[datensicherheit.de, 07.03.2024] Im jüngsten Spionage-Vorfall bei der Bundeswehr sollen vertrauliche Gespräche hochrangiger Bundeswehr-Offiziere über „Webex“ abgefangen worden sein. Dieser Vorfall sei weit entfernt von einem „Zufallstreffer“, auch wenn das Bundesverteidigungsministerium diesen veritablen Schnitzer gerne als solchen herunterspielen würde. Lars Christiansen, „Area Vice President EMEA Central“ bei Tanium, kommentiert: „Er unterstreicht die Notwendigkeit, dass Organisationen wie die Bundeswehr fortgeschrittene Sicherheitsmaßnahmen ergreifen müssen, um der äußerst angespannten weltpolitischen Lage gerecht werden und ihre streng vertraulichen Kommunikationen vor ausländischen Geheimdiensten abschirmen zu können.“

Foto: Tanium

Lars Christiansen rät neben der technischen Absicherung aller Endpunkte auch zu einer kontinuierlichen Sensibilisierung und Schulung der Mitarbeiter

Christiansen sieht anschauliches Beispiel – WebEx vom BSI nicht als sicher eingestuft

„Die Tatsache, dass ,Webex’-Datenverkehr auf der ,Airshow Singapore’ abgehört wurde, weist auf mehrere Angriffsvektoren hin“, erläutert Christiansen. Die Möglichkeiten reichten von fehlender Verschlüsselung bei Einwahl in „WebEx“ über Telefon oder Browser bis hin zu potenziellen Abhörwanzen in Räumen und dem Nichtgebrauch etablierter VPN-Standards.

Dieses Datenleck diene außerdem als anschauliches Beispiel dafür, wieso „WebEx“ vom BSI nicht als sicherer Kommunikationskanal für klassifizierte Informationen eingestuft werde.

Entscheidend ist laut Christiansen eine ganzheitliche Cybersecurity-Strategie

„Auch bei der Bundeswehr beginnt der Datenschutz beim Nutzer“, betont Christiansen. Die Informationen hätten nach Bundeswehr-Standards mindestens als „VS-NfD“ klassifiziert und ausschließlich über eine vom BSI zugelassene „SINA“-Infrastruktur und -Produkte übermittelt werden müssen.

Christiansens Fazit: „Dies verdeutlicht, wie entscheidend eine ganzheitliche Cybersecurity-Strategie ist, die neben der technischen Absicherung aller Endpunkte auch eine kontinuierliche Sensibilisierung und Schulung der Mitarbeiter umfasst.“ Nur so könne gewährleistet werden, dass solche Vorfälle in der Zukunft vermieden würden und Deutschlands Nationale Sicherheit nicht aufs Spiel gesetzt werde.

Weitere Informationen zum Thema:

heise online, Marie-Claire Koch, 05.03.2024
Taurus-Leak: Warum „Shooting the Messenger“ das Problem nicht löst / Warum die Debatte über WebEx im Abhörskandal der Bundeswehr erneut zu nichts führen wird, erklärt Manuel Atug im Interview

[datensicherheit.de, 23.09.2013] Die amerikanische Bürgerrechts-Organisation „American Civil Liberties Union“ (ACLU) klagt, unterstützt auch von konservativen US-Juristen, vor einem US-Gericht gegen die Abhörpraktiken der National Security Agency (NSA). Eine wichtige Aussage in der Klageschrift ist, dass die von der NSA betriebene Speicherung von Metadaten zu Telefonanrufen und SMS keineswegs harmlos sei, sondern erlaube, quasi automatisch ein detailliertes Profil aller Bürgerinnen und Bürger zu erstellen.

Zu Beginn des Skandals um die NSA wurde zur Beruhigung von der US-Regierung verlautbart, dass ihre riesige Datenbank von inländischen Anrufen „nur“ Metadaten enthalte. Niemand würde die Telefonate mithören oder die SMS lesen. Die UCLA-Klage legt hingegen offen, dass die „Metadaten“ viele private Informationen enthielten.

Prof. Edward Felten, der an der renommierten Universität Princeton Informatik lehrt, belegte im Rahmen der Prozessvorbereitung, warum „Metadaten“ quasi alles über die Bürgerinnen und Bürger verraten. (1) Metadaten seien sehr einfach automatisch zu analysieren im Gegensatz zu den komplizierten Einzelheiten eines Anrufs mit seinen Variationen in Sprache, Stimme und Gesprächsstil. Moderne Analyse-Software ermöglicht, aus Metadaten Beziehungen, persönliche Daten, Gewohnheiten und Verhaltensweisen herauszulesen. Es gibt bereits Programme, die für Strafverfolgung und Geheimdienste solche Daten analysieren, etwa IBM Analyst‘s Notebook. IBM bietet sogar Kurse an, die lehren, wie man Anrufdaten mit IBM Analyst‘s Notebook auswertet. (2) Im Gegensatz zum tatsächlichen Inhalt der Anrufe, SMS und E-Mails lassen sich die Metadaten zu diesen Anrufen kaum schützen. Dafür sind diese Metadaten oft aufschlussreicher als der eigentliche Inhalt.

Der deutsche Sicherheitsexperte Hubert Jäger,  Geschäftsführer des IT-Sicherheitsdienstleisters Uniscon, bestätigt das: „Zu wissen, wer wen wann und wie oft anruft oder anschreibt, enthüllt privateste Informationen. Je mehr Daten man sammelt, desto aufschlussreicher wird das Ergebnis.“ Zum Beispiel weist ein Anruf von einem Buchmacher wahrscheinlich auf eine Wette hin. Die Analyse der Metadaten im Laufe der Zeit könnte zeigen, dass die angerufene Person ein Problem mit Glücksspielen hat, insbesondere wenn die Anruflisten auch eine Reihe von Anrufen von Kreditfirmen, Inkassofirmen und Pfandleihern aufweist.

Ein hypothetisches Beispiel verdeutlich die Gefahren, denen Bürger sich gegenüber sehen, wenn die Metadaten ihrer Kommunikation gesammelt und ausgewertet werden. Ein Deutscher ruft regelmäßig die Handynummer eines in Deutschland geduldeten Roma-Flüchtlings an, dessen Abschiebung ins Kosovo ansteht. Nach kurzer Zeit kommen häufige Telefonate mit einem Anwalt hinzu, der auf Ausländerrecht spezialisiert ist. Der Mann telefoniert in den nächsten Tagen darauf mit einer Menschenrechtsorganisation, einer Kirchengemeinde und einem Stadtverordneten, von dem bekannt ist, dass er sich mit Asylrecht sehr gut auskennt und dann mit einer Zimmervermittlung in Berlin. Die Metadaten dieser Anrufkette, mit der richtigen Software ausgewertet, erzählen eine so deutliche Geschichte, dass kein Abhören von Telefonaten mehr nötig erscheint. Anhand einer mehrere Jahre umfassenden Datenbank mit „Metadaten“ lassen sich ganze Lebensläufe ohne viel Mühe eruieren.

Aber auch politische Gegner lassen sich so ganz einfach ausspionieren. Durch das Sammeln von Daten einer Bürgerrechtsorganisation wie der ACLU könnte die Regierung die Strategie bei der Klage gegen verfassungswidrige Geheimdienst-Machenschaften ermitteln, indem sie Verbindungen zu bestimmten Experten, Protestbewegungen oder Einzelpersonen offenlegt.

„Unternehmen sind sich der Tatsache des Ausspionierens durch die Metadaten noch wesentlich stärker bewusst“, sagt Jäger. Deshalb würden sie sich vermehrt nach Möglichkeiten umsehen, die Metadaten zu schützen. Jäger hat Einblick in die Bedürfnislage der Unternehmen, denn Uniscon betreibt den Online-Kommunikationsdienst IDGARD für Unternehmen, der auch die Metadaten schützt.

In vielen Medien aber werde dieses Thema derzeit noch wenig beachtet, vielleicht auch deshalb, weil die Werbewirtschaft mit ganz ähnlichen Methoden Profile von Internetnutzern anlegt, um ihre Werbung daraufhin zu optimieren.

Weitere Informationen zum Thema:

(1)  http://ia601803.us.archive.org/22/items/gov.uscourts.nysd.413072/gov.uscourts.nysd.413072.27.0.pdf

(2)  http://www-03.ibm.com/software/products/de/de/analysts-notebook/