Auflistung aller Beiträge aus der Kategorie

Kommentar

ψ² = Ps(i)²

Softwareforen Leipzig – Vortrag zur User-Group IT-Sicherheit

Letzte Woche tagte in Leipzig die User-Group IT-Sicherheit der Softwareforen Leipzig, bei der ich zum ersten Mal mit einem Vortrag dabei. Mein Thema waren die Security-Standards ISO/IEC 27001 und IT-Grundschutz und ihre praktische Anwendung in IT-Projekten.

Weiterhin standen die folgenden Themen auf der Agenda:

  • Kennzahlensysteme als Steuerungsinstrument für ein ganzheitliches Informationssicherheitsmanagement
  • Einführung eines IT-Sicherheitskonzepts nach BSI-Richtlinien in einem mittelständischen Betrieb der Versicherungswirtschaft
  • Erfahrungsbericht zur Durchführung eines Basis-Sicherheitschecks
  • Betrachtung der Sicherheitsaspekte von Kaufsoftware in allen Phasen des Software-Lebenszyklus

Alles in allem eine Top Veranstaltung, die man ruhig in Erwägung ziehen sollte, bevor man sich für eine größere Konferenz anmeldet. Unter den Teilnehmern ergaben sich durch die geringere Größe viele Gesprächsmöglichkeiten und die Vorträge waren viel lebendiger. Klare Empfehlung!

Lesen Sie mehr →
ψ² = Ps(i)²

Istanbul führt Internetzensur ein

Wie Die Presse berichtet, führt die Türkei in Internetcafés eine verpflichtende Internetzensur ein, durch die ca. eine Millionen Webseiten gesperrt werden. Zu den blockierten Seiten gehören zum Beispiel Google, BBC, Facebook, eBay, Amazon und die Seiten des türkischen Menschenrechtsvereins.

Man könne sich bei Wikipedia nicht mehr über Kurden informieren, Bademoden seien verboten, die Automarke Peugeot scheint für die türkische Regierung ein rotes Tuch zu sein und natürlich seien auch Vereine für Schwulen und Lesben gesperrt. Ab dem 22. August sollen die bisher nur für Internetcafés vorgeschriebenen Filter auch für Privathaushalte verbindlich werden.

Willkommen in Europa kann man da nur sagen.

Lesen Sie mehr →
ψ² = Ps(i)²

“Blaue Armee” beschützt China

Am 25. Mai haben chinesische Ministeriumssprecher in einer Pressekonferenz die Existenz einer Hacker-Truppe bestätigt. Die so genannte “Blaue Armee” soll nach Angaben von msnbc.com China vor Angriffen aus dem Internet schützen.

Wie bei allen Waffen und Armeen auf dieser Welt: nur zur eigenen Verteidigung!

Lesen Sie mehr →
ψ² = Ps(i)²

Sicherheitsstrategie für den “Cyber-Raum”

Nachdem der Putzmittel-Raum, der Verfügungs-Raum und der Alpt-Raum ausreichend abgesichert waren, hat sich Innenminister Dr. Thomas de Maizière nun eine Sicherheitsstrategie für den “Cyber-Raum” ausgedacht. In Fachkreisen wird gemunkelt, das sei der Raum, in dem sich der Innenminister in regelmäßigen Abständen das Internet ausdrucken lässt. In dem Papier scheint es aber um einen anderen Raum zu gehen. Aus dem Pressetext:

“Kernelemente der Strategie sind der Schutz der IT-Systeme in Deutschland, insbesondere im Bereich kritischer Infrastrukturen, die Sensibilisierung der Bürgerinnen und Bürger zum Thema IT-Sicherheit, der Aufbau eines Nationalen Cyber-Abwehrzentrums sowie die Einrichtung eines Nationalen Cyber-Sicherheitsrates.”

Hierzu erklärte Bundesinnenminister Dr. Thomas de Maizière:

“Die Gewährleistung von Sicherheit im Cyber-Raum und der Schutz der kritischen Informationsinfrastrukturen sind existenzielle Fragen des 21. Jahrhunderts und erfordern ein hohes Engagement des Staates. Dabei wollen wir die Cyber-Sicherheit auf einem hohen Niveau gewährleisten, ohne die Chancen und den Nutzen des Cyber-Raums zu beeinträchtigen.”

Im Klartext heißt das zum Beispiel: Wenn die Leute dank ePA kräftig im “Cyber-Raum” einkaufen, dann ist egal, wie sicher oder unsicher das Ganze ist.

Neben dem Nationalen Cyber-Abwehrzentrum und dem Nationalen Cyber-Sicherheitsrat soll es noch eine Task-Force “IT-Sicherheit in der Wirtschaft” geben. Mit dabei sind das BSI, der Verfassungsschutz sowie das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe. Hierzu habe BSI-Präsident Michael Hange erklärt:

“Neue Angriffsmechanismen, wie sie bei Stuxnet zu beobachten waren, orientieren sich nicht an der klassischen Aufgabenteilung deutscher Behörden.”

Da war es dann offensichtlich nötig, die Aufgaben weiter aufzuteilen und ein Zentrum, einen Rat und eine Task-Force aufzubauen.

Lesen Sie mehr →
ψ² = Ps(i)²

De Maizière warnt vor Cyber-Angriffen

Bundesinnenminister de Maizière hat im Welt Interview vor Cyber-Angriffen auf das Internet gewarnt. Ungefähr alle zwei bis drei Sekunden gebe es eine Attacke auf das deutsche Internet.

Das Internet ist inzwischen eine kritische Infrastruktur geworden. Das heißt, es muss wie Strom und Wasser immer verfügbar sein. (…) Etwa vier bis fünf Mal am Tag gibt es Angriffe auf das deutsche Regierungsnetz. Dabei gehen wir, ohne es sicher beweisen zu können, von der Beteiligung von Nachrichtendiensten anderer Länder aus. (…) Wir sind da im internationalen Vergleich nicht schlecht aufgestellt. Schon vor 20 Jahren, und das war eine strategische Meisterleistung von Wolfgang Schäuble mit großer Weitsicht, hat die Bundesrepublik das BSI gegründet, das Bundesamt für Sicherheit in der Informationstechnik. (…) Von dort höre ich: Wir sind gut, aber eben noch nicht gut genug.

Bitte? Der Innenminister h-ö-r-t vom BSI? Das Internet ist also so wichtig wie Wasser und der Minister hat sich mal vom BSI berichten lassen, wie es aufgestellt ist. Das kommt mir bekannt vor. Im Oktober hatte der Innenminister in der “Tagesschau” zum elektronischen Personalausweis festgestellt:

“Irgendwelche Hacker mögen immer irgendwas hacken können, aber die Zuverlässigkeit und Sicherheit des neuen Personalausweises steht nicht in Frage.”

Das der ePA sicher ist hatte er auch vom BSI gehört und was die Hacker da so hacken – alles halb so wild.

Lesen Sie mehr →
ψ² = Ps(i)²

AET spaltet die Antivirenhersteller

Stonesoft hat in Sachen Advanced Evasion Techniques (AET) nachgelegt (it-sa steht vor der Tür). Nachdem der Hersteller von Sicherheitssoftware am 04.10. mit einer Pressemitteilung die Diskussion um AET eingeläutet hatte, geht es nun also in die zweite Runde. Die eigentliche Botschaft:

“Den besten Schutz vor dynamischen und sich ständig weiterentwickelnden AETs bieten flexible, softwarebasierte Sicherheitssysteme mit zentralem Management und Remote-Update-Funktion.” ← Zitat aus der Pressemitteilung.

Stonesoft ist übrigens auch auf der it-sa zu sehen. Da kann man sich dann gleich mit “flexiblen, softwarebasierten Sicherheitssystemen mit zentralem Management und Remote-Update-Funktion” eindecken. Die Stand-Nummer wird netterweise in der Pressemitteilung mitgeliefert, da muss man als Leser nicht lange suchen, wenn man erst in Panik geraten ist.

Wenigstens hat die Tagespresse (WeltOnline, SpiegelOnline) nicht nur die Panikmache aufgegriffen, sondern auch die Skeptiker zu Wort kommen lassen. Dass Kassandra-Syndrom weitet sich also mittlerweile selbst auf die eigenen Branchenkollegen aus. Es fragt sich langsam, ob es sich noch um ein echtes Kassandra-Syndrom handelt – Kassandra hatte ja korrekte Warnungen auf Lager, denen keiner Gehör schenken wollte. Was ist, wenn die eine Kassandra etwas anderes prophezeit als die zweite? Mit dieser Frage lässt uns die griechische Mythologie leider alleine.

Lesen Sie mehr →
ψ² = Ps(i)²

Dümmer geht (n)immer?! Der Open Source Crack

Im Internet wird ja so manche doofe Masche ausprobiert. Sunbelt berichtet jetzt sogar von Leuten, die via Twitter mit einem gecrackten Firefox 4.0 auf der Suche nach einem Doofen sind:

Wie sinnvoll ist das denn? Warum sollte man denn eine freie Software cracken? Das ist so sinnvoll wie Leuten Schlüssel fürs Fußballtor zu verkaufen, falls mal einer gucken will, wie es hinter der Linie aussieht.

Jedenfalls können sich die Leute, die Crazy4Firefox sind, mit dem Download eine ganze Reihe Krankheiten einfangen:

VirTool.Win32.Obfuscator.hg!b
FraudTool.Win32.FakeVimes
Trojan-Downloader.Win32.CodecPack.2GCash.Gen
Trojan.DNSChanger.Gen
Virus.Win32.Parite
TrojanDownloader-Win32/FakeRean

Lesen Sie mehr →
ψ² = Ps(i)²

Im Westen nichts Neues

Bereits am 23.07. titelte die FTD Deutschland “Ab in die Tonne mit Kundendaten”. Ob Patientenakten, Kontoverbindungen oder Emailadressen: Schlampiger Umgang mit Kundendaten könne teuer werden. Darum bräuchten Unternehmen klare Richtlinien. In einer Umfrage unter 490 deutschen Mittelständlern habe im vergangenen Jahr jedoch nur die Hälfte der Unternehmen angegeben, ein umfassendes Datensicherheitskonzept umgesetzt zu haben.

“Google weiß, wo Beate-Uhse-Kunden wohnen”

Aufhänger des FTD-Artikels von Kirstin von Elm ist der Sicherheitsvorfall bei Beate Uhse im September 2008.  Der Journalist und Blogger Daniel Große hatte bei einer Google-Suche nach einer E-Mail-Adresse zufällig eine auffällige Datei auf der Domain lustkatalog.de entdeckt, die zu Beate Uhse gehört: 12.000 Mailadressen – Teilnehmer eines Gewinnspiels wie Beate Uhse versicherte. Für den Imageschaden war es nebensächlich, dass es sich nicht um Bestellkunden handelte. Für die Teilnehmer des Gewinnspiels sicher auch.

Jan Otzen, Direktor Online-Business bei Beate Uhse habe schon damals festgestellt:

“Das hat allen Beteiligten vor Augen geführt, dass in letzter Instanz Menschen für Fehler verantwortlich sind”

Das Beispiel aus dem Jahr 2008 zeigt, dass diese Erkenntnis nicht ganz so neu ist, eigentlich sogar schon kalter Kaffee.

Die Postbank und Ihre freien Handelsvertreter

Bereits im Mai wurde die Postbank zu 120.000€ Bußgeld verdonnert, weil sie freien Handelsvertretern Einblick in die Kontenbewegungen ihrer Kunden gab. Auch nicht ganz so taufrisch. Was neues wäre es, wenn jemand in der Postbank einen Business Case gefunden hätte, der die Wirtschaftlichkeit der Vorfalls nachweist. Festangestellte Handelsvertreter wären womöglich teurer geworden als das Bußgeld.

Der Artikel zählt noch weitere Beispiele auf, die jeder Sicherheitsprofi kennt: Vertrauliche Daten im Müll, freier Zugang zu eigentlich bewachten Bereichen, offene Serverräume, Trivialpassworte, Rechtevergabe auf Zuruf und Chefs, die von den einen auf den anderen Tag alles über den Haufen werfen und somit das größte Sicherheitsrisiko der Firma sind.

Alles einfach nicht unfassbar

Das alles kann für einen Sicherheitsprofi nichts neues sein. Es ist – wie ich bereits vor zwei Tagen getitelt habe – “einfach nicht unfassbar”.

“Hohe Strafen für fahrlässigen Umgang mit Kundendaten”, “Deutscher Mittelstand spart bei Datensicherheit”, “Chef oft das größte Risiko für Datenschutz”

Diese Zwischenüberschriften aus dem FTD-Artikel standen so oder anders bereits in zig Artikeln und über ebenso vielen PowerPoint-Folien von Sicherheitsprofis. Die Security-Branche selbst kommt nämlich auch ganz gerne mit Neuigkeiten, die keine sind und Leser wie Zuhörer sind trotzdem immer wieder von den Socken, was es auf der Welt für schlimme Dinge gibt.

Blick in die Geschichtsbücher

Seit Sicherheit organisiert werden muss, gibt es Sicherheitsbeauftragte. Schon weit vor dem Sicherheitsvorfall bei Beate Uhse, zur Zeit des Pharao Ramses IX (1127/1128 bis 1100 v. Chr.), gab es für das Tal der Könige einen Sicherheitsbeauftragten. Er hieß Pawero und er hatte mit einer wahren Plage von Grabräubern zu kämpfen. Plünderungen der Gräber waren damals sehr beliebt, besonders, weil man sich nach eine Festnahme durch Bestechung mit der Beute frei kaufen konnte. Der Fall des Grabräubers Amenpanufer verlief jedoch anders: Unter Folter offenbarte er das ganze Ausmaß der Korruption. Zahlreiche Wachen, Beamte und Kaufleute wurden so überführt und hingerichtet. Am Ende stellte sich übrigens heraus, dass Pawero – der „Getreue des Pharao“ – an der Spitze der Bande stand. Ramses IX ließ damals seinen Pressesprecher verkünden:

“Das hat allen Beteiligten vor Augen geführt, dass in letzter Instanz Menschen für Fehler verantwortlich sind”

Etwas später, zur Zeit des Kaisers Qin Shiuangdi (Ende des 3. Jahrhunderts v. Chr.) waren General Meng-tian und sein Beraterstab mit der Konzeptionierung der Sicherheit beauftragt. Ihre Hauptaufgabe: Der Bau der Chinesischen Mauer zum Schutz vor Angreifern aus dem Norden. Mehr als 1000 Jahre später wurde den Chinesen der Ausbau der Mauer zu teuer. Nachdem man sich ihrer Sicherheit nicht mehr mit der nötigen Aufmerksamkeit widmete, wurde sie auch recht bald überwunden. Die chinesische Presse titelte damals etwa so:

“Chinesischer Staat spart bei Grenzsicherheit” und “Chef oft das größte Risiko für Schutz der Grenzen”

Die Geschichte hält ungezählte ähnliche Beispiele bereit. Bei all den Vorfällen ist eigentlich nur eine zur Metapher gewordene Überschrift erlaubt:

“Im Westen nichts neues.”

Zwänge, Ziele, Prioritäten, Risiken

Kommen wir zurück zu eingangs erwähnten Hälfte der 490 deutschen Mittelständler, die im vergangenen Jahr kein umfassendes Datensicherheitskonzept umgesetzt hatten und zurück zur Postbank, die 120.000€ Bußgeld bezahlen musste.In meinem Buch “Konfliktmanagement für Sicherheitsprofis” fordere ich, dass Sicherheitsprofis die Zwänge, Ziele, Prioritäten und Risiken ihrer Zuhörer stärker berücksichtigen müssen. Bei Geschäftsführern und oberem Management fasst ein Buchtitel von 1967 diese gut zusammen:

“Gewinnmaximierung und Rentabilitätsmaximierung als Ziel erwerbswirtschaftlich orientierter Unternehmungen und die Erreichung dieses Ziels durch optimalen Einsatz des Eigenkapitals”

Wenn knapp 250 Unternehmer einen Bußgeldfonds eröffneten und jährlich nur 500€ einzahlten, könnte sich jedes Jahr einer erwischen lassen – so einfach geht die Rechnung. Selbst, wenn sich ein Chef dazu überreden ließe, 20.000€ in ein Security Management System zu investieren, wäre er ja immer noch nicht vor einem Datenskandal gefeit, weil “in letzter Instanz Menschen für Fehler verantwortlich sind”. Er müsste also trotzdem 500€ in den Fonds einzahlen und sollte vielleicht besser gleich die gesamten 20.500€ in den Fonds einzahlen. Dann könnten sich jedes Jahr über 40 Unternehmen erwischen lassen und der Fond könnte die Bußgelder abdecken. Oder sollte er lieber eine Maschine von dem Geld kaufen und eine vorhandene Nachfrage decken. Dadurch würde er neue Kunden gewinnen und 120.000€ Umsatz machen. Überlegen Sie sich selbst, was Ihr Chef wohl für eine Rechnung aufmacht hat, nachdem er den Artikel in der FTD gelesen hat – wenn er ihn gelesen hat.

Im Westen nichts neues

So bitter es ist: Nicht nur im Westen gibt es nichts Neues – auch die IT-Sicherheits- und Datenschutzfronten haben sich verhärtet und die Protagonisten haben sich hinter ihren Barrikaden verschanzt. 50% der Unternehmen lassen sich so nicht erreichen. Dafür sind neue Ideen gefragt.

Security follows Business

Vor Allem aber die Berater-Tugend Nummer eins gefragt: Zuhören. Und wenn sich der Chef schon nicht persönlich als Gesprächspartner anbietet, dann reicht es ja vielleicht aus, sich am Buchtitels von 1967 zu orientieren. Sicherheitskonzepte müssen sich an den Geschäftszielen ausrichten und nicht umgekehrt: “Security follows Business™” heißt daher der richtige Beratungsansatz. Wenn diese Ziele nicht beeinträchtigt sind, dann sind Risikoübernahme bzw. Risikoakzeptanz durch die Geschäftsleitung absolut gerechtfertigt. Der Fehler liegt also nicht bei den Unternehmen, die sich gegen ein Datenschutzkonzept entscheiden, weil offensichtlich niemand in diesen Firmen einen ausreichenden Bezug zwischen Sicherheit und den Geschäftszielen herstellen konnte.

Lesen Sie mehr →
ψ² = Ps(i)²

Einfach nicht unfassbar: Spionage statt Reparatur

Es ist einfach nicht unfassbar, was die Redakteure der Computerbild nach Angaben der Welt herausgefunden haben. Das einzige, was unfassbar ist, dass es offenbar Leute gibt die anderes erwartet hatten: Wer seinen Rechner bei den Firmen Targa, Asus, Media Markt, Toshiba und PC-Feuerwehr abgibt muss nach dem Testergebnis der Computerbild damit rechnen, dass sich die Techniker private Dateien mindestens ansehen, in einigen Fällen sogar kopieren. Ich hätte darauf gewettet, das es so ist.

Allerdings ist es schon eine komische Vorstellung dass man unter Umständen dafür zahlen muss, dass jemand die eigenen Urlaubsfotos anschaut. Zu Familienfesten müssen das meine Verwandten immer ohne Bezahlung machen. Auch nicht schlecht: Vollständig funktionstüchtige Geräte wurden defekt zurückgeschickt. Die Reaktion der Firmen: Asus, Targa und Fujitsu reagierten mit Bedauern und betonten, dass es den Technikern durch strikte Arbeitsanweisung untersagt sei, auf Kundendaten zuzugreifen. Wenn es verboten war, dann ist das Ergebnis ja gar nicht so schlimm – ich hatte schon Angst.

By the way:
Es ist durch strickte Arbeitsanweisung untersagt eine meiner Websites zu hacken. So!

Lesen Sie mehr →
ψ² = Ps(i)²

Bund Deutscher Kriminalbeamter zitiert “lächerliche Schnapsideen” aus “Sciencefiction-Romanen”

So zumindest sieht es die Sprecherin des Chaos Computer Clubs Constanze Kurz:

“Der kann mal seine Science-Fiction-Romane wieder einpacken.”

Was hat er denn gesagt? Nach Angaben von Heise-Online hatte der BDK-Vorsitzende Klaus Jansen in einem Interview der Neuen Osnabrücker Zeitung unter Anderem Verkehrsregeln und einen Notausschalter fürs Internet gefordert. Die Forderungen sind Teil eines 15-Punkte-Sofortprogramms. Er sagte weiter: Wer zukünftig im Internet einkaufe, Geld überweise, Behördengänge erledige oder andere Geschäft abwickele, der solle sich nach dem Willen des Bundes Deutscher Kriminalbeamter zuvor bei einer staatlichen Stelle registrieren lassen. Er kritisierte in diesem Zusammenhang:

“Kompetenzgerangel, Unvermögen und Blauäugigkeit führen zu unfassbarem Politik-Versagen.”

Ach du liebe Güte. Unvermögen und Blauäugigkeit! Ja genau: Wer mit dem ausgestreckten Zeigefinger auf andere zeigt, zeigt mit drei Fingern auf sich selbst! Das Echo im Netz stimmt mit seinen drei Fingern überein. So zum Beispiel in Fefes Blog:

“Hihihi, wenn die immer gleichen Internetausdrucker die immer gleichen sinnlosen Dinge fordern, dann verliert auch CCC-Sprecherin Constanze Kurz irgendwann die Contenance.”

Der Blogger Peter Piksa hat bei der Pressestelle des BDK nachgehakt und z.B. festgestellt, dass das 15-Punkte-Programm nur 14. Punkte hat. Er bemerkt an einer Stelle:

“Grandioser Schenkelklopfer”

Fefes Idee, wie es zu solchen Vorschlägen kommt:

Lesen Sie mehr →