BYOD/Elternfinanzierte iPads an Schulen vs Datenschutz und Rechtsvorschriften

In diesem Beitrag stelle ich ausschließlich meine persönliche Meinung als Elternteil dar.

Elternfinanzierte 1:1-iPad-
Ausstattungen an deutschen Schulen

Viele Schulen sind dabei den digitalen Unterricht voranzutreiben. Dazu setzen sie auf die privaten iPads der Schüler. Dies vornehmlich aus dem Grund, dass Schulen und Schulträger ganz überwiegend nicht über die erforderlichen Mittel verfügen, um die gesamte Schülerschaft, bzw. alle Klassen mehrerer Jahrgänge mit digitalen Endgeräten auszustatten.

Gemeinsam mit den Kollegen von Chaos macht Schule des CCC habe ich zu diesem Thema den ausführlichen Artikel „Bring your own devices an Schulen“ in der „datenschleuder Nr. 106“ veröffentlichen dürfen. Der kritische Blick auf die elternfinanzierten Geräte macht den Artikel zur Pflichtlektüre für Schulen, Schulträger, Eltern und Elternräte. In dem Artikel wird schonungslos angesprochen welche bürokratischen Hürden die Institutionen nehmen müssen und Eltern & Schüler erhalten einen ungeschönten Einblick worauf sie sich einlassen, wenn eine elternfinanzierte 1:1 iPad Ausstattung an ihrer Schule eingeführt wird.

Wie bewerten Landesdatenschutzbehörden den Einsatz von BYOD an Schulen?

Oftmals können die Schulen keine umfassende Aufklärung der Eltern leisten. Umso erfreulicher, dass sich die Landesdatenschutzbehörden bereits (eingeschränkt) zu dem Einsatz privater Geräte an Schulen geäußert haben.

Die LDI NRW hat mit Stellungnahme vom 31.10.2022 nur schulischen Geräten eine datenschutzkonforme Anwendung bescheinigt. Hingegen „sieht die LDI NRW den Einsatz privater Endgeräte nicht nur bei Lehrkräften, sondern auch bei Schülerinnen generell kritisch. … Daher kann der Einsatz privater Endgeräte – auch im Interesse der Schulen, die für die Wahrnehmung ihres Bildungsauftrags auf digitale Lösungen setzen – nur übergangsweise in Betracht kommen. … Um die hiermit verbundenen rechtlichen Unsicherheiten zu vermeiden, empfehlen wir Ihnen, alle Schülerinnen möglichst kurzfristig mit schulischen Endgeräten auszustatten und damit die dauerhafte Gewährleistung von Datenschutz und –sicherheit zu ermöglichen.“

„Bring your own devices an Schulen“, die datenschleuder Nr. 106

LDI Vorgaben für eine übergangsweise Nutzung von BYOD

Den Einsatz von elternfinanzierten iPads knüpft die LDI an einige Bedingungen:

  • Umsetzung von technischen und oragnisatorischen Maßnahmen zur Gewährleistung des Datenschutzes der Schüler. Hier ist ein umfassendes Paket zu implementieren, um das Missbrauchspotential der totalen Kontrolle über die private iPads abzumindern.
  • Echte freiwillige und nachteilsfreie Wahl, so dass eine Elternfinanzierung weder direkt noch indirekt zur Sicherung der Teilhabe an der digitalen Ausbildung ist.
  • Aufklärung und Information der Eltern über die Einbindung der BYOD Geräte in ein schulisches MDM inklusive supervised Mode.
  • Jederzeitiges Widerrufsrecht.

Durch die private Nutzung der durch die Schule voll kontrollierten, gesteuerten und überwachten BYOD Geräte ergeben sich weitere zu prüfende Aspekte.

Teacher Tools und Teacher App

Als erstes Beispiel dienen die Möglichkeiten der Apple Teacher Tools in Kombination mit einer MDM Teacher App.

Classroom erlaubt es einer Lehrkraft jederzeit auf den Bildschirm eines Schülers in seiner Klasse zuzugreifen.

Die Funktion „Klassenzusammenfassung“ liefert ein Aktivitäts- und Leistungsprotokoll über die Schüler in der Klasse. 

(https://support.apple.com/de-de/guide/classroom/claa8326dfe9/web)

Die Teacher App (https://relution.io/insights/relution-teacher) erlaubt es einer Lehrkraft Richtlinien (Ad-Hoc) für die Schüler Geräte festzulegen (https://www.youtube.com/watch?v=_r5Mxzfvy0s) . Damit kann eingeschränkt werden (optional) welche Apps, System Apps oder Webseiten zugelassen sind. Diese Profile lassen sich sogar mit der Option „Persönliches Unterrichtsprofil“ vor anderen Lehrkräften verbergen.

Die Classroom-App für Lehrkräfte ermöglicht somit eine umfangreiche und anlasslose Datenerhebung/ Überwachung der Schülerinnen und Schüler. Diese sehen nur, ob die Lehrkraft gerade die Funktion „Screens der Schüler ansehen“ aktiviert hat oder nicht. Der Einzelne kann nicht erkennen, ob die Lehrkraft gerade auf seinen Bildschirm schaut oder nicht.  Auch im Nachhinein werden sie darüber nicht regelmäßig informiert.
Diese Funktion / Vorgehensweise unterscheidet sich ganz erheblich vom analogen Unterricht, bei dem Schülerinnen und Schülern bekannt ist, wann jemand auf die eigenen Unterlagen schaut. Es entsteht ein permanenter Überwachungsdruck und Mangel an Privatsphäre während der Bearbeitung (z.B. falls nicht abgabereife Notizen/Aufgaben der Schülerinnen und Schüler von der Lehrkraft angeschaut werden oder der persönliche Daten geöffnet sind).
Darüber hinaus ermöglicht die Auswertung „Klassenzusammenfassung“ die genaue Nachverfolgung, wer wann und wie lange welche App zur Bearbeitung geöffnet hatte. Dazu steht in dem Dokument „Eckpunkte für den datenschutzkonformen Einsatz von digitalen Lernplattformen in den niedersächsischen Schulen (Stand: Juni 2022)“ :

Es muss sichergestellt sein, dass die Lehrkräfte nicht nachverfolgen können, wie lange die Schülerinnen und Schüler an den jeweiligen Dokumenten gearbeitet haben. Denn dies würde im Vergleich zum analogen Schulalltag, in dem solche Auswertungsmöglichkeiten nicht bestehen, einen unverhältnismäßigen Eingriff in das Recht auf informationelle Selbstbestimmung der Schülerinnen und Schüler darstellen.“

Eckpunkte für den datenschutzkonformen Einsatz von
digitalen Lernplattformen in den niedersächsischen
Schulen (Stand: Juni 2022)

Risiko Zugriff auf das private Leben

Die Teacher App erlaubt es einem Einzelnen -ohne 4 Augen Prinzip oder technischen Einschränkungen- jederzeit Richtlinien für die Geräte “seiner” Klasse zu erzeugen und diese sogar vor anderen Lehrkräften zu verstecken. Zusätzlich kann über die App jederzeit ein Unterricht gestartet werden.
Jemand könnte jederzeit auf diesem Weg eine Richtlinie (ohne Einschränkungen für die SuS Geräte, um „unbemerkt“ zu bleiben) erzeugen und vor anderen Lehrkräften verbergen. Dann könnte er damit zu einem beliebigen Zeitpunkt einen Unterricht für (gezielt ausgewählte) SuS starten und direkt im Anschluss mit Apple Classroom sich Zugriff auf dessen Bildschirm verschaffen.
Ob Schüler und Schülerinnen (SuS) diesen Zugriff bemerken und “verstehen” bleibt fraglich, da auf dem IPAD der SuS kein Hinweis oder eine Informationsmeldung erscheint (https://youtu.be/ZG3mmnxUW-E?t=349) .

Verbot BYOD in den Apple AGBs und SchulG §30

Die School Manager AGBs definieren in Punkt 11 Abschnitt M, was autorisierte Geräte sind, die einem Account zur Registrierung hinzugefügt werden dürfen. Im letzten Satz der Definition, wird dabei ausgeschlossen BYOD-Geräte (Private) zu registrieren und dem Account hinzuzufügen. Die AGBs des Apple School Manager untersagen damit die Verwendung von privaten Geräten.

„Autorisierte Geräte“ bezeichnet Hardware der Marke Apple, die in Ihrem Eigentum oder unter Ihrer Kontrolle ist (und die Sie und/oder Ihre Endnutzer persönlich besitzen (z. B. „BYOD“- Geräte)) und die zur Nutzung ausschließlich durch die Endnutzer vorgesehen ist und die geltenden technischen Spezifikationen und Anforderungen zur Verwendung mit dem Dienst erfüllt. Ungeachtet des Vorstehenden ist es nicht erlaubt, dass Sie BYOD-Geräte in der überwachten Geräteverwaltung als Teil des Dienstes registrieren, und solche Geräte dürfen nicht Ihrem Account hinzugefügt werden.

School Manager AGBs

Ebenso deutlich kommuniziert das Handbuch dieses Verbot.

„Du musst alle Geräte, die du nicht besitzt oder kontrollierst, gemäß der Apple School Manager-Vereinbarung freigeben.“

School Manager Handbuch

Somit liegt bei Nutzung von BYOD an Schulen bereits ein Verstoss gegen das Vertrags- und Lizenzrecht vor. Doch auch das Schulgesetz ist nun betroffen:

SchulG NRW § 30

Lernmittel

(1) Lernmittel sind Schulbücher und andere Medien, die dazu bestimmt sind, von den Schülerinnen und Schülern über einen längeren Zeitraum genutzt zu werden.

(2) Lernmittel dürfen vom Ministerium nur zugelassen werden, wenn sie

1. Rechtsvorschriften nicht widersprechen,

2. den Unterrichtsvorgaben entsprechen,

SchulG Online

Aufgrund der (geplanten) langfristigen Nutzung des Mediums IPAD sind auch die BYOD iPads als Lernmittel einzustufen. Aufgrund der vorliegenden Verletzung des Vertrag- und Lizenzrechtes der Apple School Manager AGBs bezüglich der verbotenen Einbindung von BYOD erscheint Punkt 1. bezüglich der Einhaltung der Rechtsvorschriften nicht erfüllt.

Fragenkatalog Datenschutz BYOD iPads an Schulen

Die zwei ausgewählten Beispiele zeigen den weiteren Prüfbedarf auf. Mein Paper Digitaler Unterricht – Chaosfrei? – Eine technische Risikobetrachtung gewährt einen tieferen Einblick in die Welt des Datenschutzes und der Datensicherheit inklusive Betrachtung rechtlicher und organisatorischer Fragen. Aus diesem Paper stammt die folgende Auflistung der zu betrachtenden Aspekte bei dem Einsatz von elternfinanzierten iPads an Schulen.

  1. Gewährleistung eines freiwilligen und nachteilsfreien Angebotes (z.B. Leihgeräte) inklusive Widerrufsrecht und Aufklärung bei BYOD Geräten. Festlegung eines angemessenen Zeitraumes für eine möglichst kurzfristige übergangsweise Nutzung privater iPads .
  2. Sind die Datenübertragungen von (nicht anonymisiert gesendeten) Analysedaten (Zweckkonform?) an Apple datenschutzkonform? ( https://gizmodo.com/apple-iphone-privacy-dsid-analytics-personal-data-test-1849807619 )
  3. Welche Auswirkungen hat der Ausschluss von BYOD in den Apple School Manager AGBs im Widerspruch zu dem Einsatz von elternfinazierten iPads /BYOD?
  4. Ist die Informierung und Zustimmung von Eltern zur Erstellung einer (verwalteten) APPLE ID für ein Schulkind im Rahmen der Nutzung eines iPads erforderlich? Wie wirkt sich das Mindestalter von 16 Jahren für eine APPLE ID aus? Wie ist der Datenschutz zu bewerten im Hinblick auf die implizite Notwendigkeit der Erzeugung einer Apple ID (mit allen Konsequenzen der Nutzung eines iPads und APPLE ID)  für das Schulkind zur parallel privaten Nutzung des elternfinanzierten iPads, da die Auswahl des Gerätes (iPad) durch die Schule erfolgte und bei Wahl eines anderen Gerätes keine Apple ID notwendig wäre?
  5. Existiert ein (unabhängiger) Nachweis, dass die notwendigen TOMs (Change Management vorhanden? ; Teacher App & Classroom Zugriff) wirkungsvoll für die tatsächliche Infrastruktur (shared Server?) implementiert sind? 
  6. Ist die Gewährleistung der Anforderungen bezüglich der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO durch die Schule sichergestellt?
  7. Gewährleistung, dass bei ein Auftragsverarbeiter einer öffentlichen Einrichtung (Schule) keinerlei persönlichen Daten der Nutzenden für eigene Zwecke verwendet wird – wie jedoch in den Apple AGBs angegeben.
  8. Schutz aller Daten der Kinder vor unberechtigtem Zugriff durch Dritte.
    „Dabei ist der entscheidende Aspekt, ob die Schule als öffentliche Einrichtung personenbezogene Daten (von Kindern) in einer (europäischen) Cloud speichern kann, die z.B. einem möglichen Zugriff US-amerikanischer Behörden ausgesetzt ist. Öffentliche Einrichtungen in Deutschland haben eine besondere Verantwortung hinsichtlich der Zulässigkeit und Nachvollziehbarkeit der Verarbeitung personenbezogener Daten.“.
    (ITMediaLaw)
  9. Es ist zu prüfen, ob die Funktionen der Apple Teacher Apps wie die Classroom Funktion „Viewing Students Device Screen“ datenschutzkonform auf privaten Geräten genutzt werden können. Insbesondere in Kombination mit den Möglichkeiten der Relution Teacher App ist der Datenschutz für SuS zu gewährleisten. Zudem ist zu prüfen, ob die Erhebung der Aktivitäts- und Leistungsdaten durch Apple Schoolwork/Classroom zulässig ist.
  10. Welche Folgen hat ein Verstoß gegen SchulG NRW § 30 im weiteren Verlauf für die einzuhaltenden Datenschutzanforderungen an ein solch potenziell rechtswidriges Lernmittel? Beispielsweise Datenübertragungen an Apple, Zugriff auf die Geräte durch Lehrkräfte und dies vor dem Hintergrund eines potentiell unzulässigen Lernmittels.
  11. Es ist zu prüfen, ob der Einsatz der Plattform Office 365 und deren Apps datenschutzkonform ist, da diese Plattform in der Schule verwendet wird und deren Apps automatisch durch die Schule aufgespielt werden.

Was kann man als Betroffene tun?

Oftmals ist die Aufklärung durch die Institution unzureichend und die Angst vor Nachteilen, wenn man nicht „mitzieht“, ist groß. Der Druck auf die Schüler ist ebenfalls nicht zu leugnen, da ja „alle“ mitmachen und weder Eltern noch Schüler verstehen was da genau auf einen zu kommt und welche Optionen einem eigentlich zustehen. Nicht immer ist die Kommunikation mit der Schule zu diesem Punkt einfach und man kann schnell eine gemeinsame Lösung finden.

Ob diese Art der Kommunikation strategisch ist, lässt sich nicht mit Sicherheit beantworten. Allerdings spricht die Empfehlung des Medienzentrums Cloppenburg für sich.

FAQ des Medienzentrums Cloppenburg wie Schulen Tablets einführen sollen

In solchen Fällen findet jeder Betroffene (Eltern oder Schüler) Hilfe bei seiner zuständigen LDI. Dort kann man mit eine formlosen E-Mail eine Anfrage/Beschwerde einreichen. Dies ist jederzeit möglich – sowohl VOR der Einführung als auch DANACH. Wie hier dargestellt existieren Auflagen für einen BYOD Einsatz und mehrere kritische Punkte sind zum jetzigen Zeitpunkt noch ungeklärt.

Eine Inspiration für eine solch formlose Anfrage stelle ich in meiner Vorlage bereit. Diese Vorlage stellt keine juristische Beratung oder Dienstleistung dar und ist meine rein private und subjektive Sicht der Dinge.

In der Vorlage ist der Kontakt zu der LDI NRW enthalten, andere LDI sind eigenständig im Internet zu suchen (postestelle@xyz ist ausreichend). Die Vorlage ist auf die persönliche Situation anzupassen und stellt nur eine Inspiration dar.

Howto: SAP Security #2 – Netzwerksicherheit

Im zweiten Teil der  Serie „Howto SAP Security“ (Teil 1) wird die Netzwerksicherheit betrachtet. Hierbei sind zwei Punkte  von besonderer Bedeutung. Zuerst ist die Zugriffskontrolle zu betrachten. Dann folgt die Verschlüsselung der Kommunikation.

SAP Netzwerksicherheit

SAP beinhaltet diverse Dienste, die größtenteils aus dem Netzwerk heraus erreichbar sind. Es ist wichtig die verfügbaren Dienste zu kennen, daher zeigt der folgende Screenshot einige wichtige Dienste.

Netzwerksicherheit: SAP Portliste
SAP Portliste, Quelle: https://help.sap.com/viewer/ports

Um Remote zu erkennen, welche Dienste konkret von einem SAP-System in Netzwerk angeboten werden, ist ein Netzwerkscan des Systems ein gutes Mittel. Ein Beispiel eines Scans kann wie folgt ausfallen:

PORT STATE SERVICE VERSION
21/tcp open ftp?
22/tcp open ssh SSH (SSH-2.0-WeOnlyDo 2.1.3)
445/tcp open microsoft-ds?
3200/tcp open sapdisp SAP ABAP Dispatcher release 7010, patch level 111, database release 701 (DB name T11)
3300/tcp open sapgateway SAP Gateway (Monitoring mode disabled)
3389/tcp open ms-wbt-server Microsoft Terminal Service
3600/tcp open sapms SAP Message Server (SID T11, ID 00)
3900/tcp open sapms SAP Message Server (SID T11, ID 00)
7210/tcp open maxdb SAP MaxDB 7.7.07
8000/tcp open sapicm SAP Internet Communication Manager
8100/tcp open sapmshttp SAP Message Server httpd release 701 (SID T11)
40080/tcp open sapigs SAP Internet Graphics Server
50013/tcp open sapstartservice SAP Management Console (SID T11, NR 00)

Hier sieht man neben typischen SAP Diensten auch noch weitere kritische Dienste wie SSH, MSRDP, SMB und FTP.

„Howto: SAP Security #2 – Netzwerksicherheit“ weiterlesen

US Cloud Act als Hintertür im Datenschutz

Ohne parlamentarische Anhörung hat der US-Kongress Ende März 2018 mit dem „Cloud Act“ ein Gesetz verabschiedet, dass Dienstleister ungeachtet des physischen Server Standorts die dort gespeicherten Kundendaten herausgeben müssen.

Cloud Act Bill
Cloud Act Bill

Damit stellt die US-Regierung US-Recht über das geltende Recht des Landes in dem die Daten physikalisch gespeichert sind.

Auslöser

Einer der Auslöser für diesen Beschluss war der Streit zwischen Microsoft und den US-Behörden. Der US-Supreme Court hat sich bereits mit diesem Fall beschäftigt und für dieses Jahr wurde mit einem Urteil gerechnet.

Im Kern war zu entscheiden ob Microsoft E-Mails von einem in der EU betriebenen Server herausgeben muss. Mit dem in Kraft treten des neuen Gesetzes hat der Supreme Court den Fall nun für erledigt erklärt.

Damit ist bereits die erste Anwendung nach dem Neuen Gesetz auf dem Weg und Microsoft ist verpflichtet die angeforderten Daten herauszugeben.

Der Cloud Act und seine Folgen – Daten(un)sicherheit

Der Justiziar Neema Singh Guliani der US-Bürgerrechtsorganisation American Civil Liberties Union (ACLU) hat wesentliche Datenschutz-Probleme in dem Gesetz erkannt:

  • For the first time, the bill allows foreign governments to wiretap and intercept communications in real-time, without even requiring governments to adhere to critical privacy protections in the Wiretap Act (such as notice, probable cause, or a set duration); and

The bill permits broad information sharing between governments, allowing countries (including the U.S.) to obtain information from foreign partners under standards that may be lower than their own domestic law.

Auch die Electronic Frontier Foundation (EFF) warnt vor dem Cloud Act:

Grants real-time access and interception to foreign law enforcement without requiring the heightened warrant standards that U.S. police have to adhere to under the Wiretap Act.

Fails to require notice on any level – to the person targeted, to the country where the person resides, and to the country where the data is stored. (Under a separate provision regarding U.S. law enforcement extraterritorial orders, the bill allows companies to give notice to the foreign countries where data is stored, but there is no parallel provision for company-to-country notice when foreign police seek data stored in the United States.)

Ein Abhören von Zielpersonen ist damit deutlich vereinfacht, ebenso gibt es nahezu keine Informationspflichten mehr.

Für Unternehmen, die Dienstleistungen von US-Firmen in Anspruch nehmen, bedeutet dies ein mögliches Scheitern der DSGVO-Compliance. Denn hier können Dritte auf Daten zugreifen. Noch etwas weiter gedacht wird klar, dass US-Behörden nach eigenem Ermessen auf sämtliche Daten eines Unternehmens zugreifen können, die bei dem US-Dienstleister gespeichert sind. Dazu können auch Geschäfts- und Betriebsgeheimnisse sowie Informationen zu den getroffenen IT-Sicherheitsmaßnahmen oder bekannten Cyber-Schwachstellen zählen.

Auswege

Ein möglicher Ausweg könnte der Einsatz eines „Datentreuhändlers“ sein. So betreibt beispielsweise T-Systems als Dienstleister den Cloud-Dienst für Office 365 Deutschland. Doch ob diese Konstellation Zugriffswünsche wirkungsvoll eindämmt ist nur schwer vorherzusagen.

Besonders brisant wird es für Unternehmen die IT-Sicherheitsdienstleistungen wie Schwachstellenmanagement an US-Anbieter vergeben haben. Überspitzt gefragt kann man sagen: Wer möchte schon seine Schwachstellen frei Haus an die NSA liefern?

Zur eigenen Sicherheit muss hier hinterfragt werden ob es nicht einen EU-Anbieter mit Datenspeicherung in der EU als Alternative gibt.

Der Markt bietet hier einige Alternativen – teils sogar Lösungen die ausschließlich innerhalb der Unternehmens-IT arbeiten und keine Daten in die Cloud oder zum Anbieter übertragen.

Der werthAUDITOR ist eine solche Lösung und prüft IT- und SAP-Systeme auf Schwachstellen und die Daten bleiben dabei garantiert in der sicheren Unternehmens-IT.

Der Cloud Act trägt deutlich die Handschrift der „America First“ Initiative und sollte zum Nachdenken anregen welche Daten wie und wo sicher gespeichert und verarbeitet werden. Idealerweise verlassen sensible Daten gar nicht erst das eigene Unternehmen.

 

 

Cyber-Risk-Insurance Einstiegsübersicht – Neue BSI-Publikation von WERTH

Jeder der sich mit IT-Security beschäftigt hat früher oder später den Satz „100%ige IT-Sicherheit gibt es nicht“ zu hören bekommen.
Viele Experten teilen diese Aussage und die öffentlichen Berichte über erfolgreiche Cyber-Angriffe können ebenso als Beleg für diesen Satz angesehen werden.
Für einen bestmöglich Schutz empfiehlt es sich daher neben der kontinuierlichen Überwachung der Systeme das verbleibende Restrisiko mittels einer Cyber-Versicherung abzusichern.
Das Thema Cyber-Risk-Insurance behandelt eine noch recht junge Versicherungssparte und ist noch nicht allgegenwärtig bekannt.
Um den Einstieg zu erleichtern und die richtige Entscheidung treffen zu können finden Sie in unserer neuesten BSI-Publikation „Cyber-Risk-Insurance Einstiegsübersicht“ eine Übersicht zu dem Thema und Empfehlungen zur Auswahl einer Cyber-Risk-Versicherung.
Wenn Sie auch 100% Schutz für Ihre Systeme erreichen möchten, kontaktieren Sie unseinfach und unkompliziert.

Die Lehren aus den WannaCry-Reaktionen

Weltweit sorgt die WannaCry Ransomware für Aufsehen.  Zum Stand am 15.05.2017 sind nahezu 200.000 Systeme in mehr als 150 Ländern infiziert:

WannaCry worldwide infections

(WannaCry Infections)

WannaCry besteht aus 2 Komponenten

Im Kern besteht diese Malware aus zwei Komponenten. Der eigentliche Angriff oder Büchsenöffner ist ein EternalBlue genannter Angriff. Dieser bislang unbekannte Angriffsweg stammt aus dem Arsenal der NSA und wurde von der Gruppe Shadow Brokers am 14. April 2017 veröffentlicht. Mit diesem Angriff kann man die Kontrolle über ein Computersystem erlangen.

Hier kommt bei WannaCry dann die zweite Komponente ins Spiel. Dies ist eine typische Ransomware die Daten auf dem PC verschlüsselt. Die zweite Komponente wird ausgeführt nachdem der Angriff über den ersten Teil erfolgreich war und der Angreifer die Kontrolle über das System erreicht hat.

Mit der Geiselnahme der Daten und des Systems wird der Angriff dann für betroffene erst sichtbar.

Killswitch?

Zwischenzeitlich gab es ein kurzes Aufatmen, da ein Sicherheitsforscher einen Killswitch im Code von WannaCry gefunden hatte. Hier handelt es sich um Programmcode der prüft ob eine bestimmte Internetadresse (www[.]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com) erreichbar ist und falls dem so ist, sämtliche Programmaktivitäten sofort beendet. Es folgt keine weitere Verbreitung oder Schadcodeausführung. Ein Sicherheitsforscher hat die entsprechende Internetadresse aktiviert und man hoffte die Ausbreitung zu stoppen.

Allerdings gibt es hier wenig Grund zur Entwarnung, denn es wurden weitere Varianten gefunden, die andere Internetadressen abfragen und es wurden Varianten gefunden, die gar keinen Killswitch enthalten.

Zudem zeigt eine Analyse von Didier Stevens, dass der Killswitch nicht hinter Internet-Proxys funktioniert – so wie dies in Unternehmen verwendet wird.

Der weitere Ausblick

Es ist klar mit weiteren Infektionen zu rechnen. Dies hat zwei Gründe:

  1. Der Killswitch funktioniert nicht wie erwartet
  2. Die Infektion ist bisher über das Wochenende gestartet, heute beginnt die Arbeitswoche und zahlreiche IT-Systeme von Unternehmen gehen Online und werden als Ziele verfügbar.
  3. *Update 23.05.2017* Eine neuer Wurm „EternalRocks“ ist inzwischen entdeckt worden. Er nutzt noch weitere Angriffswege aus dem NSA-Archive und versucht möglichst unerkannt auf den infizierten System vorzugehen.

Gegenmaßnahmen

Die Übernahme des Opfersystems erfolgt mit der ersten Komponente der Malware. Gelingt dieser Schritt nicht, kann der Virus das System nicht befallen. Daher ist der wichtigste Schutz, diese Lücke mit dem dazugehörigen Patch MS17-010 zu schließen. Das ganze wirkt wie eine Impfung für den Computer, danach ist er Resistent gegen den Virus und kann nicht mehr befallen werden.

Aufgrund der Kritikalität des Angriffs hat Microsoft auch Notfallpatches für eigentlich nicht mehr versorgte Systeme wie Windows XP, Vista oder 8 veröffentlicht.

Anmerkungen

Sieht man sich die Fakten zu der Epidemie an fallen mir folgende Punkte auf:

  1. Der wichtigste Baustein in der IT-Sicherheit ist das Patchmanagement.
  2. Dies wird jedoch offensichtlich nicht konsequent überall umgesetzt.
  3. Betroffene, Medien und Anwender reagieren nur auf offensichtliche Angriffe wie im Fall WannaCry.
    Die ersten Angriffe mit dem NSA-Exploit EternalBlue erfolgten direkt nach Veröffentlichung und Kriminelle haben so binnen einer Woche bereits ca. 40.000 Systeme unter Ihre Kontrolle gebracht. Dies jedoch im Geheimen und ohne offensichtliche Meldung an die betroffenen.
    Es darf sich jeder die Frage stellen was kritischer ist: Das System als Geisel mit 300$ bis 600$ Lösegeld oder das System unter Kontrolle eines versierten Hackers …
    Erschreckend ist, dass aufgrund der fehlenden Sensibilität für Cyberbedrohungen nahezu keine Reaktion auf die ersten Angriffe erfolgte, sonst wäre der „Erfolg“ von WannaCry gar nicht möglich gewesen.

Auswirkung auf SAP-Systeme

Wer jetzt denkt, SAP-Systeme sind davon nicht betroffen, sollte folgende Fakten prüfen:

  1. Windows Server 2003, 2008, usw. dienen durchaus als Basis für manche SAP-Systeme.
  2. Die Möglichkeit der Übernahme solcher Systeme durch Angreifer hat WannaCry höchst aktuell und eindrucksvoll unter Beweis gestellt.
  3. Der Zugriff aus der Windows-Ebene auf die SAP- und Datenbankebene ist mit wenig Aufwand möglich.
  4. Die Geiselnahme des Systems mitsamt SAP und Datenbank ist ebenfalls möglich. Vielleicht sind unter den befallenen WannaCry-Systemen bereits SAP-Systeme.
  5. Ein fehlender Patch auf vielen Systemen war die Ursache für diese Virus-Epidemie. Für SAP-Systeme gibt es ebenfalls zahlreiche Patches. Auch solche, die wie bei EternalBlue, Angriffe aus der Entfernung zulassen.

Die Frage ist: Werden bei SAP-Systemen die Patches schneller eingespielt als bei Windows?

Ein funktionierendes Patchmanagement ist eine elementare Säule der IT-Sicherheit. Die Kontrolle und Wirksamkeitsprüfung von IT-Sicherheitsmaßnahmen gehört zu dem gesetzlichen Risikomanagement. Bei der Überwachung von Systemen und Einhaltung der gesetzlichen Anforderungen aus dem Risikomanagement unterstützt unsere Lösung WerthAUDITOR mit seinem vollautomatischen Security Monitoring.

Der WerthAUDITOR schützt bereits lange vor der Veröffentlichung von EternalBlue am 14. April 2017 unsere Kunden auch vor dieser Schwachstelle.

Backdoors im Programmcode von IT-Sicherheitslösungen und wie wichtig ist der Herstellerstandort?

Backdoors im Programmcode von IT-Sicherheitslösungen

Im Dezember 2015 wurden schwerwiegende Backdoors in den Netscreen Firewall-Systemen von Juniper entdeckt. Bei einer internen Code-Prüfung wurde unautorisierter Code in dem ScreenOS Betriebssystem der Juniper Systeme entdeckt.

Ein seit 2012 eingeschleustes Code-Segment erlaubt die Entschlüsselung jeder VPN-Datenkommunikation der Firewall. Damit ist eine geheime Kommunikation über diese Geräten nicht möglich. Jede als sicher betrachtete Kommunikation konnte seit 2012 belauscht werden. Entsprechend konnten geheime Informationen und Zugangsdaten abgefangen werden. Diese Lücke beruht auf eine von der NSA forcierte Backdoor.

Folgen einer solch gezielt platzierte Schwachstelle werden an dem Beispiel des Falls Belgacom sehr deutlich. Entsprechend feuern diese neuen Backdoors in den Juniper-Geräten auch Spekulationen über den Einfallsvektor bei Belgacom neu an.

Ein weiteres Backdoor Code-Segment kann bis ins Jahr 2013 zurückdatiert werden. Dieses gewährt unautorisierten Root-Zugriff auf die Firewall System aus dem Internet. Dies bedeutet, dass JEDER mit Wissen über diese Backdoor über das Internet Vollzugriff auf die Systeme erhalten kann. Damit kann er Einstellungen verändern (Zugänge öffnen), Protokolle ansehen und Datenverkehr mitlesen.

Kurz nach bekannt werden der Schwachstelle waren ca. 26.000 verwundbare Systeme im Internet mit einer einfachen Shodan Sucheauffindbar.

 

Woher stammen die Backdoors?

Bisher kann der Firewall-Hersteller nicht erklären woher der Code stammt und wie die Backdoors ihren Weg durch die Qualitätskontrollen in die Release-Versionen finden konnten.

Unbestrittener Fakt ist jedenfalls, dass hier eine Backdoor in Kern-Systeme der IT-Sicherheit eingeschleust wurden und Endkunden statt der erwarteten höheren Sicherheit defacto angreifbarer wurden.

Mit dem Wissen um den NSA-Skandal sowie der Spionageaktivitäten von Russland und Chinasind diese beiden Backdoors in den Firewall-Systemen sicher nicht als Zufall zu betrachten.

Sind doch die Hürden für einen Geheimdienst in einem Land mit starken Befugnissen für Geheimdienste (wie USA, Russland, China, Iran,…) sehr Gering. Entweder kann das Unternehmen direkt gesteuert werden oder es reicht aus die richtigen Mitarbeiter zu „akquirieren“. Diese dürfen natürlich nicht über Ihre Aktivitäten sprechen. Wie schwer es ist gegen einen solchen Maulkorb vorzugehen zeigt dieses Beispiel.

 

Was kann man nun zum Schutz seiner Daten beachten?

Wenn man eine Schlussfolgerung aus den neuen Veröffentlichungen ziehen kann, dann die Standortbedeutung Herstellers. Dies verdeutlicht wie wichtig Gütesiegel wie „Made in Germany“ sind.

Der aktuelle Fall zeigt deutlich, dass blindes Vertrauen in Security-Produkte schwere Schäden nach sich ziehen kann. Nicht nur durch gezielte Spionage-Aktivitäten, sondern auch nach einem öffentlichen Bekanntwerden durch frei zugängliche Exploits.

 

Entsprechend lassen sich hieraus auch Handlungsempfehlungen für den Schutz von SAP-Systemen ableiten.

Gerade beim Schutz des digitalen Herzstücks eines Unternehmens darf der Herstellerstandort nun nicht mehr außer acht gelassen werden. Wie der Fall Juniper gezeigt hat ist dies nicht als Paranoia abzutun sondern eine inzwischen erforderliche Maßnahme.
Das Herkunftsland ist somit ein wichtiger Bewertungsfaktor bei der Auswahl von Sicherheitslösungen.

 

 

Quellen:

http://www.theregister.co.uk/2015/12/21/security_code_to_backdoor_juniper_firewalls_revealed_in_firmware/

http://thehackernews.com/2015/12/hacking-juniper-firewall-security.html

http://m.heise.de/security/meldung/Schnueffelcode-in-Juniper-Netzgeraeten-Weitere-Erkenntnisse-und-Spekulationen-3051260.html

http://m.heise.de/newsticker/meldung/Exploits-fuer-SSH-Backdoor-in-Junipers-Netzgeraeten-3054308.html

http://m.heise.de/newsticker/meldung/NSA-GCHQ-Skandal-Massiver-Cyberangriff-auf-Belgacom-mit-hochentwickelter-Malware-1972194.html

https://community.rapid7.com/community/infosec/blog/2015/12/20/cve-2015-7755-juniper-screenos-authentication-backdoor

http://www.theregister.co.uk/2015/12/23/juniper_analysis/

Lager-Scanner spähen Finanz- und ERP-Daten aus

Sicherheitsforscher der Firma TrapX haben kürzlich einen hoch präzisen Angriff auf ERP Systeme aufdecken können.

Die Angriffe konnten zur Lanxiang school (China) zurück verfolgt werden. Diese Universität hat bereits durch frühere Angriffe auf Google und Co. eine zweifelhafte Bekanntheit erreicht. Im Rahmen des Angriffs konnten die ERP Systeme zu 100% unter Kontrolle gebracht werden. Somit war ein Zugriff auf Finanzdaten und weitere kritische Unternehmensdaten ohne Einschränkung möglich.

 

Der Angriff selbst liest sich wie aus einem Hollywood-Film. Alle betroffenen Firmen haben Scanner derselben Chinesischen Firma für den Einsatz im Lager/Versand/Wareneingang angeschafft. Später stellte sich heraus, dass auf dem Embedded Windows Betriebssystem der Scanner ein Schadproramm ( Zombie Zero ) vorinstalliert war. Dieses hat nach Aktivierung der Scanner von Innen heraus das Netzwerk des Unternehmens anhand spezifischer Merkmale nach ERP-Finanz-Systemen durchsucht und diese kompromittiert.

 

Im zweiten Schritt wurde dann ein erweitertes Schadprogramm zur Kontrolle und Kommunikation mit dem ERP-System auf diesem nachgeladen. Diese Verbindungen konnten zur Lanxiang school verfolgt werden.
Letztlich konnte diese Verbindung genutzt werden um alle Finanz- und ERP-Daten abfließen zu lassen.

 

Abschließend lässt sich sagen, dass durch die Integration der Schadsoftware in ein “vertrauenswürdiges” Produkt ein Angriff von Innen möglich wurde. Moderne Angreifer müssen somit nicht länger die Unternehmensfirewall überwinden oder auf erfolgreiche Phishing-Emails hoffen. Schadprogramme werden einfach in Hardware eingepflanzt. Laut TrapX haben selbst die bei den betroffenen Firmen eingesetzten traditionellen Sicherheitsvorkehrungen wie ein IDS den Angriff nicht stoppen oder erkennen können.

 

Man benötigt hier einen alternativen Ansatz um potentiellen Schaden abzuwenden. Dieser besteht in der kontinuierlichen Sicherheitsüberprüfung der ERP Systeme. So lassen sich Risiken und Schwachstellen frühzeitig erkennen, priorisieren und beheben bevor Angreifer diese Ausnutzen können.

 

Wir bieten Ihnen mit unserem Werth Auditor die Möglichkeit Ihr ERP-System auf Herz und Nieren zu prüfen. Jedes potentielles Risiko wird erfasst und bewertet. Eine Prüfung auf Gefahren für Ihr ERP-System durch Gastzugänge, seitens der SAP-Anwender oder über VPN-Kanäle ist mit unserer Lösung aus jedem Winkel Ihres Netzwerks möglich.  Kontaktieren Sie uns für eine kostenlose Testversion.

 

Weitere Referenzen:

http://www.theepochtimes.com/n3/797218-china-spies-on-global-shipping-using-pre-infected-hardware/

http://www.infosecurity-magazine.com/view/39257/malware-siphons-the-brains-of-shipping-companies-in-sophisticated-supply-chain-attack/

http://www.forbes.com/sites/kurtmarko/2014/07/10/trojan-hardware-spreads-apts/

http://www.pcworld.com/article/2453100/malware-hidden-in-chinese-inventory-scanners-targeted-logistics-shipping-firms.html

http://www.csoonline.com/article/2452986/data-protection/shipping-companies-computers-compromised-by-malware-infected-chinese-scanners.html

Werth IT mit Sonderpreis IT-Sicherheit des BMWi auf der Cebit ausgezeichnet

Das Bundesministerium für Wirtschaft und Technologie (BMWi) hat unter der Führung von Vize­Kanzler Sigmar Gabriel schon länger die Bedeutung der Informations- und Kommunikationstechnologien (IKT) als wichtige Treiber von Innovation und Wachstum in
Deutschland erkannt.
In Zeiten täglich neuer Aufdeckungen im Bereich Computerspionage und aktiver
Wirtschaftsspionage durch ausländische Geheimdienste hat das BMWi ein Förderprogramm zur IT-Sicherheit beschlossen, um dem Risiko von Datenmissbrauch, Computersabotage oder
dem unentdeckten Abfluss von Unternehmens­Know­How für deutsche Unternehmen zu
begegnen. In dem Gründerwettbewerb ITK Innovativ wurden daher Lösungen gesucht, die sich
am konkreten Bedarf und den finanziellen Möglichkeiten betroffener Unternehmen orientieren.
Auf der diesjährigen CEBIT wurde der Sonderpreis an die Werth IT für deren Produkt
Werth Auditor vergeben. Der Werth Auditor ist eine Softwarelösung zur Beurteilung der
Sicherheit von SAP­ Systemen. Ein SAP System ist oftmals das digitale Herzstück eines
Unternehmens und wird zur Planung und Durchführung kritischer Geschäftsprozesse genutzt. In
solchen ERP-­Systemen sind alle Daten und Know-­How des Unternehmens wiederzufinden.
Das nicht ein mal 1 Jahr “junge” Kamener Unternehmen trifft mit ihrem Werth Auditor den Nerv
der Zeit, bereits im vergangenen Jahr wurde dieser in die TOP Ten beim
TeleTrusT­-Innovationspreis 2013 gewählt. Inzwischen zeigen nationale und internationale
Wirtschaftsgrößen intensives Interesse an dem Produkt. Der Werth Auditor zählt bereits kurz
nach seiner Markteinführung zu den weltweit technologisch führenden SAP­Security­-Lösungen.
Über Werth IT
Die Werth IT GmbH verfügt über führendes Know How in den Bereichen Softwareentwicklung,
IT­Sicherheit und Mediendesign.
Mit diesem Know How und langjähriger Erfahrung in diesen Bereichen ist mit dem Werth Auditor
eine einzigartige Sicherheitslösung für SAP Systeme entwickelt worden, die bereits 2013 für den
TeleTrusT­Innovationspreis 2013 nominiert wurde.
Die Software Werth Auditor überprüft die IT­Sicherheit von SAP­Systemen. Untersucht werden
die vergebenen Nutzerberechtigungen, die Einhaltung von IT­Sicherheitsvorgaben, die
Systemkonfiguration, die Datenintegrität und die Anfälligkeit gegenüber Hackerangriffen. Eine
Plug­in­Schnittstelle erlaubt außerdem die schnelle und einfache Erweiterung der Tests.
Ergebnis der Auswertung ist ein Bericht, der zu jedem ermittelten Risiko konkrete Maßnahmen
zur Lösung des Problems nennt. Als Zielkunden fasst Werth Auditor Unternehmen mit
SAP­Systemen ins Auge sowie Systemhäuser, IT­Dienstleister und Wirtschaftsprüfer, die mitdem Tool ihren Unternehmenskunden helfen, sichere SAP­Systeme zu betreiben.

Bitkom-Studie: 53 % der deutschen Unternehmen sind Opfer von Wirtschaftsspionage, Sabotage oder Datendiebstahl

„Unternehmen müssen viel mehr für ihre digitale Sicherheit tun. Die Studie zeigt, dass die Gefahr für Unternehmen aller Branchen und jeder Größe real ist. Jeder kann Opfer von Spionage, Sabotage oder Datendiebstahl werden“

– Bitkom-Präsident Achim Berg

Die repräsentative Studie der Bitkom stellt die digitale Sicherheit der deutschen Wirtschaft in Zahlen dar:

So sind von 2015 bis 2017 53% der deutschen Unternehmen Opfer von Datendiebstahl, Industriespionage oder Sabotage geworden. Dabei ist ein Schaden von 55 Milliarden Euro entstanden.

Die Täter sind dabei vornehmlich (ehemalige) Mitarbeiter, aus dem unternehmerischen Umfeld oder Hacker. Die Verfolgung der Angriffe führte hauptsächlich nach Deutschland, dem Osten (Osteuropa, China, Russland) sowie in die USA.

Jeder dritte Angriff wurde dabei nur zufällig entdeckt, ein weiteres Drittel von aufmerksamen Mitarbeitern bemerkt.

Vornehmlich aus Angst vor Imageschäden (41%) verzichten 69% der betroffenen Unternehmen auf die Einschaltung staatlicher Stellen.

Zum jetzigen Zeitpunkt nutzen viele Unternehmen nur Basisschutzmaßnahmen wie Passwörter, Firewalls und Virenscanner. Dabei existieren seit Jahren Angriffswerkzeuge die mühelos Virenscanner und Firewalls umgehen. Auch Passwörter stellen moderne Werkzeuge vor keine große Herausforderung.

Eine wirksame Kontrolle der eigenen Sicherheitsmaßnahmen durch externe Spezialisten führen nur 24% der Unternehmen durch.

Die Studie zeigt somit klar, dass in Zeiten von Digitalisierung und Industrie 4.0 die deutsche Wirtschaft besonderes Augenmerk auf die Abwehr von Spionageangriffen wird richten müssen.

Dies hat auch Gartner erkannt und entsprechend in seinem aktuellen Hype Cycle 2017 als absoluten Top Trend Application Security ausgerufen. Dies ist auch gut nachvollziehbar, da doch die in der Studie betrachteten Punkte Datendiebstahl, Industriespionage oder Sabotage eben meist die Systeme betreffen, welche die unternehmenskritischen Geschäftsprozesse verarbeiten. Eben die ERP-Systeme als business critical applications.

Die Studie hat den Nachholbedarf dort aufgezeigt und Gartner erkennt den Trend in der Wirtschaft hier nachzubessern.

Gerne unterstützen wir Sie bei der Sicherung Ihrer Kerndaten, sprechen Sie uns an!

Chinas Militär bestätigt offiziell die Existenz von Spezialeinheiten für den Cyber-War

Chinesische Angriffe – insbesondere zum Diebstahl von Geschäftsgeheimnissen – sind seit Jahren bekannt.
Dies belegen auch Beispiele aus der Vergangenheit:

Bisher hat China jedoch jede Beteiligung an solchen Aktivitäten vehement abgestritten.
Doch in der neuesten Ausgabe des Dokuments „The Science of Military Strategy“, welches von dem Forschungsinstitut der Volksbefreiungsarmee herausgegeben wird, wird die Existenz von Cyber-Einheiten bestätigt.
Dabei gibt es drei Flügel:
1. Militärische Cyber-Einheiten
2. Einheiten des Ministeriums für Staatssicherheit
3. Einheiten außerhalb der Regierung.

Alle diese Einheiten werden verdächtigt aktiv Cyber-Spionage durchzuführen. Ihnen wird zugetraut jedes Ziel ob Unternehmen oder kritische Infrastruktur erfolgreich angreifen zu können.

Doch China ist nicht die einzige Nation, die aktiv Wirtschaftsspionage mit Cyber-Angriffen betreiben kann.
Hier sind auch Russland und die USA zu nennen. Im Rahmen des NSA-Skandals kann das Potential der USA gut wahrgenommen werden. Ebenso hat die Krise rund um die Krim gezeigt, wie stark die russischen Cyber-Truppen sind. Diese drei Nationen sind klar führend auf dem Gebiet der Cyber-Attacken. Allerdings ist der Iran dabei seine Fähigkeiten auf diesem Gebiet schnell und stark auszubauen, ebenso Nord Korea wie der Sony Hack eindrucksvoll bewiesen hat.

Damit ein Unternehmen sich vor solchen Gefahren schützen kann, muss es diese und deren Potential auch kennen. Es ist daher wichtig Informationen wie die hier geschilderten Wahrzunehmen und nun aktive Schutzmaßnahmen für die digitalen Kronjuwelen zu ergreifen. EinPenetration-Test – der Schwachstellen aufdeckt – ist sicher immer einer forensischen Analyse – die versucht Vorfälle aufzuklären – vorzuziehen soweit man dies selbst steuern kann.