DNSSEC: ICANN verschiebt Schlüsselwechsel in der Root-Zone

2.10.2017 - Trotz langer Vorbereitung muss der Tausch des kryptografischen Schlüssels, der das weltweite Domain Name System schützt, verschoben werden. Andernfalls könnte für jeden vierten Nutzer der Internet-Dienst weitgehend ausfallen.

Am 11. Oktober 2017 sollte der DNSSEC-Hauptschlüssel, der das Domain Name System (DNS) gegen Manipulation schützt, planmäßig ausgewechselt werden. Die Internet Corporation for Assigned Names and Numbers (ICANN) teilt nun mit, dass sie den Tausch vorerst auf das erste Quartal 2018 verschoben hat. Möglicherweise wird sogar eine weitere Verschiebung erforderlich, denn die ICANN will unbedingt einen für möglichst alle Nutzer störungsfreien DNS-Betrieb gewährleisten.

Der Schritt kommt für manche Beobachter unerwartet, denn die ICANN, die die obersten DNS-Server verwaltet (DNS-Root-Zone), hatte den Schlüsseltausch minutiös und von langer Hand vorbereitet. Doch offenbar spielt ein erheblicher Teil der Provider nicht mit und hat den Schlüssel bisher nicht aktualisiert. Würde der Schlüssel planmäßig am 11. Oktober getauscht werden, wäre danach der DNS-Dienst für zu viele Internetnutzer gestört, sodass sich beispielsweise Webseiten nicht mehr öffnen lassen. ICANN will die Verschiebung nun nutzen, um die Provider anzusprechen, die den Tausch noch nicht vollzogen haben.

Der neue Schlüssel ist seit dem 11. Juli für Jedermann öffentlich erhältlich (Key Signing Key der Root-Zone). Aktuelle DNS-Resolver teilen den Root-Servern bei üblichen DNS-Anfragen mit, welchen Schlüssel sie nutzen und die ICANN wertet die Logs der DNS-Root-Server auf diese Information hin aus. Den Ergebnissen zufolge könnte der DNS-Dienst bei weltweit jedem vierten Internet-Nutzer ausfallen, weil der DNS-Resolver seines Providers keinen aktuellen Root-KSK verwendet. Die ICANN spricht von 750 Millionen potenziell Betroffenen.

Es gibt verschiedene Gründe, weshalb die Aktualisierung nicht bei allen Resolver-Betreibern klappt. Denkbar ist, dass manche die Software nicht wie erforderlich konfiguriert haben, denn eigentlich können viele DNS-Resolver den neuen Schlüssel automatisch beziehen. Ein Resolver tut das laut Angaben der ICANN zurzeit nicht. Die Ursache ist noch unklar; die ICANN nennt den betreffenden Resolver bisher nicht namentlich. Von älteren Unbound-Versionen, die nach dem 11. Juli neu installiert worden sind, ist bekannt, dass sie bei der automatischen Aktualisierung scheiterten. Das Problem ist in der aktuellen Unbound-Version aber behoben.

Quelle: heise.de

Flash: Von der Erfolgstechnik zum gefährlichen Relikt

27.7.2017 - Der Flash-Player war einst die populärste Multimedia-Software im Internet. Dann rechnete Steve Jobs mit Flash ab und verbannte es von seinem iPhone. Jetzt hat Adobe das Ende für Flash verkündet: 2020 ist endgültig Schluss. Ein Rückblick.

Flash stirbt einen langsamen Tod – in drei Jahren ist aber endgültig Sense, verkündete nun Adobe. Jung stirbt die Multimedia-Software dann nicht, im Gegenteil: Mit über zwanzig Jahren ist Flash ziemlich alt geworden – eine Ewigkeit in Internet-Jahren gerechnet. Längst haben offene Web-Standards die Nachfolge des Urgesteins angetreten und Flash damit überflüssig gemacht.

Dank Flash konnten Entwickler bessere Browser-Spiele entwickeln, später sogar in 3D. Und Werbetreibende freuten sich über aufregende Werbebanner, die blinkten und sich bewegten. So "bereicherte" Flash das Web auch mit breiten Skyscraper- und Wallpaper-Bannern – viele Websites waren mehr flirrende Werbung als alles andere. Flash sei Dank.

Sicherheitsrisiko Flash-Player

Die weite Verbreitung von Flash ist aber auch ein Problem, denn die Software ist seit jeher unsicher. Sehr unsicher. Immer wieder klaffen große Lücken im Flash-Player, auch kritische. Immer wieder heißt es: "Wer Flash auf seinem System hat, muss handeln". Adobe veröffentlichte sogar schon akute "Notfall-Updates", weil Angreifer über Flash volle Kontrolle über befallene PCs erlangen konnten. Der Flash-Player war, ist und bleibt eine riskante Software – und das deutsche BSI zählt weiter fleißig Sicherheitslücken.

Security-Experten waren deshalb nie große Flash-Fans und empfahlen, die Software am besten gleich vom PC zu verbannen. Der größte Feind von Flash war aber wohl Apple-Chef Steve Jobs: Bereits 2010 prophezeite er das Ende von Flash. In einem offenen Brief arbeitete er sich an der Software ab: Flash sei unsicher, nicht offen, lahm und Akku-aussaugend.

Im November 2011 verkündete Adobe überraschend, Flash nicht mehr für Mobilgeräte weiterzuentwickeln. Stattdessen werde man verstärkt in HTML5 investieren, sagte ein Adobe-Sprecher damals. Eine gute Idee. Kaum ein Smartphone-Surfer dürfte Flash je vermisst haben.

Quelle: heise.de

Studie: Unternehmen glauben nur, auf neuen Datenschutz vorbereitet zu sein.

27.7.2017 - Ab Mai 2018 bringt die EU-Datenschutz-Grundverordnung (DSGVO) neue Pflichten bei der Datenverarbeitung. Viele Unternehmen glauben, die Anforderungen bereits zu erfüllen – doch das ist ein Irrtum, wie eine Studie zeigt.

Am 25. Mai 2018 tritt die EU-Datenschutz-Grundverordnung (DSGVO) in Kraft, unterstützt durch ein neues Bundesdatenschutzgesetz. Die neuen Datenschutzregeln bringen erhebliche Änderungen, wie personenbezogene Daten verarbeitet und gespeichert werden dürfen – und drohen bei Verstößen mit hohen Bußgeldern.

Veritas hat in einer Studie untersucht, wie gut Unternehmen auf die kommenden Datenschutzregeln vorbereitet sind. Dabei zeigte sich eine deutliche Kluft zwischen Selbsteinschätzung und Realität: Zwar erklärte fast ein Drittel der Befragten, man würde die wichtigsten Regelungen der Verordnung bereits erfüllen. Wurde anschließend aber nach spezifischen Regelungen aus der DSGVO gefragt, sahen sie doch noch Nachholbedarf.

Insgesamt, so das Fazit der Studie, "besteht große Unsicherheit darüber, was getan werden muss, um die Vorgaben zu erfüllen." Es gebe eine Reihe von Missverständnissen und Irrtümern in den Unternehmen, die zügig ausgeräumt werden müssten – "der Countdown läuft"

Für die Studie hat der Marktforscher Vanson Bourne im Auftrag von Veritas 900 Führungskräfte in Australien, Deutschland, Frankreich, Japan, Singapur, Südkorea, den USA und Großbritannien in Unternehmen mit mehr als 1000 Mitarbeitern aus unterschiedlichen Sektoren befragt, die eine geschäftliche Beziehung mit dem EU-Raum haben.

Quelle: heise.de.

Schweden: Regierungsdaten in der Cloud mit eingebauter Sicherheitslücke

26.7.2017 - Bei der Auslagerung von Behördendaten in die Cloud sind in Schweden gravierende Fehler gemacht worden. Die die Cloud betreuenden Mitarbeiter des Dienstleisters IBM wurden nicht sicherheitsüberprüft. Ein "unglaublich ernster Vorfall", sagt die Regierung.

Daten der schwedischen Behörde für Privat- und Berufsverkehr (Transportstyrelsen) und des schwedischen Militärs sind in einer IBM-Cloud gespeichert worden. Die sie betreuenden Mitarbeiter von IBM und von IBM-Subunternehmen in Tschechien und Rumänien wurden aber nicht sicherheitsüberprüft, wie die Behörde mitteilte. Der schwedische Ministerpräsident Stefan Löfven sprach am Montag von einem "unglaublich ernsten Vorfall". Noch sei nicht geklärt, ob es durch die fehlenden Sicherheitschecks der Mitarbeiter auch zu Datenabflüssen gekommen ist.

Aus Kostengründen verlagert Schweden seit 2015 seine Datenbanken in die Cloud. Das Führerscheinwesen und das KFZ-Register sowie die Fahrzeugs-Bestandsplanung des Militärs wurden in eine in Schweden beheimatete Cloud überführt, die von IBM-Mitarbeitern betreut wird. Diese greifen dafür wiederum auf Subunternehmen in Tschechien und Rumänien zurück. Wie 2016 bekannt wurde, unterblieben dabei die Sicherheitsüberprüfungen, die etwa den deutschen Ü2- (Zivil) und Ü3-Standards (Militär) entsprechen, weil die Zeit drängte. Solche Sicherheitsüberprüfungen dauern auch in Schweden bis zu einem Jahr und laufen entsprechend länger, wenn es um ausländische Mitarbeiter geht. Wegen dieser Nachlässigkeit wurde die Leiterin von Transportstyrelsen 2016 ihres Amtes enthoben und musste eine Strafe von rund 7500 Euro zahlen.

Noch unklar, ob Daten abgeflossen sind

Mit gehöriger Verspätung sorgt der Fall jetzt für politische Aufregung, weil die Oppositionsparteien mit einem Misstrauensantrag drohen. Dieser wird erstmals auch von der Linkspartei befürwortet, die sonst die regierenden Sozialdemokraten unterstützt. Für die Aufregung ist eine Stellungnahme des schwedischen Inlands-Nachrichtendienst (Säkerhetspolisen) verantwortlich, der die fehlende Sicherheitsüberprüfung als "größte Gefahr" für das Königreich bezeichnete und nun darauf drängt, dass ausschließlich überprüfte schwedische IBM-Mitarbieter die Cloud betreuen. Wie Ministerpräsident Löfven erklärte, untersuchen die Nachrichtendienstler jetzt, ob Daten aus der Cloud geleakt worden sind.

Quelle: heise.de