Security Blog

_HANDGEMACHT!

In diesem Blog findet ihr Informationen zu Sicherheitsbedrohungen bei ausgewählten Produkten, Hintergrundwissen sowie Links zu wichtigen Webseiten rund ums Internet. Eine ständige Aktualität kann ich in diesem Blog nicht garantieren.

Deshalb empfiehlt es sich, regelmäßig auch auf den Webseiten von PC-Zeitschriften, Virenschutzanbietern oder den Herstellern selbst nachzuschauen (oft in englischer Sprache und mit Fachkenntnissen verbunden).

Das BSI (Bundesamt für Sicherheit in der Informationstechnik) warnt vor der Verwendung der Antivirusprogramme von Kaspersky!

Kaspersky ist ein russischer Sicherheitsexperte und könnte von der russischen Regierung als Werkzeug für Angriffe ausgenutzt werden.

NGINX ist ein Open-Source-Hochleistungs-Webserver und wurde ursprünglich in Russland entwickelt. Durch die Open-Source-Lizenz steht der Server allen kostenfrei zur Verfügung. Er ist unter anderem eine wichtige Komponente der Synology-Netzwerktechnik, die auch von mir genutzt wird.

Bereits zu Beginn des Krieges führten die US-Sicherheitsbehörden Untersuchungen zur kritischen IT-Infrastruktur durch. Dabei geriet NGINX in den Fokus der Gutachter, da etwa 10 % der IT in größeren Ländern diesen Server verwenden. Da NGINX bzw. der kommerzielle Teil, durch den das Projekt finanziert wird, von einem US-Unternehmen übernommen wurde und der russische Entwickler sich aus dem gewerblichen Teil zurückgezogen hat, bestand keine akute Bedrohungssituation. Tatsächlich wurden russische Büros wegen angeblicher Steuerhinterziehung von der russischen Polizei durchsucht.

Mit dem fortschreitenden Krieg müssen jedoch weitere Überlegungen angestellt werden. Aktuell sind russische Entwickler vorerst aus dem gewerblichen Projekt ausgeschlossen worden. Dadurch geht zwar viel russisches IT-Know-how verloren, doch das Projekt wird voraussichtlich überleben. Aus all diesen Gründen werde ich derzeit weiterhin auf die Synology-Technik setzen.

‹ Zurück

Datenschutz in der Cloud: Uns in Deutschland (Europa) schützt die DSGVO. Die DSGVO gilt, wenn man als Person mit Wohnsitz im europäischen Wirtschaftsraum betroffen ist, und zwar unabhängig davon, wo die Daten gespeichert werden oder wo das verarbeitende Unternehmen seinen Hauptsitz hat. Jedes US-Unternehmen, das in Deutschland Waren oder Dienstleistungen anbietet oder das Webverhalten in der EU überwacht (z.B. Google, Amazon, Microsoft), muss die DSGVO einhalten bzw. die General Data Privacy Regulation (der englisch/amerikanische Begriff).

Der Datenschutzkonflikt mit den USA: Das zentrale Problem liegt in der Natur der US-Gesetze, die US-Behörden Zugriff auf die Daten gewähren, selbst wenn diese Daten von EU-Bürgern stammen und sich in EU-Rechenzentren befinden. Der CLOUD Act erlaubt es US-Behörden (mit einem Haftbefehl oder einer Vorladung), von US-Unternehmen die Herausgabe von Daten zu verlangen, die man gespeichert hat – unabhängig vom physischen Speicherort (also auch in EU-Rechenzentren). Die US-Gesetze sind im Gegensatz zur DSGVO sektorspezifisch und nicht als umfassendes Grundrecht konzipiert. US-Behörden haben weitreichende Überwachungsbefugnisse, die der EuGH in früheren Entscheidungen (Schrems I und II) als nicht mit EU-Grundrechten vereinbar angesehen hat. Die bisherige Lösung ist das EU-U.S. Data Privacy Framework (DPF). Der DPF beinhaltet neue US-Garantien, die den Zugang von US-Geheimdiensten auf das notwendige und verhältnismäßige Maß beschränken und EU-Bürgern einen Rechtsbehelfsmechanismus in den USA ermöglichen. Aber nicht alle US Unternehmen verwenden diese. Alle US Unternehmen, die diese verwenden, findet man auf der offiziellen Website des US Department of Commerce (Handelsministerium). Google, Amazon und Microsoft tun es. Apple, Seagate, Western Digital und Meta (Facebook) sind in der aktuellen Liste nicht enthalten, aber mussten sich natürlich der DSGVO verpflichten. Es gibt dann noch oft diese Formulierungen bei Storage Anbietern für Server/-dienste, z.B. stellt Seagate Möglichkeiten bereit, die den Kunden die Einhaltung der DSGVO ermöglichen. Die Verwendung von Meta Technologie würde ich zu diesem Zeitpunkt als kritischen Ansatz betrachten bzw. war es schon seit längerer Zeit so. Und Microsoft sperrte in der Vergangenheit den Zugriff auf EMail Konten in der Microsoft Cloud des Chefanklägers vom ISTGH nach Anweisung der Trump Regierung wegen US Sanktionen. Microsoft will das nie wieder tun (?) und man hat sich letztlich nur an US Recht gehalten, aber es ist ein Beispiel.