Verizon, Hacker und die Maske

Das Unternehmen Verizon ist unter anderem ein renommierter Dienstleister für Informationssicherheit. Es bringt regelmäßig Berichte über den aktuellen Stand auf diesem Gebiet heraus und dokumentiert dabei auch Attacken von Cyberkriminellen. Ende März dieses Jahres fand sich unter gelisteten Vorfällen ein erfolgreicher Angriff auf einen Wasserversorger, bei dem die ungebetenen Gäste die chemische Zusammensetzung des Wassers ändern konnten.

Nicht schön, eher erschreckend. Für meine Arbeit als Berater für Informationssicherheit mal wieder ein Wachrüttler, der zumindest den potenziellen Wert des eigenen Tuns belegt.

Was mich hier interessiert, ist allerdings das Titelbild des Berichts, der unter dem Titel „Verizon Data Breach Digest“ läuft und leider nur gegen Registrierung heruntergeladen werden kann.

Das Cover ziert eine Maske, deren Konturen aus vielen Menschen gebildet werden.

Verizon_Mask_1

Die Menschen nimmt man erst dann richtig war, wenn man das Bild erheblich vergrößert.

Verizon_Mask_2

Die Frage ist: Was will mir das Bild eigentlich sagen? Wenn es wieder nur darum geht, die „Bösen“ im Netz mit denen gleichzusetzen, die dort anonym auftreten wollen, verstehe ich nicht das Element der Massenhaftigkeit, das hier enthalten ist.

Soll das eine Anspielung auf die große Zahl der Cyberkriminellen sein? Sind wir aus Sicht von Verizon allesamt Hacker? Oder die Quelle des Bösen, weil wir nicht alles von uns offenlegen?

Eingängig ist mir die Bildbedeutung nicht. Ich denke, ich sollte einmal Presseabteilung des Unternehmens befragen.

You only live x+1 times: Masken in LinkedIn und Second Life

Als ich vor Jahren den ersten Beitrag zu diesem Blog schrieb, fragte ich: „Warum tragen Avatare Masken?

Ich hatte damals entdeckt, dass es in der virtuellen Welt „Second Life“ für Linden-Dollars eine komplette Bauta-und-Tabarro-Verkleidung zu kaufen gab.

Wozu? War nicht Second Life selbst schon eine Welt für Avatare? Dort liefen die unterschiedlichsten Verkörperungen von Anwendern herum, von Tiergestalten über typische Nerds bis zu Figuren, die sich einen bis ins Letzte durchgestylten Idealkörper zugelegt hatten.

Wozu sollte sich so ein zweites Ich dann noch eine Maske zulegen?

Antwort: Um mit der eigenen Identität noch besser spielen zu können. Es macht Spaß, sich gezielt zu maskieren und wieder zu demaskieren und vielleicht auszuprobieren, ob jemand anderer einen erkennt.

SL2

Avatare bekommen auf Dauer ja auch so etwas wie eine eigene Geschichte und feststehende Identitätsmerkmale, vor allem wenn sie sich wieder und wieder mit den gleichen Avataren treffen. „Man lebt nur zweimal“ – mit Bauta und Tabarro als generischer Verkleidung in einer virtuellen Welt kann man diese Grenze auf eine noch andere Weise  Weise durchbrechen, als wenn man „nur“ mit mehreren Avataren jongliert. So etwas ist vielleicht auch ein Akt der „informationellen Selbstbestimmung“.

Meine eigene virtuelle Bauta-und-Tabarro-Verkleidung hatte ich damals im Treppenhaus der ebenfalls virtuellen Second-Life-Repräsentanz der Bayerischen Staatsbibliothek fotografiert, sie fungiert noch immer als Titelbild des Blogs. Die Nachbildung der Bibliothek existierte übrigens nicht lange – und inzwischen habe ich Second Life auch schon ewig nicht mehr aufgesucht.

Dafür ist mir jetzt aufgefallen, dass auch in LinkedIn Maskenträger unterwegs sind. Damit meine ich nicht etwa die, die gar kein Bild von sich hochladen – weil sie gerade keines zu Hand haben, die existierenden nicht mögen oder einfach nicht wollen, dass Besucher ein Foto zu sehen bekommen.

Das sieht dann immer gleich aus, und zwar so:

ML5

Ich meine LinkedIn-Mitglieder, die sich bewusst als maskiert präsentieren.

Einige verwenden Avatare:

ML6

Einige geben sich sportlich:

ML3

Einige spielen mit skurrilen oder leicht beängstigenden Assoziationen:

ML2

Andere wählen Masken aus der Filmwelt, die mit besonderer Bedeutung aufgeladen sind:

ML1

Und noch andere spielen mit Photoshop-Effekten:

ML4

Die Beispiele sind willkürlich aus einer Liste vorgeschlagener Kontakte ausgewählt, die LinkedIn mir irgendwann zum Jahreswechsel 2015-2016 präsentiert hat.

Was sagt nun wieder das?

Ich konnte nicht feststellen, dass der Griff zum Maskenbild beispielweise mit eher restriktiv bestückten Profilen zusammenfiel.

Handelt es sich um ein Statement nach dem Motto: Ihr denkt jetzt, Ihr kennt mich, weil ich hier ein Profil eingestellt habe, aber da täuscht Ihr Euch – ich modelliere mein Profil, wie ich es für richtig halte?

Vielleicht frage ich irgendwann einmal bei dem einen oder anderen Maskierten nach.

Da ist er wieder, der Maskenmann

Das Unternehmen Vasco, Anbieter für Informationssicherheitsprodukte, hat ein eBook zum Thema „Social Engineering“ als Angriffsform beim Online-Banking und mögliche Gegenmaßnahmen veröffentlicht.

Darin gibt es ein Bild vom Angreifer – und wieder mal mit Kapuze und verstecktem Gesicht.

Vasco

Mann wird’s wohl doch nicht los: Masken sind im Internet-Kontext ein Symbol für die Bösen. Ausnahmen bestätigen nur die Regel.

Zusatzanmerkung: Hier ein schöner Beitrag, der zeigt, wie man mit Social-Engineering-Risiken in Unternehmen umgeht.

Überwacht vom Kühlschrank, Tablet und dem Handy-Wecker: Anonymizer und das Internet der Dinge

Bruce Schneier, US-Querdenker in Sachen Sicherheit, hat in seinem jüngsten Blog- und Newsletter-Post ein schönes Bild davon gemalt, wie internetverbundene Dinge ihren Anwender in Zukunft ausforschen und an die werbetreibende Industrie verkaufen könnten.

Da gibt es Startups, die wollen Werbeclips im Fernsehen mit versteckten Botschaften (Töne, Frequenzen, was auch immer…) ausstatten, damit man herausbekommt, ob sie den Zuschauer zu einer sofortigen Bestellung oder wenigstens Recherche auf dem Mobiltelefon, dem Notebook oder dem Tablet animieren. Und so weiter. Vielleicht macht ja auch noch mein Auto mit und sagt dem Ölkonzern, dass ich auf sein Werbe-BlaBla über exxxxtrrreeeem energiesparenden Sprit hin (preislich reduziert nur bis 23.45 Uhr!) sofort zur nächstgelegenen Vertragstankstelle aufbreche, wo ich dann auch das zwei Minuten vorher ebenfalls beworbene Sandwich kaufe (was an meiner Kreditkartenabrechnung festzustellen ist).

Nehmen wir einmal an, dieses Szenario geht am Ende doch so vielen Menschen auf die Nerven, dass sie zumindest von ihren technischen Sklaven in Form von Computern, Telefonen, Küchenutensilien, Gartengeräten, Toilettenartikeln und so weiter  verlangen, dass diese in Sachen Informationsweitergabe eine gewisse Zurückhaltung in Bezug auf ihr Frauchen oder Herrchen üben. Nehmen wir weiterhin an, dass dieser Wunsch sich stark genug äußert, um den einen oder anderen Anbieter ein gewisses Geschäftspotenzial in der Erfüllung dieses Traums wittern zu lassen.

Dann hätten wir tatsächlich einen „Business Case“ für Anonymizer, wie im Beitrag über die „Anonymisierungstools unter der Motorhaube“ schon angedeutet. Vieles, was die Werbeindustrie will, lässt sich nämlich auch ohne Preisgabe personenbezogener Daten eines Gerätenutzers erreichen.

Nehmen wir an, ich trudele als typischer Berater-Nomade spät nachmittags in einer Stadt ein, die ich eigentlich gar nicht besuchen wollte. Ich will dort Zwischenstopp machen, weil ich einfach müde bin, oder ich will zwecks Zielerfüllung doch noch einen zusätzlichen potenziellen Kunden heimzusuchen – es sind da ja morgen früh noch knapp zwei Stunden frei im Plan.

Ich will wissen, wo ich übernachten und essen und vielleicht noch etwas Unterhaltung genießen kann. Werbung nehme ich in Kauf, wenn sie mir den Abend angenehmer gestaltet, aber Infos über mich selbst mag ich nicht herumposaunen: Profil – „Nein danke!“

Nehmen wir nun an, mein Mobiltelefon ist datenschutzmäßig von mir vorkonfiguriert und postet nur Folgendes in die Gegend: Hier ist ein Mensch, der ist über 18 (Detail aus dem Personalausweis), Mitglied in Hotelkette A,B und C (mit Nachweis, aber ohne Namen), Vegetarier (das ist fiktiv), Allergiker gegen Nahrungsmittel X (ebenfalls fiktiv), aktiver deutscher Sportschütze (Ich habe Pfeil und Bogen im Auto und den passenden Ausweis dazu, Vorsicht!) und Mitglied im Verein zur Rettung der letzten anspruchsvollen Programmkinos (Ebenfalls mit Nachweis – Gibt es das vielleicht? Ich trete ein!).

Jetzt können mich Hotels (möglichst mit Recurve-optimiertem Bogenparcours), Restaurants, Bars und Filmtheater und obendrein auch Tankstellen, Drogerien, die Bahn und die Fluglinien gern umgarnen, und zwar bitte sofort, noch während ich in der automobilen oder echten Einflugsschneise bin. Allesamt kennen sie mich nicht persönlich, aber ihr Werben hätte durchaus Aussicht auf Erfolg. Perfekte Win-Win-Situation!

Ist das nicht ein wunderbarer Einsatzbereich für Identitäts-Verschleierungstools als Standard-Module in internetverbundenen Geräten?

Schleichwerbung: Ist ja nicht so, als hätte man über so etwas noch nie nachgedacht: Frei und kommerziell. Grundlagen zum „benutzerzentrierten Identitätsmanagement“ hat Werner Degenhardt aufgearbeitet.

Die Firefox-Maske

Komisch, wie oft habe ich die „privaten Fenster“ im Firefox-Browser jetzt schon benutzt? Keine Ahnung, sehr häufig jedenfalls. Aber bisher nie darauf reagiert, dass die Macher der Software für ihre Browsen-ohne-Spuren-Funktion eine Maske als Symbol verwenden.

FF1

So kündigt ein englischer Firefox den Wechsel in den „Ich-habe-jetzt-etwas-zu-verbergen“-Modus an, danach zeigt eine winzige kleine Maske im Fensert oben rechts, dass die Funktion noch aktiv ist – ganz ähnlich dem Schloss-Symbol, das eine verschlüsselte HTTPS-Verbindung zur Zielseite markiert.

FF2

Diese Symbolik ist durchaus eine Erwähnung wert, denn Masken haben im Umfeld von Informationssicherheit und Datenschutz sonst eher ein schlechtes Image und müssen immer wieder als Kennzeichen der Internet-Kriminellen herhalten. In den Randbemerkungen aus Nizza hatte ich dazu schon ein paar Sätze geschrieben.

Vielleicht ändert die Firefox-Symbolik ja ein bisschen daran. Die Maske taucht nämlich in einem Zusammenhang auf, der sich vielen PC-Benutzern viel leichter erschließt als die irgendwie abstrakt und irreal wirkende Gefahr, durch Geheimdienste, Großkonzerne, Versicherungen oder irgendwo auf der Welt lauernde Kreditkartendiebe abgehört zu werden: „Wenn ich die Firefox-Maske aufsetze, bekommt der nächste Benutzer am PC (Papa, Mama, Ehegesponst, Mitbewohner(in)…) nicht mit, was ich mir angesehen habe, weil keine Relikte im Browserverlauf oder sonstwo zurückbleiben!“ Das ist doch schon einmal etwas, wenigstens ein Anfang für ein rudimentäres Datenschutz-Bewusstsein.

Wie viele Besitzer dann aber auch wissen, dass ihnen der Masken-Modus nichts nützt, wenn sie aus dem privaten Fenster heraus zweifelhaftes Zeug auf der Festplatte ablegen, darüber mag ich nicht weiter nachdenken.

Darauf, dass der Maskenmodus nichts daran ändert, dass die Verbindung zwischen dem Browser und der Zielseite an irgendwelchen Zwischenknotenpunkten abgehört werden kann, weist ja immerhin der Eingangsbildschirm des „privaten Fensters“ hin – und zwar in der deutschen Version des Firefox-Browsers noch deutlicher als in der englischen. Außerdem wird hier ausdrücklich erwähnt, dass Speicherbefehle des Anwenders nach wie vor ausgeführt werden.

FF3

Möge das als Awareness-Maßnahme genügen…

 

Anonymizer unter der Motorhaube

Die Autos der Zukunft sollen nicht nur selbst fahren können, sondern auch miteinander kommunizieren. Etwa, um dem nachfolgenden Gefährt auf der Autobahn rechtzeitig Bremssignale zu übermtteln und so die Gefahr von Auffahrunfällen zu reduzieren, gleich ob hinten ein Mensch oder ein Computer lenkt.

Wohin das vielleicht führt, lesen Sie hier: Klick.

Über diesen Blog-Beitrag habe ich mich so lange köstlich amüsiert, bis ein Kollege mit Erfahrung in der Auto-Netzwerkwelt einen Blick auf meinen Dienstwagen warf und ganz beiläufig bemerkte: „Ach, der könnte ja auch schon selber fahren, ist vielleicht nur noch nicht freigeschaltet. Ich sehe das an dem Auge da oben!“ Und er deutete auf einen unscheinbaren senkrechten Schlitz im Vorbau des Innenspiegels, von außen gesehen hinter der Windschutzscheibe.

Seitdem hege ich ein gewisses Misstrauen gegen mein Gefährt, schaue es möglichst nicht von vorn an, spreche sehr höflich mit dem Navi und leihe mir ansonsten, wenn irgend möglich, den alten Jeep meiner Frau. Der hat als Gipfel der Digitaltechnik eine elektonische Einspritzanlage eingebaut, deren rudimentärer Fehlerspeicher das absolut einzige kommunikationsfähige Gerät an Bord ist. Und selbst das lügt, haben uns schon zwei entnervte Automechaniker versichert. Gut so.

Aber das ist eine ganz andere Geschichte.

Hier geht es darum, dass die Designer und Sicherheitsspezialisten der künftigen Auto-zu-Auto-Kommunikation tatsächlich den Einbau von Anonymizern wie IBMs „Idemix“ planen. Stephan Holtwisch hatte diesen Aspekt erwähnt, als wir auf der Konferenz „Die Zukunft der informationellen Selbstbestimmung“ zu Einsatzchancen für Anonymizer in der modernen westlichen Kultur referierten. Offensichtlich macht man sich Sorgen, dass sich die zunehmend intelligenten Autos irgendwann auf der Straße wiedererkennen und dann Freund- und Feindschaften pflegen, sich quer durch Deutschland jagen, fremde Fahrdaten ohne Erlaubnis der Betroffenen der Polizei und den Versicherungen petzen oder – siehe oben – sich über ihre jeweiligen Besitzer lustig machen. Offiziell klingt das nüchterner: Man will gegenseitige Profilbildung bei der Maschine-zu-Maschine-Kommunikation ausschließen, wenn diese zum unkontrollierbaren Informationsaustausch über die Benutzer und damit zu Datenschutzverletzungen führen könnte. Das ist ein Aspekt, mit dem es die Entwickler des „Internets der Dinge“ wohl noch häufiger zu tun bekommen werden.

Das Spannende daran: Hier, im Versteckten, wo sie sie gar nicht bemerkt, wird die breite Öffentlichkeit Anonymizer wohl eher akzeptieren als in Form persönlicher, bewusst eingesetzter Werkzeuge. Verkehrte Welt.