IT Security Newsletter: Android-Malware, EU-Hintertüren, root-Rechte ergaunern in Ubuntu

Aktuelle Berichte, Kommentare und Informationen aus der IT-Security

In dieser Ausgabe lesen Sie

  • Google Play Store als primäre Quelle für Android-Malware

  • Infografik der Woche: Markt für IT-Sicherheit

  • Das besondere Zitat: Antiviren-Software ist …

  • Weitere Security-Themen: Avira, Zoom, Ubuntu

  • EU plant Hintertüren in Ende-zu-Ende-Verschlüsselung

  • Akquisitionen in den vergangenen Tagen: Barracuda

  • Begriffserläuterung: IEC 62443

  • Sicherheits-Tipp: E2E in Zoom aktivieren

  • Veranstaltungshinweis: Rethink! IT Security

  • Ein ganz anderes Thema: Wissenschaftliche Studien verstehen

Google Play Store als primäre Quelle für Android-Malware

Seit längerem ist bekannt, dass Android nicht zu den sichersten Plattformen gehört. Überraschend ist dann aber doch, dass der überwiegende Teil der Malware-Infektionen auf Android-Geräten direkt aus dem offiziellen Play Store von Google stammt. Mitarbeiter der Norton Lifelook Research Group und des IMDEA Software Institute haben die Installation von 34 Millionen Android-Apps auf mehr als 12 Millionen Endgeräten untersucht. Dabei kam Überraschendes heraus.

Im Untersuchungszeitraum von Juni bis September 2019 wurden 7,9 Millionen unterschiedliche Android-Anwendungen installiert. Abhängig von der verwendeten Methode seien rund 10 bis 24 Prozent dieser Apps als Malware einzustufen, schreiben die Wissenschaftler in ihrer Studie „How Did That Get In My Phone? Unwanted App Distribution on Android Devices“ (PDF). Letztlich kommen sie zu dem Schluss, dass rund 67 Prozent der Malware-Infektionen auf Android-Geräten auf Apps aus dem Play Store zurückzuführen seien. Weitere 10 Prozent kämen aus alternativen App-Stores. Da diese jedoch bei weitem keine so große Rolle wie der Play Store spielen, sollte dieser weitere Infektionsweg keinesfalls verharmlost werden.

Google ist nichtsdestotrotz überzeugt, vieles richtig gemacht zu haben. Wie Zdnet schreibt, liege die sogenannte VDR-Rate bei nur 0,6 Prozent. Dabei handelt es sich um das Verhältnis von gefährlichen zu harmlosen Apps. Die Verteidigungsmaßnahmen gegen Malware seien daher als funktionierend einzustufen: „The Play market defenses against unwanted apps work“.

Infografik der Woche: Markt für IT-Sicherheit

Der Markt für IT-Sicherheit wächst unvermindert. Dieses Jahr soll er in Deutschland erstmals die 5-Milliarden-Euro-Grenze knacken. Nach Angaben der Marktforschungsgesellschaft IDC und des Branchenverbands Bitkom werden 2020 rund 5,2 Milliarden Euro für Hardware, Software und Dienstleistungen aus dem Bereich IT-Security ausgegeben. Für das kommende Jahr rechnen sie mit einem weiteren Wachstum um 9,3 Prozent.

Das besondere Zitat

„Antiviren-Software ist ein potentielles Sicherheitsproblem.“

c’t-Redakteur Jürgen Schmidt zum Thema “Bitdefender kämpft mit schweren Sicherheitsproblemen

Weitere sicherheitsrelevante Themen

  • Der deutsche Sicherheitsanbieter Avira zieht sich aus dem Markt für B2B-Antiviruslösungen zurück. Zum 31. Dezember 2021 will das Unternehmen den Support für die Produkte Avira Antivirus Pro Business Edition, Avira Antivirus for Server, Avira Antivirus for Endpoint, Avira Antivirus for Small Business und Avira Exchange Security einstellen. Wie Heise.de schreibt, sollen die Produkte dann am folgenden Tag, also am 1. Januar 2022 auch ihre Funktion verlieren. Einer der Gründe dafür dürfte sein, dass der Microsoft Defender, der Windows 10 beiliegt, mittlerweile ein recht gutes Programm geworden ist, das der etablierten AV-Branche zunehmend das Wasser abgräbt.

  • Die amerikanische Federal Trade Commission (FTC) ist überzeugt, dass der Videokonferenzanbieter Zoom seit mindestens 2016 beim Thema Ende-zu-Ende-Verschlüsselung falsche Angaben gemacht hat. In Wahrheit habe das Unternehmen auf die Schlüssel, die zur Sicherung der Verbindungen verwendet wurden, zugreifen können. Die Geschichte zeigt erneut, dass man Marketingaussagen nicht blind vertrauen darf. Zoom ist aber diesmal mit einem blauen Auge davon gekommen. Der Anbieter muss weder eine Strafe zahlen, noch seine Kunden entschädigen.

  • Kevin Backhouse hat eine erstaunlich simple Methode gefunden, mit der sich ein Angreifer in Ubuntu 20.04 root-Rechte verschaffen kann. Der Exploit kann zwar nicht von außen, sondern nur von einem bereits registrierten Standard-Nutzer ausgeführt werden, er ist in seiner Einfachheit aber verblüffend. Backhouse zeigt den Exploit auch in einem Video.

EU plant Hintertüren in Ende-zu-Ende-Verschlüsselung

Für viel Aufregung hat die ORF-Meldung gesorgt, dass der EU-Ministerrat nach dem Terroranschlag in Wien nun Hintertüren in Ende-zu-Ende-verschlüsselten Verbindungen einfordert. Vermutlich wird es genau so kommen, aber der Widerstand gegen die geplante staatliche Überwachung kommt von vielen Seiten. Einige Unternehmen, Organisationen und Politiker haben die Nachricht zum Anlass genommen, sich zum Thema zu äußern:

„Wir brauchen Kontrollmaßnahmen, um hier nicht einen völlig freien Raum zu schaffen, wo sich jeder tummeln und zu irgendwelchen Verbrechen verabreden kann.“

Axel Voss, Europaabgeordneter der CDU

„Hintertüren in Kommunikationsdiensten können nicht die Lösung sein. Wer Verschlüsselungen aufweicht, schwächt die IT-Sicherheit insgesamt. Backdoors sind nicht dauerhaft kontrollierbar und zugleich eine Einladung an Cyber-Kriminelle und ausländische Nachrichtendienste.“

Susanne Dehmel, Mitglied der Bitkom-Geschäftsleitung

„Was die Regierungen der EU-Mitgliedsstaaten hier planen, ist nichts anderes als ein Angriff auf die digitale Unversehrtheit unserer Kommunikation. [...] Wir brauchen mehr digitale Sicherheit nicht weniger!“

Sebastian Alscher, Bundesvorsitzender der Piratenpartei Deutschland

„Hätten die Behörden die Generalschlüssel zu sämtlicher digitaler Kommunikation, würde nicht nur die Privatsphäre bedroht, sondern es würde sich auch die Sicherheitslage verschlechtern statt verbessern.“

Offener Brief der Sicherheitsinitiative NIFIS an Dorothee Bär, Staatsministerin für Digitales

„Eine Aushöhlung der Verschlüsselung bedeutet, die ohnehin träge Digitalisierung in der EU zu gefährden. Denn diese gelingt nur nachhaltig, wenn wir das Vertrauen in IT fördern - und nicht mindern. Lösungen mit Hintertür können nicht als dem 'Stand der Technik' entsprechend betrachtet werden. Das Zurückfallen auf einen schlechteren Technologiestand hat nicht nur massive Auswirkungen auf die IT-Sicherheit, es ist rechtlich auch nicht mit der DSGVO und dem IT-Sicherheitsgesetz vereinbar."

Rechtsanwalt Karsten U. Bartels, stellvertretender Teletrust-Vorstandsvorsitzender

„Eine solche Ausweitung der Überwachung wäre nicht nur aus Datenschutzgründen problematisch, sondern auch aus Aspekten der IT-Sicherheit könnte Cyber-Kriminellen Tür und Tor geöffnet werden, um sensible Nutzerdaten abzugreifen. Insgesamt würde dies einen bedeutenden Rückschritt in Sachen Datensicherheit und -schutz in Europa darstellen.“

Arved Graf von Stackelberg, CSO & CMO bei DRACOON

„Hintertüren und Ende-zu-Ende-Verschlüsselung schließen sich gegenseitig aus. Eine Verschlüsselung mit Hintertür ist eine Schwachstelle. Das geplante Hinterlegen von Entschlüsselungsinformationen bei Behörden birgt enorme Risiken.”

Robert Freudenreich, Mitbegründer und CTO von Secomba

„Verschlüsselung kann nicht zwischen Gut und Böse unterscheiden. Entweder ist sie sicher oder sie ist es nicht. Man kann Verschlüsselung nicht so schwächen, dass die Schwächen nur durch Strafverfolgungsbehörden ausgenutzt werden können.“

Chaos Computer Club (CCC) in einer Stellungnahme

„Wer sichere Kommunikation durch Verschlüsselung verspricht, aber gleichzeitig sichere Ende-zu-Ende-Verschlüsselung unmöglich machen will, zeigt vor allem eins: Dass es an Kenntnis zu grundlegenden Mechanismen der digitalen Gesellschaft mangelt.“

Anke Domscheit-Berg, Die Linke

Akquisitionen in den vergangenen Tagen

Der Security-Anbieter Barracuda übernimmt den Cloud-Access-Spezialisten Fyde. Barracuda will damit vor allem seine im Juli dieses Jahres eingeführte SASE-Plattform (Secure Access Service Edge) CloudGen um ZTNA-Funktionen (Zero Trust Network Access) erweitern. Damit gewinnt das Zero-Trust-Konzept weiter an Fahrt, nachdem es unter anderem im Google-Konzern bereits mit Erfolg eingeführt wurde.

Begriffserläuterung: IEC 62443

In einem von TÜV Trust IT versendeten Beitrag erläutert Hendrik Dettmer, Head of IoT Security Lab, was es mit IEC 62443 auf sich hat. Drei Zitate daraus:

„[IEC 62443] umfasst neben Entwicklern und Nutzern auch Service-Unternehmen, die beispielsweise für Software-Updates zuständig sind sowie alle weiteren, die Zugriff auf entsprechende Schnittstellen haben. Dabei werden nahezu alle Bereiche in den betroffenen Unternehmen einbezogen. Bei Herstellern betrifft es vorwiegend die Entwicklung, bei Nutzern insbesondere die Produktivumgebung.“

„[...] die Norm ist ein ganzheitlicher Ansatz, der die beiden wichtigen Faktoren [Safety und Security] als Einheit betrachtet, um maximale Sicherheit zu gewährleisten. Grundsätzlich ist IEC 62443 eine Security-Norm, steigert aber auch den Safety-Faktor im Unternehmen.“

„[Nach IEC 62443] zertifizierte Unternehmen können die Sicherheit ihrer Produktionsumgebungen auf einem Sicherheitslevel von 1–4 nachweisen, was eine allgemein gültige und greifbare Aussage ist und auch an Kunden kommuniziert werden darf und sollte.“

Ein paar grundlegende Informationen zum IT-Grundschutz des BSI habe ich hier schon einmal vor einer Weile zusammengetragen.

Sicherheits-Tipp: E2E in Zoom aktivieren

Aus aktuellem Anlass ein kurzer Tipp, wie Sie die sichere Ende-zu-Ende-Verschlüsselung in Zoom aktivieren können, die das Unternehmen seit kurzem anbietet beziehungsweise anbieten muss. Loggen Sie sich auf der Zoom-Webseite in Ihren Account ein und wechseln Sie in die “Einstellungen”. Sie finden den neuen Schalter im Bereich “Meeting, Sicherheit”. Nach der Aktivierung ist es aber nicht mehr möglich, mit einer anderen Person zu chatten, einen Livestream durchzuführen oder einem Meeting beizutreten, bevor der Host teilnimmt.

Veranstaltungshinweis: Rethink! IT Security

Vom 16. bis 19. November findet die Online-Veranstaltung Rethink! IT Security statt. Zu den angekündigten Sprechern zählen zahlreiche CISOs von Unternehmen wie EnBW, S. Oliver und erstaunlicherweise auch Wirecard sowie von Behörden wie dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und dem Auswärtigen Amt. Die Teilnahme ist nach einer Registrierung kostenlos möglich.

Ein ganz anderes Thema: Wissenschaftliche Studien verstehen

Wissenschaftliche Studien erfreuen sich in letzter Zeit einer zunehmenden Beliebtheit. Erst beriefen sich die Fridays for Future-Teilnehmer auf „die Wissenschaft“. Dann kam die Corona-Pandemie, die Wissenschaftler wie Christian Drosten in den Brennpunkt des Interesses rückte. Wer den vom NDR produzierten Podcast „Corona-Virus Update“ kennt, weiß, dass sich Drosten oft auf Studien beruft. Aber wie liest man eine wissenschaftliche Studie eigentlich am besten?

Elisabeth Pain ist dieser Frage bereits 2016 im Science Magazine nachgegangen. Sie hat einem Dutzend Wissenschaftler mehrere Fragen gestellt, wie diese an eine Studie herangehen, und die Antworten in „How to (seriously) read a scientific paper" veröffentlicht.

Hier ist die Antwort von Ulf Leonhardt, einem in Israel lebenden Professor für Physik, der ursprünglich aus Deutschland stammt:

First I read very fast: The point of the first reading is simply to see whether the paper is interesting for me. If it is I read it a second time, slower and with more attention to detail.

If the paper is vital to my research—and if it is theoretical—I would reinvent the paper. In such cases, I only take the starting point and then work out everything else on my own, not looking into the paper. Sometimes this is a painfully slow process. Sometimes I get angry about the authors not writing clearly enough, omitting essential points and dwelling on superfluous nonsense. Sometimes I am electrified by a paper.

Wenn Sie Interessantes in diesem Newsletter gefunden haben, informieren Sie doch zum Beispiel Ihre Kollegen.

Aufmacherbild: Pixabay von Pexels