Vortrag von Linus Neumann, Chaos Computer Club
Warum eigentlich IT-Sicherheit!? Grund warum wir so gerne mit Computern arbeiten ist: Wir können ihnen neues beibringen.
Die Schutzziele der Informationssicherheit bestehen aus:
- Verfügbarkeit
- Integrität
- Vertraulichkeit
Technik
In der Regel sind es einfach ein Programmier-Fehler, wenn etwas nicht funktioniert. Man kann einfach nicht mehr alle Systeme überblicken und es ist so gut wie unmöglich fehlerfrei zu programmieren.
Ablauf bei entdeckten Softwarefehlern
Einführung <-> Öffentliche Entdeckung <-> Behebung durch Update <-> Allgemein verfügbares Wissen
Richtig gefährlich wird es, nachdem ein Update bekannt wurde, denn dann kann jeder Angreifer erkennen, wo eine Schwachstelle ist. Deshalb ist es sehr wichtig Updates sofort einzuspielen!
Wenn es denn welche gibt.
Der CCC fordert deshalb ein Verfallsdatum für Software, d.h. eine garantierte Zeit für Updates.
Haftung
Es gibt nur zwei relevante Wirtschaftsbereiche in denen es keine Haftung gibt: Software und Drogen.
Weitere Gemeinsamkeit: Von beidem wird man abhängig. Deshalb ist auch Haftung ein großes Thema, denn das Abliefern schlechter Software-Qualität ist mit hohen Kosten verbunden.
E-Justice
Es fehlen in Deutschland Ambitionen IT auf den aktuellen Stand zu bringen. Z.B. der biometrische Personalausweis, für den es auch nach 10 Jahren noch keine Anwendungen gibt.
Oder die elektronische Gesundheitskarte, die seit 2002 eingeführt werden soll.
Oder auch die “sichere” DE-Mail – die sich nicht durchsetzt.
Oder auch das beA!
NIHS “Not invented here Syndrom” – dies entsteht auch durch Kompromisse. Z.B. überlegt man sich beim beA es müsse ja verschlüsselt sein – aber vielleicht dann doch auf andere Art und Weise als ursprünglich angedacht.
Das führt zu Kompromissen (Compromise – bedeutet ein System zu hacken)! Und diese wiederum führen zu Systemen die so komplex sind, dass sie niemand mehr versteht. Und das wiederum nutzen Hacker aus, denn je komplexer das System, desto leichter kann man es hacken.
Sind den Stabilität (Trägheit, Innovationsmangel) und Agilität( mangelnde Gründlichkeit, unsicher) ein Gegensatz? Nein! Sie müssen beide Hand in Hand gehen.
Management
Verantwortung für IT-Sicherheit tragen und alles unternehmen zu müssen um nicht zur Verantwortung gezogen werden zu müssen. Das ist hoch relevant!
Mensch
Ein “Mission Impossible”-hacking in Ihrer Kanzlei ist nicht das Risiko! Eher die “Hütchenspieler” sind das Problem. Seit 2015 sind dadurch Milliarden Schäden entstanden.
Alels beginnt immer mit einer Email. Diese hat eine angebliche Rechnung im Anhang. Man öffnet das Dokument in Word. Dies zeigt zwei Warnmeldungen an: rot und gelb. Die Warnmeldungen werden ignoriert weil man auf einen Knopf klickt. Auch die weitere Meldung wird natürlich ignoriert. Damit wird ein ein Schadprogramm geöffnet. Dieses verschlüsselt alle ihr Daten. Aber ein weiteres Fenster erklärt Ihnen, dass die Verschlüsslung gegen Zahlung von nur 1.000 US$ wieder aufheben können.
Als Beweis dazu, dass sie die Daten wieder entschlüsseln können, bieten Ihnen die Hacker an eine Datei wieder zu entschlüsseln. Die Hacker bieten einem sogar weitere Hilfe über ein Kontaktfenster an. Sogar in Russisch! 😉
Wenn Sie dann als Russe antworten, kann es sogar sein, dass ihnen ein kostenloses Encrypten angeboten wird, denn russische Hacker wollen nicht in einen russischen Knast.
Sie könnten natürlich den CCC beauftragen Ihnen zu helfen. Schon für wenige tausend Euro tun die das sehr gern. Erfolg nicht garantiert!
Die einfachste Lösung allerdings ist es ein Backup zu haben! Einfach zurückspielen, fertig. Sie haben die Wahl.
Gehen Sie keine Kompromisse ein, hören Sie auf die Gelehrten. Damit Sie keine
Cyberwehr (Wir. Dienen. Neuland) benötigen.
Die Sicherheitskonzepte in Ihrer Kanzlei müssen nachvollziehbar sein. Also ein verständliches Konzept haben. Auch Sie sollten es verstehen können! Es geht um Nutzbarkeit und damit um Zuverlässigkeit.
Zusammenfassend gilt:
Kein Backup, kein Mitleid!