Liebe Leserinnen und Leser,

wie jedes Jahr trafen sich Hackerinnen und Hacker auf dem 38sten Chaos Commpunicationer Congress (38C3), um sich auszutauschen und spannende Themen zu besprechen, die es manchmal auch in die Publikumsmedien schaffen. Unser heutiges Top-Thema handelt vom Datenreichtum der Bewegungsdaten von (E-)Autos der Firma VW. Und auch die elektronische Patientenakte (ePA) wird mal wieder auseinandergenommen. Es lohnt sich wie immer ein Blick in die Mediathek.

In den weiteren News beschäftigen wir uns diesen Monat mit Themen aus dem Mobilbereich. Die kleinen Taschencomputer haben wir immer dabei, aber sind uns die Sicherheitsrisiken auch bewusst? 

Alle News dieser Ausgabe:

• Freigiebiger Datenreichtum bei VW
• Die elektronische Patientenakte (ePA): nicht so sicher
• HiSolutions-Podcast
• Wie funktioniert eigentlich Malware auf Handys?
• NSO vs. WhatsApp
• Windows-BitLocker-Probleme
• Wahlsoftware 2.0

Wie immer wünschen wir viel Spaß beim Stöbern und einen guten Start ins neue Jahr!

Mit besten Grüßen
Holger von Rhein & Abraham Söyler

Freigiebiger Datenreichtum bei VW

Die Frage der Datenhoheit, die sich aus der Erfassung und Nutzung von Daten durch Fahrzeuge ergibt, ist Gegenstand kontroverser Diskussionen. Fahrzeughersteller vertreten die Auffassung, dass diese Daten als ihr Eigentum zu betrachten sind, während Halter von Fahrzeugen der Meinung sind, dass es sich um personenbezogene Daten handelt, was die Anwendung der DSGVO impliziert.

Der ADAC hat bereits 2016 festgestellt, dass sich aus Daten der Autosensoren und der Bewegungsdaten Rückschlüsse auf das Nutzungsprofil ziehen lassen. Im Januar 2024 wies der ADAC erneut darauf hin, dass unsere Autos mittlerweile sehr viele Daten sammeln.

Das ungewollte Offenlegen der Bewegungsdaten von Elektrofahrzeugen des Volkswagen-Konzerns kann als eine natürliche „Fruchtfolge“ von Erhebung, Verwendung und Datenpanne betrachtet werden.

Wie bereits von den Vortragenden auf dem 38C3 treffend angemerkt, lag der eigentliche Fehler darin begründet, dass die Daten überhaupt erhoben wurden.

Doch was ist passiert? Die VW-Tochter Cariad, die für die Entwicklung der betroffenen Software des Autokonzerns verantwortlich ist, betreibt eine Spring-basierte Webanwendung, die aus dem Internet erreichbar ist. Über diese Webanwendung waren mehrere API-Endpunkte ohne Passwortschutz erreichbar. Darunter auch der Spring Boot Actuator mit seinem Endpunkt Heapdump.

Ein Heapdump ist eine Momentaufnahme des Speichers (Heap) einer laufenden Java-Anwendung. Er enthält Informationen über alle Objekte, die sich zu einem bestimmten Zeitpunkt im Speicher befinden, einschließlich ihrer Referenzen untereinander.

Heapdumps werden häufig zur Analyse von Speicherproblemen wie OutOfMemoryError verwendet. (baeldung.com)

Es können aber auch gespeicherte Geheimnisse wie z. B. (API-)Schlüssel enthalten sein, welche sich mit einfachen Analysewerkzeugen extrahieren lassen. Genau dies war bei VW der Fall. Mit diesen Geheimnissen konnte dann auf einen eigentlich zugriffsgeschützten Cloud-Speicher zugegriffen werden. Und auf diesem befand sich eine sehr umfangreiche Datensammlung.

Da VW die Positionsdaten mit einer höheren Genauigkeit speicherte (10 cm) als in den AGB vorgesehen (diese spricht von „gekürzten GPS-Daten“), waren sehr genaue Auswertungen der Fahrzeughalter möglich. Böswillige Organisationen hätten mit diesen Daten den Aufenthaltsort und ggf. das Verhalten u. a. auch von Mitarbeitern sicherheitsrelevanter Behörden ermitteln können – wo geht wer zu welchen Sportaktivitäten, welcher Arzt wird wann aufgesucht, wo wird einkauft, ...

Fazit: Daten, die nicht erhoben werden, können auch nicht ungewollt offengelegt werden. Datensparsamkeit darf keine leere Phrase sein.

https://spiegel.de/netzwelt/web/volkswagen-konzern-datenleck-wir-wissen-wo-dein-auto-steht-a-e12d33d0-97bc-493c-96d1-aa5892861027

https://heise.de/news/In-der-Cloud-abgelegt-Terabyte-an-Bewegungsdaten-von-VW-Elektroautos-gefunden-10220623.html

https://vinqo.de/vw-datenskandal-betroffene-schliessen-sich-fur-mogliche-sammelklage-zusammen/

Elektronische Patientenakte (ePA): nicht so sicher

Die elektronische Patientenakte (ePA) soll Anfang 2025 in Deutschland flächendeckend eingeführt werden. Damit erhalten alle gesetzlich Versicherten automatisch eine ePA, sofern sie nicht widersprechen.

Martin Tschirsich und Bianca Kastl zeigten auf dem 38C3 jedoch auf, dass u. a. durch Fehlverhalten von Versicherern und/oder Ärzten bzw. deren Mitarbeitenden unberechtigte Dritte vollen Zugriff auf die Patientenakten einzelner Versicherter erhalten können. Dazu gehörten der Weiterverkauf von Konnektoren/Lesegeräten mit noch gestecktem elektronischen Heilberufsausweis (eHBA) oder Institutionsausweis (SMC-B) sowie der Versand eines eHBA durch Dienstleister oder einer eGK durch Versicherungen an eine fremde Adresse. (media.ccc.de)

Solange solche Angriffsvektoren nicht ausreichend adressiert werden, werden die Stimmen, die vor einer Einführung warnen, laut bleiben.

https://aerzteblatt.de/nachrichten/156770/Aerzte-sorgen-sich-um-Datenschutz-bei-elektronischer-Patientenakte

https://bvkj.de/politik-und-presse/pressemitteilung/schwachstellen-in-der-epa-bvkj-fordert-datensicherheit-fuer-kinder-und-jugendliche/

https://heise.de/news/Kurz-vor-Start-Immer-mehr-Experten-warnen-vor-elektronischer-Patientenakte-10235091.html

HiWay – Wegweiser für Digitalisierung und Sicherheit

Kennen Sie schon HiWay, den neuen Podcast von HiSolutions? Unsere Experten beantworten drei Fragen in zehn Minuten mit aktuellen Insights aus den Bereichen Digitalisierung und IT-Sicherheit – alle 14 Tage mit einem neuen Themenspecial.

In der ersten Folge „Honeymoon is over – Sicherheit im Wandel: Trump, die Ampel und Deutschlands Zukunft“ bewertet Gründer und Vorstand Timo Kob von HiSolutions die aktuellen politischen Rahmenbedingungen und deren Auswirkungen auf die IT-Sicherheit.

Jetzt überall, wo es Podcasts gibt. Reinhören lohnt sich!

YouTube: https://www.youtube.com/watch?v=ahwvSKqrFYI

Spotify: https://open.spotify.com/show/6FwPurxOj5ND2H7UcVizA4

Wie funktioniert eigentlich Malware auf Handys?

Dass einige Staaten unliebsame Journalisten und Oppositionelle über Mobilgeräte überwachen, ist mittlerweile keine große Neuigkeit mehr. Oftmals wird die israelische Firma Cellebrite in dem Kontext genannt. Wie genau dieser Prozess abläuft, wird von Amnestys SecurityLab [1] am Beispiel NoviSpy beschrieben. Neben den technischen Details, die natürlich für die IT-Security Community spannend sind, ist insbesondere die Art der initialen Kompromittierung fundamental für die Entwicklung des eigenen Threat Models.

Werden Mobilgeräte (oder überhaupt technische Geräte) durch einen Dritten in einen anderen Raum geschafft, beispielsweise bei einer Grenzkontrolle, so kann man davon ausgehen, dass diese Geräte möglicherweise kompromittiert sind. Erst nach ausreichender Untersuchung sollten solche Geräte wiederverwendet werden. Warum diese Untersuchungen nicht durch Hersteller wie Apple angeboten werden, kann man auf techcrunch [2] nachlesen.

Bei IT-Sicherheit wird oft als Erstes an Windows-Clients, Firewalls und Ransomware gedacht. Aber unsere kleinen Taschencomputer haben einen oft unterschätzten Anteil an unserem täglichen Leben, sei es privat oder bei der Arbeit. Auch dort sollte das Thema Sicherheit bedacht werden.

[1] https://securitylab.amnesty.org/latest/2024/12/serbia-a-digital-prison-spyware-and-cellebrite-used-on-journalists-and-activists/

[2] https://techcrunch.com/2024/12/20/why-apple-sends-spyware-victims-to-this-nonprofit-security-l

NSO vs. Whatsapp

Ein anderer großer Player im mobilen Spyware-Markt ist NSO Group Technologies mit ihrer Software Pegasus. Nachdem die Firma 2019 von WhatsApp bzw. Meta verklagt wurde, gab das Gericht nun der Klage statt [1]. Auch wenn die Schadenssumme noch ausgehandelt wird, wird dies in der Branche als ein großer Schlag gegen Firmen wie NSO gedeutet. Einerseits stellte NSO ihre Malware unzureichend zur Verfügung. Andererseits wurde NSO auf Basis des Computer Fraud and Abuse Act (CFAA) und des California Comprehensive Computer Data Access and Fraud Act (CDAFA) verurteilt. Die Übertragbarkeit auf andere Rechtssysteme ist daher nicht zwingend gegeben.

Das Thema ist und bleibt spannend – insbesondere im Kontext der US-Sanktionen gegen die NSO Group [2].

[1] https://storage.courtlistener.com/recap/gov.uscourts.cand.350613/gov.uscourts.cand.350613.494.0.pdf

[2] https://www.commerce.gov/news/press-releases/2021/11/commerce-adds-nso-group-and-other-foreign-companies-entity-list

Windows-BitLocker-Probleme

BitLocker ist die Microsoft-Implementierung der Verschlüsselung des gesamten Datenträgers. Es bietet mehrere Betriebsmodi, wobei die Secure-Boot-basierte Verschlüsselung am weitesten verbreitet ist. Diese ist bei neueren Windows-11-Installationen standardmäßig unter „Geräteverschlüsselung“ aktiviert. In diesem Modus ist die Festplatte im Ruhezustand verschlüsselt, wird aber automatisch entschlüsselt, wenn ein legitimes Windows gestartet wird. Der Benutzer muss sich lediglich mit seinem normalen Benutzerkonto anmelden. Die wenig bekannte Schwachstelle Bitpixie (CVE-2023-21563), die Microsoft seit 2022 nicht mehr gepatcht hat, kann ausgenutzt werden, um die BitLocker-Verschlüsselung auf einem brandneuen Windows-11-System mit Secure Boot durch einen Downgrade-Angriff zu umgehen.

https://media.ccc.de/v/38c3-windows-bitlocker-screwed-without-a-screwdriver

Wahlsoftware 2.0

In einem Vortrag auf dem 38C3 zeigten Linus Neumann und Thorsten Schröder, dass auch in der nächsten Runde der Wahlsoftware die Sicherheit immer noch nicht verstanden wird. Hier kann man nur froh sein, dass diese Software nur für die Übermittlung des vorläufigen Wahlergebnisses verwendet wird und nicht für das endgültige Wahlergebnis von Bedeutung ist.

https://media.ccc.de/v/38c3-der-thring-test-fr-wahlsoftware