9. Dezember 2014
Veranstaltung
Nihil Novi. Hochkarätige Referenten diskutieren über explosive Themen.
- Sebastian Schreiber beim Live Hacking | Foto: Friedrich-Ebert-Stiftung
„IT-Sicherheit im Unternehmen – vom Kostenfaktor zum Wachstumsmotor“ war das Thema eines öffentlichen Fachforums der Friedrich-Ebert-Stiftung am 24. November in Berlin. Zu sehen gab es da ein „Live Hacking“ – zu hören mehrere Fachvorträge und eine Diskussionsrunde.
Sebastian Schreiber, Geschäftsführer der Tübinger Firma SySS GmBH, kennt sein Handwerk. Er hat nicht nur den eigenen Rechner inklusive zahlreicher eigens entwickelter Hackersoftware mitgebracht, sondern auch noch ein iPad, einige Smartphones, ein altes Mobiltelefon (das man nicht hacken kann, weil sich darauf keine Software installieren lässt), zertifizierte Krypto-Memory-Sticks und weitere Eigenentwicklungen, aus den Kabel und Drähte heraushängen. Für seine Demonstrationen nimmt er gerne Meldungen von Freiwilligen entgegen, die mit eigenem Smartphone an dem Livehacking einer Spiele-App teilnehmen oder ihre Telefonnummer für die Vorführung zur Verfügung stellen, wie man eine SMS fälschen kann. Die Operation wird von einer Website aus vorgeführt. Die potenziellen Nachahmer warnt Schreiber: „Sie brauchen die URL nicht zu fotografieren – die Seite ist passwortgeschützt.“
Eine GSM-Wanze, mit der man leicht Telefongespräche abhören kann, hat er nicht mitgebracht. Er zeigt dafür aber, wie man sich eine bei Amazon bestellen kann. Ganz einfach das Suchwort: „GSM Wanze“ eingeben, Preis: 25 Euro aufwärts, zeigt das Ergebnis.
Er taucht ab in das Publikum, gestikuliert viel und gerne, hantiert mit den Kabeln herum, schließt sein iPad an seinen Rechner an. Eins … zwei … drei … Ein neues Betriebssystem ist auf dem iPad installiert, das die Sperre für die Passworteingaben außer Kraft setzt. Er hält zwei Knöpfe des iPads gedrückt. Eins … zwei … drei … Das neue OS startet einen Brute Force Attack und probiert grob alle Vierzahlenkombinationen durch. Jetzt dauert es doch ein bisschen. Man könnte zwar schon jetzt auf die Inhalte auf dem iPad zugreifen, aber noch wären sie verschlüsselt. Mit der richtigen PIN ist der Zugriff auf alle Daten uneingeschränkt offen (bis auf den Facebook-Account, Twitter etc., wo man noch ein weiteres Passwort braucht, räumt Schreiber ein). Das Warten lohnt sich also. Nach ein paar Minuten hat die Hackersoftware die PIN „erraten“.
Zu den erfolgreichen Hacks gibt es zahlreiche Publikationen, die Schreiber gerne der Öffentlichkeit zur Verfügung stellt. „Ich hacke mich gerne bei Ihnen ein“, sagt er, „wenn Sie es möchten.“
Dabei hat nicht mal eine Stunde vor dem Livehacking Prof. Dr. Hartmut Pohl von der Fachhochschule Bonn-Rhein-Sieg für besseres nationales Strafrecht optiert. Internationale Verträge, Völkerrecht – das seien die Handlungsoptionen auf politischer Ebene. Diese gäbe es auch auf der technischen Ebene, betont Prof. Pohl und führt die ISO 27034 als Beispiel an – einen Standard, der die Vorgehensweise für Softwareimplementierung systematisiert. Nicht nationales Routing oder Meldesysteme für Sicherheitsvorfälle seien sinnvolle Lösungen für mehr und bessere Sicherheit, die Wurzel allen Übels seien die Sicherheitslücken. Die Unternehmen würden täglich Millionen Angriffe melden – was für eine furchtbare Welt! Aber: ohne Sicherheitslücken – kein erfolgreicher Angriff. Nicht die Angriffe und ihre Anzahl sind für die Meldesysteme wichtig, sondern die Sicherheitslücken und das Wissen darüber, wie man sie schließen kann. Das hätten viele Unternehmen erkannt, sagt Prof. Pohl, auch die US-amerikanische Behörde „mit drei Buchstaben“.
Christian Flisek, MdB und Obmann der SPD im NSA-Untersuchungsausschuss, sieht den NSA-Skandal als „Katalysator“ für die IT-Sicherheit als Wachstumsmotor – und als Produkt. Thorsten Göbel, Geschäftsführer PIRONET NDH Datacenter AG & Co KG, bestätigt stellvertretend für die Privatwirtschaft, dass sich das Geschäft nach der NSA-Affäre gut entwickelt hat und er mit den Aktivitäten der Regierung insgesamt zufrieden sei. Deswegen sei das Schlimmste, was passieren könne, wird Lars Klingbeil später an diesem Tag in seinem Schlusswort aufgreifen, dass sich das Snowden-Thema abschwächt.
Dagegen sei das IT-Sicherheitsgesetz, so Dr. Oliver Grün, Präsident des Bundesverbandes IT-Mittelstand e. V., kein Wachstumsmotor für die IT-Sicherheit, gleichwohl es gut für die kritischen Infrastrukturen sei. Er bemängelt den Trend, dass deutsche Geräte auf dem deutschen Markt kaum forciert werden, und zeigt am Beispiel der Router, wie deutsche Firmen praktisch durch die asiatischen Konkurrenten aus dem Markt verdrängt werden.
BSI-Präsident, Dr. Michael Hange, bestätigt, dass auch sein Bundesamt für Sicherheit vor organisatorischen Veränderungen steht. Mit dem IT-Sicherheitsgesetz sei jedes Unternehmen für seine IT-Sicherheit weiterhin selbst verantwortlich. Mindeststandards seien das Ziel des Staates, den Rest entscheide die Wirtschaft. Das BSI sei lediglich an anonymisierten Meldungen zu Sicherheitsvorfällen interessiert, bis auf die Ausnahme, dass ein Unternehmen zur „Virenschleuder“ werde. Die Unternehmen sollten nicht direkt nach dem Staat rufen, wenn es um die Informationssicherheit geht, wird ihm Prof. Pohl beipflichten. Und er empfiehlt den Unternehmen, die Hälfte davon, was sie in ihre Finanzen investieren, für die Informationssicherheit ausgeben.
Das IT-Sicherheitsgesetz, wird Lars Klingbeil später sagen, braucht man. Es soll der Grundkonsensus sein, dass sich der Staat darum kümmere, was in den Unternehmen passiere. Und eine gemeinsame Strategie der Wissenschaft und Wirtschaft benötige man ebenfalls.
In der Schlussrunde des öffentlichen Fachforums der Friedrich-Ebert-Stiftung am 24. November in Berlin – „IT-Sicherheit im Unternehmen – vom Kostenfaktor zum Wachstumsmotor“ – sind sich dann alle doch einig, dass man mehr relevante Bildung, Informatik und IT-Sicherheit in den Schulen vermitteln muss. Eventuell sollte als Schulfach Programmieren eingeführt werden, später dann Informationssicherheit für Studenten, die nicht Informatik oder Wirtschaftsinformatik belegen.
Ein Kommentar
[…] w grudniu 2014[3]. Prezes BSI, Michael Hange, potwierdził niedawno podczas konferencji Friedrich-Ebert-Stiftung, że w jego organizacji już tworzona jest nowa jednostka […]