IT Security Newsletter: Wireguard, Windows Subsystem for Android, DDoS-Attacken gegen Fathom

Aktuelle Berichte, Kommentare und Daten aus der IT-Security

In dieser Ausgabe lesen Sie

  • Wireguard wird Enterprise-tauglich

  • Arbeitet Microsoft an einem Windows Subsystem for Android?

  • Die EU streitet weiter über Verschlüsselung

  • Richard Socher über Künstliche Intelligenzen

  • Wie ein kleines Unternehmen gegen DDoS-Attacken ankämpft

  • Nicht so einfach wie gedacht: Home Office vom Ausland aus

Wireguard-Entwickler ebnen den Weg in Unternehmen

Wireguard gilt nicht ohne Grund als die VPN-Technik der Zukunft. Das Protokoll ist nicht nur schneller, sondern auch effizienter und stabiler als bisherige VPN-Umsetzungen. In Unternehmen konnte sich Wireguard aber noch nicht so recht durchsetzen. Das liegt unter anderem daran, dass sich VPN-Tunnel nur mit Admin-Rechten einrichten und aktivieren beziehungsweise deaktivieren lassen. Die aktuelle Version 0.3.x macht nun Schluss mit dieser Einschränkung. Nun können auch Nutzer ohne erweiterte Berechtigungen einen VPN-Tunnel starten. Das ist eine wichtige Voraussetzung für die Nutzung von Wireguard in Enterprise-Umgebungen.

Das funktioniert allerdings nur, wenn der Nutzer Mitglied der lokalen Gruppe „Network Configuration Operator“ ist und ein Schlüssel sowie ein DWORD-Wert in der Registrierungsdatenbank von Windows erstellt wurden (*). Erst dann kann er Wireguard-Tunnel starten, stoppen und auf den aktuellen Status zugreifen. Auf die zur Verschlüsselung des Tunnels verwendeten öffentlichen und privaten Schlüssel dürfen „normale“ Anwender ohne erweiterte Berechtigungen jedoch weiterhin nicht zugreifen. Diese Funktion bleibt Admins vorbehalten.

In CHIP 11/20 finden Sie meinen Artikel „Virtuelle Private Netze mit Wireguard“. Er geht auf die wichtigsten Unterschiede von Wireguard zu traditionellen VPN-Protokollen ein, erklärt wie Sie die Funktion Ihres VPN-Tunnels prüfen können und hilft Ihnen zudem bei der Suche nach einem VPN-Anbieter, der das neue Protokoll bereits unterstützt.

(*) Zunächst muss der Schlüssel HKLM\SOFTWARE\WireGuard erstellt werden, dann in ihm ein DWORD-Wert mit dem Namen „LimitedOperatorUI“, der dann den Wert „1“ erhalten muss.

Kommt nun auch das Windows Subsystem for Android?

Es ist noch gar nicht so lange her, dass es für Microsoft nur die Windows-Welt gab. Unter dem CEO Satya Nadella hat sich in Redmond in den vergangenen Jahren aber einiges geändert. So enthalten moderne Windows-10-Systeme das Windows Subsystem for Linux (WSL), das in der Version WSL2 sogar einen vollwertigen Linux-Kernel in Windows integriert. Außerdem basiert nahezu das gesamte Cloud-System rund um Microsoft Azure auf Linux-Servern. Es ist also nicht mehr so, dass Microsoft sich nicht für Linux interessieren würde.

Nun plant das Unternehmen laut Medienberichten, auch Android in Windows 10 zu integrieren. Android soll ähnlich wie das Linux-Subsystem ein Teil des Betriebssystems werden. Wie Windows Central berichtet, plant der Hersteller Android-Apps über den Microsoft Store verfügbar zu machen. Laufen sollen sie dann in einer virtuellen Umgebung, also ähnlich wie bei WSL.

Der Codename für das neue Projekt ist laut Windows Central „Project Latte“. Android-Fans, die sich eine Unterstützung des Play Stores erhoffen, werden aber vermutlich enttäuscht werden. Die sei nicht geplant, schreibt die Webseite. Das dürfte ähnlich wie bei der ChromeOS-Variante CloudReady sein, die zwar sehr ähnlich wie das Vorbild arbeitet, aber aus lizenzrechtlichen Gründen keinen Play Store und keine Google-Anwendungen enthält.

Was sonst noch wichtig ist

Das Thema Verschlüsselung in der EU bleibt heiß umstritten. So liegen der Süddeutschen Zeitung (SZ) neue Dokumente vor, die belegen sollen, dass hinter dem vom ORF publik gemachten Vorstoß des EU-Ministerrats die Geheimdienste der „Five Eyes“ stehen. Die SZ schreibt online:

Bis 2013 konnte die Five-Eyes-Allianz einen guten Teil der weltweiten Kommunikation abhören. Als dann der ehemalige NSA-Mitarbeiter Edward Snowden die Abhörpraktiken enthüllt hatte, fingen viele Anbieter von Messaging-Apps an, sich ernsthaft über den Schutz privater Kommunikation Gedanken zu machen.

Sieben Jahre später sei die sichere Verschlüsselung bei Whatsapp, Signal und anderen Messengern Standard. Das sei ärgerlich für Geheimdienste und Strafverfolgungsbehörden weltweit. Weiter schreibt die SZ:

Deshalb drängen sie jetzt auf technische Lösungen, die ihnen den Zugriff auf die Kommunikation von Verdächtigen wieder ermöglichen würden.

Richard Socher ist das Wunderkind der KI-Branche. Die beiden Zeit-Mitarbeiter Jochen Wegner und Christoph Amend haben ihn deswegen in ihren Podcast „Alles gesagt“ eingeladen. Socher war bis 2020 unter anderem Chefwissenschaftler bei Salesforce, wo er ein Team aus „mehreren Hundert, aber weniger als Eintausend“ Mitarbeitern leitete. Der Podcast dauert mehr als acht Stunden, enthält aber viele interessante Informationen „über den Einfluss von KI auf unser Leben“. Fazit: Sehr hörenswert.

Someone attacked our company. Der Analytics-Anbieter Fathom, der sich selbst als "the leading privacy-first analytics solution" bezeichnet, ist das Opfer mehrerer über einen Zeitraum von etwa zwei Wochen andauernder DDoS-Attacken (Distributed Denial of Service) geworden. In einem Blog-Post beschreibt Fathom den Ablauf der Attacken, welche Kosten dadurch entstanden und welche Gegenmaßnahmen ergriffen wurden. Dabei fiel dem Unternehmen irgendwann Folgendes auf: “Attackers don’t have unlimited resources."

The attacker hasn’t got an unlimited botnet. Even if they had 1,000,000 computers under their control, we can block them. If they bring 1,000,000 more, we block 1,000,000 more. And these attacks cost them. They are looking to get bang for their buck. If we are returning 403 errors to their botnet, they’d be foolish to waste their money.

Ein ganz anderes Thema: Home Office vom Ausland aus

Bekannte von mir stehen vor einem Problem. Sie sind vor kurzem aus der Schweiz nach Deutschland zurückgekehrt und würden nun gerne ihre beruflichen Tätigkeiten für einen großen Schweizer Konzern weiter vom Home Office aus erledigen. Von der Schweiz aus war das kein Problem. Dieselbe Tätigkeiten will der Konzern aber nicht erlauben, wenn sie von Deutschland aus erledigt werden. Auf den ersten Blick mag das unverständlich wirken, da es ja aus rein technischen Gründen keinen echten Unterschied macht, wo der Mitarbeiter sitzt. Zumal der Familienvater nun pendeln muss, um in der Schweiz in einer nahezu leeren Wohnung vom Home Office aus zu arbeiten. Es wurde Schikane vermutet, aber daran liegt es nicht - zumindest nicht ausschließlich. Wie die Webseite Personalwirtschaft erklärt, sind es vielmehr steuerliche und sozialversicherungsrechtliche Probleme, die Home Office vom Ausland aus erschweren.

Share IT Security Newsletter

Aufmacherbild: Javon Swaby von Pexels