IT-Security

Neuer Partner im IT-Security Lab: Willkommen @ ncp engineering

Veröffentlicht am

Wir freu­en uns über einen neu­en Part­ner in unse­rem IT-Secu­ri­ty Netz­werk:

Die NCP engi­nee­ring GmbH mit Haupt­sitz in Nürn­berg kon­zen­triert sich seit über 30 Jah­ren auf die Ent­wick­lung uni­ver­sell ein­setz­ba­rer Soft­ware-Kom­po­nen­ten für die ein­fa­che und siche­re Ver­net­zung von End­ge­rä­ten und Sys­te­men über öffent­li­che Net­ze. Ein­ge­setzt wer­den die VPN-Lösun­gen in den Berei­chen IoT / Indus­trie 4.0 / M2M sowie Mobi­le Com­pu­ting und Fili­al­ver­net­zung. NCPs Kern­kom­pe­ten­zen sind zen­tra­les, voll­au­to­ma­ti­sier­tes VPN Manage­ment sowie Ver­schlüs­se­lungs- und Fire­wall-Tech­no­lo­gi­en.

Wei­te­re Infor­ma­tio­nen unter: http://www.security-innovations.de

Gesellschaft

Treffen der Spione und Zero-Day Skandale

Veröffentlicht am

Es klingt wie aus einem schlech­ten Spio­na­ge­film und ist doch Rea­li­tät. Vor zwei Jah­ren, so kam jetzt her­aus, kamen Syn­er­gi­en zusam­men, die so man­chen Mana­ger zum Träu­men bewe­gen könn­ten: Ein PC wur­de von einem NSA-Mit­ar­bei­ter genutzt, vom Rus­sen aus­spio­niert und vom Israe­li gemel­det. Was ist denn hier pas­siert? Der Wahn­witz der Cyber­si­cher­heit und war­um die­se so nie­mals funk­tio­nie­ren wird, ist bei den Geheim­diens­ten wohl zur Rea­li­tät gewor­den. Rechts­freie Räu­me sind wir ja schon genau­so gewohnt, aber die­ser Zufall hat dem gan­zen ein kurio­ses Gesicht ver­lie­hen. Soft­ware, die zum Scha­den ande­rer Nut­zer geschrie­ben wur­de, ist Mal­wa­re — egal, wer der Urhe­ber ist. Fol­ge­rich­tig hat­te damals auch der Anti­vi­ren­scan­ner von Kas­pers­ky Alarm geschla­gen. Beab­sich­tigt war das wohl nicht. Rus­si­sche Hacker hat das dann, wie auch immer gear­tet, auf die Spur gebracht und die haben sich den NSA Schad­code gegrif­fen — wahr­schein­lich zur spä­te­ren Ana­ly­se. Beob­ach­tet wur­de das gan­ze von einem Cyber­spi­on aus Isra­el, der es dann den Freun­den bei der NSA gesteckt hat.

Was im bis­her geschil­der­ten Bei­spiel eine fast schon lus­ti­ge Bege­ben­heit dar­stellt, wird für ech­te Anwen­der zur Gefahr. Schutz­los einer Heer­schar von Spionen/Hackern und Tools aus­ge­setzt, kommt aber nun noch eins oben drauf. Spä­tes­tens seit Wan­na­Cry soll­te unse­re Bun­des­re­gie­rung wis­sen, dass das Aus­nut­zen und Ver­schwei­gen von Zero-Day Lücken eine sel­ten däm­li­che Ange­le­gen­heit ist. Trotz­dem wird momen­tan debat­tiert und es sieht wie immer nicht gut aus für den Rechts­staat und die Demo­kra­tie. Es ist ein Skan­dal, wie im  Namen von irgend­was Men­schen der Gefahr durch Cyber­at­ta­cken von wel­cher Quel­le auch immer aus­ge­setzt wer­den. Das gefähr­det den Stand­ort Deutsch­land als die Hoch­burg für IT-Secu­ri­ty Pro­duk­te. Man ver­traut deut­schen Pro­duk­ten und ent­ge­gen eini­ger Lai­en­kom­men­ta­re bei diver­sen IT-Foren sind die Leu­te vom BSI auf einer Mis­si­on, um die IT-Sicher­heit Stück für Stück zu gewähr­leis­ten. Beim letz­ten Tref­fen der ACS am 01.09. habe ich haut­nah mit­er­le­ben kön­nen, wie der Prä­si­dent des BSI an die Zuhö­rer appel­liert hat, sich für die IT-Sicher­heit stark zu machen und Deutsch­land zu einem Leucht­turm in Euro­pa und der Welt zu machen. Zu uns sol­len die Unter­neh­men kom­men, wenn sie auf Sicher­heit set­zen wol­len. Da wür­de es der Regie­rung gut zu Gesicht ste­hen, end­lich die Ver­trau­ens­kul­tur zu för­dern, die offen­sicht­lich als Auf­trag an das BSI gege­ben wur­de. Alles ande­re wäre ein Skan­dal.

Gesellschaft

Lernprozesse rund um die IT-Security

Veröffentlicht am

Es ver­geht im Moment mal wie­der kein Tag, ohne das offen­bar wird, dass IT-Sicher­heit noch nicht als ganz­heit­li­ches Ele­ment ver­stan­den wird. Wie­der ein­mal steht die Fra­ge im Raum, war­um das The­ma Sicher­heit in Unter­neh­men eine gro­ße Bau­stel­le zu sein scheint, wo wir doch gute Werk­zeu­ge hät­ten, um vie­le Pro­ble­me abzu­fan­gen, bevor die­se in der Pres­se zum Kopf­schüt­teln füh­ren. Neh­men wir doch Daim­lers “neue Kri­se” um Wan­na­Cry. Das Virus ist inzwi­schen alt genug, dass es als “Uralt­pro­blem” betrach­tet wer­den kann. Es gibt die not­wen­di­gen Patches, selbst Viren­scan­ner haben den Hash­wert zum Schäd­ling schon lan­ge in der Daten­bank und wei­te­re Infra­struk­tur­maß­nah­men könn­ten das Virus leicht am Vor­wärts­kom­men hin­dern. Trotz­dem konn­te es wie­der Fuß fas­sen.

Wem das aber viel­leicht schon in der See­le weh getan hat, dass ein DAX Kon­zern nicht knall­hart inno­va­ti­ve Sicher­heit und ganz­heit­li­che Kon­zep­te ver­folgt, der konn­te bei Deloit­te sicher­lich mehr als ein Haar in der Sup­pe fin­den. Offe­ne Ports.… Offe­ne Ports? Offe­ne Ports!!! War es denn so schwer für die NASA die übli­che Back­door zu neh­men — oder hat wenigs­tens die­se Lei­tungs­ver­schlüs­se­lung und einen Pass­wort­zu­gang? Wer sein Brot & But­ter Geschäft so schlei­fen lässt, wird in Zukunft am Markt einen schwe­ren Zugang im Bereich IT-Secu­ri­ty fin­den. Ande­rer­seits gibt es ja auch ande­re bekann­te Unter­neh­men, die ver­gess­lich in Sachen Qua­li­tät und Sicher­heit sind. Bleibt nur die Erkennt­nis der Woche frei nach Fefe: “Es ist unmo­ra­lisch schlech­te Soft­ware zu ver­brei­ten!”. Bleibt nur die Fra­ge, ob es auch schlecht fürs Geschäft ist.

Gesellschaft

Meinung: Passworte verstehen Menschen nicht

Veröffentlicht am

Die Erfin­dung des Pass­worts (für Com­pu­ter) war die Stern­stun­de der IT-Sicher­heit. Nie­mals wie­der soll­te jeder Nut­zer unbe­darft alles lesen oder sehen kön­nen. Wir waren an einem Punkt ange­langt, wo Com­pu­ter so leis­tungs­fä­hig waren, dass vie­le Nut­zer von einem Sys­tem pro­fi­tie­ren konn­ten. Doch wie ist die Situa­ti­on in der Gegen­wart? Es hat uns eine regel­rech­te Flut an Pass­wor­ten erreicht — eben­so wie eine Flut an Sys­te­men die von einer unvor­stell­bar gro­ßen Zahl an Nut­zern zugleich genutzt wer­den. Immer wie­der wird ver­kün­det: ein Pass­wort muss dies kön­nen, ein Pass­wort muss das kön­nen… Sicher soll es sein, ein­zig­ar­tig und natür­lich unheim­lich schwer zu raten, denn das ist theo­re­tisch der ein­zi­ge Knack­punkt. Wenn ich zufäl­lig das rich­ti­ge Pass­wort ein­ge­be, kom­me ich schon beim ers­ten Ver­such rein und all die Mühe war für die Katz!

Dies hat die Situa­ti­on geschaf­fen, dass jedes sel­ten benutz­te Pass­wort ein Hin­der­nis wer­den kann, wenn der Dienst doch mal gebraucht wird. Abhil­fe schafft das berühm­te Pass­wort 123456! Dies steht im Gegen­satz zu Emp­feh­lun­gen des BSI. Zwölf Zei­chen für Online­zu­gän­ge — min­des­tens und für das WLAN bes­ser 20 oder mehr. Hin­zu kom­men die vie­len Zwangs­lo­gin­kon­ten und selbst bei einem Dienst­leis­ter kön­nen auch mal meh­re­re, kom­ple­xe Pass­wor­te ange­legt wer­den.

Unser Appell an die­ser Stel­le: ein ver­ant­wor­tungs­be­wuss­ter Umgang mit Pass­wor­ten, aber auch mit Accounts. Die­ser dau­er­haf­te Zwang zur Authen­ti­fi­zie­rung (und sonst teils Ver­wei­ge­rung aller Diens­te) und der Bin­dung ans Inter­net ist uns ein Dorn im Auge. Wir sehen Pass­wor­te als wert­vol­les Mit­tel, um eini­ge Diens­te oder Infra­struk­tur abzu­si­chern, aber dau­er­haft wer­den wir in die­sem Netz­werk auch das Pro­blem der Authen­ti­fi­zie­rung ange­hen müs­sen. Damit es am Ende nicht heißt: die­ses Pass­wort ist geheim!

IT-Security

Broken by design

Veröffentlicht am

Micro­soft Win­dows hat den unrühm­li­chen Sta­tus als Ursa­che so man­cher Sicher­heits­pro­ble­me in der moder­nen IT-Land­schaft erwor­ben. Das die­ser nicht von unge­fähr kommt, zeigt auch ein neu­er Arti­kel über eine wei­te­re Metho­de namens Ghost­Hook, mit der sich Angrei­fer die höchs­te Befehls­ge­walt auf der Maschi­ne über die Aus­nut­zung einer fal­schen Behand­lung eines Debug­ger in Win­dows zu eigen machen. Micro­soft selbst stuft die Lücke als nicht kri­tisch ein, da der Schäd­ling ja schon im Ker­nel Code aus­füh­ren kön­nen muss.
Was dabei vom Soft­ware­rie­sen über­se­hen wird, dass die aus­ge­tricks­te Soft­ware­kom­po­nen­te im Ker­nel namens Patch­Guard genau die­se Art von Angrif­fen hät­te ver­hin­dern sol­len. Inter­es­sant der Hin­weis von einem deut­schen New­s­por­tal an die­ser Stel­le: schon 2005 haben zwei Hacker gezeigt, wie man mit etwas Fleiß und Assem­bler die “Sicher­heits­maß­nah­men” von Micro­soft umge­hen kann, da der Patch­Guard kein höhe­res Sicher­heits­le­vel als der Ker­nel selbst hat. Soft­ware­ent­wick­ler nen­nen so einen Sach­ver­halt “bro­ken by design” — also ein nicht mehr zu ret­ten­des Unter­fan­gen, dass wahr­schein­lich dar­an geschei­tert ist, dass Micro­soft Hin­ter­tü­ren eine Mög­lich­keit geben woll­te oder muss­te, sich in Win­dows ein­zu­pflan­zen.

Es soll­te an die­ser Stel­le ein­mal mehr über­legt wer­den, ob die Bequem­lich­keit der Infra­struk­tur aus einem Guss nicht immer mehr zu einem Hin­der­nis auf dem Weg zu ernst­haft abge­si­cher­ter IT wird. Nur die Zeit wird zei­gen, wel­che Evo­lu­ti­on sich in der Soft­ware­indus­trie an die­ser Stel­le letzt­lich durch­setzt.

IT-Security

Wir suchen Talente für unser Netzwerk IT-Security

Veröffentlicht am

Wir haben heu­te eine Kam­pa­gne von Anzei­gen zur  akti­ven Suche nach Talen­ten für unser Netz­werk gestar­tet. Wir bie­ten sowohl Mög­lich­kei­ten in Pro­jek­ten gemein­sam mit Part­nern (Unter­neh­men, Tech­no­lo­gie- und For­schungs­part­nern) etwas zu bewe­gen als auch die Mög­lich­keit zur For­schung und Pro­mo­ti­on.

Gesellschaft

Staatstrojaner: Kein gutes Pferd

Veröffentlicht am

Die Tage muss sich der Bür­ger noch mehr Luft zufä­cheln. Der war­me Som­mer hält die Repu­blik noch fest im Griff, da pus­tet auch durch das Par­la­ment ein hei­ßer Wind. Die Rede ist vom Gesetz zum Staats­tro­ja­ner. Eine Schad­soft­ware, die ent­wi­ckelt wur­de, um Infor­ma­tio­nen von tech­ni­schen Gerä­ten unbe­merkt zu beschaf­fen. Der Nut­zer soll ein­fach wei­ter­ma­chen wie bis­her und falls die Taten böse waren, wird der gut­mü­ti­ge Staat die­sem Ver­bre­cher das Hand­werk legen. Nun ist die Beschaf­fung von straf­recht­lich Rele­van­ter Infor­ma­ti­on in der Tat das täg­li­che Brot von Ermitt­lern. Die­se gehen hin, beob­ach­ten und dür­fen vie­ler­lei nicht. Sie dür­fen nicht in Woh­nun­gen ein­bre­chen, sie dür­fen Men­schen nicht zu Aus­sa­gen nöti­gen. Doch es gibt Aus­nah­men: Wenn eine erns­te Bedro­hungs­si­tua­ti­on besteht (auch “Gefahr im Ver­zug”), die bei­spiels­wei­se Men­schen­le­ben bedroht, so darf der Ermitt­lungs­be­am­te auf­grund einer berech­tig­ten Annah­me aus­nahms­wei­se die rote Linie über­tre­ten und han­deln. So etwas wird bei der Poli­zei jedoch nicht leicht­fer­tig und schon gar nicht in Mas­sen ange­wandt. Hier kommt der Staats­tro­ja­ner ins Spiel. Die­ser Schäd­ling kann poten­ti­ell alle Bür­ger und Unter­neh­men angrei­fen und führt “Ermitt­lun­gen” durch, deren Dau­er als auch recht­li­cher Ermes­sens­spiel­raum schnell ver­schwim­men kön­nen. Das Gesetzt sieht eine Viel­zahl von Delik­ten vor, in denen ein Staats­tro­ja­ner legal ein­ge­setzt wer­den darf. Die Lis­te ist lang und kann hier betrach­tet wer­den. Wäh­rend Mord noch irgend­wo ver­ständ­lich sein könn­te, ist Betrug sicher­lich kein Ver­bre­chen, wel­ches eine solch mas­si­ve Über­wa­chung recht­fer­tigt.

Vom Miss­brauchs­po­ten­ti­al abge­se­hen, gibt es einen viel grö­ße­ren Aspekt zu beach­ten: Hat nicht erst Wan­na­Cry gezeigt, dass von staat­li­chen Insti­tu­tio­nen aus­ge­nutz­te Lücken eine Bedro­hung für die Sicher­heit aller sein kann? Wie recht­fer­ti­gen die soge­nann­ten Exper­ten im Bun­des­tag, dass alle eige­nen Bür­ger vom Staat einer poten­ti­el­len Bedro­hung und Miss­brauch von, nen­nen wir es beim Namen, Schad­soft­ware aus­ge­setzt sind, nur um dem Staat mehr Poten­ti­al zur Spio­na­ge ein­zu­räu­men? Die­ses Stück Soft­ware gehört aus gutem Grund ver­bo­ten und viel­mehr soll­ten Demo­kra­tie und das Mit­ein­an­der gestärkt wer­den. Denn vie­le ech­te Ver­bre­chen haben auch nicht sel­ten einen trau­ri­gen Hin­ter­grund — kei­ner woll­te so rich­tig hin­se­hen.

IT-Security

IT-Security muss neu verstanden werden

Veröffentlicht am

Neu­es Netz­werk der GFFT Inno­va­ti­ons­för­de­rung hilft Unter­neh­men, sich vor Cyber­an­grif­fen zu schüt­zen

Um Unter­neh­men bes­ser vor Cyber­kri­mi­na­li­tät zu schüt­zen, hat die GFFT Inno­va­ti­ons­för­de­rung ein Netz­werk „IT-Secu­ri­ty“ ins Leben geru­fen. Der Zusam­men­schluss aus Tech­no­lo­gie- und Bera­tungs­part­nern sowie einem Exper­ten­bei­rat infor­miert Unter­neh­men umfas­send und aus einer Hand über inno­va­ti­ve und bewähr­te Sicher­heits­lö­sun­gen. Gelei­tet wird das Netz­werk von dem Big Data- und Secu­ri­ty-Exper­ten David Veith.

Pro­fes­sio­na­li­tät und Vari­anz von Cyber-Angrif­fen neh­men mit wach­sen­den tech­ni­schen Mög­lich­kei­ten rasant zu. Oft sind die­se Atta­cken so gut getarnt, dass es im Durch­schnitt 120 Tage und mehr braucht, um Angrif­fe zu erken­nen“, erläu­tert Bern­hard Koch, Geschäfts­füh­rer der GFFT Inno­va­ti­ons­för­de­rung. „Vor die­sem Hin­ter­grund sehen wir gro­ße Bedar­fe in allen Berei­chen von Indus­trie, Gewer­be und For­schung, die aktu­ell nicht hin­rei­chend durch ein Gesamt­kon­zept befrie­digt wer­den.“

Iso­lier­te Insel­lö­sun­gen müs­sen im Bereich der IT-Secu­ri­ty der Ver­gan­gen­heit ange­hö­ren“, ergänzt Netz­werk­lei­ter David Veith. „Ange­sichts der sich mit den wach­sen­den digi­ta­len Mög­lich­kei­ten immer schnel­ler trans­for­mie­ren­den Geschäfts­pro­zes­se geht es uns dar­um, IT-Secu­ri­ty und Unter­neh­mens­pro­zes­se so zu ver­zah­nen, dass Inno­va­tio­nen auch in Zukunft schnell und zugleich abge­si­chert umge­setzt wer­den kön­nen“, so Veith wei­ter.

Um inter­es­sier­ten Anwen­der­un­ter­neh­men einen kom­pri­mier­ten Über­blick über der­zeit ver­füg­ba­re Pro­duk­te und Ser­vices im Bereich der Cyber­si­cher­heit zu bie­ten, hat die GFFT Inno­va­ti­ons­för­de­rung ein spe­zi­el­les Work­shop-For­mat ent­wi­ckelt, die GFFT Tech­no­lo­gy-Races. Dabei wer­den die vor­ab aus­ge­wähl­ten The­men in kom­pak­ten, auf die Lösung fokus­sier­ten Kurz­vor­trä­gen vor­ge­stellt.

Inhalt­li­che Schwer­punk­te des Netz­werks sind der­zeit u.a. die The­men Enter­pri­se Secu­ri­ty, Inter­net der Din­ge (IoT), Kri­ti­sche Infra­struk­tu­ren, Mobi­li­tät und Medi­zin­tech­nik.

Wei­te­re Infor­ma­tio­nen zum GFFT-Netz­werk „IT-Secu­ri­ty“ sind unter www.security-innovations.de erhält­lich.

Ansprech­part­ner für Rück­fra­gen:

GFFT Inno­va­ti­ons­för­de­rung GmbH

Bern­hard Koch

Tel.: 06101/95 49 80

Mail: bernhard.koch@gfft-ev.de