Was diese Woche geschah

Persönlicher Kommentar zum Wochenende

Author patrick.ruppelt Published 16. November 2019

Inhalt dieses Artikels

Lesedauer: 7 Minuten

Meine Güte, was eine Woche. Kaum ein Tag verging, an dem nicht neue Schreckensnachrichten über kritische Sicherheitslücken veröffentlicht wurden. Da wurden die eigentlich viel interessanteren Meldungen über Gerichtsurteile zum beA Postfach oder höchst fragwürdige Entscheidungen des Bundestags fast ins Abseits gedrängt.

Deshalb habe ich mir gedacht, fassen wir doch einmal die wichtigsten Meldungen in einem kurzen Kommentar für Sie zusammen. Wie immer finden Sie weiterführende Infos in den verlinkten Quellenangaben und selbstverständlich auch über eine Google-Suche, die wir Ihnen überlassen.

Datenschutz in der EU nach chinesischem Vorbild?

Das U.S. Militär baut neben dem Pentagon eine eigene Biometriedatenbank auf¹⁾https://onezero.medium.com/exclusive-this-is-how-the-u-s-militarys-massive-facial-recognition-system-works-bb764291b96d. Man habe biometrische Erkennungsformen als neue Waffe identifiziert. Gut sieben Millionen Datensätzen habe man bereits gesammelt, berücksichtigt man auch die angebundenen Systeme des FBI sind es knapp 250 Millionen Datensätze aus aller Welt²⁾https://qz.com/1744400/dhs-expected-to-have-biometrics-on-260-million-people-by-2022/. Aber was wundern wir uns darüber, wir sind ja selbst kein Stück besser. Die NATO hat ebenfalls bereits über acht Millionen Datensätze erfasst³⁾https://www.andrej-hunko.de/start/download/dokumente/1411-sammlung-und-verarbeitung-biometrischer-daten-in-hilfsprogrammen-der-vereinten-nationen/file und wir brauchen nicht einmal so weit zu blicken, denn noch unter Thomas de Maizière (CDU) und EU-Sicherheitskommissar Julian King startete das EU Projekt „Biometrische Superdatenbank“⁴⁾https://www.heise.de/select/ct/2018/18/1535696151919730. Goerge Orwell wäre beeindruckt gewesen.

Zahllose Benutzer des beA Postfachs benötigen „sicherere“ Signaturkarten

Ob es nun die jährlichen Mehreinnahmen für absolutes Nichtstun sind oder die Tatsache, dass das beA System von vorne bis hinten nicht ernst genommen werden kann, man weiß es nicht. Im neuesten Rundumschlag holt die Bundesrechtsanwaltskammer nun dazu aus, allen Nutzern die eigenen Signaturkarten der Bundesnotarkammer anzudrehen. Wer also andere gekauft hat, Pech gehabt. Die neuen Verschlüsselungsmethoden der BRAK werden nun auch nicht mehr offen gelegt und so werden alle anderen Karten inkompatibel⁵⁾https://www.itk-security.de/brak-unterstuetzt-keine-standardsignaturkarten-mehr/.

Bekommt Google bald Zugriff auf deutschen Patientendaten?

Was das neue Gesetz von unserem lieben Herrn Gesundheitsminister angeht folgt in Kürze eine ausführliche rechtliche Auseinandersetzung mit dem Thema auf unserer Webseite. Schon die zwangsweise Abschiebung Schwerkranker ins Heim, die Herr Spahn in die Wege geleitet hat, erinnert mehr an längst vergangen geglaube dunkle Stunden. Sein neuester Vorstoß, alle Patientendaten ohne Anonymisierung und ohne Einwilligung der Betroffenenen an die große Lobby von Pharmakonzernen oder möglicherweise gut zahlenden Unternehmen zu geben, ist genau so inakzeptabel aber in den USA längst Realität. Dort hat Google bereits heute Zugang zu Millionen Patientendaten. Inklusive Namen und Geburtsdatum, denn das sei für die wissenschaftliche Forschung unabdingbar.⁶⁾https://www.wsj.com/articles/google-s-secret-project-nightingale-gathers-personal-health-data-on-millions-of-americans-11573496790 So lächerlich das klingt, es ist diesselbe Argumentation wie die von Herrn Spahn⁷⁾https://dip21.bundestag.de/dip21/btd/19/134/1913438.pdf.

Wenn offizielle Stellen ihre eigenen Sicherheitsempfehlungen ignorieren

Was soll man dazu sagen? Vor Jahren gab es schriftliche Gutachten, die zur Abschaffung der sicherheitskritischen Altsoftware anmahnten. Und dann gibt es da noch das Bundesamt für Sicherheit in der Informationstechnik, das eindringlich gewarnt hat. Hinlänglich bekannt ist ja auch, dass man Firewalls, Virenscanner und aktuelle Software einsetzen sollte.

Wer das alles ignoriert ist selber schuld, anders kann man das nicht ausdrücken. Schade nur, dass der Steuerzahler am Ende für die ganzen Kosten aufkommen muss. Zu dumm, dass unserer Politiker zu blöd sind, das zu begreifen. Alles Pfeifen⁸⁾https://www.itk-security.de/wort-zum-sonntag-berliner-kammergericht-von-altbekanntem-virus-bis-naechstes-jahr-lahm-gelegt/.

Sicherheitslücken wohin man nur schaut

Intel behebt 77 Sicherheitslücken. Praktisch wieder einmal jeder Intel Prozessor betroffen, egal ob Server oder Workstation. Die Patches ließen sich gar nicht so ohne Weiteres einspielen, teils führte es zu erheblichen Problemen. Immerhin, mehrere als kritisch eingestufte Lücken wurden angeblich behoben⁹⁾https://blogs.intel.com/technology/2019/11/ipas-november-2019-intel-platform-update-ipu/#gs.gxp4m5.

Bei Microsoft sieht es auch nicht unbedingt besser aus diese Woche. Von kritischen Lücken am noch immer in Windows vorhandenen Internet Explorer¹⁰⁾https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1429 über bereits öffentlich bekannt gemachte Lücken in der Mac-Version von Microsoft Office¹¹⁾https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1457 bis zu Problemen mit der TPM Plattform¹²⁾https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV190024, die ja eigentlich genau für Sicherheit sorgen soll, die Meldungen hören gar nicht mehr auf. Updates trudeln nach und nach ein, die Meldungen dazu ob diese etwas bringen und ob es „safe“ ist diese zu installieren, irritieren aber mehr als dass sie Klarheit verschaffen würden.

Um seine Rechner selbst kümmern kann man sich als Anwender heutzutage eigentlich gar nicht mehr.

Hacker-Lösegeldforderung in mehrfacher Millionenhöhe

Nicht nur das Berliner Kammergericht wurde von einem Trojaner befallen, wir hatten in unserem Wort zum Sonntag berichtet¹³⁾https://www.itk-security.de/wort-zum-sonntag-berliner-kammergericht-von-altbekanntem-virus-bis-naechstes-jahr-lahm-gelegt/. Das Kammergericht und die deutschen Minister gaben sich unverständlich gelassen. Man sei mit dem blauen Auge davon gekommen, es sei nichts passiert, lediglich die Rechner von mehreren Hundert Angestellten müssten neu installiert werden was auf gut deutsch heisst, dass man bis Anfang 2020 offline arbeite.

Ob sich der mexikanische Erdölkonzern Pemex auch so gelassen zeigen wird bleibt abzuwarten. Nach Befall mit einem Verschlüsselungstrojaner versucht der Konzern derzeit wohl noch, irgendwie den unbrauchbar gewordenen Datenbestand zu rekonstruieren. Der hochverschuldete Konzern würde die 4,5 Millionen Euro Lösegeldforderung sicherlich sowieso nicht mal eben aus der Portotasche bezahlen können¹⁴⁾https://www.elfinanciero.com.mx/economia/pemex-no-pagara-rescate-pedido-por-hackers-rocio-nalhe.

Ich frage mich, wie hoch die Summen werden müssen bis Industrie, Wirtschaft und Politik endlich kapieren, dass das alles kein Kinderkram mehr ist. Cyberkriminalität ist ein gefährlicher „Wirtschaftsfaktor“.

Supportende für Microsoft Server 2008 R2

Ach mei, ich habe es aufgegeben den wenigen meiner Kunden, die noch dieses elf Jahre alte Serversystem voller Macken einsetzen zu sagen, dass sie aktualisieren müssen. Microsoft hat mal wieder eine Stellungnahme veröffentlich, in der dringend dazu geraten wird, endlich auf eine aktuelle Software umzustellen, da der Support Ende diesen Jahres endgültig ausläuft. Es wird dann nicht einmal mehr grundlegende Sicherheitsupdates für Server 2008 geben. Auch nicht für die Nachfolgerversion R2¹⁵⁾https://news.microsoft.com/de-de/supportende-windows-server-2008-umstieg-auf-microsoft-azure/.

Es ist nun endgültig Feierabend und wer es nicht einsieht, nach über zehn Jahren in eine Aktualisierung zu investieren, dem kann ich auch nicht helfen.

Wir jedenfalls nehmen für solche Migrationsprojekte frühestens Termine im Mai 2020 wahr, da wir bis dahin mit allen Umstellungen bei Kunden beschäftigt sein werden die schon vor einem halben Jahr bestellt haben.

Wie immer ist das hier ein persönlicher Kommentar, der meine eigene Meinung als Datenschutzbeauftragter, studierter Betriebswirt und Geschäftsführer eines IT Sicherheitsunternehmens darstellt. Selbstverständlich sollte sich dennoch jeder Leser sein eigenes Bild machen. Auch deshalb gebe ich meine Quellen ausführlich am Ende dieser Seite an.

Quellenverzeichnis[+]

Quellenverzeichnis
↑1	https://onezero.medium.com/exclusive-this-is-how-the-u-s-militarys-massive-facial-recognition-system-works-bb764291b96d
↑2	https://qz.com/1744400/dhs-expected-to-have-biometrics-on-260-million-people-by-2022/
↑3	https://www.andrej-hunko.de/start/download/dokumente/1411-sammlung-und-verarbeitung-biometrischer-daten-in-hilfsprogrammen-der-vereinten-nationen/file
↑4	https://www.heise.de/select/ct/2018/18/1535696151919730
↑5	https://www.itk-security.de/brak-unterstuetzt-keine-standardsignaturkarten-mehr/
↑6	https://www.wsj.com/articles/google-s-secret-project-nightingale-gathers-personal-health-data-on-millions-of-americans-11573496790
↑7	https://dip21.bundestag.de/dip21/btd/19/134/1913438.pdf
↑8, ↑13	https://www.itk-security.de/wort-zum-sonntag-berliner-kammergericht-von-altbekanntem-virus-bis-naechstes-jahr-lahm-gelegt/
↑9	https://blogs.intel.com/technology/2019/11/ipas-november-2019-intel-platform-update-ipu/#gs.gxp4m5
↑10	https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1429
↑11	https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1457
↑12	https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV190024
↑14	https://www.elfinanciero.com.mx/economia/pemex-no-pagara-rescate-pedido-por-hackers-rocio-nalhe
↑15	https://news.microsoft.com/de-de/supportende-windows-server-2008-umstieg-auf-microsoft-azure/