Weitergehen! Hier gibts nichts zu sehen…

…könnte man meinen, wenn man die Verlautbarungen unseres stadteigenen Telekommunikationsunternehmen zu den Snowden-Dokumenten so hört und wieso muss eigentlich immer sofort beschwichtigt, verharmlost und beruhigt werden?

Auf der anderen Seite bin ich mir sicher, NetCologne hat in den vergangenen Tagen umfangreiche Prüfungen durchgeführt die vermutlich zu keinen Ergebnissen geführt haben. Sollte uns das wirklich wundern? (Geheim) Dienste im In- und Ausland verfügen über ein subtiles und umfangreiches Arsenal an technischen und personellen Möglichkeiten weit jenseits aller kriminellen Hacker.

Genau das aber sollte uns und NetCologne eben nicht vollmundig dazu verführen davon zu sprechen, dass keinerlei Sicherheitsverletzung stattgefunden habe. Gerade das Beispiel der in den gleichen Dokumenten aufgeführten Stellar GmbH aus Hürth sollte zur Vorsicht mahnen und nicht zu einem selbstgefälligen weiter so.

Die komplette Pressemitteilungen incl. unserer Anfrage an die Stadtverwaltung:

Piratengruppe im Rat thematisiert Online-Einbruch beim Kölner Internetprovider NetCologne und in die städtische Kommunikationsstruktur

Laut Presseberichten haben sich Geheimdienste illegal Zugang zu den Netzen von mehreren deutschen Internetprovidern verschafft. Von den in den Berichten genannten fünf Unternehmen befinden sich mit NetCologne und Stellar GmbH zwei im Großraum Köln. Brisant daran ist, dass NetCologne der zentrale Dienstleister für die Kommunikationssysteme der Stadtverwaltung Köln, der Sparkasse Köln-Bonn, der Koelnmesse, einer Vielzahl an Privat- und Geschäftskunden im Großraum Köln, der Wohnungswirtschaft sowie der Kölner Polizei ist.

Es muss jetzt davon ausgegangen werden, dass sämtlicher Datenverkehr der Stadt Köln mitgeschnitten und abgehört werden kann. Das Unternehmen Stellar GmbH aus Hürth hat inzwischen die Offenlegung von Daten, Passwörtern und persönlichen Zugängen von Mitarbeitern bestätigt, nachdem es mit den Snowden-Dokumenten konfrontiert wurde.[1]

In diesem Zusammenhang verwundern die beschwichtigen Aussagen des Pressesprechers von NetCologne, der gegenüber dem Kölner Stadt-Anzeiger wie folgt zitiert wird: „Wir haben alles analysiert und rein gar nichts gefunden – weder verdächtige Vorrichtungen noch entsprechenden Datenverkehr.“[2]

Thomas Hegenbarth, Sprecher der Ratsgruppe: „Beschwichtigung und vorschnelle Beurteilungen sind zum jetzigen Zeitpunkt die falsche Reaktion. Nur weil man es dem Sicherheitschlüssel nicht ansieht, dass er kopiert wurde, heißt das nicht, dass es keine Kopien gibt. Die geschockten Mitarbeiter der Firma Stellar zeigen dies sehr eindrucksvoll. [1] Die Sicherheit der Kommunikation, der Schutz vor Wirtschaftsspionage und das Vertrauen von Bürgerinnen und Bürgern und Unternehmen in den Datenverkehr mit der Kölner Verwaltung, der Polizeibehörde, dem Jobcenter u.a. muss wiederhergestellt werden.“

Die Piratengruppe hat dazu einen Fragenkatalog an die Stadtverwaltung geschickt, der sich mit den illegalen Datenangriff der Geheimdienste auf die kommunale Kommunikationsstrukturen in Köln beschäftigt. In der nächsten Sitzung des zuständigen Ausschusses muss sich die Kölner Stadtverwaltung erklären, was sie zukünftig unternehmen will, um Bürgerinnen und Bürger, Unternehmen und sich selbst zu schützen:

1. Welche Erkenntnisse hat die Stadt zu den aktuellen Vorgängen?

2. Welche Unternehmen mit städtischer Beteiligung oder kommunale Einrichtungen des öffentlichen Rechts nutzen Dienstleistungen von NetCologne?

3. Welche Konsequenzen ziehen diese und die Stadtverwaltung aus den aktuellen Erkenntnissen, und welche Maßnahmen werden geplant, um die Sicherheit der Kommunikations-Infrastruktur und das Vertrauen von Bürgerinnen und Bürgern, Unternehmen usw. in den Datenverkehr mit der Kölner Verwaltung, der Polizeibehörde, dem Jobcenter u.a. wiederherzustellen?

4. Welche weiteren Stellen und Behörden werden nun eingeschaltet, wenn z.B. das zentrale städtische Verwaltungsnetz/CAN gegen unberechtigte externe Zugriffe nicht geschützt ist, da es mutmaßliche Schnittstellen bei NetCologne gibt?

5. Wird die Stadtverwaltung Köln rechtliche Schritte gegen den Angriff auf die Kommunikationsstrukturen einleiten? Dazu gehören mögliche Anzeigen wegen Verstoßes gegen § 202a, 202b, 202c StGB (Vorbereitung, Ausspähen und Abfangen von Daten) oder weiterer relevanter Rechtsnormen.

Auch die Piratenfraktion im Landtag NRW ist sofort tätig geworden: Am Donnerstag wird sich der Innenausschuss im Rahmen einer Aktuellen Viertelstunde mit der Untätigkeit der Landesregierung beschäftigen. http://www.piratenfraktion-nrw.de/2014/09/wir-thematisieren-online-einbruch-von-nsa-co-im-landtag-nrw/

[1]
http://www.spiegel.de/netzwelt/netzpolitik/stellar-gchq-hackte-rechnersystem-eines-deutschen-unternehmens-a-991486.html

[2]
http://www.ksta.de/politik/-netcologne-und-die-nsa–kein-verdaechtiger-datenverkehr,15187246,28404376.html

Update 17.9.:

Da sorgt unsere Anfrage doch schon für etwas Wirbel in der Presse: http://www.ksta.de/koeln/ueberwachung-von-netcologne-kunden-koelner-piraten-stellen-anfrage-an-stadt,15187530,28438050.html

Unabhängig neben den oben genannten 5 Fragen an den AVR Ausschuss, gibt es jetzt 6 weitere sehr technische Fragen an die Stadt die ich heute an den Datenschutzbeauftragten der Stadt versendet habe. Danke auch an die im Hintergrund helfenden Spezialisten 😉

1. Gibt ist in der Verwaltung der Stadt Köln ein IT-Migrations-Vorhaben
zu quelloffener Software und Systeme, so wie zu offenen Standards?

2. Wird das Perfect Forward Secrecy (PFS) Verfahren in der Fläche
ausgerollt? Wie hoch ist der Anteil bereits mit PFS ausgestatteter
IT-Systeme? Werden zur Nutzung darüber Statistiken erhoben? Und wird der
Gebrauch von PFS für die Anwender und Bürger gefördert?

3. Werden in dem Firewall-Konzept regelhaft Policies für
Reputations-Systeme gepfleegt? Sind diese Policies anwenderfreundlich
gestaltet? In welchem Intervall wird das Reputationssystem aktualisiert?

4. Welche Kriterien greifen, wenn Mails an die Stadt mit der Meldung
„Local Policy Violation“ abgelehnt werden? Wird erfasst wie viele Mails
zu unrecht abgelehnt werden?

5. Wann werden x509-Zertifikate korrumpierter Aussteller ausgepflegt?

6. Werden Datenträger wie Speicherfelder, RAID- und Backup-Systeme
verschlüsselt? Welche kryptographische Verfahren werden verwendet? Ist
die dafür eingesetzte Software BSI-zertifiziert?

Advertisements

2 Gedanken zu “Weitergehen! Hier gibts nichts zu sehen…

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s