Schwerwiegende Sicherheitslücke in D-Link-Routern entdeckt
UPDATE: Patch für Anwender verfügbar, D-Link Support-Seiten aktualisiert
Bereits im November 2018 hat Greenbone eine schwerwiegende Sicherheitslücke in Routern von D-Link entdeckt und das Unternehmen darauf aufmerksam gemacht. Die Schwachstelle ist für Hacker einfach auszunutzen und ermöglicht unautorisierten Zugriff auf Netzwerke. Seit dem 19. März 2019 ist auf den Support-Seiten des Herstellers ein Patch verfügbar. Greenbone bietet seinen Kunden jedoch bereits seit Ende letzten Jahres einen entsprechenden Schwachstellentest (Vulnerability Tests, VT) im täglichen Security Feed.
Router sind die zentralen Dreh- und Angelpunkte in Netzwerken. Sie stellen die Internetverbindung für die angeschlossenen Laptops und PCs aber auch für Smart-Home- und Industrie-4.0-Anwendungen her. Doch trotzdem hier so viele Komponenten eines Netzwerks zusammenlaufen, ist es um die Sicherheit oftmals nicht gut bestellt. Im vergangenen Jahr fanden Forscher des American Consumer Institute bei 83 Prozent der innerhalb einer Studie untersuchten Routern bereits bekannte Sicherheitslücken. Über diese können sich Hacker unter Umständen Zugriff zum Gerät selbst und damit auch zum Netzwerk verschaffen. Insgesamt zählten die Forscher mehr als 30.000 Schwachstellen – 7 Prozent davon bergen ein kritisches und 21 Prozent ein hohes Risiko.
Designfehler macht die Modelle DWR und DAP angreifbar
Zu den bereits bekannten Schwachstellen in Routern kommen auch immer wieder neue hinzu. So haben unsere Sicherheitsforscher bei Greenbone im November 2018 eine schwerwiegende Sicherheitslücke in verschiedenen Routern des Herstellers D-Link gefunden. Betroffen sind mindestens die Modelle DWR und DAP. Auf Englisch würde man die Schwachstelle als „Unauthenticated Remote Code Execution“ bezeichnen, also eine Sicherheitslücke, bei der ein Angreifer ohne jegliche Authentifizierung Befehle auf dem Router ausführen kann. Im Fall der D-Link-Router kann sich ein Hacker sogar die vollen administrativen Rechte verschaffen. Es ist sehr wahrscheinlich, dass das NIST (National Institute of Standards and Technology) die höchstmögliche CVSS-Wertung (Common Vulnerability Scoring System) von 10.0 vergeben wird.
Die Ursache ist vermutlich ein Design-Fehler. Bei den von uns getesteten Geräten fanden wir eine ausführbare Datei namens „EXCU_SHELL“, die sich mit einem sogenannten GET-Request aus dem Web-Browser aufrufen lässt. Diese ist für einige harmlose aber sinnvolle Operationen zuständig, wie zum Beispiel das Anzeigen von Informationen über die installierte Firmware-Version. Wenn man jedoch einige Parameter dieser Datei anpasst, lassen sich beliebige Befehle einschleusen und ausführen.
Zugriff auf Router ohne Authentifizierung möglich
Die Tragweite der gefundenen Sicherheitslücke ist gemäß der Marktpräsenz von D-Link hoch: Das Unternehmen ist einer der Top-Player auf dem globalen Wireless-Router-Markt und war 2017 mit einem Anteil von 24,1 Prozent Marktführer.
Darüber hinaus ist der Schweregrad der Lücke laut dem CVSS-Basis-Score-Rechner hoch und die Lücke relativ leicht auszunutzen: Die Datei „EXCU_SHELL“ ist nicht passwortgeschützt und Hacker können daher ohne Authentifizierung auf den Router und damit das zugehörige Netzwerk zugreifen. Einmal eingedrungen, lässt sich so der gesamte ein- und ausgehende Internet-Traffic einsehen, modifizieren und kontrollieren oder sogar Malware verbreiten.
In Zeiten von Smart Home und Industrie 4.0 kann dadurch erheblicher Schaden entstehen. Hackern steht mit einer Sicherheitslücken diesen Schweregrads sozusagen Tür und Tor zu Netzwerken offen – fatal wären die Folgen von Eingriffen in kritischen Infrastrukturen wie Gesundheitseinrichtungen oder Energieversorgern.
D-Link hat Sicherheits-Update am 19. März 2019 veröffentlicht
Nachdem Greenbone die Sicherheitslücke bereits im vergangenen November an D-Link gemeldet hat, ist für Anwender jetzt auch ein Patch verfügbar. Der Hersteller zeigte sich während der gesamten Zeit responsiv und bat uns, die CVE-Beantragung zu übernehmen. Informationen für Kunden auf der D-Link-Website und Patches sind inzwischen auch verfügbar.
Ursprünglich waren seit der Entdeckung der Schwachstelle schon mehr als 90 Tage vergangen – die Frist endete bereits am 11. Februar 2019. Daher handelten wir gemäß des Responsible Disclosure und veröffentlichten alle bisher verfügbaren Informationen, um Anwender zu schützen. Für Greenbone-Kunden war die Lücke bereits seit November 2018 über den täglichen Security Feed sichtbar.
Hersteller müssen handeln!
Angesichts der horrenden Anzahl von Sicherheitslücken auf Routern, ist die Schließung der D-Link-Lücke sicherlich nur ein Tropfen auf dem heißen Stein. Ja, die Anzahl an Schwachstellen ist einschüchternd – den Kopf in den Sand stecken aber keine Option. Vielmehr gilt es, so viele Hersteller wie möglich dazu zu bewegen oder wenn nötig auch zu zwingen, ihre Router abzusichern. Denn in einer vernetzen Welt wie der unseren steht zu viel auf dem Spiel.
Schwachstellen für digitale Gegenangriffe zurückzuhalten, ist in höchstem Maße riskant
Sollten Staaten Schwachstellen zurückhalten, um die eigenen Möglichkeiten eines Hack Back zu stärken? Nein, meint Dirk Schrader, CMO von Greenbone Networks, Vulnerability-Management-Anbieter, als Reaktion auf den Spiegel-Artikel „Das Cyber-Dilemma“.
Gut gezielte Cyber-Angriffe können heute das gesellschaftliche Leben ganzer Staaten lahmlegen. Bei einem totalen Blackout der Energieversorgung würden etwa wichtige elektronische Geräte in Krankenhäusern ausfallen und Lebensmittelkühlketten nicht mehr funktionieren. Auch ließen sich keine Notrufe mehr tätigen und die Frischwasserversorgung wäre gefährdet. Es ist daher gut und wünschenswert, dass die Regierung darüber diskutiert, wie sie die eigenen kritischen Infrastrukturen bestmöglich vor böswilligen Cyber-Angriffen schützen kann. So sind Maßnahmen eins bis drei des vom Bundesverteidigungs- und Bundesinnenministeriums vorgestellten Fünf-Stufen-Plans absolut richtig und wichtig: Prävention von Cyber-Angriffen, Umleitung von Daten eines erkannten Angreifers und Aufklärung von Hacker-Offensiven.
Hack Backs haben unvorhersehbare Nebenwirkungen
Der in Stufe vier und fünf verfolgte Ansatz, gefundene Schwachstellen zurückzuhalten, sie also nicht zu veröffentlichen, um sie für einen sogenannten „Hack Back“ zu nutzen, ist jedoch schon aus technischer Sicht nicht praktikabel. So sollen sich Cyber-Experten in Stufe vier des Plans über eine bisher nicht veröffentlichte Schwachstelle Zugriff auf das IT-System des Hacker verschaffen, um Daten „zurückzuklauen“. Doch bereits hier lauern zahlreiche Fallstricke: Gibt es Kopien von den Daten? Sind die Daten verteilt gespeichert? Wem gehört der Server überhaupt? Und was ist, wenn der Server in einem befreundeten Land steht und Eigentum der dortigen Regierung ist?
Stufe 5 – die von Hackern genutzten Server zu zerstören – erinnert wiederum sehr an das Vorgehen der britischen Regierung nach den Snowden-Enthüllungen. Hier wurden Festplatten der britischen Tageszeitung „The Guardian“ mit Bohrern zerstört. Die Folge eines solchen Vorgehens: Nutzen auch andere unbeteiligte Einrichtungen den Server, wären auch deren Daten unwiederbringlich verloren. Insbesondere bei kritischen Infrastrukturen wie Krankenhäusern hätte dies fatale Folgen.
In diesem Zusammenhang stellt sich außerdem die bisher nicht thematisierte Frage, gegen wen solche Maßnahmen der Stufen 4 und 5 theoretisch gerichtet sein können – und dürfen. Wenn ausländische Dritte vom Hack Back betroffen sind, wertet deren Regierung das als Angriff und hackt auch zurück? Eine solche Spirale sollte verhindert werden.
Unveröffentlichte Schwachstellen sind immer ein Risiko
Darüber hinaus gibt es auch bei der Beschaffung von bisher unveröffentlichten Schwachstellen ein sehr konkretes Problem: Findet man selbst eine neue Sicherheitslücke, muss man immer davon ausgehen, dass feindlich gesinnte Hacker oder Regierungen ebenfalls auf diese aufmerksam werden. Es gilt also, die eigene Infrastruktur gegen einen Angriff über ebenjene Schwachstelle zu schützen. Doch wie gelingt das, wenn es dafür noch keinen Patch gibt? Die Thematik ist umso brisanter, wenn man das Wissen über eine Schwachstelle von einem Dritten gekauft hat. Denn Gegner sind natürlich in der Lage, das Gleiche zu tun.
Spätestens wenn die Schwachstelle für einen Hack Back genutzt wurde, ist sie ein maßgeblicher Risikofaktor, denn: Ab diesem Zeitpunkt ist sie bekannt, wird analysiert und von Gegnern eventuell ebenfalls für einen Angriff genutzt. Derselbe Mechanismus greift bei digitalen Schläferzellen – Schadsoftware, die über eine Schwachstelle unbemerkt im IT-System von potenziellen Gegnern platziert wird und bei Bedarf zum Einsatz kommt. Denn auch hier gilt: Ab ihrem Bekanntwerden – etwa indem die Schadsoftware gestartet wird – ist sie ein potenzielles Einfallstor in das eigene IT-System.
Fazit: Digitalen Waffen keinen Entwicklungsraum geben
Schwachstellen zurückzuhalten, um sie für Hack Backs zu nutzen, ist weder politisch, noch administrativ, noch technologisch tragbar. Schlussendlich erhöht jede nicht geschlossene Schwachstelle das Risiko eines erfolgreichen Angriffs. Die Folgen eines solchen sind in unserer komplex vernetzten Welt unvorhersehbar. Im schlimmsten Fall kommt es zu einem Kaskadeneffekt, der das komplette gesellschaftliche Leben zum Erliegen bringt. Dieses Risiko sollten Regierungen auf keinen Fall eingehen, denn sie sind für das Wohl der Bürger verantwortlich. Anstatt sich also um zwischenstaatliche Verfahren über die Weitergabe von Schwachstellen zu bemühen, sollte die politische Energie vielmehr auf die Ächtung von D-Waffen (digitalen Waffen) nach dem Vorbild des Genfer Protokolls zielen.
https://www.greenbone.net/wp-content/uploads/01_Logo-mit-Schriftzug_500px_on_white_horiz1.jpg00Dirk Schraderhttps://www.greenbone.net/wp-content/uploads/01_Logo-mit-Schriftzug_500px_on_white_horiz1.jpgDirk Schrader2018-09-19 10:02:252018-09-19 10:02:25Heckmeck mit Hack Back
Am 5. Juli hat das Parlament der Europäischen Union der EU-Kommission geraten, das sogenannte EU-US Privacy Shield auszusetzen. Damit erneuert und verhärtet das EU-Parlament seine Position zu den im Privacy Shield vorgesehenen Datenschutz-Richtlinien für US-Unternehmen, die Daten von EU-Bürgern verarbeiten und speichern. Schon im Oktober letzten Jahres hatte das EU-Parlament eine Liste mit 10 Empfehlungen veröffentlicht, die auf Lücken und Schwächen im Privacy Shield hinwiesen.
In der Empfehlung an die EU-Kommission wies das Parlament besonders darauf hin, dass die US-Administration es bisher nicht geschafft hat, zwei Kernelemente des Privacy Shields umzusetzen. So gibt es beispielsweise noch immer keinen Ombudsmann, der das U.S. Privacy Civil Liberties Oversight Board (PCLOB) führt, geschweige denn gibt es Mitglieder in diesem Board. Damit fehlt EU-Bürgern ein Ansprechpartner im Falle von Datenschutzverletzungen und somit die Möglichkeit, den eigenen Rechten auch in den USA überhaupt Gehör zu verschaffen.
Privacy Shield löst Safe Harbor ab
Zur Erinnerung: Privacy Shield wurde als Ersatz für das Safe Harbor-Abkommen eingeführt. Safe Harbor kippte, weil der Europäische Gerichtshof 2015 der Klage des österreichischen Juristen Maximilian Schrems stattgegeben hatte. Die Safe Harbor-Regeln sollten einen ’sicheren Datenhafen‘ für sensible Daten auch außerhalb der EU schaffen, damit diese Daten zum Beispiel in den USA weiterverarbeitet werden konnten. Ausgelöst durch die Snowden-Veröffentlichungen (insbesondere PRISM) wurde dieses Abkommen überprüft und schließlich durch Privacy Shield ersetzt.
EU-Parlament bestätigt Einschätzung: Sensible Daten sind bei US-Firmen nicht sicher
Wie bereits in meinem letzten Blog-Beitrag erläutert, sollten sensible aber auch sicherheitsrelevante Daten eines Unternehmens Europa nicht mehr verlassen. Die Einschätzung des Parlaments verstärkt die Dringlichkeit für den Datenschutz. Sicherheitsrelevante Daten wie Intellectual Property oder administrative Zugänge wie Domain-Passwörter sollten nicht zu Cloud-Anbietern in die USA gegeben werden. Der Cloud Act und Privacy Shield sind nicht vereinbar.
Mehr Information zur Resolution des EU-Parlaments ist hier veröffentlicht, eine Analyse finden Sie hier (in Englisch).
https://www.greenbone.net/wp-content/uploads/01_Logo-mit-Schriftzug_500px_on_white_horiz1.jpg00Dirk Schraderhttps://www.greenbone.net/wp-content/uploads/01_Logo-mit-Schriftzug_500px_on_white_horiz1.jpgDirk Schrader2018-07-14 12:06:182018-07-16 12:38:53Nach Privacy Shield: EU-Parlament rät erneut zur Aussetzung des Datentransfers in die USA
Schwerwiegende Sicherheitslücke in D-Link-Routern entdeckt
BlogSchwerwiegende Sicherheitslücke in D-Link-Routern entdeckt
UPDATE: Patch für Anwender verfügbar, D-Link Support-Seiten aktualisiert
Bereits im November 2018 hat Greenbone eine schwerwiegende Sicherheitslücke in Routern von D-Link entdeckt und das Unternehmen darauf aufmerksam gemacht. Die Schwachstelle ist für Hacker einfach auszunutzen und ermöglicht unautorisierten Zugriff auf Netzwerke. Seit dem 19. März 2019 ist auf den Support-Seiten des Herstellers ein Patch verfügbar. Greenbone bietet seinen Kunden jedoch bereits seit Ende letzten Jahres einen entsprechenden Schwachstellentest (Vulnerability Tests, VT) im täglichen Security Feed.
Router sind die zentralen Dreh- und Angelpunkte in Netzwerken. Sie stellen die Internetverbindung für die angeschlossenen Laptops und PCs aber auch für Smart-Home- und Industrie-4.0-Anwendungen her. Doch trotzdem hier so viele Komponenten eines Netzwerks zusammenlaufen, ist es um die Sicherheit oftmals nicht gut bestellt. Im vergangenen Jahr fanden Forscher des American Consumer Institute bei 83 Prozent der innerhalb einer Studie untersuchten Routern bereits bekannte Sicherheitslücken. Über diese können sich Hacker unter Umständen Zugriff zum Gerät selbst und damit auch zum Netzwerk verschaffen. Insgesamt zählten die Forscher mehr als 30.000 Schwachstellen – 7 Prozent davon bergen ein kritisches und 21 Prozent ein hohes Risiko.
Designfehler macht die Modelle DWR und DAP angreifbar
Zu den bereits bekannten Schwachstellen in Routern kommen auch immer wieder neue hinzu. So haben unsere Sicherheitsforscher bei Greenbone im November 2018 eine schwerwiegende Sicherheitslücke in verschiedenen Routern des Herstellers D-Link gefunden. Betroffen sind mindestens die Modelle DWR und DAP. Auf Englisch würde man die Schwachstelle als „Unauthenticated Remote Code Execution“ bezeichnen, also eine Sicherheitslücke, bei der ein Angreifer ohne jegliche Authentifizierung Befehle auf dem Router ausführen kann. Im Fall der D-Link-Router kann sich ein Hacker sogar die vollen administrativen Rechte verschaffen. Es ist sehr wahrscheinlich, dass das NIST (National Institute of Standards and Technology) die höchstmögliche CVSS-Wertung (Common Vulnerability Scoring System) von 10.0 vergeben wird.
Die Ursache ist vermutlich ein Design-Fehler. Bei den von uns getesteten Geräten fanden wir eine ausführbare Datei namens „EXCU_SHELL“, die sich mit einem sogenannten GET-Request aus dem Web-Browser aufrufen lässt. Diese ist für einige harmlose aber sinnvolle Operationen zuständig, wie zum Beispiel das Anzeigen von Informationen über die installierte Firmware-Version. Wenn man jedoch einige Parameter dieser Datei anpasst, lassen sich beliebige Befehle einschleusen und ausführen.
Zugriff auf Router ohne Authentifizierung möglich
Die Tragweite der gefundenen Sicherheitslücke ist gemäß der Marktpräsenz von D-Link hoch: Das Unternehmen ist einer der Top-Player auf dem globalen Wireless-Router-Markt und war 2017 mit einem Anteil von 24,1 Prozent Marktführer.
Darüber hinaus ist der Schweregrad der Lücke laut dem CVSS-Basis-Score-Rechner hoch und die Lücke relativ leicht auszunutzen: Die Datei „EXCU_SHELL“ ist nicht passwortgeschützt und Hacker können daher ohne Authentifizierung auf den Router und damit das zugehörige Netzwerk zugreifen. Einmal eingedrungen, lässt sich so der gesamte ein- und ausgehende Internet-Traffic einsehen, modifizieren und kontrollieren oder sogar Malware verbreiten.
In Zeiten von Smart Home und Industrie 4.0 kann dadurch erheblicher Schaden entstehen. Hackern steht mit einer Sicherheitslücken diesen Schweregrads sozusagen Tür und Tor zu Netzwerken offen – fatal wären die Folgen von Eingriffen in kritischen Infrastrukturen wie Gesundheitseinrichtungen oder Energieversorgern.
D-Link hat Sicherheits-Update am 19. März 2019 veröffentlicht
Nachdem Greenbone die Sicherheitslücke bereits im vergangenen November an D-Link gemeldet hat, ist für Anwender jetzt auch ein Patch verfügbar. Der Hersteller zeigte sich während der gesamten Zeit responsiv und bat uns, die CVE-Beantragung zu übernehmen. Informationen für Kunden auf der D-Link-Website und Patches sind inzwischen auch verfügbar.
Ursprünglich waren seit der Entdeckung der Schwachstelle schon mehr als 90 Tage vergangen – die Frist endete bereits am 11. Februar 2019. Daher handelten wir gemäß des Responsible Disclosure und veröffentlichten alle bisher verfügbaren Informationen, um Anwender zu schützen. Für Greenbone-Kunden war die Lücke bereits seit November 2018 über den täglichen Security Feed sichtbar.
Hersteller müssen handeln!
Angesichts der horrenden Anzahl von Sicherheitslücken auf Routern, ist die Schließung der D-Link-Lücke sicherlich nur ein Tropfen auf dem heißen Stein. Ja, die Anzahl an Schwachstellen ist einschüchternd – den Kopf in den Sand stecken aber keine Option. Vielmehr gilt es, so viele Hersteller wie möglich dazu zu bewegen oder wenn nötig auch zu zwingen, ihre Router abzusichern. Denn in einer vernetzen Welt wie der unseren steht zu viel auf dem Spiel.
Heckmeck mit Hack Back
Blog, NewsSchwachstellen für digitale Gegenangriffe zurückzuhalten, ist in höchstem Maße riskant
Sollten Staaten Schwachstellen zurückhalten, um die eigenen Möglichkeiten eines Hack Back zu stärken? Nein, meint Dirk Schrader, CMO von Greenbone Networks, Vulnerability-Management-Anbieter, als Reaktion auf den Spiegel-Artikel „Das Cyber-Dilemma“.
Gut gezielte Cyber-Angriffe können heute das gesellschaftliche Leben ganzer Staaten lahmlegen. Bei einem totalen Blackout der Energieversorgung würden etwa wichtige elektronische Geräte in Krankenhäusern ausfallen und Lebensmittelkühlketten nicht mehr funktionieren. Auch ließen sich keine Notrufe mehr tätigen und die Frischwasserversorgung wäre gefährdet. Es ist daher gut und wünschenswert, dass die Regierung darüber diskutiert, wie sie die eigenen kritischen Infrastrukturen bestmöglich vor böswilligen Cyber-Angriffen schützen kann. So sind Maßnahmen eins bis drei des vom Bundesverteidigungs- und Bundesinnenministeriums vorgestellten Fünf-Stufen-Plans absolut richtig und wichtig: Prävention von Cyber-Angriffen, Umleitung von Daten eines erkannten Angreifers und Aufklärung von Hacker-Offensiven.
Hack Backs haben unvorhersehbare Nebenwirkungen
Der in Stufe vier und fünf verfolgte Ansatz, gefundene Schwachstellen zurückzuhalten, sie also nicht zu veröffentlichen, um sie für einen sogenannten „Hack Back“ zu nutzen, ist jedoch schon aus technischer Sicht nicht praktikabel. So sollen sich Cyber-Experten in Stufe vier des Plans über eine bisher nicht veröffentlichte Schwachstelle Zugriff auf das IT-System des Hacker verschaffen, um Daten „zurückzuklauen“. Doch bereits hier lauern zahlreiche Fallstricke: Gibt es Kopien von den Daten? Sind die Daten verteilt gespeichert? Wem gehört der Server überhaupt? Und was ist, wenn der Server in einem befreundeten Land steht und Eigentum der dortigen Regierung ist?
Stufe 5 – die von Hackern genutzten Server zu zerstören – erinnert wiederum sehr an das Vorgehen der britischen Regierung nach den Snowden-Enthüllungen. Hier wurden Festplatten der britischen Tageszeitung „The Guardian“ mit Bohrern zerstört. Die Folge eines solchen Vorgehens: Nutzen auch andere unbeteiligte Einrichtungen den Server, wären auch deren Daten unwiederbringlich verloren. Insbesondere bei kritischen Infrastrukturen wie Krankenhäusern hätte dies fatale Folgen.
In diesem Zusammenhang stellt sich außerdem die bisher nicht thematisierte Frage, gegen wen solche Maßnahmen der Stufen 4 und 5 theoretisch gerichtet sein können – und dürfen. Wenn ausländische Dritte vom Hack Back betroffen sind, wertet deren Regierung das als Angriff und hackt auch zurück? Eine solche Spirale sollte verhindert werden.
Unveröffentlichte Schwachstellen sind immer ein Risiko
Darüber hinaus gibt es auch bei der Beschaffung von bisher unveröffentlichten Schwachstellen ein sehr konkretes Problem: Findet man selbst eine neue Sicherheitslücke, muss man immer davon ausgehen, dass feindlich gesinnte Hacker oder Regierungen ebenfalls auf diese aufmerksam werden. Es gilt also, die eigene Infrastruktur gegen einen Angriff über ebenjene Schwachstelle zu schützen. Doch wie gelingt das, wenn es dafür noch keinen Patch gibt? Die Thematik ist umso brisanter, wenn man das Wissen über eine Schwachstelle von einem Dritten gekauft hat. Denn Gegner sind natürlich in der Lage, das Gleiche zu tun.
Spätestens wenn die Schwachstelle für einen Hack Back genutzt wurde, ist sie ein maßgeblicher Risikofaktor, denn: Ab diesem Zeitpunkt ist sie bekannt, wird analysiert und von Gegnern eventuell ebenfalls für einen Angriff genutzt. Derselbe Mechanismus greift bei digitalen Schläferzellen – Schadsoftware, die über eine Schwachstelle unbemerkt im IT-System von potenziellen Gegnern platziert wird und bei Bedarf zum Einsatz kommt. Denn auch hier gilt: Ab ihrem Bekanntwerden – etwa indem die Schadsoftware gestartet wird – ist sie ein potenzielles Einfallstor in das eigene IT-System.
Fazit: Digitalen Waffen keinen Entwicklungsraum geben
Schwachstellen zurückzuhalten, um sie für Hack Backs zu nutzen, ist weder politisch, noch administrativ, noch technologisch tragbar. Schlussendlich erhöht jede nicht geschlossene Schwachstelle das Risiko eines erfolgreichen Angriffs. Die Folgen eines solchen sind in unserer komplex vernetzten Welt unvorhersehbar. Im schlimmsten Fall kommt es zu einem Kaskadeneffekt, der das komplette gesellschaftliche Leben zum Erliegen bringt. Dieses Risiko sollten Regierungen auf keinen Fall eingehen, denn sie sind für das Wohl der Bürger verantwortlich. Anstatt sich also um zwischenstaatliche Verfahren über die Weitergabe von Schwachstellen zu bemühen, sollte die politische Energie vielmehr auf die Ächtung von D-Waffen (digitalen Waffen) nach dem Vorbild des Genfer Protokolls zielen.
Nach Privacy Shield: EU-Parlament rät erneut zur Aussetzung des Datentransfers in die USA
BlogAm 5. Juli hat das Parlament der Europäischen Union der EU-Kommission geraten, das sogenannte EU-US Privacy Shield auszusetzen. Damit erneuert und verhärtet das EU-Parlament seine Position zu den im Privacy Shield vorgesehenen Datenschutz-Richtlinien für US-Unternehmen, die Daten von EU-Bürgern verarbeiten und speichern. Schon im Oktober letzten Jahres hatte das EU-Parlament eine Liste mit 10 Empfehlungen veröffentlicht, die auf Lücken und Schwächen im Privacy Shield hinwiesen.
In der Empfehlung an die EU-Kommission wies das Parlament besonders darauf hin, dass die US-Administration es bisher nicht geschafft hat, zwei Kernelemente des Privacy Shields umzusetzen. So gibt es beispielsweise noch immer keinen Ombudsmann, der das U.S. Privacy Civil Liberties Oversight Board (PCLOB) führt, geschweige denn gibt es Mitglieder in diesem Board. Damit fehlt EU-Bürgern ein Ansprechpartner im Falle von Datenschutzverletzungen und somit die Möglichkeit, den eigenen Rechten auch in den USA überhaupt Gehör zu verschaffen.
Privacy Shield löst Safe Harbor ab
Zur Erinnerung: Privacy Shield wurde als Ersatz für das Safe Harbor-Abkommen eingeführt. Safe Harbor kippte, weil der Europäische Gerichtshof 2015 der Klage des österreichischen Juristen Maximilian Schrems stattgegeben hatte. Die Safe Harbor-Regeln sollten einen ’sicheren Datenhafen‘ für sensible Daten auch außerhalb der EU schaffen, damit diese Daten zum Beispiel in den USA weiterverarbeitet werden konnten. Ausgelöst durch die Snowden-Veröffentlichungen (insbesondere PRISM) wurde dieses Abkommen überprüft und schließlich durch Privacy Shield ersetzt.
EU-Parlament bestätigt Einschätzung: Sensible Daten sind bei US-Firmen nicht sicher
Wie bereits in meinem letzten Blog-Beitrag erläutert, sollten sensible aber auch sicherheitsrelevante Daten eines Unternehmens Europa nicht mehr verlassen. Die Einschätzung des Parlaments verstärkt die Dringlichkeit für den Datenschutz. Sicherheitsrelevante Daten wie Intellectual Property oder administrative Zugänge wie Domain-Passwörter sollten nicht zu Cloud-Anbietern in die USA gegeben werden. Der Cloud Act und Privacy Shield sind nicht vereinbar.
Mehr Information zur Resolution des EU-Parlaments ist hier veröffentlicht, eine Analyse finden Sie hier (in Englisch).