Rittal verschickt USB-Stick mit Werbung. Was kann da schon schief gehen?

Der deutsche Hersteller von „Schaltschränken, Stromverteilung, Klimatisierung und IT-Infrastruktur“ „Rittal verschickt an seine Kunden USB-Stick, die hochgradiges Gefährdungspotential haben. Ich will nicht behaupten, dass von dieser Aktion eine konkrete Gefährdung ausgeht, aber sie ist einfach nur dumm sehr-sehr unglücklich .

Anmerkung: Dieser Blogpost dient dazu einen Vorgang an einer Stelle zusammen zu fassen, der bereits in anderen Medien (vorrangig G+) in mehreren Meldungen betrachtet wurde.

Die Geschichte begann, als ich am 15.05.2017 meine Eingangspost auf den Schreibtisch bekam, welcher eine (recht aufwendig erstellte) Werbung der Firma Rittal beilag. Diese enthielt einen kleinen USB-Stick und das Schreiben suggerierte mir, ich solle den USB-Stick einfach in den USB-Port meines Arbeitsplatzrechners stecken. HALLO? Ich soll ein potentiell gefährliches Device mit einem Rechner unsere inneren Netzwerkes (trusted Zone..) in Verbindung bringen? Sorry, aber ich werde grau nicht blond. Außerdem sollte ich als Mitarbeiter eines Rechenzentrums wissend und sensibel genug sein, die von dem USB-Stick ausgehende Gefahr sofort zu erkennen. Aber wie vielen Mitarbeiter von Unternehmen ist die Gefahr nicht bekannt? Unser weiteres Vorgehen beschreibe ich in folgender Mail, welche ich ASAP an Rittal sandte:

Sehr geehrte Damen und Herren,

wir haben heute ein Werbeschreiben bekommen, welches vorgibt aus ihrem Hause zu  stammen. Thema: „Mehr Geschwindigkeit für ihr Business“. Ich möchte mich höflich
erkundigen, ob diese Werbung tatsächlich von Ihnen versandt wurde.

Schließlich besteht die Gefahr, dass „jemand“ die Reputation ihres Unternehmens  nutzt, um Schadsoftware in unser Netzwerk zu schleusen. Besonders misstrauisch wurden  wir, nachdem wir den Inhalt des Sticks auf einem eigens dafür installierten  virtuellen Server installierten. Ergebnis: Der Stick installiert sich als Human
Interface Device (Tastatur). Da diese Art von USB-Geräten SEHR großen Schaden  anrichten kann
– freier Zugriff mit dem Account des angemeldeten

Benutzers,
– löschen von Dateien, Verzeichnissen,
– Mailversand von definierten Dateien
– etc.pp.
gingen bei uns alle Alarmglocken an. Wir haben dann nicht weiter geforscht.

Sollte der USB-Stick von ihnen verschickt worden sein (was ich kaum glauben kann), so  hoffe ich inständig, dass dieser USB-Stick auf dem gesamten Lebensweg  (Herstellung, Duplizierung und Versand) 100% sicher begleitet wurde.

Sollte der USB-Stick nicht von Ihnen versandt worden sein, so sollten Sie SOFORT  geeignete Maßnahmen treffen, dass der durch diesen Stick verursachte Schaden gering  gehalten werden kann.

Mit freundlichen Grüßen

Es dauerte ein wenig, aber dann kam tatsächlich eine Antwort. Gag am Rande: Es war ein PDF – und zwar kein am PC generiertes („Export as PDF“), sondern ausgedruckt und (leicht schräg) gescanntes:

Antwort von Rittal

Tja, was will man da noch machen? Keinerlei Einsicht ob der eigenen Verantwortung gegenüber den Kundennetzwerken. Der Absender (dessen Namen ich aus Gründen des Persönlichkeitsrechtes entfernte) ist aufgrund seiner Stellenbezeichnung offensichtlich direkt für die Aktion verantwortlich.

Vielleicht sollte ich einmal ein wenig Geld in die Hand nehmen, eine hochwertige Werbebroschüre im Corporate-Design von Microsoft oder Siemens drucken und an ausgewählte OpferKunden aussenden. Mal schauen, wie viele Menschen dann den beiliegenden USB-Stick nutzen um mir den Zugang zu ihren Rechnern und Netzwerken zu ermöglichen.

Nachtrag: Dieser Artikel würde von Fefe verlinkt. Was dies für den Server bedeutet(e) kann man hier nachlesen. Leute, die ihr von Fefe kommt: Ihr brachtet meinen kleinen kuscheligen Server kurzzeitig zum stöhnen.

Nachtrag zwei: Rittal hat nochmal (bemerkenswert) geantwortet. Siehe hier.

Die Bundesregierung offiziell zum Thema Cloud und US-Geheimdienste

Unsere Regierung lässt sich nicht nur von den „Habenden“ vor jeglichen Karren spannen, auch schützt die Bundesregierung NICHT die Interessen der Bundesbürger gegenüber Willkürmaßnahmen ausländischer Regierungen. Über die Webseite von Andrej Hunko bin ich auf das Originaldokument gestoßen.

Eine Anfrage der Linken wurde von der Bundesregierung wie folgt beantwortet (Ausschnitt):

Frage 20: „Welche Rechtsakte der US-Regierung sind der Bundesregierung bekannt, die einen Zugriff durch US-Behörden auf in den USA befindlichen Cloud-Servern gespeicherte Daten von Nutzerinnen und Nutzern aus der Europäischen Union ermöglichen? „Antwort: „Zu Rechtsakten der Regierung der Vereinigten Staaten von Amerika, die einen Zugriff  von US-Behörden auf Daten von Nutzern aus der Europäischen Union erlauben, die  auf in den USA befindlichen „Cloud-Server gespeichert sind, liegen der Bundesregie-rung nur Hinweise aus öffentlich zugänglichen Quellen vor. Zu Inhalt und Auslegung ausländischen Rechts nimmt die Bundesregierung grundsätzlich nicht Stellung. “

Frage 21: „Inwiefern ist der Bundesregierung bekannt, ob der „Patriot Act“ oder der FISA auch Zugriffe von US-Behörden außerhalb der USA erlaubt, wie es niederländische Wissenschaftler kürzlich in einer Studie beschrieben hatten („Cloud Computing in Higher Education and Research Institutions and the USA Patriot Act“, 27. November, 2012)? “

Antwort: „Zur extraterritorialen Wirkung des genannten ausländischen Rechts liegen der Bundesregierung keine Erkenntnisse vor. Im Übrigen wird auf die Antwort zu Frage 20 verwiesen. „

Es ist ALLGEMEIN bekannt (oder sollte es zumindest sein), dass US-Behörden die Möglichkeit haben, auf Server von US-Firmen zuzugreifen – auch wenn diese z.B. in Deutschland stehen. Das Thema ist heiß- sehr heiß, wird aber von unserer Regierung seit mehr als einem Jahr schlicht ignoriert. Ich selbst bin schon seit längerer Zeit hinter dem Thema her, aber war leider genau so erfolglos wie die Linke – siehe hier.

Aber vielleicht genießt es die Bundesregierung ja, auch, dass ihre Behörden mittels „Amtshilfe“ über US-Behörden jederzeit an diverse Daten herankommen können, wofür sie sonst einen Richter bemühen müssten.

#Digiges auf Zensursulas Pfaden?

„Wer ein Datenleck verursacht, muss beweisen, dass es nicht sein Leck war das zu Missbrauch geführt hat“, heißt es in einer Mitteilung. Und da für den Einzelnen der Nachweis kaum möglich sei, dass Betrugsfälle beispielsweise mit gestohlenen Kreditkartendaten aus dem Pool der betroffenen Firma stammen, müssten dann diese Unternehmen nachweisen, dass dies nicht der Fall sei.

Lese ich als eine der Forderungen der „Digitalen Gesellschaft“(Digiges), eine Lobbyvereinigung die – so wie Sie auftritt – vorgibt die Interessen der „Bürger im digitalen Zeitalter“ zu vertreten, aber mit der Ahnungslosigkeit des Ältestenrates des CDU-Kreisverbandes Hintertupfingen auftritt.

Harte Worte, oder? Aber als jemand, der sich seit Jahren mit Daten- und Systemsicherheit auseinander setzt, möchte ich mal die Frage stellen, wie ein Unternehmen denn den Nachweis antreten soll, dass es nicht schuld ist, dass meine Daten bei einem Drittunternehmen missbraucht werden.

Die Verteilung unserer Daten

Wieviele Unternehmen haben z.B. meine Bank/Kreditkartendaten? Bestelldienste im Internet wie Amazon, Ottoversand, Paypal etc.. Wo habe ich mit Kreditkarte bezahlt? Wo mit einem Verrechnungscheck/Überweisung? Es gibt „Unendlich minus 1“ Möglichkeiten, wo meine Bankdaten rumliegen können. Sollen nun all diese Unternehmen erstmal unter Generalverdacht stehen, wenn irgendwo meine Kreditkartendaten auftauchen? Und wie soll ein Unternehmen nachweisen, dass es nicht schuld daran schuld ist, dass meine Daten in fremde Hände gelangt sind?

Der Beweis der Unschuld

Die Blogger-Profis um Beckedahl herum, sollen mir mal beweisen, dass niemand auf dem Server von netzpolitk unberechtigten Zugriff hat. Weder durch Weitergabe von privilegierten Zugriffsdaten, noch durch Softwarefehler, noch durch physikalischen Zugriff auf dem Server. Desweiteren sollen mir die Möchtegernprofis der digitalen Gesellschaft einmal aufzeigen, wie ich nachweise, dass niemand Zugriff hatte:

  • Auswerten der Logdateien? Die werden vom Hacker als erstes gelöscht, das können sogar Klicki-Bunti Rootkits
  • Logdateien auf separat gesicherten Severn? Und wenn die auch gehackt werden?
  • Gar kein externen Zugriff? Dann habe ich (wie meist) das Problem inhouse – obiges bleibt bestehen.

Jeder Nutzer, der von dem SONY-Debakel betroffen ist, könnte sich nun hinstellen und bei etwaigen Unstimmigkeiten der Kreditkartenabrechnung SONY in die Pflicht nehmen. Ob die Daten durch die Lücke bei SONY den Weg in die Freiheit genommen haben, oder bei dem Internethändler „Billig und Geil“ in Palermo, bei dem ich vor 2 Monaten per Kreditkarte zahlte, oder der Keylogger oder oder oder. Laut der Forderung der Digitalen Gesellschaft muss SONY nachweisen, dass der Betrüger die Daten nicht aus deren Datenbestand hat. Wie soll das funktionieren?

Nachwort

In meinen Augen haben sich die Leute der Digitalen Gesellschaft mit dieser Forderung auf das Niveau einer Frau von der Leyen begeben: Forderungen stellen ohne sich vorher eingehend mit der Materie auseinander gesetzt zu haben, mal mit einem gesprochen zu haben, der etwas davon versteht(SCNR).

Abgesehen von dem – in meinen Augen – Blödsinn, den die Digiges hier verzapft, gibt es natürlich Handlungsbedarf in Sachen Datenschutz und Datensicherheit. Allerdings muss man hier sehr genau darauf achten was man fordert und welche Lösungen man vorschlägt, da man sich sonst schnell in Abseits manövriert.