Cui Bono Sicherheitslücken?

Volker: Moin Moin und willkommen in die Sicherheitslücke. Es begrüßen euch Volker Skwarek.

Ingo: Monina Schwarz und Ingo Timm.

Volker: Wir zeichnen heute am 18.02.2025 die dritte Episode auf mit dem Titel Cool Bono, wem nutzt es?

Volker: Und interessanterweise habe ich da einen ganz netten Aufhänger,

Volker: nämlich von CrowdStrike aus diesem Global Threat Report, die herausgefunden haben,

Volker: dass der kürzeste Angriff, den sie aufgezeichnet haben, ca.

Volker: 31 Sekunden gedauert hat, bei dem Cyberkriminelle ein System zumindest mit einer

Volker: schadhaften Datei infiziert haben.

Monina: Ja, prinzipiell, so ein Angriff kann schon, wenn der vollautomatisiert abläuft,

Monina: das braucht ja nicht lang.

Monina: Schöne Sicherheitslücke, draufwerfen, was man da draufwerfen möchte.

Monina: Und wenn alles gut geht, man hat ja viele Versuche, wenn im Zweifelsfall bei

Monina: einer neuen Sicherheitslücke viele Systeme verwundbar sind, braucht man ja nur

Monina: eins, bei dem es erstmal schön trifft.

Ingo: Könnt ihr vielleicht nochmal kurz erklären, was CrowdStrike ist?

Volker: Achso, CrowdStrike ist eine Security-Firma. Das heißt,

Volker: das ist schlicht und einfach eine, die kommerzielle Dienste zur Überwachung

Volker: von Infrastruktursystemen, irgendwie Red Team Support, alles mögliche anbietet.

Volker: Also ist eine Firma, die kannst du buchen und dir dafür Infrastrukturdienste

Volker: mieten zur Erhöhung deiner Sicherheit.

Ingo: Und dann hast du dieses Red Team Support gleich noch angeführt.

Ingo: Das ist nun so ein Begriff, der auch nicht gerade alltäglich ist.

Ingo: Ich kann mir da noch nicht gerade was vor vorstellen.

Volker: Ja, Red Team macht den Gegenangriff.

Monina: Nee, also ich kenne das tatsächlich als beides. Also sowohl während der Angriff

Monina: noch läuft, die Triage quasi machen, zu schauen, was ist gerade los,

Monina: kann man noch was retten, kann

Monina: man hier Zugriffe entziehen von einem Angreifer, der gerade im Netz ist.

Monina: Als auch dann natürlich im Nachhinein gucken, was ist passiert,

Monina: was sind für Daten abgeflossen. Also beides tatsächlich.

Monina: Also alles, was auf der Verteidigungsseite ist, hätte ich als Blutteam definiert oder so gesehen.

Monina: Und was Angreifer wäre. Also zum Beispiel bei einem Pentest auf eine Firma,

Monina: die schauen, wo die Angriffsvektoren sind, das wäre für mich ein Red Team.

Volker: Okay, ich gebe dir recht.

Volker: Passiert selten, aber ich muss dir ausnahmsweise leider eingestehen, recht.

Monina: Ich spreche es mir im Kalender an.

Volker: Okay, aber trotzdem waren wir jetzt bei dem Stichwort Cyberkriminelle.

Volker: Heute ist ja die Frage, wem nutzt es und was tun wir gegen die Leute, denen es nutzt.

Volker: Und eine große Gruppe der Angreifer sind Cyberkriminelle und,

Volker: Die Grunddefinition eines Cyberkriminellen ist, dass es dort,

Volker: wie in einem Unternehmen, quasi einen Return on Invest, einen wirtschaftlichen

Volker: Nutzen geben muss, dass der Ertrag größer ist als der Aufwand finanziell.

Volker: Und ich glaube, das ist Ingo Spezialthema. Da kommt das Wort Wirtschaft drin

Volker: vor und er ist der Wirtschaftsinformatikprofessor. Ingo, dein Turn.

Ingo: Ja, vielen Dank. Naja, das ist immer die Frage, also warum begehe ich den Aufwand

Ingo: oder warum nehme ich den Aufwand auf mich, etwas,

Ingo: Böses zu tun oder Sicherheitslücken auszunutzen, darum geht es ja auch in unserer

Ingo: heutigen Folge und das hat natürlich was damit zu tun, dass man damit ein Geschäft

Ingo: erzielen kann, das heißt also,

Ingo: es geht ganz häufig auch um Reproduktion, also das ist eine der wesentlichen

Ingo: Fragen für Geschäfte, dass man eben etwas immer wieder anwendet,

Ingo: ähnliche Verfahren anwendet, immer wieder versucht, in ähnlicher vielen Dank.

Ingo: Formenangriff durchzuführen, also idealerweise, wenn eine Sicherheitsducke in

Ingo: einer Software besteht, die man dann an ganz vielen unterschiedlichen Stellen

Ingo: ausnutzen kann, bei unterschiedlichen Unternehmen ausnutzen kann,

Ingo: und dann in dennoch reinzugehen.

Ingo: Was bei den Cyberkriminellen, was man noch abgrenzen könnte,

Ingo: da wäre der Fall der organisierten Kriminalität, die teilweise ihre Fähigkeiten zum Hacken anbietet,

Ingo: also das so nannte Crime as a Service, dass man eben eine bestimmte Dienstleistung,

Ingo: Ransomware-Attacke auf eine bestimmte Einrichtung oder dass man etwas buchen

Ingo: kann und die dann eben für einen tätig werden.

Ingo: Und das natürlich für einen bestimmten Anteil an dem gesamten Lösegeld,

Ingo: was erpresst wird oder eben auch zur Überstellung von Daten,

Ingo: die dabei abfließen oder so etwas.

Volker: Ja, da würde ich tatsächlich nochmal reingehen, weil Cyberkriminelle,

Volker: also ist ja zunächst erstmal Leute, die mit einem eigenen Vorteil eine Straftat begehen im Netz.

Volker: Und hier ist die Definition, die Unterscheidung, die ich so kenne,

Volker: zwischen Cyberterroristen und dann der organisierten Kriminalität. Die beiden.

Volker: Also die organisierte Kriminalität hat den Wirtschaftsnutzen,

Volker: während die Cyberterroristen den politischen, wir sind mächtiger,

Volker: wir können euer System außer Kraft setzen.

Volker: Aber tatsächlich, das ist so eben der Terror, diese Angst, die sie verbreiten und mehr nicht.

Ingo: Das ist ein bisschen eine Frage, wie man das jetzt genau einstuft.

Ingo: Also man kann jetzt sagen, wir unterscheiden nach Klassen innerhalb der Kriminellen oder wir sagen,

Ingo: Kriminelle und organisierte Kriminalität, die haben einen bestimmten Blick darauf,

Ingo: die wollen eigentlich nicht im Sinne eines katastrophalen Eindringens alles

Ingo: zerstören, was sie finden, sondern möglichst einen wirtschaftlichen Nutzen dabei

Ingo: erzielen, also ein Lösegeld erpressen beispielsweise.

Ingo: Und auf der anderen Seite, der Terrorismus ist eher destruktiv.

Ingo: Also das wäre so für mich der Grund, warum ich Terrorismus separat klassifizieren würde.

Ingo: Aber das ist legitim, das untereinander zu fassen. Also auch die Terroristen

Ingo: verhalten sich ja kriminell, also auch gegen geltendes Recht.

Ingo: Aber eben mit dem Unterschied, dass ein Terrorist nicht mehr zwingend eine Zurückkehr

Ingo: zum normalen Betrieb mit einplant.

Ingo: Was viele Kriminer natürlich auch nicht tun.

Ingo: Aber es gibt ja auch einige Lösegeldzahlungen, nach denen die Daten anschließend

Ingo: wieder freigegeben werden.

Ingo: Auch wenn das nicht der Standard ist und nicht immer erfolgt.

Monina: Dann fehlt eigentlich noch so ein bisschen die dritte Klasse,

Monina: oder? Oder die dritte Klasse von Angreifern, die rein unbeobachtet bleiben wollen

Monina: und eigentlich nur Daten ausleiten, ohne dass sie dabei irgendwie Schaden verursachen

Monina: wollen oder entdeckt werden wollen.

Volker: Welche würdest du da sehen? Also hast du da ein Beispiel?

Monina: Ganz klassisch wird das benannt, glaube ich, als quasi Spionage,

Monina: also im Sinne von großen Staaten oder staatlichen Akteuren, die Firmen ausspionieren

Monina: oder Unternehmen ausspionieren.

Volker: Okay, also das ist die staatlichen Akteure an der Stelle.

Volker: Da kann man ja tatsächlich sogar unterscheiden zwischen den Kriminellen,

Volker: also die wirklich im Rahmen von Gesetzen Straftaten begehen und denjenigen,

Volker: naja, ich sag mal die staatlichen Akteure, aus Sicht ihres Territoriums,

Volker: auf dem sie die Straftaten begehen, sind sie vielleicht gar keine Straftaten,

Volker: sondern legitime Handlungen gegen andere Nationen, weil sie staatlich legitimiert sind.

Monina: Spielst du da auf Malware an, die nicht zur Aktivierung kommt,

Monina: wenn das Keyboard-Layout eine gewisse Sprache hat?

Volker: Nee, ich meine jetzt tatsächlich, ich sage mal, Straftaten ja nur dann Straftaten

Volker: sind, wenn sie einem Straftatbestand folgen.

Volker: Das ist einfach so per Definition.

Volker: Während staatliche Akteure hingegen ja möglicherweise straffreigestellt sind,

Volker: also von ihren Auftraggebern,

Volker: weil sie im Rahmen eines Präsidenten, einer Regierung oder sowas handeln?

Ingo: Ja, also das ist eine interessante Klassifizierung. Also wir haben jetzt unterschiedliche

Ingo: Betrachtungsperspektiven.

Ingo: Also einmal die Sichtweise von den Akteuren, die aus einem bestimmten Land heraus

Ingo: oder aus einer bestimmten Organisation heraus handeln und damit den Gesetzen

Ingo: des Landes oder der Organisation natürlich unterliegen.

Ingo: Also sagen wir mal ausländische Akteure, die ihrem spezifischen Landesrecht unterliegen.

Ingo: Die dringen aber dann auf Computer ein, die einem anderen Land,

Ingo: beispielsweise unserem Landesrecht, unterliegen und sind im Sinne von unserem

Ingo: Landesrecht aber trotzdem kriminelle Akteure.

Ingo: Und das ist dann eine Klassifizierung quasi aus der Täter- oder Opferperspektive

Ingo: für diese Frage, inwieweit man sich legitim oder illegitim natürlich verhält.

Ingo: Andersrum ist es natürlich zumindest nicht schön, wenn man bei Freunden ausspioniert.

Ingo: Das haben wir ja auch in der Politik mal gehört, dass Ausspielen unter Freunden

Ingo: beispielsweise gar nicht geht.

Ingo: Ein Zitat von einer Bundeskanzlerin, die vor kurzem noch vor ein paar Jahren mal hier gewirkt hat.

Ingo: Und das ist ein Thema, das man vielleicht auch ein bisschen betrachten sollte.

Ingo: Ich würde noch ganz gerne zu der Spionage einen zweiten Aspekt hinzugeben.

Ingo: Neben der Spionage, was sich ja eher an staatliche Akteure und an das Ausspionieren

Ingo: üblicherweise von staatlichen Strukturen, von Befehlsketten,

Ingo: von Lagerbeständen oder von bestimmten Informationen im staatlichen Raum bewegt,

Ingo: gibt es auch noch den sogenannten Geheimschutzbereich, also den Bereich,

Ingo: in dem Unternehmen versuchen, Konkurrenzunternehmen auszuspionieren,

Ingo: um beispielsweise an aktuelle Entwicklungen oder Erfindungen zu kommen und damit

Ingo: eben den Innovationsvorteil oder sowas zu verkürzen.

Ingo: Und das wäre dann ein nichtstaatlicher Akteur, der möglicherweise trotzdem außerhalb

Ingo: des eigenen Landes operiert und auf Daten von nichtstaatlichen Akteuren zugreift,

Ingo: also von Unternehmen zugreift, aber nicht versucht, etwas im Land zu,

Ingo: also dabei schon versucht, dabei trotzdem unerkannt zu bleiben,

Ingo: wie wir es eben auch bei den Spionagefällen gehabt hatten.

Volker: Aber da jetzt nochmal die Frage, aus welcher Sicht siehst du das?

Volker: Siehst du das aus der Sicht, also wenn wir jetzt von Straftaten oder von illegitimen

Volker: Handlungen reden, redest du das aus Sicht der angegriffenen Legislative?

Volker: Also Staat X greift ein Unternehmen in Deutschland an oder siehst du das aus

Volker: der Perspektive, eine Deutsche greift jemanden in, keine Ahnung, Taiwan an?

Volker: Was ist jetzt so deine Perspektive da drauf?

Ingo: Meine Perspektive ist ja häufig die öffentliche Sicherheit, also die Frage,

Ingo: inwieweit wird unser öffentlicher Raum in Deutschland durch IT,

Ingo: durch Cyberkriminalität oder eben auch durch staatliches Handeln und auch internationaler

Ingo: Staaten in Deutschland oder auch internationale Akteure in Deutschland gefährdet.

Ingo: Und aus der Gefährdungssicht, also aus der Perspektive, wo entstehende Risiken,

Ingo: sehe ich das Risiko, dass fremde Akteure aus dem Ausland oder auch aus dem Inland

Ingo: entweder auf Unternehmensdaten zugreifen, die sie nicht bekommen sollen,

Ingo: weil eben damit bestimmte Innovationsvorteile im Unternehmen verbunden sind,

Ingo: also eine bestimmte Produktionsweise, die besonders innovativ ist.

Ingo: Also das Coca-Cola-Rezept, das keiner kennt und das keiner genau nachkochen soll.

Ingo: Oder eben auf der anderen Seite das invasive Eindringen mit eben dem Versuch,

Ingo: auch innerhalb des Unternehmens Schaden zu verursachen und damit Geld zu erpressen.

Ingo: Also das sind im Prinzip alles so verschiedene Möglichkeiten,

Ingo: wie unser Wirtschaftssystem oder auch unser Regierungs- und Verwaltungssystem

Ingo: gefährdet wird von außen.

Monina: Hier bringen wir aber nochmal ein bisschen mehr Komplexität rein,

Monina: weil wir nicht nur den Fall haben, oft bei Firmen besonders,

Monina: dass das in einem Land stattfindet, sondern Firmen haben ja dann oft noch irgendwie

Monina: Partnerfirmen, Zuarbeiterfirmen,

Monina: also irgendwie Zulieferer und sind verteilt dann vielleicht auch selber noch

Monina: mit mehreren Sitzen über mehrere Länder und schon sind wir da in einem gerade

Monina: rechtlich ganz verteilten Szenario.

Volker: Ja, das Juristische würde ich tatsächlich auch ein bisschen ausklammern.

Volker: Da habe ich auch noch so einen Aspekt, den ich da gerne reinbringen würde.

Volker: Aber erstmal, um das für unsere Zuhörer und Zuhörerinnen zu sortieren.

Volker: Wir reden jetzt also einerseits von...

Volker: Angriffen durch Straftaten aus unserer nationalen deutschen Brille.

Volker: Diese Straftaten können wir dann unterscheiden in, möchten sie einfach nur die

Volker: gesellschaftliche Überlegenheit ihres Systems darstellen, dann würden wir es

Volker: als Cyberterroristen bezeichnen.

Volker: Denen ist erstmal ein wirtschaftlicher Ertrag egal und wir haben die Cyberkriminellen,

Volker: die eigentlich darauf aus sind, wirtschaftlichen Schaden anzubrichten.

Volker: Also wenn wir die erstmal auseinander trennen, weil das hat nachher mit Abwehrmaßnahmen

Volker: nämlich ganz erhebliche Konsequenzen. Denn diese klassische organisierte Kriminalität,

Volker: den kann ich einfach nur schwer machen.

Volker: Sobald sich das Geschäft nicht mehr lohnt, ist egal.

Volker: Also dann lassen sie es wahrscheinlich.

Volker: Deswegen soll man ja zum Beispiel Ransomware, wenn der Rechner verschlüsselt

Volker: wurde, auch nicht bezahlen, weil den Aufwand hatten die und der Rechner ist

Volker: eh hin. Ob man den jemals entschlüsselt kriegt, ist im Bereich des Zufalls, des Glücks.

Volker: Und wenn die das 10, 20 Mal machen und immer ihre Infrastrukturkosten zahlen

Volker: mussten und auch Anteile, Gehälter, Provisionen zahlen mussten,

Volker: aber die Einnahmen kriegen, dann lassen sie es irgendwann.

Volker: So ist ja das Konzept dahinter. Während bei Cyberterroristen ist es so,

Volker: ich möchte es keine Länder nennen, um jetzt nicht irgendwie hier politische

Volker: Ambitionen da irgendwo zu zeigen.

Volker: Aber wenn das jetzt Staat XYZ ist, der uns angreift, dann steht da Geld hinter.

Volker: Dann steht da im Prinzip, wenn sie wollen, ein ganzer Staatshaushalt hinter,

Volker: nur um die Überlegenheit zu zeigen.

Volker: Und ich glaube, da geht spätestens die Wirtschaftlichkeitsrechnung nicht mehr

Volker: auf, weil du als Unternehmen keinen Staatshaushalt gegenhalten kannst und sagen

Volker: kannst, also da muss man einfach sagen, okay, wenn es passiert, dann passiert es.

Ingo: Wenn wir noch auf den dritten Aspekt nochmal ganz kurz gehen,

Ingo: mit eben der Frage von Geheimschutz und Spionage, also der Frage, wie kann ich im Prinzip,

Ingo: welche Klasse habe ich da noch, Akteure, die zugreifen und nicht entdeckt werden

Ingo: wollen, dann stellt sich ja genauso die Frage, wie man die wiederum abwehren kann.

Ingo: Und da kann es ja sogar passieren, dass sich das vermischt, dass staatliche

Ingo: Akteure ausländischer Staaten Daten abgreifen von Unternehmen und diese an eigene

Ingo: Unternehmen im eigenen Land wieder weiterreichen.

Ingo: Und damit eben der Konkurrenzschutz kommt und der Angriff aber auf den Geheimschutz,

Ingo: auf meine Patente oder so etwas, der Angriff auf meine Geheimnisse von der Produktion

Ingo: eben nicht von einem Unternehmen abgegriffen werden, sondern von einem Staat,

Ingo: also mit einem viel höheren Budget und möglicherweise viel höherer Kompetenz,

Ingo: aber es dennoch eigentlich an einen anderen Akteur weitergeht.

Monina: Wir wollten aber eigentlich mal, ja gar nicht primär über die Angreifer reden,

Monina: sondern einen Schritt zurückgehen zu den Einfallstoren, also zu den Sicherheitslücken,

Monina: über die ein Angreifer vielleicht reinkommt.

Monina: Und klar, dass bei dem WM nützt es, es ist relativ spannend,

Monina: wer die Angreifermodelle oder Angreifertypen sind, die wir haben.

Monina: Aber bleiben wir nochmal bei den Sicherheitslücken. Also Sicherheitslücke per

Monina: Definition erstmal eine Lücke in der Sicherheit irgendwo, die man sich aufgebaut

Monina: hat, setzt irgendwie voraus, dass man überhaupt Sicherheit hat,

Monina: sonst ist eine Lücke auch nicht notwendig.

Monina: Was haben wir denn da für verschiedene Versionen? Wie definiert ihr für euch Sicherheitslücke?

Ingo: Da lässt sich natürlich den Security-Experten den Vertritt. Das sollte vielleicht Volker beantworten.

Volker: Ja, boah, das ist in unserem Podcast die Sicherheitslücke und ich habe da nicht

Volker: mal eine gute Definition für zur Hand.

Volker: Also wenn wir wirklich mal terminologisch vorgehen, gibt es da ja keine richtige

Volker: Definition für, sondern wir haben ja den Schritt von Bedrohung,

Volker: Gefährdung, Verwundbarkeit. Diese drei. Also eine Bedrohung ist abstrakt.

Volker: Also es besteht eine generelle Bedrohung, wenn ich meinen Rechner ans Netz anschließe.

Volker: Gefährdung ist die Möglichkeit eines konkreten Einfallstors,

Volker: also jemand, der eine Bedrohung ausnutzen kann.

Volker: Und der Angriff ist dann das Ausnutzen dieses Einfallstors.

Volker: Also diese drei, wir haben immer diese Triade, da Bedrohung,

Volker: Gefährdung, Angriff oder Verwundbarkeit und der Begriff Sicherheitslücke kommt

Volker: eigentlich nicht drin vor.

Volker: Aber wenn ich diese Kette ausnutzen kann, wenn ich da irgendeine Reihenfolge

Volker: finde, dann habe ich eine Sicherheitslücke.

Ingo: Könnte man nicht sagen, dass Funktionen in einem System, die in nicht beabsichtigter

Ingo: Form genutzt werden können, um mehr Zugriff auf den Computer,

Ingo: auf Daten, aufs Netzwerk zu bekommen, eine Sicherheitslücke sind?

Volker: Auch, klar. Aber auch, selbst wenn ich nur an deine Cookies komme,

Volker: mit denen du bei Amazon deinen Webshop aufgemacht hast, ist das schon eine Sicherheitslücke.

Volker: Und da bringe ich ja nichts auf deinen Rechner, da ziehe ich das ja nur runter.

Volker: Oder nur wenn ich im Netzwerk durch eine legitime Software wie Wireshark quasi

Volker: nur dein Netzwerk-Traffic mitsniffe und dabei dein Login sehe,

Volker: habe ich nicht mal Zugang zu deinem Rechner. Und das ist schon eine Sicherheitslücke.

Volker: Also da gibt es ganz, ganz viele Ebenen, aber man hat halt immer diese Triade,

Volker: da ist generell eine Bedrohung, eine Gefährdung und das Ausnutzen dessen.

Monina: Das heißt prinzipiell ist so eine Sicherheitslücke, grob gesagt,

Monina: der Punkt, an dem die vorgestellte oder existierende Sicherheit,

Monina: die man bei irgendwas erwartet, aufgebrochen wird.

Volker: Ja, oder wir können vielleicht sogar mal gucken in so eine Challenge,

Volker: in so eine Diskussions-Challenge mit unseren Zuhörerinnen und Zuhörern gehen.

Volker: Ich würde jetzt mal einen Schritt weiter gehen und versuchen zu definieren,

Volker: alles das, was gegen die Schutzzieltriade, also CIA, Confidentiality,

Volker: Integrity, Availability, was alles, was gegen die Schutzzieltriade verstößt,

Volker: eine Sicherheitslücke ist.

Ingo: Jetzt davor, dass du schon sehr viel Wissen von den Zuhörern.

Ingo: Ich würde vorschlagen, dass wir vielleicht, also vielleicht kannst du kurz CIA erklären,

Ingo: die wir ja alle eher anders verstehen würden und dann vielleicht gleich nochmal

Ingo: ein Beispiel machen zu dem Thema, was eine Sicherheitsdücke sein könnte.

Ingo: Und Monina hatte da vorhin schon so ein Beispiel, vielleicht kannst du das gleich

Ingo: nochmal aufgreifen im Anschluss.

Volker: Ja, mache ich.

Ingo: Keyboard.

Volker: Also wobei dieses, ich habe es ja im Prinzip schon erklärt, aber ich versuche

Volker: es jetzt nochmal in ein anderes Wort zu fassen.

Volker: Also wir definieren als erstes, bevor wir ein IT-System im Bereich der Cyber Security analysieren,

Volker: da geht es dann in den Bereich des sogenannten Security by Design,

Volker: also wir nehmen uns, wir bringen aktuell oder aktiv Sicherheit in ein System.

Volker: Da müssen wir ja sagen, was ist Sicherheit? Und da gibt es halt ein anerkanntes

Volker: Schema und das nennt man dann Schutzziele, die wir absichern wollen.

Volker: Dieses Schema ist noch ein bisschen filigraner, als ich es jetzt gerade darstelle,

Volker: aber das hat diese drei Buchstaben C für Confidentiality, also Informationen vertrautig lassen,

Volker: I für Integrity, also eine legitime Datenänderung zulassen, in Klammern nur

Volker: die legitimierte Datenänderung zulassen und die Availability,

Volker: die Systemverfügbarkeit, sicherstellen.

Volker: Schön ist, wenn ich immer alles drei schaffe. Im Zweifel muss ich mich aber

Volker: für eins von den dreien entscheiden und dann gibt es noch Subklassen und Subkategorien,

Volker: die wir jetzt hier gar nicht anbringen.

Volker: Das ist diese sogenannte CIA-Triade und hier würde ich jetzt einfach mal so

Volker: mutig den Vorstoß machen, wenn ich diese CIA-Triade verletze in meinen Systemauslegungen,

Volker: dann habe ich eine Sicherheitslücke.

Monina: Das heißt, du beziehst auch Prozesse definitiv mit einen, die sich also auch

Monina: ein Prozess, der schlecht designt ist, kann eine Sicherheitslücke darstellen.

Volker: Ja, also wenn ich ein Vier-Augen-Prinzip zum Beispiel für den Zugriff von elektronischen Personalakten habe und,

Volker: Administratoren, aber alle Dokumente einzeln sehen dürfen, das ist ja ein rein

Volker: prozessuales Ding, wo ich einem Administrator einen bestimmten, also ich habe einen,

Volker: Zulassungsprozess der Rollenzuteilung und ich teile den Administratoren einfach

Volker: die Rolle im System falsch zu, dann habe ich eine Sicherheitslücke.

Volker: Da hat noch keiner irgendwo darauf zugegriffen.

Monina: Ja, Ingo, weil du gerade meintest, ich soll nochmal kurz das Beispiel vorhin

Monina: erläutern, das war schon gezielt mehr auf eine Malware, deswegen,

Monina: das ist nochmal wieder jetzt kurz vorweg gegriffen.

Monina: Das war, was ich meinte, war eine Malware, die aufgehört hat,

Monina: ihr Unfug anzustellen, ihr Unheil anzustellen, wenn das Keyboard-Layout entsprechend

Monina: hergegeben hat, dass eine bestimmte Sprache eingestellt ist.

Monina: Oder dem Hintergrund, dass die keine Leute aus dem eigenen Land angreifen wollten,

Monina: sollten, durften. Darauf wollte ich vorhin kurz hinaus.

Ingo: Okay.

Monina: Ist aber quasi jetzt hier schon wieder zu weit weg.

Volker: Ja, also jetzt haben wir jetzt quasi ein bisschen die Sicherheitslücke definiert.

Volker: Wir haben gesagt, wie kann ich denn gegen Sicherheitslücken vorgehen?

Volker: Jetzt müssen wir aber wieder zurück eigentlich zu diesem Thema,

Volker: wem Dienst ist. Ja, Samba-Kriminelle haben wir gesehen, denen schneiden wir den Geldhahn ab.

Volker: Staatliche Akteure oder insbesondere, Entschuldigung, erstmal die Terroristen,

Volker: die einfach nur Schaden anrichten wollen und Pressewirksamkeit haben wollen,

Volker: da hilft es eigentlich, ihnen keine Bühne zu bieten.

Volker: Also ich werde mich nicht so wirklich gegen wehren können, weil im Zweifel,

Volker: keine Ahnung, kauen sie mit einem großen Vorschlaghammer auf meinen Server drauf.

Volker: Aber ich darf halt keine Pressemeldung rausgeben, Achtung, ABC hat meinen Server

Volker: mit dem Vorschlaghammer zerstört.

Volker: Da macht es denen halt auch keinen Spaß mehr. Und dann haben wir die staatlichen Akteure,

Volker: Die sind ziemlich schwierig zu handhaben, weil man immer gar nicht weiß, was sie wollen.

Ingo: Wir haben übrigens noch legitime Akteure, die auch teilweise gerne Sicherheitsstücken nutzen würden.

Ingo: Das sind möglicherweise Polizeibehörden, die in einer bestimmten Schwere von

Ingo: Verbrechen natürlich auch zur Beweissicherung an Systemen heran müssen.

Ingo: Und ich muss ehrlicherweise sagen, dass das ein Thema ist, was mich nicht mehr

Ingo: loslässt, Weil ich früher ein, lass uns alles verschlüsseln,

Ingo: was geht, lass uns jede Lücke schließen, die wir kennen, Anhänger war.

Ingo: Und ich dann über zwei Jahre in dem Thema über die Frage,

Ingo: wie gefährdet eigentlich die IT-Welt, die KI, auch die öffentliche Sicherheit

Ingo: mit dem ehemaligen Direktor von Europol gesprochen habe, mit dem Jürgen Storbeck.

Ingo: Und der mich davon überzeugt hat, dass in bestimmten Situationen das für eine

Ingo: Polizei wahnsinnig wichtig ist, für Polizeibehörden wahnsinnig wichtig ist,

Ingo: auch an bestimmte Informationen heranzukommen.

Ingo: Und wenn wir alles abschließen, wir damit auch die Verbrechensbekämpfung extrem einschränken.

Ingo: Wie seht ihr denn diesen Aspekt?

Monina: Da machst du eine wahnsinnig kontroverse Diskussion darüber auf,

Monina: beispielsweise alleine über den Punkt Verschlüsselung.

Monina: Also wenn man Verschlüsselung schwach macht, hilft man eigentlich immer zuerst

Monina: allen Angreifern, weil wenn man eine Sicherheitslücke offen ist,

Monina: kann man sich eigentlich sicher sein, dass da Angreifer da sind,

Monina: die sie ausnutzen werden.

Monina: Und das nutzt vermutlich mehr als der einen Polizeianfrage, die kommt.

Ingo: Man könnte ja auch für die Polizei eine Hintertür einbauen, aber das wäre doch

Ingo: auch wieder eine Sicherheitslücke, oder?

Volker: Ja, das ist halt immer Sicherheitslücke. Es gab mal unter Windows 93 oder so,

Volker: gab es einen Registry-Eintrag, der meines Wissens nach nie aufgelöst wurde, der hieß NSA-Key.

Volker: Den gab es da und alle Welt hat sich halt gefragt, was soll dieser Registry-Eintrag NSA-Key.

Volker: Die Vermutung liegt nahe, aber wenn es nicht bestätigt wird….

Christian: Hallo, Christian hier aus der Postproduktion. Volker meint hier natürlich nicht

Christian: die nicht existente Version Windows 93 von Microsoft,

Christian: sondern die Version Windows NT 4.0, in der 1999 tatsächlich die Variable NSA-Key entdeckt wurde.

Christian: NSA hier vermutlich stehend für National Security Agency, den Ausleitsgeheimdienst

Christian: der USA, der uns auch viel später noch im Kontext der Snowden Leaks ein Begriff werden sollte.

Christian: Microsoft hat natürlich sofort bestritten, dass sich hinter dieser Variable

Christian: eine Backdoor für Windows NT 4.0 verstecken würde.

Christian: So richtig aufgeklärt, was hinter der Variable steckt, ist aber nach unserem

Christian: Kenntnisstand auch nicht.

Christian: Es gibt da widersprüchliche Angaben, ein paar Erklärungsversuche.

Christian: Wir setzen euch auch ein paar Links dazu in die Shownotes. Wenn ihr mehr wisst

Christian: als wir, dann schreibt es uns sehr gerne in unsere Kommentare.

Christian: Ihr findet die Möglichkeit, uns zu kommentieren auf sicherheitslücke.fm,

Christian: Lücke mit UE geschrieben oder einfach auf die Episode klicken,

Christian: Kommentar hinterlassen.

Christian: Wir lesen das und wenn wir uns hier arg getäuscht haben sollten,

Christian: bauen wir das auch in eine der kommenden Folgen ein.

Christian: Also lasst es uns gerne wissen, was ihr von dem Ganzen haltet.

Christian: Ich verschwinde erstmal wieder. Viel Spaß weiterhin mit der Folge.

Volker: Und hier, Ingo, ja, jetzt nehme ich einfach tatsächlich mal die Kontraposition

Volker: ein und bitte auch an alle Zuhörerinnen und Zuhörer, es ist jetzt explizit nicht

Volker: meine politische Meinung oder Einstellung, die ich hier äußere,

Volker: sondern es ist tatsächlich einfach eine Gegenposition.

Volker: Denn wir haben jetzt über Cyberkriminelle und Cyberterroristen und staatliche

Volker: Akteure geredet und meinen eigentlich immer die, die von außen kommen.

Volker: Unsere lokalen staatlichen Akteure mit, keine Ahnung, BKA-Gesetz oder Quellen-TKÜ,

Volker: also Telekommunikationsüberwachung, das sind Ermittlungsbehörden, staatliche Akteure.

Volker: Und sie geben allerlei Geld aus, um Tools und Zugänge sich zu verschaffen zu

Volker: Systemen, wo, wenn ich da drauf ginge, es dem Strafgesetz unterliegen würde.

Volker: Also ich würde eine Straftat begehen.

Volker: Das heißt, ich könnte mir vorstellen, dass es auch Leute in unserem Lande gibt,

Volker: die die Ermittlungsbehörden als Cyberkriminelle bezeichnen würden,

Volker: weil sie genau dieselben Tools einsetzen, wie wir es von anderen aus dem Ausland nicht möchten.

Ingo: Das ist eine furchtbar komplizierte Diskussion und ich möchte sie eigentlich

Ingo: nicht aufmachen, weil sie geht ja relativ schnell über in emotionalisierte Themen.

Ingo: Also wir haben das letzte Mal die Diskussion gehabt rund um Apple,

Ingo: die ein automatisches Screening von ihren Fotos gemacht haben und dann dieses an,

Ingo: also wenn da Fotos mit Nacktheit und jungen Menschen aufgetreten ist,

Ingo: die es an Polizeibehörden gemeldet haben.

Ingo: Oder an, ich glaube nicht Polizeibehörden, sondern an Vereine,

Ingo: die sich um eben Vermeidung von entsprechender pornografischer,

Ingo: Verteilung von Informationen kümmern und die sich dann mit dem Polizeibehörden

Ingo: zusammensetzen können.

Ingo: Und das wurde ja dann eingestellt, nachdem es einen sehr lauten Aufschrei dazu

Ingo: gab. Das Problem ist bei der ganzen Geschichte,

Ingo: Wir wollen ja aber auch nicht, dass IT-Geräte eine grenzenlose Kriminalität erlaubt.

Ingo: Und man muss etwas betrachten dabei. Und das fällt mir auch sehr schwer in der Diskussion.

Ingo: Aber das ist eben genauso ein Ergebnis auch dieser Diskussion mit dem Vertreter

Ingo: der Polizei an der Stelle.

Ingo: Das Problem ist, in einem normalen physischen Raum auf einer Straße haben wir Regeln.

Ingo: Und wenn man die Regeln nicht einhält, dann wird uns der Zugang zu diesem System

Ingo: entzogen. Also wir kriegen den Führer schon abgenommen und dürfen nicht mehr fahren.

Ingo: Und im IT-Raum bin ich im Prinzip ohne Regeln unterwegs.

Ingo: Wenn die Polizei jetzt keine Möglichkeiten hat, etwas einzusehen,

Ingo: ist dieser Raum ein bisschen wie der Wilde Westen.

Ingo: Unkontrolliert und unkontrollierbar. Und die Frage ist, ob wir das eigentlich

Ingo: zulassen können als Gesellschaft. Aber vielleicht ist das auch ein Thema für eine eigene Folge.

Ingo: Es schließt für mich ein bisschen die Frage an, wollen wir Systeme haben,

Ingo: die überhaupt gar keine Sicherheitslücken enthalten?

Ingo: Oder nehmen wir bestimmte Sicherheitslücken aus anderen Gründen in Kauf?

Monina: Das ist ein schwieriges Thema, aber du machst es fast zu einfach,

Monina: wenn du die Frage so stellst.

Monina: Weil du musst bedenken, selbst wenn du ein gewisses Maß an Sicherheitslücken

Monina: einbaust, die der Strafverfolgung zu absolut legitimen Zwecken gereicht und diese benutzen können,

Monina: musst du ja immer noch gleichzeitig sicherstellen, dass diese Sicherheitslücken

Monina: auf gar keinen Fall auch von Angreifern ausgenutzt werden können. Und das ist ein...

Monina: Punkt, wo ich sagen würde, du eigentlich nie sicher sein kannst,

Monina: dass, wenn die Sicherheitserklärung existiert, sie nicht auch gleichzeitig von

Monina: allerlei Sorte Angreifern ausgenutzt wird und nicht nur von legitimen,

Monina: in dem Fall Anliegen von Strafverfolgungsbehörden.

Volker: Stimme ich Monina voll zu. Also gebe ich dir absolut recht.

Volker: Denn mein Ziel als Sicherheitsforscher ist es erstmal ein System maximal sicher

Volker: zu machen. Und maximal sicher, hatten wir schon in den letzten Folgen gesagt,

Volker: ist immer ein Trade-off aus Aufwand und Nutzen.

Volker: Das heißt, ich werde nie die absolute 100-prozentige Sicherheit,

Volker: 100,0-prozentige Sicherheit haben.

Volker: Ich werde immer in irgendeiner Art und Weise irgendwelche Abstriche machen.

Volker: Und damit, also einerseits, jetzt gebe ich mal diese Pseudo-Rolle auf und gehe

Volker: mal wieder in meine richtige Rolle.

Volker: Lasse ich IT-Sicherheitsbehörden, weil ich dem Staat als Konzept,

Volker: wie wir es haben, in Gänze vertraue,

Volker: auch mir gegenüber lasse ich diesen IT-Sicherheitsbehörden das Recht,

Volker: weil es ist ausreichend juristisch abgesichert durch Staatsanwaltschaften,

Volker: durch Gerichte, durch Durchsuchungsbeschlüsse, alles, was da irgendwie vorliegen muss.

Volker: Wenn sie dann diesen Voraufwand getrieben haben, um mich zu identifizieren als

Volker: einen potenziellen Straftäter, ja mein Gott, dann haben sie ja alle rechtlichen

Volker: Mittel eingehalten und dann dürfen sie das aus meiner Sicht auch.

Volker: Das heißt aber nicht, dass ich mein System bewusst so gestalte,

Volker: dass sie es dann auch einfach haben, sondern dann haben sie zur Not alle Mittel,

Volker: mit allen möglichen Leuten vor mein Haus zu fahren,

Volker: mit denen meine Tür einzutreten und die Server auch aus meinem Haus zu tragen

Volker: und dann mit aller staatlicher Macht auch kryptografische Brute-Force-Hacking-Algorithmen

Volker: anzuwenden und hoffen, dass sie an meine Daten kommen.

Volker: Ja, genau alle diese Rechte haben sie. Das verpflichtet mich jetzt aber nicht,

Volker: meine Systeme mit einer Hintertür zu versehen, weil genau diese Hintertür ist

Volker: im System und zwar für alle, die sie nutzen wollen.

Volker: Das ist ja auch das, was Monina gesagt hat.

Monina: Da bleibt die Frage, ob dann nicht der Schaden, der entstehen kann,

Monina: dass Leute potenziell diese Schwachstellen auch ausnutzen, zu schadhaften Zwecken,

Monina: einen größeren Schaden letztendlich anrichtet, als dadurch verhindert werden kann.

Monina: Aber ich nehme an, das kann man sehr unterschiedlich sehen.

Volker: Wenn Ingo keinen Einspruch hat, also ich sag mal, wenn du noch Themen hast,

Volker: nennen sie, aber ich würde mich gerne noch auf eine andere Gruppe kommen,

Volker: genau zu sagen zwei Gruppen, die extrem gefährlich sind und da noch eine dritte,

Volker: naja, für später vielleicht noch als Nachtisch.

Ingo: Also ich wollte diesen Gedankengang einbringen. Wir haben darüber gesprochen

Ingo: und wir haben Extrempositionen eingenommen dabei, zum Teil.

Ingo: Und ich denke, dass unsere Zuhörer das jetzt auch ein bisschen abwägen können,

Ingo: was wir damit meinen. Und das ist eben nicht ganz einfach.

Ingo: Es ist nicht schwarz und weiß an der Stelle. Also ich bin einverstanden, dass wir weitergehen.

Volker: Ja, und auch da noch zu diesen Extrempositionen. Ich mache jetzt auch mal durchaus

Volker: gerne mal ein bisschen Werbung für Kongresse.

Volker: Wer wirklich mal solche Extrempositionen live durchdekliniert haben will über

Volker: mehrere Tage, der soll zu den Chaos Computer Club Kongressen am Jahresende gehen,

Volker: weil da gibt es Dutzende an Sessions,

Volker: die genau sich in diesem Bereich, den wir gerade bestritten haben, austoben.

Volker: Ist nicht ganz unser Task hier, aber die anderen Aktivisten oder Gruppen,

Volker: die ich noch benennen möchte, das sind gar nicht mal die, wir gehen gegen Großkonzernen,

Volker: sondern es ist eher der Dachdecker oder Bäcker oder Mittelständler nebenan,

Volker: der seine IT zwar braucht, aber eben hemsärmlich absichert.

Volker: Und da gehen wir dann meistens so irgendwie auf Hobbyisten oder Skriptkiddies

Volker: oder meinetwegen die Fleischerei, die von Cyberaktivisten, die alle Veganer sind,

Volker: angegriffen werden, weil sie einfach zeigen wollen, wie verwundbar Fleischereien

Volker: in ihren IT-Systemen sind.

Volker: Und da gehen wir jetzt tatsächlich 30 Schritte nach hinten in der Cybersicherheit

Volker: und sagen, Unternehmen scheint es egal zu sein, ob sie angreifbar sind.

Volker: Und sie machen es so leicht, dass selbst, was wir halt nennen Skriptkiddies,

Volker: ja, wir haben jetzt mal irgendeinen coolen Hack auf YouTube gesehen und probieren den mal aus.

Volker: Und in unserer Schule kommen wir ja sogar auf den Webserver und auf dem Webserver

Volker: können wir sogar ganz lustige Fotos von natürlich nicht besoffenen Lehrern der

Volker: letzten Klassenfahrt hochspielen.

Monina: Ist das nicht schon die Sicherheitslücke, dass die Schüler an diese Bilder kommen?

Volker: Hätten wir nie gemacht, also um Gottes Willen. Damals gab es schon noch keine Web-Server.

Monina: Ist das in einem Kontext von Schulen und Universitäten nicht aus dem Blickwinkel

Monina: des Lehrens raus zu betrachten?

Ingo: Ich glaube, das Problem ist hier nochmal ein deutlich anderes.

Ingo: Also ich würde Schulen und Universitäten auseinanderhalten, weil wir in Universitäten

Ingo: üblicherweise große Rechenzentren haben mit professionellem Personal.

Ingo: In Schulen häufig aber nicht. Und in Schulen dann die Situation haben,

Ingo: dass die Hacker-Kids oder wie auch immer wir sie nennen wollen,

Ingo: möglicherweise sogar die technisch Begabtesten an der Schule sind und auch weit

Ingo: mehr Know-how haben über IT-Systeme, als es die Lehrer haben,

Ingo: die nebenbei in ihrer nur unzureichend geschulten Freizeit dann eben den IT-Bereich

Ingo: der Schule leiten oder organisieren haben.

Ingo: Und das Problem eben, wir haben also Angriffe von Personen, die innerhalb des Systems sind,

Ingo: die im WLAN berechtigt aktiv sind, in einer Struktur, die unzureichend geschützt

Ingo: ist und die nur sehr schwer zu schützen ist, mit fehlendem Fachpersonal.

Monina: Das ist ein Problem. Das finde ich wieder ein wunderbarer Fall,

Monina: auch bei den Mittelständlern und kleinen Unternehmen, wie du gemeint hast.

Monina: Also so ein Metzger ist per Definition eigentlich nicht dazu da,

Monina: sich darum zu kümmern, IT zu machen.

Monina: Das ist nicht, was ich von ihm erwarte in seiner Jobbeschreibung.

Monina: Das wäre ein klassischer Fall von, eigentlich müsste die IT dann so robust sein,

Monina: wenn ich sie kaufe, dass ich sie idiotensicher hinstellen kann und das funktioniert und,

Monina: Das ist erstmal keine offensichtige Sicherheitslücke, selbst wenn ich mich dumm

Monina: anstelle als Benutzer da, oder?

Volker: Du bist doch auch aus dem IT-Bereich, also muss ich ja jetzt nicht sagen.

Monina: Man darf ja wohl mal träumen.

Volker: Ja, okay, danke für die Aufklärung. Ja, also das Problem da,

Volker: ja, zum einen stimme ich dir zu, dass es wieder dieses bewusste Schließen von

Volker: Sicherheitslücken auf der Anbieterseite, auf der anderen Seite nehme ich da

Volker: aber auch ganz klar Anwender und Anwenderinnen in die Pflicht.

Volker: Ich, genau wie ich beim letzten Mal gesagt habe, so zu KIs, die falsche Informationen

Volker: geben können und sowas, es ist doch nun mal mittlerweile echt Allgemeinwissen,

Volker: dass KIs immer eine Antwort geben, aber diese Antwort nicht immer stimmen kann. Also halluzinieren.

Volker: Dementsprechend gehört das doch auch mittlerweile zum Allgemeinwissen,

Volker: zu wissen, dass vernetzte Systeme angegriffen werden können.

Volker: In Klammern natürlich auch nicht vernetzte Systeme.

Volker: Also muss ich mich doch irgendwie, sorry, verdammt nochmal darum kümmern,

Volker: dass ich diese Hintertür dicht mache.

Monina: Aber ist das mit den KIs Allgemeinwissen oder ist das Allgemeinwissen in dem

Monina: Umfeld von IT-Lern und Naturwissenschaftlern?

Volker: Okay, ich klammer es ein bisschen ein, aber trotzdem ist, glaube ich,

Volker: die Tatsache von Cyberangriffen an Netzwerke angebundene Systeme.

Volker: Insoweit darf ich mich da aus dem Fenster hängen, dass das Allgemeinwissen ist, oder?

Ingo: Ja, du hast da recht, aber das Problem ist, du hast den Metzger oder die Metzgerei.

Ingo: Und die Metzgerei hat Menschen, die für ihr Leben gerne eben die Fleischzubereitung

Ingo: organisieren und mit Tieren umgehen und so etwas.

Ingo: Und die wollen überhaupt nicht ins Netz, weil sie auch mit ihren Zulieferern

Ingo: arbeiten, völlig ohne Computer.

Ingo: Die brauchen aber das Netz nur und die Computer, um damit Berichtspflichten

Ingo: über den Staat zu erfüllen und nutzen diesen Computer also ausschließlich dafür.

Ingo: Das ist aber manchmal gar nicht einfach, weil die Software manchmal gar nicht

Ingo: mit den neuesten Systemen dann so einfach läuft.

Ingo: Oder wenn man dann das Betriebssystem aktualisiert, müsste man auch die Software

Ingo: aktualisieren, das kostet wieder viel Geld.

Ingo: Also es kommen auch finanzielle Aspekte mit hinein. Es kommt aber auch Fachpersonalfragen mit hinein.

Ingo: Also wer macht das überhaupt in der Metzgerei? haben wir eigentlich wirklich

Ingo: das IT-Personal in der Fläche in den verschiedenen Orten, die dann wirklich auch diese,

Ingo: sicheren Umstellungen von IT-Systemen von einer Betriebssystem-Version zur nächsten

Ingo: übernehmen können? Weiß nicht.

Volker: Ja, okay. Also ich weiß, worauf du raus willst, aber ich gehe jetzt dann nochmal

Volker: auf die Script-Kiddies.

Volker: Also auf die Leute, die irgendwo ein Tutorial im Netz finden und sagen,

Volker: hey, komm, finde ich mal cool, ich kann Python programmieren,

Volker: das haue ich mal jetzt auf Moninas Rechner.

Volker: Und der schafft Moninas digitalen Bilderrahmen tatsächlich auch mit irgendeinem Skript zu infizieren.

Volker: Da würde ich jetzt ernsthaft sagen, wenn ein Skript-Kiddy das schafft,

Volker: und damit meine ich jetzt nicht irgendwelche heiß-sophisticated-Attacken über

Volker: zehn Stufen und sowas, ich meine jetzt wirklich irgendein Quellcode aus dem

Volker: Netz saugen und da auf irgendeinen Rechner drauf ballern,

Volker: boah, dann bin ich jetzt schon echt an der Stelle selbst schuld, ne?

Monina: Ja, ich würde dir in dem Fall tatsächlich zustimmen.

Monina: Das verstehe deine Sichtweise dann auch. Aber das ist der schwierige Punkt,

Monina: dass es Leute gibt, die kennen sich halt mit IT aus berufsbedingt oder hatten

Monina: damit schon mal mehr zu tun.

Monina: Es gibt halt Leute, die wirklich was in ihrer Welt eigentlich komplett anderes

Monina: machen und zwanghaft oder zwangsweise gelegentlich mit IT zu tun haben müssen und das nicht wollen.

Monina: Die wollen sich damit nicht beschäftigen. Die wollen sich da auch nicht tiefer

Monina: einlesen. Die wollen sich da keine Gedanken machen. Die wollen,

Monina: dass es einfach funktioniert.

Monina: Und mehr wollen die nicht.

Volker: Kann ich verstehen.

Ingo: Ich glaube, worauf hinaus folgt, ist ein ganz wichtiger Punkt und eine Nachricht

Ingo: für alle, die uns zuhören.

Ingo: Disziplin und Prävention ist ein wichtiges Thema. Ihr müsst Disziplin haben,

Ingo: dass ihr jederzeit die aktuellsten oder die aktuellen Software-Updates aufspielt

Ingo: und dass ihr wirklich auch euch damit beschäftigt,

Ingo: wie eure Systeme nutzbar sind und wo ihr welche Art von Daten speichert und

Ingo: wer darauf potenziell Zugriff haben könnte.

Volker: Danke, Ingo. Also ich habe ja gerade so ein bisschen Mauern eingerissen und

Volker: du hast sie jetzt wieder ein bisschen aufgebaut.

Volker: Das finde ich gut. Meine Ehre wieder gerettet.

Volker: Ich hätte es nicht schöner formulieren können. Ich hätte sogar auch so rumgesagt,

Volker: ich möchte ja gar keinen verpflichten.

Volker: Ich habe ja gesagt, ich nehme die Hersteller von Systemen in die Pflicht.

Volker: Aber wenn ich nun auf meinem Handy, YouTube, Instagram, TikTok,

Volker: WhatsApp, meine Banking-App, meine ÖPNV-App, den DB-Navigator habe,

Volker: dazu noch meine Visa-Card-Applikation und PayPal und sage, was kann mir schon passieren?

Volker: Ach, nein, sorry, kein Mitleid, weil wir, also entweder bin ich mir darüber

Volker: bewusst, was mir passieren kann, dass ich mir nämlich über WhatsApp,

Volker: über eine Nachricht, eine Mail, wer auf mein iPhone,

Volker: mein iPhone, mein Android-Phone holen kann, dass diese wiederum Screenshots

Volker: von meinem System macht, während ich Sachen eingebe, Passworte eingebe und die

Volker: an Command-Control-Center liefert.

Volker: Ich weiß einfach, dass es solche Mechanismen geben kann.

Volker: Und je mehr Kram ich mir auf dem Handy hole, umso mehr muss ich mir darüber

Volker: bewusst sein, dass ich Gegenmaßnahmen und Sicherheitsmaßnahmen ergreifen muss.

Volker: Und wenn ich zu all dem nicht bereit bin, und jetzt mein letzter Satz,

Volker: weil sonst monologisiere ich einfach zu viel. Man merkt, ich reg mich so ein bisschen auf.

Volker: Wenn ich zu all dem nicht bereit bin, sondern mir meine 793.

Volker: App auf mein Handy lade Und dann immer noch klicke, ja, du darfst auf meine

Volker: Kamera, auf mein Mikrofon und auf meinen Bildschirm zugreifen und während die

Volker: App im Hintergrund läuft und meinetwegen auch noch, wenn das Phone aus ist.

Monina: Und wie möchte ich jetzt aber meiner Mutter beispielsweise erklären,

Monina: dass sie sich nicht einfach auf ihrem Handy sowohl die Nachrichten anschauen

Monina: kann, als auch auf ihrer Lieblings-Social-Media-Seite unterwegs sein kann,

Monina: als auch ihre Post-Angelegenheiten erledigen kann.

Monina: Weil man braucht ja mittlerweile eigentlich eine App, um Banking-Sachen zu machen.

Monina: Nach deiner Definition ist es eine Sicherheitslücke, dass ich das auf demselben

Monina: Handy habe. Aber was will ich denn jetzt als normaler Benutzer dagegen tun?

Volker: Ja, also Punkt 1 erstmal. Okay, sorry Ingo, du wolltest was sagen,

Volker: aber mein Pult ist noch bei 300. Also Punkt 1.

Volker: Wenn man sich eine Banking-App installiert, die üblicherweise durch,

Volker: ich weiß gar nicht, ob die durch die BaFin, Bundesnetzagentur oder BSI,

Volker: aber irgendwie hat die ein Sicherheitsaudit durchlaufen, die Banking-Apps, dann...

Volker: Bei meiner ist es so, die überprüft zum Beispiel, ob das Handy geroutet ist.

Volker: Das heißt also, ob der Basis-Passwort-Schutz des Betriebssystems bei der Installation

Volker: gebrochen wurde und damit illegitime Applikationen installiert werden konnten.

Volker: Wenn das passiert ist, installiert die App sich nicht.

Volker: Diese App überprüft, ob auf dem Handy, ich hatte nämlich mal so eine Navigationsapplikation,

Volker: die konnte sich über andere oben drüber legen.

Volker: Das war jetzt nicht irgendwie so Google Maps oder sowas, sondern das war eine

Volker: andere Applikation, die konnte sich einfach oben drüber legen,

Volker: also sogenannte Overlays über den aktuellen Bildschirm legen.

Volker: Hat die App gesagt, ich installiere mich nicht, weil du hast eine App installiert,

Volker: die Overlays über mich rüberlegen kann.

Volker: Das ist genau das, was ich meine. Die Hersteller haben sichergestellt, dass das nicht geht.

Volker: Jetzt gibt es aber Systeme, die, sagen wir mal, unterhalb der Schwelle von Banking-Apps

Volker: sind, aber im Prinzip das Gleiche machen.

Volker: Das ist PayPal, das ist meinetwegen hier die Amazon-App, wo man sich irgendwelche

Volker: Waren schicken kann und die Bankdaten hinterlegt hat und über Amazon Pay oder sowas bezahlen kann.

Volker: Die machen also das Gleiche, sind aber unterhalb dieser Überwachungsschwelle.

Volker: Und ob die diese Sicherheitsmechanismen haben, weiß ich nicht.

Volker: Und jetzt kommt genau der Punkt, ich mache es einfach an der puren Menge fest.

Volker: Wenn ich mir davon 50 installiert habe von dem Kram, muss ich eben auch damit

Volker: rechnen, dass mein Risiko im Faktor 50 gestiegen ist.

Ingo: Ja, aber hat nicht beinahe jeder, der ein bisschen auf Reisen ist, 300 Apps auf dem Handy?

Ingo: Also ich meine allein die Scooter-Apps, die man braucht, um mal eben mobil vom

Ingo: Bahnhof zum Hotel zu fahren.

Ingo: Oder die App, mit der man das Restaurant bestellen kann, mit der man mit Kollegen

Ingo: abends zum Essen gehen möchte. die App, mit der man die Apartments buchen kann.

Ingo: Also ich meine, diese App-Vielfalt ergibt sich doch fast automatisch.

Ingo: Also es ist doch illusorisch zu glauben, dass ich eine Übersicht über meine

Ingo: Apps behalten kann, welche davon in welcher Form welche anderen gefährden könnten.

Volker: Okay, jetzt sind wir bei Sicherheitsmaßnahmen. Punkt 1. Im Ausland und insbesondere

Volker: im kritischen Ausland nutze ich ein anderes Handy.

Volker: Tatsächlich. Im superkritischen Ausland sogar eine andere SIM-Karte.

Volker: Damit da eine Rückverfolgbarkeit nicht möglich ist. Punkt 1.

Volker: Und Punkt zwei, ich benutze keine Scooter-App, ich laufe zum Hotel.

Volker: Aber ich glaube, das war nicht die Antwort, die du hören wolltest.

Ingo: Nee, das war nicht ganz die Antwort, weil die Komplexität sich auch in Unternehmen

Ingo: widerspiegelt. Also ich will nur mal als ganz kleines Beispiel reinbringen.

Ingo: Ich habe mir vor vielen, vielen Jahren, als so Banken angefangen haben,

Ingo: sich zu fusionieren, mit einer dieser Banken gesprochen.

Ingo: Und die hatten mir damals berichtet in ihrem IT-System, dass die über 10.000

Ingo: Applikationen im Unternehmen verwalten.

Ingo: Das war eine mittelgroße Bank. Und bei diesen Applikationen zählen natürlich

Ingo: auch irgendwelche Makro-Excel-Sheets, also irgendwelche programmierten Excel-Tabellen.

Ingo: Das ist aber ein Problem. Also das Problem ist ja nicht unbedingt,

Ingo: dass die Sicherheitslücke dadurch entsteht, dass ich eine bestimmte App auf

Ingo: dem Gerät spiele, sondern die Interaktion von unterschiedlichsten Programmen

Ingo: miteinander, von Systemen miteinander, die Fragen,

Ingo: was sich dadurch öffnet, dass ich bestimmte Dinge miteinander in Beziehung setze.

Ingo: Das ist doch das Risiko, was wir nur sehr schwer abschätzen können und was selbst

Ingo: Experten nur sehr schnell im Überblick behalten können.

Volker: Ich glaube, das ist Molinas Thema.

Monina: Es ist eine große Komplexität. Würde ich behaupten, wenn du ein Unternehmen

Monina: hast, das so viele Apps betreibt, dann müsstest du entsprechend da dein komplettes

Monina: System auch ausrichten darauf, dass du beispielsweise ein Intranet hast.

Monina: Dass du beispielsweise nach Zero-Trust-Maßnahmen das Ganze aufgebaut hast mit

Monina: Außengrenzen, wo du schon mal nach außen hin nur das wirklich nach außen auch

Monina: gibst oder von außen reinkommen lässt, was zwingend notwendig ist.

Monina: Dass du weiter innen dann immer noch verschiedene Netzbereiche hast,

Monina: Netzsegmentierung, so weit wie möglich.

Monina: Bisschen oldschool vielleicht, aber immer noch eigentlich ganz gut.

Monina: Und nur dazwischen auch zulässt, was zugelassen werden muss.

Monina: Also da musst du halt dann tatsächlich, aber wenn du so groß bist,

Monina: hast du auch die Leute dafür, dass du zumindest eine IT hast,

Monina: die das Ganze betreiben kann, dass du das ordentlich aufbauen kannst.

Monina: Dass du da Sicherheitsinstanzen hast, dass du da Sicherheitsmechanismen hast,

Monina: Regularien, die definieren, was wohin darf.

Monina: Und bis hin zu Zero Trust, dass jeder nur auf die Ressourcen zugreifen kann

Monina: mit einer entsprechenden Authentifizierung, die er wirklich benötigt.

Volker: Ja, bis hin zu Software, die fernkonfigurierbar ist von der IT,

Volker: wo du legitimes Software weitlisten musst.

Volker: Also du musst sagen, auf den Rechnern darf nur diese Applikation laufen,

Volker: weil ansonsten, vielleicht war die Zahl nur aus dem Himmel gegriffen,

Volker: aber würde ich sagen, also 10.000

Volker: freigegebene Applikationen in einem Unternehmen, das ist schon mutig.

Volker: Ja, das verschlecken die Sprache erstmal. Ja, wären es 100, würde ich sagen,

Volker: herzlichen Glückwunsch bei der Administration und bei 50 oder 20 würde ich sagen, okay, safe.

Volker: Und da hast du halt Applikationen, die im Prinzip wie ein Virenscanner sind,

Volker: aber die gucken nicht auf Viren, sondern die gucken tatsächlich,

Volker: wurde ein Programm gestartet, das nicht von der IT freigegeben wurde.

Ingo: Ja, man kann ja auch viel mit KI machen, dass man neben dem Datenverkehr,

Ingo: der im Netzwerk unterwegs ist, automatisch analysieren, einen Clustern lässt.

Ingo: Also das ist klar. Also da haben wir viele Möglichkeiten.

Ingo: Ich wollte nur das Dilemma nochmal aufzeigen und diese 10.000 Applikationen

Ingo: sind in Großunternehmen nicht so weit weg von der Realität, wie man das vielleicht

Ingo: auf den ersten Blick glauben mag.

Ingo: Weil man sich einfach allein überlegen muss, dass wenn man sehr,

Ingo: sehr viele Mitarbeiter hat, eine bestimmte Gruppe von Mitarbeitern möglicherweise

Ingo: schon ein eigenes Berichts-Excel aufbaut.

Ingo: Und das ist dann schon eine Applikation, die eine gewisse Makrofähigkeit in

Ingo: einem Excel mit sich bringt und die natürlich über Versionen revidiert werden

Ingo: müsste und in dem man natürlich auch gucken muss,

Ingo: ob sich über die verschiedenen Betriebssystemversionen die Möglichkeiten durch

Ingo: die Excel auch verändern.

Ingo: Und das sind eben genau diese Punkte, die sich da immer wieder reingeben.

Ingo: Und das ist noch so ein Thema, was ich noch ansprechen wollte in Bezug auf den Sicherheitslücken.

Ingo: Wir haben ja immer das Problem, dass wir doch eine sehr hohe Geschwindigkeit

Ingo: haben mit technischen Erneuerungen.

Ingo: Und wir im Privatbereich, das ist auch, glaube ich, der gefährlichere Bereich,

Ingo: aber wahrscheinlich der weniger problematische Bereich, weil es für kriminelle

Ingo: und staatliche Akteure sich mehr lohnt, sich an große Unternehmen zu halten

Ingo: oder an Unternehmen zu halten.

Ingo: Aber im Privatbereich haben wir natürlich immer den Wunsch, möglichst schnell

Ingo: die neueste Software zu verwenden, während man im großen Unternehmen eher sagt,

Ingo: die Software lassen wir erstmal ein bisschen am Markt reifen.

Ingo: Also beispielsweise bei Daimler, wo ich früher viel zu tun hatte,

Ingo: war es immer so, dass die Windows-Version immer mindestens ein bis zwei Schritte zurückgeblieben ist.

Ingo: Also man ist immer bei einer Vorversion geblieben, als sie aktuell herausgekommen

Ingo: ist und erst mal gewartet, bis der erste Punkt 1 Release kam,

Ingo: bevor man überhaupt überlegt hat, auch nur mit einzelnen Rechnern zu wechseln.

Volker: Ein Thema hatte ich noch, wenn ich darf.

Volker: Das sind nämlich die Lücken, die gerne völlig übersehen werden in Unternehmen.

Volker: Und da komme ich nachher auch jetzt auf das Thema, was Monina,

Volker: glaube ich, vorhin angesprochen hat, Prozesse.

Volker: Frustrierte Mitarbeiterinnen, Mitarbeiter, Innentäter, Administratoren,

Volker: die gekündigt wurden oder denen gekündigt wurde im Rahmen einer Unternehmensumstrukturierung

Volker: und die zu diesem Zeitpunkt gerade noch vollen Zugang zu ihren Systemen haben. Ja.

Monina: Das ist dann aber auch, das ist dann aber dementsprechend auch ein,

Monina: wenn die schon gekündigt sind und der Prozess, die an die Sachen noch rankommen,

Monina: also die Zugänge noch freigeschaltet sind, dann ist das ein Prozessfehler,

Monina: also eine Sicherheitslücke in dem Prozess selber.

Monina: Wenn die schon frustriert sind, bevor sie gekündigt sind, dann wäre das ein

Monina: klassischer Fall von dem vorhin erwähnten auch Zero-Trust-Modell beispielsweise

Monina: als Absicherung. Also man,

Monina: Prinzipiell davon aus, dass niemand auf irgendwas zugreifen muss,

Monina: was er nicht aktiv zum Arbeiten braucht und jeder muss sich eigentlich dann

Monina: dafür authentifizieren, für das, was er braucht. Das wäre dann eine gute Gegenmaßnahme.

Monina: Dann wäre es wohl nachvollziehbar, wer was getan hat, als auch beschränkt,

Monina: was jemand ändern kann oder worauf jemand zugreifen kann und was jemand anstellen kann.

Monina: Aber ja, es ist definitiv ein Prozess, eine Sicherheitslücke Mensch in dem Prozess, die man da hat.

Volker: Und da sind wir jetzt im Prinzip schon quasi wieder fast am Anfang unserer Diskussion,

Volker: wo wir bei Schutzzielen waren, Schutzziele und Prozesse.

Volker: Wir müssen eben tatsächlich gucken, wenn es zum Beispiel um Integrität von Systemen

Volker: geht oder von Dateien und das ist zum Beispiel dann gelöschte Dateien.

Volker: Also die Integrität bezeichnet ja die berechtigte Veränderung von Dateien und

Volker: ein illegitimes Löschen ist ja ein Integritätsschutz.

Volker: Und dementsprechend, oder der Schutz gegen dieses Löschen, dementsprechend müssen

Volker: wir halt zusehen, dass unsere Prozesse, die wir in Unternehmen haben,

Volker: genau auch sowas mit abfedern.

Volker: Das bedeutet zum Beispiel, dass Administratoren und Administratorinnen kein

Volker: Vollzugriffsrecht haben auf hyperkritische Infrastrukturen, auf Server.

Volker: Dass bei Server immer das Zwei-Administrator-Prinzip besteht,

Volker: das zum Löschen von Dateien, zum Formatieren von Betriebssystemen,

Volker: zumindest Hochsicherheitsdaten,

Volker: dass kein Single Access möglich ist.

Monina: Hast du das tatsächlich schon mal in the wild gesehen?

Volker: Ja, aber in the wild tatsächlich jetzt nicht bei Standardunternehmen XYZ,

Volker: sondern dann zum Beispiel eher bei Banken,

Volker: wo du in die Core-Server-Räume der Bankrechenzentren, also die sind ja sogar

Volker: separiert, wenn man die Sparkassen zum Beispiel nimmt, in der eigenen Sparkassen-IT

Volker: mit eigenen Rechenzentren,

Volker: wo du in dieses Herz nicht mal ohne eine explizite weitere Zugangskontrolle

Volker: durch Personen reinkommst.

Volker: Also ja, in the wild gibt es das, aber jetzt kommt wieder Aufwand versus Nutzen.

Volker: Ja, wenn ich halt akzeptieren will als Unternehmen, dass mit Format All meine

Volker: Festplatten einfach platt gemacht werden, weil ein Admin super frustriert über

Volker: die Umstrukturierung ist, dann war es mir das halt nicht wert.

Volker: So nüchter muss man das betrachten.

Ingo: Das spannende Problem an deiner Lösung ist,

Ingo: dass wenn es beispielsweise Frustrationsprobleme gibt, die aus dem Arbeitsumfeld

Ingo: heraus entstehen, also zum Beispiel ein Zusammenschluss von mehreren Unternehmen

Ingo: und die Systemadministratoren werden deutlich heruntergestuft und verdienen weniger Geld,

Ingo: da kann es natürlich passieren, dass sich auch mehrere zusammenschließen und frustriert sind.

Ingo: Also ich verstehe den Gedanken und der hilft, glaube ich, sehr,

Ingo: aber es befreit uns nicht von einer umsichtigen und auch sehr intensiven Auseinandersetzung

Ingo: mit dem Thema Sicherheit, was es eigentlich für ein Unternehmen bedeutet und

Ingo: wo auch die Angriffsziele zu erwarten sind.

Ingo: Also ich glaube, genau diese Frage, habe ich möglicherweise eher ein Personalproblem,

Ingo: habe ich möglicherweise eher das Problem, dass ich ein Geheimschutzthema habe,

Ingo: also da besonders reingehen muss und was sind eigentlich die richtigen Wege,

Ingo: mich dann entsprechend zu schützen und wie viel Aufwand muss ich dafür treiben,

Ingo: also welches Risiko besteht,

Ingo: also welche Schadenshöhe ist zu erwarten, welche Eintrittswahrscheinlichkeit

Ingo: besteht für ein bestimmtes Ereignis und welcher Aufwand lohnt sich auch entsprechend,

Ingo: solche Themen abzuwehren.

Volker: Und da sind wir tatsächlich wieder am Anfang unserer ganzen Diskussion Assets.

Volker: Ich muss bewerten, was die Kerneigenschaften, die kernwerthaltigen Gegenstände

Volker: meines Unternehmens sind.

Volker: Gegenstände im Sinne von auch IT, Daten, Infrastruktur und so weiter.

Volker: Ich muss diese Assets bewerten hinsichtlich Zugriffsschutz und ich muss überlegen,

Volker: wie viel ist es mir wert, in das System zu investieren.

Volker: Und machen wir uns nichts vor.

Volker: Eine Vier-Faktor-Authentifikation mit Blutgruppenentnahme und DNA-Bestimmung

Volker: ist natürlich ein super Aufwand, den pro Person zu machen, also in Klammern teuer.

Volker: Aber wenn ich das brauche, dann brauche ich das.

Volker: Okay, Monina lacht, falls sie sich gerade vorstellt, dass sie jedes Mal eine Blutprobe geben muss.

Monina: Ja, nein, ich habe überlegt, dass gerade solche biometrischen Authentifikationsmerkmale

Monina: ja durchaus gelegentlich auch schon, ich glaube, die auch vom CCC in irgendeinem

Monina: Beitrag teilweise ausgehebelt worden sind.

Monina: Das Problem ist mit Passwörtern, die man nicht ändern kann, wie beispielsweise

Monina: im Fingerabdruck. Der ist halt nicht änderbar, wenn er einmal gediegt ist.

Volker: Man muss einen anderen Finger nehmen oder naja.

Volker: Bevor wir das wirklich jetzt rund machen, habe ich noch eine andere Gruppe,

Volker: die wir nie als Angreifer bezeichnen würden, also wir jetzt intern nicht,

Volker: das sind die IT-Sicherheitsforscher, die aber nach aktuellem Tatbestand noch

Volker: voll unter das Strafgesetzbuch fallen, bei allem was sie tun.

Volker: Und da gab es tatsächlich auch schon Vorfälle, wo Sicherheitsforscher Dinge

Volker: aufgedeckt haben und dann angezeigt wurden,

Volker: dass sie eine Straftat begangen haben, bis hin zu,

Volker: okay, wir wollen jetzt nicht politisch werden, aber es gab da durchaus einige

Volker: öffentlich-rechtliche Vereine, die auch Parteien genannt werden,

Volker: die durchaus Zugänge zu ihren Systemen gelassen haben, die vielleicht nicht

Volker: ganz für die Öffentlichkeit gedacht waren und das haben Sicherheitsforscher

Volker: aufgedeckt und anstatt zu sagen, danke, liebe Partei,

Volker: haben sie dann den Staatsanwalt.

Monina: Du meinst, danke, liebe Sicherheitsforscher.

Volker: Ja, sorry, danke, liebe Sicherheitsforscher. Aber statt danke,

Volker: liebe Sicherheitsforscher, haben sie dann einfach mal Post von der Staatsanwaltschaft bekommen.

Monina: Und zum Glück aber auch entsprechend der Gegenwind aus, also zumindest aus allen

Monina: Kreisen, die ich mitbekommen habe, gab es da Gegenwind, wie da vorgegangen worden ist.

Monina: Weil jemand, der postenlos oder für wenig Geld die Arbeit für einen macht,

Monina: diese Person dann auch noch anzuschuldigen, ist natürlich nicht so beliebt unter

Monina: Sicherheitsforschern, wenn man das mitbekommt.

Ingo: Das ist auf jeden Fall ein Thema, was wir regulieren müssen.

Ingo: Da müssen wir Gesetze anpassen. Es ist wichtig, dass Sicherheitsforscher etwas tun können.

Ingo: Aber wir müssen auf der anderen Seite natürlich auch vermeiden,

Ingo: dass die böswilligen Hacker sich als Sicherheitsforscher ausgeben.

Volker: Ja, da hat man tatsächlich dann solche Sachen wie Fristen irgendwie eingebaut

Volker: oder dass man sagt, also finden, informieren, beheben lassen, dann publizieren.

Volker: Also dieses sogenannte Responsible Disclosure, sowas als Prozedur.

Volker: Und da gibt es ja jetzt auch gerade die Änderung im Strafgesetzbuch,

Volker: die aufgrund von aktuellen politischen Geschehnissen etwas nach hinten sich

Volker: verzögert hat, also durch diese Legislaturperiode meines Wissens nach nicht

Volker: mehr durchgekommen ist.

Volker: Aber da gab es genau diese Diskussion.

Volker: Soweit wie ich die Diskussion noch mitverfolgt habe, hat sie tatsächlich wieder

Volker: auch einen negativen Umschwung genommen.

Volker: Das heißt, man war mal so weit, dass man gesagt hat, ich übertreibe jetzt,

Volker: Sicherheitsforscher dürfen alles, solange sie damit verantwortungsvoll umgehen.

Volker: Und das war dann, genau wie Ingo jetzt gerade sagt, den Leuten einfach zu weit, zu heiß.

Volker: Weil jetzt jeder Hacker sagen kann, ich war ja nur Sicherheitsforscher, tut mir leid.

Monina: Ja gut, im Zweifelsfall kann man ja sogar relativ klar das abgrenzen, indem man sagt, okay,

Monina: vorausgesetzt jetzt mal, es gibt so Standardmechanismen wie ein Monitoring an

Monina: der Firewall beispielsweise oder einem Webserver, wer wann Zugriff hatte,

Monina: kann man ja sogar nachvollziehen, wenn man dann mal weiß,

Monina: der Sicherheitsforscher sagt einem ja oder die Sicherheitsforscherin sagt einem

Monina: ja dann, welche Schwachstellen ausgenutzt wurden und was passiert ist.

Monina: Normalerweise in so einem Prozess. Und dann kann man ja nachschauen,

Monina: okay, zu dem Zeitpunkt, was ist da passiert?

Monina: Hat die Person wirklich nur das gemacht oder hat sie sich alle Daten einmal runtergeladen?

Monina: Und dadurch kann man es zumindest meistens relativ klar eingrenzen.

Monina: Und damit kann man auch sehr klar

Monina: aussagen, okay, wir hatten mir die Sicherheitsforscherin exakt gemeldet.

Monina: Was entdeckt worden ist? Stimmt das überein?

Monina: Ist da eine böswillige Absicht zu erkennen? Und daran kann man es dann festmachen.

Monina: Ob das jetzt ein Angreifer war, wie Ingo, wie du gemeint hast,

Monina: oder wahrscheinlich wirklich jemand, der das legitim melden wollte,

Monina: aus einem guten heraus gehandelt hat.

Ingo: Gut, also wenn ich mir das so überlege, was wir heute besprochen haben,

Ingo: wir haben ja aus unterschiedlichen Perspektiven auf das Thema geschaut, also,

Ingo: Die Perspektive von Volker als Sicherheitsforscher, von Monina als Verantwortliche für Sicherheit,

Ingo: auch für beratende Unterstützung von Unternehmen und aus meiner Perspektive

Ingo: von der Freiheit der öffentlichen Sicherheit, aber auch der KI und haben unterschiedliche

Ingo: Probleme herausgefunden und keine so richtig gute Lösung gezeigt,

Ingo: aber viele Themen diskutiert.

Ingo: Und ich glaube, eines, was man als ganz wichtige Take-Away-Message festhalten

Ingo: sollte, ist, es ist wahnsinnig wichtig,

Ingo: dass wir uns der Sicherheit bewusst werden, dass wir stärker eine Awareness,

Ingo: also ein Bewusstsein darüber spüren, was Sicherheit eigentlich bedeutet,

Ingo: auf welche Themen sich das auswirkt und wie ich auch damit betrieblich oder

Ingo: auch persönlich umgehen muss.

Ingo: Und ich glaube, dass der beste Tipp, und das ist jetzt ein bisschen natürlich

Ingo: eingebildet, aber ich glaube der beste Tipp, den wir unseren Hörerinnen und

Ingo: Hörern geben können ist, hört uns weiter, abonniert uns,

Ingo: weil wir werden genau diese Themen weiter besprechen und wollen auch genau damit das erreichen,

Ingo: dass wir alle ein bisschen mehr über Sicherheit nachdenken und damit unsere

Ingo: Häuser besser abschließen und die Systeme für Einbrecher und illegitime Nutzer

Ingo: etwas weniger leicht zugreifbar machen. Oder?

Volker: Hört sich gut an. Ja, daher würde ich jetzt auch sagen, Mensch,

Volker: die Stunde ist wieder rum, die wir uns so mit den Themen oder die wir eigentlich

Volker: unsere Zuhörerinnen mit diesen Themen befassen lassen wollen.

Volker: Weil ich glaube, wir könnten hier noch ein, zwei Stunden weiterreden.

Volker: Fasse ich mal zusammen und gehe nochmal ganz kurz auf die Gruppen und die Maßnahmen ein.

Volker: Also wir haben angefangen mit den Cyberkriminellen und Unterschieden in Terroristen,

Volker: die eher politische Motive und organisierte Kriminelle, die eher unternehmerische Motive verfolgen.

Volker: Die Cyberkriminellen im Sinne der organisierten Kriminalität haben wir gesagt,

Volker: macht das einfach nur teuer, sodass es für sie nichts bringt, also finanziell.

Volker: Also bring die Sicherheit einfach auf ein ausreichend gutes Niveau,

Volker: sodass sie sich lieber andere Opfer oder gar keine suchen. Zahle keine Ransomware.

Volker: Cyber-Terroristen, wo wir sagen, naja, die nehmen maximale Energie in die Hand

Volker: und wollen da rein in die Systeme, das wird schwer, sie abzuwehren,

Volker: aber biete ihnen wenigstens keine Bühne, sodass sie keinen Spaß daran haben.

Volker: Dann waren wir auf diesem rutschigen Eis der staatlichen Akteure.

Volker: Das eine sind halt die aggressiven staatlichen Akteure, wo es wirklich,

Volker: wirklich schwer ist, weil die sich auch so Zero Days, also Sicherheitslücken kaufen,

Volker: die in den Systemen intrinsisch mit der Auslieferung der Software drin waren,

Volker: die keiner kannte und die haben sie halt gefunden und nutzen sie aus.

Volker: Ja, da muss man einfach mit den Schultern zucken und sagen, hoffentlich bin

Volker: ich zu uninteressant für die.

Volker: Wir haben aber auch die legitimen staatlichen Akteure, wie unsere Ermittlungsbehörden,

Volker: wo wir zumindest sagen, irgendwo ist ja auch die legitime Schutzfunktion des Staates gegeben.

Volker: Das darf aber nicht rechtfertigen, dass wir Hintertüren in Systeme einbauen,

Volker: sondern das muss ein juristisches System sein, das sie legitimiert.

Volker: Wir hatten die Skriptkiddies, die Hobbyisten, wo wir dann auch so die Verantwortung

Volker: so auf eine Mischung von Hersteller, von Software und System,

Volker: aber auch die Nutzer und Nutzerinnen selbst geschoben haben und gesagt haben,

Volker: seid euch dessen bewusst, was ihr da tut.

Volker: Und je mehr ihr am System tut und je weniger ihr für die Sicherheit sorgt,

Volker: umso muss man einfach sagen, selbst schuld seid ihr auch dann irgendwann mal,

Volker: die Innen- und Innentäter und Innentäterinnen, die man am besten prozessual

Volker: abwehrt und dort einfach als Unternehmen überlegt, was sind meine schützenswerten Güter,

Volker: wie können sie alles angegriffen werden, auch mit externen Beratern zusammen

Volker: und die dann absichert, so gut es geht.

Volker: Und ganz zum Schluss die Sicherheitsforscher und Forscherinnen,

Volker: die eigentlich vor Straftaten beschützt werden müssen, also dass sie nicht als

Volker: Straftat bezeichnet werden, wenn sie dann legitime Sicherheitslücken finden.

Monina: Genau, das war die Sicherheitslücke. Ihr findet uns, wie auch schon erwähnt,

Monina: unter Sicherheitslücke FM, Sicherheitslücke mit UE.

Monina: Da findet ihr die kommenden Folgen. Ihr könnt kommentieren und Feedback geben

Monina: und auch Vorschläge für die kommenden Folgen machen.

Monina: E-Mails erreichen uns unter post-at-sicherheitslücke.fm. Bei Mastodon sind wir

Monina: zu finden und bei diversen anderen Podcast-Plattformen.

Monina: Da die Links dazu, wie immer in den Shownotes.

Monina: Auch die Links zu Sachen, die wir hier erwähnt haben, finden sich dann in den Shownotes am Ende.

Monina: Die Kapitelbilder zu den Podcasts sind mit kleinen Sketches von Anne Vogt gemalt.

Monina: Hier auch wieder vielen Dank dafür.

Monina: Haben wir dann in Zukunft vielleicht auch als Sticker. Mal schauen,

Monina: ob ihr die irgendwann mal wo findet.

Monina: Die Sicherheitslücke ist ein Podcast der Hamburg Open Online University und

Monina: hier auch besten Dank für die Unterstützung und auch an Christian Friedrich für die Produktion.

Monina: Wir verabschieden uns und hören uns in den nächsten Folgen hoffentlich wieder.

Ingo: Monina Schwarz, Ingo Timm.

Volker: Und Volker Skwarek.