|
Die IISA gibt mit sofortiger Wirkung ihre Vereinstätigkeit auf !!!
Im Zuge der Generalversammlung vom 30.04.2012 haben die Mitglieder die freiwillige Auflösung und die Beendigung der Vereinstätigkeit
mit sofortiger Wirkung beschlossen. Das Vereinsvermögen wird gemäß Beschluss einem wohltätigem Verein gespendet werden.
Der Vorstand der IISA bedankt sich bei allen Mitgliedern für die jahrelange Unterstützung!
Der Internetauftritt wird noch bis 31.05.2012 zur Verfügung stehen.
IISA - Initiative Informationssicherheit Austria
|
|
IISA-Führung im Parlament -> http://www.parlament.gv.at ein.
Zwischen Sicherheitszone und Bürgernähe
Der tragische Amoklauf bei der Bezirkshauptmannschaft Klosterneuburg, bei dem es einen Schwerverletzten und einen selbst gerichteten Attentäter gab, ließ
die Diskussion zwischen Sicherheitsvorkehrungen in öffentlichen Gebäuden und der notwendigen Bürgernähe neu entfachen. Das Parlament ist der Sitz der
Volksvertretung und seine Sitzungen sind öffentlich zugängig - gleichzeitig besteht allerdings die Gefahr, dass unzufriedene Bürger ihren Aggressionen
freien Lauf lassen und dabei Regierungsvertreter sowie Nationalrats- und Bundesratsabgeordnete, aber auch MitarbeiterInnen und BesucherInnen gefährden.
Am 24. März 2011 hat die IISA zu einer Führung ins Parlament eingeladen. 16 Interessenten waren gekommen - unter ihnen
erfreulicherweise auch Besucher, die das erste Mal dabei waren -, um etwas mehr über das Haus, aber auch über die Sicherung dieses Hauses zu erfahren.
Gleich zu Beginn musste man eine Sicherheitsschleuse mit Metalldetektor passieren. Interessantes Detail: Während Einzelbesucher ihren Ausweis deponieren
müssen, fällt diese Vorkehrung bei Gruppenführungen weg. IISA-Mitglieder schienen also unverdächtig zu sein.
Einleitend erinnerte sich Thomas J. Nagy an das Parlament und seine Sicherheitsvorkehrungen von vor 26 Jahren zurück - im Dezember 1984 fand die Besetzung
der Hainburger Au statt. "Damals besuchte ich beruflich die Parlamentssitzungen und erlebte, wie ernst die Situation war. Ich sah die Anspannung bei
Bundeskanzler Sinowatz, Innenminister Blecha und den anderen Regierungsmitgliedern und ich hörte auch die Erklärung des Weihnachtsfriedens am 22. Dezember."
Damals, in dieser äußerst prikären Zeit, war es kein Problem, ins Parlament vom Hintereingang aus "einzudringen". An einer kleinen Portierloge und der
Garderobe kam man vorbei, man konnte problemlos die berühmte "Milchbar" passieren und zur Presseloge oder der Besuchergalerie vordringen - dabei kam man
auch ungehindert am Plenarsaal vorbei.
"Einmal habe ich einen Schulfreund mitgenommen, dem es in der Presselonge langweilig geworden ist. Er wollte sich die Beine vertreten, sagte er, und
ging die Treppe runter. Plötzlich sah ich ihn im Nadelstreifanzug, weißem Hemd und weißen Turnschuhen im Plenarsaal herumlaufen", erzählte Nagy. Man hätte
ihn für einen "Grünen" halten können, doch die grüne Alternative begann sich damals erst zu formen und zog erst zwei Jahre später in den Nationalrat ein.
"Niemand hinderte damals meinen Freund bei seinem Spaziergang. Nachdem er einige Abgeordnete freundlich begrüßt hatte, kam er wieder zurück und setzte sich
ganz selbstverständlich wieder neben mich." Heute wäre das undenkbar - wirklich?
Anbei ein paar Eindrücke des Parlamentsbesuchs:
Wir danken allen Interessierten für Ihr Kommen!
Thomas J. Nagy
IISA - Initiative Informationssicherheit Austria
|
|
IISA ladet zu einem weiteren Themen-Abend am 30. November 2010 mit der Frage Quo Vadis Informationssicherheit? ein.
Die Medien berichten zunehmend über Angriffe gegen die Informationssicherheit, Banken kommen wegen Sicherheitslücken beim Telebanking ins Gerede,
neue Technologien und Anwendungen sind Segen und Fluch zugleich. Social Networks sind "in" und auch auf der Kinoleinwand, doch macht die
öffentliche "Bauchnabelschau" auch Angst.
Soll/kann/will die IISA (Initiative Informationssicherheit Austria) bei aktuellen Informationssicherheitsthemen Flagge zeigen?
- Risiken bei Webapps
- Wurm "Stuxnet"
- Kritische Infrastrukturen eines Staates
- Captcha-Verfahren
- Intrusion Detection & Prevention" speziell bei VMs und in der Cloud
- Oder auch die Banken-Problematik
- Oder ganz was anderes ...?
Die IISA lädt Mitglieder, aber auch interessierte Gäste, ein zu einer Themendiskussion:
Wann: Dienstag, 30. November 2010, 18:00 Uhr
Wo: Steirische Gastwirtschaft Hofbauer, Linke Wienzeile 44 / Stiegengasse in 1060 Wien
Bitte um Zu- bzw. Absage an Judith Kainrath unter 0664 / 840 53 41
Auf Ihr Kommen freut sich
Thomas J. Nagy
IISA - Initiative Informationssicherheit Austria
|
|
IISA ladet zu einem Exkursionstermin in die Anti-Korruptions-Akademie -> http://www.iaca.org ein.
Wann: Sonntag, 26. September 2010, 15:00 Uhr
Treffpunkt: 14:45 Uhr vor dem Palais Kaunitz, Münchendorfer Straße 2, 2361 Laxenburg
Anmeldungen bitte an office@iisa.at
Auf Ihr Kommen freut sich
Thomas J. Nagy
IISA - Initiative Informationssicherheit Austria
|
|
Wie können Geheimcodes durch das Captcha-Verfahren optimal geschützt werden? Thomas J. Nagy im Gespräch mit dem Urheber dieses neuen Verfahrens,
Dipl.-HTL-Ing.Helmut Schwaiger.
Nagy: Was versteht man unter "Captcha"?
Schwaiger: Darunter versteht man eine grafische (oder seltener auch akustische) Darstellung eines Codewortes oder einer Codephrase, die bei Darstellung auf
einem Bildschirm, im Falle einer Grafik, von einem Menschen leicht gelesen, nicht aber innerhalb einer begrenzten Antwortzeit von einem
Roboterprozess "entschlüsselt" werden kann.
Nagy: In welchen Bereichen wird diese Technik in der Praxis eingesetzt?
Schwaiger: Captcha's werden hauptsächlich bei Internet-Dienstleistungsangeboten eingesetzt, um dem anbietenden Server eine Unterscheidung zwischen einem
Menschen als gewünschten Bediener und Anforderer der spezifischen Dienstleistung und einem Roboterprozess oder Hackerprozess zu ermöglichen.
Dadurch kann der Server seine Dienstleistungen sinnvoll und gezielt nur an Menschen erbringen, anstatt sinnlos mit Roboterprozessen beschäftigt zu sein,
die die Bandbreite des Servers im Sinne einer "denial of service" Attacke für die Benutzer wesentlich verlangsamen oder sogar "dead accounts" Dateneinträge
in Datenbanken produzieren oder wegen einer persönlich erforderlichen Nachbearbeitung der Anforderungen "Spam" für das Administrationspersonal und damit
Personalkosten erzeugen.
Nagy: Du hast das Captcha-Verfahren erweitert. Welche neuen Anwendungsmöglichkeiten ergeben sich daraus? (iTAN-Lsiten, Spamfilter ...)
Schwaiger: Der wesentlichste Unterschied zwischen dem Captcha Verfahren und dem Captcha-Collage Verfahren liegt darin, dass nicht eine vom Server
dynamisch oder statisch generierte Grafik dem Benutzer zum "Lesen" des Codewortes übermittelt wird, sondern mehrere, der Länge des Codewortes
entsprechende grafische Symbolfelder dem Benutzer übermittelt werden und das vom Benutzer zu lesende Codewort erst mit einem ebenfalls übermittelten und
im lokalen Browser des Benutzers ablaufendem Javascript aus den grafischen Symbolfeldern ausgewählt wird.
Diese Auswahl oder Markierung der grafischen Symbole kann durch das lokal im Browser des Benutzers ablaufende Javascript auch von bestimmten
Benutzereingaben, wie z.B. die 3. und 5. Stelle eines nur dem Benutzer und dem Server bekannten Passwortes, abhängig gemacht werden, ohne dass diese
geheimen Daten in irgend einer Weise, verschlüsselt oder mit anderen Schutzmechanismen vom Server an den Benutzer übertragen werden müssen, dem Javascript
zur Auswahl der Symbolfelder bekannt sein müssen oder vom Benutzer in irgend einer Weise, verschlüsselt oder mit anderen Schutzmechanismen, vom Benutzer
an den Server übertragen werden müssen.
Nagy: Das klingt sehr komplex - für mich sehr kompliziert. Wie kann man sich das anschaulicher vorstellen?
Schwaiger: Am anschaulichsten lässt sich das mit einem einfachen Beispiel erklären:
Es werden die Symbolfelder "ABCD", "EFGH", "IJKL" und "MNOP" dem Benutzer grafisch dargestellt und die 2. und 4. Stelle eines nur ihm und dem Server
bekannten Geheimnisses (beispielweise der PIN "1234", also "2" und "4") abgefragt.
1) der Benutzer kennt das abgefragte persönliche Geheimnis ("2" und "4") und gibt es dem Javascript lokal ein, es wird der richtige Code: "B", "F", "I"
und "P" markiert, der Benutzer gibt innerhalb des Zeitfensters das Codewort "BFIP" ein und ist nun nicht nur als x-beliebiger Mensch identifiziert,
sondern als autorisierter Benutzer "Thomas Nagy"
2) der Benutzer kennt das abgefragte Geheimnis nicht und gibt dem Javascript daher "00" ein, um überhaupt noch eine Codedarstellung zu erhalten. Nun wird
aufgrund dieser Eingabe der Code "A","F","L" und "N" markiert, der Benutzer gibt zwar noch das Codewort "AFLN" ein, wird vom Server aber durch das falsche
Codewort als nicht autorisierter Benutzer erkannt.
3) ein Roboterprozess erkennt die grafischen Symbolfelder eines Captcha-Collage, kann sie zwar selbst nicht lesen und gibt diese daher als "Captcha"
Felder einem anderen Benutzer einer anderen Anwendung zur Lösung weiter, der jedoch wie unter 4) keine Auswahl aus den Symbolfeldern mangels Javascript
treffen kann oder, falls auch das richtige Javascript an einen anderen Benutzer weitergegeben wurde, das abgefragte Geheimnis nicht kennt und daher wie
unter 2) nicht autorisiert wird. Bei Standard Captcha's ist dies die am häufigsten verwendete Methode, um Captcha's erfolgreich zu knacken, also der
Roboterprozess knackt diese nicht selbst, sondern lässt diese von anderen, bei anderen Anwendungen eingeloggten und meist ahnungslosen, Benutzern online
und meist in "Echtzeit als Popup" lösen.
4) ein Roboterprozess versucht das Captcha-Collage direkt wie ein Captcha zu knacken, er erhält anstelle des richtigen Codewortes (z.B. "BFIP", siehe 1)
jedoch eine Kombination von grafischen Symbolen, mit der er nichts anfangen kann (konkret z.B. "ABCDEFGHIJKLMNOP")
Die durch das Captcha-Collage Verfahren erhöhte Sicherheit kommt daher dadurch zustande, dass erst durch die lokal beim Benutzer stattfindende Eingabe
eines bestimmten Teiles eines nur dem autorisierten Benutzer und dem Server bekannten Geheimnisses der richtige Captcha-Code angezeigt wird, und eben nur
der Captcha Code über das Internet übertragen wird und keinerlei Teile oder Hinweise auf das persönliche Geheimnis des autorisierten Benutzers über das
Internet übertragen werden, weder vom Server an den Benutzer, noch vom Benutzer an den Server.
Dadurch wird der autorisierte Benutzer mit einem gegenüber ebenso als sicher geltenden Passwortverschlüsselungsverfahren vergleichsweise sehr billigen
Verfahren (Kosten nur etwa in der Dimension wie das Standard-Captcha Verfahren) schnell, günstig, einfach und für den Benutzer erkennbar sicher persönlich
identifiziert und für eine bestimmte Internetdienstleistung autorisiert.
Die sich durch die sichere Identifikation nicht nur allgemein eines Menschen, sondern einer ganz bestimmten Person, ergebenden Anwendungsmöglichkeiten
des Captcha-Collage Verfahrens sind daher sehr vielseitig und mit jenem des Standard-Captcha Verfahrens großteils gar nicht vergleichbar und in einem
Konzeptdokument "Das Captcha-Collage Security Verfahren" genau mit Anwendungsbeispielen und dem jeweils erreichten Sicherheitslevel beschrieben. Für eine
Kurzübersicht je nach Anwendergruppe wurden zusätzlich verschiedene Präsentationsunterlagen geschaffen.
Nagy: "Captcha-Collage" heißt der von Dir entwickelte Prototyp. Wie lässt sich dieser beschreiben?
Schwaiger: Der Captcha-Collage Prototyp http://captchacol.game-host.org bzw.
https://captchacol.game-host.org soll vor allem den sichtbaren Unterschied beim
Anwender / Benutzer zum Standard-Captcha Verfahren zeigen und die für den Benutzer daraus erkennbare Sicherheit.
Nagy: Was ist ein "Captchacol"?
Schwaiger: Captchacol isteine Abkürzung für "Captcha-Collage", die in der Internetadresse des Prototypen verwendet wurde.
Nagy: Wodurch kann damit die Informationssicherheit erhöht werden?
Schwaiger: Die durch das Captcha-Collage Verfahren erhöhte Sicherheit kommt dadurch zustande, dass erst durch die lokal beim Benutzer stattfindende
Eingabe eines bestimmten Teiles eines nur dem autorisierten Benutzer und dem Server bekannten Geheimnisses der richtige Captcha-Code angezeigt wird, und
eben nur der Captcha Code über das Internet übertragen wird und keinerlei Teile oder Hinweise auf das persönliche Geheimnis des autorisierten Benutzers
über das Internet übertragen werden, weder vom Server an den Benutzer, noch vom Benutzer an den Server.
Dadurch wird der autorisierte Benutzer mit einem gegenüber ebenso als sicher geltenden Passwortverschlüsselungsverfahren vergleichsweise sehr billigen
Verfahren (Kosten nur etwa in der Dimension wie das Standard-Captcha Verfahren) schnell, günstig, einfach und für den Benutzer erkennbar sicher persönlich
identifiziert und für eine bestimmte Internetdienstleistung, die z.B. als "Warenkorb" mit einer Prüfsumme ebenfalls in die Markierung des richtigen
Captcha-Codewortes durch das Javascript mit einbezogen werden kann, autorisiert.
Die sich durch die sichere Identifikation nicht nur allgemein eines Menschen, sondern einer ganz bestimmten Person und ggf. für eine ganz bestimmte
angeforderte Dienstleistung ergebenden Anwendungsmöglichkeiten des Captcha-Collage Verfahrens sind daher sehr vielseitig und mit jenem des Standard-Captcha
Verfahrens großteils gar nicht vergleichbar und in einem Konzeptdokument "Das Captcha-Collage Security Verfahren" genau mit Anwendungsbeispielen und dem
jeweils erreichten Sicherheitslevel beschrieben, für eine Kurzübersicht je nach Anwendergruppe wurden zusätzlich verschiedene Präsentationsunterlagen
geschaffen.
Nagy: Wie kommt man zu dieser Technologie, wenn man jetzt Bedarf dafür entdeckt hat?
Schwaiger: Für den praktischen Einsatz des Captcha-Collage Verfahrens wurden branchenspezifische Beratungskonzepte nach denjeweiligen Bedürfnissen der
Kunden zur möglichst sinnvollen Anwendung entwickelt und Interessierte haben bis zum Ende der Projektlaufzeit (30.11.2010) zur Einführung des
Captcha-Collage Verfahrens noch Gelegenheit, eine Beratung mit den großteils bereits fertiggestellten Beratungskonzepten direkt vom Urheber des Verfahrens
(Dipl.-HTL-Ing. Helmut Schwaiger, H.A.S.I.G. m.b.H., FN 244815 y, T: 0699/10210890) zu erhalten.
Danach werden diese Captcha-Beratungen bzw. Captcha-Collage Beratungen grundsätzlich von allen Mitgliedern des Vereins "Initiative Informationssicherheit
Austria (IISA)" und des "IT-Security Expert Kreises der WKO" durchgeführt, zu Beginn sicher häufig noch unter Einbeziehung des vorgenannten Kollegen als
Urheber des öffentlichen Verfahrens.
In NÖ erhalten übrigens alle NÖ-WKO Mitglieder ab sofort im Rahmen einer Erstberatung "Captcha-IT-Security" die Kosten dieser Erstberatung im Ausmaß von
4 Stunden im Rahmen des Unternehmerservice NÖ, Landsbergerstr. 1, 3109 St. Pölten, zu 100 % gefördert, und dies bis 30.11.2010 ausschließlich und danach
teilweise für Erstberatungen direkt durch den vorgenannten Urheber des Verfahrens.
IISA - Initiative Informationssicherheit Austria
|
|
Zusammenfassung unseres Themen-Abends vom 24. Juni 2010 mit Mag. Edith Huber (Donauuniversität Krems) und Univ.-Prof. Dr. Nikolaus Forgó (Universität Wien)
über die Untersuchung Cyberstalking-Verhalten in Österreich.
Internet und SMS sind die beliebtesten Medien, um andere Menschen "beharrlich" zu verfolgen, üble Nachrede oder Geschäftsschädigung zu betreiben. Eine
aktuelle Studie des Department für Governance & Public Administration der Donau-Universität Krems in Zusammenarbeit mit der Universität Wien im Rahmen
des Sicherheitsforschungs-Förderprogramms KIRAS des Bundesministeriums für Verkehr, Innovation und Technologie (BMVIT) gibt Auskunft darüber, in welcher
Weise Neue Medien für Stalker an Bedeutung gewinnen. Die Initiative Informationssicherheit (IISA) hat dazu die Studienverantwortlichen
Mag. Edith Huber (Donauuniversität Krems) und Univ.-Prof. Dr. Nikolaus Forgó (Universität Wien) ins Gesundheitszentrum "The Tree" zu einer
Präsentation und Diskussion eingeladen.
Zunächst galt es, den Begriff "Cyberstalking" zu definieren, denn in der Fachliteratur gibt es noch keine Einheitliche Definition des Begriffes
Cyberstalking und von der Medienforschung wurde dieser Begriff in Österreich bislang noch nicht untersucht. Ziel der Studie war es es deshalb, eine
Definition des Begriffes zu Erarbeiten sowie unterschiedliche Zugänge und Betrachtungsweisen zu beleuchten Der als "Anti-Stalkingparagraph" bezeichnete
§107 StGb deckt nämlich nicht alle Aspekte des Stalkings ab. Definitionen des Stalkings umfassen auch Handlungen, die darüber hinausgehen und
juristisch an anderer Stelle behandelt werden. Cyberstalking ist, so Mag. Huber, "die obsessive Belästigung und/oder Bedrohung mit Hilfe von Informations-
und Kommunikationstechnologien".
Charakteristisch sind:
- Bedrohungen auszusprechen,
- falsche Beschuldigungen oder Informationen ins Internet stellen,
- Beschimpfungen der Opfer,
- Attacken gegen Daten und Equipment,
- Informationen über Opfer ansammeln,
- Rollentausch (Täter geben sich in Foren als Opfer aus),
- das Anstiften anderer Personen zu Cyberstalking,
- das Bestellen von Waren im Namen der Opfer,
- persönliche Treffen mit den Opfern vereinbaren und
- physische Gewalt
immer in Zusammenhang mit Informations- und Kommunikationstechnologien.
Nach Abschluss der Sekundäranalyse, in der weltweit Publikationen und Forschungsergebnisse zu diesem recherchiert und aufbereitet worden sind, wurden
österreichweit 747 Internet-nutzende Privatpersonen ab 18 bis 66 Jahren befragt. Dabei handelt es sich um eine repräsentative Umfrage mit einer
Standardabweichung von 3,6 Prozent.
Danach wurde eine qualitative "Delphi-Befragung" mit 18 ExpertInnen aus den Bereichen Informationssicherheit, Behörden, Ministerien,
Kommunikationswissenschaften, Psychologie, Sozialwissenschaften und Informatik, um eine Täter-Analyse vorzunehmen.
Rd. 5 Mio. ÖsterreicherInnen nutzen das Internet in der untersuchten Altersgruppe, 98 Prozent davon haben auch eines oder mehrere Mobiltelefone,
die zu 74 Prozent täglich benützt werden. Daher wundert es nicht, dass hauptsächlich Internet und SMS für Cyberstalking-Attacken verwendet werden.
27 Prozent der Befragten wurden bisher schon telefonisch "traditionell" gestalked, gefolgt von E-Mail, SMS und unfreiwilligen Geschenken.
Interessant und unerwartet war, dass Männer und Frauen gleichermaßen Stalking-Opfer geworden sind. Bei klassischen Stalking Methoden - Hausfriedensbruch
oder Verfolgung - sind hingegen zwei Drittel der Opfer Frauen.
Wichtig ist auch der Hinweis, dass die Untersuchungsergebnisse nicht mit der Kriminalstatistik übereinstimmen, da nur ein Drittel der Fälle angezeigt werden.
Vor allem Männer nehmen Stalking weniger ernst als Frauen.
Von den Befragten wurden
- 261 (35%) durch E-Mails
- 127 (17%) durch SMS
- 45 (6%) durch Chat
- 20 (3%) durch die Verbreitung von Inhalten auf Websites belästigt.
Das scheint nicht viel zu sein, doch bedeutet das Ergebnis, umgerechnet auf die Gesamtheit aller ÖsterreicherInnen, 120.600 Opfer.
Die E-Mail-Opfer gehören zum Großteil der Altersgruppe zwischen 25 und 45 Jahren an, bei SMS zwischen 35 und 45 Jahren. Auch dieses Ergebnis war für die
Studienleiterin, Mag. Edith Huber, verwunderlich, "weil wir dachten, die 18- bis 25-jähren würden das intensiver betreiben". In der jungen Altersgruppe
sind hingegen die Opfer von Chat-Angriffen.
Beim E-Mail können die Täter von den Opfer zum überwiegenden Großteil nicht identifiziert werden, eine persönliche Beziehung - wie beim klassischen
Stalking - kann oft nicht hergestellt werden. Selten wird durch Lebens- oder Beziehungspartner in den Neuen Medien gestalked. Cyberstalking durch SMS
wird allerdings überwiegend durch ehemalige Beziehungspartner verwendet und stellt eine Verlängerung des klassischen Telefons als Stalking-Instrument dar.
Was versteht man unter "beharrlicher Verfolgung? Dr. Nikolaus Forgó meinte dazu: "So was wie `beharrlich´ oder `grundsätzlich´ oder `regelmäßig´ usw. sind
nicht zufällig Begriffe, die in juristischen Definitionen außerordentlich häufig vorkommen und ganz außerordentlich selten ganz präzise bestimmt werden."
Es gibt keine eindeutige Definition, sodass Juristen oder auch Gerichte beginnen "irgendwelche Grenzpflöcke einzuschlagen". Weil Cyberstalking als
Straftatbestand neu ist, kann man deshalb nicht sagen, wie oft beharrlich konkret ist. Nikolaus Forgó nennt als Orientierung folgende Kriterien:
- Intensität der Störung
- Zeitraum
- Eignung, beim Opfer Furcht auszulösen oder als Belästigung empfunden zu werden
- Häufigkeit
- Unzumutbarkeit
Cyberstalking ist kein Offizialdelikt, die strafrechtliche Verfolgung muss vom Opfer gewünscht sein. Viele Privatpersonen, noch mehr Unternehmen, haben
kein Interesse, die Staatsanwaltschaft einzuschalten. Würde man z. B. versuchen, einen E-Mail-Stalker aufzuspüren, wäre allein schon die Recherche der
IP-Adresse schwierig, aber mit Gerichtsbeschluss möglich, allerdings ist dann schon Schluss, weil Gratis-E-Mail-Dienste keine Identifikation der Kunden
verlangen. Der Täter wird, so Forgó, "wenn er nicht ganz blöd gewesen ist, in einem Internet-Café gesessen sein, dann endet an dieser Stelle spätestens
die Spur. Das wird mit einer gewissen Wahrscheinlichkeit dazu führen, dass die Staatsanwaltschaft die Ermittlungen wegen fehlender Wahrscheinlichkeit,
die Täter zu ermitteln, einstellt."
Cyberstalking-Angriffe werden also selten angezeigt und noch seltener aufgeklärt. Empfangene E-Mails und SMS können gelöscht werden, was in der Praxis
allerdings oft belastender empfunden wird als das Lesen, weil man dann nicht weiß, welchen Drohungen man ausgesetzt ist. Gegen Angriffe in Foren oder auf
Facebook helfen "defriended"-Buttons, Gratis-E-Mail-Accounts können relativ einfach vom Betreiber gesperrt werden ... Der wirksamste Schutz ist allerdings
die Zeit, denn nach spätestens einem Jahr sind die Belästigungen meist vorbei.
Weitere Informationen:
http://www.donau-uni.ac.at/de/aktuell/presse/archiv/14817/index.php oder
http://www.kiras.at/fileadmin/dateien/presse/2010/Cyberstalking%20in%20APA%20ZukunftsWissen.pdf
IISA - Initiative Informationssicherheit Austria
|
|
Lässt sich Kinderpornografie durch Internetsperren wirkungsvoll bekämpfen? Interview mit Philipp Schaumann
Am 9. Juni 2010 haben sich im EU-Unterausschuss des Nationalrats die Justizsprecher von SPÖ und ÖVP für den Einsatz von Internet-Sperren gegen
Kinderporno-Websites entsprechend dem Richtlinienentwurf von EU-Justizkommissarin Cecilia Malmström ausgesprochen. Was bedeutet das in der Praxis?
Thomas J. Nagy führte dazu ein Gespräch mit Philipp Schaumann.
Nagy: Das ist ein sehr emotionales Thema, das nur schwer sachlich diskutiert werden kann. Wer gegen Internetsperren ist, steht sofort im Ruf,
Kinderpornographie zu befürworten. Das österreichische Parlament kommt zwar zur Ansicht, dass "das Löschen solcher Inhalte Vorrang vor dem Sperren" haben
soll, doch wird das Sperren immer noch als zweitbeste Lösung angesehen. Wie sieht die Praxis aus, was bewährt sich besser?
Schaumann: Ein deutscher Arbeitskreis (http://ak-zensur.de/2009/05/loeschen-funktioniert.html)
hat das mal durchgetestet. Dabei wurden eine Reihe von in Europa genutzten Sperrlisten ausgewertet und automatisiert 348 verschiedene Provider von
Web-Infrastrukturen in 46 Ländern angeschrieben. Die Webhoster wurden über rund 1943 gesperrte, vorgeblich illegale Webseiten auf den bei ihnen
gehosteten Systemen informiert. Ergebnis: 250 Provider haben prompt auf die Anfrage geantwortet, hatten aber hauptsächlich legale Inhalte gefunden;
10 Provider gaben an, insgesamt 61 illegale Inhalte entfernt zu haben.
Also - so schwer ist das mit dem „Entfernen statt Sperren“ nicht. Solche verbotenen Inhalte werden nämlich zum überwiegenden Teil in Ländern gespeichert,
bei denen ein Entfernen der Inhalte sehr leicht möglich ist.
Nagy: Waren die Webhoster darüber informiert, dass sie auf der Sperrliste sind?
Schaumann: Nein, die Webhoster waren darüber nicht informiert. Wenn das geschehen wäre, so hätte man die meisten der beanstandeten URLs erst gar nicht auf
die Sperrliste setzen müssen. Das Verteilen der Sperrlisten zu allen Betreibern der DNS-Infrastrukturen, über die diese Sperren funktionieren, ist
vermutlich sehr oft mehr Arbeit als das Entfernen der Inhalte aus dem Netz.
Nagy: Mich überrascht, dass von den 250 Providern nur 10 illegale Inhalte gefunden hatten.
Schaumann: Ja, das ist die schlechte Nachricht: Bei der überwiegenden Mehrheit der Webseiten zeigte sich bei der Überprüfung, dass die Webseiten kein
kinderpornographisches, teilweise überhaupt kein irgendwie beanstandbares Material enthielten - die Webauftritte waren folglich zu Unrecht gesperrt. In
Finnland werden zudem auch mehrere inländische Webseiten blockiert die sich kritisch mit den dortigen Internet-Sperren auseinandersetzen. Das heißt,
solche Sperren werden bereits jetzt für Zensurzwecke eingesetzt. Auch aus Australien wird Zensur über solche Sperrlisten berichtet.
Nagy: Gibt es überhaupt eine effektive Möglichkeit, im Internet Zugriffe zu sperren?
Schaumann: Ja schon, aber dann müssen alle Internetverbindungen eines Landes über eine oder mehrere zentrale Firewalls gehen. Dies ist in Nordkorea und in
China implementiert. Die in Europa vorgeschlagenen Sperren sind keine wirklichen Sperren. Es sollen lediglich die DNS-Server in den jeweiligen Ländern die
URLs der "gesperrten" Inhalte nicht mehr auflösen. Das heißt, der DNS-Server gibt keine IP-Adresse zurück, sondern verlinkt auf eine Seite, die besagt,
dass diese Inhalte gesperrt sind. Nach der in Deutschland geplanten Implementierung hätte auch automatisch eine Meldung an die Behörden generiert werden
sollen, damit sie diesem Fall nachgehen können.
Nagy: Das klingt nach einer Scheinsperre. Wie schwer ist es, diese zu umgehen?
Schaumann: Das ist sehr einfach, daher heißt das deutsche Gesetz dazu ja auch nur „Zugangserschwerungsgesetz“. Für die Umgehung ändert der Benutzer bei
seinem PC die Netzwerkeigenschaften und stellt die Adresse des DNS z.B. auf 8.8.8.8. Das ist der neue Google-DNS, der in den USA liegt, wo eine solche
Scheinsperre als Zensur gesehen würde. D.h. eine solche Sperre wäre extrem wirkungslos, auch ich würde lieber über den Google-DNS surfen, als Gefahr zu
laufen, wegen einer der vielen oben aufgezeigten "false positives", d.h. fälschlichen Sperrungen, Besuch von der Behörde zu bekommen und dass
schlimmstenfalls mein Rechner für eine ausführliche Untersuchung beschlagnahmt wird.
Nagy: Der Test aus Deutschland hat gezeigt, dass von den 348 Betreibern nur 250 prompt reagiert haben. Was ist mit dem Rest?
Schaumann: Auch hier gibt es Lösungen. Banken und größere Firmen nutzen zum eigenen Schutz und dem ihrer Kunden kommerzielle Anti-Phishing-Dienste (z.B.
RSA Fraud Center und CSIS Antiphishing), die sich rühmen, JEDE Website vom Netz zu nehmen. Bei seriösen Webhostern ist das recht einfach. Alle seriösen
Hoster haben Abuse-Kontaktadressen, bzw. Compliance Officers, und diese Anti-Phishing-Dienste haben deren Telefonnummern. Ein Anruf genügt, und eine
Phishing-Website ist wieder vom Netz. Bei den nicht-seriösen Hostern ist es schwieriger. Sie werden "bullet-proof" Webhoster genannt, weil sie auf solche
Anfragen nicht reagieren.
Nagy: Ist man dagegen machtlos?
Schaumann: Nein, auch hier gibt es Mittel und Wege, das Problem zu lösen. Zum Beispiel können solche Dienste über Kontakte in die jeweiligen
Polizeibehörden verfügen. Da findet sich dann zumeist ein Weg, die Website vom Netz zu nehmen. Der Punkt ist, wenn private Firmen es schaffen,
"Inhalte vom Netz zu nehmen", dann ist es schwer verständlich, warum die Polizeibehörden der Welt - gemeinsam - dies nicht schaffen können und daher zu
dem (untauglichen) Mittel der Scheinsperre greifen wollen. Daher die Forderung ganz vieler Organisationen, diese Inhalte endlich systematisch löschen zu
lassen. Falls die Polizeibehörden dazu ressourcenmäßig nicht in der Lage sind, so übernehmen die kommerziellen Anbieter dies bestimmt sehr gern.
Nagy: Ziel der Internetsperren ist vorgeblich die Zugangserschwerung zu Kinderpornographie. Aber ist dies wirklich der Kern des Problems, sollte dies
nicht der Schutz der Kinder gegen Missbrauch sein? Kann diese Zugangserschwerung dies überhaupt leisten?
Schaumann: Ich habe ein Problem mit dem Wort „Kindesmissbrauch“. „Gebrauch“ bezieht sich eigentlich auf Sachen, korrekter ist der Begriff (sexuelle)
Kindesmisshandlung. Und ja, das eigentliche Problem sind die in vielen dieser Bilder und Videos dargestellten Kindesmisshandlungen. Diese müssen, zum
Schutz der Kinder, stärker als bisher bekämpft werden. Es zeigt sich, wie bei der Verhaftung eines Wieners
(siehe Standard vom 18.Juni Wiener-verhaftet-Mann-mit-einer-Million-Kinderpornobildern),
dass das Verfolgen von Kinderporno-Nutzern oft Spuren zu Personen legt, die entweder, wie es in diesem Fall den Anschein hat, selbst Misshandler sind oder
die über entsprechende Foren konkrete Misshandlungen „in Auftrag geben“, um sie dann als Live-Stream oder als Video zu konsumieren.
D.h. selbst ein konsequentes Löschen solcher Inhalte löst nicht das eigentliche Problem, sondern behindert nur den Markt mit solchem Material. Ziel muss
die Strafverfolgung der Täter sein. Aber da heute viele Misshandlungen im Auftrag geschehen und dieser große, auch kommerzielle, Markt Anreize schafft,
mehr und mehr solche Bilder und Videos zu produzieren, kann eine effektive Behinderung des Marktes sehr wohl dazu führen, dass weniger Kinder misshandelt
werden.
IISA - Initiative Informationssicherheit Austria
|
|
Cloud-Computing und SaaS „Sicherheit in der Wolke“ von Dr. Manfred Wöhrl
„Wer ein Auto fährt, kauft auch keine Werkstatt!“ - das stimmt - und wenn ich Strom für meinen Eiskasten brauche, baue ich auch kein Kraftwerk.
Die Deregulierung hat es möglich gemacht: ich suche einen Geschäftspartner, der für meine „Steckdose“ verantwortlich ist und erwarte, daß diese Strom
liefert, wenn ich ihn brauche – und mache mir keine Gedanken, wo und wie der Strom erzeugt wird. Es wäre auch zu viel von mir verlangt, alle
technischen Details zu wissen, speziell bei Stromausfall soll mein kompetenter Partner mir helfen.
Seit Jahren wird speziell von Betreibern von Rechenzentren versucht, diesen Gedanken in die IT zu projizieren, in dem Gedankenmodell wird „Strom“ durch
den Begriff „Information“ ersetzt. Es entsteht der Begriff „Cloud“ (…ich konsumiere Information, irgenwo – in einer „Wolke“ – wird meine Anfrage als
Dienstleistung erledigt) und damit verbunden der Begriff „Service“. Von der Software (SaaS, Software as a Service) über die Plattform (PaaS) spannt sich
der Bogen bis zur Infrastruktur (IaaS). Sogar der Begriff HaaS (Hacking as a Service) hat sich in einschlägigen Bereichen eingebürgert.
Damit sind wir aber bei der Gretchenfrage: wie sieht es mit der Security aus?
Wie bei allen anderen neuen Techniken der Vergangenheit wird dieser Punkt auch bei allen XaaS-Technologien vernachlässigt….“zuerst müssen wir die Technik
umsetzen, wenn wir zu früh kritische Gedanken einbringen, ist die Einführung vielleicht in Gefahr! Der Enduser soll nicht verunsichert werden und es geht
ja auch um Kosten.“
Einige Kernfragen sind:
- Wo liegen meine Daten
- Wer hat die Verantwortung, gibt es Policies?
- Wer hat Zugriff auf meine Daten?
- Wie sieht es mit der Verfügbarkeit aus?
- Was geschieht bei Konkurs eines Anbieters (z.B. mit den Daten)?
- Kann man Cloud & SaaS mit lokalen Server-Ressourcen kombinieren?
- Wo und wie wird kryptisiert?
- Kommt VPN zum Einsatz?
Es gibt kaum – qualifiziert und überprüfte – SLAs (Service-Level-Agreements), und unabhängig davon Unterlagen über die Bonität des Providers.
Diese Themen – und einige mehr – werden in nächster Zeit eskalieren:
- XaaS-Normen
- XaaS- Zertifizierungen
- XaaS-Institutionen, die sich um einen sicheren XaaS-Einsatz kümmern
IISA - Initiative Informationssicherheit Austria
|
|
Informationssicherheitsrisiko Burnout
Statistiken gehen davon aus, dass - je nach Branche - zwischen 30 und 50 Prozent der MitarbeiterInnen Burnout-gefährdet sind. Die Gründe dafür liegen zu
rund einem Drittel am Unternehmen (z.B. Organisations- und Führungsschwächen), doch zum Großteil am betroffenen Mitarbeiter. Diese sind meist die
Leistungsträger eines Unternehmens, die von ihren Glaubenssätzen (Du musst perfekt sein! Du darfst Dir keine Fehler erlauben! Genug ist nicht genug! Ich
muss mehr leisten als andere!...), ihrer Idealisierung des Unternehmens und des Arbeitsplatzes, ihrer besonderen Identifikation mit dem Unternehmen
(Ersatzfamilie, Ort der Anerkennung und Wertschätzung ...) und ihren übersteigerten Ansprüchen getrieben werden. Kommt es dann zu einer Enttäuschung,
verändern sich "liebgewonnene" Strukturen, fühlt man sich bei Beförderungen übergangen und kommt es zu anderen Frustrationserlebnissen, kann das zum
Verlust des Sinns der Arbeit, zu körperlichen und psychischen Krisen bis hin zum totalen Zusammenbruch führen.
Frustration und das Gefühl, ausgebrannt (ausgenutzt, benutzt, ausgebeutet ...) worden zu sein, kann auch zu Ersatzhandlungen bzw. Racheaktionen führen. So
mancher Mitarbeiter will dann für "Gerechtigkeit" oder die "gerechte Strafe" für die erlittene Schmach sorgen. Hier beginnt die Gefahr für die
Informationssicherheit eines Unternehmens. "Wenn es mir schlecht geht, soll auch die Firma leiden!"
Natürlich stellt die Weltwirtschaftskrise für Unternehmer und Mitarbeiter eine besondere Herausforderung dar. Niedrigeres Einkommen, geringere
Verdienstchancen, unsichere Arbeitsplätze, Mehrarbeit, Kurzarbeit, Kündigungen, Arbeitslosigkeit ... All das sind Faktoren, die den Druck auf jeden
Einzelnen erhöhen. Umso wichtiger wäre es daher, dass MitarbeiterInnen motiviert und leistungsfähig bleiben. Professionelle Burnout-Prävention ist auch
wirkungsvolle IS-Prophylaxe. Der erste Schritt wäre dabei, das Stress- und Belastungsniveau festzustellen.
Dazu gibt es den kostenlosen » Online-Test. Davon ausgehend sollte ein umfassendes Gesundheitsmanagement-Programm
entwickelt werden, für das es sogar Förderungen gibt. Professionelle Beratung und Unterstützung zahlen sich aus!
IISA - Initiative Informationssicherheit Austria
|
|
Ankündigung zu unserem nächsten "Themen-Abend" am 24. Juni 2010 um 19:30 Uhr. Das Thema lautet Cyberstalking-Verhalten in Österreich
Cyberstalking, das Bedrohen, Einschüchtern und Verfolgen über das Internet, nimmt in Österreich zu. Eine aktuelle Studie der Donauuniversität Krems
gemeinsam mit der Universität Wien im Rahmen des Sicherheitsforschungsförderprogramms KIRAS des Bundesministeriums für Verkehr, Innovation und
Technologie (BMVIT) hat das Cyberstalking-Verhalten in Österreich untersucht. Ergebnis: Die Täter belästigen ihre Zielpersonen hauptsächlich über E-Mail
und SMS.
Details dieser Untersuchung werden präsentieren und diskutieren die Studienleiterin, Mag. Edith Huber (Donauuniversität) und Univ.-Prof. Dr. Nikolaus
Forgó (Universität Wien)
Die Teilnahme wird öffentlich und kostenlos sein.
Mehr Informationen zu finden unter » Termine
Auf Ihr Kommen freut sich
Thomas J. Nagy
IISA - Initiative Informationssicherheit Austria
|
|
Ankündigung zu einem weiteren "Themen-Abend" am 14. Juni 2010 um 18:00 Uhr. Das Thema lautet Cloud-Computing und SaaS
Securityaspekte:
In den letzten Wochen und Monaten sind die Themen „Cloud-Computing“ und „SaaS“ (Software-as-a-Service) die Themen der IT-Branche. Speziell
Rechenzentren und große Softwareanbieter bieten per Outsourcing Hard-und Software-Ressourcen an, die als Ziel haben, KMUs und EPUs kostengünstig
IT-Leistungen nach dem Prinzip des Outsourcing anzubieten. Dabei steht im Vordergrund:
- Zahle nur das, was du benutzt (bzw. brauchst)
- Geringe monatliche Kosten
Dabei wird ein wesentlicher Faktor derzeit kaum betrachtet: wie sieht es mit der Security – in verschiedenen Bereichen - aus:
- Wo liegen meine Daten ?
- Wer hat die Verantwortung, gibt es Policies ?
- Wer hat Zugriff auf meine Daten ?
- Wie sieht es mit der Verfügbarkeit aus ?
- Was geschieht bei Konkurs eines Anbieters (z.B. mit den Daten) ?
- Kann man Cloud & SaaS mit lokalen Server-Ressourcen kombinieren ?
- Wo und wie wird kryptisiert ?
- Kommt VPN zum Einsatz ?
- usw.
Es gibt kaum – qualifiziert und überprüfte – SLAs (Service-Level-Agreements), und unabhängig davon Unterlagen über die Bonität des Providers.
Diese Themen – und einige mehr – werden in nächster Zeit eskalieren.
Die Teilnahme wird öffentlich und kostenlos sein.
Mehr Informationen zu finden unter » Termine
Auf Ihr Kommen freut sich
Thomas J. Nagy
IISA - Initiative Informationssicherheit Austria
|
|
Die IISA 2005-2011:
Die Hautaktivitäten des Vereines seit 2005 liegen in der organisation von regelmäßigen Veranstaltungen zu interessanten Themen rund um die Informationssicherheit:
- E-billing
- Zombienet limited
- Man-in-the-middle Angriffe – "die Zukunft des Phishings"
- Copyright und IPR
- Security Awareness Schulungen - "Der Stein der Weisen der IT Sicherheit?"
- Social Engineering
Links zu den Unterlagen aller Vorträge finden sich im Menü auf der linken Seite.
IISA - Initiative Informationssicherheit Austria
|
|
|