The future of Cloud Computing before U.S. Supreme Court

A lawsuit currently pending before the US Supreme Court has global implications and leads to concerns among data protectors, companies and associations all over the world. The lawsuit USA v. Microsoft (Case No. 17-2) concerns the extraterritorial effect of a US search warrant.

The US Supreme Court is currently considering whether Microsoft is required by the Stored Communications Act (SCA) to disclose contents from its email customers’ accounts, even if the provider is located outside of US territory.

Continue reading

“Bundestrojaner” in use, what next?

The German Ministry of Interior (BMI) has authorized the use of a new hacking tool for criminal investigations since January, according to recent reports by German daily Die Welt [1]. Like other previously deployed government Trojan programs, it is nick-named “Bundestrojaner”.  The new version, developed by Munich-based IT surveillance company FinFisher GmbH, enables criminal investigators from the German Federal Criminal Police Office (BKA) and state (Länder)  criminal police offices to access individual suspects’ devices and to surveil their real-time communication before it is encrypted by messenger programs such as WhatsApp. Officially, this surveillance procedure is referred to as “source telecommunication surveillance” (“Quellen-Telekommunikationsüberwachung”).

In summer 2017, the Bundestag had passed a law amending §100 of the German Criminal Code and extending the scope of application for surveillance measures and “source communication surveillance” in particular. But the law itself and government hacking more generally remain highly contested. Critics argue that it obstructs individuals’ privacy and harms IT security [2], [3]. The German Federal Constitutional Court might even rule parts of it unlawful. We’ll explore some of the reasons below.

Continue reading

Malvertising: The role of dynamic content and ad networks in the propagation of malicious code

Malvertising – that is the spreading of malware or fraudulent content through malicious ads on otherwise trustworthy homepages – is not only persistent but also growing as recent articles from Motherboard [1] and Ars Technica [2] suggest, both refering to a report from Cyphort as their primary source. This increase in delivery of malicious ads poses an imminent threat to users on the Internet. Ars Technica emphasises that one consortium only, consisting of 28 fake ad agencies, was able to reach 62% of ad monetized websites on a weekly basis. Continue reading

Digitalpolitischer Stillstand? Ergebnisse der Sondierung von CDU/CSU und SPD

In einem 24-seitigen Papier haben CDU/CSU und SPD am 12. Januar die Ergebnisse der Sondierungsverhandlungen zur Bildung einer neuen großen Koalition im Bund vorgestellt. Beide Seiten hatten aus den gescheiterten Jamaika-Verhandlungen gelernt und haben binnen einer Woche und weitgehend ohne öffentliche Begleitmusik ein sehr kondensiertes Regierungsprogramm vorgelegt. Darin hat auch die Digitalisierung ihren Platz: CDU/CSU und SPD wollen, so die Präambel „den digitalen Wandel .. für die Menschen positiv gestalten“. Sehr konkret werden die beiden Partner dabei nicht. Digitale Themen scheinen an vielen Stellen des Textes auf, verharren überwiegend aber bei der Definition allgemeiner Ziele.

Dies wird besonders deutlich bei gesellschaftspolitischen Kernfragen der Digitalisierung, die das Sondierungspapier jeweils nur antippt:

  • Im Bildungswesen soll eine stärkere Unterstützung der Länder durch den Bund bei Investitionen erfolgen, auch in Digitalisierung – was immer das heißt. Der vor der Wahl gescheiterte Digitalpakt zwischen Bund und Ländern findet keine Erwähnung.
  • Im Gesundheitswesen wird nur in allgemeiner Form auf die Notwendigkeit von Digitalisierungsinvestitionen in Krankenhäusern hingewiesen. Kernfragen der Gesundheitsdigitalisierung, die Zukunft der Telematikinfrastruktur oder die Öffnung für Big-Data-Anwendungen, adressiert das Papier nicht.
  • Die Digitalisierung des Arbeitsmarktes soll vor allem im Hinblick auf Clickworker („Arbeit auf Abruf“) aufgegriffen werden, den Betroffenen „Planungs- und Einkommenssicherheit“ verschafft. Wie? Das bleibt offen.
  • Die Digitalisierung im Bereich Mobilität wird vor allem auf das automatisierte Fahren bezogen, dies soll bei Infrastrukturinvestitionen berücksichtigt werden. Sonstige Rahmenbedingungen werden nicht erwähnt.

Konkreter Ankündigungen gibt es im Hinblick auf die Digitalisierung der Wirtschaft: Unternehmensinvestitionen in Digitalisierung sollen durch steuerliche Anreize gefördert werden, ebenso – lange umstritten – die Forschungsausgaben zumindest kleiner und mittlerer Unternehmen. Näheres wird sicherlich in dem noch auszuhandelnden Koalitionsvertrag vereinbart. Wirtschaftspolitisch erwartet worden war die Ankündigung, das Kartellrecht im Hinblick auf die Digitalisierung zu modernisieren. Eine spezielle Aussage zu möglicher Plattformregulierung findet sich nicht.

Naturgemäß greift das Sondierungspapier auch die Querschnittsfragen der Digitalisierung auf, zuvörderst die Infrastruktur. Die Koalition in-spe verabschiedet sich vom 50 Mbit/s-Ziel und strebt nun einen „flächendeckenden Ausbau von Gigabit-Netzen“ bis 2025 an. Erlöse aus der Versteigerung von 5G-Frequenzen sollen dafür verwendet werden. Sie werden in einen Fonds eingebracht, der zweckgebunden zum Ausbau der digitalen Infrastruktur gedacht ist. Geschätzt wird ein öffentlicher Finanzierungsbedarf von 10-12 Mrd. Euro für diese Wahlperiode. Offenbar ist nicht daran gedacht, über die Versteigerungserlöse hinaus Mittel des Bundes bereitzustellen; auch die von den Jamaika-Partnern noch ins Auge gefasste weitere Privatisierung der Deutschen Telekom scheint damit vom Tisch.

Für das kurze Papier recht ausführlich sind die Aussagen zur Cybersicherheit, wenngleich nicht sehr konkret:

  • Sicherheitsstandards für „IT-Strukturen und kritische Infrastrukturen“ sollen – möglich europaweit – geschaffen werden. Auf was sich das bezieht, wie es sich zu der vorhandenen KRITIS-Regulierung, dem europäischen Vorschlag zur Cybersicherheitszertifizierung und dem geplanten deutschen Gütesiegel verhält – hierzu gibt das Papier keine Hinweise.
  • Sicherheitsbehörden sollen im Internet gleichwertige Befugnisse wie außerhalb des Internets bekommen – eher ein Allgemeinplatz als eine Vereinbarung.
  • Die Zusammenarbeit von Bund und Ländern bei der Cyberabwehr soll ausgebaut und strukturell neu geordnet werden. An dieser Stelle scheint tatsächlich eine konkrete Maßnahme auf. Mit diesem Ziel im Rücken wird eine Neustrukturierung des Cyber-Abwehrzentrums unter Einbindung der Länder und eine Konsolidierung der recht unstrukturierten Landschaft von Bund-Länder-Cyber-Zusammenarbeit unumgänglich. Das wird auch Auswirkungen auf die Diskussion zwischen Polizeien, Nachrichtendiensten und IT-Sicherheitsbehörden über die Aufgabenverteilung bei der Cyber-Abwehr haben.
  • Die zwischen CDU/CSU und SPD eigentlich schon konsentierte Verschärfung der Haftung für IT-Sicherheitsmängel ist in dem Sondierungspapier nur im Kapitel Recht und dort nur sehr am Rande angedeutet. Rechtlicher Änderungsbedarf in Folge der Digitalisierung wird zumindest von den Rechtspolitikern auch bei „haftungsrechtlichen Fragen“ gesehen.

Interessant ist, was fehlt: Der in der vorigen Regierung bereits konsentierte Vorschlag des Innenministers, eine Befugnis für aktive Cyberoperationen zu schaffen („Hack-Back“) wird ebenso wenig aufgegriffen wie das in den Jamaika-Sondierungen geeinigte Thema des Umgangs des Staates mit Schwachstellen.

Aus den verschiedenen weiteren Ankündigungen zu digitalen Themen, etwa die Schaffung eines Bürgerportals, sticht ein Thema heraus: CDU/CSU und SPD wollen ein „öffentlich verantwortetes“ Zentrum für Künstliche Intelligenz schaffen, gemeinsam mit Frankreich. Damit soll der Nukleus einer europäischen Initiative gebildet werden.

In der Zusammenschau vermag das Ergebnispapier der Sondierungsrunde digitalpolitisch nicht zu überzeugen. Die meisten Themen werden nur angetippt, gerade bei den großen gesellschaftspolitischen Umbrüchen durch die Digitalisierung – Arbeitsmarkt, Gesundheit, Bildung, Mobilität – sind keine Ideen der neuen “GroKo” zu erkennen. Netzpolitische Kernthemen wie Datenschutz oder die Verantwortung von Plattformen finden überhaupt keine Erwähnung. Das Papier bleibt vom Anspruch an eine moderne Digitalpolitik her weit zurück hinter Koalitionsverträgen der letzten Jahre in Ländern wie Baden-Württemberg oder Nordrhein-Westfalen.

Es ist zu hoffen, dass die nach der Billigung des Papiers durch die drei Parteien anstehenden Koalitionsverhandlungen einen „digitalen Push“ für die neue “GroKo” bringen!

New powerful microarchitectural attacks threaten all modern CPUs

Two new attacks Meltdown and Spectre have been announced that can be seen as a new class of attacks that make use of so called microarchitectural features in modern CPUs. What makes these attacks special is that they do not exploit a bug in software, but exploit how modern CPUs operate and have been operating for many years.

The complexity of modern processor has been ever increasing to a degree that it is extremely hard for a developer to understand how and in what order instructions are executed on the CPU. Techniques such as out-of-order execution, branch predictions and multiple levels of caches have been integrated in modern CPUs for many years and have been constantly refined. This resulted to great improvements in computation speeds. That this speed optimization can also cause security issues has also been known. For example, implementing cryptographic algorithms on modern CPUs that do not leak sensitive data over so-called timing side-channels has been a major challenge for years. Several academic papers also showed that microarchitectural features such as shared caches can lead to significant data leakages between different processes running on the same CPU or even on multiple CPUs (see e.g. [CSAW07] [usenix14] or [SP15]).
Continue reading

ePrivacy-Verordnung: EU-Parlament verabschiedet strenge Regeln für elektronische Kommunikation – Auswirkungen auf die IT-Sicherheit

Das Europäische Parlament hat mit einer knappen Mehrheit von 318 zu 280 Stimmen die Parlamentsfassung der sogenannten ePrivacy-Verordnung verabschiedet. Sie ändert den im Januar 2017 von der Europäischen Kommission vorgelegten Entwurf in zentralen Punkten in Richtung stärkerer Datenschutz- und Sicherheitsvorschriften für elektronische Kommunikation. Nun beginnt im nächsten Schritt der sogenannte Trilog, die Verhandlungen zwischen EU-Parlament, EU-Rat (also Mitgliedsstaaten) und EU-Kommission; mit einer Verabschiedung wird für Sommer 2018 gerechnet. Continue reading

Screwed up VLAN implementations – On the Importance of Basic Technologies

There is hardly a week passing by, that is not dominated by some more or less serious IT security incident. Though a considerable number of these incidents is caused by the exploitation of specific vulnerabilities, be it zerodays or not, their impact is frequently dependent on the prevalent infrastructure of the systems in question. The spreading of WannaCry, for example, could have been – and in many cases probably was* – condemned by the proper employment and configuration of firewalls to separate networks or at least filter potentially illegitimate traffic. Continue reading

„Bei Hacking-Risiken oder Sicherheitslücken fragen Sie bitte Ihren Arzt oder Apotheker“

…in etwa diese Maßnahme empfahl am 29. August der Medizingerätehersteller Abbott etwa 745 000 Patienten weltweit, die sich im Krankenhaus nun ein Software-Update für ihren Herzschrittmacher aufspielen lassen müssen. Das Update soll eine Sicherheitslücke in der Systemsoftware schließen, die Hacker per Funk ausnutzen und damit potentiell den Tod von Patienten verursachen können.

In Deutschland sind etwa 13 000 Patienten betroffen. „Patienten sollten mit ihrem Arzt sprechen, um festzustellen, ob das Update richtig für sie ist“, sagte eine Sprecherin des Unternehmens Spiegel Online Continue reading

The NSA still gets their way when it comes to cryptographic standards

The Reuters headline “Distrustful U.S. allies force spy agency to back down in encryption fight” actually sounds good for those of us who are upset of the NSA’s history of pushing insecure and backdoored cryptography into standards (see also these nice  sounding  headlines ). However, when having a closer look these headlines are actually quite misleading. The truth is rather that the NSA gets away with pushing two block ciphers into an international ISO standard despite i) its recent history of undermining standards and ii) the fact that they ignored best-practices in publishing the two ciphers.

Continue reading

European Commission presents comprehensive proposals on cybersecurity

As part of the State of the Union speech delivered by the President of the European Commission, Jean-Claude Juncker, on 13 September 2017, the European Commission presented extensive and far-reaching proposals to improve cyber security in Europe. The overall package consists of legislative proposals, recommendations, strategy papers and accompanying reports. Continue reading