IT Security Newsletter: Versteckte Hintertüren in Netzwerk-Hardware

Aktuelle Meldungen, Kommentare und nützliche Tipps aus der Welt der IT-Security

Trump ist nach der verlorenen US-Wahl nun nicht mehr lange US-Präsident. Eines der Themen, das seine Amtszeit aber wohl überdauern wird, ist der Konflikt mit chinesischen Netzwerk- und TK-Herstellern wie Huawei, denen seine Administration den heimlichen Einbau von Hintertüren in ihre Produkte vorgeworfen hat. Huawei hat diese Anschuldigungen immer zurückgewiesen.

Dabei sind amerikanische Hersteller möglicherweise nicht besser. Man denke nur an die zahlreichen gravierenden Sicherheitslücken, die immer wieder in Netzwerkgeräten von Cisco gefunden werden. Laut einem Bericht der Nachrichtenagentur Reuters versucht die National Security Agency (NSA) seit längerem, Verträge mit US-Companies einzugehen, um auf ihre Produkte und die darüber übertragenen Daten zuzugreifen. Die Hintertüren sollen einen versteckten Zugriff ohne richterliche Erlaubnis erlauben.

“The government shouldn’t have any role in planting secret back doors in encryption technology used by Americans.” - Senator Ron Wyden gegenüber Reuters

Die NSA habe verschiedene Methoden verwendet, um Backdoors zu platzieren, schreibt Reuters. Teilweise seien Verträge mit Herstellern abgeschlossen worden, um Hintertüren einzuschleusen. In anderen Fällen seien Standards wie Dual Elliptic Curve (Dual EC) manipuliert worden, um über nur dem Geheimdienst bekannte Schwachstellen an verschlüsselte Daten zu gelangen. Ein Beispiel für ein betroffenes US-Unternehmen ist nach Erkenntnissen der Nachrichtenagentur der Netzwerkhersteller Juniper Networks. Sowohl Juniper Networks als auch der Verschlüsselungsanbieter RSA hatten Dual EC zumindest vorübergehend in ihre Produkte integriert. Beide Unternehmen haben dementiert, jemals bewusst Hintertüren eingebaut zu haben.

Das hindert die NSA aber nicht daran, es weiter zu versuchen: „A former senior NSA official told Reuters that many tech companies remain nervous about working covertly with the government. But the agencies’ efforts continue, the person said, because special access is seen as too valuable to give up.“

Weitere sicherheitsrelevante Themen

  • Videokonferenzen über die beliebte Plattform Zoom lassen sich nun Ende-zu-Ende verschlüsseln. Standardmäßig ist die Funktion aber noch nicht aktiviert, da sie etwa im Zusammenspiel mit manchen Telefonanlagen zu Problemen führen kann.

  • Der Security-Hersteller iStorage hat mit der diskAshur M2 eine Hardware-verschlüsselte mobile SSD mit Kapazitäten zwischen 120 GByte und 2 TByte vorgestellt. Das portable Laufwerk ist in einem gehärteten Gehäuse untergebracht, das mit einem Keypad zur Eingabe einer 7- bis 15-stellige PIN zum Entschlüsseln versehen ist. Im Ruhezustand schützt die M2 alle abgelegten Daten laut iStorage mit AES-XTS 256. Sie soll Ende des Monats zu Preisen ab 129 britischen Pfund auf den Markt kommen.

  • In mehreren Zehntausend Exchange-Servern klafft eine kritische Sicherheitslücke. Für die Schwachstelle CVE-2020-0688 gibt es bereits seit Februar dieses Jahres einen offiziellen Patch von Microsoft. Er wurde jedoch nach Angaben des CERT-Bund auf mindestens 32.000 Exchange-Servern noch immer nicht eingespielt. Laut einem Pressebericht haben viele Admins triftige Gründe für ihre Zögerlichkeit.

Personalkarussel

Dirk Arendt leitet seit dem 1. September dieses Jahres den Bereich Behördenvertrieb bei der deutschen Niederlassung des japanischen IT-Security-Anbieters Trend Micro. Sein offizieller Titel lautet jetzt „Head of Government, Public and Healthcare". Zuletzt war Arendt bei Check Point für den Bereich Government Relations sowie den gesamten Public Sector verantwortlich.

Der amerikanische SIEM-Anbieter (Security and Event Management) Exabeam hat Daniel Wolf als neuen Regional Sales Director DACH angestellt. Wolf war unter anderem bereits für Contrast Security, die McAfee-Tochter Skyhigh Networks, FireEye, HP, Zscaler, Cisco sowie F-Secure tätig.

Ausgewählte Stellenanzeigen

  • Die IT-Sicherheitsfirma Secunet sucht neue IT-Security-Berater für den Münchner Standort.

  • Bei der msg nexinsure ag, einer Tochtergesellschaft des Münchner IT-Dienstleisters msg ist die Stelle eines IT Security Officer frei. Er soll die Security-Architektur am Standort in Hamburg weiterentwickeln.

  • United Internet sucht einen Security Engineer/Evangelist für GMX und Web.de am Standort in Karlsruhe.

  • Der für seine Staubsauger bekannte Hersteller Vorwerk mit Sitz in Wuppertal hat die Stelle eines IT Security Manager - Cloud Security ausgeschrieben. Der neue Mitarbeiter soll unter anderem als zentraler Ansprechpartner für Fragen zur IT-Sicherheit in Cloud-Umgebungen dienen und Schutzbedarfs- sowie Risikoanalysen durchführen.

Sicherheits-Tipp: Windows Sandbox

Anfang 2019 hat Microsoft sowohl Windows 10 Professional als auch Enterprise um eine Sandbox erweitert, die bislang aber nur relativ wenige Anwender kennen. Dabei ist die Funktion ideal, um zum Beispiel aus dem Internet heruntergeladene Dateien zuerst sicher in der Sandbox auszuführen. So kann eine mögliche Infektion mit Malware vermieden werden. Alle Änderungen innerhalb der virtuellen Umgebung bleiben in der Sandbox und werden nach ihrem Beenden automatisch gelöscht.

So geht's: Um die Sandbox zu aktivieren, klicken Sie mit der rechten Maustaste auf das Windows-Startsymbol. Wählen Sie „Apps und Features“ aus und klicken Sie dann erst auf „Optionale Features“ sowie danach auf „Mehr Windows-Funktionen“. Setzen Sie das Häkchen vor „Windows-Sandbox“ und bestätigen Sie mit „OK“. Warten Sie, bis die Installation abgeschlossen ist, und rufen Sie dann im Startmenü „Windows Sandbox“ auf. Beim ersten Start dauert es einen Moment, weil im Hintergrund eine dedizierte virtuelle Wegwerf-Maschine eingerichtet wird.

Zusatz-Tipp: Die Windows Sandbox unterstützt kein Drag & Drop. Dafür können Sie eine Datei, die Sie in der Sandbox ausführen wollen, auf dem Wirt erst mit {Strg+C] in die Zwischenablage kopieren und dann mit [Strg+V] in die Sandbox einfügen. Wenn Sie fertig sind, schließen Sie das Fenster mit einem Klick auf das „x“ oben rechts.

Begriffserläuterung: Cardsharing

Wissen Sie, was Cardsharing ist? Ich wusste es bis eben auch nicht. Die Zentralstelle Cybercrime Bayern und die Kriminalpolizeiinspektion Bayreuth berichten in einer gemeinsamen Pressemitteilung über einen „empfindlichen Schlag gegen die bundesweite Cardsharing-Szene“. Beim Cardsharing handele es sich um „gewerbsmäßigen Computerbetrug und gewerbsmäßigen unerlaubten Eingriff in technische Schutzmaßnahmen“.

Zwei Brüder sollen schon „seit mehreren Jahren rechtswidrig entschlüsselte Pay-TV-Lizenzen an eine größere Anzahl von Kunden vertrieben und diesen zur Nutzung gegen ein Entgelt bereitgestellt haben“. Illegale Pay-TV-Nutzer könnten sich auf diesem Weg „nicht unerhebliche Abokosten ersparen“. Das Risiko sei jedoch hoch, entdeckt zu werden.

Veranstaltungshinweis

Der Schweizer Security-Anbieter LUCY führt am 12. November 2020 per Zoom ein Webinar zu den Themen Next Level Cybersecurity Awareness und Cyberprävention durch. Kostenlos teilnehmen können Kunden, Partner und „Freunde“ des Unternehmens. Anmeldung hier.

Aus dem Rest der Welt

Die spanische Tageszeitung El Pais hat eine sehr gut gemachte, englischsprachige Visualisierung zur Frage veröffentlicht, wie sich Sars-CoV2-Viren in Räumen verbreiten und welche Maßnahmen wirklich dagegen helfen. Die Darstellungen machen klar, warum Abstand halten alleine nicht ausreicht. Wichtiger noch ist das Tragen einer Maske sowie Lüften, Lüften und noch mehr Lüften, um weitere Infektionen zu vermeiden.

Anmerkung in eigener Sache

Aktueller Blog-Beitrag zum Thema Green Computing: Tipps zur Minimierung der Umweltbelastung im Alltag.

In der Zwischenzeit, informieren Sie doch Ihre Kollegen.

Aufmacherbild: Kaique Rocha von Pexels