Cui Bono Sicherheitslücken?
Shownotes
Wer nutzt Sicherheitslücken? Und Warum? Was ändert das an der Art und Weise, wie sich Einzelne und Organisationen mit Sicherheitslücken umgehen und sich vor Angriffen schützen? Darum geht's in dieser Folge von "Die Sicherheits_lücke".
Links
Red Team, Blue Team (Security Team)
Spionieren unter Freunden (Deutsche Welle)
CIA Triade (IT-Service Network)
_NSAKEY in Windows NT 4.0 (Wikipedia)
NSA Built Back Door In Microsoft’s All Windows Software by 1999 (Techworm)
Lagebild Cybercrime 2023 (BKA)
Bedrohung durch Innentäter (Verfassungsschutz, PDF)
Hacker-Verfahren wegen CDU-Wahlkampf-App eingestellt (Golem)
Hackerparagraf soll entschärft werden (Spiegel Online)
Referentenentwurf eines Gesetzes zur Änderung des Hacker-Paragraphen
Hackerparagraf wird entschärft, aber nicht gestrichen (heise)
Responsible Disclosure (Wikipedia)
Podcast App Empfehlungen
Unsere Kapitelbilder könnt ihr mit einer guten Podcast App sehen. Zum Beispiel mit:
Die Sicherheits_lücke im Netz
Abonniere Die Sicherheits_lücke überall, wo es Podcasts gibt, oder über unsere Website: https://www.sicherheitsluecke.fm
Die Sicherheits_lücke bei Mastodon
Die Sicherheits_lücke bei Pixelfed
Feedback oder Kritik? Wünsche? Schreib uns: post@sicherheitsluecke.fm
Die Sicherheits_lücke ist ein Podcast der Hamburg Open Online University (HOOU).
Monina Schwarz, LSI Bayern
Volker Skwarek an der HAW Hamburg
Produktion und Musik: Christian Friedrich
Das in dieser Episode verwendete Bildmaterial steht unter der Lizenz CC-BY 4.0, Urheberin ist Anne Vogt.
Transkript anzeigen
Volker: Moin Moin und willkommen in die Sicherheitslücke. Es begrüßen euch Volker Skwarek.
Ingo: Monina Schwarz und Ingo Timm.
Volker: Wir zeichnen heute am 18.02.2025 die dritte Episode auf mit dem Titel Cool Bono, wem nutzt es?
Volker: Und interessanterweise habe ich da einen ganz netten Aufhänger,
Volker: nämlich von CrowdStrike aus diesem Global Threat Report, die herausgefunden haben,
Volker: dass der kürzeste Angriff, den sie aufgezeichnet haben, ca.
Volker: 31 Sekunden gedauert hat, bei dem Cyberkriminelle ein System zumindest mit einer
Volker: schadhaften Datei infiziert haben.
Monina: Ja, prinzipiell, so ein Angriff kann schon, wenn der vollautomatisiert abläuft,
Monina: das braucht ja nicht lang.
Monina: Schöne Sicherheitslücke, draufwerfen, was man da draufwerfen möchte.
Monina: Und wenn alles gut geht, man hat ja viele Versuche, wenn im Zweifelsfall bei
Monina: einer neuen Sicherheitslücke viele Systeme verwundbar sind, braucht man ja nur
Monina: eins, bei dem es erstmal schön trifft.
Ingo: Könnt ihr vielleicht nochmal kurz erklären, was CrowdStrike ist?
Volker: Achso, CrowdStrike ist eine Security-Firma. Das heißt,
Volker: das ist schlicht und einfach eine, die kommerzielle Dienste zur Überwachung
Volker: von Infrastruktursystemen, irgendwie Red Team Support, alles mögliche anbietet.
Volker: Also ist eine Firma, die kannst du buchen und dir dafür Infrastrukturdienste
Volker: mieten zur Erhöhung deiner Sicherheit.
Ingo: Und dann hast du dieses Red Team Support gleich noch angeführt.
Ingo: Das ist nun so ein Begriff, der auch nicht gerade alltäglich ist.
Ingo: Ich kann mir da noch nicht gerade was vor vorstellen.
Volker: Ja, Red Team macht den Gegenangriff.
Monina: Nee, also ich kenne das tatsächlich als beides. Also sowohl während der Angriff
Monina: noch läuft, die Triage quasi machen, zu schauen, was ist gerade los,
Monina: kann man noch was retten, kann
Monina: man hier Zugriffe entziehen von einem Angreifer, der gerade im Netz ist.
Monina: Als auch dann natürlich im Nachhinein gucken, was ist passiert,
Monina: was sind für Daten abgeflossen. Also beides tatsächlich.
Monina: Also alles, was auf der Verteidigungsseite ist, hätte ich als Blutteam definiert oder so gesehen.
Monina: Und was Angreifer wäre. Also zum Beispiel bei einem Pentest auf eine Firma,
Monina: die schauen, wo die Angriffsvektoren sind, das wäre für mich ein Red Team.
Volker: Okay, ich gebe dir recht.
Volker: Passiert selten, aber ich muss dir ausnahmsweise leider eingestehen, recht.
Monina: Ich spreche es mir im Kalender an.
Volker: Okay, aber trotzdem waren wir jetzt bei dem Stichwort Cyberkriminelle.
Volker: Heute ist ja die Frage, wem nutzt es und was tun wir gegen die Leute, denen es nutzt.
Volker: Und eine große Gruppe der Angreifer sind Cyberkriminelle und,
Volker: Die Grunddefinition eines Cyberkriminellen ist, dass es dort,
Volker: wie in einem Unternehmen, quasi einen Return on Invest, einen wirtschaftlichen
Volker: Nutzen geben muss, dass der Ertrag größer ist als der Aufwand finanziell.
Volker: Und ich glaube, das ist Ingo Spezialthema. Da kommt das Wort Wirtschaft drin
Volker: vor und er ist der Wirtschaftsinformatikprofessor. Ingo, dein Turn.
Ingo: Ja, vielen Dank. Naja, das ist immer die Frage, also warum begehe ich den Aufwand
Ingo: oder warum nehme ich den Aufwand auf mich, etwas,
Ingo: Böses zu tun oder Sicherheitslücken auszunutzen, darum geht es ja auch in unserer
Ingo: heutigen Folge und das hat natürlich was damit zu tun, dass man damit ein Geschäft
Ingo: erzielen kann, das heißt also,
Ingo: es geht ganz häufig auch um Reproduktion, also das ist eine der wesentlichen
Ingo: Fragen für Geschäfte, dass man eben etwas immer wieder anwendet,
Ingo: ähnliche Verfahren anwendet, immer wieder versucht, in ähnlicher vielen Dank.
Ingo: Formenangriff durchzuführen, also idealerweise, wenn eine Sicherheitsducke in
Ingo: einer Software besteht, die man dann an ganz vielen unterschiedlichen Stellen
Ingo: ausnutzen kann, bei unterschiedlichen Unternehmen ausnutzen kann,
Ingo: und dann in dennoch reinzugehen.
Ingo: Was bei den Cyberkriminellen, was man noch abgrenzen könnte,
Ingo: da wäre der Fall der organisierten Kriminalität, die teilweise ihre Fähigkeiten zum Hacken anbietet,
Ingo: also das so nannte Crime as a Service, dass man eben eine bestimmte Dienstleistung,
Ingo: Ransomware-Attacke auf eine bestimmte Einrichtung oder dass man etwas buchen
Ingo: kann und die dann eben für einen tätig werden.
Ingo: Und das natürlich für einen bestimmten Anteil an dem gesamten Lösegeld,
Ingo: was erpresst wird oder eben auch zur Überstellung von Daten,
Ingo: die dabei abfließen oder so etwas.
Volker: Ja, da würde ich tatsächlich nochmal reingehen, weil Cyberkriminelle,
Volker: also ist ja zunächst erstmal Leute, die mit einem eigenen Vorteil eine Straftat begehen im Netz.
Volker: Und hier ist die Definition, die Unterscheidung, die ich so kenne,
Volker: zwischen Cyberterroristen und dann der organisierten Kriminalität. Die beiden.
Volker: Also die organisierte Kriminalität hat den Wirtschaftsnutzen,
Volker: während die Cyberterroristen den politischen, wir sind mächtiger,
Volker: wir können euer System außer Kraft setzen.
Volker: Aber tatsächlich, das ist so eben der Terror, diese Angst, die sie verbreiten und mehr nicht.
Ingo: Das ist ein bisschen eine Frage, wie man das jetzt genau einstuft.
Ingo: Also man kann jetzt sagen, wir unterscheiden nach Klassen innerhalb der Kriminellen oder wir sagen,
Ingo: Kriminelle und organisierte Kriminalität, die haben einen bestimmten Blick darauf,
Ingo: die wollen eigentlich nicht im Sinne eines katastrophalen Eindringens alles
Ingo: zerstören, was sie finden, sondern möglichst einen wirtschaftlichen Nutzen dabei
Ingo: erzielen, also ein Lösegeld erpressen beispielsweise.
Ingo: Und auf der anderen Seite, der Terrorismus ist eher destruktiv.
Ingo: Also das wäre so für mich der Grund, warum ich Terrorismus separat klassifizieren würde.
Ingo: Aber das ist legitim, das untereinander zu fassen. Also auch die Terroristen
Ingo: verhalten sich ja kriminell, also auch gegen geltendes Recht.
Ingo: Aber eben mit dem Unterschied, dass ein Terrorist nicht mehr zwingend eine Zurückkehr
Ingo: zum normalen Betrieb mit einplant.
Ingo: Was viele Kriminer natürlich auch nicht tun.
Ingo: Aber es gibt ja auch einige Lösegeldzahlungen, nach denen die Daten anschließend
Ingo: wieder freigegeben werden.
Ingo: Auch wenn das nicht der Standard ist und nicht immer erfolgt.
Monina: Dann fehlt eigentlich noch so ein bisschen die dritte Klasse,
Monina: oder? Oder die dritte Klasse von Angreifern, die rein unbeobachtet bleiben wollen
Monina: und eigentlich nur Daten ausleiten, ohne dass sie dabei irgendwie Schaden verursachen
Monina: wollen oder entdeckt werden wollen.
Volker: Welche würdest du da sehen? Also hast du da ein Beispiel?
Monina: Ganz klassisch wird das benannt, glaube ich, als quasi Spionage,
Monina: also im Sinne von großen Staaten oder staatlichen Akteuren, die Firmen ausspionieren
Monina: oder Unternehmen ausspionieren.
Volker: Okay, also das ist die staatlichen Akteure an der Stelle.
Volker: Da kann man ja tatsächlich sogar unterscheiden zwischen den Kriminellen,
Volker: also die wirklich im Rahmen von Gesetzen Straftaten begehen und denjenigen,
Volker: naja, ich sag mal die staatlichen Akteure, aus Sicht ihres Territoriums,
Volker: auf dem sie die Straftaten begehen, sind sie vielleicht gar keine Straftaten,
Volker: sondern legitime Handlungen gegen andere Nationen, weil sie staatlich legitimiert sind.
Monina: Spielst du da auf Malware an, die nicht zur Aktivierung kommt,
Monina: wenn das Keyboard-Layout eine gewisse Sprache hat?
Volker: Nee, ich meine jetzt tatsächlich, ich sage mal, Straftaten ja nur dann Straftaten
Volker: sind, wenn sie einem Straftatbestand folgen.
Volker: Das ist einfach so per Definition.
Volker: Während staatliche Akteure hingegen ja möglicherweise straffreigestellt sind,
Volker: also von ihren Auftraggebern,
Volker: weil sie im Rahmen eines Präsidenten, einer Regierung oder sowas handeln?
Ingo: Ja, also das ist eine interessante Klassifizierung. Also wir haben jetzt unterschiedliche
Ingo: Betrachtungsperspektiven.
Ingo: Also einmal die Sichtweise von den Akteuren, die aus einem bestimmten Land heraus
Ingo: oder aus einer bestimmten Organisation heraus handeln und damit den Gesetzen
Ingo: des Landes oder der Organisation natürlich unterliegen.
Ingo: Also sagen wir mal ausländische Akteure, die ihrem spezifischen Landesrecht unterliegen.
Ingo: Die dringen aber dann auf Computer ein, die einem anderen Land,
Ingo: beispielsweise unserem Landesrecht, unterliegen und sind im Sinne von unserem
Ingo: Landesrecht aber trotzdem kriminelle Akteure.
Ingo: Und das ist dann eine Klassifizierung quasi aus der Täter- oder Opferperspektive
Ingo: für diese Frage, inwieweit man sich legitim oder illegitim natürlich verhält.
Ingo: Andersrum ist es natürlich zumindest nicht schön, wenn man bei Freunden ausspioniert.
Ingo: Das haben wir ja auch in der Politik mal gehört, dass Ausspielen unter Freunden
Ingo: beispielsweise gar nicht geht.
Ingo: Ein Zitat von einer Bundeskanzlerin, die vor kurzem noch vor ein paar Jahren mal hier gewirkt hat.
Ingo: Und das ist ein Thema, das man vielleicht auch ein bisschen betrachten sollte.
Ingo: Ich würde noch ganz gerne zu der Spionage einen zweiten Aspekt hinzugeben.
Ingo: Neben der Spionage, was sich ja eher an staatliche Akteure und an das Ausspionieren
Ingo: üblicherweise von staatlichen Strukturen, von Befehlsketten,
Ingo: von Lagerbeständen oder von bestimmten Informationen im staatlichen Raum bewegt,
Ingo: gibt es auch noch den sogenannten Geheimschutzbereich, also den Bereich,
Ingo: in dem Unternehmen versuchen, Konkurrenzunternehmen auszuspionieren,
Ingo: um beispielsweise an aktuelle Entwicklungen oder Erfindungen zu kommen und damit
Ingo: eben den Innovationsvorteil oder sowas zu verkürzen.
Ingo: Und das wäre dann ein nichtstaatlicher Akteur, der möglicherweise trotzdem außerhalb
Ingo: des eigenen Landes operiert und auf Daten von nichtstaatlichen Akteuren zugreift,
Ingo: also von Unternehmen zugreift, aber nicht versucht, etwas im Land zu,
Ingo: also dabei schon versucht, dabei trotzdem unerkannt zu bleiben,
Ingo: wie wir es eben auch bei den Spionagefällen gehabt hatten.
Volker: Aber da jetzt nochmal die Frage, aus welcher Sicht siehst du das?
Volker: Siehst du das aus der Sicht, also wenn wir jetzt von Straftaten oder von illegitimen
Volker: Handlungen reden, redest du das aus Sicht der angegriffenen Legislative?
Volker: Also Staat X greift ein Unternehmen in Deutschland an oder siehst du das aus
Volker: der Perspektive, eine Deutsche greift jemanden in, keine Ahnung, Taiwan an?
Volker: Was ist jetzt so deine Perspektive da drauf?
Ingo: Meine Perspektive ist ja häufig die öffentliche Sicherheit, also die Frage,
Ingo: inwieweit wird unser öffentlicher Raum in Deutschland durch IT,
Ingo: durch Cyberkriminalität oder eben auch durch staatliches Handeln und auch internationaler
Ingo: Staaten in Deutschland oder auch internationale Akteure in Deutschland gefährdet.
Ingo: Und aus der Gefährdungssicht, also aus der Perspektive, wo entstehende Risiken,
Ingo: sehe ich das Risiko, dass fremde Akteure aus dem Ausland oder auch aus dem Inland
Ingo: entweder auf Unternehmensdaten zugreifen, die sie nicht bekommen sollen,
Ingo: weil eben damit bestimmte Innovationsvorteile im Unternehmen verbunden sind,
Ingo: also eine bestimmte Produktionsweise, die besonders innovativ ist.
Ingo: Also das Coca-Cola-Rezept, das keiner kennt und das keiner genau nachkochen soll.
Ingo: Oder eben auf der anderen Seite das invasive Eindringen mit eben dem Versuch,
Ingo: auch innerhalb des Unternehmens Schaden zu verursachen und damit Geld zu erpressen.
Ingo: Also das sind im Prinzip alles so verschiedene Möglichkeiten,
Ingo: wie unser Wirtschaftssystem oder auch unser Regierungs- und Verwaltungssystem
Ingo: gefährdet wird von außen.
Monina: Hier bringen wir aber nochmal ein bisschen mehr Komplexität rein,
Monina: weil wir nicht nur den Fall haben, oft bei Firmen besonders,
Monina: dass das in einem Land stattfindet, sondern Firmen haben ja dann oft noch irgendwie
Monina: Partnerfirmen, Zuarbeiterfirmen,
Monina: also irgendwie Zulieferer und sind verteilt dann vielleicht auch selber noch
Monina: mit mehreren Sitzen über mehrere Länder und schon sind wir da in einem gerade
Monina: rechtlich ganz verteilten Szenario.
Volker: Ja, das Juristische würde ich tatsächlich auch ein bisschen ausklammern.
Volker: Da habe ich auch noch so einen Aspekt, den ich da gerne reinbringen würde.
Volker: Aber erstmal, um das für unsere Zuhörer und Zuhörerinnen zu sortieren.
Volker: Wir reden jetzt also einerseits von...
Volker: Angriffen durch Straftaten aus unserer nationalen deutschen Brille.
Volker: Diese Straftaten können wir dann unterscheiden in, möchten sie einfach nur die
Volker: gesellschaftliche Überlegenheit ihres Systems darstellen, dann würden wir es
Volker: als Cyberterroristen bezeichnen.
Volker: Denen ist erstmal ein wirtschaftlicher Ertrag egal und wir haben die Cyberkriminellen,
Volker: die eigentlich darauf aus sind, wirtschaftlichen Schaden anzubrichten.
Volker: Also wenn wir die erstmal auseinander trennen, weil das hat nachher mit Abwehrmaßnahmen
Volker: nämlich ganz erhebliche Konsequenzen. Denn diese klassische organisierte Kriminalität,
Volker: den kann ich einfach nur schwer machen.
Volker: Sobald sich das Geschäft nicht mehr lohnt, ist egal.
Volker: Also dann lassen sie es wahrscheinlich.
Volker: Deswegen soll man ja zum Beispiel Ransomware, wenn der Rechner verschlüsselt
Volker: wurde, auch nicht bezahlen, weil den Aufwand hatten die und der Rechner ist
Volker: eh hin. Ob man den jemals entschlüsselt kriegt, ist im Bereich des Zufalls, des Glücks.
Volker: Und wenn die das 10, 20 Mal machen und immer ihre Infrastrukturkosten zahlen
Volker: mussten und auch Anteile, Gehälter, Provisionen zahlen mussten,
Volker: aber die Einnahmen kriegen, dann lassen sie es irgendwann.
Volker: So ist ja das Konzept dahinter. Während bei Cyberterroristen ist es so,
Volker: ich möchte es keine Länder nennen, um jetzt nicht irgendwie hier politische
Volker: Ambitionen da irgendwo zu zeigen.
Volker: Aber wenn das jetzt Staat XYZ ist, der uns angreift, dann steht da Geld hinter.
Volker: Dann steht da im Prinzip, wenn sie wollen, ein ganzer Staatshaushalt hinter,
Volker: nur um die Überlegenheit zu zeigen.
Volker: Und ich glaube, da geht spätestens die Wirtschaftlichkeitsrechnung nicht mehr
Volker: auf, weil du als Unternehmen keinen Staatshaushalt gegenhalten kannst und sagen
Volker: kannst, also da muss man einfach sagen, okay, wenn es passiert, dann passiert es.
Ingo: Wenn wir noch auf den dritten Aspekt nochmal ganz kurz gehen,
Ingo: mit eben der Frage von Geheimschutz und Spionage, also der Frage, wie kann ich im Prinzip,
Ingo: welche Klasse habe ich da noch, Akteure, die zugreifen und nicht entdeckt werden
Ingo: wollen, dann stellt sich ja genauso die Frage, wie man die wiederum abwehren kann.
Ingo: Und da kann es ja sogar passieren, dass sich das vermischt, dass staatliche
Ingo: Akteure ausländischer Staaten Daten abgreifen von Unternehmen und diese an eigene
Ingo: Unternehmen im eigenen Land wieder weiterreichen.
Ingo: Und damit eben der Konkurrenzschutz kommt und der Angriff aber auf den Geheimschutz,
Ingo: auf meine Patente oder so etwas, der Angriff auf meine Geheimnisse von der Produktion
Ingo: eben nicht von einem Unternehmen abgegriffen werden, sondern von einem Staat,
Ingo: also mit einem viel höheren Budget und möglicherweise viel höherer Kompetenz,
Ingo: aber es dennoch eigentlich an einen anderen Akteur weitergeht.
Monina: Wir wollten aber eigentlich mal, ja gar nicht primär über die Angreifer reden,
Monina: sondern einen Schritt zurückgehen zu den Einfallstoren, also zu den Sicherheitslücken,
Monina: über die ein Angreifer vielleicht reinkommt.
Monina: Und klar, dass bei dem WM nützt es, es ist relativ spannend,
Monina: wer die Angreifermodelle oder Angreifertypen sind, die wir haben.
Monina: Aber bleiben wir nochmal bei den Sicherheitslücken. Also Sicherheitslücke per
Monina: Definition erstmal eine Lücke in der Sicherheit irgendwo, die man sich aufgebaut
Monina: hat, setzt irgendwie voraus, dass man überhaupt Sicherheit hat,
Monina: sonst ist eine Lücke auch nicht notwendig.
Monina: Was haben wir denn da für verschiedene Versionen? Wie definiert ihr für euch Sicherheitslücke?
Ingo: Da lässt sich natürlich den Security-Experten den Vertritt. Das sollte vielleicht Volker beantworten.
Volker: Ja, boah, das ist in unserem Podcast die Sicherheitslücke und ich habe da nicht
Volker: mal eine gute Definition für zur Hand.
Volker: Also wenn wir wirklich mal terminologisch vorgehen, gibt es da ja keine richtige
Volker: Definition für, sondern wir haben ja den Schritt von Bedrohung,
Volker: Gefährdung, Verwundbarkeit. Diese drei. Also eine Bedrohung ist abstrakt.
Volker: Also es besteht eine generelle Bedrohung, wenn ich meinen Rechner ans Netz anschließe.
Volker: Gefährdung ist die Möglichkeit eines konkreten Einfallstors,
Volker: also jemand, der eine Bedrohung ausnutzen kann.
Volker: Und der Angriff ist dann das Ausnutzen dieses Einfallstors.
Volker: Also diese drei, wir haben immer diese Triade, da Bedrohung,
Volker: Gefährdung, Angriff oder Verwundbarkeit und der Begriff Sicherheitslücke kommt
Volker: eigentlich nicht drin vor.
Volker: Aber wenn ich diese Kette ausnutzen kann, wenn ich da irgendeine Reihenfolge
Volker: finde, dann habe ich eine Sicherheitslücke.
Ingo: Könnte man nicht sagen, dass Funktionen in einem System, die in nicht beabsichtigter
Ingo: Form genutzt werden können, um mehr Zugriff auf den Computer,
Ingo: auf Daten, aufs Netzwerk zu bekommen, eine Sicherheitslücke sind?
Volker: Auch, klar. Aber auch, selbst wenn ich nur an deine Cookies komme,
Volker: mit denen du bei Amazon deinen Webshop aufgemacht hast, ist das schon eine Sicherheitslücke.
Volker: Und da bringe ich ja nichts auf deinen Rechner, da ziehe ich das ja nur runter.
Volker: Oder nur wenn ich im Netzwerk durch eine legitime Software wie Wireshark quasi
Volker: nur dein Netzwerk-Traffic mitsniffe und dabei dein Login sehe,
Volker: habe ich nicht mal Zugang zu deinem Rechner. Und das ist schon eine Sicherheitslücke.
Volker: Also da gibt es ganz, ganz viele Ebenen, aber man hat halt immer diese Triade,
Volker: da ist generell eine Bedrohung, eine Gefährdung und das Ausnutzen dessen.
Monina: Das heißt prinzipiell ist so eine Sicherheitslücke, grob gesagt,
Monina: der Punkt, an dem die vorgestellte oder existierende Sicherheit,
Monina: die man bei irgendwas erwartet, aufgebrochen wird.
Volker: Ja, oder wir können vielleicht sogar mal gucken in so eine Challenge,
Volker: in so eine Diskussions-Challenge mit unseren Zuhörerinnen und Zuhörern gehen.
Volker: Ich würde jetzt mal einen Schritt weiter gehen und versuchen zu definieren,
Volker: alles das, was gegen die Schutzzieltriade, also CIA, Confidentiality,
Volker: Integrity, Availability, was alles, was gegen die Schutzzieltriade verstößt,
Volker: eine Sicherheitslücke ist.
Ingo: Jetzt davor, dass du schon sehr viel Wissen von den Zuhörern.
Ingo: Ich würde vorschlagen, dass wir vielleicht, also vielleicht kannst du kurz CIA erklären,
Ingo: die wir ja alle eher anders verstehen würden und dann vielleicht gleich nochmal
Ingo: ein Beispiel machen zu dem Thema, was eine Sicherheitsdücke sein könnte.
Ingo: Und Monina hatte da vorhin schon so ein Beispiel, vielleicht kannst du das gleich
Ingo: nochmal aufgreifen im Anschluss.
Volker: Ja, mache ich.
Ingo: Keyboard.
Volker: Also wobei dieses, ich habe es ja im Prinzip schon erklärt, aber ich versuche
Volker: es jetzt nochmal in ein anderes Wort zu fassen.
Volker: Also wir definieren als erstes, bevor wir ein IT-System im Bereich der Cyber Security analysieren,
Volker: da geht es dann in den Bereich des sogenannten Security by Design,
Volker: also wir nehmen uns, wir bringen aktuell oder aktiv Sicherheit in ein System.
Volker: Da müssen wir ja sagen, was ist Sicherheit? Und da gibt es halt ein anerkanntes
Volker: Schema und das nennt man dann Schutzziele, die wir absichern wollen.
Volker: Dieses Schema ist noch ein bisschen filigraner, als ich es jetzt gerade darstelle,
Volker: aber das hat diese drei Buchstaben C für Confidentiality, also Informationen vertrautig lassen,
Volker: I für Integrity, also eine legitime Datenänderung zulassen, in Klammern nur
Volker: die legitimierte Datenänderung zulassen und die Availability,
Volker: die Systemverfügbarkeit, sicherstellen.
Volker: Schön ist, wenn ich immer alles drei schaffe. Im Zweifel muss ich mich aber
Volker: für eins von den dreien entscheiden und dann gibt es noch Subklassen und Subkategorien,
Volker: die wir jetzt hier gar nicht anbringen.
Volker: Das ist diese sogenannte CIA-Triade und hier würde ich jetzt einfach mal so
Volker: mutig den Vorstoß machen, wenn ich diese CIA-Triade verletze in meinen Systemauslegungen,
Volker: dann habe ich eine Sicherheitslücke.
Monina: Das heißt, du beziehst auch Prozesse definitiv mit einen, die sich also auch
Monina: ein Prozess, der schlecht designt ist, kann eine Sicherheitslücke darstellen.
Volker: Ja, also wenn ich ein Vier-Augen-Prinzip zum Beispiel für den Zugriff von elektronischen Personalakten habe und,
Volker: Administratoren, aber alle Dokumente einzeln sehen dürfen, das ist ja ein rein
Volker: prozessuales Ding, wo ich einem Administrator einen bestimmten, also ich habe einen,
Volker: Zulassungsprozess der Rollenzuteilung und ich teile den Administratoren einfach
Volker: die Rolle im System falsch zu, dann habe ich eine Sicherheitslücke.
Volker: Da hat noch keiner irgendwo darauf zugegriffen.
Monina: Ja, Ingo, weil du gerade meintest, ich soll nochmal kurz das Beispiel vorhin
Monina: erläutern, das war schon gezielt mehr auf eine Malware, deswegen,
Monina: das ist nochmal wieder jetzt kurz vorweg gegriffen.
Monina: Das war, was ich meinte, war eine Malware, die aufgehört hat,
Monina: ihr Unfug anzustellen, ihr Unheil anzustellen, wenn das Keyboard-Layout entsprechend
Monina: hergegeben hat, dass eine bestimmte Sprache eingestellt ist.
Monina: Oder dem Hintergrund, dass die keine Leute aus dem eigenen Land angreifen wollten,
Monina: sollten, durften. Darauf wollte ich vorhin kurz hinaus.
Ingo: Okay.
Monina: Ist aber quasi jetzt hier schon wieder zu weit weg.
Volker: Ja, also jetzt haben wir jetzt quasi ein bisschen die Sicherheitslücke definiert.
Volker: Wir haben gesagt, wie kann ich denn gegen Sicherheitslücken vorgehen?
Volker: Jetzt müssen wir aber wieder zurück eigentlich zu diesem Thema,
Volker: wem Dienst ist. Ja, Samba-Kriminelle haben wir gesehen, denen schneiden wir den Geldhahn ab.
Volker: Staatliche Akteure oder insbesondere, Entschuldigung, erstmal die Terroristen,
Volker: die einfach nur Schaden anrichten wollen und Pressewirksamkeit haben wollen,
Volker: da hilft es eigentlich, ihnen keine Bühne zu bieten.
Volker: Also ich werde mich nicht so wirklich gegen wehren können, weil im Zweifel,
Volker: keine Ahnung, kauen sie mit einem großen Vorschlaghammer auf meinen Server drauf.
Volker: Aber ich darf halt keine Pressemeldung rausgeben, Achtung, ABC hat meinen Server
Volker: mit dem Vorschlaghammer zerstört.
Volker: Da macht es denen halt auch keinen Spaß mehr. Und dann haben wir die staatlichen Akteure,
Volker: Die sind ziemlich schwierig zu handhaben, weil man immer gar nicht weiß, was sie wollen.
Ingo: Wir haben übrigens noch legitime Akteure, die auch teilweise gerne Sicherheitsstücken nutzen würden.
Ingo: Das sind möglicherweise Polizeibehörden, die in einer bestimmten Schwere von
Ingo: Verbrechen natürlich auch zur Beweissicherung an Systemen heran müssen.
Ingo: Und ich muss ehrlicherweise sagen, dass das ein Thema ist, was mich nicht mehr
Ingo: loslässt, Weil ich früher ein, lass uns alles verschlüsseln,
Ingo: was geht, lass uns jede Lücke schließen, die wir kennen, Anhänger war.
Ingo: Und ich dann über zwei Jahre in dem Thema über die Frage,
Ingo: wie gefährdet eigentlich die IT-Welt, die KI, auch die öffentliche Sicherheit
Ingo: mit dem ehemaligen Direktor von Europol gesprochen habe, mit dem Jürgen Storbeck.
Ingo: Und der mich davon überzeugt hat, dass in bestimmten Situationen das für eine
Ingo: Polizei wahnsinnig wichtig ist, für Polizeibehörden wahnsinnig wichtig ist,
Ingo: auch an bestimmte Informationen heranzukommen.
Ingo: Und wenn wir alles abschließen, wir damit auch die Verbrechensbekämpfung extrem einschränken.
Ingo: Wie seht ihr denn diesen Aspekt?
Monina: Da machst du eine wahnsinnig kontroverse Diskussion darüber auf,
Monina: beispielsweise alleine über den Punkt Verschlüsselung.
Monina: Also wenn man Verschlüsselung schwach macht, hilft man eigentlich immer zuerst
Monina: allen Angreifern, weil wenn man eine Sicherheitslücke offen ist,
Monina: kann man sich eigentlich sicher sein, dass da Angreifer da sind,
Monina: die sie ausnutzen werden.
Monina: Und das nutzt vermutlich mehr als der einen Polizeianfrage, die kommt.
Ingo: Man könnte ja auch für die Polizei eine Hintertür einbauen, aber das wäre doch
Ingo: auch wieder eine Sicherheitslücke, oder?
Volker: Ja, das ist halt immer Sicherheitslücke. Es gab mal unter Windows 93 oder so,
Volker: gab es einen Registry-Eintrag, der meines Wissens nach nie aufgelöst wurde, der hieß NSA-Key.
Volker: Den gab es da und alle Welt hat sich halt gefragt, was soll dieser Registry-Eintrag NSA-Key.
Volker: Die Vermutung liegt nahe, aber wenn es nicht bestätigt wird….
Christian: Hallo, Christian hier aus der Postproduktion. Volker meint hier natürlich nicht
Christian: die nicht existente Version Windows 93 von Microsoft,
Christian: sondern die Version Windows NT 4.0, in der 1999 tatsächlich die Variable NSA-Key entdeckt wurde.
Christian: NSA hier vermutlich stehend für National Security Agency, den Ausleitsgeheimdienst
Christian: der USA, der uns auch viel später noch im Kontext der Snowden Leaks ein Begriff werden sollte.
Christian: Microsoft hat natürlich sofort bestritten, dass sich hinter dieser Variable
Christian: eine Backdoor für Windows NT 4.0 verstecken würde.
Christian: So richtig aufgeklärt, was hinter der Variable steckt, ist aber nach unserem
Christian: Kenntnisstand auch nicht.
Christian: Es gibt da widersprüchliche Angaben, ein paar Erklärungsversuche.
Christian: Wir setzen euch auch ein paar Links dazu in die Shownotes. Wenn ihr mehr wisst
Christian: als wir, dann schreibt es uns sehr gerne in unsere Kommentare.
Christian: Ihr findet die Möglichkeit, uns zu kommentieren auf sicherheitslücke.fm,
Christian: Lücke mit UE geschrieben oder einfach auf die Episode klicken,
Christian: Kommentar hinterlassen.
Christian: Wir lesen das und wenn wir uns hier arg getäuscht haben sollten,
Christian: bauen wir das auch in eine der kommenden Folgen ein.
Christian: Also lasst es uns gerne wissen, was ihr von dem Ganzen haltet.
Christian: Ich verschwinde erstmal wieder. Viel Spaß weiterhin mit der Folge.
Volker: Und hier, Ingo, ja, jetzt nehme ich einfach tatsächlich mal die Kontraposition
Volker: ein und bitte auch an alle Zuhörerinnen und Zuhörer, es ist jetzt explizit nicht
Volker: meine politische Meinung oder Einstellung, die ich hier äußere,
Volker: sondern es ist tatsächlich einfach eine Gegenposition.
Volker: Denn wir haben jetzt über Cyberkriminelle und Cyberterroristen und staatliche
Volker: Akteure geredet und meinen eigentlich immer die, die von außen kommen.
Volker: Unsere lokalen staatlichen Akteure mit, keine Ahnung, BKA-Gesetz oder Quellen-TKÜ,
Volker: also Telekommunikationsüberwachung, das sind Ermittlungsbehörden, staatliche Akteure.
Volker: Und sie geben allerlei Geld aus, um Tools und Zugänge sich zu verschaffen zu
Volker: Systemen, wo, wenn ich da drauf ginge, es dem Strafgesetz unterliegen würde.
Volker: Also ich würde eine Straftat begehen.
Volker: Das heißt, ich könnte mir vorstellen, dass es auch Leute in unserem Lande gibt,
Volker: die die Ermittlungsbehörden als Cyberkriminelle bezeichnen würden,
Volker: weil sie genau dieselben Tools einsetzen, wie wir es von anderen aus dem Ausland nicht möchten.
Ingo: Das ist eine furchtbar komplizierte Diskussion und ich möchte sie eigentlich
Ingo: nicht aufmachen, weil sie geht ja relativ schnell über in emotionalisierte Themen.
Ingo: Also wir haben das letzte Mal die Diskussion gehabt rund um Apple,
Ingo: die ein automatisches Screening von ihren Fotos gemacht haben und dann dieses an,
Ingo: also wenn da Fotos mit Nacktheit und jungen Menschen aufgetreten ist,
Ingo: die es an Polizeibehörden gemeldet haben.
Ingo: Oder an, ich glaube nicht Polizeibehörden, sondern an Vereine,
Ingo: die sich um eben Vermeidung von entsprechender pornografischer,
Ingo: Verteilung von Informationen kümmern und die sich dann mit dem Polizeibehörden
Ingo: zusammensetzen können.
Ingo: Und das wurde ja dann eingestellt, nachdem es einen sehr lauten Aufschrei dazu
Ingo: gab. Das Problem ist bei der ganzen Geschichte,
Ingo: Wir wollen ja aber auch nicht, dass IT-Geräte eine grenzenlose Kriminalität erlaubt.
Ingo: Und man muss etwas betrachten dabei. Und das fällt mir auch sehr schwer in der Diskussion.
Ingo: Aber das ist eben genauso ein Ergebnis auch dieser Diskussion mit dem Vertreter
Ingo: der Polizei an der Stelle.
Ingo: Das Problem ist, in einem normalen physischen Raum auf einer Straße haben wir Regeln.
Ingo: Und wenn man die Regeln nicht einhält, dann wird uns der Zugang zu diesem System
Ingo: entzogen. Also wir kriegen den Führer schon abgenommen und dürfen nicht mehr fahren.
Ingo: Und im IT-Raum bin ich im Prinzip ohne Regeln unterwegs.
Ingo: Wenn die Polizei jetzt keine Möglichkeiten hat, etwas einzusehen,
Ingo: ist dieser Raum ein bisschen wie der Wilde Westen.
Ingo: Unkontrolliert und unkontrollierbar. Und die Frage ist, ob wir das eigentlich
Ingo: zulassen können als Gesellschaft. Aber vielleicht ist das auch ein Thema für eine eigene Folge.
Ingo: Es schließt für mich ein bisschen die Frage an, wollen wir Systeme haben,
Ingo: die überhaupt gar keine Sicherheitslücken enthalten?
Ingo: Oder nehmen wir bestimmte Sicherheitslücken aus anderen Gründen in Kauf?
Monina: Das ist ein schwieriges Thema, aber du machst es fast zu einfach,
Monina: wenn du die Frage so stellst.
Monina: Weil du musst bedenken, selbst wenn du ein gewisses Maß an Sicherheitslücken
Monina: einbaust, die der Strafverfolgung zu absolut legitimen Zwecken gereicht und diese benutzen können,
Monina: musst du ja immer noch gleichzeitig sicherstellen, dass diese Sicherheitslücken
Monina: auf gar keinen Fall auch von Angreifern ausgenutzt werden können. Und das ist ein...
Monina: Punkt, wo ich sagen würde, du eigentlich nie sicher sein kannst,
Monina: dass, wenn die Sicherheitserklärung existiert, sie nicht auch gleichzeitig von
Monina: allerlei Sorte Angreifern ausgenutzt wird und nicht nur von legitimen,
Monina: in dem Fall Anliegen von Strafverfolgungsbehörden.
Volker: Stimme ich Monina voll zu. Also gebe ich dir absolut recht.
Volker: Denn mein Ziel als Sicherheitsforscher ist es erstmal ein System maximal sicher
Volker: zu machen. Und maximal sicher, hatten wir schon in den letzten Folgen gesagt,
Volker: ist immer ein Trade-off aus Aufwand und Nutzen.
Volker: Das heißt, ich werde nie die absolute 100-prozentige Sicherheit,
Volker: 100,0-prozentige Sicherheit haben.
Volker: Ich werde immer in irgendeiner Art und Weise irgendwelche Abstriche machen.
Volker: Und damit, also einerseits, jetzt gebe ich mal diese Pseudo-Rolle auf und gehe
Volker: mal wieder in meine richtige Rolle.
Volker: Lasse ich IT-Sicherheitsbehörden, weil ich dem Staat als Konzept,
Volker: wie wir es haben, in Gänze vertraue,
Volker: auch mir gegenüber lasse ich diesen IT-Sicherheitsbehörden das Recht,
Volker: weil es ist ausreichend juristisch abgesichert durch Staatsanwaltschaften,
Volker: durch Gerichte, durch Durchsuchungsbeschlüsse, alles, was da irgendwie vorliegen muss.
Volker: Wenn sie dann diesen Voraufwand getrieben haben, um mich zu identifizieren als
Volker: einen potenziellen Straftäter, ja mein Gott, dann haben sie ja alle rechtlichen
Volker: Mittel eingehalten und dann dürfen sie das aus meiner Sicht auch.
Volker: Das heißt aber nicht, dass ich mein System bewusst so gestalte,
Volker: dass sie es dann auch einfach haben, sondern dann haben sie zur Not alle Mittel,
Volker: mit allen möglichen Leuten vor mein Haus zu fahren,
Volker: mit denen meine Tür einzutreten und die Server auch aus meinem Haus zu tragen
Volker: und dann mit aller staatlicher Macht auch kryptografische Brute-Force-Hacking-Algorithmen
Volker: anzuwenden und hoffen, dass sie an meine Daten kommen.
Volker: Ja, genau alle diese Rechte haben sie. Das verpflichtet mich jetzt aber nicht,
Volker: meine Systeme mit einer Hintertür zu versehen, weil genau diese Hintertür ist
Volker: im System und zwar für alle, die sie nutzen wollen.
Volker: Das ist ja auch das, was Monina gesagt hat.
Monina: Da bleibt die Frage, ob dann nicht der Schaden, der entstehen kann,
Monina: dass Leute potenziell diese Schwachstellen auch ausnutzen, zu schadhaften Zwecken,
Monina: einen größeren Schaden letztendlich anrichtet, als dadurch verhindert werden kann.
Monina: Aber ich nehme an, das kann man sehr unterschiedlich sehen.
Volker: Wenn Ingo keinen Einspruch hat, also ich sag mal, wenn du noch Themen hast,
Volker: nennen sie, aber ich würde mich gerne noch auf eine andere Gruppe kommen,
Volker: genau zu sagen zwei Gruppen, die extrem gefährlich sind und da noch eine dritte,
Volker: naja, für später vielleicht noch als Nachtisch.
Ingo: Also ich wollte diesen Gedankengang einbringen. Wir haben darüber gesprochen
Ingo: und wir haben Extrempositionen eingenommen dabei, zum Teil.
Ingo: Und ich denke, dass unsere Zuhörer das jetzt auch ein bisschen abwägen können,
Ingo: was wir damit meinen. Und das ist eben nicht ganz einfach.
Ingo: Es ist nicht schwarz und weiß an der Stelle. Also ich bin einverstanden, dass wir weitergehen.
Volker: Ja, und auch da noch zu diesen Extrempositionen. Ich mache jetzt auch mal durchaus
Volker: gerne mal ein bisschen Werbung für Kongresse.
Volker: Wer wirklich mal solche Extrempositionen live durchdekliniert haben will über
Volker: mehrere Tage, der soll zu den Chaos Computer Club Kongressen am Jahresende gehen,
Volker: weil da gibt es Dutzende an Sessions,
Volker: die genau sich in diesem Bereich, den wir gerade bestritten haben, austoben.
Volker: Ist nicht ganz unser Task hier, aber die anderen Aktivisten oder Gruppen,
Volker: die ich noch benennen möchte, das sind gar nicht mal die, wir gehen gegen Großkonzernen,
Volker: sondern es ist eher der Dachdecker oder Bäcker oder Mittelständler nebenan,
Volker: der seine IT zwar braucht, aber eben hemsärmlich absichert.
Volker: Und da gehen wir dann meistens so irgendwie auf Hobbyisten oder Skriptkiddies
Volker: oder meinetwegen die Fleischerei, die von Cyberaktivisten, die alle Veganer sind,
Volker: angegriffen werden, weil sie einfach zeigen wollen, wie verwundbar Fleischereien
Volker: in ihren IT-Systemen sind.
Volker: Und da gehen wir jetzt tatsächlich 30 Schritte nach hinten in der Cybersicherheit
Volker: und sagen, Unternehmen scheint es egal zu sein, ob sie angreifbar sind.
Volker: Und sie machen es so leicht, dass selbst, was wir halt nennen Skriptkiddies,
Volker: ja, wir haben jetzt mal irgendeinen coolen Hack auf YouTube gesehen und probieren den mal aus.
Volker: Und in unserer Schule kommen wir ja sogar auf den Webserver und auf dem Webserver
Volker: können wir sogar ganz lustige Fotos von natürlich nicht besoffenen Lehrern der
Volker: letzten Klassenfahrt hochspielen.
Monina: Ist das nicht schon die Sicherheitslücke, dass die Schüler an diese Bilder kommen?
Volker: Hätten wir nie gemacht, also um Gottes Willen. Damals gab es schon noch keine Web-Server.
Monina: Ist das in einem Kontext von Schulen und Universitäten nicht aus dem Blickwinkel
Monina: des Lehrens raus zu betrachten?
Ingo: Ich glaube, das Problem ist hier nochmal ein deutlich anderes.
Ingo: Also ich würde Schulen und Universitäten auseinanderhalten, weil wir in Universitäten
Ingo: üblicherweise große Rechenzentren haben mit professionellem Personal.
Ingo: In Schulen häufig aber nicht. Und in Schulen dann die Situation haben,
Ingo: dass die Hacker-Kids oder wie auch immer wir sie nennen wollen,
Ingo: möglicherweise sogar die technisch Begabtesten an der Schule sind und auch weit
Ingo: mehr Know-how haben über IT-Systeme, als es die Lehrer haben,
Ingo: die nebenbei in ihrer nur unzureichend geschulten Freizeit dann eben den IT-Bereich
Ingo: der Schule leiten oder organisieren haben.
Ingo: Und das Problem eben, wir haben also Angriffe von Personen, die innerhalb des Systems sind,
Ingo: die im WLAN berechtigt aktiv sind, in einer Struktur, die unzureichend geschützt
Ingo: ist und die nur sehr schwer zu schützen ist, mit fehlendem Fachpersonal.
Monina: Das ist ein Problem. Das finde ich wieder ein wunderbarer Fall,
Monina: auch bei den Mittelständlern und kleinen Unternehmen, wie du gemeint hast.
Monina: Also so ein Metzger ist per Definition eigentlich nicht dazu da,
Monina: sich darum zu kümmern, IT zu machen.
Monina: Das ist nicht, was ich von ihm erwarte in seiner Jobbeschreibung.
Monina: Das wäre ein klassischer Fall von, eigentlich müsste die IT dann so robust sein,
Monina: wenn ich sie kaufe, dass ich sie idiotensicher hinstellen kann und das funktioniert und,
Monina: Das ist erstmal keine offensichtige Sicherheitslücke, selbst wenn ich mich dumm
Monina: anstelle als Benutzer da, oder?
Volker: Du bist doch auch aus dem IT-Bereich, also muss ich ja jetzt nicht sagen.
Monina: Man darf ja wohl mal träumen.
Volker: Ja, okay, danke für die Aufklärung. Ja, also das Problem da,
Volker: ja, zum einen stimme ich dir zu, dass es wieder dieses bewusste Schließen von
Volker: Sicherheitslücken auf der Anbieterseite, auf der anderen Seite nehme ich da
Volker: aber auch ganz klar Anwender und Anwenderinnen in die Pflicht.
Volker: Ich, genau wie ich beim letzten Mal gesagt habe, so zu KIs, die falsche Informationen
Volker: geben können und sowas, es ist doch nun mal mittlerweile echt Allgemeinwissen,
Volker: dass KIs immer eine Antwort geben, aber diese Antwort nicht immer stimmen kann. Also halluzinieren.
Volker: Dementsprechend gehört das doch auch mittlerweile zum Allgemeinwissen,
Volker: zu wissen, dass vernetzte Systeme angegriffen werden können.
Volker: In Klammern natürlich auch nicht vernetzte Systeme.
Volker: Also muss ich mich doch irgendwie, sorry, verdammt nochmal darum kümmern,
Volker: dass ich diese Hintertür dicht mache.
Monina: Aber ist das mit den KIs Allgemeinwissen oder ist das Allgemeinwissen in dem
Monina: Umfeld von IT-Lern und Naturwissenschaftlern?
Volker: Okay, ich klammer es ein bisschen ein, aber trotzdem ist, glaube ich,
Volker: die Tatsache von Cyberangriffen an Netzwerke angebundene Systeme.
Volker: Insoweit darf ich mich da aus dem Fenster hängen, dass das Allgemeinwissen ist, oder?
Ingo: Ja, du hast da recht, aber das Problem ist, du hast den Metzger oder die Metzgerei.
Ingo: Und die Metzgerei hat Menschen, die für ihr Leben gerne eben die Fleischzubereitung
Ingo: organisieren und mit Tieren umgehen und so etwas.
Ingo: Und die wollen überhaupt nicht ins Netz, weil sie auch mit ihren Zulieferern
Ingo: arbeiten, völlig ohne Computer.
Ingo: Die brauchen aber das Netz nur und die Computer, um damit Berichtspflichten
Ingo: über den Staat zu erfüllen und nutzen diesen Computer also ausschließlich dafür.
Ingo: Das ist aber manchmal gar nicht einfach, weil die Software manchmal gar nicht
Ingo: mit den neuesten Systemen dann so einfach läuft.
Ingo: Oder wenn man dann das Betriebssystem aktualisiert, müsste man auch die Software
Ingo: aktualisieren, das kostet wieder viel Geld.
Ingo: Also es kommen auch finanzielle Aspekte mit hinein. Es kommt aber auch Fachpersonalfragen mit hinein.
Ingo: Also wer macht das überhaupt in der Metzgerei? haben wir eigentlich wirklich
Ingo: das IT-Personal in der Fläche in den verschiedenen Orten, die dann wirklich auch diese,
Ingo: sicheren Umstellungen von IT-Systemen von einer Betriebssystem-Version zur nächsten
Ingo: übernehmen können? Weiß nicht.
Volker: Ja, okay. Also ich weiß, worauf du raus willst, aber ich gehe jetzt dann nochmal
Volker: auf die Script-Kiddies.
Volker: Also auf die Leute, die irgendwo ein Tutorial im Netz finden und sagen,
Volker: hey, komm, finde ich mal cool, ich kann Python programmieren,
Volker: das haue ich mal jetzt auf Moninas Rechner.
Volker: Und der schafft Moninas digitalen Bilderrahmen tatsächlich auch mit irgendeinem Skript zu infizieren.
Volker: Da würde ich jetzt ernsthaft sagen, wenn ein Skript-Kiddy das schafft,
Volker: und damit meine ich jetzt nicht irgendwelche heiß-sophisticated-Attacken über
Volker: zehn Stufen und sowas, ich meine jetzt wirklich irgendein Quellcode aus dem
Volker: Netz saugen und da auf irgendeinen Rechner drauf ballern,
Volker: boah, dann bin ich jetzt schon echt an der Stelle selbst schuld, ne?
Monina: Ja, ich würde dir in dem Fall tatsächlich zustimmen.
Monina: Das verstehe deine Sichtweise dann auch. Aber das ist der schwierige Punkt,
Monina: dass es Leute gibt, die kennen sich halt mit IT aus berufsbedingt oder hatten
Monina: damit schon mal mehr zu tun.
Monina: Es gibt halt Leute, die wirklich was in ihrer Welt eigentlich komplett anderes
Monina: machen und zwanghaft oder zwangsweise gelegentlich mit IT zu tun haben müssen und das nicht wollen.
Monina: Die wollen sich damit nicht beschäftigen. Die wollen sich da auch nicht tiefer
Monina: einlesen. Die wollen sich da keine Gedanken machen. Die wollen,
Monina: dass es einfach funktioniert.
Monina: Und mehr wollen die nicht.
Volker: Kann ich verstehen.
Ingo: Ich glaube, worauf hinaus folgt, ist ein ganz wichtiger Punkt und eine Nachricht
Ingo: für alle, die uns zuhören.
Ingo: Disziplin und Prävention ist ein wichtiges Thema. Ihr müsst Disziplin haben,
Ingo: dass ihr jederzeit die aktuellsten oder die aktuellen Software-Updates aufspielt
Ingo: und dass ihr wirklich auch euch damit beschäftigt,
Ingo: wie eure Systeme nutzbar sind und wo ihr welche Art von Daten speichert und
Ingo: wer darauf potenziell Zugriff haben könnte.
Volker: Danke, Ingo. Also ich habe ja gerade so ein bisschen Mauern eingerissen und
Volker: du hast sie jetzt wieder ein bisschen aufgebaut.
Volker: Das finde ich gut. Meine Ehre wieder gerettet.
Volker: Ich hätte es nicht schöner formulieren können. Ich hätte sogar auch so rumgesagt,
Volker: ich möchte ja gar keinen verpflichten.
Volker: Ich habe ja gesagt, ich nehme die Hersteller von Systemen in die Pflicht.
Volker: Aber wenn ich nun auf meinem Handy, YouTube, Instagram, TikTok,
Volker: WhatsApp, meine Banking-App, meine ÖPNV-App, den DB-Navigator habe,
Volker: dazu noch meine Visa-Card-Applikation und PayPal und sage, was kann mir schon passieren?
Volker: Ach, nein, sorry, kein Mitleid, weil wir, also entweder bin ich mir darüber
Volker: bewusst, was mir passieren kann, dass ich mir nämlich über WhatsApp,
Volker: über eine Nachricht, eine Mail, wer auf mein iPhone,
Volker: mein iPhone, mein Android-Phone holen kann, dass diese wiederum Screenshots
Volker: von meinem System macht, während ich Sachen eingebe, Passworte eingebe und die
Volker: an Command-Control-Center liefert.
Volker: Ich weiß einfach, dass es solche Mechanismen geben kann.
Volker: Und je mehr Kram ich mir auf dem Handy hole, umso mehr muss ich mir darüber
Volker: bewusst sein, dass ich Gegenmaßnahmen und Sicherheitsmaßnahmen ergreifen muss.
Volker: Und wenn ich zu all dem nicht bereit bin, und jetzt mein letzter Satz,
Volker: weil sonst monologisiere ich einfach zu viel. Man merkt, ich reg mich so ein bisschen auf.
Volker: Wenn ich zu all dem nicht bereit bin, sondern mir meine 793.
Volker: App auf mein Handy lade Und dann immer noch klicke, ja, du darfst auf meine
Volker: Kamera, auf mein Mikrofon und auf meinen Bildschirm zugreifen und während die
Volker: App im Hintergrund läuft und meinetwegen auch noch, wenn das Phone aus ist.
Monina: Und wie möchte ich jetzt aber meiner Mutter beispielsweise erklären,
Monina: dass sie sich nicht einfach auf ihrem Handy sowohl die Nachrichten anschauen
Monina: kann, als auch auf ihrer Lieblings-Social-Media-Seite unterwegs sein kann,
Monina: als auch ihre Post-Angelegenheiten erledigen kann.
Monina: Weil man braucht ja mittlerweile eigentlich eine App, um Banking-Sachen zu machen.
Monina: Nach deiner Definition ist es eine Sicherheitslücke, dass ich das auf demselben
Monina: Handy habe. Aber was will ich denn jetzt als normaler Benutzer dagegen tun?
Volker: Ja, also Punkt 1 erstmal. Okay, sorry Ingo, du wolltest was sagen,
Volker: aber mein Pult ist noch bei 300. Also Punkt 1.
Volker: Wenn man sich eine Banking-App installiert, die üblicherweise durch,
Volker: ich weiß gar nicht, ob die durch die BaFin, Bundesnetzagentur oder BSI,
Volker: aber irgendwie hat die ein Sicherheitsaudit durchlaufen, die Banking-Apps, dann...
Volker: Bei meiner ist es so, die überprüft zum Beispiel, ob das Handy geroutet ist.
Volker: Das heißt also, ob der Basis-Passwort-Schutz des Betriebssystems bei der Installation
Volker: gebrochen wurde und damit illegitime Applikationen installiert werden konnten.
Volker: Wenn das passiert ist, installiert die App sich nicht.
Volker: Diese App überprüft, ob auf dem Handy, ich hatte nämlich mal so eine Navigationsapplikation,
Volker: die konnte sich über andere oben drüber legen.
Volker: Das war jetzt nicht irgendwie so Google Maps oder sowas, sondern das war eine
Volker: andere Applikation, die konnte sich einfach oben drüber legen,
Volker: also sogenannte Overlays über den aktuellen Bildschirm legen.
Volker: Hat die App gesagt, ich installiere mich nicht, weil du hast eine App installiert,
Volker: die Overlays über mich rüberlegen kann.
Volker: Das ist genau das, was ich meine. Die Hersteller haben sichergestellt, dass das nicht geht.
Volker: Jetzt gibt es aber Systeme, die, sagen wir mal, unterhalb der Schwelle von Banking-Apps
Volker: sind, aber im Prinzip das Gleiche machen.
Volker: Das ist PayPal, das ist meinetwegen hier die Amazon-App, wo man sich irgendwelche
Volker: Waren schicken kann und die Bankdaten hinterlegt hat und über Amazon Pay oder sowas bezahlen kann.
Volker: Die machen also das Gleiche, sind aber unterhalb dieser Überwachungsschwelle.
Volker: Und ob die diese Sicherheitsmechanismen haben, weiß ich nicht.
Volker: Und jetzt kommt genau der Punkt, ich mache es einfach an der puren Menge fest.
Volker: Wenn ich mir davon 50 installiert habe von dem Kram, muss ich eben auch damit
Volker: rechnen, dass mein Risiko im Faktor 50 gestiegen ist.
Ingo: Ja, aber hat nicht beinahe jeder, der ein bisschen auf Reisen ist, 300 Apps auf dem Handy?
Ingo: Also ich meine allein die Scooter-Apps, die man braucht, um mal eben mobil vom
Ingo: Bahnhof zum Hotel zu fahren.
Ingo: Oder die App, mit der man das Restaurant bestellen kann, mit der man mit Kollegen
Ingo: abends zum Essen gehen möchte. die App, mit der man die Apartments buchen kann.
Ingo: Also ich meine, diese App-Vielfalt ergibt sich doch fast automatisch.
Ingo: Also es ist doch illusorisch zu glauben, dass ich eine Übersicht über meine
Ingo: Apps behalten kann, welche davon in welcher Form welche anderen gefährden könnten.
Volker: Okay, jetzt sind wir bei Sicherheitsmaßnahmen. Punkt 1. Im Ausland und insbesondere
Volker: im kritischen Ausland nutze ich ein anderes Handy.
Volker: Tatsächlich. Im superkritischen Ausland sogar eine andere SIM-Karte.
Volker: Damit da eine Rückverfolgbarkeit nicht möglich ist. Punkt 1.
Volker: Und Punkt zwei, ich benutze keine Scooter-App, ich laufe zum Hotel.
Volker: Aber ich glaube, das war nicht die Antwort, die du hören wolltest.
Ingo: Nee, das war nicht ganz die Antwort, weil die Komplexität sich auch in Unternehmen
Ingo: widerspiegelt. Also ich will nur mal als ganz kleines Beispiel reinbringen.
Ingo: Ich habe mir vor vielen, vielen Jahren, als so Banken angefangen haben,
Ingo: sich zu fusionieren, mit einer dieser Banken gesprochen.
Ingo: Und die hatten mir damals berichtet in ihrem IT-System, dass die über 10.000
Ingo: Applikationen im Unternehmen verwalten.
Ingo: Das war eine mittelgroße Bank. Und bei diesen Applikationen zählen natürlich
Ingo: auch irgendwelche Makro-Excel-Sheets, also irgendwelche programmierten Excel-Tabellen.
Ingo: Das ist aber ein Problem. Also das Problem ist ja nicht unbedingt,
Ingo: dass die Sicherheitslücke dadurch entsteht, dass ich eine bestimmte App auf
Ingo: dem Gerät spiele, sondern die Interaktion von unterschiedlichsten Programmen
Ingo: miteinander, von Systemen miteinander, die Fragen,
Ingo: was sich dadurch öffnet, dass ich bestimmte Dinge miteinander in Beziehung setze.
Ingo: Das ist doch das Risiko, was wir nur sehr schwer abschätzen können und was selbst
Ingo: Experten nur sehr schnell im Überblick behalten können.
Volker: Ich glaube, das ist Molinas Thema.
Monina: Es ist eine große Komplexität. Würde ich behaupten, wenn du ein Unternehmen
Monina: hast, das so viele Apps betreibt, dann müsstest du entsprechend da dein komplettes
Monina: System auch ausrichten darauf, dass du beispielsweise ein Intranet hast.
Monina: Dass du beispielsweise nach Zero-Trust-Maßnahmen das Ganze aufgebaut hast mit
Monina: Außengrenzen, wo du schon mal nach außen hin nur das wirklich nach außen auch
Monina: gibst oder von außen reinkommen lässt, was zwingend notwendig ist.
Monina: Dass du weiter innen dann immer noch verschiedene Netzbereiche hast,
Monina: Netzsegmentierung, so weit wie möglich.
Monina: Bisschen oldschool vielleicht, aber immer noch eigentlich ganz gut.
Monina: Und nur dazwischen auch zulässt, was zugelassen werden muss.
Monina: Also da musst du halt dann tatsächlich, aber wenn du so groß bist,
Monina: hast du auch die Leute dafür, dass du zumindest eine IT hast,
Monina: die das Ganze betreiben kann, dass du das ordentlich aufbauen kannst.
Monina: Dass du da Sicherheitsinstanzen hast, dass du da Sicherheitsmechanismen hast,
Monina: Regularien, die definieren, was wohin darf.
Monina: Und bis hin zu Zero Trust, dass jeder nur auf die Ressourcen zugreifen kann
Monina: mit einer entsprechenden Authentifizierung, die er wirklich benötigt.
Volker: Ja, bis hin zu Software, die fernkonfigurierbar ist von der IT,
Volker: wo du legitimes Software weitlisten musst.
Volker: Also du musst sagen, auf den Rechnern darf nur diese Applikation laufen,
Volker: weil ansonsten, vielleicht war die Zahl nur aus dem Himmel gegriffen,
Volker: aber würde ich sagen, also 10.000
Volker: freigegebene Applikationen in einem Unternehmen, das ist schon mutig.
Volker: Ja, das verschlecken die Sprache erstmal. Ja, wären es 100, würde ich sagen,
Volker: herzlichen Glückwunsch bei der Administration und bei 50 oder 20 würde ich sagen, okay, safe.
Volker: Und da hast du halt Applikationen, die im Prinzip wie ein Virenscanner sind,
Volker: aber die gucken nicht auf Viren, sondern die gucken tatsächlich,
Volker: wurde ein Programm gestartet, das nicht von der IT freigegeben wurde.
Ingo: Ja, man kann ja auch viel mit KI machen, dass man neben dem Datenverkehr,
Ingo: der im Netzwerk unterwegs ist, automatisch analysieren, einen Clustern lässt.
Ingo: Also das ist klar. Also da haben wir viele Möglichkeiten.
Ingo: Ich wollte nur das Dilemma nochmal aufzeigen und diese 10.000 Applikationen
Ingo: sind in Großunternehmen nicht so weit weg von der Realität, wie man das vielleicht
Ingo: auf den ersten Blick glauben mag.
Ingo: Weil man sich einfach allein überlegen muss, dass wenn man sehr,
Ingo: sehr viele Mitarbeiter hat, eine bestimmte Gruppe von Mitarbeitern möglicherweise
Ingo: schon ein eigenes Berichts-Excel aufbaut.
Ingo: Und das ist dann schon eine Applikation, die eine gewisse Makrofähigkeit in
Ingo: einem Excel mit sich bringt und die natürlich über Versionen revidiert werden
Ingo: müsste und in dem man natürlich auch gucken muss,
Ingo: ob sich über die verschiedenen Betriebssystemversionen die Möglichkeiten durch
Ingo: die Excel auch verändern.
Ingo: Und das sind eben genau diese Punkte, die sich da immer wieder reingeben.
Ingo: Und das ist noch so ein Thema, was ich noch ansprechen wollte in Bezug auf den Sicherheitslücken.
Ingo: Wir haben ja immer das Problem, dass wir doch eine sehr hohe Geschwindigkeit
Ingo: haben mit technischen Erneuerungen.
Ingo: Und wir im Privatbereich, das ist auch, glaube ich, der gefährlichere Bereich,
Ingo: aber wahrscheinlich der weniger problematische Bereich, weil es für kriminelle
Ingo: und staatliche Akteure sich mehr lohnt, sich an große Unternehmen zu halten
Ingo: oder an Unternehmen zu halten.
Ingo: Aber im Privatbereich haben wir natürlich immer den Wunsch, möglichst schnell
Ingo: die neueste Software zu verwenden, während man im großen Unternehmen eher sagt,
Ingo: die Software lassen wir erstmal ein bisschen am Markt reifen.
Ingo: Also beispielsweise bei Daimler, wo ich früher viel zu tun hatte,
Ingo: war es immer so, dass die Windows-Version immer mindestens ein bis zwei Schritte zurückgeblieben ist.
Ingo: Also man ist immer bei einer Vorversion geblieben, als sie aktuell herausgekommen
Ingo: ist und erst mal gewartet, bis der erste Punkt 1 Release kam,
Ingo: bevor man überhaupt überlegt hat, auch nur mit einzelnen Rechnern zu wechseln.
Volker: Ein Thema hatte ich noch, wenn ich darf.
Volker: Das sind nämlich die Lücken, die gerne völlig übersehen werden in Unternehmen.
Volker: Und da komme ich nachher auch jetzt auf das Thema, was Monina,
Volker: glaube ich, vorhin angesprochen hat, Prozesse.
Volker: Frustrierte Mitarbeiterinnen, Mitarbeiter, Innentäter, Administratoren,
Volker: die gekündigt wurden oder denen gekündigt wurde im Rahmen einer Unternehmensumstrukturierung
Volker: und die zu diesem Zeitpunkt gerade noch vollen Zugang zu ihren Systemen haben. Ja.
Monina: Das ist dann aber auch, das ist dann aber dementsprechend auch ein,
Monina: wenn die schon gekündigt sind und der Prozess, die an die Sachen noch rankommen,
Monina: also die Zugänge noch freigeschaltet sind, dann ist das ein Prozessfehler,
Monina: also eine Sicherheitslücke in dem Prozess selber.
Monina: Wenn die schon frustriert sind, bevor sie gekündigt sind, dann wäre das ein
Monina: klassischer Fall von dem vorhin erwähnten auch Zero-Trust-Modell beispielsweise
Monina: als Absicherung. Also man,
Monina: Prinzipiell davon aus, dass niemand auf irgendwas zugreifen muss,
Monina: was er nicht aktiv zum Arbeiten braucht und jeder muss sich eigentlich dann
Monina: dafür authentifizieren, für das, was er braucht. Das wäre dann eine gute Gegenmaßnahme.
Monina: Dann wäre es wohl nachvollziehbar, wer was getan hat, als auch beschränkt,
Monina: was jemand ändern kann oder worauf jemand zugreifen kann und was jemand anstellen kann.
Monina: Aber ja, es ist definitiv ein Prozess, eine Sicherheitslücke Mensch in dem Prozess, die man da hat.
Volker: Und da sind wir jetzt im Prinzip schon quasi wieder fast am Anfang unserer Diskussion,
Volker: wo wir bei Schutzzielen waren, Schutzziele und Prozesse.
Volker: Wir müssen eben tatsächlich gucken, wenn es zum Beispiel um Integrität von Systemen
Volker: geht oder von Dateien und das ist zum Beispiel dann gelöschte Dateien.
Volker: Also die Integrität bezeichnet ja die berechtigte Veränderung von Dateien und
Volker: ein illegitimes Löschen ist ja ein Integritätsschutz.
Volker: Und dementsprechend, oder der Schutz gegen dieses Löschen, dementsprechend müssen
Volker: wir halt zusehen, dass unsere Prozesse, die wir in Unternehmen haben,
Volker: genau auch sowas mit abfedern.
Volker: Das bedeutet zum Beispiel, dass Administratoren und Administratorinnen kein
Volker: Vollzugriffsrecht haben auf hyperkritische Infrastrukturen, auf Server.
Volker: Dass bei Server immer das Zwei-Administrator-Prinzip besteht,
Volker: das zum Löschen von Dateien, zum Formatieren von Betriebssystemen,
Volker: zumindest Hochsicherheitsdaten,
Volker: dass kein Single Access möglich ist.
Monina: Hast du das tatsächlich schon mal in the wild gesehen?
Volker: Ja, aber in the wild tatsächlich jetzt nicht bei Standardunternehmen XYZ,
Volker: sondern dann zum Beispiel eher bei Banken,
Volker: wo du in die Core-Server-Räume der Bankrechenzentren, also die sind ja sogar
Volker: separiert, wenn man die Sparkassen zum Beispiel nimmt, in der eigenen Sparkassen-IT
Volker: mit eigenen Rechenzentren,
Volker: wo du in dieses Herz nicht mal ohne eine explizite weitere Zugangskontrolle
Volker: durch Personen reinkommst.
Volker: Also ja, in the wild gibt es das, aber jetzt kommt wieder Aufwand versus Nutzen.
Volker: Ja, wenn ich halt akzeptieren will als Unternehmen, dass mit Format All meine
Volker: Festplatten einfach platt gemacht werden, weil ein Admin super frustriert über
Volker: die Umstrukturierung ist, dann war es mir das halt nicht wert.
Volker: So nüchter muss man das betrachten.
Ingo: Das spannende Problem an deiner Lösung ist,
Ingo: dass wenn es beispielsweise Frustrationsprobleme gibt, die aus dem Arbeitsumfeld
Ingo: heraus entstehen, also zum Beispiel ein Zusammenschluss von mehreren Unternehmen
Ingo: und die Systemadministratoren werden deutlich heruntergestuft und verdienen weniger Geld,
Ingo: da kann es natürlich passieren, dass sich auch mehrere zusammenschließen und frustriert sind.
Ingo: Also ich verstehe den Gedanken und der hilft, glaube ich, sehr,
Ingo: aber es befreit uns nicht von einer umsichtigen und auch sehr intensiven Auseinandersetzung
Ingo: mit dem Thema Sicherheit, was es eigentlich für ein Unternehmen bedeutet und
Ingo: wo auch die Angriffsziele zu erwarten sind.
Ingo: Also ich glaube, genau diese Frage, habe ich möglicherweise eher ein Personalproblem,
Ingo: habe ich möglicherweise eher das Problem, dass ich ein Geheimschutzthema habe,
Ingo: also da besonders reingehen muss und was sind eigentlich die richtigen Wege,
Ingo: mich dann entsprechend zu schützen und wie viel Aufwand muss ich dafür treiben,
Ingo: also welches Risiko besteht,
Ingo: also welche Schadenshöhe ist zu erwarten, welche Eintrittswahrscheinlichkeit
Ingo: besteht für ein bestimmtes Ereignis und welcher Aufwand lohnt sich auch entsprechend,
Ingo: solche Themen abzuwehren.
Volker: Und da sind wir tatsächlich wieder am Anfang unserer ganzen Diskussion Assets.
Volker: Ich muss bewerten, was die Kerneigenschaften, die kernwerthaltigen Gegenstände
Volker: meines Unternehmens sind.
Volker: Gegenstände im Sinne von auch IT, Daten, Infrastruktur und so weiter.
Volker: Ich muss diese Assets bewerten hinsichtlich Zugriffsschutz und ich muss überlegen,
Volker: wie viel ist es mir wert, in das System zu investieren.
Volker: Und machen wir uns nichts vor.
Volker: Eine Vier-Faktor-Authentifikation mit Blutgruppenentnahme und DNA-Bestimmung
Volker: ist natürlich ein super Aufwand, den pro Person zu machen, also in Klammern teuer.
Volker: Aber wenn ich das brauche, dann brauche ich das.
Volker: Okay, Monina lacht, falls sie sich gerade vorstellt, dass sie jedes Mal eine Blutprobe geben muss.
Monina: Ja, nein, ich habe überlegt, dass gerade solche biometrischen Authentifikationsmerkmale
Monina: ja durchaus gelegentlich auch schon, ich glaube, die auch vom CCC in irgendeinem
Monina: Beitrag teilweise ausgehebelt worden sind.
Monina: Das Problem ist mit Passwörtern, die man nicht ändern kann, wie beispielsweise
Monina: im Fingerabdruck. Der ist halt nicht änderbar, wenn er einmal gediegt ist.
Volker: Man muss einen anderen Finger nehmen oder naja.
Volker: Bevor wir das wirklich jetzt rund machen, habe ich noch eine andere Gruppe,
Volker: die wir nie als Angreifer bezeichnen würden, also wir jetzt intern nicht,
Volker: das sind die IT-Sicherheitsforscher, die aber nach aktuellem Tatbestand noch
Volker: voll unter das Strafgesetzbuch fallen, bei allem was sie tun.
Volker: Und da gab es tatsächlich auch schon Vorfälle, wo Sicherheitsforscher Dinge
Volker: aufgedeckt haben und dann angezeigt wurden,
Volker: dass sie eine Straftat begangen haben, bis hin zu,
Volker: okay, wir wollen jetzt nicht politisch werden, aber es gab da durchaus einige
Volker: öffentlich-rechtliche Vereine, die auch Parteien genannt werden,
Volker: die durchaus Zugänge zu ihren Systemen gelassen haben, die vielleicht nicht
Volker: ganz für die Öffentlichkeit gedacht waren und das haben Sicherheitsforscher
Volker: aufgedeckt und anstatt zu sagen, danke, liebe Partei,
Volker: haben sie dann den Staatsanwalt.
Monina: Du meinst, danke, liebe Sicherheitsforscher.
Volker: Ja, sorry, danke, liebe Sicherheitsforscher. Aber statt danke,
Volker: liebe Sicherheitsforscher, haben sie dann einfach mal Post von der Staatsanwaltschaft bekommen.
Monina: Und zum Glück aber auch entsprechend der Gegenwind aus, also zumindest aus allen
Monina: Kreisen, die ich mitbekommen habe, gab es da Gegenwind, wie da vorgegangen worden ist.
Monina: Weil jemand, der postenlos oder für wenig Geld die Arbeit für einen macht,
Monina: diese Person dann auch noch anzuschuldigen, ist natürlich nicht so beliebt unter
Monina: Sicherheitsforschern, wenn man das mitbekommt.
Ingo: Das ist auf jeden Fall ein Thema, was wir regulieren müssen.
Ingo: Da müssen wir Gesetze anpassen. Es ist wichtig, dass Sicherheitsforscher etwas tun können.
Ingo: Aber wir müssen auf der anderen Seite natürlich auch vermeiden,
Ingo: dass die böswilligen Hacker sich als Sicherheitsforscher ausgeben.
Volker: Ja, da hat man tatsächlich dann solche Sachen wie Fristen irgendwie eingebaut
Volker: oder dass man sagt, also finden, informieren, beheben lassen, dann publizieren.
Volker: Also dieses sogenannte Responsible Disclosure, sowas als Prozedur.
Volker: Und da gibt es ja jetzt auch gerade die Änderung im Strafgesetzbuch,
Volker: die aufgrund von aktuellen politischen Geschehnissen etwas nach hinten sich
Volker: verzögert hat, also durch diese Legislaturperiode meines Wissens nach nicht
Volker: mehr durchgekommen ist.
Volker: Aber da gab es genau diese Diskussion.
Volker: Soweit wie ich die Diskussion noch mitverfolgt habe, hat sie tatsächlich wieder
Volker: auch einen negativen Umschwung genommen.
Volker: Das heißt, man war mal so weit, dass man gesagt hat, ich übertreibe jetzt,
Volker: Sicherheitsforscher dürfen alles, solange sie damit verantwortungsvoll umgehen.
Volker: Und das war dann, genau wie Ingo jetzt gerade sagt, den Leuten einfach zu weit, zu heiß.
Volker: Weil jetzt jeder Hacker sagen kann, ich war ja nur Sicherheitsforscher, tut mir leid.
Monina: Ja gut, im Zweifelsfall kann man ja sogar relativ klar das abgrenzen, indem man sagt, okay,
Monina: vorausgesetzt jetzt mal, es gibt so Standardmechanismen wie ein Monitoring an
Monina: der Firewall beispielsweise oder einem Webserver, wer wann Zugriff hatte,
Monina: kann man ja sogar nachvollziehen, wenn man dann mal weiß,
Monina: der Sicherheitsforscher sagt einem ja oder die Sicherheitsforscherin sagt einem
Monina: ja dann, welche Schwachstellen ausgenutzt wurden und was passiert ist.
Monina: Normalerweise in so einem Prozess. Und dann kann man ja nachschauen,
Monina: okay, zu dem Zeitpunkt, was ist da passiert?
Monina: Hat die Person wirklich nur das gemacht oder hat sie sich alle Daten einmal runtergeladen?
Monina: Und dadurch kann man es zumindest meistens relativ klar eingrenzen.
Monina: Und damit kann man auch sehr klar
Monina: aussagen, okay, wir hatten mir die Sicherheitsforscherin exakt gemeldet.
Monina: Was entdeckt worden ist? Stimmt das überein?
Monina: Ist da eine böswillige Absicht zu erkennen? Und daran kann man es dann festmachen.
Monina: Ob das jetzt ein Angreifer war, wie Ingo, wie du gemeint hast,
Monina: oder wahrscheinlich wirklich jemand, der das legitim melden wollte,
Monina: aus einem guten heraus gehandelt hat.
Ingo: Gut, also wenn ich mir das so überlege, was wir heute besprochen haben,
Ingo: wir haben ja aus unterschiedlichen Perspektiven auf das Thema geschaut, also,
Ingo: Die Perspektive von Volker als Sicherheitsforscher, von Monina als Verantwortliche für Sicherheit,
Ingo: auch für beratende Unterstützung von Unternehmen und aus meiner Perspektive
Ingo: von der Freiheit der öffentlichen Sicherheit, aber auch der KI und haben unterschiedliche
Ingo: Probleme herausgefunden und keine so richtig gute Lösung gezeigt,
Ingo: aber viele Themen diskutiert.
Ingo: Und ich glaube, eines, was man als ganz wichtige Take-Away-Message festhalten
Ingo: sollte, ist, es ist wahnsinnig wichtig,
Ingo: dass wir uns der Sicherheit bewusst werden, dass wir stärker eine Awareness,
Ingo: also ein Bewusstsein darüber spüren, was Sicherheit eigentlich bedeutet,
Ingo: auf welche Themen sich das auswirkt und wie ich auch damit betrieblich oder
Ingo: auch persönlich umgehen muss.
Ingo: Und ich glaube, dass der beste Tipp, und das ist jetzt ein bisschen natürlich
Ingo: eingebildet, aber ich glaube der beste Tipp, den wir unseren Hörerinnen und
Ingo: Hörern geben können ist, hört uns weiter, abonniert uns,
Ingo: weil wir werden genau diese Themen weiter besprechen und wollen auch genau damit das erreichen,
Ingo: dass wir alle ein bisschen mehr über Sicherheit nachdenken und damit unsere
Ingo: Häuser besser abschließen und die Systeme für Einbrecher und illegitime Nutzer
Ingo: etwas weniger leicht zugreifbar machen. Oder?
Volker: Hört sich gut an. Ja, daher würde ich jetzt auch sagen, Mensch,
Volker: die Stunde ist wieder rum, die wir uns so mit den Themen oder die wir eigentlich
Volker: unsere Zuhörerinnen mit diesen Themen befassen lassen wollen.
Volker: Weil ich glaube, wir könnten hier noch ein, zwei Stunden weiterreden.
Volker: Fasse ich mal zusammen und gehe nochmal ganz kurz auf die Gruppen und die Maßnahmen ein.
Volker: Also wir haben angefangen mit den Cyberkriminellen und Unterschieden in Terroristen,
Volker: die eher politische Motive und organisierte Kriminelle, die eher unternehmerische Motive verfolgen.
Volker: Die Cyberkriminellen im Sinne der organisierten Kriminalität haben wir gesagt,
Volker: macht das einfach nur teuer, sodass es für sie nichts bringt, also finanziell.
Volker: Also bring die Sicherheit einfach auf ein ausreichend gutes Niveau,
Volker: sodass sie sich lieber andere Opfer oder gar keine suchen. Zahle keine Ransomware.
Volker: Cyber-Terroristen, wo wir sagen, naja, die nehmen maximale Energie in die Hand
Volker: und wollen da rein in die Systeme, das wird schwer, sie abzuwehren,
Volker: aber biete ihnen wenigstens keine Bühne, sodass sie keinen Spaß daran haben.
Volker: Dann waren wir auf diesem rutschigen Eis der staatlichen Akteure.
Volker: Das eine sind halt die aggressiven staatlichen Akteure, wo es wirklich,
Volker: wirklich schwer ist, weil die sich auch so Zero Days, also Sicherheitslücken kaufen,
Volker: die in den Systemen intrinsisch mit der Auslieferung der Software drin waren,
Volker: die keiner kannte und die haben sie halt gefunden und nutzen sie aus.
Volker: Ja, da muss man einfach mit den Schultern zucken und sagen, hoffentlich bin
Volker: ich zu uninteressant für die.
Volker: Wir haben aber auch die legitimen staatlichen Akteure, wie unsere Ermittlungsbehörden,
Volker: wo wir zumindest sagen, irgendwo ist ja auch die legitime Schutzfunktion des Staates gegeben.
Volker: Das darf aber nicht rechtfertigen, dass wir Hintertüren in Systeme einbauen,
Volker: sondern das muss ein juristisches System sein, das sie legitimiert.
Volker: Wir hatten die Skriptkiddies, die Hobbyisten, wo wir dann auch so die Verantwortung
Volker: so auf eine Mischung von Hersteller, von Software und System,
Volker: aber auch die Nutzer und Nutzerinnen selbst geschoben haben und gesagt haben,
Volker: seid euch dessen bewusst, was ihr da tut.
Volker: Und je mehr ihr am System tut und je weniger ihr für die Sicherheit sorgt,
Volker: umso muss man einfach sagen, selbst schuld seid ihr auch dann irgendwann mal,
Volker: die Innen- und Innentäter und Innentäterinnen, die man am besten prozessual
Volker: abwehrt und dort einfach als Unternehmen überlegt, was sind meine schützenswerten Güter,
Volker: wie können sie alles angegriffen werden, auch mit externen Beratern zusammen
Volker: und die dann absichert, so gut es geht.
Volker: Und ganz zum Schluss die Sicherheitsforscher und Forscherinnen,
Volker: die eigentlich vor Straftaten beschützt werden müssen, also dass sie nicht als
Volker: Straftat bezeichnet werden, wenn sie dann legitime Sicherheitslücken finden.
Monina: Genau, das war die Sicherheitslücke. Ihr findet uns, wie auch schon erwähnt,
Monina: unter Sicherheitslücke FM, Sicherheitslücke mit UE.
Monina: Da findet ihr die kommenden Folgen. Ihr könnt kommentieren und Feedback geben
Monina: und auch Vorschläge für die kommenden Folgen machen.
Monina: E-Mails erreichen uns unter post-at-sicherheitslücke.fm. Bei Mastodon sind wir
Monina: zu finden und bei diversen anderen Podcast-Plattformen.
Monina: Da die Links dazu, wie immer in den Shownotes.
Monina: Auch die Links zu Sachen, die wir hier erwähnt haben, finden sich dann in den Shownotes am Ende.
Monina: Die Kapitelbilder zu den Podcasts sind mit kleinen Sketches von Anne Vogt gemalt.
Monina: Hier auch wieder vielen Dank dafür.
Monina: Haben wir dann in Zukunft vielleicht auch als Sticker. Mal schauen,
Monina: ob ihr die irgendwann mal wo findet.
Monina: Die Sicherheitslücke ist ein Podcast der Hamburg Open Online University und
Monina: hier auch besten Dank für die Unterstützung und auch an Christian Friedrich für die Produktion.
Monina: Wir verabschieden uns und hören uns in den nächsten Folgen hoffentlich wieder.
Ingo: Monina Schwarz, Ingo Timm.
Volker: Und Volker Skwarek.
JohnDoe
‧