Secorvo Security News 01/2018, 17. Jahrgang, Stand 01.02.2018 1

Secorvo Security NewsJanuar 2018

Über Mittel und ZweckeEr ist nicht nur einer meiner Lieblings-filme, sondern er zählt zweifellos zu denMeisterwerken der Filmgeschichte: Hitch-cocks „Das Fenster zum Hof“. Kürzlichkonnte ich ihn das erste Mal im Kino be-wundern – und war erneut fasziniert vonden zahlreichen Parallelgeschichten, die eraus der Perspektive des FotografenJefferies (meisterhaft gespielt von JamesStewart) erzählt. Der langweilt sich mit

einem gebrochenen Bein in seinem New Yorker Apartment – undbeobachtet die Nachbarn im Hinterhof durch sein Teleobjektiv. Dabeimeint er, einem Mord auf die Spur gekommen zu sein und bittetseinen Freund Doyle von der Kriminalpolizei um Unterstützung. Nachdieser Szene sah ich den Film diesmal aus einer neuen Perspektive.Denn Doyle stellt seinem Freund zuliebe tatsächlich Ermittlungen an– allein auf der Grundlage vager Vermutungen. Erst als Jefferies ihnbittet, eine heimliche Wohnungsdurchsuchung vorzunehmen,erinnert sich Doyle an die rechtsstaatlichen Grenzen der Polizeiarbeitund verweigert seine Unterstützung – für Datenschützer eineSchlüsselszene. Wie vermutlich bei vielen Zuschauern stößt dieseHaltung bei Jefferies auf Unverständnis: Schließlich ist für ihn dieSache klar, steht des von ihm Verdächtigten Schuld außer Frage.

Dabei geht es um eine große Errungenschaft des Rechtsstaats: dieUnschuldsvermutung, die Beschränkung der Mittel der Strafverfol-gung und eine Strafprozessordnung, die nicht der besseren Ahndungvon Verbrechen dient, sondern nach Möglichkeit ausschließen soll,dass es zur Verurteilung von Unschuldigen kommt – und sei es umden Preis, einen Schuldigen davonkommen zu lassen. Diese Be-schränkung in der Wahl der Mittel gilt es immer wieder aufs Neuezu verteidigen, damit sie nicht im Eifer der Verbrechensbekämpfungder Aufklärungsrate geopfert wird. Und da gibt eine kürzlichveröffentlichte Zahl zu denken: 310.000 stille SMS setzte der Ver-fassungsschutz 2017 zur Ortung von Mobilfunkteilnehmern ab. 44%mehr als 2016, 214% mehr als 2015. Sind wir da noch auf Kurs?

Inhalt

Über Mittel und Zwecke

Security News

Bürgerrating

HSMs jenseits der Donnerkuppel

WPA … zum Dritten

Komplexitätsklippen

Big brother is watching

Secorvo News

Weiterbildung 2018

DSMSready2go

Who watches the watchmen?

Veranstaltungshinweise

Januar 2018

Secorvo Security News 01/2018, 17. Jahrgang, Stand 01.02.2018 2

Security News

Bürgerrating

Bereits Ende 2017 berichteten verschiedene Online-medien über Chinas Pläne für ein Social CreditSystem. Das bereits im Aufbau befindliche Systemfür einen Score-Wert aller Bürger kann als Beweisfür die Berechtigung der Kernaussagen des vor über30 Jahren ergangenen Volkszählungsurteils desBundesverfassungsgerichts dienen. Das wegweisen-de Urteil, das viele Kernelemente des Datenschutz-rechts auf den Punkt gebracht hat, warnt davor,dass ein Bürger, der die Erfassung und Auswertungseines Verhaltens nicht einschätzen kann, in seinerpersönlichen Freiheit eingeschränkt wird, und diesauch die Wahrnehmung seiner demokratischenRechte beschränkt. Chinas Pläne, anhand des Ver-haltens auf Shopping-Plattformen, Social-Media-Plattformen und der Nutzung von Finanzdienst-leistungen, aber auch anhand des Verhaltens ver-netzter Freunde, für jeden seiner Bürger einenScore-Wert zu bilden, stellen die Umsetzung derschlimmsten Befürchtungen der damals urteilendenRichter dar.

Aus europäischer Sicht sollte hieraus ein starkesArgument für die bestehenden Datenschutzprin-zipien, für Datensparsamkeit und Transparenz er-wachsen. Doch das System zeigt auch, was sich beivielen Nutzern sozialer Medien bereits abzeichnet:Mit dem Angebot zu erlangender Privilegien, Bonioder vereinfachten Zugängen bei „geeignetem“Score-Wert ist offenbar die Versuchung groß, trotzder offensichtlichen Verhaltenssanktionierung sogarfreiwillig an der Bestimmung des Score-Werts teil-zunehmen. Vor allem Kritiker des Datenschutzeswären gut beraten, die sich nun entwickelndenSzenarien genau zu beobachten.

HSMs jenseits der Donnerkuppel

„Zwei gehen rein, einer kommt raus“ heißt es desÖfteren bei Firmenübernahmen wie derjenigen vonGemalto durch Thales, die am 17.12.2017 angekün-digt wurde. Betroffen davon sind auch die beidenauf dem überschaubaren Markt für HardwareSecurity Module (HSMs) weit verbreiteten Produkt-reihen nShield/nCipher und Safenet/Luna, die ihrer-seits durch vorherige Übernahmen im Portfolio derbeiden Anbieter gelandet waren. Falls nicht nochdie Kartellbehörden zur Auflage machen, eine derbeiden Marken an einen Mitbewerber abzutreten,ist zu erwarten, dass Thales über kurz oder lang nurnoch eine HSM-Produktreihe weiterführen wird.

Wer HSMs von Thales oder Gemalto z. B. für denSchutz von langlebigen CA-Schlüsseln einsetzt,sollte sich daher bald Gedanken über den langfristi-gen Support machen. Es wäre nicht das erste Mal,dass Sicherheitsforscher Nutzern helfen müssen,Schlüssel aus ihrem eigenen HSM zu hacken, umden Lieferanten (in diesem Fall: die Produktlinie)wechseln zu können.

WPA … zum Dritten

Am 08.01.2018 kündigte die Wi-Fi Alliance an, imLaufe dieses Jahres einen neuen WLAN-Sicher-heitsstandard WPA3 zu etablieren, der WPA undWPA2 ablösen soll. WPA3 soll in mindestens denfolgenden vier Punkten Verbesserungen bringen:

∂ Eine nicht-authentifizierte Mindestverschlüsse-lung für bislang völlig offene WLAN-Netze wieöffentliche Hotspots

∂ Ein Verfahren für die WLAN-Security-Konfigu-ration von IoT-Geräten ohne eigenes Display(wohl ähnlich WPS, aber hoffentlich sicherer)

∂ Die bekannte Anfälligkeit von WPA2 Personalgegen Offline-Attacken auf schwache WLAN-Passwörter in einmal mitgeschnittenen Hand-shakes

∂ Zum Suite-B-Nachfolger CNSA kompatibleKryptoverfahren für „National SecuritySystems“ in den USA

Genaue technische Details sind noch nicht bekannt,aber es darf vermutet werden, dass die Wi-FiAlliance dieses Mal nicht direkt auf den IEEE 802.11Standard zurückgreift, sondern u. a. auf RFC 7664und RFC 8110.

Es lohnt wohl, evtl. geplante Investitionen in eineneue WLAN-Infrastruktur noch etwas zurück zustellen, bis WPA3-fähige Geräte verfügbar sind –oder zumindest jetzt schon auf entsprechendeUpgrade-Fähigkeit zu achten. Die Vorgänger WPAund WPA2 verbreiteten sich jeweils relativ zügig,wenn auch vor dem Hintergrund der Angriffe aufdas bereits konzeptionell missratene WEP.

Komplexitätsklippen

Am 06.01.2018 veröffentlichten Paul Rösler,Christian Mainka und Jörg Schwenk von der Ruhr-Universität in Bochum eine vergleichende Untersu-chung über die Sicherheit der Gruppen-Chats derverbreiteten Messenger-Dienste WhatsApp, Signalund Threema. Im Rahmen ihrer Analysen entdeck-ten die Autoren Schwachstellen in der Ende-zu-Ende-Verschlüsselung von Gruppen-Chats inWhatsApp und Signal, die einem Angreifer erlau-ben, unautorisiert beliebige Benutzer zu einerbestehenden Gruppe hinzuzufügen. Hierbei nutzensie das Fehlen einer Authentisierung von groupmanagement messages aus. Diese Nachrichtenwerden an alle Gruppenmitglieder gesendet,

Januar 2018

Secorvo Security News 01/2018, 17. Jahrgang, Stand 01.02.2018 3

woraufhin diese einen Schlüsselaustausch mit demneuen Mitglied durchführen.

Im Detail unterscheiden sich die Schwachstellen derbeiden Messenger jedoch, sodass die Schwachstellevon WhatsApp als schwer wiegender einzustufenist. Bei WhatsApp gibt es nur einzelne Adminis-tratoren, die berechtigt sind, neue Benutzer zueiner Gruppe hinzuzufügen. Hierfür laufen dieNachrichten über die zentralen Server vonWhatsApp, um die Berechtigung der Benutzer zuprüfen. Eine Ende-zu-Ende-Verschlüsselung findetdabei nicht statt. Um die Schwachstelle auszunut-zen, muss ein Angreifer einen WhatsApp-Serverunter seiner Kontrolle haben und zusätzlich diekomplexe ID des Chats kennen.

Beide Schwachstellen sind insgesamt diffizil undlassen sich in der Praxis wohl eher nicht ausnutzen,zumal die Nachricht, dass ein neuer Benutzer hin-zugefügt wurde, weiterhin angezeigt wird. Dennochzeigt die Analyse, wie komplex Ende-zu-Ende-Kom-munikation in Gruppen sein kann. Gerade dieSchnittstellen zwischen kryptografischen Protokol-len und Management sind hierbei kritisch.

Big brother is watching

Der am 15.01.2018 in der Frankfurter Allgemeineerschienene Beitrag zu WeChat sollte aus Daten-schutzsicht zu Vorsicht mahnen. Hinter derEntwicklung des Kurznachrichtendienst WeChat, dermittlerweile sehr viel mehr kann als Nachrichtenauszutauschen und z. B. das Buchen von Reisen undTickets, das Begleichen von Rechnungen, Arztter-minvereinbarungen oder Geldtransfers ermöglicht,steht die chinesische Firma Tencent. Mittlerweilewird die App (überwiegend in China) von knappeiner Milliarde Menschen genutzt.

Durch die geografische Angebotserweiterung sollnun der Vorstoß in neue Weltmärkte gelingen. Seit2017 ist die App auch aus Deutschland offiziell imApp Store downloadbar. Obwohl die Messaging Appvon TrustArc (ehemals TRUSTe) zertifiziert ist undein „Höchstmaß an Kontrolle über die Privatsphäre“verspricht, raten wir – zumindest aus Datenschutz-sicht – dringend vor einer Installation ab. Es seidenn, man möchte, dass alle Daten an den chine-sischen Staat geliefert werden und diesem zurDatenauswertung zur Verfügung stehen.

Secorvo News

Weiterbildung 2018

Die Secorvo-Seminare starten in diesem Jahr miteinem Vorbereitungsseminar für sichere Software-entwicklung und der Zertifizierung als T.P.S.S.E.(12.-15.03.2018), gefolgt von IT-Sicherheit heute(20.-22.03.2018). Im April bieten wir Ihnen dienächste Gelegenheit, sich als T.I.S.P. zu zertifizieren(16.-20.04.2018).

Die aktuellen Seminarprogramme und eineMöglichkeit zur Online-Anmeldung finden Sie unterhttps://www.secorvo.de/seminare.

DSMSready2go

Eine der wichtigen Änderungen, die die europäischeDatenschutz-Grundverordnung mit sich bringt, sinddie erweiterten Dokumentationspflichten. Damitwird, davon sind wir überzeugt, der Datenschutzzukünftig den Aufbau von Managementsystemenerfordern, wie wir sie bereits aus der Informations-sicherheit, insbesondere der ISO/IEC-Standard-Familie 2700x kennen.

Um diesen Prozess zu unterstützen hat Secorvo einDatenschutz-Management-System auf der Grund-lage eines Confluence CMS entwickelt, das Vorlagen,Prozesse, Richtlinien, Verfahrensverzeichnis undeine Methode zur Datenschutzfolgenabschätzungfür die DSGVO-konforme Umsetzung des Daten-schutzes in KMU bereitstellt – angelehnt an daserfolgreiche ISMSready2go. Nehmen Sie bei Interes-se gerne Kontakt mit uns auf.

Who watches the watchmen?

Wie weit sind wir tatsächlich noch von einem Über-wachungsstaat entfernt? Die Informationstechnikist dabei, aus Verbrauchern „gläserne Bürger“ zumachen. Doch was, wenn die Kontrolleure sich derKontrolle entziehen – oder gar unkontrollierbarwerden?

Zusammen mit dem ZAK (Zentrum für Angewan-dte Kulturwissenschaft und Studium Generale desKIT) lädt die Karlsruher IT-Sicherheitsinitiative (KA-IT-Si) am 27.02.2018 wieder zum Filmevent in dieKarlsruher Schauburg. Bei dieser Abschlussveran-staltung der Traumfabrik „BIG BROTHER – Surveil-lance Cinema“ wird der Film „THE CIRCLE“ vonJames Ponsoldt gezeigt. Die Einführung in den Filmübernimmt Wolfgang Petroll, der bereits durch diegesamte Filmreihe führte. Im Anschluss an den Filmfindet eine Diskussion mit Dr. Stefan Brink (Lan-desbeauftragter für den Datenschutz und die Infor-mationsfreiheit Baden-Württemberg), BeateBube (Präsidentin des Landesamtes für Verfas-sungsschutz Baden-Württemberg) und ThomasRüttler (Leiter der Kriminalpolizeidirektion desPolizeipräsidiums Karlsruhe) statt. Anschließendkönnen Sie den Abend im persönlichen Austauschbeim „Buffet-Networking“ ausklingen lassen (zurAnmeldung).

Secorvo Security News 01/2018, 17. Jahrgang, Stand 01.02.2018 4

Veranstaltungshinweise

Auszug aus http://www.veranstaltungen-it-sicherheit.de

Februar 2018

01.02. Wie ich lernte, die Blockchain zu lieben (KA-IT-Si,Karlsruhe)

21.-22.02. 28. SIT-SmartCard Workshop (Fraunhofer-InstitutSIT, Darmstadt)

27.02. Who watches the watchmen? (KA-IT-Si, Karlsruhe)

27.-28.02. 25. DFN-Konferenz „Sicherheit in vernetztenSystemen“ (DFN-CERT Services GmbH, Hamburg)

März 2018

12.-15.03. T.P.S.S.E. - TeleTrusT Professional for SecureSoftware Engineering (Secorvo, Karlsruhe)

20.-22.03. IT-Sicherheit heute – praxisnah, zielsicher, kompakt(Secorvo, Karlsruhe)

21.-23.03. DFRWS EU Conference (DFRWS, Florenz/IT)

April 2018

10.-11.04. Datenschutztage 2018 (FFD Forum für Datenschutz,Wiesbaden)

16.-20.04. T.I.S.P. (TeleTrusT Information Security Professional)(Secorvo, Karlsruhe)

23.-26.04. PKI - Grundlagen, Vertiefung, Realisierung (Secorvo,Karlsruhe)

24.-26.04. 3rd IEEE European Symposium on Security andPrivacy (IEEE Computer Society, London/UK)

29.04.-03.05.

Eurocrypt 2018 (IACR, Tel Aviv/ISR)

Impressumhttp://www.secorvo-security-news.de

ISSN 1613-4311

Autoren: Dirk Fox (Editorial), André Domnick, Hans-Joachim Knobloch,Michael Knopp. Sarah Niederer.

Herausgeber (V. i. S. d. P.): Dirk Fox,Secorvo Security Consulting GmbHEttlinger Straße 12-1476137 KarlsruheTel. +49 721 255171-0Fax +49 721 255171-100

Zusendung des Inhaltsverzeichnisses: security-news@secorvo.de(Subject: „subscribe security news“)

Wir freuen uns über Ihr Feedback an redaktion-security-news@secorvo.de

Alle Texte sind urheberrechtlich geschützt. Jede unentgeltliche Verbreitungdes unveränderten und vollständigen Dokuments ist zulässig. Eine Verwen-dung von Textauszügen ist nur bei vollständiger Quellenangabe zulässig.