Die Republik ist nur so stark wie ihre Community. Werden Sie ein Teil davon und lassen Sie uns miteinander reden. Kommen Sie jetzt an Bord!
"[...] und erschütterte die Welt." Schön wär's. Die Welt wird mittlerweile so oft durch Datenskandale geschüttelt, dass es ihr Tanzrhythmus geworden ist. Shake, rattle & roll. Umso notwendiger ist es, dass solche Artikel nicht nur geschrieben werden, sondern auch erscheinen.
Vermutlich wissen nicht einmal die Leute mit höchster Bescheidwisserstufe in den Regierungen, was die NSA und vergleichbare Dienste in ihren Ländern so genau treiben und wie souverän und sicher ihre Daten sind.
Apples Sündenfall, von Kunden gespeicherte Fotos im Namen des Kampfes gegen Kindesmissbrauch künftig automatisiert überprüfen zu wollen, rückt die Zukunft weiter in die Nähe einer Daten-Dystopie. Und natürlich wird die Dystopie als Hort des Wahren, Schönen, Lichten errichtet.
Wer zu sehr rummault, muss damit rechnen, als verkappter Komplize von Terroristen und sonstigen Verbrechern zu gelten. Nicht nur bei interessierten staatlichen Stellen, sondern auch bei den beflisseneren Mitbürgern. Von denen ein Teil ja schon jetzt dafür plädiert, im Kampf gegen die Pandemie es doch bitte schön mit dem Datenschutz nicht zu genau zu nehmen. Überall digital einchecken, und dann her mit den Bewegungsprofilen. Das ist ja auch für den Klimaschutz gut. Sonst gibt's den Kredit nur mit Risiko-Aufschlag. Oder gar nicht. Und vergessen Sie nicht, bei den richtigen Inhalten und Personen auf Like zu klicken. Sie wollen doch nicht noch verdächtiger wirken.
Herzlichen Dank für das interessante Update zu Pegasus.
Was ich mir je länger, desto mehr wünschte, ist ein Artikel, der den bizarren Widersprüchen und Zielkonflikten auf den Grund geht, welche zwangsläufig auftreten, wenn Staaten einerseits über Cyberspionage- und -kriegsführungsfähigkeiten (zwecks "Verteidigung" und Strafverfolgung) verfügen möchten, andererseits aber ihre BürgerInnen (oder auch bloss ihre politischen/wirtschaftlichen Eliten) vor entsprechenden Cyberangriffen schützen können wollen.
Eine journalistische Leitfrage dabei könnte etwa sein, ob es Cybersicherheit (zumindest in vielerlei Hinsicht) letztlich nur für alle (das ganze Internet/die ganze Welt) oder niemanden geben kann. Denn das zu verteidigende Kollektiv unterliegt im Cyberspace prinzipiell ganz anderen Grenzen als in der analogen Sphäre (meist nämlich keinen). Es ist bspw. kaum möglich, einen iOS-Exploit zu finden/entwickeln, welcher sich nur gegen z. B. chinesische Nutzer:innen richtet. Derselbe Exploit wird sich in aller Regel auch gegen amerikanische/europäische etc. Nutzer:innen einsetzen lassen. Wobei das Apple-Beispiel hier sogar etwas hinkt, zumal deren proprietäre Software nur aufgrund der immensen Marktmacht bzw. des -erfolges des Konzerns derart weite Verbreitung erlangte. Der mit der Softwareevolution einhergehende Trend Richtung Standardisierung und Open Source sorgt aber auch ohne solche monopolistischen Kräfte dafür, dass immer mehr Systeme auf denselben Unterbau setzen (etwa den Linux-Kernel). Wobei sich Open-Source-Software freilich auch deutlich besser auf mögliche Sicherheitsprobleme hin untersuchen lässt und kein (blindes) Vertrauen in die Urheber:innen verlangt. Was natürlich nicht heisst, dass quelloffene Software damit automatisch vor Programmierfehlern und darauf aufbauender Malware geschützt wäre.
Echte Sicherheit bedingt meines Erachtens zwangsläufig die unmittelbare Behebung der zugrundeliegenden Schwachstellen – was idealer- (und üblicher)weise gleich für alle Betroffenen gleichzeitig erfolgt, egal aus welchem Land dieser Erde diese stammen. Fällt nun aber die Grenze zwischen zu verteidigendem Kollektiv und jenem, das (angeblich oder tatsächlich) angreift, ergibt auch die ganze Freund-Feind-Dichotomie der alten Stahlhelm-Fraktion (etwa im VBS) keinen Sinn mehr – und lässt unsere "Sicherheitsbehörden" notwendigerweise zu "Unsicherheitsbehörden" verkommen, sobald sie zu Kundinnen der Spy-/Malware-Industrie werden und bei der NSO Group und Konsorten einkaufen und damit deren Geschäftsmodell stützen.
Darüber sollten wir uns als Gesellschaft echt mehr Gedanken machen.
Vielen Dank, S., für Deinen wie so oft spannenden Kommentar und Deine Überlegungen. Dazu müsste man eigentlich eine ganze Serie verfassen:-) Wir überlegen uns was (Entsprechendes).
Sehr spannender Kommentar! Kann Ihnen dazu die Besprechung zum Buch über Cyberwaffen von NYT-Journalistin Nicole Perlroth empfehlen. In diesem Markt für Software-Schwachstellen mischen, wie Sie schreiben, unsere «Sicherheitsbehörden» leider kräftig mit. Gemäss Obama's Cybersicherheitsvorsteher haben die auch kein sonderliches Interesse am Verbot von Waffen, die solche Schwachstellen ausnutzen. Man wolle sich alle Optionen für eine eigene Operation offen halten und pflegt darum eigene Listen von Zero-days-Schwachstellen. Vielleicht liesse sich wie Edward Snowden vorschlägt, immerhin die private «Sicherheitsindustrie» hinter solchen Werkzeugen eindämmen.
Anonym, weil ich das Thema sehr genau kenne:
Dass die Firma in Lausanne nicht wusste, was auf ihren Servern geschieht, ist auch richtig so. Es schützt uns alle davor, dass Hostinganbieter unsere Inhalte auf ihren Servern durchsuchen.
In der Schweiz sollen Hostinganbieter eben gerade nicht auf ihren Servern nach rechtswidrigen Inhalten ihrer Mieter suchen - z.B. Raubkopien von Filmen. Das zu erreichen, war schwierig. Wer dagegen argumentiert, riskiert, dass in Zukunft Hostinganbieter die Server, die sie vermieten, nach Urheberrechtsverletzungen durchsuchen müssen.
Ähnliches gilt für die Frage, welche Mieter ein Hostinganbieter akzeptieren darf. Es gibt Mieter, bei denen man Urheberrechtsverletzungen vermuten kann. Die schliesst der Hostinganbieter dann auch aus?
Das sollte man sich überlegen, bevor man der Firma eine Mitwirkung unterstellt, um einen knackigen Titel zu haben.
Sonst haben wir dann bald die aktive Überwachung durch Hostinganbieter.
Grüezi Anonym 2...ja wie bereits schon erwähnt: wir haben an verschiedenen Stellen betont, dass dies wohl ein Kollateralschaden des Cloud Business ist (und Akenes gewissermassen auch ein "Opfer" ist). Interessanterweise verstösst ja die Verbreitung von Schadcode ja auch gegen ihre eigenen Geschäftsbedingungen. Die Frage in dem Zusammenhang: wie werden diese Muster erkannt?
Nur zur Präzisierung: Im Titel steht unfreiwillig. Aber ja, das Ganze gehört ins Kapitel "die Geister die ich rief".
Ich sehe hier jetzt das Problem nicht wirklich.
Wer schon mal selbst Cloudangebote in diesem Segment benutzt hat weiss, dass man bei den allermeisten Anbietern - und das selbst als Privater - beliebig viele Server laufen lassen kann und meistens nur durch die Kosten limitiert wird.
Das der Hoster nicht jeden Server kontrolliert ist ja wohl klar.
Wenn also diese Israelische Firma ihre Accounts und Server auf verschiedene Email Adressen verteilt, ist es unmöglich für den Provider herauszufinden, was der Beschuldigte mit den Servern macht, insbesondere wenn die Daten "Datenschutzkonform" (verschlüsselt) verarbeitet werden.
Ist ja der Sinn der Sache.
Dass jetzt CH Server dafür benutzt wurden, könnte einfach daran liegen, dass man den "Service" diversifiziert hat laufen lassen und so das Ganze über verschiedenste Hoster und Länder verteilt. Das macht die Erkennung nochmals schwieriger.
Guten Abend, es ging uns nicht darum Mitwisserschaft/Mitduldung/Komplizenschaft zu suggerieren (wegen der Frage des "Problems"). Die Firma Akenes SA war selber gewissermassen Opfer. Die Verbreitung von Spyware verstösst gegen ihre eigenen Geschäftsbedingungen und ihre Server wurden offenbar aktiv genutzt dafür. Dies aufzuklären ist in ihrem eigenen Geschäfsinteresse- und auch im Interesse der Öffentlichkeit. Ob es die Schweizer Behörden interessieren mag, wag ich angesichts des Erwerbs der Malware Pegasus zu bezweifeln. (auch das wollten wir mit der Geschichte aufzeigen)
Auf iPhones auf jeden Fall iMessage deaktivieren.
In diesem wurde bereits ein paar Mal Sicherheitslücken gefunden.
Schlussendlich ist jede Smartphone-App, welche Daten von aussen empfangen kann, ein potentielles Einfalltor für Angriffe (egal ob über einen Link oder via Zero Click). Angreifer picken sich halt die App raus welche verbreitet ist, insofern macht das Deaktivieren von iMessage durchaus Sinn, sofern man mit den Nachteilen leben kann. Ein absoluter Schutz bietet es aber nicht.
Gute Erklärbären am Werk - Danke, danke, danke. Jetzt weiss ich dass diese software auf Mobilgeräte spezialisiert ist. Und dass die für wirklich Geheimes nicht taugen ist einmal mehr belegt.
Ja. Cookies und Tracking im Browser ist nicht zu vergleichen mit einer Fernsteuerung des gesamten Smartphones (und der Extraktion interessanter Daten). Gegen Cookies/Tracking kann ich mich ausserdem zu einem gewissen Mass schützen, gegen Zero click-Angriffe welche Lücken ausnutzen geht das prinzipbedingt nicht (ausser ich nutze kein Smartphone).
Auch wenn ich 3rdparty-Cookies und Browser-Fingerprinting persönlich verabscheue: ganz vergleichbar ist das dann doch nicht mit Pegasus. Die Tracker greifen ja mein Surfverhalten ab. Immerhin sollte diese Daten nun nicht mehr in ein indiviudelles Werbeprofil münden, zumindest bei Google, sondern in "Gruppen-Kohorten" (FloC). Das bedeutet: die Werbekunden kennen keine persönliche Kennnummer mehr (je nach Verbindung mit Login-Möglichkeiten dann doch wieder Personalisierung möglich, aber das führt jetzt zu weit). Bei einer Schadsoftware wie Pegasus hat der "Kunde" Zugriff auf die Emails, Kalendereinträge, Messenger-Nachrichten etc. Kurz Ihr gesamtes digitales und auch persönliches Universum. Ausserdem kennt der Kunde/Kundin ja sein "Target" vorab sehr gut mit Namen und Telefonnummern. Er/sie möchte einfach dazu ihre persönlichen Gedanken/Kommunikation mitlesen. Die Werbetreibenden/AdTech-Firmen/Webseiten-Betreiber wissen nicht vorab, wer Sie sind, möchten aber so viel wie möglich über Sie erfahren.
Ich empfahl Schweizer Kunden mit Bedenken zum Datenschutz und Privatsphäre ihre Server bei Exoscale zu hosten.
Dass Datenschutz dazu führt, dass Anbieter nichts über ihre Kunden wissen, verkompliziert die Thematik ungemein.
Ich nehme an, dass die Exoscale-Infrastruktur aufgrund der Datenschutzkonformität für die Pegasus-Software ausgewählt wurde. Der Anbieter weiss nicht für was Kunden ihre Software verwenden.
Empfehlung
Meine Empfehlung für Hosting-Anbieter, ist dass sie zumindest ein Screening des Kunden durchführen:
In welcher Branche sind sie tätig?
Für was verwenden sie die Infrastruktur?
Jadajada
Und das ganze gekoppelt an irgendeine regulatorische Anforderungen.
Regulation
In Sachen Regulation ist die IT-Branche der Wilde Westen. Ich war gerade bei einem Kunden, der Flugzeuge baut. Jedes Bauteil ist genormt, zertifiziert und getestet. Passiert ein "Aircraft on Ground" (AoG), hat man als Hersteller 72 Stunden Zeit beim Bundesamt für Zivilluftfahrt (BAZL) eine Erklärung zu liefern. Passiert nichts, kann das BAZL dem Hersteller die Produktionslizenz entziehen.
Ein solche Instanz fehlt für die Software-Branche.
Keine behördliche Institution interessiert sich welchen potenziellen Schaden eine Software in der Öffentlichkeit anrichten kann.
Was bestimmte IT-Unternehmen heute bieten ist fahrlässig und muss dringendst reguliert werden.
Was meint ihr?
Quasi eine Know-your-customer-Prüfung für Hoster, wie es Finanzdienstleister machen müssen? Stellt sich halt die Frage, inwieweit man da mit Kanonen auf Spatzen schiesst, und ob falsche Angaben von einem kleinen Hoster überhaupt erkannt werden können (davon dass es dann auch ne Überwachung im Betrieb geben muss will ich nicht mal reden).
Biden hat gestern auf den Punkt gebracht, wieviel Handlungsmacht wir über unsere digitale Infrastruktur haben: «The reality is, most of our critical infrastructure is owned and operated by the private sector, and the federal government can’t meet this challenge alone.»
Wo ist der Skandal? Die Firma Dreamlab aus Bern beteiligt sich seit Jahren an Ueberwachungsmassnahmen in Staaten wie Turkmenistan und ähnliche „Demokratien“. Dies nachweislich und ohne Konsequenzen. Die Medienlandschaft interessiert das auch nur scheinheilig. Bei der nächsten Möglichkeit ist ihr CEO wieder als Gesprächspartner eingeladen (siehe SRF).
Dreamlab schauen wir uns auch noch an, bei Gelegenheit.
Dazu ist ja auch schon einiges geschrieben worden in der Vergangenheit: https://www.spiegel.de/netzwelt/net…21705.html
https://www.digitale-gesellschaft.c…ssoftware/
https://www.beobachter.ch/gesetze-r…diktatoren
Inwiefern Dreamlab heute noch im Spywaregeschäft mitmischt und mit welchen Kunden, ist in der Tat eine interessante Fragestellung.
Es muss ja auch nicht alles gerade ein Skandal sein. Ich finde die aufgezeigten Probleme duchaus diskussionswürdig. Sie zeigt auch die Schwierigkeiten, welche Anbieter haben. Die schnellen und einfachen Verrechnungsprozesse (oft anonym oder pseudonym) öffnen halt auch Tür und Tor für Anbieter wie NSO. Man kann ebenso davon ausgehen das auch kriminelle Organisationen solche Hoster bevorzugen.
Aber ja, Dreamlab wäre sicher eine ganz interessante Geschichte die wohl nocht nicht vollständig ausgeleuchtet wurde.
Hierzu noch gleich eine Frage an die Republik die mich schon lange interessiert hat: war oder ist Dreamlab (oder Personen von Dreamlab) unterstützend für die Republik tätig? Wenn ja, kann die Republik unabhängig über Dreamlab berichten?
Als ich kurz nach den Pegasus-Berichten - und wie leicht diese Malware Zugang zu Apple’s iPhones fand - die Nachricht zu Apple’s flächendeckender, haarsträubender Fotoscan-Strategie las (sämtliche andern Apps werden sich dabei genau so leicht scannen und deren Inhalte runterladen lassen), schoss mir nur ein Gedanke durch den Kopf:
Apple versucht damit nun schlicht ein Zugangstor zu legitimieren, das längst für Software wiePegasus aktiv geöffnet worden war. Was ich als geradezu kriminell empfinde.
Ist es manchmal schlicht so einfach? Ihr könnt das besser beurteilen als ich.
Und das alles in dieser Pandemiezeit, wo dieNotwendigkeit, IT-basierte Kommunikation inkl. der gesamten digitalisierten Telefonie zu nutzen, gerade exponentiell gestiegen ist, physische Treffen beinahe schon die Ausnahme geworden sind.
Hat irgendein•e wichtige•r Player•in, wie staatliche, geschweige denn wirtschaftliche Institutionen, überhaupt noch ein Interesse daran, uns davor zu schützen?
Nein, das eine hat nicht mit dem Anderen zu tun.
Insbesondere bei Apple kann eine reguläre App nicht auf fremde Daten einer anderen App zugreifen (zumindest war das mal so - ich benutze aus Überzeugung keine Apple-Geräte). Wenn also Apple in der Bilder-App eine Funktion einbaut, die Bilder (also Daten, auf die die App regulär Zugriff hat) nach bestimmten Apple nicht genehmen Inhalten untersucht, dann hat das mit böswillig aufgespielter Spionagesoftware nichts zu tun.
Wenn also ein eigentlich sicherer Messenger wie Threema beispielsweise seine Daten verschlüsselt abspeichert, die Spionagesoftware aber das Smartphone so infiltriert, dass es die temporär entschlüsselten im Speicher abgelegten Daten mitlesen und an den Herrn&Meister übertragen kann, dass ist dann wirklich Spionage.
Ich empfinde aber das, was Apple da vorhat (oder sogar schon umgesetzt hat?) ebenfalls sehr verstörend. Bei Apple kommt noch hinzu, dass der scheinbare Besitzer des Gerätes auf Gedeih und Verderb Apple bei der Lieferung von Software ausgeliefert ist - Software, die Apple nicht genehm ist, kann eigentlich nicht installiert werden (Ausnahmen wie hier Pegasus bestätigen die Regel - die benutzen dafür aber Fehler in der Apple-Software und nicht den regulären Weg). Für Android-Geräte gibt es einerseits Google-freie Varianten, andererseits auch App-Shops, die nicht von Google kontrolliert werden sowie die Möglichkeit, Apps ganz ohne Shop-App zu installieren - Threema kann man beispielsweise sogar anonym per Bitcoin erwerben und manuell installieren. Das hat dann andere Risiken, entschärft aber die Kontrolle durch den Konzern.
- Mitglied werden
- Angebote
- Gutschein einlösen
- Anmelden
Republik AG
Sihlhallenstrasse 1
8004 Zürich
Schweiz