Datenschutz Bochum

Geheimagenten aufgepasst!

Wenn James Bond nur wenige Sekunden hat, um das Smartphone eines Gegners zu kompromittieren, dann kann man das getrost als "ist ja nur ein Film" abtun. Was jetzt über eine neue IOS-Lücke bekannt wurde, wäre bestimmt auch für James Bond interessant: Von dem Twitter-Account "axi0mX" wurde ein Jailbreak veröffentlicht, der sämtliche iPhones bis einschl. iPhone X betrifft. Das sind die Prozessoren A5 bis A11. Das iPhone 11 mit dem A12 Prozessor ist davon nicht betroffen. Mit Hilfe des Jailbreaks kann dann auch von Apple nicht authorisierte Software installiert werden.

Und danach gehört das iPhone James Bond...

Die Lücke sitzt im sogenannten "Boot-ROM", also dem Code, der quasi als Erstes beim Boot-Vorgang geladen wird. Dieses Boot-Rom ist - wie der Name schon sagt "Read Only Memory", d.h. dieser Speicher kann nicht durch ein Software-Update aktualisiert werden. Daher stammt auch der Name für den Jailbreak": "Checkmate" heißt "Schachmatt".

Datenschutz Bochum meint: Es läuft zut Zeit nicht gut für Apple.

"Problematische" Lücke in allen Android-Versionen bis einschl. Version 9 ("Pie")

In allen Android-Versionen (bis einschließlich Version 9) wurde eine Lücke gefunden, die in der Komponentenbibliothek "Jobstore" enthalten ist. Der Zugriff kann nur lokal erfolgen und benötigt eine vorherige Authentifizierung. Die Lücke ist unter CVE-2019-9373 veröffentlicht. Es gibt keine Hilfe, außer dem Update auf Android 10. Das ist aber bekanntermaßen nicht für alle Android-Geräte erhältlich. Die Schwere der Lücke wird als "Problematisch" beschrieben.

Der IT-Fachkräftemangel und seine realen Auswirkungen

Der IT-Fachkräftemangel hat reale Auswirkungen. Das merkt man z.B. daran, dass das Einpflegen von Updates oder das Erstellen neuer Software sehr lange dauert. Ein Beispiel dafür ist eine Webseite der Humboldt Universiät in Berlin. Dort geht es beim Hochschulsport um das Anmelden zu einem Tanzkurs. Aber urteilen Sie selbst:

Screenshot_2019-09-27_Sportangebot__Zentraleinrichtung_Hochschulsport_der_Humboldt-Universität_zu_Berlin.png

Wenn Sie also in Ihrem Umfeld junge talentierte Menschen ausmachen, die sich überlegen, welche berufliche Zukunft sie einschlagen sollen, dann animieren Sie diese doch mit derartigen Beispielen dazu eine Karriere in der "IT" ins Auge zu fassen.

Datenschutz-Framework des US-NIST

Das "National Institute of Standards and Technology" arbeitet an einem Datenschutz Framework. Das "NIST" ist eine Behörde, die hilft Standards zu erarbeiten. Wie bei allen Standards üblich, gibt es in der Regel verschiedene Interessengruppen, die versuchen den Standards ihren Stempel aufzudrücken. Der Staat sitzt natürlich mit eigenen Interessen mit im Boot. Das lief schon einmal (im Jahr 2013) schlecht für das NIST, als das NIST bei der Festlegung der Verschlüsselungsstandards bei eliptischen Kurven (die bei Puiblic Key Kryptographie eingesetzt werden) zu sehr auf die NSA hörte. Deren Interesse lag eben darin verschlüsselte Inhalte auch entschlüsseln zu können und daher waren die eher an niedrigeren Verschlüsselungsstandards interessiert. Als das Publik wurde versprach das NIST in Zukunft kritischer zu werden.

Jedenfalls arbeitet das NIST an einem Standard "Developing a privacy framework" um verschiedene Datenschutzaspekte bei den verschiedenen Akteuren "zu orchestrieren". Dabei geht es z.B. auch um Sicherheitsstandards, die das NIST den amerikanischen Bundesbehörden empfiehlt, um deren Daten zu schützen. Und da in diesem Bereich der "technisch Fortschritt" rasant ist, ist ein permanentes Monitoren und Nachpflegen solcher Standards eine vernünftige Sache. Letztendlich geht es insgesamt darum die IT-Infrastruktur gegen Angriffe aller Art zu ertüchtigen um Daten zu schützen. Der Auftrag dafür geht aus eine "Presedential Executive Order" zurück, die noch im Mai 2017 von Obama erlassen wurde und die sich damals zunächst auf die Ertüchtigung der Cyberinfrastruktur gegen Angriffe bezog.

Das Framework besteht aus drei Bereichen:

Der Bereich "Kern" soll Unternehmen dabei unterstützen in einen Dialog einzutreten, der CISOs und ihre Sicherheitsteams, die anderen Teile der Unternehmensführung und diejenigen, die in den Firewallfront arbeiten, geeignete Produkte und Dienstleistungen entwickeln und dabei sicherzustellen sollen, dass Datenschutz in alle Ebenen eines Unternehmens integriert ist. Datenschutz als Kernkomponente also...
*
Der Bereich "Profil" wurde entwickelt, um Unternehmen bei der Priorisierung von Ergebnissen zu unterstützen. Es wird auch darauf geachtet, dass die Datenschutz- und Geschäftsanforderungen eines Unternehmens sowie die Risiken berücksichtigt werden.
*
Der Bereich "Implementierungsebenen" soll die Entscheidungsfindung und Kommunikation unterstützen, um sicherzustellen, dass die Datenschutzziele erreicht werden und die Ressourcen für das Management von Datenschutz und Risiko vorhanden sind.

Bei solchen Standards haben alle Beteiligten i.d.R. das Interesse, dass diese Standards möglichst nicht allzu verbindlich sind. Daher ist auch noch mit einigen "Justierungen" vor der erwarteten Veröffentlichung der Version 1.0 in diesem Jahr zu rechnen.

Hier kann man in das Projekt schauen: https://www.federalregister.gov/documents/2018/11/14/2018-24714/developing-a-privacy-framework

Datenschutz Bochum meint: Das ist ein interessanter und beobachtenswerter Ansatz.

Seite 3 von 24

Home

Geheimagenten aufgepasst!

"Problematische" Lücke in allen Android-Versionen bis einschl. Version 9 ("Pie")

Der IT-Fachkräftemangel und seine realen Auswirkungen

Datenschutz-Framework des US-NIST