Arbeitskreis Digitale Gesellschaft

SPD Schleswig-Holstein

9. Dezember 2014

Veranstaltung
Nihil Novi. Hochkarätige Referenten diskutieren über explosive Themen.

Sebastian Schreiber beim Live Hacking
Sebastian Schreiber beim Live Hacking | Foto: Friedrich-Ebert-Stiftung

„IT‐​Sicherheit im Unter­neh­men – vom Kos­ten­fak­tor zum Wachs­tums­mo­tor“ war das The­ma eines öffent­li­chen Fach­fo­rums der Friedrich‐​Ebert‐​Stiftung am 24. Novem­ber in Ber­lin. Zu sehen gab es da ein „Live Hacking“ — zu hören meh­re­re Fach­vor­trä­ge und eine Dis­kus­si­ons­run­de.

Sebas­ti­an Schrei­ber, Geschäfts­füh­rer der Tübin­ger Fir­ma SySS GmBH, kennt sein Hand­werk. Er hat nicht nur den eige­nen Rech­ner inklu­si­ve zahl­rei­cher eigens ent­wi­ckel­ter Hacker­soft­ware mit­ge­bracht, son­dern auch noch ein iPad, eini­ge Smart­pho­nes, ein altes Mobil­te­le­fon (das man nicht hacken kann, weil sich dar­auf kei­ne Soft­ware instal­lie­ren lässt), zer­ti­fi­zier­te Krypto‐​Memory‐​Sticks und wei­te­re Eigen­ent­wick­lun­gen, aus den Kabel und Dräh­te her­aus­hän­gen. Für sei­ne Demons­tra­tio­nen nimmt er ger­ne Mel­dun­gen von Frei­wil­li­gen ent­ge­gen, die mit eige­nem Smart­pho­ne an dem Live­hacking einer Spiele‐​App teil­neh­men oder ihre Tele­fon­num­mer für die Vor­füh­rung zur Ver­fü­gung stel­len, wie man eine SMS fäl­schen kann. Die Ope­ra­ti­on wird von einer Web­site aus vor­ge­führt. Die poten­zi­el­len Nach­ah­mer warnt Schrei­ber: „Sie brau­chen die URL nicht zu foto­gra­fie­ren – die Sei­te ist pass­wort­ge­schützt.“

Eine GSM‐​Wanze, mit der man leicht Tele­fon­ge­sprä­che abhö­ren kann, hat er nicht mit­ge­bracht. Er zeigt dafür aber, wie man sich eine bei Ama­zon bestel­len kann. Ganz ein­fach das Such­wort: „GSM Wan­ze“ ein­ge­ben, Preis: 25 Euro auf­wärts, zeigt das Ergeb­nis.

Er taucht ab in das Publi­kum, ges­ti­ku­liert viel und ger­ne, han­tiert mit den Kabeln her­um, schließt sein iPad an sei­nen Rech­ner an. Eins … zwei … drei … Ein neu­es Betriebs­sys­tem ist auf dem iPad instal­liert, das die Sper­re für die Pass­wort­ein­ga­ben außer Kraft setzt. Er hält zwei Knöp­fe des iPads gedrückt. Eins … zwei … drei … Das neue OS star­tet einen Bru­te Force Attack und pro­biert grob alle Vier­zah­len­kom­bi­na­tio­nen durch. Jetzt dau­ert es doch ein biss­chen. Man könn­te zwar schon jetzt auf die Inhal­te auf dem iPad zugrei­fen, aber noch wären sie ver­schlüs­selt. Mit der rich­ti­gen PIN ist der Zugriff auf alle Daten unein­ge­schränkt offen (bis auf den Facebook‐​Account, Twit­ter etc., wo man noch ein wei­te­res Pass­wort braucht, räumt Schrei­ber ein). Das War­ten lohnt sich also. Nach ein paar Minu­ten hat die Hacker­soft­ware die PIN „erra­ten“.

Zu den erfolg­rei­chen Hacks gibt es zahl­rei­che Publi­ka­tio­nen, die Schrei­ber ger­ne der Öffent­lich­keit zur Ver­fü­gung stellt. „Ich hacke mich ger­ne bei Ihnen ein“, sagt er, „wenn Sie es möch­ten.“

Dabei hat nicht mal eine Stun­de vor dem Live­hacking Prof. Dr. Hart­mut Pohl von der Fach­hoch­schu­le Bonn‐​Rhein‐​Sieg für bes­se­res natio­na­les Straf­recht optiert. Inter­na­tio­na­le Ver­trä­ge, Völ­ker­recht – das sei­en die Hand­lungs­op­tio­nen auf poli­ti­scher Ebe­ne. Die­se gäbe es auch auf der tech­ni­schen Ebe­ne, betont Prof. Pohl und führt die ISO 27034 als Bei­spiel an – einen Stan­dard, der die Vor­ge­hens­wei­se für Soft­ware­im­ple­men­tie­rung sys­te­ma­ti­siert. Nicht natio­na­les Rou­ting oder Mel­de­sys­te­me für Sicher­heits­vor­fäl­le sei­en sinn­vol­le Lösun­gen für mehr und bes­se­re Sicher­heit, die Wur­zel allen Übels sei­en die Sicher­heits­lü­cken. Die Unter­neh­men wür­den täg­lich Mil­lio­nen Angrif­fe mel­den – was für eine furcht­ba­re Welt! Aber: ohne Sicher­heits­lü­cken – kein erfolg­rei­cher Angriff. Nicht die Angrif­fe und ihre Anzahl sind für die Mel­de­sys­te­me wich­tig, son­dern die Sicher­heits­lü­cken und das Wis­sen dar­über, wie man sie schlie­ßen kann. Das hät­ten vie­le Unter­neh­men erkannt, sagt Prof. Pohl, auch die US‐​amerikanische Behör­de „mit drei Buch­sta­ben“.

Chris­ti­an Fli­sek, MdB und Obmann der SPD im NSA‐​Untersuchungsausschuss, sieht den NSA‐​Skandal als „Kata­ly­sa­tor“ für die IT‐​Sicherheit als Wachs­tums­mo­tor – und als Pro­dukt. Thors­ten Göbel, Geschäfts­füh­rer PIRONET NDH Dat­a­cen­ter AG & Co KG, bestä­tigt stell­ver­tre­tend für die Pri­vat­wirt­schaft, dass sich das Geschäft nach der NSA‐​Affäre gut ent­wi­ckelt hat und er mit den Akti­vi­tä­ten der Regie­rung ins­ge­samt zufrie­den sei. Des­we­gen sei das Schlimms­te, was pas­sie­ren kön­ne, wird Lars Kling­beil spä­ter an die­sem Tag in sei­nem Schluss­wort auf­grei­fen, dass sich das Snowden‐​Thema abschwächt.

Dage­gen sei das IT‐​Sicherheitsgesetz, so Dr. Oli­ver Grün, Prä­si­dent des Bun­des­ver­ban­des IT‐​Mittelstand e. V., kein Wachs­tums­mo­tor für die IT‐​Sicherheit, gleich­wohl es gut für die kri­ti­schen Infra­struk­tu­ren sei. Er bemän­gelt den Trend, dass deut­sche Gerä­te auf dem deut­schen Markt kaum for­ciert wer­den, und zeigt am Bei­spiel der Rou­ter, wie deut­sche Fir­men prak­tisch durch die asia­ti­schen Kon­kur­ren­ten aus dem Markt ver­drängt wer­den.

BSI‐​Präsident, Dr. Micha­el Han­ge, bestä­tigt, dass auch sein Bun­des­amt für Sicher­heit vor orga­ni­sa­to­ri­schen Ver­än­de­run­gen steht. Mit dem IT‐​Sicherheitsgesetz sei jedes Unter­neh­men für sei­ne IT‐​Sicherheit wei­ter­hin selbst ver­ant­wort­lich. Min­dest­stan­dards sei­en das Ziel des Staa­tes, den Rest ent­schei­de die Wirt­schaft. Das BSI sei ledig­lich an anony­mi­sier­ten Mel­dun­gen zu Sicher­heits­vor­fäl­len inter­es­siert, bis auf die Aus­nah­me, dass ein Unter­neh­men zur „Viren­schleu­der“ wer­de. Die Unter­neh­men soll­ten nicht direkt nach dem Staat rufen, wenn es um die Infor­ma­ti­ons­si­cher­heit geht, wird ihm Prof. Pohl bei­pflich­ten. Und er emp­fiehlt den Unter­neh­men, die Hälf­te davon, was sie in ihre Finan­zen inves­tie­ren, für die Infor­ma­ti­ons­si­cher­heit aus­ge­ben.

Das IT‐​Sicherheitsgesetz, wird Lars Kling­beil spä­ter sagen, braucht man. Es soll der Grund­kon­sen­sus sein, dass sich der Staat dar­um küm­me­re, was in den Unter­neh­men pas­sie­re. Und eine gemein­sa­me Stra­te­gie der Wis­sen­schaft und Wirt­schaft benö­ti­ge man eben­falls.

In der Schluss­run­de des öffent­li­chen Fach­fo­rums der Friedrich‐​Ebert‐​Stiftung am 24. Novem­ber in Ber­lin – „IT‐​Sicherheit im Unter­neh­men – vom Kos­ten­fak­tor zum Wachs­tums­mo­tor“ – sind sich dann alle doch einig, dass man mehr rele­van­te Bil­dung, Infor­ma­tik und IT‐​Sicherheit in den Schu­len ver­mit­teln muss. Even­tu­ell soll­te als Schul­fach Pro­gram­mie­ren ein­ge­führt wer­den, spä­ter dann Infor­ma­ti­ons­si­cher­heit für Stu­den­ten, die nicht Infor­ma­tik oder Wirt­schafts­in­for­ma­tik bele­gen.

Aleksandra Sowa

Lei­te­te zusam­men mit dem deut­schen Kryp­to­lo­gen Hans Dob­ber­tin das Horst Görtz Insti­tut für Sicher­heit in der Infor­ma­ti­ons­tech­nik. Dozen­tin, Fach­buch­au­torin (u.a. „Manage­ment der Infor­ma­ti­ons­si­cher­heit“, „IT‐​Revision, IT‐​Audit und IT‐​Compliance“), kürz­lich erschien im Dietz‐​Verlag „Digi­tal Poli­tics — so ver­än­dert das Netz die Poli­tik“. Hier äußert sie ihre pri­va­te Mei­nung.#Foto by Mark Boll­horst (mark-bollhorst.de)

More Posts

Fol­low Me:
TwitterLinkedInGoogle Plus

Schlagwörter: , , , , , , , , , , , , , , ,

Ein Kommentar

  1. […] w grud­niu 2014[3]. Pre­zes BSI, Micha­el Han­ge, pot­wierd­ził nie­daw­no podcz­as kon­fe­ren­c­ji Friedrich‐​Ebert‐​Stiftung, że w jego orga­ni­za­c­ji już twor­zo­na jest nowa jed­nost­ka […]

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.