren Architektur ist der Blackberry für den Einsatz in sicherheitsempfindlichen Bereichen der öffentlichen Verwaltung und spionagegefährdeten Unternehmen nicht geeignet“, heißt es in einer BSI-Analyse.

netzpolitik.org:
Wir haben nachgefragt, aber unsere Anfrage wurde abgelehnt, weil diese Informationen die internationalen Beziehungen gefährden würden.

Für Unternehmen besonders problematisch ist die Bedrohung durch Wirtschaftsspionage, die bei Nutzung der BlackBerry-Infrastruktur nicht nur nicht ausgeschlossen werden kann, sondern eine reale unmittelbare Bedrohung mindestens durch Großbritannien zum Nutzen der britischen Wirtschaft darstellt.

Bereits vor acht Jahren warnte das Bundesamt für Sicherheit in der Informationstechnik (BSI) vor den Diensten des Unternehmens BlackBerry.
Jürgen Berke berichtete damals in der WirtschaftsWoche:

„Nach Volkswagen meldet auch das Bonner Bundesamt für Sicherheit in der Informationstechnik (BSI) Bedenken an und warnt vor dem Gebrauch der mobilen E-Mail-Maschine. „Auf Grund der unsicheren Architektur ist der Blackberry für den Einsatz in sicherheitsempfindlichen Bereichen der öffentlichen Verwaltung und spionagegefährdeten Unternehmen nicht geeignet“, heißt es in einer BSI-Analyse. Der „nur zum internen Gebrauch“ erstellte Bericht kreidet RIM an, dass das „gesamte Nachrichtenaufkommen zwangsweise“ über ein Rechenzentrum in Egham bei London geleitet wird. „Nach britischem Recht“ – so der BSI-Bericht – können „die örtlichen Sicherheitsbehörden unter sehr weit gefassten Voraussetzungen (unter anderem zum Wohle der britischen Wirtschaft)“ – Zugang zu allen Verbindungsdaten und Inhalten erhalten. „Es gibt damit die theoretische Möglichkeit, dass Dritte auf die E-Mails zugreifen, die vom Blackberry versandt werden“, erklärt BSI-Referatsleiter Michael Dickopf.“

Netzpolitik.org:
Nachdem CCC-Sprecher Frank Rieger letzten Monat berichtete, dass Blackberry 10 E-Mail-Passworte für NSA und GCHQ zugreifbar macht ist uns die BSI-Analyse wieder eingefallen, die wir prompt per Informationsfreiheits-Anfrage angefordert haben.
Jetzt kam die kürzeste IFG-Antwort, die wir bisher erhalten haben:
„Ihr o.g. Antrag wird nach § 3 Nr. l lit. a) IFG abgelehnt, da das Bekanntwerden der Information nachteilige Auswirkungen auf die internationalen Beziehungen haben kann.“

Und weiter:
„Das BSI ist eine Bundesbehörde und gehört zum Geschäftsbereich des Innenministeriums. Es wird aus Steuern finanziert und erarbeitet Informationen zur IT-Sicherheit für die öffentliche Verwaltung, Wirtschaftsunternehmen, Wissenschafts- und Forschungseinrichtungen sowie Privatanwender.
Warum darf die Öffentlichkeit eine von ihr bezahlte Untersuchung nicht sehen, in der vor bestimmten Diensten gewarnt wird?
Wie passt das mit der Aufgabe zusammen, “den sicheren Einsatz von Informations- und Kommunikationstechnik in unserer Gesellschaft zu ermöglichen und voranzutreiben”?
Und was hat das mit den internationalen Beziehungen zu tun?“

Link zum Artikel: (20.08.2013)
https://netzpolitik.org/2013/spass-mit-informationsfreiheit-bsi-warnt-vor-blackberry-begruendung-gefaehrdet-die-internationalen-beziehungen/

Netzpolitik.org ergänzt am selben Tag:
Das Bundesamt für Sicherheit in der Informationstechnik wollte uns ein Papier zu Überwachung von Blackberry in UK wegen “nachteilige Auswirkungen auf die internationalen Beziehungen” nicht geben. Wir haben es auf anderem Wege bekommen und veröffentlichen es daher gerne.

BSI-Analyse in Volltext aus dem Papier mit dem Titel “Sicherheitsaspekte des E-Mail-Push-Dienstes ‘BlackBerry’” mit Stand vom 20. September 2005:

„1. Die Übertragungssicherheit beruht vollständig auf proprietären Mechanismen der Firma RIM. Der zur Verschlüsselung verwendete mathematische Algorithmus wird zwar als sicher angesehen, für die Qualität der Implementierung, der Schlüsselerzeugung und des Schlüsselmanagements liegt jedoch keine unabhängige Evaluierung vor.

2. Das gesamte Nachrichtenaufkommen wird zwangsweise über ein Mobile Routing Center (MRC) im Ausland geleitet (für Europa nach Großbritannien, Egham bei London). Damit sind dort alle Verbindungsdaten (Absender, Empfänger, Uhrzeit) sowie die (verschlüsselten) Kommunikationsinhalte verfügbar. Nach britischem Recht können die örtlichen Sicherheitsbehörden unter sehr weit gefassten Voraussetzungen (unter anderem zum Wohl der britischen Wirtschaft) Zugang zu diesen Daten erhalten (RIP-Act 2000). Im Falle von (aus britischer Sicht) ausländischem Nachrichtenverkehr dürfen diese sogar ohne Personenbezug aufgeklärt werden.

3. Es ist nicht möglich, eine eigene, von RIM unabhängige Verschlüsselung zum Schutz der Kommunikationsinhalte zu realisieren. So lassen sich Mail-Anhänge, die vom Nutzer (zum Beispiel mit PGP oder Chiasmus) verschlüsselt wurden, mit BlackBerry nicht übertragen. Eine Verschlüsselung des Übertragungsweges (…) scheitert an der speziellen Blackberry-Infrastruktur.

4. Der im Unternehmensnetz installierte Synchronisationsserver BES (Blackberry Enterprise Server) wird mit einer Software der Firma RIM betrieben und benötigt hoch privilegierten Zugriff auf die Mail/Messaging-Server des Unternehmens. Er kann somit auf den gesamten dort gespeicherten Datenbestand zugreifen.

5. Alle Verfahren, Softwarekomponenten und Protokolle sind proprietär und werden von RIM als Firmengeheimnis behandelt. Das tatsächliche Betriebsverhalten des Systems lässt sich daher nicht überprüfen. Kritisch ist in diesem Zusammenhang, dass auf rund der verschlüsselten Übertragung nicht nachvollziehbar ist, welche Nachrichten zwischen Blackberry Enterprise Server und Mobile Routing Center ausgetauscht werden.“

Link zum Artikel: (20.08.2013)
https://netzpolitik.org/2013/bsi-2005-ueber-blackberry-e-mail-push-dienst-britische-behoerden-haben-zugriff-auf-das-gesamte-nachrichtenaufkommen/

Die in den aktuellen Artikeln von Netzpolitik.org erwähnte Einschätzung des BSI ist zwar 8 Jahre alt.
Es liegen jedoch keine positiven Erkenntnisse vor, dass sich daran etwas grundlegend geändert haben sollte, ganz im Gegenteil:

Nicht 8 Jahre alt, sondern ganz aktuell ist auch die Passage, in der es explizit um die aktuelle Version BlackBerry 10 geht:
„Nachdem CCC-Sprecher Frank Rieger letzten Monat berichtete, dass Blackberry 10 E-Mail-Passworte für NSA und GCHQ zugreifbar macht …“

Angesichts der umfangreichen Enthüllungen des Whistleblowers Edward Snowden darf und muss ohne Weiteres davon ausgegangen werden, dass insbesondere der britische Geheimdienst nicht nur nicht von bisherigen Möglichkeiten Abstand genommen hat, sondern diese insgesamt tendenziell noch erheblich ausgebaut hat.

Um der ganzen Wahrheit die Ehre zu geben:
ja, man kann mit der neuen Plattform (BB10) eine direkte VPN-Verbindung zum Exchangeserver aufbauen und so die Nutzung der Blackberry Infrastruktur komplett umgehen.
Das sollte man dringend auch tun.

Da Öffentlichkeit ebenso wie Kunden ein erhebliches Interesse daran hätten, wäre es hilfreich, wenn seitens BlackBerry hierzu verbindliche aussagekräftige Erläuterungen gegeben werden könnten,
die nicht nur die damalige Einschätzung des BSI aktuell widerlegen und die problematischen Punkte nachvollziehbar ausräumen,
sondern auch eine verbindliche Erklärung zum aktuellen Stand der Technologie sowie Geheimdienstpraxis transparent dokumentieren.

Quellen:
Links siehe im Artikel
Graphik: BlackBerry

Microsoft und Oracle kündigen Enterprise Cloud Partnerschaft an

Microsoft Corp. und Oracle Corp. haben gestern eine Partnerschaft angekündigt, die den Kunden ermöglichen soll,  Oracle Software auf Windows Server Hyper-V und Windows Azure laufen zu lassen.

Die Kunden sollen Oracle Software wie Java, Oracle Database und Oracle WebLogic Server auf Windows Server Hyper-V oder Windows Azure deployen können und erhalten vollen Support durch Oracle.
Weitere Details des Deals wurden nicht öffentlich gemacht.

MOS_Note_1563794.1

Quelle/n:

Microsoft Presseveröffentlichung:
http://www.microsoft.com/en-us/news/Press/2013/Jun13/06-24WSNewsPR.aspx

Microsoft TechNet Blog:
http://blogs.technet.com/b/microsoft_blog/archive/2013/06/24/partners-in-the-enterprise-cloud.aspx

Oracle Blog:
https://blogs.oracle.com/cloud/entry/oracle_and_microsoft_join_forces

CeBIT 2013: Mobile Business Solutions Forum

Event Tipp:

Cebit Pro MOBILE BUSINESS SOLUTIONS FORUM

Halle 6, C04, 05.-09.03.2013

Programm / Agenda:
– 44 Fachvorträge
– 2 Podiumsdiskussionen (Di.+Do.)

Highlights: 

 

Podiumsdiskussion „BYOD – Fluch oder Segen für die Unternehmens-IT“:

Di. 05.03. / 16:30-17:45h: mit 9 Experten von Deutsche Telekom, Secusmart, Schiffl, Pretioso, mediaTest digital, virtual solution, Weptun, Keynote Systems / DeviceAnywhere,

Do. 07.03. / 15:45-17:00h: mit 11 Experten von
Deutsche Telekom, Secusmart, TCI Law, Amagu, Enough Software, commsult, Pretioso, virtual solution, mediaTest digital, Keynote Systems / DeviceAnywhere,
Moderation: m-ACADEMY
Microsoft, Deutsche Telekom, Vodafone, if(is) Institut für Informationssicherheit, Secusmart, MeLLmo, Opitz Consulting, audius, Glanzkinder, Enough Software, insertEFFECT, Pretioso, TCI Law, amagu, virtual solution, Circle Unlimited, SIC! Software, Mücke Sturm & Company, smart digits, Weptun, StarFinanz, m-ACADEMY, AZO Anwendungszentrum Oberpfaffenhofen, update Software, commsult, TNS Infratest, imbus, it-novum, Jung von Matt, mediaTest digital, Bredex, Shoutr
http://www.cebit.de/veranstaltung/mobile-business-solutions-forum/FOR/51789

Messe-Tickets:

Mitglieder des XING Forums „ENTERPRISE MOBILITY“
erhalten auf Anfrage ein Messe-Ticket kostenfrei (solange Vorrat reicht).

Meeting Point:
für Mitglieder des XING Forums „ENTERPRISE MOBILITY“ sowie Besucher / Leser unseres Blogs „ENTERPRISE MOBILITY“
ist das „Mobile Business Solutions Forum“ gleichzeitig auch dauerhafter Treffpunkt zum Austausch (wenden Sie sich gerne vor Ort an die Information, Halle 6, C04).
Nutzen Sie die Gelegenheit,
über das erstklassige Programm von 44 praxisnahen, fundierten Fachvorträgen und den beiden Podiumsdiskussionen sich einen vertieften Einblick und breiten Überblick über Mobile Business Solutions, Enterprise Mobility, Mobile Lösungen im Unternehmenseinsatz zu verschaffen.
Bringen Sie Ihre Fragen aus der Praxis mit und wenden Sie sich vor Ort an die zahlreichen hochkarätigen Experten.
Holen Sie sich die für Sie relevanten Anregungen, Inputs und Praxis-Tipps für Ihre eigene Enterprise Mobility Strategie.
Das gesamte Programm finden Sie detailliert auf:
Nutzen Sie auch den persönlichen Messeplaner mit Vormerkfunktion auf der CeBIT Webseite oder per App.

—————————
ENTERPRISE MOBILITY Termine und Event-Tipps finden Sie auf unserer Seite „Termine“ (2. Menü-Punkt oben):
https://enterprisemobilitymobi.wordpress.com/termine/

%d Bloggern gefällt das: