Fragen? Antworten! Siehe auch: Alternativlos
Die Antwort des BMG ist ein einziges Money Quote:
"Das theoretische Problem, das der CCC beschreibt, wird vor der Einführung der ePA für alle gelöst sein. Das BSI wird dies zur gegebener Zeit offiziell bestätigen. Am 15. Januar startet wie geplant die Pilotphase.Klar, klar. Mit dem Angriff Steiner kommt das alles in Ordnung!
Vor allem: "theoretisches Problem", ich lach mich kaputt! Die Details könnt ihr euch in der Aufzeichnung angucken. Das sollte dann auch keine Fragen offen lassen, ob das ein echtes oder nur ein theoretisches Problem ist.
Wieviele KRITIS-Organisationen setzen eigentlich Fortinet oder Palo Alto ein? Und sind damit durch diverse Audits und Pentests gekommen?
Wir haben doch umfangreiche Dokumentationspflichten jetzt. Erzählt doch mal, wie gut die geholfen haben!
Wie viele Firmen haben ISO-27001 und Fortinet/Palo Alto?
Fällt euch selber was auf oder muss ich weiterreden?
Update: Leserbrief:
Ich arbeite in einem Kritis-Unternehmen (Strom). Habe heute im Flurfunk mitbekommen, dass wir in unserem neuen Rechenzentrum nicht mehr auf Fortinet setzen.
Wir werden da etwas einsetzen von:
Palo Alto
Badumm Tsssss
Ich persönlich wundere mich ja nicht, dass wir ständig gehackt werden. Ich wundere mich, dass wir nur so wenig gehackt werden. Das liegt wahrscheinlich daran, dass unsere Spezialexperten wegen des ganzen Checklistenballetts nicht bemerken, dass und wie lange und von wie vielen parallel sie schon kompromittiert wurden.
NEEEIIIIINNNNN!!!
Gut, aus Sicht der Investoren ist das wahrscheinlich ein No-Brainer. Nvidia scheffelt Milliarden und unser GPU-Business stagniert? Dann müssen wir auch mehr "KI" machen!
Aber ich musste sofort an diesen wirklich bahnbrechenden Vortrag von Clayton Christensen denken, der da Disruption erklärt. Wenn ihr das noch nicht gesehen habt, dann solltet ihr das unbedingt nachholen. Es geht um "Mini-Mills" und die Stahlproduktion.
Die Geschichte geht grob so. Es gibt "integrated steel mills", traditionelle Stahlproduzenten. Die bauen auf allen Qualitätsschichten Stahl, von Rebar (für den Verbau in Stahlbeton) bis Steel Sheets.
Eines Tages werden Mini-Mills erfunden, die Schrott elektrisch einschmelzen und wenig wertigen Stahl für 20% weniger Kosten produzieren können. Gut genug für Rebar, weil es da keine harten Qualitätsvorschriften gab.
So und jetzt das Muster. Die Integrated Steel Mills machten mit dem Rebar-Stahl bloß 7% Marge. Die waren froh, dass sie sich aus dem Marktsegment zurückziehen konnten, weil sie da eh kaum Profit machten! Und die Mini-Mills waren natürlich auch froh, weil sie Millionen verdienen konnten.
Als der letzte Integrated Steel Manufacturer sich aus dem Rebar-Markt zurückzog, brach der Preis ein, weil sich nur noch Mini-Mills Konkurrenz machten, und die machten plötzlich kaum noch Profit. Also haben sie riesigen Druck gehabt, eine Schicht höher zu gehen. Als sie das schafften, waren die alten Stahlproduzenten wieder froh, weil das in ihrem Portfolio das unprofitabelste Segment war. Das wiederholte sich ein paar Mal und am Ende waren alle alten Stahlproduzenten bis auf einen pleite, und der eine spezialisierte sich auf Spezialstahl mit Sonderanforderungen und war nur noch ein Schatten seiner selbst.
So, und jetzt guckt euch mal an, welches Marktsegment unsere Autobauer nur noch bedienen, und ob das eine gesunde Entwicklung war.
Und ich überlege mir bei AMD, ob da nicht dasselbe passieren wird. Die wickeln den Teil ab, der am wenigsten Profit machte, aber ohne dass ein Disruptor ihnen die Butter vom Brot genommen hat. D.h. wir haben danach nur alle verloren, weil wir weniger Anbieter, weniger Konkurrenz haben und die Preise hochgehen.
Im Moment geht es erstmal "nur" um 4% der Belegschaft bei AMD. Aber die Richtung sieht für mich sehr klar aus.
Ein aktueller Hohlphrasen-Trend heißt "Secure by Design". Klingt eigentlich erstmal wie eine gute Idee, bis einem auffällt, dass da niemand etwas konkretes oder hilfreiches drunter versteht. Das ist einfach wie so ein Bullshit-Prüfsiegel-GIF im Web, das man auf seine Webseite pappt, damit die Kunden ein wohliges Gefühl haben.
Man kann das auch ernsthaft betreiben, klar. Ich halte seit einiger Zeit Vorträge darüber, wie ich konkret mein Blog so gebaut habe, wie ich mir Secure by Design vorstelle. Das ist allerdings transformativ. Das ist nichts, was man nachträglich dranflanscht. Man überlegt sich die Dinge vorher, damit das am Ende passt.
In meinem Blog habe ich eine Kombination aus Self-Sandboxing (Blog hat keinen Zugriff aufs Dateisystem, darf nur nach stdout schreiben und keine Sockets aufmachen) implementiert, und beim Anmelden prüft das Blog gar nichts sondern reicht die Credentials durch zum LDAP. Blog-Prozesse können sich gegenseitig nicht sehen.
Ergebnis: Ich könnte euch eine Shell-Kommandozeile im Blog einbauen und ihr könntet damit nichts machen, weil das Blog auch keine Prozesse starten kann und gegenüber dem LDAP nur mit den Zugriffsrechten angemeldet ist, die ihr über Bedienung des Blog-CGIs auslösen könnt. Das verstehe ich unter Secure by Design.
Wieso hole ich diese alten Kamellen raus? Weil mir gerade jemand diesen Artikel zu Secure by Design in der Industrie geschickt hat. Wie immer, wenn man inhaltlich nichts in der Hand hat, greift der Marketing-Experte zu "social proof" und listet zufriedene oder erfolgreiche Kunden. In diesem Fall Firmen, die Secure by Design erfolgreich umgesetzt haben.
Setzt euch mal stabil hin kurz:
The Cybersecurity and Infrastructure Security Agency’s (CISA) secure-by-design pledge has hit its six-month mark, and companies that took the pledge say they’ve made significant security improvements since they signed onto the initiative.CISA ist sowas wie das BSI der USA. Eine Bundesbehörde. Und CISA ist hochzufrieden, dass ihr Compliance-Theater von der Industrie Kunstförderung erhält:Jack Cable, a senior technical adviser at CISA, told Recorded Future News in a newly published Q&A about the project, which he said has “exceeded expectations.”Gut, das heißt natürlich nichts. Die Erwartungen könnten auch negativ gewesen sein, so dass schon "keiner tut was" die Erwartungen übertroffen hätte. Aber seien wir mal kurz nicht so zynisch. Er nennt fünf konkrete Firmen.Amazon Web ServicesNein, wirklich! Das sind die fünf hervorstechenden Erfolgsgeschichten für Secure by Design!Fortinet
Microsoft
Okta
Sophos
Und was haben die am Ende gemacht, um Secure by Design behaupten zu können jetzt? Sie haben ihren Opfern, äh, Kunden MFA reingedrückt!
Und MFA ist meiner Ansicht nach Security-Theater. Tut nichts für eure Sicherheit und erlaubt den gehackten Firmen so zu tun, als sei das deine Schuld, weil du ihnen Passwörter anvertraut hast statt MFA zu machen.
Wenn eine Firma dich zu MFA nötigen will, denkt immer daran, wie Firmen nach Hacks sagen, "aber die Kreditkartennummern sind nicht weggekommen". Warum sind die nicht weggekommen? Weil das teuer würde für die Firma. Alle anderen Daten? Da scheißen die drauf, wenn die wegkommen. Ist ja euer Schaden, nicht ihrer.
Einmal mit Profis arbeiten!
Zurückgegangen ist das auf NIST, die US-amerikanische IT-Sicherheitsbehörde. Die haben natürlich die Empfehlung zurückgezogen, als die Fakten auf dem Tisch lagen. Aber wenn so ein Scheiß einmal in alle möglichen Prozesse reingewandert ist, kriegst du das auch nicht mehr weg.
Daher hat das NIST jetzt die Brechstange rausgeholt und periodische Passwortrotation zu einem SHALL NOT gemacht (3.1.1.2 Punkt 6).
Mit anderen Worten: Das ist jetzt ein gültiges Security Finding in Audits. Das zu tun, was das NIST vor ein paar Jahren vorgeschrieben hat.
Ist auf der einen Seite witzig, aber ich finde das auch einen Hoffnungsschimmer. Nicht viele Menschen oder gar Organisationen sind in der Lage, Fehler nicht nur anzuerkennen, sondern Konsequenzen daraus zu ziehen. Schon gar nicht, wenn die Konsequenzen vielleicht peinlich sind.
In diesem Sinne: Gute Arbeit, NIST!
Oh und wenn ihr in einem Laden arbeitet, der Passwörter rotiert, dann holt euch mal gleich die Bug Bounty ab und meldet das als Sicherheitslücke.
Update: Ein Leser merkt an, dass das BSI das auch schon als Sicherheitslücke klassifiziert (unter ORP.4.A23).
IT-Systeme oder Anwendungen SOLLTEN NUR mit einem validen Grund zum Wechsel des Passworts auffordern.
Update: Ein Kollege hat das mal recherchiert und sagt, das geht nicht auf NIST sondern die Rainbow Books vom Pentagon zurück.
Update: Ein anderer Kollege meint gerade, dass das schon länger beim NIST so steht, mindestens seit April. Wenn das so ist, hab ich da von nichts mitgekriegt und freu mich dann halt jetzt mit Verspätung :-)
Grund für die Störung seien Probleme bei einem IT-Dienstleister und bei an diesen angeschlossenen Anbietern, führt der Sprecher aus. "Wir analysieren derzeit gemeinsam übergreifend mit Zahlungssystembetreibern und Anbietern den Sachverhalt sowie Art und Umfang der Störung."Ja, meine Damen und Herren, richtig gelesen. Wenn ihr in Deutschland mit Karte zahlt, geht das durch ein US-Unternehmen.Bei dem betroffenen IT-Dienstleister handelt es sich um das zum US-Konzern Fiserv gehörende Unternehmen First Data, wie ein Unternehmenssprecher auf Anfrage mitteilte. Derzeit liege ein technisches Problem bei einigen Verarbeitungsdiensten vor.
Ich bin mir sicher, dass das nichts mit Industriespionage zu tun hat. Die US-Behörden wollen halt über Zahlungen informiert sein!1!!
Lacher am Rande:
Es werde mit Hochdruck an einer Behebung der Störung gearbeitet, gibt die Kreditwirtschaft an. Eine Cyberattacke könne nach aktuellen Kenntnisstand aber ausgeschlossen werden.Also mit anderen Worten: Softwareproblem. Kann man nichts machen.
Gibt noch einen Lacher ganz am Ende:
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist bereits über die Störungen informiert. "Das BSI steht dazu im Austausch mit den Betroffenen und den zuständigen Behörden", teilte das Amt selbst mit.Oh NA DANN ist ja alles so gut wie geklärt. Das BSI ist informiert und beobachtet die Lage, arbeitet an neuen Checklisten für die Verwaltung der unnötigen Involvierung US-amerikanischer Firmen in innereuropäischen Zahlungsverkehr.
Wie wäre es mit ein paar neuen Meldepflichten? Und Checklisten!!
Update: Geht angeblich alles wieder seit 15:00 oder so. Aber, der Vollständigkeit halber: das betraf auch andere Länder. Das absolute Highlight an der Nummer ist aber diese Timeline. Ich zitiere mal:
- 2019: Fiserv Completes Combination With First Data Further Cementing Industry Leadership (acquires Clover via First Data).
- 2020: Fiserv, Inc. plans to reduce workforce in the next several months.
- 2022: Fiserv cuts deeper into workforce.
- 2023: Fiserv discloses 7% drop in workforce.
- April 2024: Fiserv CEO compensation rose last year to $28M.
- Sept 2024: Der internationale Komplettausfall jetzt
Das IT-Sicherheitskennzeichen des BSI wird von 60,7 Prozent der Befragten als vertrauenswürdig eingestuft und 72 Prozent würden ein Gerät mit diesem Siegel eher kaufen als ein gleichwertiges Gerät ohne Siegel.So und jetzt finden wir doch mal kurz raus, was man tun muss, damit das BSI einen diesen Sticker aufkleben lässt. Hier sind die Details:
Hersteller und Dienstanbieter können ihre IT-Produkte mit dem IT-Sicherheitskennzeichen des BSI auszeichnen. Sie sichern damit zu, dass ihre Produkte bestimmte Sicherheitseigenschaften besitzen.NICHTS. Man zeichnet sich selbst die eigenen Produkte aus. Prüft das BSI überhaupt irgendwas? Die Antwort könnte die Bevölkerung verunsichern!
Nachdem Sie als Hersteller Ihren Antrag auf Erteilung des IT-Sicherheitskennzeichens gestellt haben, prüft das BSI den Antrag und die Herstellererklärung auf Vollständigkeit und Plausibilität.Auf Vollständigkeit und Plausibilität!!!
Dieses Kennzeichen ist für die IT-Sicherheits eines Produktes ungefähr so viel Wert wie ein Versprechen der SPD. Gar nichts.
Update: Falls das jemand nicht wusste: So funktioniert grob auch das CE-"Siegel". Früher gab es mal ein GS-Siegel, das stand für "geprüfte Sicherheit". Jetzt gibt es CE, das steht für eine Selbstversicherung, sich an geltendes EU-Recht gehalten zu haben bei der Herstellung. Es gibt Ausnahmen für als gefährlich eingestufte Produkte (Herzschrittmacher), da braucht es einen externen Prüfer. Das ist aber die Ausnahme.
Auf der Internationalen Funkausstellung (IFA) in Berlin wurden heute vom Bundesamt für Sicherheit in der Informationstechnik (BSI) zwei IT-Sicherheitsgütesiegel an Zoom vergeben.Genau mein Humor! Zoom!! BWAHAHAHAHAHAHA
Eingabevalidierung von Daten, vorzugsweise auf dem ServerJa, äh, wenn du woanders als auf dem Server validierst, validierst du nicht Eingaben sondern Ausgaben.
Einmal mit Profis arbeiten, sage ich euch.
Das ist ein relativ langer Punkt, da steht auch noch:
Für die Entwicklung relevante Informationen/ Kommentare SOLLTEN aus der Produktivversion entfernt werden,Wie meinen? Meine Theorie: Die meinen Javascript-Minify. Ist natürlich absurdes Theater.
Update: Aus PROD.DEV.A.4:
Keine Verwendung von Konstrukten, für die Informationssicherheitsprobleme bekannt bzw. zu erwarten sind,
Tolle Idee! Da bleiben leider keine übrig.
sichere Programmiertechniken,
NEIN!!! Wir müssen einfach sichere Programmiertechniken anwenden, dann haben wir sicherere Produkte?! Scheiße, Bernd! Da hätten wir auch selber drauf kommen können!1!!
Die Entscheidung ist historisch - in dieser Einschätzung sind sich Gegnerinnen und Gegner sowie Befürworterinnen und Befürworter des Hafen-Deals einig. So wie bisher könne es nicht weitergehen und ein Umsteuern sei nur mit einem starken Partner wie MSC möglich, betonte Wirtschaftssenatorin Melanie Leonhard (SPD) am Mittwoch in der BürgerschaftDas ist schon sehr geil. Die sind zuständig. Und die sagen jetzt: Mit so unfassbar inkompetenten Vollversagern wie uns wird das nichts. Wir brauchen jemanden Erwachsenen. Am besten einen reichen Erwachsenen, der weder SPD noch Grüne ist.
Ein Kumpel aus Hamburg kommentiert: Das ist hoffentlich das Ende von rot-grün in Hamburg.
Ich persönlich begrüße diese neue Offenheit, dieses Glasnost von SPD und Grünen. Schade nur, dass das immer nur kurz vor dem Untergang geht in solchen Regimes.
Update: Wieso mussten wir den Hafen eigentlich verkaufen? Ganz einfach:
Seit Beginn des russischen Angriffskriegs auf die Ukraine haben es Hacker vermehrt auf deutsche Seehäfen abgesehen. Die Zahl der Cyberangriffe auf den Hamburger Hafen habe sich seitdem mehr als verhundertfacht, teilte die Hamburger Hafenverwaltung (HPA) auf Anfrage der dpa mit: "Die HPA registriert viele Attacken auf kritische Infrastruktur."
Klar, die macht ja auch sonst nichts. Mehr als registrieren und verwalten von Angriffen hat ja auch das BSI nicht in ihren Checklisten-Katalogen. Endlich mehr Meldepflichten!!1! Kaum zu fassen, dass bei mehr Meldepflichten auch mehr Angriffe gemeldet werden!1!!
Ich hätte damals beim Hackertoolverbot voraussagen sollen: Wenn ihr DAS hier macht, fliehen die Fachkräfte, und irgendwann wird Hamburg den Hamburger Haften verkaufen müssen, weil sie die Cyberangriffe nicht abgewehrt kriegen. Das erschien mir damals zu apokalyptisch, Voraussagen dieser Größe zu machen. Da sieht man mal: Für Politik bin ich ungeeignet. Go big or go home.
Ihr habt mir jetzt also alle Listen geschrieben, dass ihr erst eine Requirements-Analyse macht, und so weiter. Das ist schon mal nicht schlecht, aber meine Frage nach "funktioniert das" bezog sich auf Security.
Was ich eigentlich von euch wissen wollte: Was macht ihr so für Schritte in euren SDLs für die Security, und welche Maßnahmen davon bringen wirklich mehr Security?
Vielleicht sicherheitshalber noch ein bisschen konkreter.
Viele SDLs haben für die Security so Schritte drin wie in der Planungsphase ein Threat Model, in der Entwicklungsphase automatisierte Codescanning-Tools, vielleicht noch "du kannst nur Code einchecken, der ohne Compilerwarnungen baut" oder sowas, und danach gibt es häufig Pentests in der Testing-Phase.
Ich habe da jeweils eine Meinung zu, die ich jetzt gerne mal mit einer Messung auf ein solideres Fundament stellen möchte.
Ich hätte also gerne eine Liste, was ihr so für Security-Schritte habt, und wie das so läuft. Da erwarte ich jetzt nicht, dass ihr das wirklich wisst, ob das wirkt oder nicht, ein Gefühl würde mir reichen.
Nehmen wir als Beispiel mal die Codescanning-Tools. Die sind inzwischen echt verbreitet, aber in der Praxis sieht man gerne mal, dass diese Tools eingebaut werden, 23 GB Logdateien mit Warnungen ausspucken, und dann regelt man die Tools solange runter, bis eine immer noch überwältigende aber theoretisch bearbeitbare Liste von Warnungen rauskommt, die man dann auf die Entwickler verteilt. Die gucken sich das dann an und finden eine Menge False Positives darunter und ab da nehmen die die Tools nicht mehr ernst und machen das nur noch aus Compliance weiter, wenn überhaupt.
Das wäre ein Beispiel für einen Schritt, den man macht, aber der nicht wirklich etwas gebracht hat. Aber das hier soll eine Messung werden, keine Bestätigung. Insofern bin ich auch daran interessiert, wenn ihr Codescanner einsetzt und das wirklich funktioniert hat. Die Codequalität ist besser, die Entwickler sind an Bord, und es ist nicht bloß etwas, das man macht, um keine Complianceverletzungsprozesse anzustoßen.
Wichtig: NICHT NACHSCHLAGEN, direkt nach Wissensstand beantworten.
Frage: Was versteht ihr unter einem Software Development Lifecycle? Welche Schritte gehören eurer Meinung nach dazu? Welche haben einen konkreten Nutzen und welcher Nutzen ist das?
Hintergrund ist, dass das BSI kürzlich eine Technische Richtlinie herausgegeben hat, wo sie einen "sicheren Software-Lebenszyklus" definieren. Vor dem Beantworten meiner Umfrage bitte nicht da reingucken. Es geht gerade darum herauszufinden, wie realitätsnah das ist.
Wenn ihr Bock habt, könnt ihr nach der Beantwortung der Umfrage gerne das BSI-Dokument durchgehen. Ich warne schonmal vorher: Das BSI hat noch keine Checkliste gesehen, die ihnen nicht gefallen hätte.
Update: Hmm, vielleicht nochmal klarer sagen, was ich haben wollte. Ich dachte mir das so, dass ihr mir schreibt, was für ein Modell ihr "auf Arbeit" bzw. "in Produktion" fahrt, und dann welche Schritte davon eurer Meinung nach funktionieren und welche nicht.
Lasst mich mal kurz die ketzerische Frage stellen, warum die alle betroffen waren!
Ja warum denn, lieber Fefe? Na weil das fucking BSI denen vorgeschrieben hat, sie müssen ihre EDV "nach Stand der Technik" mit Schlangenöl tapezieren!
Und jetzt passiert völlig überraschend, was schon immer klar war: Das Zeug ist Software und hat auch Fehler.
Eigentlich sollte das BSI mal sich selbst in die Pflicht nehmen, wieso sie den Firmen gesagt hat, dass sie diesen Mist brauchen. Glaubt mal gar nicht, dass Carbon Black irgendwie besser ist, oder wie die Konkurrenten alle heißen. Das ist alles derselbe Klärschlamm, der da die Getriebe mit Sand füllt.
Also, liebes BSI. Ich finde auch, dass Microsoft und Crowdstrike in die Pflicht genommen werden sollten. Microsoft sollte endlich für ihre Ranzsoftware haften, und Crowdstrike sollte für die Schäden aufkommen, inklusive der Gehälter der IT-Leute, die hinter ihnen herräumen mussten. Das soll ruhig mehrere Milliarden kosten, Crowdstrike hat eine unfassbar große Marktkapitalisierung.
Aber stoppt da nicht. Nehmt als nächstes das BSI in die Pflicht. Es soll bitte von diesem pseudowissenschaftlichen Esoterik-Scheiß weg und evidenzbasiert arbeiten. Angriffsoberfläche kann man messen, und man kann sie minimieren. Potentielle Auswirkung von Sicherheitslücken kann man quantifizieren und das Risiko minimieren. Aber DAS schlägt das BSI irgendwie nie vor. Sie faseln lieber was von "secure by default" (was völlig sinnentleert ist und nichts konkretes bedeutet) und empfehlen flächendeckende Schlangenöl-Kontamination.
Und wenn dann was passiert, dann zeigen sie auf Microsoft und Crowdstrike.
Die BSI-Position ist auch meine Position: Alle Lücken schließen, sofort. Nichts "aufheben", auch nicht weil andere Behörden das vielleicht wollen.
Freut mich sehr. Dann gucken wir mal.
Können sie nicht, weil es nicht funktioniert. Und die sind ja nicht doof. Nur Schlangenölverkäufer, nicht doof.
Stellt sich raus: Doch, die sind so doof. Das wird natürlich genau so wenig funktionieren wie der Rest von deren Produkten. Und ihre Kunden werden so blöde sein, und einmal für die originäre "KI" zu zahlen, und dann nochmal doppelt für die "Korrektur"-"KI".
Achtet mal drauf: sie nennen es absichtlich nicht Korrektur sondern CriticGPT! Aus Korrektur könnte man ja ableiten, dass sie versprechen, dass die Korrekturen a) nur Fehler korrigieren und b) Fehler korrigieren. Beides wird natürlich nicht so sein.
Hey, vielleicht sind die doch nicht doof. Vielleicht haben die einfach nur gewartet, bis der Markt hinreichend verblödet ist, dass er für so ein "Produkt" reif ist.
Na dann… herzlichen Glückwunsch, lieber Markt. Gut gemacht.
Aber was rege ich mich auf. Ihr setzt ja auch Exchange ein, und Antiviren. Ihr mögt auch BSI-Checklisten. Ihr habt euch auch schon bei Blockchain und IoT verarschen lassen, und aktuell schwappt gerade eine riesigen Quanten-Verarsche-Welle über das Land.
Na macht ihr mal ruhig alle. Ist ja nicht mein Geld, das ihr da verbrennt.
Oh warte. Doch. IST mein Geld, das ihr da verbrennt. Fucking Hell!
Lasst mich da noch einen drauf tun: Ich warne auch vor gepatchten Exchange-Servern. Schaut nur mal kurz die Meldungen über Exchange der letzten drei Jahre durch. Das kann niemand vor seinen Aktionären verantworten, diese Software im Einsatz zu haben.
Eine Sache noch. Mir erklärte vor einer Weile jemand, wieso die Exchange-Server da draußen alle ungepatcht sind. Ja, zum Teil liegt das an der Lizenzpolitik von Microsoft. Niemand sieht ein, alle zwei Jahre ein neues Produkt kaufen zu müssen, nur weil Microsoft keinen Bock mehr hat, ihren alten Scheiß weiter zu warten. Ist so teuer und so. JA WER DENN SONST soll diese Kosten tragen, liebe Microsoft-Spezialexperten, als der Verursacher? Also ihr!
Aber der eigentliche Grund, wieso selbst Leute mit laufender Lizenz und laufendem Supportvertrag ihr Exchange nicht patchen, ist, laut dieser Einsendung, dass man Exchange nicht patchen kann. Da steht zwar Patch drauf aber das ist ein voller Installer. Der installiert sich drüber, migriert deine Einstellungen, und wenn das dann nicht geht, dann kannst du nicht den alten drüber spielen, weil die Einstellungen migriert sind. Dann musst du ein Backup einspielen. Das kostet zusammen zwei Tage Komplettausfall. Danke, Microsoft.
Ich verweise angesichts solcher Szenarien immer auf die Smartphones, die ja vor demselben Problem standen, und eine Lösung gefunden haben. Oder kennt von euch jemand jemanden, bei dem ein Update das Gerät gebrickt hat? Ich nicht.
Wieso macht Microsoft das dann nicht ordentlich? Weil sie euch ihren Cloud-Kack andrehen wollen. Wieso würden die Leute ein teures Abo abschließen, wenn der On-Prem-Kram problemlos durchläuft? Also muss das ständig Ärger machen und Updaten muss die Pest in Tüten sein, und wenn es gut läuft schlägt sich auch noch das BSI auf die Seite von Microsoft und erklärt der Bevölkerung, sie müssen patchen oder einen Managed Service nehmen (was zufällig genau das ist, was Microsoft auch möchte. Das ihr alle einen Managed Service kauft.)
Ich finde es immer sehr bedauerlich, dass das BSI sich hier instrumentalisieren lässt, anstatt die Kunden vor Microsoft zu verteidigen und die zu ordentlichen Produkten zu zwingen.
Wenn das BSI das nicht tun möchte, dann können sie von mir aus auch Knöllchen für ungepatchte Exchange-Server verteilen. Das sollte teurer sein als Falschparken, finde ich. Ein ungepatchter Exchange kostet nicht nur die Firma einen potentiellen Besuch einer Ransomwaregang sondern dient auch als Plattform zum Angreifen unschuldiger Dritter. Das sollte Kosten verursachen, und das Gewaltmonopol sollte auch hier beim Staat liegen, nicht bei den Ransomwaregangs.
Dann brauchen wir noch einen Weg, wie sich die betroffene Firma das Geld von Microsoft zivilrechtlich zurückholen kann. Klar.
Update: OK gut, es gibt auch bei Smartphones gelegentlich kaputte Updates. Aber die bricken nicht das Gerät.
Hier sind ein paar davon.
BSI-Chefin Plattner meinte: Ich liebe Checklisten, aber Checklisten werden uns nicht retten. Da freut mich immerhin der hintere Teil von. Ihre Lösung war dann leider, man müsse da eben mehr Dinge automatisieren.
Das finden viele Softwarehersteller auch und automatisieren seit Jahren immer mehr Prozesse. Ergebnis: Der Druck auf dem Opfer, dem Kunden, wächst immer mehr, weil immer mehr Patches rauskommen.
Ich finde, man sollte Patches hier nicht so positiv sehen. Jeder Patch ist ein Nachweis dafür, dass der Hersteller versagt und unsichere oder anderweitig kaputte Software verkauft hat. Ich finde es gut, dass die Hersteller überhaupt Patches machen. Aber erinnern wir uns: Das war nicht die Arbeit des BSI, die das herbeigeführt hat, sondern dass Hacker lauter Exploits verbreitet haben, so dass man das nicht mehr unter den Teppich kehren konnte.
Leider ist über die Jahre ein bisschen unter den Tisch gefallen, dass wir heute nicht wirklich sicherer sind als früher, weil immer noch jede Software die ganze Zeit unsicher ist. Es gibt einen unaufhörlichen Nachschub an Bugs, wir kennen sie nur noch nicht.
Da wo wir wirklich Fortschritt gebraucht hätten, nämlich dass die Software weniger Patches braucht, haben wir das Gegenteil davon gekriegt. Frau Plattner meinte dann auch noch, moderne Software ließe sich besser schützen als alte. Das ist leider auch genau die Linie der Softwarehersteller, die Security nicht als Pflicht sondern als Vertriebsvehikel sehen. Was setzt du denn auch den alten Windows Server ein, kauf doch lieber einen neuen Windows Server!1!!
Plattner hat sich dann auch als "KI"-Fan geoutet, was mich ein bisschen zusammenzucken ließ. Sie sagte dann, was auf dieser Veranstaltung noch mehrere andere sagten: KI hilft Angreifern, wir müssen zur Verteidigung daher genau so schnell auf KI setzen.
Dafür kurz als inhaltliche Klarstellung: Nein. KI hilft Angreifern nicht. KI erzeugt keine Exploits, identifiziert keine Bugs, analysiert keine Patches. In einigen Proof of Concept Fällen kann man möglicherweise eine Demo faken, aber KI hilft Angreifern nicht.
KI kann dafür sorgen, so erklärten dann einige Teilnehmer, dass die Scam-Mails weniger Rechtschreibfehler haben. Die haben nicht verstanden, dass die Rechtschreibfehler absichtlich drin sind. Die Scammer richten sich ja nicht an Leute, die Scams erkennen, und dann möglicherweise Ärger machen und ihr Geld zurück haben wollen oder die Polizei rufen, wenn die noch was machen kann. Die richten sich an naive alte Menschen und filtern mit den Rechtschreibfehlern die anderen raus.
OK, nächste Aussage, die ich lustig fand: Da saß ein Typ von Rohde und Schwarz auf der Bühne in dem einen Podium mit der Plattner, der mehrfach negativ auffiel, indem er sie demonstrativ duzte. Ich würde ja schon grundsätzlich gegen die Anwesenheit von R&S opponieren, aber das fand ich echt auffallend respektlos und eine Frechheit. Jedenfalls, wieso ich den erwähne: Der erzählte (als Anekdote, dass in Deutschland Innovation ja wegen Überregulierung ausgebremst würde), sie hätten ja "KI" einführen wollen, seien aber am Personalrat gescheitert. Wieso ich R&S nicht mag ist weil sie IMSI-Catcher für den Unterdrückungsstaat bauen, und Militär und Geheimdienste mit Spezialequipment beliefern. Aus meinen Augen ist das unethisches Geschäftemachen.
Was haben wir noch ... da saß noch ein Telekom-Mensch, deren Cloud Security-Chef glaube ich, der sich (für Nerds humoristisch) verplapperte, dass man ja im Moment auch Mails von Servern mit abgelaufenen TLS-Zertifikaten annehmen müsse, weil der Zustand der Security-Landschaft da draußen so schlimm sei. Bei SMTP mit TLS präsentiert nur der annehmende Server ein Zertifikat. Der Einsender zeigt gar keines, das abgelaufen sein könnte. Den Versprecher fand ich lustig genug zum notieren :-)
Neben dem Telekom-Typ saß ein Cisco-Schlipsträger auf dem Podium, der dann erzählte, wenn sich Kleinunternehmer keine IT-Abteilung leisten können, dann müssen sie halt managed Services einkaufen von jemandem. Die Telekom daneben nickte. Da hab ich mich ziemlich geärgert, weil sich hier die Täter (die Telekom hat Millionen von schrottigen Plasteroutern im Feld und Cisco hat mehr Hintertüren in ihren Produkten gehabt als alle Konkurrenten zusammen und war gerade an dem Webex-Debakel Schuld) auf der Bühne erzählen dürfen, die Kosten solle mal ihr Kunde/Opfer tragen. Da hätte ich mir gewünscht, dass der Moderator mit dem großen Holzhammer draufkloppt.
Die Keynote von dem BKA-Chef war spannend, weil das mein erstes Mal war, dass ich die BKA-Panikslides sehe, mit denen sie die Politik immer wieder dazu kriegen, ihnen mehr Befugnisse zu geben. Kommunikationstechnisch waren die Slides brillant gemacht. Auf ihnen standen lauter PANIK-PANIK-Zahlen und Grafiken drauf, Milliardenschäden, alles furchtbar, wir sind so gut wie tot, die Kriminellen sind super ausgebildet und besser organisiert als wir und so weiter, aber der Vortrag war das glatte Gegenteil. Der Mann ist ein Karriere-Polizist, ein lockerer Typ mit nach Hamburg klingender Sprache, der da weitgehend ruhig und cool vorträgt, dass das ja alles schlimm aussähe, aber man sei am Ball, die Quote der Lösegeld bezahlenden Ransomwarebefälle sei rückläufig, und man habe ja schon folgende Domains beschlagnahmt und jeweils MILLIONEN von Euros in Bitcoin vom Markt genommen.
Die Folien sagten PANIK PANIK PANIK aber die Worte sagten: Alles im Griff. Wir werden hier nicht von technischen Dingen ausgebremst sondern von den Befugnissen. Wenn ihr nur kurz das Grundgesetz ändert (trug er wirklich so vor!), dann können wir die auch verhaften, bevor sie auch ransomwaren. Vorschlag dazu liegt auf dem Tisch, muss nur noch vom Parlament abgestimmt werden. Alles in Ordnung. Wir handlen das.
Das ist kein leichter Spagat! Auf der einen Seite OH MEIN GOTT IHR MÜSST JETZT SOFORT HANDELN kommunizieren aber gleichzeitig "bei uns ist das in guten Händen, wir haben alles im Griff" zu sagen und noch für eine Grundgesetzänderung für Gefahrenabwehr zu werben, ohne dass das wie Erpressung aussieht (ihr müsst das jetzt machen sonst sind wir alle tot).
Ich muss sagen: Hut ab vor dem BKA-Chef. Der weiß, was er tut, und wie er es tun muss. Der sammelt seit Jahren erfolgreich immer mehr Befugnisse ein, ohne dafür dann irgendwas vorzuzeigen zu haben.
Der nächste Vortrag war dann von ZITIS, hatte ich ja schon erzählt, mit den mobilen Quantencomputern. Der hatte noch ein paar andere haarsträubende Projekte, von denen er erzählte. Er wollte Quantenoptik haben (seine Begrifflichkeit!), damit man vor dem Tür eintreten durch die Wände gucken kann. Das ist meines Wissens nichts, was die Physik-Disziplin der Quantenoptik überhaupt auch nur versucht, geschweige denn als Ziel formuliert, aber da lasse ich mich gerne korrigieren. Desweiteren fand er "KI" transformativ und wir müssen schnell aufspringen, und im Übrigen werden Drohnen immer billiger und wichtiger, das brauchen wir auch, und dann warnte er noch vor kriminellen LLMs, die mit Darknet-Daten trainiert seien, und dann nicht wie bei den guten Menschen von OpenAI einen Filter drin haben, der sich weigert, Bombenbauanleitungen auszuhändigen. ZITIS lässt außerdem an neuronalen Netzen zur Erkennung von Hass im Internet forschen, und hat ein Projekt für die "Robustheit von KI" gestartet (kann ich jetzt schon sagen, dass das scheitern wird), und sie machen sich Sorgen vor der Manipulierbarkeit von "KI". Stöhn.
Den Schenkelklopfer des Tages brachte aber der CISO der Bundeswehr, schön in Ausgehuniform, der sich auch zu Ransomware äußerte (offenbar sehen sich da auch Bundeswehr-Behörden von angegriffen): Davon geht keiner aus, bei uns Lösegeld erpressen zu können. Das Publikum wieherte vor Lachen :-)
Update: Wenn ich hier gefühlt alles kritisiere, was Frau Plattner vorgetragen hat, wieso sah ich ihre Person trotzdem positiv am Ende? Ich hatte den Eindruck, dass die halt noch nicht alle Fakten gehört hat, und möglicherweise umgestimmt werden kann, wenn ihr mal jemand die andere Hälfte der Realität zeigt, und andere Blickwinkel. Den BKA-Chef, der Bundeswehr-CISO, den ZITIS-Typen, die wirst du alle nicht umgestimmt kriegen, egal was du vorträgst. Die machen da halt ihren Job und werden sich nicht von Fakten behindern lassen.
Update: Übrigens, am Rande: Der ZITIS-Chef war vorher Abteilungsleiter für technische Aufklärung beim Bundesnachrichtendienst.
Karl war viermal als Zeuge in den NSA-Untersuchungsausschuss des Deutschen Bundestags geladen. Als Unterabteilungsleiter im Bundesnachrichtendienst war er zuständig für die Übermittlung deutscher Internetdaten an die National Security Agency in der Operation Eikonal und deutscher Telefondaten an die Central Intelligence Agency in der Operation Glotaic.
Ja klar! Was machst du mit so jemandem? Rausschmeißen geht ja nicht, denn dann müsste man ja auch lauter andere Leute rausschmeißen. Bleibt ja quasi nur befördern! Mobile Quantencomputer, ich leg mich flach.
Ich hab zugesagt, weil ich Zeit hatte und das nicht weit weg ist, und es ist am HPI, also der Uni Potsdam, und ich mag Unis. Stellt sich raus: Das ist die Art von Veranstaltung, bei der die Tagesschau Filmaufnahmen macht, die dann abends im Fernsehen laufen. o.O
Die Vorträge waren größtenteils, was man erwarten würde, wenn man Sicherheitsbehörden nach einem Lagebild fragt. WIR WERDEN ALLE STÖRBEN! IMMER MEHR CYBER!! SO TU DOCH MAL JEMAND WAS!!!
Aber es gab ein paar interessante Neuigkeiten. Erstens: Der nächste Hype. Der nächste Hype werden "Mobile Quantencomputer".
Einer der Vorträge war vom Chef von ZITIS. Das sind die hier. Die sehen sich als eine Art DARPA und finanzieren Forschung an Bereichen, die sie in Zukunft für wichtig für den Sicherheitsapparat und das Militär halten, und der gute Mann erwähnte explizit "Mobile Quantencomputer".
Ich dachte, ich hab mich verhört. Ihr wisst schon, wenn man einen Liedtext nicht richtig versteht. Was man gehört hat, ergibt so gar keinen Sinn. Ich muss mich verhört haben.
Dann kam später der CISO der Bundeswehr, in Ausgehuniform, und erzählte, man werde ja in Zukunft auch mobile Quantencomputer brauchen.
Da wusste ich, dass ich mich nicht verhört habe, sondern das der neue heiße Scheiß ist. Blockchain ist ja schon so gut wie tot, KI atmet schon schwer. Mit irgendwas werden die Scammer ja ihr Geld verdienen müssen! Und das werden dann mobile Quantencomputer sein.
Also. You heard it here first. Mobile Quantencomputer!
Für mich war der Tag ein Gewinn, denn auf meinem Podium trugen die anderen natürlich vor, was sie alles für Ransomware-Domains beschlagnahmt haben in riesigen internationalen Kooperationen. Ich habe dann deren Arbeit mit Pokemon verglichen. Gotta catch them all!
Mal gucken, ob es das in irgendeine Presse schafft. :-)
Ich finde das gut und richtig, wenn die Ransomwaregangs hopsnehmen, aber so werden wir das Problem nicht gelöst kriegen. Ich schlug vor, Firmen in die Haftung zu nehmen, wenn sie unsichere Software einsetzen und dadurch ein Schaden entsteht, und die sollten sich das dann zivilrechtlich vom Softwarehersteller zurückholen können, wenn der (auch) Schuld ist.
Kurze Anekdote am Rande noch. Auf der Konferenz lief auch die neue BSI-Chefin herum, und sie hielt auch eine Keynote. Ich habe die vorher noch nie getroffen und sie hinterließ direkt einen viel positiveren Eindruck als alle ihre Amtsvorgänger. Ich dachte mir also, als ich sie beim Social Event sah, dass ich ihr das mal sagen sollte, gehe auf sie zu, und sage: "Ich kritisiere das BSI ja seit 20 Jahren gerne und häufig, ..." woraufhin sie ganz trocken meinte: "Ich hörte davon".
Äh ... wat? Gibt es da eine Liste? Und da bin ich drauf? Und ich habe genug Eindruck hinterlassen, dass die BSI-Chefin meinen Namen kennt?! Ich habe mein Kompliment dann noch rausgekriegt aber war ziemlich geflasht davon :)
Bei den Vortragenden gab es übrigens (abgesehen von mir) Konsens, dass die Kosten für das Absichern von Windows-Infrastrukturen von den Betreibern der Infrastrukturen bezahlt werden sollte. Niemand außer mir fand, dass man als Käufer von Software erwarten kann, dass der Hersteller die ohne Defekte ausliefert, und für Schäden durch Qualitätsmängel haftet.
Besonders großartig war der eine Vortragende in einem anderen Panel, der von Cisco kam. Nicht nur hat der mit keinem Wort erwähnt, dass Cisco für das Webex-Debakel verantwortlich zeichnet, das u.a. das BSI (!) betroffen hat. Der erzählte da, man müsse als Firma ja vorbereitet sein. Man sollte die Support-Telefonnummer für seine Zulieferer bereit haben. Falls was passiert. Kontext: Cisco hat jahrelang nicht mal Security-Patches zum Download angeboten, wenn man keinen laufenden Supportvertrag vorweisen konnte. Die Support-Telefonnummer hätte ich gerne mal genannt bekommen, die einem hilft, wenn man gerade per Webex abgeschnorchelt wurde.
Update: Ein Leser weist darauf hin, dass das HPI nicht Teil der Uni Potsdam sondern eine privatwirtschaftliche gGmbH ist, und die Uni Potsdam im Logo tragen darf, weil es eine gemeinsame Fakultät und eine Kooperationsvertrag gibt. :-)
Aber hey, Opfer von Cyberangriffen werden sich freuen, dass das BSI ihren Angriff professionell verwaltet und eine Liste von Cosplaygruppen führt. Natürlich ohne Länderzuordnung, denn das wäre ja unprofessionell. Immerhin.
Aber was genau soll man jetzt mit der Liste machen? Bleibt unklar. Nur eine Sache ist völlig klar:
Diese Listen haben keineswegs nur theoretischen, sondern ganz konkreten, praktischen Nutzen, betonen ihre Autoren.Oh ach sooo! Naja hey, wenn die Autoren das betonen, dann wird das wohl so sein! Niemals nie nicht würde irgendjemand Schutzbehauptungen aufstellen, damit unaufmerksamen Beobachtern nicht auffällt, dass er nicht gebraucht wird und man die Steuergelder auch sinnvoll hätte einsetzen können.
So können sie etwa beim Vorliegen einer Lösegeldforderung einer bekannten Gruppe sofort nach den typischen Hinterlassenschaften dieser Bande suchen.Am besten mit einem Plastikbeutelchen. Einmal rumlaufen und die Hundescheißhaufen einsammeln. Genialer Plan, liebes BSI! Damit ist der nächste Angriff dann so gut wie abgewehrt!!
Außerdem hilft diese Liste, eine realistischere Bedrohungslage zu erstellen und Abwehrmaßnahmen angemessen zu priorisieren.Das würde ich ja mal vollumfänglich bestreiten. Das ist ungefähr so nützlich wie die Liste der Batman family enemies.
Hey, wenn du als Bundesbehörde so ein Problem hast, wen rufst du dann? Klar! Das BSI!
Tausende Videokonferenzen von Ministerien waren abhörbarVielleicht doch lieber jemanden rufen, der sich mit sowas auskennt. (Danke, Markus)[…]
Als Betroffene werden beispielhaft das BSI, Europol, […] genannt.
Hey, immerhin tun sie dieses eine Mal, was sie vorher gepredigt haben.
Und, liebe CDU? Geht es der Wirtschaft schon besser?
Nicht?
Tja dann solltet ihr aber schnellstmöglich von enormer krimineller Energie faseln und das BSI einschalten! Die werden euch innerhalb von nur weniger Geschäftstage hilfreich ein paar Checklisten überlassen.
New hotness: »Schwerster Angriff, den jemals eine politische Partei in Deutschland erlebt hat«.
Ist ja komisch. All die superkriminellen Superkriminellen mit der nie da gewesenenen superkriminellen Energie greifen … ihre korrupten Kumpels von der CDU an? Gibt es denn keine Ganovenehre mehr?!?
Der Angriff war so krass, dass die CDU die Aufklärung nicht selber bezahlt, sondern das das BSI und den "Verfassungsschutz" machen lassen will. War ja klar. Hey, wieso ruft ihr nicht auch gleich noch die Bundeswehr? Ihr wisst schon, Wie Anhalt-Bitterfeld! Oh, weil die nichts können? Na und?! Ihr müsst mal was machen, damit deren "Cyber-Lagezentrum" mal irgendwann für irgendwas genutzt wurde!1!!
Tja, meine Damen und Herren. Da steht sie, die CDU. Vor den Trümmern ihres eigenen Totalversagens der letzten 50 Jahre.
Also ich würde ja empfehlen, Mandiant zu beauftragen. Die ziehen sich, wenn man ihnen genug Kohle in den Arsch schiebt, zuverlässig irgendwelche APT-Gruppierungen irgendwelche furchtbar gefährlicher Nation State Actors aus dem Arsch, und am Ende war niemand Schuld weil man ja gegen Nation States und ihre Geheimdienste eh nichts machen kann. Wenn Mandiant sich das aus dem Arsch zieht, dann ist das auch viel seriöser als wenn die CDU was von den Russen faselt.
Da sieht man mal, wie schlecht die CDU aufgestellt ist. Das weiß doch jeder, dass es immer die Chinesen sind, nicht die Russen!1!! Elende Amateure immer.
Die Behörden nehmen den Vorfall "sehr ernst". Alles deute auf einen professionellen Akteur hin.Natürlich, mein Herr! Sonst wären die ja nicht durchgekommen!!1! Durch die hochprofessionellen Checklisten-Verteidigungslinien der CDU!1!!
Zum Ausmaß des Schadens oder zum Angreifer könne wegen der laufenden Ermittlungen nichts gesagt werden. "Die Art des Vorgehens deutet aber auf einen sehr professionellen Akteur hin", erklärte ein Sprecher.Ja hatten die etwa kein Active-Directory-Webinar bei Heise gebucht?!?
Sehr geil auch: Für einen Angriff mit DERMASSEN enormer krimineller Energie reicht die normale Polizei nicht aus. Da musste die CDU den "Verfassungsschutz" einschalten.
Und da, muss ich sagen, bin ich dann doch ausnahmsweise mit der Gesamtsituation zufrieden. Die CDU kriegt jetzt die volle Inkompetenz zu spüren, die sie selbst zu verantworten hat. Bei sich selbst und beim "Verfassungsschutz".
Der Verfassungsschutz und das Bundesamt für Sicherheit in der Informationstechnik hätten Ermittlungen aufgenommen.Oh und beim BSI! HAHAHA, wunderbar! Auch deren Inkompetenz hat die CDU zu verantworten.
Die Vorstellung, dass das BSI denen jetzt eine Familienpackung Checklisten per Kurier vorbeibringt, füllt mich mit großer Genugtuung.
Bonus:
"Unsere Sicherheitsbehörden haben alle Schutzmaßnahmen gegen digitale und hybride Bedrohungen hochgefahren und klären zu Gefahren auf. Wir sehen erneut, wie notwendig dies gerade vor Wahlen ist."Tja, äh, Pro-Tipp fürs nächste Mal: VOR dem Angriff Security machen.
Update: Die CDU ist auch für das Hackertoolverbot verantwortlich, das Sicherheitskräfte kriminalisiert und außer Landes getrieben hat, die ihnen jetzt hätten helfen können. Und sie haben Lilith Wittmann angezeigt, als die ihnen eine Sicherheitslücke melden wollte und damit auch den CCC dazu gebracht, ihnen keine Lücken mehr zu melden.
Ich habe in meinem Vortrag, ob uns KI retten wird, auf einer Folie das Wort "Checklisten-Ballett" verwendet. Das wäre doch eigentlich ein perfektes Prompt für eine Bildgenerator-"KI"!
Ich weiß gerade nicht, wie das konkret aussehen soll. Vielleicht ein Tanzband ("stretching strap") mit Ankreuz-Kästchen drauf? Diese Tanzbänder haben mit Ballett nicht viel zu tun, aber das Detail könnte man glaube ich wegignorieren.
Oder man könnte sich vielleicht vorstellen, dass auf dem Kostüm eine Checkliste aufgedruckt ist? Oder die Checkliste ist nicht auf den Tänzern sondern die Bühne ist eine riesige Checkliste?
Wäre mir alles recht.
Wenn der Tanz dann auch noch vor dem BSI stattfindet, wäre das die Krönung, aber ich wäre schon überhaupt über ein Bild für Checklisten-Ballett glücklich.
Aber bitte, opfert da jetzt nicht euer schönes Wochenende für. Nur wenn euch gerade langweilig ist. :-)
Update: Vielen von euch war gerade langweilig :-) Hier tu ich mal die Einreichungen hin.
Das läuft natürlich genau so, wie ihr euch jetzt wahrscheinlich gedacht habt.
Bis 2040 sollen die neuen Panzer beiden Staaten zur Verfügung stehen.Das glauben die hoffentlich selber nicht.
Es gehe nicht um die Weiterentwicklung der aktuellen Panzer, sonder um "etwas völlig Neues", das mehrere "miteinander vernetzte Gefechtsfahrzeuge" umfasse und mit künstlicher Intelligenz ausgestattet sei, sagte Pistorius.Oh aber natürlich! Mit künstlicher Intelligenz!
Auch mit Quantum-Kram? Und Blockchain? Cloud? Metamaterialien?
Die McKinsey-Beratung kann ich ja bis hier riechen!
Ich hoffe mal, dass da auch alle sinnlosen BSI-Checklisten abgearbeitet werden. Ohne mindestens 12 Lagen Schlangenöl kann man ja nicht in den Krieg ziehen. Hat den Vorteil, dass man nicht so weit kommt mit dem schwerfälligen Gefährt. Das reduziert den Weg zur Werkstatt und die Logistikkosten.
Laut Lecornu sind die Unternehmen Rheinmetall, KNDS und Thales mit der Entwicklung und dem Bau des Systems beauftragt.Ah, die üblichen Verdächtigen! Bei uns haben die Tech Bros noch nicht übernommen.
Und hey, von denen würde ich auch künstliche Intelligenz kaufen. Was denn sonst? Natürliche?! BWAHAHAHAHA
Liegt ja auch auf der Hand, dass wir einen neuen Panzer brauchen. Der Leopard geht ja jetzt nicht mehr, nachdem wir denen den Russen gegeben haben.
Das passiert uns nicht nochmal, sage ich euch. Bis Russland kommt der neue Panzer sicher nicht. Bei dem werden wir froh sein, wenn er es bis Westdeutschland schafft.
Inzwischen gibt es ein Feld der Post-Quantum-Verfahren, die NIST (das US-Amerikanische BSI-Äquivalent) hat einen Wettbewerb ausgerufen für Post-Quantum-Verfahren. OpenSSH hat schon neben herkömmlichen Verfahren auch ein Post-Quantum-Verfahren eingebaut, und zwar NTRU.
Im NIST-Wettbewerb hat sich schnell gezeigt, dass das gar nicht so einfach ist, sich mal eben ein paar Public-Key-Verfahren aus dem Ärmel zu schütteln, und dass den meisten Kandidaten gemein ist, dass die Keygrößen sehr viel größer sind als bei herkömmlichen Verfahren, und fast allen ist gemein, dass noch so gut wie gar kein Aufwand in Kryptoanalyse geflossen ist vor dem Wettbewerb jetzt.
Ein für Laien erschütternd großer Anteil an Vorschlägen musste zurückgezogen werden, weil sie unsicher waren. Das kann man aber auch als "der Prozess funktioniert!!" sehen, wenn man Optimist ist.
Als halbwegs akzeptabler Kompromiss sahen bisher Lattice-basierte Verfahren aus, zu denen u.a. NTRU zählt, aber auch Crystals-KYBER, der dem NIST sehr gut zu gefallen scheint.
Soviel zum Kontext. Und jetzt kommt ein Paper raus mit dem Namen Quantum Algorithms for Lattice Problems.
ACH SCHEISSE EY.
Die Nervosität in der Community ist gerade echt mit Händen greifbar. Na mal gucken, was die Experten sagen.
Klar müsste sie! Machen unsere versifften Behörden und Firmen natürlich nicht. Aber die Amis operieren noch unter der Annahme, dass man Microsoft-Infrastrukturen sicher betreiben kann.
Ist ja auch egal. Ist ja nicht deren Geld. Sind ja nur Steuergelder.
Und unsere Behörden? Das BSI? Da fällt mir dieser alte Mittermeier-Sketch ein. MIR TUN MAS MIR KÖNNNN!
Der Experte erklärt ihnen dann, dass sie mehr Schlangenöl ausrollen müssen, und andere Punkte von den BSI-Checklisten. Nehme ich an. Denn andere Antworten hat das BSI ja noch nie gehabt.
Das wird bestimmt voll super!
Ein aktueller Fall illustriert das ganz gut: SuSE Linux Enterprise Server 15 SP4 hat eine BSI-Zertifizierung gekriegt. Ausgestellt am 15.12.2023.
Die benutzen OpenSSL 1.1.1. Das war zu dem Zeitpunkt bereits seit Monaten End-of-Life. Das steht auch im auf Dezember 2023 datierten Report drin, dass sie OpenSSL 1.1.1 verwenden.
Deren OpenSSH hat glaube ich auch noch keine Post-Quantum-Crypto drin. Weiß da jemand genaueres? War jedenfalls nicht Teil des Tests.
So, meine Damen und Herren, sieht Compliance-Sesselfurzerei aus. Kostet viel Geld, bringt weniger als nichts.
Wenn sich bei euch jemand damit bewirbt, dass er ein BSI-CC-Zertifikat habt, dann wisst ihr hoffentlich spätestens ab jetzt, was ihr von dem zu halten habt.
Update: Das Produkt selbst hatte übrigens am 31. Dezember 2023 End-of-Life, also weniger als einen Monat nach Zertifizierung (außer man zahlt LTSS). (Danke, Veit)
A CISA spokesperson said in a statement that “there is no operational impact at this time” from the incident and that the agency continues to “upgrade and modernize our systems.”Gehen Sie weiter! Gibt nichts zu sehen hier!Ist alles sicher jetzt, denn Microsoft wird uns retten. Das Microsoft, das die Hacker nicht aus ihren eigenen Systemen rausoperiert kriegt. Das Microsoft, das russische Hacker eine dezentrale Kopie ihrer Quellcode-Kronjuwelen machen ließ. DIE werden uns schützen.
Oh, und natürlich die Compliancetheaterbehörden, ob sie jetzt CISA oder BSI heißen. Hey, habt ihr schon die neue Lage Schlangenöl über euer Active Directory gesprenkelt? Jede Woche ein "Security-Produkt" mehr, wisst ihr doch!
Erstens kann Webex natürlich Verschlüsselung.
Zweitens hat sich hier offenbar jemand per Analog-Telefon aus Singapur in die Webex-Konferenz eingewählt. Das klingt dermaßen bescheuert, dass ich mich langsam für die Theorie erwärmen kann, dass es sich um einen Trick handelt, dass man den Russen was mitteilen wollte, also hat man möglichst so kommuniziert, dass die das auf jeden Fall mitschneiden. Und man spricht das in dem Gespräch auch noch explizit an, um nicht Webex in der Bundeswehr grundsätzlich zu beschädigen.
In Kriegen kann man keiner Seite trauen. Am Ende ist für mich die wahrscheinlichste Erklärung die, bei der alle gemacht haben, was aus ihrer Sicht am besten schien. Gucken wir doch mal.
Die Bundeswehr möchte gerne den Russen eine Nachricht schicken, aber wollen nicht, dass die Russen vermuten, dass sie hier verarscht werden. Die Botschaft ist: Taurus ist lieferbereit und einsatzfähig und wäre eine echte Bedrohung für die Russen. Damit die Russen das glauben, erwähnt man auch ein paar Nachteile.
Dafür wäre das in der Tat der sinnvollste Weg gewesen, aber es ist eine Gratwanderung. Auf der einen Seite will man ja den Russen nicht den Eindruck geben, dass ihnen hier Material gefüttert wird. Es darf also nicht zu offensichtlich sein. Auf der anderen Seite will man ja sicherstellen, dass die Russen das auf jeden Fall mitkriegen. Dann muss man im Gespräch erwähnen, dass einer der Teilnehmer per Telefon aus dem Hotel in Singapur einwählt, damit nicht Webex in der Bundeswehr grundsätzlich kaputt ist. Das klingt schon plausibel als Szenario.
Nächster Schritt: Die Russen fangen das ab. Natürlich fangen die das ab. Kriegsparteien fangen alles ab, was sie können, und die Russen haben schon mehrfach abgefangene Telefonate geleakt.
Aus deren Sicht ist es jetzt der beste Spielzug, das zu veröffentlichen, um die Deutschen öffentlich als Idioten darzustellen. Aus deren Sicht ist das ja keine neue Information, dass die Krimbrücke angreifbar ist. Tatsächlich ist die zufällig heute spontan für den Autoverkehr gesperrt worden, nachdem ukrainische Medien von Explosionen berichtet haben. Aus Sicht der Russen spräche dagegen, wenn sie damit ihre Abhörfähigkeiten offenlegen müssten, wo der Westen noch nicht weiß, dass sie welche haben. Das ist in dem Fall kein Problem wegen der Einwahl aus Singapur. Der Westen weiß jetzt immer noch nicht sicher, ob die Russen Webex mithören können oder nicht. Und dass die Russen Telefone abhören können, ist seit langem bekannt.
Bleibt die Ukraine. Aus deren Sicht ist es jetzt am besten, wenn es Explosionen an der Krimbrücke gibt, damit es so aussieht, als seien sie auch ohne Taurus einsatzfähig und könnten die Russen ernsthaft bedrohen.
Und dann gibt es noch ein bisschen Opportunismus aus der CDU, die das jetzt als Problem von Olaf Scholz hinstellt. Klar, das sind halt Deppen und ihre Wähler sind auch Deppen, die lügen jetzt halt ein bisschen rum, wie sie immer herumlügen. Besonders ärgert mich an der CDU ja immer, wie sie jetzt gaslighting machen, dass Scholz die Bundeswehr in den Zustand gebracht hat, wenn es lange Jahre der CDU-Misswirtschaft waren.
Aus Sicht der Ampel ist der beste Move, in den Medien zwei Narrative unterzurbringen: Die Bundeswehr braucht mehr Geld (Rechtfertigung für das umstrittene Sondervermögen), die Bundeswehr ist inkompetent (man will immer vom Feind unterschätzt werden) und die fiesen Russen hören uns ab.
Aus Sicht der Medien ist der sensationellste Spin, sich darauf zu konzentrieren, dass die bösen Russen uns abhören. Das ist sensationeller als Taurus an die Ukraine.
Was spricht gegen diese Theorie? Es könnte natürlich auch wirklich Verkacken gewesen sein bei der Bundeswehr. Klar. Aber die Bundeswehr ist eine Verwaltung. Verwaltungen können eigentlich nur eines zuverlässig: Compliance-Theater. Dazu ein Leserbrief von einem Insider:
und ich darf an der Bundeswehr-Uni nichtmal eine 0815 Vorlesung/Übung über WebEx halten.Ein anderer Leser weist darauf hin, dass die Bundeswehr längst Open-Source-Alternativen zu Webex im Einsatz hat.Die Bundeswehr selbst betreibt übrigens ein WebEx, dass explizit nicht für Konferenzen mit vertraulichen Daten zugelassen ist (vertraulich bedeutet nicht Eingestuft nach Verschlusssachenanweisung).
Die BWI GmbH (das ist ein wahres Moloch) stellt das WebEx zur Verfügung, mit dem auch eingestufte Daten in Konferenzen ausgetauscht werden. Sowas wird in der Regel vom BSI ( :) ) oder von der DEUmilSAA "abgenommen".
Update: Kiesewetter sagt, die Russen hätten Zugangsdaten gehabt. Der Mitschnitt klingt von der Qualität wie ein Streamdump. Insofern klingt das plausibel. Es würde auch erklären, wieso Russen das ganze für eine Falle gehalten und veröffentlicht haben, als der Typ da im Stream erklärt, er wähle sich per Telefon aus Singapur ein. Ändert an dem Rest der Bewertung nicht viel.
Update: Hmm, der Mitschnitt beginnt aber schon, bevor der Typ aus Singapur dazukommt. Insofern kann das nicht der Weg sein, über den sie das abgehört haben.
Wie? Na wie immer beim BSI. Mit einer Checkliste voller Compliance-Bullshit. Haben Sie schon ein paar Virenscanner installiert?
Aber wartet, das ist noch nicht die Punchline.
In welcher Form verteilen sie die Checkliste?
Richtig geraten! Als Excel-File!
Genau mein Humor!
Schon der Titel verrät es: Typisches Enabling, wie üblich beim BSI.
Die richtige Antwort wäre gewesen: Nicht einsetzen.
Stattdessen, BSI-üblich: Eine wertlose Compliance-Checkliste.
Das BSI äußert sich zur eID-Nummer. Das ist ein Feuerwerk aus sorgfältig formulierter Krisen-PR, ein Windbeutel neben der nächsten Nebelwand, eingebettet in ein Laken aus Nullaussagen.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bestätigt, dass es von einem IT-Sicherheitsforscher auf eine vermeintliche Schwachstelle im eID-System hingewiesen wurde.Das "vermeintlich" ist eine Frechheit. Wenn sie geschrieben hätten "in der eID-App", dann hätte man hier verhandeln können. So ist das schlicht eine dreiste Unterstellung und eine Frechheit. Das ist eine tatsächliche Sicherheitslücke, und das BSI trägt die Verantwortung, weil sie die App für die Plattform hätten verhindern können, aber es nicht getan haben.
Im Ergebnis betont das BSI: Es handelt sich bei dem beschriebenen Szenario nicht um einen Angriff auf das eID-System selbst oder eine Schwachstelle in den zugehörigen Sicherheitsfunktionen.Ja, äh, doch! Genau das ist es! Wenn du eine App für Apple-Geräte baust, und die Sicherheitsgarantien macht, die sie nicht einhalten kann, dann ist das eine Lücke im System. Auch wenn deine App nicht Schuld ist.
Das BSI sieht weiterhin keine Änderung in der Risikobewertung bei der Nutzung der Online-Ausweisfunktion.Das ist eine Bankrotterklärung des BSI. Sie sagen uns hier: Ja gut, dass man daran sterben kann, das, äh, das wussten wir die ganze Zeit und das war absichtlich so durchgewunken (weil wir sonst zugeben müssten, dass wir völlig inkompetente Tester sind und unsere Risikobewertungen nicht das Papier wert sind, auf dem wir sie ausdrucken). Das ist wie wenn Donald Trump sagt, dass er absichtlich Nancy Pelosi und Nikki Haley verwechselt.
Um die Online-Ausweisfunktion des Personalausweises missbräuchlich verwenden zu können, ist ein mehrstufiger Cyberangriff auf ein mobiles Endgerät der Anwenderinnen und Anwender erforderlich.Lassen Sie mich nochmal die ENORME KRIMINELLE ENERGIE betonen, die jemand aufbringen müsste, um Sie zu hacken! Der Angreifer müsste Sie dazu bringen, dass Sie eine App installieren!1!! So wie es z.B. alle Supermarktketten erfolgreich tun, und die Deutsche Bahn. Und Behörden (KATWARN, NINA). Eine IMMENSE kriminelle Energie also!!1!
Dazu muss das mobile Gerät entweder vollständig kompromittiert werden oder die Anwenderinnen und Anwender müssen aktiv eine entsprechend manipulierte App installieren.Kommt, guckt mal kurz auf einer Smartphone, wie viele Apps ihr aktuell installiert habt. Dreistellig? Vierstellig?
Des Weiteren ist es bei jedem einzelnen Angriffsvorgang notwendig, den Ausweis physisch an der NFC-Schnittstelle zu platzieren. Ein vergleichbarer Angriff wäre auch bei zahlreichen weiteren Online-Diensten denkbar.Niemand würde niemals nie nicht sein Telefon in der Nähe seiner Geldbörse aufbewahren!!1! Und außerdem ist Paypal ja auch unsicher. Wer also einen Hauskauf mit der Paypal-App signiert, der sollte mal über sein Risikoprofil nachdenken!1!!
Aus Sicht des BSI sind grundlegende Sicherheitsmaßnahmen der Anwenderinnen und Anwender ausreichend, um einen erfolgreichen Angriff unmöglich zu machen. Dazu zählen die Verwendung aktueller Soft- und Firmware und die Verwendung legitimer Apps aus vertrauenswürdigen Quellen. Das BSI empfiehlt die Verwendung von durch das BSI zertifizierten Apps wie z.B. der AusweisApp, die kostenfrei durch den Bund zur Verfügung gestellt wird.Die andere App kam aus dem App Store. Das ist eine vertrauenswürdige Quelle. Das sind peinliche Nebelkerzen hier gerade.
Das BSI prüft zudem, mit welchen zusätzlichen Maßnahmen die Nutzung der Online-Ausweisfunktion noch sicherer gestaltet werden kann."Das BSI prüft" ist das neue "der Verfassungsschutz beobachtet", ja? Absolut grotesk. Es gab keinen Angriff. Wenn es ihn gab, dann war immense kriminelle Energie nötig. Wir haben nichts falsch gemacht! Aber wir gucken jetzt mal, ob wir was besser machen könnten. Das ist wie bei Calvin & Hobbes!
Lange las ich nicht mehr etwas so peinliches wie diese Presseerklärung vom BSI. *fremdschäm*
Ein unter dem Pseudonym CtrlAlt auftretender Sicherheitsforscher hat einem Spiegel-Bericht zufolge eine Schwachstelle im eID-Verfahren aufgedeckt. Damit sei es ihm gelungen, im Namen einer fremden Person ein Konto bei einer großen deutschen Bank zu eröffnen.Nota bene: Das war genau das Szenario, das das Verfahren verhindern sollte.
Vielleicht sollte da doch mal jemand jemanden fragen, der sich mit sowas auskennt?
Ich könnte ja viel gelassener auf sowas reagieren, wenn es nicht meine Steuergelder wären, die da für Cyberclown-Securitytheater verbrannt würden.
Aus dem Blogpost des Forschers:
A responsible disclosure process was conducted with the BSI (Bundesamt für Sicherheit in der Informationstechnik), during which the BSI acknowledged the presence of the vulnerability. Their defense centers on the user’s responsibility for maintaining the security of their client devices.War ja klar. BSI so: Habt ihr auch alle 17 Lagen Schlangenöl gestapelt? Ja? Dann macht mal sicherheitshalber noch eine 18. Lage drüber!1!!
Lasst mich das an dieser Stelle nochmal absolut unmissverständlich sagen: Wenn du davon ausgehst, dass die Endgeräte sicher sind, DANN BRAUCHST DU KEINEN NPA ZU VERTEILEN! Vollpfosten, allesamt.
However, users typically exhibit poor security practices. In addition, this paper demonstrates that the attack remains successful even when all BSI recommendations are followed and client devices are updated.Ach. Ach was. Das war bloß Ass-Covering? Nur Security-Theater? Hätte uns nur rechtzeitig jemand gewarnt!!1!Hey, Fefe, ich habe gehört, die neue BSI-Chefin kommt aus der Informatik. Die ist gar kein Cyberclown! Mit der wird bestimmt alles besser jetzt!1!!
Kommt, liebes Publikum, rollt noch eine Ehrenrunde Schlangenöl über eurer Infrastruktur aus. Wer zuerst über sein Schlangenöl geransomwared wird, muss eine Runde ausgeben!
Update: OK, nochmal mit ein bisschen Abstand. Sicherheitsforscher mit Pseudonym, Blogpost auf Medium und PDF auf Dropbox, da gehen direkt alle Unseriositätslampen an. Bei euch hoffentlich auch. Inhaltlich haben wir es hier mit einer Eigenheit der Apple-Plattform zu tun, nicht mit einem Bug in der App, und die App kann da inhaltlich auch nicht so viel gegen tun jetzt.
Meine Einstellung dazu ist: Apple sind ein paar Tech-Bros aus Amerika, mit einem beschissenem Security-Track-Record. Die sind durch die BSI-Empfehlungen überhaupt erst zu einer satisfaktionsfähigen Plattform geworden für nPA-Scheiß, und da hat das BSI schlicht niemanden, auf den sie jetzt zeigen können. Das ist deren Verkacken, aus Gründen von Realpolitik. Aber aber aber der Minister verwendet ein Apple-Telefon!!1! Da können wir doch nicht ... ja, äh, doch. Könnt ihr nicht nur, das wäre genau eure Aufgabe gewesen, ihr Cyberclowns. Nicht dass Android fundamental besser wäre.
Wenn du findest, das das Gerät vertrauenswürdig sein sollte, dann ist Anforderung Nummer 1, dass da kein Code nachinstallierbar ist. Damit sind wir dann aber bei einer Gerätekategorie wie einem Analogtelefon oder einer Supermarktkasse.
Das ist übrigens alles gaaaaanz kalter Kaffee. Windows NT hat damals Ctrl-Alt-Del für den Login-Screen eingeführt, den sogenannten Secure Attention Key. Das war genau diese Kategorie von Problem. Wie verhindern wir, dass eine Anwendung so aussieht wie ein Login-Screen, und User ihre Passwörter dort eingeben? Du brauchst einen Weg, wie der User erkennbar einen sicheren Eingabepfad hat, und da darf sich dann auch niemand einklinken und mitlesen können. Das ist dann aber alles Software und möglicherweise hackbar. Eigentlich geht das nur, wenn da keine Software nachinstallierbar und die Hardware verplombt ist.
Hier haben wir es mit einer anderen Art von einklinken zu tun, aber die Kategorie Problem ist dieselbe.
Update: Wisst ihr, wer 2010 auf die Problematik mit den sicheren Eingabegeräten hinwies? Anlässlich des "neuen elektronischen Personalausweise" und der SuisseID? Der CCC! Schade nur, dass nie jemand auf die Experten hört. War wichtiger, auszusehen, als würde man Digitalisierung vorantreiben.
Update: Fortsetzung. (Danke, Tenshi)
Wieso verbreiten die jetzt diesen Schwachsinn mit den DDoS-Zahnbürsten? Ich weiß es auch nicht. Aber ich habe Vermutungen.
Erstens mal, der Vollständigkeit halber. Nein, es gab da keinen DDoS. Das war ein hypothetisches Szenario. Muss wohl bei der Übersetzung verloren gegangen sein.
Zweitens: Die hatten noch nie einen guten Ruf. Die hatten damals behauptet, sie hätten ein eigenes Realtime-OS gehackt, was sich dann als ein Linux herausstellte, wenn man das Image gegen den hartkodierten Wert XORt. Aber das sind ja alte Kamellen. Neuer ist "FortiSIEM - Multiple remote unauthenticated os command injection". Ah, die Königsklasse! In der "oh Mann ist das peinlich"-Liga!
Aber warte, Fefe, das war doch letztes Jahr. Das haben die doch bestimmt schnell gefixt.
Klar! Microsoft-Style! Der Patch war rottig und jetzt mussten sie für dieselben Bugs neue Patches machen.
Wer kauft bei solchen Leuten?!
Überlegt mal, wie einfach sich das BSI das machen könnte! Einfach gucken, was Gartner empfiehlt, und jeweils direkt eine Warnung raushauen. Fertig!
Update: Die Aargauer Zeitung sieht sich übrigens als Opfer und bestätigt, dass es sich um ein hypothetisches Szenario gehandelt habe. Das war bestimmt mit "KI"-Hilfe übersetzt. Softwarefehler. Kann man nichts machen.
Die Älteren unter euch werden sich noch an den tumblr "Kim Jong-Il looking at things" erinnern.
Hier haben wir die moderne Variante davon. BSI looking at things.
Ich kann mir gerade gar keine Maßnahme vorstellen, die noch offensichtlicher noch weniger für die Sicherheit tun würde.
Der Verfassungsschutz beobachtet seit Jahrzehnten mit wachsender Intensität die Nazis. Jetzt sitzen die in Landesparlamenten.
Stattdessen sollen die ab jetzt die weltberühmten Messengerdienste Olvid und Tchap verwenden.
Keine Sorge. Ich habe auch noch nie von denen gehört.
OK, aber Sicherheitslücken? Da werde ich hellhörig. Was für Sicherheitslücken denn?
Der französische Digitalminister Jean-Noël Barrot erklärte auf X (vormals Twitter), die Ende-zu-Ende-Verschlüsselung von Olvid sei von der Cybersicherheitsbehörde Anssi zertifiziert.Genau mein Humor!
Erstens: Digitalminister. Direkt ein Lacher.
Zweitens: Verkündet er auf X. Direkt der nächste Lacher!
Drittens: Er meinte nicht Sicherheitslücken, er meinte eine Behörden-Zertifizierung.
Frankreich war, die Älteren werden sich erinnern, jahrelang ein Ödland der Verdammnis, wenn es um Computer ging, weil die Regierung ein Kryptoverbot verhängt hatte. Wenn DIE uns jetzt also was von Ende-zu-Ende-Verschlüsselung erzählen, ist das mehr als lächerlich.
Viertens: Frankreich steht heute für den Einsatz von Staatstrojanern. Wenn DIE uns also was von Sicherheitslücken erzählen, und sagen, wir sollen doch bitte ihre Software einsetzen, dann ist das mehr als unglaubwürdig, dass das was mit einer Erhöhung der Sicherheit zu tun hat. Eher im Gegenteil.
Ich mache mich ja seit Jahrzehnten über Zertifizierungen lustig, besonders über BSI-Zertifizierungen. Die sind inhaltlich absolut wertlos. Waren sie schon immer, werden sie auch absehbar bleiben. Aber eine Sache, die erst mit den Staatstrojanern wirklich Wucht kriegt, möchte ich hier nochmal explizit ansprechen. Eine Zertifizierung kostet sechsstellig. Wenn eine Firma also so viel Geld in die Hand nimmt für einen Messenger-Dienst, dann gibt sie der Regierung einen ziemlich großen Hebel in die Hand, ihnen "Features" reinzudrücken, die am Ende die Sicherheit kompromittieren.
Für mich sind daher staatliche Zertifikate nicht nur wertlos sondern ein starker Indikator dafür, dass ich dieser Software noch weniger Vertrauen entgegen bringen sollte. Selbst wenn es sich um Open Source handelt, auch wenn sich die Bedenken dann abschwächen.
Gibt es denn irgendwas positives zu sagen? Nun, Tchap scheint eine Implementation von Matrix zu sein. Matrix ist ein offener Standard mit Open-Source-Implementationen. Das ist also vergleichsweise gut. Tchap selbst ist auch Open Source. Es könnte also sein, als wäre das hier die eine Ausnahme von der Regel. Auch Olvid ist Open Source und auf Github. Die Beschreibung liest sich auch richtig gut. Das einzige, was ich gerade nicht auf Anhieb sehe, ist Reproducable Builds.
Beide Messenger sehen nicht wie Schnellschüsse aus. Da werde ich ja fast ein bisschen neidisch gerade!
Die damit kriminalisierten "Hacker-Tools" dienen jedoch auch Systemadministratoren, Programmierern und Beratern dazu, Netzwerke und Endgeräte auf Sicherheitslücken zu prüfen.Whoa, dude! Bloß nichts überstürzen hier!1!! Das Hackertoolverbot ist über 15 Jahre alt und hat Deutschland wie vorhergesagt von der Spitze der IT Security auf Fernerliefen zurückgeworfen. Seid ihr sicher, dass man da jetzt schon was tun sollte?!?
Na da bin ich ja mal gespannt, Herr Buschmann. Bisher ist der eher durch Worte als durch Taten aufgefallen.
Optimistisch bin ich aber nicht, selbst wenn die das jetzt zurücknehmen. Deutschland steht heute für Security-Theater statt für IT-Security-Kompetenz. Das BSI betreibt lieber Papierkrieg als man proaktiv zu werden. Das wird glaube ich kurz- und mittelfristig erstmal nicht besser.
Mit der aktuellen Werbekampagne unter dem Hashtag #Deutschlandcheckts möchte das BSI Verbraucher und Verbraucherinnen vom Nutzen des IT-Sicherheitskennzeichens überzeugen.Gibt es nicht auf Twitter, wenn man deren Search-funktion glauben soll. Google so: Meinten Sie "Scheck"? Hier ist die Wikipedia-Seite von "Scheck"!
*wieher*
Aber wartet, das ist noch nicht der Grund, wieso ich das im Blog habe. Der Grund, wieso ich das im Blog habe, ist das Bild an dem Artikel. Ich zitiere:
Der Hersteller versichert:Nein, echt jetzt! Ohne Scheiß! Wir sind hier auf das Niveau "freiwillige Selbstkontrolle". Aber halt mit Name Dropping.
Das Produkt entspricht den Anforderungen des BSI.
Das erklärt auch, wieso das "Sicherheitskennzeichen" heißt und nicht "Prüfsiegel". Den prüfen tut da niemand was.
Vielleicht hätten wir den Cyberclown doch nicht so schnell rauskanten sollen. Der Nachfolger scheint noch schlimmer zu sein. m(
Update: Hier ist die Seite des BSI dazu. Money Quote:
Mit dem IT-Sicherheitsgesetz 2.0 hat das BSI den Auftrag erhalten, ein freiwilliges IT-Sicherheitskennzeichen einzuführen.
Mit anderen Worten: Das geht nicht auf eine Schnapsidee des BSI zurück. Das geht auf die übliche gänzlich inkompetente Marktfundamentalismus-Ideologie der FDP zurück. "Pass uff, Atze, wir pappen da einen Aufkleber dran, und dann wird der Markt das schon richten."
Kein Problem! In Zukunft kann man dann einfach 119 anrufen, schlägt das BSI vor. Da wird einem dann geholfen. Von Schlangenölverkäufern, die einem "Endpoint Security" verkaufen, nehme ich an. Denn andere Lösungen als das und Reporting-Pflichten sind mir beim BSI bisher noch nicht aufgefallen.
Liegt bestimmt an mir. Da arbeiten bestimmt voll fähige Leute, die Dinge verstanden haben, und uns alle retten werden. Die reden nur nicht mit mir.
In dieser Umfrage geht es um Cyberkriminalität. Wichtige Zahlen:
Damit liege der Schaden zum dritten Mal in Folge über der Marke von 200 Milliarden EuroFür mich der perfekte Moment für ein bisschen Zurücklehnen und die Teilnehmer von der Tribüne aus Beschimpfen :-)[...]
Erstmals fühlten sich 52 Prozent der Betriebe durch Cyberangriffe in ihrer Existenz bedroht
[...]
75 Prozent der befragten Firmen halten die Sicherheitsbehörden gegen Angriffe aus dem Ausland für machtlos.
Na, liebe Firmen? Rückblickend immer noch zufrieden mit euren Entscheidungen, das tödliche Trio (Windows + Active Directory + Office) einzusetzen? Würdet ihr das jetzt wieder so machen, nichts in Security zu investieren, und stattdessen sinnloses Compliance-Theater zu fahren?
Bitkom würde jedenfalls, denn deren Lösung ist ...
Er forderte eine Meldepflicht für Firmen im Fall von Cyberangriffen.Oh ja, Meldepflichten! Die haben ja auch zu einer massiven Verbesserung der Sicherheitslage bei Kritis-Unternehmen geführt! (Das war Sarkasmus)
Ich bin ja immer noch stocksauer über den gestern verlinkten Podcast. Die haben sofort ans BSI gemeldet, und gebracht hat es natürlich gar nichts. Dann haben sie die Bundeswehr um Hilfe gebeten und der bundesweite Steuerzahler hat die Kosten übernommen. KLAR wird das dann nicht besser, wenn nie jemand für sein Versagen die Kosten tragen muss!
Der Landkreis hat jahrzehntelang die Kosten für ordentlich machen gespart und dann die Kosten für die Reparatur nicht tragen müssen, sondern sich da als Opfer geriert und den Katastrophenfall ausgerufen. Könnt ich mich endlos drüber aufregen!
Die Ursachenforschung war dann nach "naja wir haben halt nie die Zeit gehabt, das ordentlich zu machen" abgeschlossen. Und dann hatten sie noch die Stirn, diesen IT-Typen da zum Helden zu stilisieren, weil der jetzt Überstunden fährt bei der Reparatur des von ihm verursachten Problems, und sich heldenhaft nicht rasiert, bis das repariert ist.
Gegen Ende hab ich den Podcast abgebrochen, weil sie da ernsthaft zu diskutieren anfingen, welcher Russe das ihrer Meinung nach gewesen sein könnte, und was der sonst so für kriminelle Dinge tut. Leute, wenn bei euch jemand reinhackt, ist das in praktisch 100% der Fälle eure Schuld. Es gibt Ausnahmen, aber die sind Rundungsfehler in der Häufigkeitsverteilung.
Wenn ihr Hilfe beim Identifizieren der Verantwortlichen braucht, dann guckt am besten kurz in den Spiegel. Oh, da ist er, der Verantwortliche!
Update: Wohlgemerkt: In den Schadenssummen sind die Kosten für Schlangenöl und co noch nicht drin. Das sehen die Bitkom-Heinis und die verstrahlten Befragten ja nicht als Schaden sondern als Investition. Das kommt noch obendrauf.
Das BSI warnte eine Woche lang vergeblich vor einer maximal schädlichen Lücke in Ivanti-Schlangenöl, über die bereits 12 Ministerien in Norwegen hopsgenommen wurden. Das Digitalministerium tat nichts.
Bis jemand dann der Süddeutschen ein paar Daten gegeben hat, die er über die Lücke aus dem Digitalministerium befreit hatte. Ich würde hier auf die Süddeutsche linken, aber die haben das hinter Paywall und sich damit selbst ins Aus geschossen. Schlaue Strategie!
Was mich bei sowas ja immer am meisten ärgert: Alle sind schockiert, dass das Ministerium den Patch nicht eingespielt hat. Niemand ist schockiert, dass das Ministerium diese Software überhaupt installiert hatte. WARUM?!
Auch ich hatte vor einer Weile einen Vortrag dazu gehalten und ins Netz gestellt, wo ganz andere Dinge rauskamen. Wie kann das sein?
Nun, das liegt an zwei Dingen. Erstmal ist Zero Trust inzwischen so ein Buzzword, das der Sinn auf dem Weg flöten gegangen ist. Jeder verkauft gerade unter dem Label Zero Trust alles. Googelt nur mal Zero Trust AI und staunt.
Mein geschätzter Kollege Kris Köhntopp hat auch einen langen Erklär-Thread gepostet, wo er nochmal auf andere Ergebnisse kommt als das BSI und ich. :-)
Eine Sache möchte ich aber mal kurz klären. Zero Trust heißt nicht assume breach. Zero Trust heißt, dass du von Perimetersicherheit als Modell wegkommst. Perimetersicherheit ist die Idee, dass wir ein vertrauenswürdiges internes Netz haben, und ein böses Internet, und dazwischen tun wir eine Firewall und dann sind wir sicher. Stellt sich völlig überraschend raus: Wenn du böse E-Mails durch die Firewall lässt, und ein VPN, dann kannst du dir die Firewall im Wesentlichen auch ganz sparen.
Zero Trust ist daher die Idee, dass alle Rechner so gebaut werden, auch und gerade die im Intranet, dass sie starke Authentisierung haben wollen, und Daten nur verschlüsselt übertragen.
Zero Trust sagt nicht, dass die Kisten Secure Boot haben müssen, oder Binaries signiert werden, oder dass da Telemetrie gemessen und ausgewertet wird. Oder dass die Software Least Privilege wird und man die TCB minimiert. Das ist alles orthogonal.
Zero Trust heißt, dass du einkommender Kommunikation nicht auf Basis ihrer IP-Adresse vertraust.
Lasst euch also vom BSI nicht aufschwatzen, dass ihr Endpoint Security für Zero Trust braucht, oder ein SIEM, etc pp. Und lasst euch von Kris nicht erzählen, dass das die Strukturen unbeweglich macht. Kann es, muss es aber nicht. Denkt lieber aus der anderen Richtung drüber nach. Wenn jemand rumspielen will, braucht der halt Erlaubnis in Form von Keys für seine Kommunikation. Den Keys kann man dann minimale Zugriffsrechte geben, und man kann auf der Serverseite sehen, welcher Key reinkam, und entsprechend erkennen, welcher Service mit welchen anderen Services redet. Das ist VIEL besser als im Moment, wo niemand sich traut irgendwas jemals wieder anzufassen, weil gar nicht bekannt ist, was sonst alles davon abhängt und wie das verzahnt ist.
Erinnert sich noch jemand, wann das BSI eine sinnvolle Warnung ausgesprochen hat? Was für ein Fremdschämverein.
Ich hatte damals berichtet und kommentiert, dass ich den Schönbohm nicht mag und mit seiner Arbeit und der Arbeit des BSI unzufrieden bin, aber er nicht wegen dieser Scheiße zurücktreten sollte, sondern weil er schlechte Arbeit macht.
Nun, die Faeser hat ihn damals geschasst. Feuern konnte sie ihn nicht mangels Beweisen, denn der Schönbohm ist ja im Gegensatz zu der Faeser zwar nicht inhaltlich aber wenigstens prozedural ein Profi und hat sich immer alles abzeichnen lassen, bevor er es gemacht hat.
Jedenfalls hat die Nummer jetzt ein Nachspiel. Setzt euch fest hin, denn das wird euch sonst aus dem Stuhl fegen!
Nun, sechs Monate später, steht fest: Die Vorwürfe waren offenbar haltlos. Nach unseren Informationen aus Regierungskreisen räumte das Innenministerium Ende April in einem entsprechenden Schreiben an Schönbohms Anwälte ein: Die sechsmonatigen behördeninternen Voruntersuchungen hätten keine Anhaltspunkte gebracht, die die Einleitung eines Disziplinarverfahren rechtfertigen würden.Ach. Ach was.
Da stellt sich mir direkt eine Frage, von der ich mir wünsche, dass sie auch von anderen gestellt wird: Ist die Faeser schon zurückgetreten? Wenn nein: Warum nicht?!
Frau Faeser hat sich in der ganzen Nummer voll verrannt, lag von Anfang an erkennbar falsch und sollte jetzt Konsequenzen tragen.
Ich weiß, was ihr jetzt denkt. Ja wie, haben die sich nicht an das BSI Grundschutzhandbuch gehalten?!
Stellt sich raus: Doch. Doch, haben sie.
Da die IT-Sicherheitsmaßnahmen den Standards und der IT-Grundschutz-Methodik des BSI folgten, zeige das "einmal mehr das hochprofessionelle Vorgehen und die kriminelle Energie der Organisation", da "es den Angreifern dennoch gelang, Daten abzuziehen und Lösegeldforderungen zu stellen".Da könnte man jetzt auch den Schluss ziehen, dass die gar nicht wirken und bloß sinnlose Geldverbrennung und Compliance-Theater sind.
Oder, klar, man sagt einfach: Da haben die Täter aber eine ENORME kriminelle Energie gehabt, dass die TROTZDEM erfolgreich waren!1!!
Der Einsender ergänzt:
Wer die Bausteine des BSI zu Exchange, Active Directory und Windows Server kennt, wird den Angreifern weit weniger Professionalität unterstellen. Compliance-Theater vom Feinsten, das zudem auf veralteten Versionen der betrachteten Software fußt: Der aktuellste offiziell freigegebene Baustein für Windows Server bezieht sich auf Version 2012!Na das passt ja mal wieder wie Arsch auf Eimer. (Danke, Andreas)
Gut, technisch gesehen wäre das keine Beförderung, weil die Behörde zwei Größenordnungen kleiner ist und er damit auch nur weniger Gehalt kriegen würde. Aber, äh, das kann man ja ändern.
m(
Das für die Zertifizierung zuständige Bundesamt für Sicherheit in der Informationstechnik (BSI) kommt aber nun zur Einschätzung, dass ein kompletter Tausch der Geräte zum jetzigen Zeitpunkt nicht notwendig ist.Es geht, wie ihr euch wahrscheinlich schon denken konntet, um die Gesundheits-Telematik-Konnektoren.
Ich bin ja mal gespannt, wann das BSI merkt, dass man nicht nur den Austausch sondern die ganzen Konnektoren gar nicht braucht.
Das ist schon ein relativ starkes Statement. Normalerweise lässt man derart hohe Amtsträger selber zurücktreten, aus gesundheitlichen Gründen, oder wollte sich beruflich neuorientieren, sucht neue Herausforderungen oder sowas. Familiäre Gründe.
Tja. Der Nachfolger wird bestimmt noch schlechter. Irgendein SPD-Parteisoldat, der auf Trojanereinsatz und Vorratsdatenspeicherung steht.
Da kriegen die SPD-Wähler, was sie verdient und gewählt haben.
Update: Achtet mal auf die Details. Schönböhm hat selbst um das Disziplinarverfahren gegen sich gebeten. Damit hat er sie in Zugzwang gebracht. Entweder sie feuern ihn, ohne dass irgendwas vorliegt, das sie nicht seit Jahren wussten und in Kauf genommen haben, und machen sich komplett zum Stück Brot, oder sie sagen öffentlich, dass sie nichts in der Hand haben.
Schönbohm fand, dass sie nichts gegen ihn in der Hand haben, das nicht seit 10+ Jahren bekannt war, und er hat sich auf dem Weg immer schön alles abnicken lassen und auf einem Paper Trail bestanden. Ich hab den Mann nie für einen guten BSI-Chef gehalten, aber wie er die hier auf den letzten Metern nochmal so richtig ausmanövriert und gegen die Wand laufen ließ? Chef's Kiss!
Im Vergleich zu der Faeser und ihrer Lachnummer von einem Papiertigerministerium wirkt der jetzt geradezu wie eine Kompetenz-Singularität. Herzliche Grüße an dieser Stelle an Nancy Faeser. Die hat sich damit schöner selbst zerlegt als ich es je hätte herbeiführen können.
Aktuell gibt es mal wieder ein tolles Beispiel. Und zwar hat ja der Bund in seiner unendlichen Weisheit entschieden, dass Ärzte, die schon mit der Fortbildung auf ihrem eigenen Gebiet überfordert sind, jetzt auch Computerspezialisten werden und an eine "Telematik-Infrastruktur" angeschlossen werden sollen.
Idee: Wir digitalisieren das Gesundheitswesen!
Problem: Die Ärzte können das nicht. Die wollen und sollen das auch nicht können. Wenn ich die Wahl habe, ob mein Zahnarzt seine Zeit für Fortbildung in Zahnarzt-Themen oder für Fortbildung in IT-Themen investiert hat, werde ich natürlich immer den Zahnarzt nehmen, der sich in seinem Fach weitergebildet hat. Die ganze Idee ist schon beschissen.
Aber gut. Also wurde eine Firma namens Gematik beauftragt, und da sitzen dann lauter Bürokraten drin, deren einzige Sorge war, am Ende an irgendwas Schuld zu sein. Also haben sie sich für Fundamentalismus entschieden. Aber nicht Fundamentalismus wie "das ist eine grundsätzlich schlechte Idee, das machen wir nicht" sondern Fundamentalismus wie "wir werden da jetzt soviel Compliance-Theater drauf, wie wir nur können".
Das Highlight war vor vielen Jahren, dass die ernsthaft mit "beschlagnahmesicheren Käfigen" geworben haben. Da stehen die Server in den Rechenzentren drin. In Käfigen, damit Behördenwillkür nicht einfach so zum kompletten Datenverlust führt, sondern die sich erstmal durch die Käfige beißen müssen.
Da hätte man auch sagen können: Hervorragender Punkt. Daten so zentral zu sammeln ist eine grundsätzlich beschissene Idee, das machen wir nicht. Irgendein Arschloch wird immer kommen und darauf zugreifen wollen. Irgendein Vorwand wird sich schon finden. Ein Kindermörder soll per DNA-Abgleich identifiziert werden oder sowas. Wer kann da schon nein sagen? Und schon ist das Fluttor offen.
Aber nein, haben sie natürlich nicht gemacht. Dann wären sie ja nicht bezahlt worden. Stattdessen haben sie da beschlagnahmesichere Käfige beworben und Krypto gesprenkelt, und dann meinte jemand: Ja aber können wir denn deren Internet einfach so trauen?! Nein, natürlich nicht! Also geben wir ihnen VPN-Endpunkte. Aber nicht irgendwelche, nei-hein! Wir geben ihnen zertifizierte Bullshit-Theater-Endpunkte!
Wer macht sowas in Deutschland? U.a. Secunet. Sowas wird sonst zum Vernetzen von Botschaften eingesetzt. Daher ist Teil von solchen Geräten, dass sie versuchen sollen, sich Angreifern mit physischem Zugriff zu widersetzen.
Diese Idee gibt es häufiger, aber sie war schon immer Schwachsinn. Mein Lieblingsspruch zu dem Thema ist von Peter Gutmann, der mal meinte: Die einzige tamperproof hardware, die es gibt, ist Voyager 1. Weil die inzwischen ausreichend schwierig physisch zu erreichen ist für Angreifer.
Egal. Gegen Angreifer mit physischem Zugriff kannst du dich nicht sinnvoll wehren. Du kannst sie ärgern und aufhalten, aber wehren geht nicht. Das wussten die Ingenieure natürlich, und sie wussten auch, dass sie hier nicht an einer Atombombe arbeiten, die in Feindeshand fallen könnte und dann nicht explodierfähig sein darf, sondern an einem stinkenden VPN-Tunnel. Also haben die gemacht, was Ingenieure leider immer machen in solchen Fällen: Sie haben Bullshit-Theater gemacht. Sie haben Krypto drübergesprenkelt, damit es sicher riecht. Aber weil das Teil natürlich booten können soll, ohne dass der Arzt einen 128stelligen Code eingibt, liegt der Schlüssel für die Krypto-Simulation daneben. Mit der "Lösung" können alle leben.
Der Chef kann sagen: Wir haben doch Krypto gesprenkelt!
Das BSI zertifiziert das, weil Dateisystem ist verschlüsselt!1!!
Der Kunde kriegt ein Häkchen für seine Checkbox, deren Sinn er eh die ganze Zeit nicht verstanden hat.
Und der Arzt kann das benutzen, ohne irgendwas davon verstanden zu haben, und (hoffentlich) ohne dass das unsicherer ist als es ohne das Theater gewesen wäre.
Aber wenn wir genau hingucken, stellen wir fest, dass wir hier eine Security-Zusage gemacht haben. Von der wir die ganze Zeit wussten, dass sie nicht einhaltbar ist. Eines Tages kommt also ein missratener Teenager und hackt das mit primitivsten Mitteln auf (denn der Schlüssel liegt ja wie gesagt daneben!). So ist das gerade mit den "Konnektoren" in den Arztpraxen geschehen. Abwehren von Angreifern mit physischem Zugriff war die ganze Zeit keine reelle Anforderung, denn wieso würde der Arzt seinen Konnektor hacken oder da Patienten ranlassen?! Und wenn jemand in die Praxis einbricht, dann kann der da das Papier raustragen und muss nichts hacken.
Aber jetzt kommt ein Winkel dazu. Und zwar haben die so viel Bullshit-Security-Theater über das Projekt gesprenkelt, dass "die Hardware veralten" kann. Die veraltet natürlich nicht wirklich, sondern das Bullshit-Theater-Zertifikat läuft aus. Es gibt keinerlei inhaltliche Sachgründe hinter irgendwas davon. Das war von vorne bis hinten Bullshit.
Aber wartet. Der missratene Teenager hat als Demo für seinen Hack gezeigt, dass man damit auch X.509-Zertifikate erneuern kann. Auf den Boxen. In Software. Ja, äh, natürlich kann man das. Wer würde denn Boxen bauen, wo man das nur per Hardwaretausch machen kann? Nun, wie sich rausstellt: Gematik und ihre Zulieferer. Nur waren sie dabei eben inkompetent, weil das eh sinnlose Compliance-Theater-Anforderungen waren, die die Ingenieure also auch nur Compliance-Bullshit-Theater-mäßig "umgesetzt" haben.
Tja und jetzt stehen alle Seiten peinlich berührt in der Gegend rum. Die Hersteller können nicht erklären, wieso man das doch tauschen kann, oder wieso sie das verhindern wollten. Gematik kann nicht erklären, wieso das überhaupt in den Anforderungen landen konnte. Und niemand kann erklären, wieso das eh finanziell kurz vor dem Kollaps stehende Gesundheitssystem jetzt 300 Millionen zahlen sollte, um unnötig Geräte zu tauschen, wenn ein Softwareupdate gereicht hätte.
So hat dann Berichten zufolge einer der Hersteller sich verleugnen lassen und ging nicht mehr ans Telefon und die Gematik findet die eine Äußerung, mit der sie ihren Griff ins Klo noch vertiefen konnten: Ach komm, Atze, lass uns mal trotzdem die Hardware tauschen!1!!
Darf ich nochmal darauf hinweisen, dass nichts davon sachlich oder technisch begründet ist. Das war alles Compliance-Flipper zwischen in Inkompetenz festgekalkten Behörden und Institutionen. Wenn ich mir was wünschen dürfe, würden die alle gefeuert und müssten ihre Gehälter für die letzten Jahre zurückzahlen. Unfassbar.
Update: Bei der Gelegenheit möchte ich auch noch auf den Umstand hinweisen, dass man überhaupt gar keine Konnektoren braucht. Die erfüllen keinen Zweck. Ein VPN macht Transportverschlüsselung und Authentisierung. Die macht beides auch TLS.
Update: Ja aber Fefe, bei der Box kann der Trojaner auf dem Windows-Rechner aber doch die Schlüssel nicht klauen! Das ist doch viel sicherer! Ja, äh, wieso soll der Angreifer denn die Schlüssel haben wollen, wenn die Box ihn auf Zuruf mit der Telematik-Infrastruktur verbindet? Hier wird ein Problem gelöst, das niemand hatte. Mit anderen Worten: Das ist Bullshit-Theater.
Ja, der Schönböhm ist ein Cyberclown. Aber er war wenigstens ein berechenbarer Cyberclown. Wir wussten, woran wir waren. Der hat zwar nicht viel gemacht, aber immerhin stand er auch nicht viel im Weg herum oder hat da erratisch wichtigen Projekten in den Rücken gedolcht. Im Vergleich zu den Vollversagern im BMI und der Politik ist der Mann geradezu GOLD!1!!
Den Kommentar von Jürgen Schmidt hatte ich ja schon verlinkt, hier noch mein geschätzter Kollege Manuel Atug. Money Quote:
ein gutes Duo mit überdurchschnittlicher #Digitalkompetenz, gemessen an den sonstigen Akteuren.Eine humoristisch sehr schöne Formulierung. "Klar kann der nichts aber hast du mal das restliche Gruselkabinett gesehen?!" :-)
Wir müssen da glaube ich trennen zwischen inhaltlichen Punkten und taktischen Erwägungen. Inhaltlich ist der Schönbohm meiner Beobachtung nach eine absolute Lusche. Der rennt zu allen Veranstaltungen, kommt denn 5 Minuten zu spät, damit alle mitkriegen, wie wichtig er ist, dann lässt er ein paar Wortblasen ab, dass Sicherheit ja wichtig sei, und seine Behörde tut absolut nichts für Vorbeugung. Die verkaufen lieber wertlose Zertifikate, empfehlen Schlangenöl und machen Blockchain-Kram und SSI-Blödsinn.
Der Mann betreibt seine Behörde wie Junior-Entwickler ihren Lebenslauf! Springen auf jeden Hype auf, machen dann schlechte Projekte, die sie mangels Erfahrung verkacken, und feiern sich dann als Experten und verweisen auf ihre "Erfahrung".
Hat er das BSI vorangetrieben, wie Honkhase behauptet? Wenn man das nach Bürokratie-Metastasierung misst, dann vielleicht. Inhaltlich sicher nicht.
Finde ich, dass der Schönbohm wegen der KGB-Firma zurücktreten sollte?
Nein. Das ist an den Haaren herbeigezogen.
Ich finde, er sollte gehen, weil er schlechte Arbeit macht.
Faeser stand ursprünglich ja für "Schwachstellen werden gemeldet, nicht gehortet für Polizei oder Geheimdienste". Das hat sich inzwischen einmal um 180° gewendet, das Blatt. Gut, SPD halt. Wer die wählt, hat es nicht besser verdient.
Aber dass der Schönbohm sich dem Exploit-Horten in den Weg gestellt hat, das habe ich so nicht erlebt. Im Gegenteil. Da war er bemerkenswert konsequent.
Wird das jetzt wahrscheinlich noch schlimmer? Ist anzunehmen. Cyberclowns hat die Regierung genug in der Schublade. Seit dem Hackertoolverbot und dem damit verbundenen Versiegen des Nachwuchses sind Cyberclowns auch eine nachwachsende Ressource.
So war Schönbohm ja auch. Wenn du keine Ahnung hast, machst du sinnloses Compliance-Theater. Statt Vorbeugung, für die man Sachkenntnis bräuchte, machst du dann halt Reporting-Pflichten und Papierkrieg.
Ist fürs Branding wahrscheinlich eh viel besser. Bist du ständig in der Presse, wenn es wieder irgendwo brennt. Und du kannst sagen: Die Cyber-Bedrohung ist groß!1!!
Innenministerin Faeser will BSI-Chef feuern – doch ihr Staatssekretär genehmigte Rede vorabNatürlich ließ sich der Schönbohm das vorher genehmigen. Der ist ja nicht doof.
Zweitens: Ich war ja in letzter Zeit immer wieder fasziniert, wie Brancheninsider meinten, der mache ja gar keinen soooo schlechten Job. So tief sind die Erwartungen schon abgestürzt, bzw. waren noch nie viel höher. Das BSI ist im Wesentlichen eine Compliance-Behörde. Die erzeugen für andere Leute mehr Papierkram. Das ist, was die tun.
Drittens: Ich hatte ja von Anfang an meine Probleme mit dem Schönbohm, nicht zuletzt wegen dieses lächerlichen Vereins mit dem irreführenden Namen. Aber im Moment muss ich ihm sowas wie Respekt zollen, wie er seine Vorgesetzten da ins Messer laufen lässt. Und absolut verdient. Keiner von denen sollte im Amt sein, inklusive der Innenministerin.
Viertens: Die Fakten sind alle schon länger bekannt. Spätestens seit 2019, wo es eine Kontraste-Sendung zum Thema "Cyber-Sicherheitsrat" und Russland-Connections gab. Keine der Vorregierungen fand da was bei.
Fünftens muss man sich ja schon mal fragen, was unsere Geheimdienste eigentlich beruflich machen. Hat der Verfassungsschutz da mal wieder auf ganzer Linie verkackt? Oder hatten die einfach die Hände voll mit Nazigefahr-Leugnen und Linksautonome-Verfolgung? Hey, wer ist dafür eigentlich zuständig? Oh ja richtig! Das Kanzleramt! Auch alle Mann zurücktreten, bitte.
Update: Oh, nee, für den "Verfassungsschutz" (harr harr) ist das BMI zuständig. Na dann ist ja vieles klarer.
Der wohlgemerkt nicht das Loch stopft, sondern Firewall- und Schlangenöl-Regeln herumreicht, um den Exploit zu behindern?
Ja klar kennt ihr so eine Software! Microsoft Exchange! Das war die Software, wir erinnern uns, deren erste Version "4.0" hieß, damit Käufer den Eindruck haben, die sei ausgereift und wohlgetestet. Die Werbung hat das den Kunden auch direkt ins Gesicht gelogen. Gut abgehangen! Gegen alles getestet! Stabil und zuverlässig! Nichts davon war der Fall.
Ich erinnere mich noch damals an der Uni, dass ein Exchange-Server platt war, und es stellte sich raus, dass der mit einem Unix-Mailserver (qmail?) zu interagieren versucht hat, sich nicht an die RFCs hielt, und damit eine Neuversuch-Schleife auslöste, die auf dem Unix-Server keine messbare Last erzeugte, aber den Exchange plattmachte.
Das war auch noch irgendwas lächerliches wie ob Zeilen mit LF oder CR-LF terminiert werden.
Exchange war schon immer das absolut letzte. Ich war schon immer fasziniert, dass Leute sowas wirklich einsetzen. Freiwillig! Und noch dafür zahlen!!
Das geilste ist ja, dass die Cloud-Version nicht betroffen ist. Es gibt also eine nicht betroffene Version. Aber sie wollen ja die On-Prem-Kunden bei der Gelegenheit erziehen, in die Cloud zu kommen, wo sie dann nicht mehr weg kommen. So eine Firma ist das.
Um aufzulösen: Ich kenne außer Exchange keine Software, die so einen Service braucht.
Was mich ja an dieser Nummer am meisten ärgert: "BSI warnt vor Sicherheitslücke in Exchange". Ja wieso warnen die denn nicht vor Exchange selbst?!? Hallo McFly? Jemand zuhause?
Nun, da gibt es ein Update. Die verwenden ja eine sogenannte qualifizierte digitale Signatur, was ein gesetzlich geregelter Fachbegriff ist. Da hat man eine Smartcard und einen Kartenleser und lauter staatlich zertifizierte Zertifikate und so weiter, ein Riesenbrimborium. Aber dafür ist das am Ende gesetzlich einer handschriftlichen Unterschrift gleichgesetzt.
Die beA-Karten müssen gerade alle getauscht werden. Denn das Verfahren wird jetzt auf eine "Fernsignatur" umgestellt. Also ich weiß ja nicht, wie euch das geht, aber das Wort gruselt mich schon. Fern heißt ja, dass das eben nicht mehr der Anwalt manuell signiert, sondern dass irgendein Server das signiert. D.h. jeder Hack, mit dem man sich zu dem Server durchbeißen kann, kompromittiert sofort das gesamte System. Ich frage mich ja, wer DAS Risiko abgenickt hat. Derjenige ist hoffentlich eh schon dem Ruhestand nahe.
Was ist denn die offizielle Parteilinie dazu? Nun, gucken wir doch mal:
Im Gegensatz zur kartenbasierten Signatur wird bei der Fernsignatur die qualifizierte Signatur des Unterzeichnenden von einem Vertrauensdienste-Anbieter im Auftrag der unterzeichnenden Person erzeugt.Damit führen wir eine neue Angriffsoberfläche ein.
Vertrauensdienste-Anbieter haben ein anspruchsvolles Qualifikationsverfahren beim Bundesamt für Sicherheit in der Informationstechnik (BSI) durchlaufen und entsprechen den höchsten Sicherheitsanforderungen bei der Identifizierung und Authentifizierung. Das Fernsignaturverfahren bietet damit einen größeren Schutz vor unbefugten Zugriffen und missbräuchlicher Verwendung der qualifizierten elektronischen Signatur.Das ist eine Menge Handwaving und dann eine Schlussfolgerung, bei der man auch das Gegenteil vertreten könnte auf Basis derselben Faktenbasis. Hey, die sind vertrauenswürdig, denn die haben ja schon Vertrauen im Namen!1!!
Ja aber warum machen sie das denn überhaupt? Lief doch endlich halbwegs gerade?
Der Technologiewechsel ist notwendig, da das genutzte Betriebssystem für die derzeitigen beA-Karten zum Jahresende 2022 die sicherheitstechnische Zulassung verliert und darüber hinaus bei einer Vielzahl von Anwältinnen und Anwälten die sich auf der beA-Karte befindenden Zertifikate ablaufen.Dass die Zertifikate ablaufen ist eine Nebelwand. Lasst euch davon nicht verarschen. Der erste Teil ist der wichtige Teil. Die haben da Schrott-Komponenten im Einsatz, weil jemand bei der Planung verkackt hat.
Ja gut, aber das beA ist ja die ganze Zeit schon ein Desaster. Wieso erzähle ich das hier? Weil sie das Ausrollen der neuen Karten direkt voll verkackt haben.
Wie sich herausstellt, können Anwält:innen mit der neuen beA-Karte nicht mehr qualifiziert elektronisch signieren – soweit dafür eine Schnittstelle mit der Kanzleisoftware verwendet wird. Auch die Kommunikation mit Behörden ist dadurch stark eingeschränkt. Qualifizierte elektronische Signaturen sind nur noch über den Web-Client möglich.Ach komm, Fefe, welche Kanzlei verwendet denn schon Kanzlei-Software!1!! Besonders humoristisch wertvoll ist die Stellungnahme der Anwaltskammer. Die meint jetzt nämlich, naja, da müssen dann halt die Softwarehersteller ran. Wir sind nicht in der Pflicht, denen ihre Software auf unser neues Verfahren zu hieven!1!! Wir helfen gerne, bieten sie an, aber jetzt ist das zeitlich ja eher sportlich würde ich sagen.
Was sehen wir da?
Auf einem Bildschirm läuft die Tagesschau. Ganz super. Behörden beobachten das Fernsehen.
Auf dem nächsten ist eine belanglose Weltkarte, auf der man nichts sehen kann, außer dass es eine Weltkarte ist. Da sind irgendwelche Kreise eingezeichnet, vermutlich "Threat Intelligence". Halte ich grundsätzlich für komplett wertlos, aber besonders wertlos ist es auf einem Bildschirm an der Wand, zu weit weg vom Arbeitsplatz, als dass man da was erkennen könnte.
Dann links unten: Twitter. Irgendein belangloser Scroll-Content, der dir am Arbeitsplatz auch gar nichts bringt, denn da hat jeder Mitarbeiter vermutlich einen eigenen Twitter-Feed, der an den gelangweilten Mitarbeitern vorbeiscrollt. Die Meldungen, die man da sehen kann, erfüllen alle Vorurteile. Pressemitteilungen von irgendwelchen anderen belanglosen Pseudo-Cybercyber-"Experten".
Daneben irgendein Dashboard. Das sieht wie das einzige vertretbare Element der ganzen Bildschirmwand aus für mich. Vier Felder sind rot. Leider kann man die Details nicht erkennen.
Und mein Favorit ist der Bildschirm ganz rechts. Eine in ihrer völligen Nutzlosigkeit nicht zu toppende … Wortwolke. Mit so wichtigen Cybercyber-Fachbegriffen wie "twitter" und "public" und "facebook". Den Rest kann man nicht sehen, weil Arne "Cyberclown" Schönbohm davorsteht und gelangweilt auf den Bildschirm mit der Tagesschau guckt. Das müssen ja enorm interessante Ausführungen sein, wenn der BSI-Chef lieber Tagesschau guckt, und die Innenministerin auch aussieht, als würde sie hier gerne sofort per Hubschrauber rausgeholt werden.
Tja, und da haben wir es. Das Nationale IT-Lagezentrum des BSI, meine Damen und Herren. Eine Word Cloud aus Buzzwords.
Buchstäblich!
Update: Ein Leser weist noch darauf hin, dass die Weltkarte US-zentrisch ist.
Ein anderer Leser hat mal "Taranis" gegoogelt, das Hersteller-Logo über der Buzzwordcloud. Er fand dies und dies. Ergötzt euch selber. Eine Buzzwordcloud!! Wobei, vielleicht ist das ja der Screensaver von denen. LOL. Ein Randdetail noch aus der Wikipedia:
Die Gesellschafter waren bis August 2015 Airbus Defence and Space, Rohde & Schwarz, Thales mit jeweils 30 % sowie Northrop Grumman mit 10 %
Da sind ja alle üblichen Verdächtigen aus dem Militär- und Geheimdienstumfeld vertreten. Northrop Grumman ist vor allem durch eine wirklich ultrapeinliche Werbeaktion aufgefallen, macht mal Image Search auf full spectrum cyber. Der Brüller!
Und so wächst mal wieder zusammen, was zusammen gehört. Passt alles wie Arsch auf Eimer.
Update: Ein Leser hat die Weltkarte identifiziert. Hat nicht mal was mit Cyber zu tun.
Update: Haha jetzt kommen hier ein Dutzend Leser rein, die das Dashboard wiedererkannt haben — aber jeder hat eine andere Software erkannt. Ich finde das jetzt konkret auch gar nicht so wichtig, was das für eine Software ist. Vom Äußeren her sieht das aus wie generisches Host- und Service-Monitoring, vielleicht noch "sind unsere Zertifikate abgelaufen".
Update: Mehrere Leser wenden ein, dass das BSI einfach professionelle Opsec macht. Wenn jemand ein Foto macht, schalten sie schnell die wichtigen Bildschirme auf belanglosen Content um. Könnt ihr euch ja selber überlegen, ob ihr das glauben wollt.
Stellt sich raus, dass nach dem Ukraine-Einmarsch der Russen Kaspersky auf das BSI zuging. Bei Kaspersky schlugen offenbar lauter Kunden auf, die sich Sorgen machten, ob man sich da eine russische Hintertür installiert habe.
Kaspersky kam also auf das BSI zu und dachte sich, die haben bisher faktenbasiert gearbeitet und werden aus irgendwelchen Gründen respektiert, die werden uns bestimmt jetzt unterstützten.
Daraufhin hat BSI-Chef Arne "Cyberclown" Schönbohm intern folgende E-Mail rausgehauen:
Glaube leider gar nicht antwortemErste Erkenntnis: Der Mann hat seine Technik genau so wenig im Griff, wie Zyniker die ganze Zeit schon angenommen haben.
Zweite Erkenntnis: Sich in Krisenzeiten tot stellen finde ich einer Bundesbehörde nicht angemessen. Dieser Mann ist als Behördenchef nicht tragbar. What the fuck?! Man stelle sich mal vor, die Feuerwehrführung ließe sich verleugnen, wenn es ein Problem gibt!
Desweiteren hat das BSI hier natürlich nicht faktenbasiert untersucht und kam zu einem Ergebnis, sondern sie haben ergebnisbasiert "untersucht" und kamen zu einer Herleitung. Das Innenministerium war natürlich auch involviert. Wir erinnern uns: Das BSI ist dem BMI gegenüber weisungsgebunden. Einer der Hauptkritikpunkte am BSI seit Jahren. Hier sieht man mal wieder, was das für Auswirkungen hat.
"Die Produktwarnung vor Kaspersky meine ich absolut ernst", betont BSI-Chef Schönbohm. Wer die russische Virenschutzsoftware nutzt, handle teils fahrlässig.Dem möchte ich hinzufügen: Das gilt selbstverständlich auch für alle Konkurrenz-Produkte.
Erste Erkenntnis aus den anderen Vorträgen heute: Blockchain ist noch nicht ganz tot. Da fantasieren immer noch welche von Self-Sovereign-IDs herum. Anscheinend haben sie in Italien Flüchtlingen SSI-"Zertifikate" in die Hand gedrückt, mit denen denen dann in Deutschand Hochschulen Dinge anerkannt haben. Nichts davon benötigt eine Blockchain, aber das Memo haben die noch nicht gekriegt.
Dann gab es da noch einen Vortrag von Microsoft über das "Sovereign Cloud"-Projekt. Da geht es um Digitale Souveränität, was eigentlich meint, dass Deutschland in der IT autarke Handlungsfähigkeit erreichen bzw. bewahren muss. Der Zug ist natürlich schon abgefahren. Unsere Computer und alle Teile darin kommen aus China oder Taiwan. Die Software darauf kommt aus den USA. Dass ausgerechnet Microsoft mit unseren Behörden ein Projekt zur digitalen Souveränität macht, ist also schon inhärent ein Treppenwitz eigentlich. Aber wartet.
Der Mann erzählte dann da, was sie alles nachentwickeln mussten, um das zum Laufen zu kriegen. Unfassbar viele Manntage Aufwand, erzählte der. Was das gekostet hat! Jahre haben wir da schon investiert!! Ja was haben sie denn da so teuer nachentwickelt, fragt ihr euch jetzt vielleicht? Nun, ... Lizenzserver. Damit man das Office 365 in der "souveränen" Cloud ordentlich lizenzieren kann. Warum können die sich nicht ganz normal ihre Lizenzen holen? Na weil die Cloud nicht am Internet hängen soll.
Warte, was? Ja! Das BSI fand, die Cloud sei nur dann sicher, wenn keiner mit der reden kann. smart.gif!
Ja aber liebes BSI, eure Compliance-Bullshit-Checklisten fordern doch Aktualisierungen für Windows und für Schlangenöl und so?!
Ja, dafür haben wir eine digitale Laderampe vorgesehen, mit einer Datendiode.
Das musste er dann gar nicht mehr erklären, dass diese brillante Idee auf das BSI zurückging.
Ich weiß gar nicht, welchen Teil davon ich am absurdesten finden soll.
Jetzt fragt ihr euch vielleicht, wieso die souveräne Cloud so viel Hardware-Skalierbarkeit brauchen soll, dass man Cloud-Kram überhaupt braucht. Gut, dass ihr aufgepasst habt und das fragt! Antwort: Mit der Rechenleistung kann man dann prima für SSI eine Blockchain fahren. Erzählte stolz der Microsoft-Beauftrage.
m(
Update: Der Begriff "Datendiode" kommt von Genua. Das BSI betreibt hier also Klientelpolitik / Wirtschaftsförderung für Genua.
Update: Oh ach gucke mal, stimmt gar nicht, auch secunet hat eine "Datendiode".
Ich nehme an, sie haben nicht auf den Mail-Anhang geklickt. Gute Güte, diese Disziplin!
Auch bei dem aktuellen Angriff handele es sich um eine neue Schadsoftware, die in der Ukraine weltweit zum ersten Mal nachgewiesen worden sei.Oh. Nee. Sie haben doch drauf geklickt. Glücklicherweise hatten sie einen heldenhaften Schlangenölverkäufer in der Nähe, der die Gelegenheit für kostenlose PR genutzt hat!
"Die Gefahr für Energieversorger und Betreiber kritischer Infrastrukturen erhöht sich durch Industroyer2 massiv", warnt Hans-Wilhelm Dünn, Präsident des Cyber-Sicherheitsrat Deutschland e.V., in einer Stellungnahme gegenüber dem SWR.Warte mal, der Cyber-Sicherheitsrat e.V.? War das nicht diese furchtbare Lachnummer? Das Biotop, in dem der gemeine Cyberclown wachsen und gedeien kann!
Hey, diese Panikmache, haben wir es hier etwa mit dem nächsten BSI-Präsidenten zu tun?
Wie sich rausstellt: Nein! Selbst dem BSI ist das Geschwurbel der Cyberclowns zu unseriös:
Dem SWR teilte die Behörde auf Anfrage mit, eine einfache Übertragung oder Wiederverwendung bei deutschen Energieversorgern sei "unwahrscheinlich”. Das IT-Sicherheitsniveau im Energiesektor sei hoch, bisher hätten die Betreiber kritischer Infrastrukturen angemessen auf Angriffe reagiert.Wenn ihr mich fragt, haben wir es hier mit einer Debatte zu tun, in der Blinde über Farben streiten. Eine resiliente Infrastruktur erkennst du nicht daran, dass sie "angemessen auf Angriffe reagiert", sondern dass sie auf Angriffe vorbereitet ist und gar nicht reagieren muss. Stattdessen suhlen die sich alle im Schlangenöl und tauschen "Treat Indicators" aus wie früher Kinder auf dem Schulhof Klebebilder von Fußballern getauscht haben. Hey, jetzt wo ich drüber nachdenke: Das sind dieselben Kinder, die früher Klebebilder gesammelt haben! Die sind halt jetzt so sozialisiert.
Vielleicht sollte man denen was sinnvolles zu sammeln geben. Gehaltsauszahlungen an die Mitarbeiter. Wer am meisten auszahlt, und die Firma überlebt es, hat gewonnen!
Die künftig EU-weit gültige „elektronische ID“ (eID) steht nicht allein. Die Möglichkeit, sich online auszuweisen, ist nur einer der Services, die auf der „Europäischen Blockchain-Services Infrastruktur“ (EBSI) laufen sollen. Die wiederum ist großteils bereits errichtet.Fuck yeah!
Das Projekt EBSI war während dem ersten großen Blockchain-Hype 2018 von der Kommission als European Blockchain Partnership aller Mitgliedsstaaten plus Norwegen gestartet worden.Und selbstredend kann man das dann nicht einfach einstellen, wenn man merkt, dass man einem planetenverbrennenden Bullshit-Hype aufgesessen ist. Dann würden ja alle sehen, was man für ein planfreier Totalversager ist!
Das kann man nicht riskieren. Am Ende kommt noch jemand gucken, was man sonst noch so für Rohrkrepierer-Projekte unter dem Radar durchgezogen und als Erfolg verkauft hat, weil nie jemand hingeguckt hat.
Aber Fefe! Die machen doch Proof of Stake und nicht Proof of Work! Die verbrennen doch den Planeten gar nicht so schlimm wie Proof of Work!1!! Naja, kommt auf die Perspektive an. Bei einem Nutzen von 0 ist das Kosten-Nutzen-Verhältnis unendlich, auch wenn die Kosten nicht ganz so apokalyptisch sind wie sie hätten sein können.
Für die EBSI-Blockchain, die quasi seitlich an der Ethereum-Blockchain („Ethereum Enterprise“) hängt, wird eine Variante von „Proof of Stake“ eingesetzt, die sich „Proof of Authority“ nennt. Diese Variante basiert nicht auf sogenannten Token, sondern auf einer von offizieller Stelle beglaubigten Identität.Hoffentlich guckt da nie ein Rechnungshof drauf und fragt jemanden, der sich mit sowas auskennt. Der würde nämlich erstmal erklären, dass Proof of Authority totaler Schwachsinn ist, weil man dann keine Blockchain braucht, wenn man eine Authority hat. Blockchain und Dezentralisierung sind dafür da, dass man eben gerade keine Authority hat. Sonst könnte man nämlich einfach alle Datensätze digital signieren lassen von der Authority und man wäre fertig. Ganz ohne Blockchain.
Aber Fefe, das geht doch nicht! Wie soll man dann einen auf dicke Hose machen beim Golfen, wenn man einfach nur eine SQL-Datenbank mit digitalen Signaturen ausgerollt hat? Wo ist denn da die Innovation?
Nun, die Innovation wäre, dass es funktioniert. Im internationalen Vergleich der Digital-Großprojekte der verschiedenen Regierungen wäre das ein Alleinstellungsmerkmal!
Demnach ist der Begriff der Sicherheitslücke, der das BSI zu einer Warnung berechtigt, vom Gesetzgeber weit formuliert. Virenschutzsoftware erfülle wegen der weitreichenden Berechtigungen zu Eingriffen in ein Computersystem alle Voraussetzungen für eine solche Sicherheitslücke.Ist nicht wahr! Nach all den Jahren!
Das hat bestimmt die CIA rausgefunden. Die finden ja alles raus. Alles finden die raus!
Tja, äh, also was soll ich sagen, die Einsicht hättet ihr von mir auch schon deutlich früher haben können.
Beachtet, dass nichts von den Begründungen mit dem Ukrainekrieg zu tun hat. Die treffen genau so auf alle anderen Anbieter zu. Das wäre doch eine tolle Gelegenheit für einen investigativen Journalisten, mal das BSI zu fragen, wieso sie nur vor Kaspersky warnen und nicht auch vor allem anderen.
Antivirensoftware, einschließlich der damit verbundenen echtzeitfähigen Clouddienste, verfügt über weitreichende Systemberechtigungen und muss systembedingt (zumindest für Aktualisierungen) eine dauerhafte, verschlüsselte und nicht prüfbare Verbindung zu Servern des Herstellers unterhalten.Ach. Ach was.
Das fällt euch jetzt auf?
Oder ist das erst jetzt ein Problem für euch, wenn ausländische Firmen eine verschlüsselte privilegierte Hintertür in alle Systeme der deutschen Industrie haben?
Hätte uns doch nur jemand rechtzeitig gewarnt!!1!
Vielleicht ist jetzt der richtige Moment, um mal ein bisschen die Gründer der Player zu googeln. Der Gründer von Mandiant kommt von der US Air Force. Crowdstrike wurde einem Russen gegründet.
Wie wäre es mit McAfee? Ein für seinen krassen Drogenkonsum und seine Herumhurerei bekannter Playboy?
Fireeye wurde von einem Pakistani gegründet. Ist das vertrauenswürdiger als ein Russe?
Bitdefender kommt aus Rumänien, ESET aus der Slovakei. Kann man da annehmen, dass die unbestechlich und unkorrumpierbar sind?
Ein russischer IT-Hersteller kann selbst offensive Operationen durchführen, gegen seinen Willen gezwungen werden, Zielsysteme anzugreifen, oder selbst als Opfer einer Cyber-Operation ohne seine Kenntnis ausspioniert oder als Werkzeug für Angriffe gegen seine eigenen Kunden missbraucht werden.Oh und das kann in anderen Ländern nicht passieren?!
Hey, ich hab eine radikale Idee. Wie wäre es, wenn ihr einfach gar keinem eine privilegierte Backdoor in alle eure Systeme gebt?
Kein Problem. Schicken wir einfach die ganzen hochgeschulten Experten-Mitarbeiter, die im Moment däumchendrehend in der Ecke sitzen!1!!
Oh nein, warte. Wir haben keine hochgeschulten Experten-Mitarbeiter mehr, seit die Bundesregierung gegen meinen ausdrücklichen, direkten Rat das Hackertoolverbot erlassen hat. Jetzt will ihnen niemand mehr helfen und sie haben nicht mal genug Personal, um ihre eigenen Bedürfnisse zu befriedigen.
Ja wie, natürlich nicht! Wie sieht das denn auch aus?!
- Es gab einen erfolgreichen Angriff Dritter auf die IT-Infrastruktur zum bevorstehenden Zensus.
- Den Angreifern gelang es, so genannte „Webshells“, also Fernzugänge in Form von Schadsoftware auf zwei Servern der Zensus-IT zu installieren.
- Das Bundesamt für Sicherheit in der Informationstechnik (BSI), eine ebenfalls dem BMI unterstehende Behörde, bewertet das als „Major Incident“, als „schwerwiegendes Sicherheitsereignis“.
Wann dieser Angriff stattgefunden hat und wie lange es gedauert hat, bis er entdeckt worden ist, dazu möchte das BMI „grundsätzlich“ nichts mitteilen.
Die Behörde erhöhte deswegen am Samstag ihre bestehende Cyber-Sicherheitswarnung für die Java-Bibliothek Log4j auf die Warnstufe Rot. Es handelt sich dabei um die höchste Kategorie der vierstufigen BSI-Skala für Cyber-Sicherheitswarnungen und um die gegenwärtig einzige Meldung in dieser Stufe.Seht ihr? Kümmert sich schon jemand. Müssen wir hier nichts mehr tun.
Außerdem ist das ein Softwareproblem. Da kann man eh nichts machen.
Hey, die haben doch jetzt sicher ihre Lektion gelernt, oder? Die machen doch bestimmt ab jetzt alles richtig? Weg mit Exchange, Windows, Office und Active Directory? Gucken wir doch mal!
03.12.2021Ja? Jaa? Jaaaaa?? Exzellenter Anfang!
Im Rahmen des Neuaufbaus der KISTERS Infrastruktur haben wir unsere E-Mail-Server (MS-Exchange)
in die Microsoft Azure Cloud ausgelagert.NEEEIIIINNNNNN!!!
Ausschlaggebend dafür war einerseits unser Ziel, schnellstmöglich wieder per E-Mail erreichbar zu sein, und andererseits eine technische Entkopplung der E-Mail-Server von unserer internen Infrastruktur. Damit berücksichtigen wir gleichzeitig auch die aktuell von BSI und BKA festgestellte besondere Bedrohungslage.Boah was für ein Bullshit-Bingo. Unfassbar.
Denkt euch hier mal bitte ein Obi-Wan-Mem hin. Nein, nicht von mir ausgesucht. Vom BSI und ihren Kunden.
Mir gehen ja langsam die Gründe aus, die Verschwörungstheorie nicht zu glauben, dass Microsoft absichtlich die selber gehosteten Produkte sicherheitstechnisch vor die Wand fährt, damit alle in ihre Cloud migrieren. (Danke, Matthias)
Nein, echt jetzt. Ich meine das völlig unironisch. Mir scheint gerade die Sonne aus dem Arsch.
Wisst ihr, wie wir uns jahrelang aufgeregt haben, dass die faule Politik einfach vorformulierte Gesetze von Lobbyisten nahm und durchschob? Skandalös! Das war deren Job, da Gesetze zu formulieren! Die sollten im Zweifel das Gegenteil dessen tun, was Lobbyisten vorschlagen!!1!
Aber dann kam eines Tages die Frage auf: Warte mal, das ist doch ein Exploit. Das können auch wir exploiten. Was wenn wir der Politik ein paar Formulierungshilfen reinkippen? Ist das ethisch vertretbar, deren verkackte Prozesse so auszunutzen?
Am Ende haben wir das dann getan. Der CCC hat der Politik Formulierungshilfen für die Koalitionsverhandlungen geschrieben.
Und jetzt? Jetzt haben sie den Koalitionsvertrag veröffentlicht. Und was soll ich euch sagen! Weite Teile sind vom CCC geguttenbergt! Guckt mal selber so ab Seite 15 den Digitalteil durch. Klar, nicht alles ist vom CCC, aber viel!
(Da war ich nicht alleine mit der Forderung, aber ich schrieb die Forderung zuerst auf, dass mit öffentlichen Geldern finanzierte Software am Ende auch öffentlich gemacht werden muss)
(Weiter unten kommt der zweite Schuh.)
Wir verpflichten alle staatlichen Stellen, ihnen bekannte Sicherheitslücken beim BSI zu melden und sich regelmäßig einer externen Überprüfung ihrer IT-Systeme zu unterziehen. Das Identifizieren, Melden und Schließen von Sicherheitslücken in einem verantwortlichen Verfahren, z. B. in der IT-Sicherheitsforschung, soll legal durchführbar sein.
(Das ist der zweite Schuh. NB: Geheimdienste sind auch staatliche Stellen!)
(Ich fürchte ja fast, die haben gar nicht verstanden, dass das Ende-zu-Ende meint. Das wird noch Popcornbedarf geben.)
(Der kam von mir)
(Ignoriert mal das 5G- und KI-Gesülze und freut euch über das Recht auf Interoperabilität!! Das ist ein Riesending für Open Source!)
(Das hat jeder fucking Einzelne, der an der Formulierungshilfe mitgearbeitet hat, vorgeschlagen. Ein echter No-Brainer.)
(Der kam natürlich auch von mir)
(Ist ja schon irgendwie erschütternd, dass es eines Haufens ungewaschener Computernerds bedurfte, um auf diese Idee zu kommen!)
(Das ist auch ein Riesending! Da können sich die Hersteller nur noch rausmogeln, indem sie lächerlich kurze Lebenszeiten annehmen.)
Dies ist den Nutzerinnen und Nutzern transparent zu machen.
(Das ist die Idee der EU, dass der Markt das schon regeln wird, wenn man das nur transparent macht. Hoffen wir mal, dass das reicht!)
Mir scheint jedenfalls gerade genug Sonne aus dem Arsch, dass das den Rest des Jahres überkompensiert.
Update: Ich sollte an der Stelle vielleicht auch klar ansagen: Die Politiker, die anderer Lobbyisten vorformulierte Entwürfe übernehmen, sind faule Schufte. Die, die unsere vorformulierten Entwürfe durchwinken, sind wohlinformierte und hochintelligente Ehrenleute!1!!
Was soll die tun? Erkennen, wenn der PC angegriffen wird, und dann die Heuristiken hochtunen. Klar haste dann auch lauter False Positives, die den Admin ablenken, aber irgendwas ist ja immer.
Und wisst ihr was? Die Unternehmen werden ihnen das mit abkaufen. Na klar! Lieber noch eine Decke aus magischen Schlangenöl-Globuli drüberpacken als dass irgendwer mal drüber nachdenkt, sein Verhalten zu ändern. Nein, nein, wir fahren weiter Windows mit Office und Active Directory. Wie alle anderen. Und wenn wir dann hopsgenommen werden, dann zeigen wir auf Defender und sagen: Schaut her, wir haben doch alles getan!!1!
Und unser Staat befördert das auch noch, indem das BSI und Bafin den Einsatz von Schlangenöl explizit empfehlen oder gar vorschreiben. Klar hilft das nichts. Aber wir können nachher sagen, wir hätten was getan.
Sind diese ganzen Zertifikate am Ende völlig werlose Geldverbrennung? Compliance-Ringelpiez statt ernsthafter, evidenzbasierter Security?
Auf der nach oben offenen Bullshit-Bingo-Skala fehlt da nur noch "kriminelle Energie" und dass man mit Hochdruck daran arbeite.
Wenn ich mal einen Tipp abgeben sollte, so aus der Ferne, ohne jeden Feindkontakt: Windows + Office + AD?
Wieso fragt eigentlich nie jemand vorher einen qualifizierten Dienstleister? Wieso ist immer erst nachher Geld dafür Response-PR? Vorher machen alle bloß sinnloses BSI-Compliance-Theater.
Ja, das Response-Zeug ist PR. You heard me. Alles, was da zu erwarten ist, ist: "Die waren technisch aber SUPER FIT, die Angreifer!!1!" und "also gegen SOVIEL kriminelle Energie hätte man auch nichts machen können!1!!"
Dann noch ein paar belanglose Indizien, dass es DIE RUSSEN!1!! waren.
Und natürlich interne Erkenntnisse, die man nicht rausgibt. Dass auch Daten weggekommen sind, von deren die Kunden nicht wussten, dass man die hat. Daten, die man eigentlich schon längst hätte löschen wollen, aber da lag noch ein Backup rum. Nichts davon hilft bei der Abwehr der nächsten Ransomware-Iteration.
Dafür müsste man Windows, Office und AD abschaffen.
Gut, da war ne Passphrase dran. Aber trotzdem. Das ist nicht, was man unter Risikomanagement versteht.
Auf der anderen Seite erwartet vom BSI ja auch niemand faktenbasiertes Risikomanagement oder Security. Vom BSI erwartet man Compliance-Gehampel und Security-Theater.
Wegen der ganzen "Angriffe" überall!1!!
Ja aber echt mal. Wenn wir doch nur eine staatliche Institution hätten, die dafür zuständig wäre, Behörden abzusichern!1!!
Warte mal, hatten wir da nicht eine? Die mit diesem Typen an der Spitze, ihr wisst schon! Wie hieß der noch? Der Cyberclown!
Die Gefährdungslage im Cyberraum sei in der Berichtsperiode "angespannt bis kritisch" gewesen, heißt es in dem Dokument.Aha. Soso. Die Gefährdungslage also.
Damit meinen sie bestimmt die Tatsache, dass alle Windows, Outlook und Active Directory einsetzen, oder? Nicht?
Solche Schwachstellen bezeichnet Schönbohm als "Ausdruck einer mangelhaften Produktqualität".Ach genau! Schönbohm hieß der!!
Man würde denken, wenn immer wieder Windows, Outlook und Active Directory durch "mangelhafte Produktqualität" auffielen, dass diese staatliche Institution dann mal empfiehlt, die nicht mehr einzusetzen?
Die Hersteller sollten daher in ihrem eigenen Interesse daran mitarbeiten, diese Mängel schnellstmöglich und konsequent zu beheben.Oh. Ah. Verstehe. Die sollen ruhig weiter alle Windows, Outlook und Active Directory einsetzen. Wenn was passiert, kann man seine Nerven an der Gewissheit beruhigen, dass der Hersteller mehr hätte tun sollen.
Überzeugt euch diese Strategie auch auf Anhieb? Ich fühl mich schon viel besser.
Wir haben alles getan. Also eigentlich konnten wir ja gar nichts machen. Wir haben also nichts getan. Danach haben wir gesagt, Microsoft sei Schuld.
Erinnert mich an den Bundestagshack damals. Wo mir ein Insider erzählte, man habe die Presse schreiben lassen, dass das APT war, weil damit alle gut leben konnten. Gegen APT kann man ja eh nichts machen. In Wahrheit war das eher Straßen-Trojaner-Gepfusche auf dem Niveau von Back Orifice. Aber wie so häufig würden die Details die Bevölkerung bloß beunruhigen.
Warum reg ich mich eigentlich auf? Wieso geb ich nicht mein Gewissen an der Garderobe ab und verkaufe auch "Threat Intelligence"? Genau was die Leute brauchen, die da draußen Windows, Outlook und Active Directory einsetzen. Threat Intelligence! Oh, und ein SIEM!!
Die schlechte Nachricht: Nicht die Behörden tun das, es ist eine Ransomware.
Nee, pass uff, Atze, wir müssen hier nicht in ordentliche IT investieren. Wir machen einfach Windows + Active Directory + Outlook, und wenn wir dann gehackt werden, dann sagen wir, es waren fiese Angreifer:
Unbekannte verschlüsseln interne DatenAußerdem sind ja nicht wir Schuld, sondern der Dienstleister!!1!
Ersten Erkenntnissen zufolge ist der zuständige IT-Dienstleister KSM "Opfer einer Schadsoftware geworden", wie Sternberg sagte.Dann faseln wir noch was von krimineller Energie und rufen die Polizei, um von unserem eigenen Totalversagen abzulenken.
Die Kriminalpolizei Schwerin hat mit Ermittlungen begonnen.Oh und solange keine Beweise vorliegen, behaupten wir einfach, es sei nichts weiter passiert.
Man gehe davon aus, dass zwar die eigenen Daten verschlüsselt worden seien, nicht aber an externe Stellen weitergegeben wurden. Lösegeldforderungen gebe es bislang nicht.Hauptsache wir gehen der Frage aus dem Weg, wieso uns jemand Ransomware aufspielen konnte. Das wäre peinlich, wenn uns das jemand fragen würde. Ein Glück ist auf die Medien Verlass, die springen lieber auf das Angreifer-Narrativ auf als die relevanten Fragen zu stellen.
Gehen Sie weiter! Gibt nichts zu sehen hier!
Für einen Lacher empfehle ich die Homepage des zuständigen IT-Dienstleisters. Ich zitiere mal:
Ich bin mal gespannt, ob jemand die fragt, was "angelehnt" an der Stelle bedeuten soll.
- Unterstützung bei dem Aufbau eines Informationssicherheitsmanagements (ISMS)
- Erstellung von Sicherheitskonzepten (angelehnt an BSI-Standard 100-2) und Umsetzung der Sicherheitskonzepte
Oh na ein Glück. Die kennen sich mit Notfällen aus! Dann haben sie ja sicher ein ordentliches Backup und in zwei Stunden ist alles wieder online!
- Unterstützung bei der Auswahl von Maßnahmen dem jeweiligen Schutzbedarf entsprechend
- Durchführen von Risikoanalysen und Business Impact Analysen (BIA)
- Erstellen von Notfallvorsorge-Konzepten und Notfallhandbüchern
So viel Text und nichts davon dient konkret der Konstruktion eines sicheren Arbeitsumfeldes oder der Abwehr von Angreifern. Das ist eine schöne Repräsentation der "IT-Security" in Deutschland im Moment. Eine metrische Tonne aus Bürokratie und Compliance, aber niemand tut irgendwas konkretes zur Abwehr konkreter Gefahren. Stattdessen "Informationssicherheitsmanagement". Nee, klar.
- Beratungsleistungen zur Umsetzung der Anforderungen gemäß Bundes- und Landesdatenschutzgesetze
- Datenschutzrevision von Verfahren, Anwendungen und IT-Systemen
- Durchführung von Schulungs- und Sensibilisierungsmaßnahmen im Bereich Informationssicherheit und Datenschutz
Lass es mich mal so formulieren: Wenn die tatsächlich Notfallvorsorge-Konzepte gehabt hätten, wären wir jetzt nicht in dieser Situation. Dann hätte niemand mitgekriegt, dass da was verschlüsselt wurde.
Das ist auf allen Ebenen so. Auch bei der Softwareentwicklung denkt man lieber nicht über strukturelle Sicherheit und solide Fundamente und robuste Strukturen nach, sondern man klöppelt halt irgendwelchen Frameworkscheiß zusammen und dann sprenkelt man ein bisschen "Sensibilisierungsmaßnahmen" und "Informationssicherheitsmanagement" darüber, wirft ein paar Code-Analyse-Tools drüber, am besten in der Cloud, und dann schmeißt man die ganzen Warnungen weg, weil so viel davon False Positives sind. Oh warte, ich vergaß: Dann lässt man einen Fuzzer laufen.
Dann wird man gehackt und erklärt: Aber wir haben doch alles getan!!1!
Ich persönlich bin ja schon begeistert über den ersten Satz auf der Webseite von diesem IT-Dienstleister:
Die KSM AöR tritt für einen geeigneten, annehmbaren und technisch realisierbaren Datenschutz ein.HAHAHAHAHA! Da weißte doch direkt, was die meinen. Nee, das ist technisch nicht realisierbar. Was sagen Sie, andere haben das aber realisiert gekriegt? Nee, das geht gar nicht. Glauben Sie uns, wir wissen, was wir tun!
Ja wie kommt das eigentlich, fragt sich vielleicht der eine oder andere. Deutschland war ja mal führend in Sachen IT-Sicherheit. Nicht zuletzt deshalb, weil bei uns das Studium keine Studiengebühren hatte und man keinen Stress bekam, wenn man ein paar Semester länger studierte, weil einen noch etwas interessierte, und man da noch ein bisschen Zeit mit verbringen wollte. Deutschland hatte einige der besten Security-Leute auf dem Planeten!
Dann hat die CDU der Reihe nach alles kaputtgealtmaiert.
Erst haben sie Hacken verboten, dann Hackertools verboten, dann offene WLANs mit dem Urheberrecht weggeschossen. Studiengebühren eingeführt. Tja und dann stellte sich völlig überraschend heraus: Die existierenden Leute mit Fachkompetenz wollen diesem Scheißstaat nicht freiwillig helfen, nicht mal bezahlt. Den Nachwuchs hat die Regierung ja mit den ganzen Maßnahmen abgetrieben. Völlig überraschend ist man jetzt ein Land der Ahnungslosen, die Regierung muss ihre Staatstrojaner (und Firewalls und Router) im Ausland kaufen, und sämtliche "Erkenntnisse" sind unprüfbares Hörensagen aus den USA.
Warum erwähne ich das? Weil es gerade mal wieder einen Swatting-Fall gab. Einer der letzten noch nicht verprellten Security-Leute findet eine krasse Lücke, meldet sie wohlmeinend dem Hersteller, und kriegt dann von diesem Staat auch noch ein SWAT-Team in die Wohnung geschickt, das ihm sein Arbeitsgerät wegnimmt.
Ja super! Wisst ihr, wer euch ganz sicher nicht helfen wird, wenn ihr das nächste Mal ein Problem habt? Dieser Typ.
Mich habt ihr als Helfer ja schon vor Jahren verloren. Das muss jetzt einmal so richtig krachen, bevor ich auch nur in Erwägung ziehe, irgendjemandem in diesem Staat zu helfen.
Baut ihr mal weiter Zertifizierungs-Schlangenölpipelines mit dem BSI auf. Und setzt alle schön Windows, Active Directory und Outlook ein. Hey, was setzt eigentlich das BSI ein? Fragt lieber nicht, die Details könnten die Bevölkerung verunsichern.
Ich wundere mich über kein einziges der Blockchain- und KI-Projekte gerade. Na klar fördern die Blockchain und KI und Biometrie-Datenbanken. Die haben keinen einzigen Berater mehr gefunden, der auch nur den Hauch einer Ahnung hat.
NA KLAR glauben diese Vollpfosten dann den Amis, dass man Cyberangriffe zurückverfolgen kann, und dass das zufällig nie die Amis waren. Der Russe war's!!1!
Update: Weil hier gerade neue Leser aufschlagen: Altmaiern versuche ich gerade als Begriff für vorsätzliche Zerstörung von für die Gesellschaft nützlichen und/oder überlebenswichtigen Dingen zu etablieren. In Anlehnung an seine "Arbeit" zum Rückbau von Solar und Wind. Das impliziert nicht, dass Altmaier persönlich involviert war, nur dass das Ausmaß der Zerstörung grob mit Altmaiers Taten vergleichbar ist.
Deutschlands Politik ist ein "attraktives Ziel" für Desinformationskampagnen. Das meint Arne Schönbohm, Präsident des Bundesamts für Sicherheit in der Informationstechnik (BSI).Ja, so Desinformationskampagnen wie diese CDU-CSU-Maskenaffäre. Das verwirrt die Leute doch vor der Wahl bloß!
Oder dass Olaf Scholz ein Cum-Ex- und ein Wirecard-Problem hat! Das will doch niemand hören! Gut, also von der SPD jetzt.
Oder dass die Baerbock ihren Lebenslauf frisiert hat. Desinformation!!1!
Selbst Opfer von Desinformation ist Bundestagsabgeordnete Tabea Rößner, Sprecherin für Netzpolitik und Verbraucherschutz bei den Grünen. Sie erlebte einen Shitstorm und ihr Mail-Account wurde lahmgelegt.Wofür hat sie den denn abgekriegt? Fiel der vom Himmel oder was?
Rößner berichtete, dass die Grünen-Kanzlerkandidatin Annalena Baerbock "besonders stark" angegriffen werde. "Es wurden ihr falsche Zitate untergeschoben, die Angst schüren sollten."Und hey, wenn sich jemand mit Zitaten auskennt, dann Annalena Baerbock *gnihihihi*
Wenn ihr jetzt schon genug habt, dann stählt euch. Der nächste Satz ist einer für die Geschichtsbücher:
Leider hätten die politischen Wettbewerber aggressive Nutzer-Kommentare mit negativen Emojis weiterverbreitet.Oh neeeiiiin! Mit negativen Emojis? Das ist ja furchtbar!1!!
Ist auch in der Realität jemandem was zugestoßen oder nur euren Gefühlen?
Update: Aber macht euch keine Sorgen.
BSI-Chef Schönbohm berichtete, das Amt habe ein "rotes Telefon" für dringende Fälle eingerichtet, bei denen umständliche Meldeketten nicht beachtet werden können.
Da können Politiker anrufen, die unter einem akuten Fall von negativen Emojis leiden.
Gucken wir doch mal, was die gerade berichten ... Oh, nanu?
THIS WEBSITE HAS BEEN SEIZED
Ja nee, klar. Das FBI und das US-Justizministerium haben die Domain beschlagnahmt.
Gut, fragt man sich schon, wieso der Iran eine .com-Domain holt und nicht eine .ir -- oh warte, sie haben auch eine .ir-Domain. Hey, war das vielleicht ein großartiger Troll des Iran? Mal gucken, wann die Amis sich öffentlich so zum Stück Brot machen?
Gut, da haben wir jetzt die Antwort.
Und wir wissen jetzt auch, ob Trump oder Biden der krassere Betonkopf-Hardliner und Kriegstreiber ist.
So, dann gucken wir doch mal, wie der Iran das schlau nutzt. Vielleicht Statements von befreundeten "Nachrichten"seiten. Russia Today könnte das z.B. für ein generisches Statement pro Pressefreiheit nutzen. Gucken wir doch mal. Oh hier, das böte sich an: Biden kritisiert die Chinesen wegen Verletzung der Pressefreiheit, weil sie in Hong Kong Apple Daily zugemacht haben. Money Quote von Biden: Journalism is not a crime! Da hätte man was schönes draus machen können!
It is, of course, deeply ironic that a country which claims to champion freedom of speech has taken these websites down. But it’s merely the latest act in a long list of crimes and acts of aggression committed against Iran by Washington dating back decades.Hmm, na gut, jetzt nicht das flammende Pro-Iran-Plädoyer, auf das der Iran gehofft haben wird.Irgendjemanden wird es ja wohl geben, der das für ein generisches Statement pro Pressefreiheit nutzet.
Ah ja, hier, sie haben jemanden gefunden!
Hezbollah, Iraqi anti-terror group slam US seizure of website domains tied to pro-resistance mediaNein, wirklich! Die zitieren da die Hisbollah, praktisch weltweit als Terrororganisation anerkannt.Frage mich, wieso sie das überhaupt auf Englisch veröffentlichen.
Gut, äh. Wo waren wir? Ah, bein internationalen Zum-Stück-Brot-Machen-Wettbwerb. Es steht unentschieden, würde ich sagen. m(
Geht mal auf Seite 932. Da geht es darum, wie sie DNA-Profildaten sicher austauschen wollen.
Worauf haben sie sich geeinigt? Auf 1990er-Jahre-Tech: S/MIME mit 1024-bit RSA und SHA-1. Zum Vergleich: Das BSI empfiehlt RSA ab 2000 Bits und gar kein SHA-1 mehr.
Als Implementation empfiehlt das Dokument Netscape Communicator 4.x (davon kam die letzte Version 2002 heraus).
Mensch na ein Glück, dass wir das mal standardisiert haben! Nicht dass die Leute sich einfach ad-hoc für irgendeinen Krypto-Standard entscheiden und dann versehentlich zu kurze Schlüssel oder unsichere Verfahren oder Software einsetzen!1!!
Laut Bericht des NRW-Justizministers starb eine Patientin, die wegen des Angriffs auf die Server der Klinik in ein weiter entferntes Krankenhaus nach Wuppertal gebracht werden musste.Das ist zu 100% Verantwortung der Uniklinik. Ransomware müsst ihr euch wie Schimmel an der Wand vorstellen. Wenn im Operationssaal Schimmel an der Wand ist, dann ist nicht der Schimmel der Täter, sondern der Zuständige, der das soweit runterkommen ließ, dass sich da Schimmel bilden konnte.
Grotesk, wie sie das jetzt auf die Ransomware zu schieben versuchen! Und nicht nur auf die Ransomware, auf jeden der nicht bei drei auf den Bäumen ist!
Die Sicherheitslücke, die die Hacker ausnutzten, habe sich in einer marktüblichen und weltweit verbreiteten kommerziellen Zusatzsoftware befunden, teilt die Uniklinik mit.Wenn ihr da den Bullshit zur Seite baggert, bleibt als Aussage übrig, dass WIR NICHT SCHULD SIND, denn die Software war MARKTÜBLICH, d.h. die anderen sind alle genau so scheiße aufgestellt wie wir.
Ich weiß ja nicht, wie es euch geht, aber in meiner Welt entschuldigt das gar nichts.
Aber wartet, geht noch weiter.
In dem Zeitfenster, das die Softwarefirma zum Schließen der Lücke benötigte, seien sie Täter in die Systeme eingedrungen.Wenn ihr hier den Bullshit beiseite baggert, bleibt die Lüge übrig, dass der Zulieferer für das Updaten von Software halt Zeit brauchte. Nein, brauchte er nicht. Das kann man alles komplett wegautomatisieren. Seit Jahren. Hätte die Uniklinik machen können, HAT SIE ABER NICHT. Daher: Was sie uns hier eigentlich sagen wollen, ist dass es nicht ihre Schuld ist, sondern der Zulieferer war zu langsam.
Die würden gerade ihre eigene Mutter beschuldigen, wenn es irgendwie ginge, um sich selbst aus der Schusslinie zu bringen. Ich fände es gut, wenn da mal ein paar Leute ihren Job verlieren. Wie wäre es, wenn ihr mal ein paar überflüssige Verwaltungsjobs wegmacht und mit dem Geld euren Keller entschimmelt?
Aber der größte Hammer an der Story ist in meinen Augen das hier:
die Täter hätten nach Kontakt zur Polizei die Erpressung zurückgezogenOh ach so?
Die IT-Experten haben mittlerweile den Zugang zu den Daten wiederherstellen können.Ja, äh, was für eine Ausrede bleibt euch denn dann noch, liebe Uniklinik?!
Könnt ihr mir nochmal erklären, wieso jetzt irgendjemand anderes als ihr für den Tod dieser Patientin die Verantwortung tragt?
Sagt mal, … gibt es da nicht persönliche Haftung für die Vorstände bei solchen Sachen? Mir war irgendwie so.
Update: Ein Vögelchen zwitschert mir gerade, dass das die Citrix-Lücke vom letzten Jahr war, über die die Ransomware reinkam. Ja, Shitrix. Das sollte strafrechtliche Konsequenzen haben, wenn jemandes Krankenhaus über ein halbes Jahr nach Bekanntwerden der Lücke und Verfügbarkeit von Patches über die Lücke angegriffen wird. Ab in den Knast mit den Zuständigen.
Update: Das BSI sagt auch, dass es Shitrix war.
Ein Sprecher der ZAC bestätigte, dass die Hacker eine Sicherheitslücke in einer Software genutzt hätten, die bei vielen Unternehmen genutzt werde. Laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) handelte es sich um ein Programm der Firma "Citrix". Eine seit Januar bekannte Schwachstelle in VPN-Produkten der Firma werde für Cyber-Angriffe ausgenutzt.
Dann erzählen sie was von Fällen, bei denen Leute gehackt wurden, bevor Citrix Patches fertig hatte. Ich bin ja auch ein Freund davon, Citrix öffentlich mit Scheiße zu bewerfen für ihr Verhalten bei der Lücke, aber in diesem Fall kam die Ransomware offensichtlich deutlich viel später als es Patches gab. MONATE später. Ein fucking halbes Jahr später.
Ja aber Fefe, was wenn die Ransomware-Leute über eine Backdoor reinkamen, die sie sich installiert haben, bevor es einen Patch gab? Mal abgesehen davon, dass da mehr Konjunktiv als in einer CDU-Rede über ihre Visionen für die Zukunft ist: NA DANN HÄTTE MAN VIELLEICHT MAL NACH BACKDOORS GUCKEN MÜSSEN? Wenn man sich nicht sicher ist, vielleicht ein paar zentrale Infrastrukturkomponenten neu aufsetzen? Das ist alles kein Hexenwerk. Aber bei der Methode "Kopf in den Sand" hat man halt unbefriedigende Ergebnisse.
Update: ACH NEE, die Uniklinik hat ein Statement veröffentlicht. Ich fasse mal zusammen: Sie sagen, sie haben alle Patches noch am selben Tag installiert, und das danach von zwei externen Firmen prüfen lassen, ob die Lücke jetzt auch wirklich zu ist.
Dann wundere ich mich über die vorherige Aussage derselben Leute, dass die mit der Wartung beauftragte Firma noch nicht dazu gekommen war, das zu patchen. Was stimmt denn jetzt? War das jetzt gepatcht oder nicht? Und wenn es gepatcht war, wie sind die dann reingekommen?
Lasst mich mal kurz wild spekulieren. Sie haben irgendwelche Workarounds ausgerollt, die nicht gereicht haben (sich später als unzureichend herausstellende Workarounds gab es wirklich und dafür trifft die Schuld zu 100% Citrix). Dann haben sie turnusmäßig einen Pentest machen lassen. Da geht es häufig nicht um Security sondern um Compliance. Der Kunde will im Wesentlichen eine Checkbox vom Pentester angekreuzt haben, dass alles OK ist. Entsprechend gibt es da einige Marktteilnehmer, die dann auch nicht so genau hingucken, denn wenn man was findet, macht das ja dem Kunden bloß Ärger, den keiner gebrauchen kann. Ich spekuliere weiter: Dem Pentester haben sie dann auch nicht gesagt, wonach er gucken soll, und vielleicht sogar noch, dass sie ja bei Citrix den Workaround eingespielt haben. Das hätte bei einigen Pentest-Anbietern gereicht, und schon fällt das hinten runter. Oder so.
Könnte so gewesen sein. Würde die Faktenlage erklären. Und dann könnte den Pentester eine Teilschuld treffen. Insiderinformationen habe ich in dieser Angelegenheit keine, insofern werden wir das wohl nie ausfinden. Wenn es tatsächlich stimmt, dass die noch am selben Tag alle Patches eingespielt haben, dann stellt sich zwar immer noch die Frage, wieso sie keine Backdoors gesucht und gefunden haben, aber dann wäre meinem Gerechtigkeitsgefühl nach Citrix in der Haftung. Wird natürlich alles nie passieren. Weil wir uns alle in einem großen Müllhaufen aus überkomplexen Frickelsystemen bewegen, deren Kontrolle uns längst entglitten ist. Mehr als Best Practices geht da in der Praxis nicht, und wenn die tatsächlich Patches noch am selben Tag einspielen, dann sind sie (so schmerzhaft das ist!) dem Rest der Industrie an der Stelle sogar weit voraus. Übliche Einspiellatenzen sind eher so im Monatsbereich.
Auf der anderen Seite ist das eher die minimalste Kompromissvariante. 5 Jahre heißt immer noch, dass der Wiederverkaufswert rapide abnimmt. Ich wäre eher für 10 Jahre. Und ich wäre auch dafür, dass man Anreize schafft, Sicherheitslücken zeitnah zu fixen, und nicht jahrelang denselben Patch mit leichten Mutationen auszuliefern, weil keine der Varianten die Lücke auch tatsächlich schließt.
Mal ganz abgesehen davon, dass Hersteller auch gerne jahrelang auf Sicherheitslücken sitzen, bevor es einen Patch gibt — wenn es überhaupt einen Patch gibt!
Der Name ist eine Anspielung auf die OffensiveCon, ebenfalls in Berlin, in ein paar Tagen. Dort treffen sich so Exploit-Schreiber und Malware-Leute und diskutieren Angriffsmethoden und -vektoren. Mich stört das schon länger, dass die Regierungen alle in Angriff investieren und niemand macht Verteidigung. Daher freute ich mich, dass jemand eine Gegen-Con macht.
Meine Erwartung war: Fehlerminimierende Softwarearchitektur, resilienzsteigernde Netzwerkarchitektur, vorbeugender Coding-Stil, sowas.
Tatsächlich war das aber ein Treffen von der AG Kritis. Kritis ist der Name für das BSI/BBK-Projekt zum Schutz kritischer Infrastrukturen, also Strom, Wasser, Krankenhäuser, etc. Ich habe mich da nie für interessiert, weil das aus meiner Sicht voll am Thema vorbeischießt. Die reden da überhaupt nicht darüber, wie wir eine sichere Infrastruktur aufbauen können, oder wie wir von Windows+Outlook+Active Directory wegkommen, sondern die optimieren da, wie schnell man nach einem Emotet-Befall neu aufsetzen kann. Den Emotet-Befall selbst verhindert niemand. Der ist bei dem Zustand der Infrastruktur so sicher wie das Amen in der Kirche.
Aus meiner Sicht ist damit das ganze Projekt nicht interessant. Versteht mich nicht falsch: Man kann da prima Geld verdienen. Man kann Installationen zertifizieren, man kann Audits machen, ob alle Punkte auf der Checkliste bearbeitet wurden, … aber nichts davon finde ich auch nur das geringste bisschen attraktiv. Nicht nur ist das nicht attraktiv, es hilft auch niemandem. Meine Code Audits haben zumindest einen nachweisbaren kurzfristigen Nutzen in die richtige Richtung. Das, was wir aber mal wirklich machen müssten, das macht niemand. So war dann auch eine meiner ersten Wortmeldungen aus dem Publikum nach dem Vortrag des BSI-MIRT (Mobile Incident Response Einheit). Ich fragte den BSI-Menschen, da ja Windows+AD+Outlook der Einfallsvektor für Emotet sei, ob sie da mit gutem Vorbild vorangehen und was anderes einsetzen. Er verweigerte lieber die Aussage, und meinte dann in der Pause so zu mir: Wir haben auch eine Menge Linux-Rechner!!
Ich bin inzwischen der Meinung, dass das nicht nur nicht hilfreich ist, sondern dass das aktiv schädlich ist, wenn man in Incident Response investiert. Ich kenne das von Software-Herstellern. Wenn der Daemon sich automatisch restartet nach Crashes, dann ist der Leidensdruck weg, was gegen die Crashes zu tun. Dann lebt man halt mit den Crashes. Ich habe das auch bei der Softwareentwicklung schon beobachtet, dass mir Entwickler erklärten, es gäbe da ja eine Security-Abteilung, die für sowas zuständig sei, daher müsse man sich hier jetzt nicht so stressen deswegen.
Die zentrale Verlautbarung auf der Konferenz war aber die Vorstellung eines neuen Cyberwehr-Konzeptes. Weil es schon ein Cyberwehr-Konzept gab, und das voll verkackt wurde und gescheitert ist, heißt das jetzt Cyber-Hilfs-Werk, als Wortspiel auf das THW. Die Idee ist, dass man bei einer "Großschadenslage" (ein Konzept aus dem analogen Katastrophenschutz) erste Hilfe leistet, damit die Versorgung der Bevölkerung schnell wieder anläuft. Wenn jemand unseren Strom wegcybert, dann könnte das Menschenleben kosten. Das ist also schon quasi unterlassene Hilfeleistung, wenn ich als Nerd dann nicht freiwillig und ehrenamtlich mithelfe.
Sorry, aber das sehe ich überhaupt nicht so. Im Gegenteil. Das setzt die völlig falschen Anreize. Wenn die Stromkonzerne sich darauf verlassen können, dass ich ihnen im DurchNotfall den Arsch abwische, wieso sollten die dann in Vorbeugung investieren?
Ja aber Fefe, sagten die mir, das ist doch ein Großschadensfall! Der ist eh schon astronomisch teuer! Dann müssen wir halt dafür sorgen, dass das nicht billiger wird durch unseren ehrenamtlichen Einsatz!
Sorry, überzeugt mich auch nicht. Die Unternehmen spekulieren offensichtlich darauf, wenn wir schon die völlig überflüssigen und volkswirtschaftlich kontraproduktiven Banken mit Milliardenbailouts retten, und da war noch nicht mal ein Angreifer am Start sondern die haben sich mit ihrem Gezocke selber versenkt, dann ist ja wohl aus Sicht der Stromversorger völlig klar, dass der Staat bei einer Großschadenslage einspringen würde. Ich erinnere daran, dass die Bahn ihr Schienennetz auf Verschleiß fährt und nicht ausbessert, weil bei akuter Einsturzgefahr von Brücken der Staat zahlt und nicht die Bahn. Glaubt mal nicht für eine Sekunde, dass die Stromkonzerne auch nur einen Euro in Vorsorge investieren, wenn sie sich den auch in die Tasche stecken oder an die Shareholder auszahlen könnten.
Ich fühle mich in meiner Position bestätigt, wenn ich sehe, dass Vater Staat das Konzept der Cyberwehr großartig findet und voll an Bord ist. Vater Staat ist nämlich nicht so doof wie man immer glaubt. Das ist ja schon länger meine These, dass so viel Verkacken nicht nur mit Inkompetenz erklärbar ist. Das ist Strategie. Der Staat sieht das offensichtlich genau so wie ich und würde gerne die Kosten für die Reparatur an die Ehrenamtlichen externalisieren.
Als der wohlmeinende Vortragende dann noch erklärte, dass man aus versicherungstechnischen Gründen nur auf Anordnung (!!) des Innenministeriums (!!!!) aktiv würde, weil man dann ein Verwaltungshelfer sei und gegen Unfälle auf dem Weg zum Einsatz versichert sei, da knallten bei mir die letzten Sicherungen auch noch durch. GANZ SICHER werde ich NIEMALS für das Innenministerium irgendwas tun. Das sind die Leute, die mir aktuell Trojaner auf die Geräte spielen wollen. Das sind die Leute, die gegen meine Proteste Videoüberwachung ausgerollt haben, obwohl klar war, dass das nichts bringt und meine Grundrechte verletzt. Das sind die mit dem großen Lauschangriff. Mit der Funkzellenauswertung. Das sind die mit dem Hackertoolverbot. DIE LETZTEN, auf deren Ruf ich zur Mithilfe bereit bin, sind die vom Innenministerium. Das geht gar nicht. Absoluter No-Go.
Mir tut das echt in der Seele weh, denn in der Szene sind viele liebe kompetente hilfsbereite Nerds, die einfach nur Menschenleben retten wollen. Aber ich glaube, dass das nie besser wird, wenn wir nicht mal einen so richtig fetten Großschadensfall haben und denen ihre Ministerien niederbrennen, weil keiner vorgesorgt hat. Je länger dann alles down ist, desto besser. Damit das auch mal Konsequenzen hat. Mir schwebt da so ein Fight-Club-Szenario vor.
Aber genug von der Cyberwehr. Es gab auch noch andere Vorträge. Zum Beispiel einen über die völkerrechtliche Bewertung von Hackback. Nun habe ich mich ja schon zu Hackback geäußert, aber nicht zu rechtlichen Fragen. Das war Absicht. Ich halte die rechtliche Debatte für kontraproduktiv. Auf der anderen Seite sitzen schließlich die Leute, die Gesetze machen. Wenn du denen nachweist, dass ihr Scheiß gegen die Gesetze verstößt, dann machen die halt neue Gesetze. Das Völkerrecht kann ich nun überhaupt nicht ernst nehmen. Das ist Freiwilligenrecht. Für mich war das Interessanteste an dem Vortrag daher nicht der Inhalt, sondern wie die Vortragende es vortrug. Mit dem Brustton der Überzeugung kamen da so Aussagen wie: Das wäre dann klar völkerrechtswidrig. Äh, mal in den Irak geguckt? Wie war das mit unserem NATO-Angriffskrieg in Jugoslawien damals? Auch alles klar völkerrechtswidrig. Hält genau niemanden auf. Die halten nicht mal inne und denken nochmal drüber nach. Die Vortragende dann so: Das hat der Internationale Gerichtshof so festgestellt! Ja, äh, und? Erinnert mich an eine Aktionskarte bei dem Brettspiel Junta. "Studenten protestieren gegen Menschenrechtsverletzungen. Keine Auswirkungen." Daher habe ich mich in meinen Hackback-Überlegungen darauf konzentriert, dass das auch inhaltlich völlig bekloppt ist und garantiert nicht weiterhelfen wird. Ein weiterer Referenzpunkt in dem Vortrag war die Martensklausel. Googelt das mal selbst und überlegt euch, ob ihr das ernst nehmen würdet als Rechtsnorm. Und wer da eurer Meinung nach für die Durchsetzung zuständig ist.
So bin ich am Ende in der paradoxen Lage, dass das eine wunderschöne Konferenz mit kompetenten Vortragenden und netten Unterhaltungen war, aber ich inhaltlich nichts gelernt habe. Ich habe schon Dinge gelernt, aber über die Leute, nicht über die Inhalte.
Hmm. So kann ich euch jetzt nicht gehen lassen. Lasst uns mal ein Szenario entwickeln, in dem das schon alles gut ist. Mir fällt nur eins ein: Strukturelle Inkompetenz. Strukturelle Inkompetenz ist, wenn du dich freiwillig bereiterklärst, in der WG das Geschirr zu waschen, und das dann so unzureichend wäschst, dass sie dich nie wieder fragen werden. Möglicherweise ist das Cyberhilfswerk auch sowas. Wir reden jetzt jahrelang darüber, und dann machen wir einen Plan, und der Plan rechnet dann mal aus, wieviel das im Zweifelsfall hilft, und kommt zum Ergebnis: Gar nicht. Vielleicht merken die dann, dass sie lieber vorbeugen sollten. Angesichts der praktisch reinen Symbolpolitik in Digitalfragen halte ich das für eine gefährliche Strategie. In allen bisherigen Fällen hat der Staat dann trotzdem die offensichtlich und mit Ansage ungenügende schlechte Idee umgesetzt, und dann danach schockiert festgestellt, dass es nicht geholfen hat. Warum sollte das diesmal anders laufen?
Übrigens, am Rande: In Israel fährt der Staat jetzt das volle Arsch-Abwischen-Programm und telefoniert proaktiv Firmen hinterher, sie sollen mal patchen. Wie in der Seniorenresidenz. Hast du heute schon deine Pillen genommen? Was für ein Menschenbild! Meine Erfahrung ist außerdem: Wenn du Menschen wie Kleinkinder oder Alzheimerpatienten behandelst, dann werden die sich auch wie Kleinkinder oder Alzheimerpatienten verhalten.
Update: Was wäre denn mein Vorschlag? Strafen. Hohe Strafen. Und nicht warnen sondern direkt die Firma schließen. Das muss richtig doll wehtun, wenn du die Infrastruktur runterkommen lässt, weil du glaubst, die Kosten externalisieren zu können. RICHTIG fucking schmerzhaft muss das sein. So mit rückwirkender Pfändung von vorher ausgezahlten Vorstands-Gehältern und so. Und insbesondere würde ich das für den Aufsichtsrat schmerzhaft machen, wenn sie ihrer Aufsichtspflicht nicht nachkommen.
Das ist eigentlich auch Teil von Kritis übrigens. Wenn der Auditor sagt: Das hier ist ein hohes Risiko. Dann kann die Firma sagen: Wir akzeptieren das Risiko. Nur hat das im Moment halt keinerlei Auswirkungen, wenn das ganze Ding dann hochgeht. Das müssen wir ändern.
Update: Einer der anderen Veranstalter weist darauf hin, dass nur 3/5 bei AG Kritis sind, aber 5/5 in der c-base. Die akkuratere Darstellung wäre also, dass das eine c-base-Veranstaltung war, auch wenn das Programm am Ende Kritis-lastig aussah :-)
Update: Leserbrief dazu:
in Deinem Kritis-Rant schreibst Du: "Wenn der Auditor sagt: Das hier ist ein hohes Risiko. Dann kann die Firma sagen: Wir akzeptieren das Risiko."
Das ist i.A. richtig, aber eben nicht bei Kritis-Audits. Dort gilt vielmehr: "Der B3S stellt klar, dass bzgl. relevanter Risiken für die kritische Dienstleistung eine eigenständige dauerhafte Risikoakzeptanz durch den Betreiber in der Regel keine zulässige Option im Sinne des BSIG ist" (Orientierungshilfe zu Inhalten und Anforderungen an branchenspezifische Sicherheitsstandards (B3S) gemäß § 8a (2) BSIG, Abschnitt 4.3.2, Quelle)Ob das am Ende einen großen Unterschied macht, sei mal dahingestellt ...
Wie einem Mitglied der AG KRITIS vertraulich zugetragen wurde, hätte die Citrix-Sicherheitslücke bereits einige Tage oder Wochen vor der ersten Meldung von Citrix am 17.12.2019 an das BSI gemeldet werden können. Mitarbeiter eines DAX30-Konzerns hatten schon früher Kenntnis über die Sicherheitslücke erlangt – entschieden sich aber, diese nicht dem BSI zu melden. Mangels Vertrauen, dass diese Erkenntnisse nicht auch über das BMI an die Sicherheitsbehörden zur Ausnutzung gelangen würden!ACH NEE. Na sowas. Tja. Hätte uns doch nur jemand vorher gewarnt.
Seit wieviel Jahren bläst der CCC jetzt in dieses Horn? 10? 20? 30?
Nun kann man ja verschieder Meinung sein, ob der Staat bei kritischen Infrastrukturen seine Finger im Spiele haben sollte oder nicht. Man könnte aus zwei Gründen dagegen sein. Entweder man ist Marktfundamentalist und findet, der Markt solle das selber regeln. Oder man hat bei Snowden zugehört und will den Staat grundsätzlich raus haben aus allen Sicherheitsfragen in der Wirtschaft. Es ist schließlich bekannt, dass die Bundesregierung es sich im Rektum der USA bequem gemacht hat und denen wie ein Schoßhündchen alle Informationen gibt, die sie haben wollen, in der Hoffnung, dann von CIA und NSA über Terroranschläge informiert zu werden, die wir nicht hätten, wenn wir nicht den USA in ihre Kriege hinterherziehen und helfen würden.
Ich persönlich sehe daher die Meldepflichten der Kritis-Unternehmen sehr kritisch, weil das eben nicht alles sofort veröffentlicht wird. Dann könnte ich damit leben. Aber so? So ist das doch geradezu der Prototyp von privilegierten Informationen, an denen die Amerikaner mit GANZ großer Sicherheit genug Interesse haben, um da voll im Bild zu sein, wo die Schwachstellen ihrer "Verbündeten" liegen. Es ist mir unbegreiflich, wieso die Kritis-Firmen das einfach so schlucken. Immerhin reden wir hier von dem Land, das als erstes und bisher einziges im Ausland Cyberwar durchgeführt hat, mit dem Ziel Dinge kaputtzumachen. Im Iran. Stuxnet. Ihr hörtet vielleicht davon.
Es ist mir auch unbegreiflich, wieso die Kritis-Unternehmen diesen Scheiß nicht selbst geregelt kriegen! Stattdessen fahren die alle Windows und Outlook und Active Directory und wundern sich dann über Emotet und Eternalblue. Patchen hält niemand für nötig.
Ja und dann weiß ich auch nicht. Vielleicht ist das ja einfach Schicksal. Vielleicht haben wir den Untergang einfach verdient. Das ist der Totmannschalter der Evolution. Wenn die Spezies zu mächtig wird, richtet sie sich durch technische Inkompetenz selber zugrunde.
Hier ist die Anleitung, welche Zertifikate man nehmen soll.
Der Einsender kommentiert:
der Schuster hat ja bekanntlich die schlechtesten Schuhe...:-) (Danke, Andrej)
Es gibt mehrere interessante Aspekte an der ganzen Sache.
Erstens: Der Code sah sauber aus. Das war ein Logik-Bug. Der Code sah richtig aus. Man musste wirklich die Materie verstanden haben, um zu verstehen, dass es da ein Problem gibt. Kudos an die NSA, dass sie das überhaupt gesehen haben.
Zweitens: Es hieß initial, der Bug ginge 20 Jahre oder so zurück. Das stimmt wohl doch nicht. Der Bug wurde 2015 eingebaut. Das finde ich ja nun wieder hochinteressant. Denn wir reden hier von ECDSA. ECDSA war damals schon angeschossen, weil es so fragil ist, und es so einfach ist, damit einen Totalschaden zu produzieren. Die Playstation war über ihr DSA gehackt worden. djb hatte bereits mit explizitem Hinweis auf die Fragilität von ECDSA und den NIST-Kurven seinen Gegenvorschlag Ed25519 publiziert. Und unter diesen Umständen haben die den Code nochmal angefasst und ihn schlimmer gemacht. Dazu muss man wissen, dass Krypto-Code so der am wenigsten volatile Code überhaupt ist. Alle sind sich bewusst, wie kritisch da jedes Bit und jeder CPU-Zyklus ist, und keiner will da irgendwas anfassen. Das ist auch bei Microsoft so. Insofern wollte ich das alles erstmal gar nicht glauben. Allerdings gibt es einen Grund, doch den Krypto-Code anzufassen, nämlich wenn sich die Spec ändert, oder man noch einen Aspekt aus der Spec implementieren muss, den man vorher nicht supported hat.
In diesem Fall war das das Feature, dass im Handshake die Kurvenparameter übertragen werden, und nicht bloß die paar hart eingebrannten NIST-Kurven verwendet werden können.
So und jetzt kommt der echt peinliche Teil. Hier ist die Spec. Die sagt ausdrücklich:
implicitCurve and specifiedCurve MUST NOT be used in PKIXundspecifiedCurve, which is of type SpecifiedECDomain type (defined in [X9.62]), allows all of the elliptic curve domain parameters to be explicitly specified. This choice MUST NOT be used.Verschwörungstheoretiker wären jetzt vielleicht geneigt, hier von einer Bugdoor zu sprechen, also eine Backdoor, die wie ein Versehen aussieht.Bleibt die Frage, wieso die NSA das publik macht. Den einen Grund dafür kann man gerade gut beobachten. Die lassen sich als Helden feiern. Zum ersten Mal in ihrer Geschichte haben sie etwas Positives gemacht. Und einige Deppen glauben ihnen jetzt vielleicht sogar ihr Blablah, dass sie eine neue Seite aufschlagen wollen und ab jetzt wichtige Lücken nicht ausnutzen sondern melden wollen. Das ist natürlich absurd.
Ich glaube ja, die NSA hat das gemeldet, weil ihr eigener Arsch gefährdet war. Die NSA hat nämlich in den USA eine Doppelrolle und erledigt auch den Teil mit, den bei uns das BSI separat macht. Die schreiben die Anforderungsdefinitionen für Militär und Behörden. Und da haben sie reingeschrieben, dass Elliptische Kurven total geil und sicher sind, als bei uns noch Rüdi auf dem Congress gewettert hat, was das für eine unbewiesene spekulative Voodoo-Technologie sei, und dass man lieber bei RSA bleiben soll. Die haben sich damals ziemlich fett auf elliptische Kurven committed, und das Militär ist ihren Empfehlungen gefolgt. Microsoft hat Support für elliptische Kurven überhaupt nur eingebaut, soweit ich weiß, weil die NSA das den Behörden in die Anforderungen geschrieben hatte, und Microsoft gerne weiter Behörden beliefern können wollte.
Wenn jetzt also rauskommt, dass es einen Bug gibt, in einem von der NSA empfohlenen "sicheren" System, das der inhärenten Fragilität des Systems geschuldet ist, dann beschädigt das den Ruf der NSA.
Übrigens, bei solchen Bugs müsst ihr immer einen Spruch im Hinterkopf behalten: Wenn schon das A-Team solche Fehler hat, wie sieht dann erst der Code des B-Teams aus?
Ich behaupte daher: Das Verhalten der NSA ist ohne plötzlich aufkeimenden Altruismus zu erklären.
Es ist richtig, die Bafin als Aufsichtsbehörde die Verwendung von Cloud-Diensten im Versicherungs- und Bankenbereich erlaubt.
Jedoch kann ich aus eigener Erfahrung berichten, dass dafür ein paar Hürden gelegt worden sind.Z.B. muss ein Rechenzentrum oder IaaS-Provider die Vorgaben des C5 des BSI erfüllen, damit die Bafin den generellen Betrieb in der Cloud erlaubt.
Die Bafin hat nach meinen Kenntnisstand die Ablehnung von Cloud-Anwendungen aufgegeben, als die ersten großen Startups im Finanz- und Versicherungsbereich und Ausgründungen der Konzerne gedroht haben, eine Zulassung in England oder den Niederlande zu beantragen, da dort die Regularien einen Betrieb in der Cloud erlaubt haben. Darüber hinaus hatten teilweise diese Startups weder das Personal noch die Geldmittel, eine eigene Infrastruktur gemäß den alten Vorgaben der Bafin hochzuziehen.
Es ist auch richtig, dass oft "die Cloud" das kleinere Übel im IT Bereich von Versicherungen und Banken ist. Teilweise sind die Strukturen der Dienstleister und Konzerne so verkrustet, dass eine kleine DDoS-Attacke weder abgefangen noch darauf reagiert werden kann.
Dem Bundesamt für Sicherheit in der Informationstechnik (BSI) wurden mehrere bestätigte Emotet-Infektionen in Behörden der Bundesverwaltung gemeldet. Die dabei kopierten Daten nutzen die unbekannten Angreifer derzeit dafür, um betrügerische E-Mails mit gefährlichen Dateianhängen oder Links im Namen mehrerer Bundesbehörden zu verschicken.
Besonders ermutigend auch dieses Statement:
"Cybersecurity ist ein Teamsport", erklärte Klaus Lenssen, Chief Security Officer bei Cisco. "Sicherheit ist ein Prozess und kein Zustand."Bei euch vielleicht nicht. Anderswo ist Sicherheit auch schon ein Zustand.
Die Webseite des zum BSI gehörenden Cert-Bund war verwundbar für sogenannte Cross-Site-Request-Forgery-Angriffe. Damit wäre ein Zugriff auf die nichtöffentlichen Sicherheitswarnungen des Cert möglich gewesen.
Das BSI war da bisher eher zurückhaltend und hat lieber gearbeitet als Terrorpanikmache herumzuschwadronieren, scheint sich aber jetzt unter dem Cyberclown auf BKA-Linie einzuschwingen von der Strategie her.
So erkennen sie Emotet (!) zum "König der Schadsoftware", die "auch in Deutschland besonders aktiv" sei (berufen sich dafür auch noch auf Kaspersky, die Könige der Cyberterrorpanikmache!). Auch Ransomware wird immer mehr und wird uns alle umbringen. Die Lage ist so schlimm, dass
In den Regierungsnetzen würden 61 Prozent der Cyber-Attacken "nur durch Eigenentwicklungen" der Behörde abgewehrt.Ja nee, klar. Ob sie damit sowas hier meinen?
Oh ach ja, unsere Identitäten werden uns auch in nie dagewesenem Umfang gestohlen, und das BSI bringt die Wortschöpfung der "digitalen Hilflosigkeit aufseiten der Anwender" in den Umlauf.
Ich sehe mich da ja eher als Teil der Aufklärung als der Vernebelung und propagiere daher eher den Begriff der selbstverschuldeten Unmündigkeit aufseiten der Anwender.
Nichts davon ist gottgegeben.
Aber wenn ihr alle Windows mit Outlook und Active Directory einsetzt, dann kriegt ihr halt auch alle die typischen Probleme von Windows mit Outlook und Active Directory. Da ist nichts magisch oder überraschend dran.
Wenn ich das BSI wäre, würde ich ja mal die eine Statistik anfertigen, die hier wirklich inhaltlich weiterhilft:
Oh ach, gucke mal, wie überraschend!!1! Also DAMIT konnte ja wohl NIEMAND rechnen! Aber lasst uns mal lieber darüber reden, wie fies, böse und gemein Emotet ist, und nicht darüber, wie fundamental wir unsere Arbeitsplatz nicht gegen Steinschlag abgesichert haben.
Ein Schelm, wer Böses dabei denkt!
Gut, die sonstigen Sponsoren sind bei solchen Veranstaltungen gerne Schlangenölbuden, insofern ist mir da Huawei sogar noch lieber. einer der Gold-Sponsoren hier ist Palo Alto Networks (ihr erinnert euch vielleicht).
Update: Eine der Keynotes ist von einer Abteilungsleiterin Cyberabwehr aus dem Verfassungsschutz, die da erzählen will, dass sie Cyber-Attribuierung machen (und implizit: dass man Cyber-Angriffe attribuieren kann). Das bestreite ich nachdrücklich.
Sehr unterhaltsam auch: Es gibt einen Vortrag von eyeo (die, die Adblock Plus gekauft haben und das an Schutzgeld erinnernde Geschäftsmodell darauf aufgebaut haben), dass "infizierte Online-Werbung" die kritische Infrastruktur bedroht. Da ist ja was dran, aber ... muss man das ausgerechnet die vortragen lassen?
Update: In der Keynote hat Prof. Pohlmann eine Folie mit den drei Lösungen für die Security-Zukunft: Blockchain, KI, Quantencomputer. Das ist genau die Inhaltsangabe meines "ist alles Unfug"-Vortrags. Hoffentlich nimmt das niemand persönlich, was ich da vorzutragen haben werde...
Update: Nebelwerfer-Euphemismus-Update: "cyber-aggressiven Fremdstaaten wehrhaft entgegen treten können".
Update: Oh wow, die Expertin vom Verfassungsschutz hat gerade öffentlich angesagt, dass Angreifer aus dem Ausland dafür ja auch übernommene Rechner in Deutschland benutzen. Wenn sie DAS verstanden haben im Verfassungsschutz, wie können sie dann noch "Zurückhacken" propagieren!? Ein beeindruckendes Ausmaß an kognitiver Dissonanz.
Update: Der nahtlose Übergang von "die Amis hacken im Iran" über "wir beobachten APT28" hin zu Guccifer ist ja schon irgendwie atemberaubend. Jetzt sind wir gerade bei "der Verfassungsschutz bekämpft Fake News", wenn ich das mal geringfügig umformulieren darf. Da braucht man nicht viel Fantasie, um sich auszumalen, gegen wen sich "Zurückhacken" in der Praxis richten wird.
Update: Krass jetzt kam ernsthaft noch der Spruch, defensive Security reiche ja nicht, weil die Leute ja immer nur gegen das verteidigen, was sie für die Fähigkeiten der Angreifer halten, und die Angreifer würden schon darauf achten, dass sie immer mehr können als die andere Seite glaubt. Lasst mich der erste sein, der euch sagt: Das ist Bullshit. Selbstverständlich verteidigt man auch und gerade gegen hypothetische Angriffsvektoren, bevor man weiß, dass sie konkret ausgenutzt werden können. Wer sich selbst informieren will, kann sich z.B. mal die Threat Models von TLS angucken, oder die BSI-Krypto-Empfehlungen.
Ich muss euch ja sagen, dass es mich mit einer gewissen Genugtuung erfüllt, dass sich der Schlangenöl-Begriff für Antiviren inzwischen so schön etabliert hat.
Eigentlich geht es aber bei GnuPG in Behörden gar nicht um Verschlusssachen sondern um normale Behördenkommunikation, z.B. Abgeben der Steuererklärung oder so. Aus der BSI-Zulassung folgt jetzt nicht, dass irgendeine Behörde Maßnahmen einleiten wird, um das zu unterstützen. Aber sie könnten.
Update: Leserbrief dazu:
Das Unternehmen, für das ich arbeite, hat praktisch nur Kunden im Bereich der BOS (Behörden und Organisation für Sicherheitsaufgaben). Zum einen muss man sagen, dass das Wort "zertifiziert" vollkommen falsch ist. Wir reden hier von einer "Zulassung". BSI Zertifizierungen sind was völlig anderes. Den Fehler macht leider auch heise.
Zudem ist diese Zulassung ein Meilenstein. Tatsächlich! Bisher durfte man nur via "CHIASMUS" verschlüsseln. Das ist ein EXTREM in die Jahre gekommenes Tool vom BSI, mit denen nur Dateien (bis max VSNFD) verschlüsselt werden konnten. Eine Email mit VSNFD sah dann halt so aus, dass man diese als TXT-Datei geschrieben, mit besagtem Tool verschlüsselt und als Anlage einer ansonst leeren EMail beigefügt hat. Nix Integration von Outlook. Nix Linux. Jeder, der VSNFD mit Behörden ausgetauscht hat, musste Windows einsetzen. Und an Chiasmus zu kommen ist gar nicht so einfach. Da wurden (OHNE SCHEIß!) CDs rumgeschickt.
Außerdem schreibst du, dass es für Steuererklärungen relevant werden kann. Auch das ist extrem unwahrscheinlich, denn die ist ja nicht VSNFD. VSNFD kann nur sein, wo eine Behörde eine Einstufung vorgenommen hat. Hier geht es um materiellen Geheimschutz.
Du schreibst zwar, dass VSNFD die "niedrigsten Stufe von Verschlusssache" ist. Aber eine Zulassung vom BSI zu bekommen für höhere VS-Grade im Bereich der EMail-Kommunikation übers Internet (wozu dieser Anwendungsfall nun mal gehört) ist praktisch nicht möglich. Hier kommen dann noch Sicherheitsanforderungen dazu, die keine Verschlüsselungssoftware erfüllen kann (außer 1-2 HDD-Encrypter). Auf der Liste der zugelassenen Produkte findest du dazu bspw. nix.
Demnach sollen künftig die Lieferanten der Netzbetreiber ihre Produkte unter Sicherheitsaspekten zertifizieren lassen und Sicherheitsgarantien abgeben. Diese Auflagen würden dann für alle gelten.Wie üblich in der Politik klingt das kraftvoll und agil aber ist tatsächlich bloß heiße Luft. Security-Zertifikate gibt es wie Sand am Meer. Die einzigen, die sowas wie eine Aussage haben, sind amtliche Zertifikate nach Common Criteria, die werden dann vom BSI zertifiziert und da gibt es verschiedene Abstufungen (die tatsächliche technische Prüfung führt aber auch das BSI nicht selbst durch sondern beauftragt damit andere). Das Spektrum geht von Bullshit-Blablah über Quellcode-Audits bis hin zu formaler Verifikation. Ich weiß aus zuverlässiger Quelle, dass solche Zertifikate nie verweigert werden, sondern bloß wie beim TÜV Bedingungen gestellt werden, die halt Zeit und Geld kosten, und so eine Zertifizierung braucht dann auch mindestens ein Jahr, so als Hausnummer. Es geht hier um 5G. Die Hersteller sind froh, bei 5G überhaupt was anbieten zu können. Keiner der Hersteller kann da formale Verifikation vorweisen.
Die eigentliche Schranke ist daher meinem Verständnis nach, dass man von Huawei verlangen würde, dass sie ihren Quellcode rausrücken, damit der ordentlich auditiert werden kann. Und in der Tat ist das für viele Branchen und Unternehmen direkt ein Ausschlusskriterium. Allerdings nicht für Huawei. Hauwei hat bereits mit den Briten und Australiern entsprechende Vereinbarungen unterschrieben, und die laufen auch schon seit vielen Jahren. Zwei der Five Eyes hatten also schon Zugriff, dann kann man das auch dem Rest der Welt zeigen. Und in der Tat erzählte mir heute ein Kumpel, dass Huawei in Brüssel ein Cyber Security Zentrum eröffnet hat, wo EU-Regierungen Einblick in den Quellcode nehmen können, und auditieren lassen, bis sie blau anlaufen.
Soviel also zur ersten Seehofer-Anti-Huawei-Forderung. Die ist damit ein Rohrkrepierer. Die zweite war: Sicherheitsgarantien abgeben. Da kann ich ja nur heiser lachen. Wer mein Blog schon länger liest, weiß, wie häufig ich hier aktuelle Cisco-Fuckups verlinke. Cisco ist besonders schlimm, aber die anderen Hersteller sind nicht so viel besser, dass sie ernsthaft Sicherheitsgarantien geben könnten im Sinne von "Sicherheitsschwankungen gibt es nicht, sonst haften wir". Das ist völlig illusorisch. Die kochen alle mit altem Spülwasser. Daher wird damit eher etwas gemeint sein wie "garantiert Updates innerhalb von diesem Zeitrahmen", und das kann Huawei natürlich genau so anbieten wie alle anderen. Das ist also auch ein Rohrkrepierer.
So und jetzt haben wir zwei Möglichkeiten. Entweder unser Horst ist zu blöde, um eine Formulierung zu finden, die Huawei wirklich ausschließt — ooooder unser Horst ist so schlau, den Amis eine Nebelwand-Formulierung hinzulegen, um die ruhigzustellen, damit dann doch alle Huawei kaufen (weil die preislich einfach mal die Hälfte der Konkurrenz aufrufen), und den Amis zu sagen, es tut uns leid, wir haben unser Bestes gegeben. Da bin ich gerade ein bisschen in der Zwickmühle. Ich würde mir natürlich gerne vorstellen, dass unser Innenminister schlau genug ist, die Amis so zu verarschen. Aber … der Seehofer?! Da fehlt mir gerade dir Vorstellungsgabe dafür.
Update: Noch ein Gedanke am Rande: Zertifizierung ist inhaltlich die Antithese zu agiler Softwareentwicklung. Eigentlich ist es schockierend, dass Hersteller das überhaupt mitmachen. Windows hat mal eine Zertifikation gekriegt, und das war dann unter praxisnahen Annahmen wie "hat kein Diskettenlaufwerk und keine Netzwerkkafte". Das ist lange her, sieht man ja schon an den Diskettenlaufwerken, die damals noch üblich waren. Ein Zertifikat ist natürlich wertlos und müsste neu gemacht werden, wenn die Software gepatcht wird. Aber wir patchen schneller als wir ein Zertifikat nachprüfen können. Insofern kann eigentlich grundsätzlich kein Softwareprodukt ein Security-Zertifikat haben oder gar damit werben, das den Namen auch verdient. Entweder das Zertifikat trifft zu, aber dann wurde die Software nicht mehr gepatcht seit dem und ist deshalb unsicher, oder es gab Patches aber dann zertifiziert das Zertifikat nicht die eingesetzte Version und ist damit hinfällig.
Update: Übrigens sei nochmal der Hinweis gestattet, dass wir bei Huawei keinerlei Unterlagen haben, die beweisen würden, dass Geheimdienste Hintertüren einbauen. Bei Cisco gab es solche Unterlagen in den Snowden-Unterlagen.
Update: Und noch eine Bemerkung am Rande: Hier geht es jetzt erstmal nur um 5G, aber bei der Verbreitung in existierenden Netzen (LTE z.B.) ist Huawei sehr stark. Man muss diesen Vorstoß der Amerikaner jetzt also so lesen, dass die den Fuß in die Tür kriegen wollen. Wenn die EU jetzt tatsächlich beschließt, dass Huawei nicht in unserer kritischen Infrastruktur eingesetzt werden darf, dann müsste man ja auch die alte Hardware aus den Racks reißen und durch andere Hardware ersetzen. Wir reden da von Milliardenkosten!
Update: Stellt sich raus: Huawei hat auch in Bonn schon seit November 2018 ein "Security Innovation Lab", wo sie dem BSI Quellcodeanalysen ermöglichen wollen.
Die Netzbetreiber und Bundesministerien haben sich grob darauf verständigt, dass alle Ausrüster künftig einer Zertifizierung und Offenlegung der Quellcodes unterliegen.Oh! Auf Github nehme ich an? Ich bin ja ein großer Fan von Open Source-Software. Hocherfreulich! Gut, das wird natürlich eine Götterdämmerung für die üblichen Anbieter, die sich bisher alle hinter ihren Betriebsgeheimnissen verstecken konnten.
Oh, was sagt ihr? Das wird gar nicht der Bevölkerung offengelegt sondern nur dem BSI und dem TÜV Süd? Ja gut, dann ist das natürlich für den Arsch. "Offenlegung", my ass.
Jedenfalls vergibt auch der Bundestag einen Medienpreis. Ich hatte von dem noch nie was gehört, aber angeblich gehört der zu den "renommierten Auszeichnungen für Journalisten". Ich als Journalist würde mich ja schämen, von einem staatlichen Organ gefeiert zu werden. Wie sieht das denn aus? "Du warst immer schön artig und unkritisch", so sieht das aus!
Aber das war nicht der Punkt. Der Punkt war: Don Alphonso ist in die Jury berufen worden. Und der Deutschlandfunk hat mal eine Umfrage unter den ganzen Leuten gemacht, die deshalb jetzt Hämorrhoiden gekriegt haben.
An dieser Stelle möchte ich mal Arne "Cyberclown" Schönbohm loben, den BSI-Direktor, der auf die gehässige Kritik zu seiner Ernennung genau richtig reagiert hat: Gar nicht. Wenn ein Politiker sich über irgendeinen Internet-Kritiker da draußen aufregt, dann ist das in erster Linie eine Aufwertung von dem Kritiker, keine Abwertung. Gut, Frau Roth ist jetzt noch nicht allzu häufig durch ihre Kompetenz aufgefallen, aber ich hätte gedacht, dass sie DAS verstanden hat. Wie lange ist die jetzt in der Politik? Gefühlt 40 Jahre? Und dann so ein Anfängerfehler? Meine Güte.
Irgendein selbsternannter Selbstdarstellungs-Experte findet sich auf Twitter immer, aber die Vizepräsidentin des Bundestags? Wow. Merkt die nicht, dass erst durch ihre persönliche Kritik der Don für Außenstehende satisfaktionsfähig aussieht?
Aber auch aus anderer taktischer Sicht ist das nicht sehr klug. Nehmen wir mal an, dass der Don da aus Proporzgründen hingeschickt wurde (ich habe da keinen Einblick, aber könnte mir das vorstellen), damit da überhaupt ein Konservativer in der Jury sitzt. Wenn dann die Roth meckert, dass der zu viele ihr nicht gefallende Dinge gesagt hat, bestätigt sie damit doch den Ernennern, dass sie den Richtigen für den Job gefunden haben!
Oder die spielen über Bande und die Roth ist super froh, dass da der Don sitzt. Könnt ihr euch ja selber überlegen, was ihr für die wahrscheinlichste Variante haltet.
Und sie ist auch echt alleine auf weiter Flur. Der Deutschlandfunk hat sicher nicht nur sie um eine Stellungnahme gebeten. Alle anderen waren schlau genug, sich nicht zu äußern.
Wer wählt eigentlich diese Grünen immer? Habt ihr nicht mitgekriegt, mit was für Personal die da "arbeiten"?
Update: Jan Böhmermann hat mich auch überrascht. Ich dachte nicht, dass der es nötig hat, persönliche Beleidigungen zu bringen. Never offend people with style when you can offend them with substance.
Oder anders gesagt: Was Peter über Klaus sagt, sagt mehr über Peter als über Klaus.
Update: Oder noch anders gesagt: Great Minds Discuss Ideas; Average Minds Discuss Events; Small Minds Discuss People.
„Das sind Fälle, bei denen sind hundert Prozent der Server und Computer des Netzwerks ausgefallen“, sagte ein BSI-Sprecher.Ja das ist wie bei Ericsson. So ein Ausfall passiert halt. Da ist niemand Schuld dran, nein, nein! Das ist wie schlecht Wetter, müsst ihr wissen! Das passiert, und dann ist niemand Schuld, und da muss man dann halt durch. Wir schaffen das!!1!
War ja von der Witzfigur nicht anders zu erwarten. Besonders geil:
Seehofer hielt dagegen, dass auf die aktive Abwehr von Attacken zumindest als Option nicht verzichten werden könne. Der Minister lobte dabei ausdrücklich die Arbeit des Bundesamtes für Sicherheit in der Informationstechnik. In der aktiven Cyberabwehr müsse der Bund, auch im Hinblick auf das Thema Künstliche Intelligenz (KI), noch besser werden.Oh, ach! Das BSI, sagst du, Horst? Im Kontext der Cyber-Offensive? Ach!
Immerhin muss man sich wenig Sorgen machen, dass die da Kompetenz aufbauen.
In der aktiven Cyberabwehr müsse der Bund, auch im Hinblick auf das Thema Künstliche Intelligenz (KI), noch besser werden.Die forschen in die falsche Richtung. Finde ich gut. Seehofer ist das McKinsey der Cyberkriegsführung. Der rüstet uns alle ab, indem er das gesamte Budget für Overhead und Bullshit verbrennt. Ein echter Pazifist, dieser Horst!
Ein Baustein dafür sei die vom Minister angekündigte neue Agentur für Innovation in der Cybersicherheit, die Forschungsprojekte zur Cybersicherheit fördern soll.*gacker*
Und Fließtext dann:
sagte BSI-Präsident Arne SchönbohmIs nich wahr!1!! Den kenn ich doch!
Der von Brancheninsidern als „Cyberclown“ verspottete Schönbohm liefert keinerlei Indikation für technische ExpertiseHach komm, Fefe, seit wann braucht man technische Expertise, um sich als Experte bezeichnen zu lassen?
Na siehste. Wie immer. Wie Arsch auf Eimer.
Update: Weiter unten im Artikel, habt ihr hoffentlich alle gesehen:
Jedoch müssten die Kunden IT-Sicherheit einfordern, sagte Schönbohm.
Das sagt der, der gerade verhindert hat, dass die eingeforderten sicheren Plasterouter stattfinden. (Danke, Markus)
Und da haben sie sich echt ins Zeug gelegt! Also gut, eher in die Jauchegrube.
Das Normenwerk sei "ein erster Schritt" für die Anwender, betont das BSI darin. Es handle sich um ein Instrument, auf dessen Basis "der Stand der Technik" fortgeschrieben und Router sicherheitstechnisch weiterentwickelt werden könnten.Ach so! Die wollten gar nichts verbessern. Die wollten bloß den beschissenen Zustand beschreiben! Damit … es besser werden könne. Von alleine, versteht sich. Schade eigentlich, dass wir keine Behörde haben, die sich um sowas kümmert. Oder zuständig wäre.
In der Richtlinie "einen bestimmten Zeitraum festzuschreiben, in dem die Hersteller Sicherheitsupdates bereitstellen müssen, erzeugt nicht automatisch mehr IT-Sicherheit", heißt es in Bonn. Es sei sinnvoller, wenn die Gerätefabrikanten diese Spanne "dynamisch kommunizieren" könnten, statt sich frühzeitig "zu Lasten der Kunden" auf eine Periode festzulegen.In welchem Paralleluniversum leben die denn da eigentlich? In einem, offensichtlich, in dem Hersteller eh schon 20 Jahre Support liefern, und wenn das BSI jetzt 5 Jahre fordert, dann gehen dem armen gebeutelten Kunden die anderen Supportjahre verloren!1!!
Zu Lasten der Kunden. Ich leg mich flach.
Die von den Hackern ins Spiel gebrachte Option, alternative freie Firmware wie OpenWrt auf den Netzwerkgeräten installieren zu können, bietet nach Ansicht der Behörde "keinen pauschalen Sicherheitsgewinn".Nee, nur in 99,9% der Fälle. Aber hey, liebes BSI, daher war das ja auch als "das muss gehen" formuliert, nicht als "die müssen das damit ausliefern". Der eine hypothetische, bisher noch nicht wissenschaftlich dokumentierte Fall, in dem ein Hersteller eine Firmware ausliefert, die besser als openwrt ist, in dem hat der CCC nicht vorgeschlagen, dass da openwrt rübergeprügelt werden muss.
Unabhängig davon könne alternative Software genutzt werden, nachdem sie vom Hersteller bestätigt worden sei.Und wieder so ein absurder Konjunktiv. Wenn die Hersteller das täten, hätte der CCC das gar nicht als Forderung formulieren müssen!
Grandiose Idee! Alles, was wir jetzt noch brauchen, ist ein Weg, wie wir erkennen, ob ein Router sicher ist!
Oh ich habe eine Idee! Freiwillige Selbstkontrolle! Wie beim CE-Logo! Die Hersteller verpflichten sich einfach, das ab jetzt alles richtig zu machen, und dann dürfen sie das Logo aufdrucken. Fuck yeah! Ein weiterer erfolgreicher Arbeitstag für BSI-Chef Arne Schönbohm!
Update: Mehr Details zu der Router-TR gibt es bei Golem. Erster Punkt: Die Hersteller müssen das Mindesthaltbarkeitsdatum (bis wann es garantiert Updates gibt) nicht auf die Verpackung drucken. Weil, äh, wo kämen wir da hin. Wir wollen ja hier nichts wirklich verbessern. Wir wollen nur sagen können, wir hätten uns gekümmert.
Ja gut, denkt ihr euch jetzt bestimmt, das muss man ja auch nicht auf die Verpackung drucken, wenn eh 5 Jahre vorgeschrieben sind oder so.
Wie bereits von Schönbohm Anfang Oktober bestätigt, macht die TR keine zeitlichen Vorgaben für einen Mindestsupport.
Natürlich nicht! Das wäre zu einfach! Sie müssen nicht mal alle Sicherheitslücken schließen, nur die mit CVSS-Wert größer 6. Das heißt, dass sich Hersteller in der Praxis mit Diskussionen über die Schwere und Exploitbarkeit von Bugs jahrelang aus der Verantwortung stehlen können und dann ist verjährt. Tolle Wurst, liebes BSI! Oder, wie mein Kumpel Frank das formuliert hat:
Damit erfüllt das BSI offenbar eine Forderung der Hersteller. Nach Angaben von Frank Rieger, Sprecher des Chaos Computer Clubs (CCC), sagten einige Hersteller zum Thema Mindesthaltbarkeitsdatum in den Beratungen der BSI-Arbeitsgruppe: "Wenn wir das draufschreiben, dann ist der Verkauf dieser Router ja nicht mehr wirtschaftlich."
JA DANN BAUT LIEBER GAR KEINE ROUTER! Die Verbraucherzentralen hatten übrigens kostenfreie Sicherheitsupdates für die gesamte tatsächliche Nutzungsdauer digitaler Produkte gefordert. Daraus ist natürlich nichts geworden. Wir machen hier schließlich Wirtschaftsförderung und in der Politik geht es um Arbeitsplätze. Und nichts schafft so sicher Arbeitsplätze wie wenn die Kunden alle paar Monate alles neukaufen müssen, weil die Hersteller keine Updates zur Verfügung stellen. Gut, die Arbeitsplätze schafft das in China, nicht hier, aber wollen wir mal nicht päpstlicher als der Papst sein!
Der CCC hatte noch gefordert, dass man als Kunde auch eine eigene Firmware einspielen können muss. Das ist natürlich auch ignoriert worden.
Besonders peinlich für das BSI:
Als mögliche Absicherung der Konfiguration werden "One-Time-Pads (OTP)" vorgeschlagen.
Da werden alle Vorurteile vollumfänglich bestätigt.
Das ist natürlich kompletter Bullshit. Die wollen nicht Cyber-Security. Die wollen Offensiv-Cyber. Die wollen 0days kaufen, nicht um die Lücken zu schließen, sondern um die Lücken auszunutzen. Die wollen Trojaner bauen, um ihre Bürger verdeckt zu beschnüffeln.
Woher ich das weiß? Weil diese tolle neue Agentur eine Kooperation von Verteidigungsministerium und Innenministerium ist. Das sind genau die beiden Ministerien, die Angriffe machen. Wenn das was mit Verteidigung zu tun hätte, hätten sie die Kohle einfach dem BSI geben können. Haben sie aber nicht.
Insofern glaubt da mal kein Wort von dem Gefasel von wegen Abwehr von Angriffen.
Nicht dass das BSI noch viel Glaubwürdigkeit hätte, seit sie in die Bundestrojaner-Geschichte eingespannt wurden. Aber es ist jedenfalls noch deutlich mehr Glaubwürdigkeit übrig als bei Flinten-Uschi und Heimat-Horst.
Update: OMFG, die Behörde heißt "Agentur für Disruptive Innovationen in der Cybersicherheit und Schlüsseltechnologien (ADIC)". Ich leg mich flach! Das klingt, als hätte sich der CCC das als Satire ausgedacht! Das Forschungsministerium toppt das noch beim Versuch, "disruptive Innovation" zu übersetzen. Raus kam: Sprunginnovation. Heiliger Bimbam, wie schlecht ist DAS denn!
Ich finde es wichtig, noch was für Empathie zurückzuhalten, nicht alles schon für Selbstmitleid ausgegeben zu haben.
Money Quote:
Er sei mithilfe eines sprachkundigen Beamten befragt worden, sagte Brück. Der Polizei ging es um die Frage, ob der Afghane sein verdächtiges Aussehen „bewusst herbeigeführt hat“, oder ob sich selbst gar nicht als verdächtig wahrgenommen hat. Nach derzeitigem Stand gehen die Ermittler der PI Süd davon aus, dass der 20-Jährige den Einsatz unbewusst ausgelöst hat.Nicht nur auf den Boden geworfen mit vorgehaltener Waffe und nicht entschuldigt, jetzt fragen sie auch noch, ob er ABSICHTLICH verdächtig war.
Golem hat mal beim BSI einen Informationsfreiheitsantrag gestellt und die haben ihm die Studie geschickt — aber sie dürfen sie nur lesen, nicht veröffentlichen.
Sehr ärgerlich ist aus meiner Sicht auch dieses Detail hier:
Das BSI bestätigte uns, dass es die Ergebnisse nicht an die Entwickler der anderen Bibliotheken weitergegeben hatDie anderen sind LibreSSL und NSS. Und um das hier ging es:
So gibt es etwa Hinweise auf Compilerwarnungen und eine Einschätzung, wie schwerwiegend diese sind, außerdem eine Auflistung von Fehlern in den State Machines der TLS-Handshake-Implementierung und Hinweise, an welchen Stellen der Code besser gegen Timing-Angriffe geschützt werden sollte.Ja, äh, was sprach denn da bitte dagegen, das den Projekten mitzuteilen?! Bei Botan haben sie ja nicht nur Bescheid gesagt sondern sogar Patches hingeschickt!
Das hinterlässt ja einen noch schlechteren Nachgeschmack als vorher, und das war vorher schon nicht gut. Wow, BSI, das war ja mal ein echter Rückschritt. Habt ihr schon aufgegeben? Glaubt ihr, euch glaubt eh nie wieder jemand was? Gut, könnte was dran sein, zumal mit dem Cyberclown jetzt. Tja.
Nun, wie sich rausstellt wollten die Hacker gar nicht in den Bundestag. Die wollten an die Fluggastdaten.
Nach Informationen des SPIEGEL gab es einen weiteren Hackerangriff auf eine Bundesbehörde: Er traf das Bundesverwaltungsamt, wo am Donnerstag das "Passenger Name Record System" (PNR) für die Übermittlung von Fluggastdaten abgeschaltet werden musste.Ich warte ja immer noch auf die Liste der durch Fluggastdatenweitergabe verhinderten Terroranschläge.
Update: Das ehemalige Nachrichtenmagazin hat die Story zurückgezogen. Das System ist zwar immer noch im Notaus, aber nicht wegen der Russen sondern wegen eines Penetrationstests des BSI. Mit anderen Worten: Es war so unsicher, dass sogar das BSI was gefunden hat.
Es gab da z.B. einen Talk zu Owasp und deren Top 10, und der verbrachte gefühlt die erste halbe Stunde damit, dass die Top 10 ja völlig überbewertet und von der Werbung irgendwelcher Unternehmen missbraucht werden, dass das keine Pentest-Checkliste sei und nicht für Compliance gebraucht werden dürfe — und dann berichtete er darüber, wie sie da Streitereien haben zu den neuen Top 10, wie es da einen Entwurf gab, wo ein Punkt "du sollst Schlangenöl kaufen" eingefügt wurde. Anscheinend auf Betreiben von jemandem, der "privat" diese Liste maintaint und dann beruflich das geforderte Schlangenöl vertreibt. Das war mir alles neu, aber ich stalke jetzt auch nicht Owasp hinterher, die interessieren mich ehrlich gesagt nicht so stark. Aber jetzt zeigt er den neuen Entwurf, und da ist CSRF nicht mehr drin (nach wie vor eines der größten echten Probleme für Webapps, aus meiner Sicht, das viele viele Leute nicht verstanden haben, die Webapps bauen). Dafür ist da "du sollst Schlanenöl zum Monitoring und Alerting kaufen" drin. Tja, Owasp, ein Wort mit X. Das war wohl nix.
Was hab ich noch gesehen? Oh ja, "Sichere Softwareentwicklung - Anforderungen und Vorgehensweisen". Das war erst eine ewig lange Liste von "ALLE WURDEN GEHACKT! ALLE!!!", eine halbe Stunde "Wir werden alle störben" pur. Und als sie dann ein paar Maßnahmen empfahlen, machten wir ein Trinkspiel daraus und mein Kumpel Daniel drehte dann eine Siegerrunde, als er korrekt "gleich pluggen sie die SDL" vorhersagte.
Ich muss dazu sagen, dass ich relativ hohe Ansprüche habe bei Vorträgen, wenn es darum geht, was man da jetzt konkret mitnehmen kann. Und das fehlte hier bei vielen Talks. Ein paar Links auf Dinge (ich erinnere mich an drei Talks, die auf die Owasp Top 10 verwiesen, die der Owasp-Talk gerade dafür gedisst hatte). Ja, äh, wenn ich Links hinterherlaufen wollte, hätte ich mir den Vortrag nicht angucken müssen. Das Problem hatten viele Talks. Gut, die Materie ist ja auch komplex, aber das Argument kann ich nicht gelten lassen, wenn die erste Hälfte des Talks mit Platitüden und Einführungs-Blablah verplempert wird.
"Security im Entwicklerteam" habe ich auch geguckt, aber da fehlten mir auch so ein bisschen die "was machen wir denn jetzt"-Folien. Konkrete Dinge, die man jetzt tun kann, den Schritt geht irgendwie kaum jemand. Und ich meine jetzt nicht "hier ist ein Wiki, klick da mal rum". Besonders krass fand ich einen Talk am 2. Tag, bei dem es um Automatische Code-Scanner ging, und "was die Hersteller Ihnen nicht sagen werden". Da hätte ich konkrete Beispiele erwartet, mindestens aber ein paar lustige Anekdoten. Stattdessen kam unkonkretes "die versprechen viel und halten das dann nicht" (NEIN! Hold the presses!!) und "wenn Sie das genauer wissen wollen, dann holen sie sich mal die Eval-Versionen, nehmen Sie sich jeweils ein paar Tage Zeit, und testen Sie die gegeneinander". Äh, das wollte ich gerade nicht machen sondern mir hier die Ergebnisse abholen!
Am 2. Tag morgens gab es einen Vortrag, der mir vergleichsweise wichtig war. Da erzählten nämlich zwei Leute von Rohde & Schwarz von dem Projekt "Analyse und Auswahl einer allgemeinen Kryptobibliothek". Der Talk war mir wichtig, weil das Projekt für das BSI ist. Das BSI hat ja ein paar Glaubwürdigkeitsprobleme bei Kryptofragen, seit sie sich in die Bundestrojaner-Begutachtung haben verwickeln lassen. Insofern gut und richtig, das an eine externe Organisation rauszugeben. Aber Rohde & Schwarz ist an der Stelle eine zumindest aus meiner Sicht nicht viel glaubwürdiger aufgestellte Firma, die mir unter anderem als Lieferant von IMSI-Catchern für "Bedarfsträger" untergekommen ist bisher. Das ist keine gute Basis für das Erarbeiten einer unabhängigen Empfehlung für Krypto-Libraries. So und das Ergebnis von diesem Projekt war jetzt, dass sie Botan gewählt haben — eine Library mit einem Marktanteil von vielleicht 1% im TLS-Segment, von der kaum jemand überhaupt gehört hat. Ich habe mir bei Botan mal den Code angeguckt und der war jetzt nicht schlecht oder so, aber das ist ein krasser Außenseiter, und in Benchmarks ist deren Code schonmal nur halb so schnell wie der von OpenSSL. Meine Erfahrung ist, dass schon 5% Performanceunterschied reichen, um jemanden doch zu OpenSSL greifen zu lassen, wenn der bloß eine Ausrede suchte, wieso er bei OpenSSL bleiben soll. Das ist also alles schon mal nicht so gut, sowohl aus technischer als auch aus politischer Sicht. Ich hätte erwartet, dass die die Zeit nutzen, um mal so richtig knallhart inhaltlich zu zeigen, welche Kriterien ihnen wichtig waren und warum sie so entschieden haben, um jeden Geruch von Foul Play auszuschließen. Stattdessen kam ein Halbsatz dazu. Sie haben intern ein Punktesystem erarbeitet und nach dem sind sie gegangen. Ja, äh, das hilft mir jetzt nicht weiter. Das riecht jetzt nicht besser als vorher. Eines der Argumente gegen OpenSSL war, dass das API so schlimm ist. Ungefähr 20 Minuten lang haben sie dann Beispiele gezeigt, wie man in Botan Dinge tut, aber nicht Dinge wie "TLS-Verbindung aufmachen, Certificate Pinning anschalten" — nein, Dinge wie "SHA256 von diesen drei Bytes hier machen. Ja, äh, das geht auch in OpenSSL mit nur ein paar Zeilen Code. Das große Argument für Botan ist, dass es vergleichsweise wenig Code ist (im Vergleich zu OpenSSL). Allerdings kommt der viele Code in OpenSSL u.a. davon, dass sie für performancekritische Primitiven Assembler-Implementationen für ein Dutzend Plattformen haben. Und nicht nur für Performance ist Assembler wichtig, auch für das Vermeiden von Seitenkanälen. Wie da die Situation bei Botan ist, haben sie zwar gesagt, dass sie das getestet haben und was in einem Padding-Verfahren gefunden haben, aber was ist mit den anderen Verfahren? Die elliptischen Kurven, das RSA?
Zur Ehrenrettung der Vortragenden muss man aber sagen, dass die a) für eine Tochter von Rohde & Schwarz arbeiten, die die dazugekauft haben, und b) nicht den Eindruck erweckten, sie seien jetzt fiese Geheimdienstler, die unser Krypto schwächen wollen. Aber ausgeräumt haben sie den Verdacht halt auch nicht.
Mir tun die Leute beim BSI und bei dieser R&S-Tochter durchaus leid, versteht mich nicht falsch. Viele wenn nicht alle von denen meinen das sicher alles total gut, und werden jetzt völlig zu Unrecht verdächtigt.
Ich habe so ein bisschen den Eindruck gewonnen, dass ich mal einen Vortrag über Threat Modeling halten muss. Das ist gerade voll im Trend, und die meisten, die das machen, haben gar nicht verstanden, warum man das macht.
Das war dann für mich auch schon die Veranstaltung, danach kam meine Keynote und nach der bin ich ziemlich direkt in den Zug gestiegen, damit ich auf der Fahrt nach Berlin nicht komplett im Dunkeln fahren muss.
Update: Dirk, der den Owasp-Talk gemacht hatte, schreibt mir gerade, dass das nicht als Schlangenöl-Kaufen-Paragraph gemeint ist, auch wenn ich das so deute. Sie hätten extra auch Open Source erwähnt. Nun, mit Schlangenöl meine ich "verspricht Dinge, die es nicht halten kann", nicht "kostet Geld". Schlangenöl kostet natürlich im Allgemeinen auch Geld, ja, aber es gibt auch Open Source Schlangenöl. Ich finde es halt anstößig, erst die Formulierung von "wichtigste Angriffe" auf "wichtigste Risiken" zu ändern, um dann in der nächsten Runde "Reaktives Security-Produkt $XY nicht installiert" als Risiko hinzuschreiben. Das geht aus meiner Sicht gar nicht. Na mal gucken, ist ja bisher noch ein Release Candidate, vielleicht fliegt das ja auch noch raus.
Ich glaube, ich habe meine Position zu Zertifizierungen schon geäußert über die Jahre. Ich halte das im Wesentlichen für Geldschneiderei.
Das Argument für Zertifikate ist, dass es den Vendor dazu bringt, mal ordentliche Prozesse zu installieren.
Allerdings würde ich lieber bei jemandem kaufen, der 200k in gute Prozesse investiert, als in jemanden, der 100k in Prozesse investiert und 100k für Zertifizierungs-Bullshit ausgibt. Und, mal ganz zurückhaltend und vorsichtig formuliert: Die Existenz einer Zertifizierung ist kein Garant dafür, dass die Prozesse a) gut und b) gut umgesetzt wurden.
Zertifizierungen sind eine Mitesser-Branche, die sich an ansonsten profitable Branchen anhängt und deren Profite absaugt. Genau wie Anwälte :-)
Aber es gibt eine geradezu irrationale Hochachtung für Zertifikate, gerade in Deutschland. Vielleicht taugt dieses Beispiel, um da mal ein bisschen die Luft rauszulassen. Wer pfuschen will, wird auch zukünftig pfuschen, ob mit oder ohne Zertifikat. Und viele Zertifikate belegen nur die Existenz von Prozessen, nicht von guten oder sinnvollen Prozessen.
Beispielhaft für die pseudoreligiöse Verehrung von Zertifikaten sei hier mal die Pressemitteilung von Yubico verlinkt, als sie ansagten, dass sie aus Sicherheitsgründen (!) keine Open Source-Firmeware mehr verbauen wollen, sondern nur noch zertifizierte Qualität wie das Zeug von Infineon. (via)
Update: Das ist sogar noch ein bisschen peinlicher, denn die Prüfung war nicht vom BSI sondern von TÜV IT. Das BSI hat das dann abgestempelt. (Danke, Benjamin)
Ja, WLAN ist jetzt unsicher, aber das Internet hinter dem WLAN ist schon die ganze Zeit unsicher.
Ja, jemand könnte jetzt euer lokales WLAN angreifen und eure Daten abgreifen. Aber wir wissen, dass die Geheimdienste schon die ganze Zeit im Internet eure Daten abgreifen, und Facebook und Google und die Werbenetzwerke verkaufen eure Daten auch weiter.
Onlinebanking und -shopping findet heute verschlüsselt statt (wenn nicht, dann ist das auch ohne WLAN-Lücke ein Riesenproblem und ihr solltet euch schlecht fühlen). Das Angriffsszenario, das mit der Verschlüsselung verhindert werden soll, ist genau, dass jemand den Traffic mitlesen oder manipulieren kann.
Also lasst euch mal jetzt nicht verrückt machen. Und beruhigt eure Eltern. :-)
Update: Das war eine Reaktion auf die BSI-Empfehlung, jetzt erstmal kein Onlinebanking mehr zu machen und nichts online einzukaufen. Das ist eine ziemlich sinnlose Empfehlung.
Viel sinnvoller wäre es, die Leute zu warnen, dass sie an ihrem Windows jetzt das WLAN von „ist ein privates Netz“ auf „öffentliches Netz“ umstellen sollten, bis das geklärt ist. Und wer zuhause ohne Passwort und Krypto auf beispielsweise ein NAS zugreift, der könnte sich eventuell Sorgen machen. Oder Drucken ist auch so eine Sache, die im Netz häufig unverschlüsselt abläuft.
Aber es kam ganz anders. Die Verbracherzentrale sagte, es ist ganz furchtbar und wir müssen was tun. eco sagte, das sei alles nicht so einfach. Das BSI sagte, sei arbeiten an einem Bouquet aus Maßnahmen, erstmal dieses Gütesiegel. Dann einigte man sich darauf, dass Gütesiegel kein gutes Wort sei, denn das drücke ja eine über das Minimum hinausgehende Qualität aus, und das sei ja eher eine Mindestanforderung. Dann verwies das BMWi darauf, dass Deutschland nicht einfach neue Mindestanforderungen aufstellen könne, das sei mit CE abschließend reguliert (ich fügte im Geiste hinzu: im Übrigen wäre das ja auch ein Markthemmnis und wir haben ja gerade CETA mit Kanada unterschrieben). R&S meinte, also ihre Produkte seien ja soweit alle sicher, und sie würden auch Updates zur Verfügung stellen. Also unter der Voraussetzung, klar, dass der Kunde einen Supportvertrag und ein SLA abgeschlossen hat. Versteht sich ja von selbst. Einer aus dem Publikum sprach Produkthaftung an, woraufhin glaube ich Schönbohm meinte, das ginge ja gar nicht, weil dann stünden ja die Verbände sofort auf der Matte und würden sagen, das ginge ja GAR nicht.
Ich kam aus dem Brechreiz gar nicht heraus. Was für eine Farce. Also erstmal: Wieso interessiert das irgendjemanden, was die Verbände zum Thema Produkthaftung finden? Wir fragen ja auch nicht den Verband der Skinheads, ob das strafbewehrt sein sollte, wenn man Ausländer aufklatscht!? WTF!?!?
Zweitens: Dass wir überhaupt über Updates reden, das ist schon ein freundliches Zugeständnis. Eigentlich ist die Idee, dass die Produkte ordentlich in den Handel kommen. Wenn sie das nicht tun, dann hat der Hersteller drei Mal Gelegenheit zum Nachbessern (und zwar mit Hinschicken, Hersteller zahlt Porto, Reparatur, Rückschicken, Hersteller zahlt Porto!) und wenn das dann nicht klappt, dann Geld zurück. Wir haben uns schon völlig ohne Not auf "Hersteller schickt mir ein Update und ich fresse die Kosten für Updaten" runterhandeln lassen. Und das Limit auf drei Versuche fürs Nachbessern, davon redet auch keiner bei Updates. Warum eigentlich nicht?
Während mir diese Gedanken durch den Kopf gingen, meinte jemand, man könne ja mal fordern, dass die Hersteller, wenn sie nicht mehr Updaten wollen oder "können", dass sie dann den Scheiß der Community übergeben, und die kann das ja dann machen. Ja, äh, nee, fuck you, liebe Industrie! Das ist eure verdammte Verantwortung! Externalisiert jetzt mal nicht auch noch den Support an eure Kunden! Was kommt als nächstes? Das BSI soll das machen, der Steuerzahler trägt die Kosten? Unfassbar.
So weit sind wir hier schon devot in die Bittsteller-Duldungsstarre verfallen.
Ich war jedenfalls stinksauer. Und hatte dann auch keine Zeit mehr, um noch peinliche Fragen zu stellen, weil ich zum Zug musste.
Vor diesem Podium war noch ein anderes Podium, das relativ prominent angekündigt wurde, mit dem Titel "War Stories", lauter Leute aus der AV-Industrie erzählen Geschichten. "Was der Security-Spezialist noch seinen Enkeln erzählt". Da hatte ich mir einiges von versprochen, aber es war dann ziemlich schlecht. Lauter so "Ja also UNSERE Software hat ja 500.000 Menschen vor $VIRUS geschützt!1!!". "Also wir haben ja diesen einen Typen hinter Gitter gebracht". "Wir haben diese großartige neue Voodoo-Technologie entwickelt, die schützt total super". Hätte ich mir auch sparen können, war eher Dauerwerbesendung. Ich habe dann noch versucht, mit einem Verweis auf Google Project Zero ein bisschen Unfrieden zu stiften, was augenscheinlich auch 6 von 8 Podiumsteilnehmern triggerte und die mussten dann ihren Drang zur Gegendarstellung zu meinen fiesen Unterstellungen befriedigen. Aber unter dem Strich leider auch eine vertane Chance.
Finally, this attack provides yet another example of why the stockpiling of vulnerabilities by governments is such a problem. This is an emerging pattern in 2017. We have seen vulnerabilities stored by the CIA show up on WikiLeaks, and now this vulnerability stolen from the NSA has affected customers around the world. Repeatedly, exploits in the hands of governments have leaked into the public domain and caused widespread damage. An equivalent scenario with conventional weapons would be the U.S. military having some of its Tomahawk missiles stolen.Ganz langsam, Microsoft.Wer ist Schuld, dass es diese Lücke gibt? Ihr. Microsoft.
Wer ist Schuld, dass die Lücke jahrelang in der Codebasis verblieb? Ihr. Microsoft.
Die NSA hat die Lücke gefunden und nicht gemeldet. Ja. Sie haben sie absichtlich offen gelassen. Aber da könnt ihr nicht drauf zeigen, um die Schuld loszuwerden. Der Gaffer ist nicht am Auffahrunfall auf der Autobahn Schuld.
Ich sehe hier einen Hauptschuldigen und einen Nebenschuldigen. Der Hauptschuldige ist Microsoft, weil ihr die Lücke in den Code getan und jahrelang nicht gefunden habt. Ihr habt ein schlechtes Produkt ausgeliefert. Wenn hier jemand ganz klein mit Hut sein sollte, dann ihr.
Der Nebenschuldige ist der Endanwender, der seine Software nicht gepatcht hat. Und kommt mir nicht mit "aber aber in großen Unternehmen". Bullshit. Ein großes Unternehmen, das Patches nicht sofort einspielt, ist an den Folgen Schuld. Jeder hat immer irgendwelche Ausreden. "Aber wir mussten erst gucken, ob der Patch tut". Nein, musstet ihr nicht. Kein abzuwendendes etwaiges Problem durch einen Patch ist so schlimm wie Remote Code Execution mit Kernel-Privilegien. Nichts. Schaut mir in die Augen. Nichts. Nichts ist so schlimm. Wenn so ein Patch rauskommt, dann spielt ihr ihn ein. Fertig. Keine Diskussion. Kein Zurückhalten. Ihr spielt ihn ein. Sofort. SOFORT.
Und im Übrigen, wenn ihr da ausgelaufene Windows-Versionen ohne Support fahrt, dann gibt es genau niemanden, auf den ihr zeigen könnt. Das ist ein Risiko, das ihr sehenden Auges eingegangen seid. Das jetzt ist die Quittung. Ich habe NULL Mitleid.
Oh und wenn ihr das antike Windows einsetzt, weil es auf einem antiken 3rd-Party-Produkt ist, für das ihr keine Patches mehr kriegt, dann könnt ihr dafür auch sonst niemandem die Schuld zuschieben. Das Risiko hättet ihr halt nicht eingehen dürfen. Ich schlage vor, dass ihr jetzt zu dem Hersteller des 3rd-Party-Produktes geht und euch zivilrechtlich gütlich haltet. Das wird alles immer nur noch schlimmer werden, solange ihr diesen Teufelskreis nicht durchbrecht.
Man hörte in letzter Zeit häufiger von irgendwelchen Spektroskopen an Unis, von Steuersoftware für Großmaschinen. Na dann hängt die halt nicht ans Netz. Wenn die Funktionalität ohne Netzzugang nicht nutzbar ist, dann hättet ihr die halt nicht kaufen dürfen, ohne euch zu versichern, dass da für Sicherheit gesorgt ist.
WER SOLL DENN BITTE DEN DRUCK AUF DIE HERSTELLER AUSÜBEN, WENN NICHT IHR?! Das BSI?! Harr harr harr.
Sorry, aber mir platzt echt der Kragen bei sowas. „Alle sind Schuld, nur ich nicht.“ Das ist das Gegen-Muster zu „Alle sind doof, nur ich nicht.“ bei Schlangenöl.
Fehlt nur noch die CIA und die Russen und die Chinesen zu einer zünftigen Verschwörungstheorie! Amateure!
im Nachgang zum vorweihnachtlichen Blog-Aufreger und den zahlreichen Referenzen in den CCC-/Fnord-Jahresrückblicken hatte ich Frank auf dem Flur noch eine Nachreichung zum verwendeten DAF-Klassifizierungsschema versprochen.Vielen Dank an der Stelle an das BSI, dass sie mir das geschickt haben.Bei der Erstellung unserer Security Advisories verwenden wir das, zugegebenermaßen von einem recht übersichtlichen Nutzerkreis verwendete, "Deutsche Advisory Format".
Da das spezifische Risiko einer Schwachstelle letztlich nur vom Systeminhaber abgeleitet werden kann, ist ein zweistufiges Verfahren vorgesehen. In einem ersten Schritt wird über das beschriebene Verfahren zunächst aus der Kenntnis über Status und Ausnutzbarkeit einer Schwachstelle, sowie dem möglichen Schaden eine klientel-unabhängige Risikostufe berechnet. Das Format sieht dafür 5 Stufen vor (1 - sehr gering bis 5 - sehr hoch). Die errechnete Risikostufe wird in allen unseren Advisories verwendet. Basierend darauf kann der Empfänger in einem zweiten Schritt die spezifische, von der Anwendungsumgebung abhängige Eintrittswahrscheinlichkeit ermitteln und ggf. für die Priorisierung seines Patchmanagements verwenden.
Eine umfassendere Beschreibung des Formats findet sich inzwischen hier: https://www.cert-bund.de/risk
Konkret für die Netgear Schwachstelle heißt das:
Die Summe aus der Veröffentlichung eines Exploits (1) und die Möglichkeit einer automatischen Verbreitung (2) ergibt zunächst eine "hohe" Dringlichkeit.
Die Summe aus der entfernten Ausführbarkeit (3) von beliebigem Programmcode mit Adminrechten ("Systemübernahme") (4) ergibt weiterhin ein "sehr hohes" Schadenspotenzial.
Die Summe aus hoher Dringlichkeit und sehr hohem Schadenpotenzial ergibt dann die Risikostufe "sehr hoch".Ich hoffe, das Konzept wird damit einigermaßen verständlich.
In den "CERT-Bund Kurzinfos" finden sich diese für das Verstehen recht wichtigen Details, in den "BSI für Bürger - Sicherheitsinfos" werden diese allerdings bislang bewusst ausgeblendet.
Wir planen derzeit die Risikobewertung unserer Meldungen durch CVSS zu ergänzen. Hier besteht allerdings die ergänzende Herausfordung, bei Schwachstellen mit ungenauen Herstellerangaben zur Auswirkung einen "sinnvollen" CVSS-Wert anzugeben.
Denn: Das BSI ruft "Risikostufe 5" aus.
Ich finde zwar gerade keine Erklärung dafür, welche Stufen es gibt und ob 5 gut oder schlecht ist, aber ich denke mal, es ist allen klar, dass die Lage außerordentlich ernst sein muss, wenn das BSI überhaupt Risikostufen öffentlich verkündet.
WIR WERDEN ALLE STÖRBEN!!1!
durch das IT Sicherheitsgesetz ist nahezu der gesamte Mittelstand in heller Aufregung seit nun 1,5 - 2 Jahren und sucht händeringend "BSI zertifizierte Sicherheitsanbieter" um in diversen Audits von Wirtschaftsprüfern o. ä. irgendwelche Zertifikate vorzeigen zu können, dass sie auch wirklich "sicher" sind - genau das wird zur Zeit gefragt.Ich bin ja nicht zertifiziert und kann mich auch nur an eine Anfrage erinnern, wo jemand ein "Pentest-Zertifikat" angefragt hat. Ich habe dann zurückgeschrieben, was für ein Zertifikat ihm denn da vorschwebt, und er schickte mir die URL von irgendeiner Kali-Linux-Showbiz-Bude (die halt rumtourt und "live hacking" vorführt). Ich schrieb zurück, dass der Typ, der diese Bude gegründet hat, mehrere Jahre weniger im Geschäft ist als meine Firma :-)Da in meiner Firma z. B. niemand den Kopf hinhalten wollte CISO (Chief Information Security Officer) zu werden, hatte mein Chef (IT Leiter) die glorreiche Idee, mich (ehem. sehr schlechter Java 'Programmierer', Linux Nutzer, nun IT-compliance Beauftragter und kleinster und billigster IT-Abteilungsleiter in der Firma) kurzerhand per Dekret zum CISO zu ernennen… Ich habe dann zwangsweise einige Verkaufsveranstaltungen besuchen müssen - bei HP, bei der Telekom, usw… das lief dann immer so ab, dass sie dort irgendein Subunternehmen engagiert hatten [alienvault oder so ähnliche], die dann "Livehacks" mit einem Kali-Linux vorgeführt haben und dann gezeigt haben, wie ihre Standard-Linux-Tools mit bunter neuer grafischer Oberfläche und variablem Firmenlogo als gemietete on-premise Lösung hinter der Firmenfirewall (!) das erkennen können und Alarm schlagen. Sie selbst bieten dann 24/7 Support und <30 min Reaktionszeit - der den Mittelstand dann (Zitat) "12 Vollzeitstellen" kosten würde, was sich niemand leisten kann und der Markt - gerade wegen des Sicherheitsgesetzes - diesbezüglich leer ist, und jeder der Sicherheit schreiben und einen Kali-USB-Stick booten kann zur Zeit eingestellt wird.
Ich habe 4 Monate gebraucht, um diesen tollen CISO Titel wieder loswerden zu können. Ich habe meinem Chef belegen können, dass ich als ehemals arbeitsloser Biologe eventuell doch nicht die technische Kompetenz und Ausbildung besitze, diesen verantwortungsvollen Job so auszuführen, wie er nötig wäre und konnte mir dann weitere Verkaufsveranstaltungen ersparen. Wir sind inzwischen bei Antago gelandet.
Ich schreibe das, um zu erklären, warum die Telekom das anbietet - und vor allem zu erklären, warum es wirklich einen sehr großen Markt gibt, der diesen Schwachsinn sogar nachfragt…
Also ich weiß ja echt nicht, was dieser Live-Hacking-Scheiß immer soll. Erkenntnisgewinn ist Null, da ist auch nichts "actionable", wie man so schön sagt. Reine Blender-Veranstaltung und Geldverschwendung, aus meiner Sicht.
Ich saß ja gestern in der Bahn gegenüber von einem Mann, den ich erst für einen Bühnenmagier oder so hielt, von seinem Äußeren her. Dunkler Anzug, hochgegelte Frisur, und trug eine Fliege. Aber die Schuhe waren dann zu teuer für das Bühnenmagier-Klischee, und als der dann zu telefonieren anhob, habe ich mich an einer Stelle hervorragend amüsiert. Da schlug er nämlich der Gegenseite vor:
Laden Sie einfach alle aus, die eh nichts zu sagen haben.Mensch, brillant! Wieso sind wir da nicht selber drauf gekommen? :-)
Aber so kommt mir gerade die ganze Branche vor. Lauter so Showbiz-Leute, die sich gegenseitig zu blenden versuchen, und dann irgendwann merken, dass die Leute, die was zu sagen haben, keinen Bock auf diesen ganzen Showbiz-Scheiß haben und lieber mit seriösen Gesprächspartnern an konkreten Lösungen arbeiten wollen würden.
Aber wartet, wird noch besser. Was präsentiert die Telekom in auf dem "Magenta Security Kongress" (nur echt mit Deppenleerzeichen)? "Neue Sicherheitsprodukte"! Aha, fragt ihr jetzt bestimmt. Produkte? Das ist ja spannend! Was könnte die Telekom denn so als Produkt anbieten? Hoffentlich keine DSL-Router?
Nein, nein, keine DSL-Router. Was mit Cloud!
Mit Angeboten wie einem isolierten Browser und einer Cloud-Lösung für Wirtschaftsprüfer und Anwälte will der Konzern neue Kunden ansprechen.Der "isolierte Browser" wurde vom Geheimdienst-Zulieferer Rohde & Schwarz gebaut, in Kooperation mit dem BSI (die, die den Bundestrojaner mitentwickelt haben). Hey, wenn das keine Credentials sind!1!! Da hat man doch Vertrauen!!1!
Aber geht ja noch weiter.
When I think security, I think cloud computing!!
Kann man gar nicht persiflieren, die Nummer!
Oh warte, doch, kann man! Man lässt einfach den Telekom-Chef eine Cyber-Nato fordern! Und dann lässt man ihn zu Protokoll geben:
Wir wissen, wovon wir reden, und wir wissen, was wir tun.So, jetzt kann man das nicht mehr persiflieren.
Oh warte, doch! Da geht noch was!
"Deutsche Telekom baut Drohnenschild"! NEIN!!! Wo ist sie? Wo ist die versteckte Kamera? Irgendwo im Hinterzimmer sitzen die doch, gucken sich unseren Live-Feed an und lachen sich kaputt über uns!
So Firmen wie Yahoo, ja?
"Kooperationsvereinbarung Cyberwehr" heißt das Papier. Es ist eine Art Vertrag, den interessierte Firmen mit dem Innenministerium und dem BSI schließen sollen. Darin erklären sie sich bereit, Mitarbeiter für diese Cyberfeuerwehr abzustellen.Cyberwehr! Kannste dir gar nicht ausdenken, sowas!
Ich meine, mal unter uns, ich warte doch seit Jahren auf eine Gelegenheit, mal endlich meine Lebenszeit und Arbeitskraft an den Staat verschenken zu dürfen, damit der weiterhin seine Kohle in Offensiv-Cyberscheiß investieren kann und nichts für Verteidigung und "die Lage besser machen" ausgeben muss!1!!
Update: Nicht, dass euch dieser Teil hier entgeht:
Als dritter Arm würde das Cyberabwehrzentrum alle staatlichen Behörden miteinander verbinden, angefangen von BSI und Bundeswehr über Polizeien und Geheimdienste bis hin zum Zoll. Das tut es theoretisch jetzt schon. Die Bundesregierung hatte 2011 ihre erste Cybersicherheitsstrategie vorgestellt. Damals wurde das Cyberabwehrzentrum in Bonn gegründet. Doch drei Jahre später urteilte der Bundesrechnungshof, das Abwehrzentrum sei nahezu nutzlos, weil es von keiner der beteiligten Behörden ernst genommen werde.
Der eine oder andere wird sich jetzt fragen: Nanu? Sowas gibt es noch nicht? NA KLAR gibt es das schon!
Es heißt BSI.
Das BSI wurde 1991 gegründet und ging aus der Zentralstelle für Sicherheit in der Informationstechnik (ZSI) hervor, deren Vorgängerbehörde die dem Bundesnachrichtendienst (BND) unterstellte Zentralstelle für das Chiffrierwesen (ZfCh) war.Die BND-Abteilung, aus der das BSI hervorging, war für das Entschlüsseln von abgehörten Daten zuständig. Heute wird man beim BSI natürlich ungerne auf die Schlapphut-Skelette im Keller angesprochen.
Die neue Stelle heißt
Die "Zentrale Stelle für Informationstechnik im Sicherheitsbereich", kurz ZITiS, soll Bundespolizei, Bundeskriminalamt und Bundesamt für Verfassungsschutz dabei helfen, verschlüsselte Nachrichten zu dechiffrieren, die beispielsweise über Apples iPhone oder Messengerdienste wie Whatsapp, Signal oder Threema verschickt werden.Ich würde mir da im Moment nicht viel Sorgen machen, dass die irgendwas davon entschlüsseln können, oder auch nur in absehbarer Zeit dazu in der Lage sein werden. Aber was weiß ich schon.
Update: Die waren nicht nur für das Entschlüsseln zuständig beim BND, auch für das Verschlüsseln.
Ich finde das nachvollziehbar. Ich würde dem BSI auch nichts zum Prüfen geben. Ich meine, das BSI hat auch beim Staatstrojaner mitgemacht. Wer kann denn so jemandem jemals wieder über den Weg trauen?
Siehste. Keiner.
Brillante Idee, finde ich!
Die haben noch Geld, die Malware-Leute!
Ich vermute mal, der TÜV Süd wäre sofort mit im Boot.
Hat hier jemand Grafik-Skills und könnte mal ein schönes Gütesiegel basteln? Mir schwebt eines dieser güldenen 90er-Jahre-Prüfsiegel vor. Schön cheesy.
Update: Oh warte, das es war ja gar nicht der TÜV Süd, der den Bundestrojaner geprüft hatte. Das war ja das BSI! TÜV Süd, das waren die mit Libri. Andere TÜVs zertifizieren die Sofortüberweisung und den Internet Explorer. Der TÜV Süd hat allerdings so ein bisschen den Ruf, alles zu zertifizieren, was nicht bei drei auf den Bäumen ist.
Das kann sicher nicht schaden, wenn mal jemand die Autobranche zu ordentlicher Softwarequalität zwingt, und von mir aus kann das auch gerne das BSI sein. Aber … wo ist denn da das Geschäftsmodell? Ich vermute eher Auto-Ransomware als Trend für die Zukunft. Das Auto fährt erst weiter, wenn der Fahrer ein paar Bitcoins überweist.
Man stelle sich das mal vor. Wenn Jobs ab jetzt an Kompetenz gebunden wären, wer würde dann überhaupt noch im Amt bleiben im Regierungsumfeld?
Zur Klärung einiger Punkte, die vielleicht von dem Report nicht so ersichtlich sind…Ich habe inzwischen auch mal ein bisschen in den PDFs geblättert und muss meine Meinung zu dem Audit revidieren. Schon das Inhaltsverzeichnis macht klar, dass hier methodisch und systematisch vorgegangen wurde, und nicht nur ein bisschen Cherry-Picking stattgefunden hat.
Da es praktisch unmöglich ist, den ganzen OpenSSL-Code durchzublicken und zu evaluieren, waren im Scope der Analyse vor allem folgende Punkte:
- OpenSSL server
- TLS 1.2
- Verifikation der Gegenmaßnahmen der bekannten Angriffe (Identifikation des relevanten Codes war im Scope)
- kryptografische Angriffe
Alle Analysen und Algorithmen sollten nachvollzogen werden.
Vor allem wegen dem dritten Punkt kann ein Eindruck entstehen, dass nichts neues gemacht wurde (ja, wir haben z.b. Heartbleed, EarlyCCS nachgeprüft und es tut mir leid, wenn es dir nicht gefällt). In der Studie waren aber andere Angriffe, die vorher nicht konkret auf OpenSSL evaluiert wurden, ich nenne nur ein paar Beispiele:
- Bleichenbacher Angriff: da sind wir konkret noch tiefer auf die Angriffe eingegangen, als in unserem USENIX Paper (Link).
- DH-Kleine Untergruppen: es sind mir keine öffentlichen Dokumente bekannt, wo die Angriffe auf die letzten OpenSSL-Versionen besprochen wären.
- Invalid Curve Angriffe: vorherige Papers untersuchen andere Art dieser Angriffe, daher finde ich eine Überprüfung legitim. Bei den letzten zwei Punkten wurde es festgestellt, dass SSL_OP_SINGLE_DH_USE und SSL_OP_SINGLE_ECDH_USE nicht default sind, was im Report steht…
Ein falscher Eindruck hätte auch dadurch entstehen können, dass die Ergebnisse erst jetzt publiziert wurden. Die Studie wurde im Zeitraum cca. 6-2014/3-2015 durchgeführt.
Generell finde ich es extrem schwer in einer Bibliothek bugs zu finden, die täglich von hunderten Forschern auch untersucht wird. Da wir keine super gefährliche bugs gefunden haben, bedeutet es nicht, dass unsere Analyse schlecht war. Ein Beweis dafür liefern auch die letzten CVEs: es ist mir nicht bekannt, dass in den letzten zwei Jahren bugs gemeldet wurden, die in unserem Scope gewesen wären und die wir übersehen hätten (oder?).
Besonders die erwähnten Krypto-Dinge gefallen mir gut, denn das sind die Sachen, bei denen ich mir nicht sicher bin, dass ich das ordentlich getestet gekriegt hätte.
Für die Zukunft fände ich es gut, wenn wir vom Reaktiven zum Aktiven übergehen könnten. OpenSSL braucht mehr als einen Audit. OpenSSL braucht zum Beispiel eine Infrastruktur, um den Krypto-Kram optional in einen eigenen Prozess auszulagern, damit bei einem Bug in Apache nicht auch die privaten TLS-Schlüssel lecken können. Und was mich bei OpenSSL neben der furchtbaren Codestruktur und den ganzen bizarren Abstraktionen und Indirektionen am meisten stört, ist dass die Defaults in so vielen Fällen Scheiße sind. Erstens braucht man eine metrische Tonne Cargo Cult-Code, um überhaupt den ganzen nötigen Buchhaltungsscheiß zu erledigen, und dann braucht man nochmal zwei metrische Tonnen Code, um die ganzen schlechten Defaults zu korrigieren. Das geht so nicht.
Ich weiß nicht, ob das BSI dabei helfen kann. OpenBSD hat ja mal angefangen, einfach ein anderes API anzubieten, das weniger schlimm zu benutzen ist. Ich denke, da müssen wir hin.
Ich hätte mich da auch bewerben können, aber habe es nicht getan, weil ich lieber wollte, dass das jemand macht, der die ganzen Crypto-Details so gut versteht, wie ich typische C-Programmierfehler verstehe. Kurz: Ich habe mir Sorgen gemacht, dass wenn ich das mache, dass ich das dann nicht richtig abdecke. Sondern halt nur den Teil wirklich angucke, den ich halt besonders gut kann, und über den Rest im schlechtesten Fall gar nichts sagen kann oder im besten Fall zwar geguckt habe, aber möglicherweise nicht genug Hintergrundwissen oder Durchdringung der Materie mitbringe, so dass meine Aussage kein großes Gewicht hat am Ende.
Nun, der Audit hat stattgefunden.
Zu meiner großen Enttäuschung muss ich jetzt konstatieren, dass das dann halt andere Leute genau so gemacht zu haben scheinen, wie ich es bei mir vermeiden wollte. Die haben halt da geguckt, wo schon Lücken bekannt waren, und haben dann diese Lücken nicht mehr gefunden. Diesen Audit hätte man sich auch sparen können. Einen Black-Box-Audit auf den Zufallszahlengenerator? Soll das ein Scherz sein!? Und dann gnädigerweise auch mal kurz ein paar Zeilen Quellcode angeguckt?!?
Das war ein Reinfall. Das wäre ja sogar besser geworden, wenn ich mich beworben hätte. Und das ist keine starke Aussage, siehe oben.
Sehr schade. Eine vertane Chance.
Wobei ich meine Einschätzung jetzt natürlich auf diese Meldung bei Heise stütze. Vielleicht ist die ja falsch und es war besser als es sich da jetzt anhört.
Update: Einer der Auditoren hat mir eine Mail geschrieben:
Die Darstellung in deinem Blogeintrag bzw. Heise ist nicht korrekt (http://blog.fefe.de/?ts=a842a5a6).
Die Analyse des RNG war nur im ersten Schritt Black-Box (wodurch Schwächen gefunden wurden). Im zweiten, selbstverständlich aufwändigeren Teil haben wir uns den Source Code angeschaut, ein Modell des RNG-Algorithmus aufgebaut, den Lebenszyklus des RNGs und dessen Zustand angeschau, etc. Die Methodik ist im Bericht dokumentiert, ein Blick in das Inhaltsverzeichnis liefert schon Informationen dazu.
Bei der Schwachstellenanalyse wurde ähnlich vorgegangen. Es wurden Blackbox-Tests durchgeführt (durch die Schwächen gefunden werden konnten), sowie eine Code Review verschiedener wichtiger Komponenten durchgeführt. Wir mussten selbstverständlich den Scope einschränken (wen interessiert schon die GOST und SSL3.0-Implementierung?), aber denken, dass die wichtigen Komponenten in einem angemessenen Rahmen betrachtet wurden.
Nach meiner Einschätzung würde sich das BSI mit einer oberflächlichen Analyse nicht zufrieden geben. Da sitzen Leute, die sich mit der Thematik sehr gut auskennen.
Update: Hier ist das PDF des Berichtes.
Update: Oh, es gibt nicht nur ein PDF, sondern drei.
Der Tagesspiegel und die Süddeutsche haben darüber berichtet.
Money quote:
Schönbohm selbst hat dem Sicherheitsrat zufolge in diesem Jahr keine Zeit mehr, Fragen zu eventuellen Interessenkonflikten beantworten.*gacker*
Jetzt geht der BSI-Chef in den Ruhestand und der neue BSI-Chef wird ein Schlipsträger aus der FDP, der bisher durch Bullshit-Bingo-Veranstaltungen wie den "Cyber-Sicherheitsrat Deutschland" aufgefallen ist und vorher EADS-Lobbyist war.
Wenn ihr noch Fragen habt, schaut euch mal die Homepage vom Cybersicherheitsrat an (lädt Javascript von Google nach, sicherer geht es ja kaum!) und von dem Laden, wo der gerade Vorstandsvorsitzender ist. Da bleibt kein Auge trocken. "Cyber-Frühstück". "2. Cyber-Stammtisch". "Das Internet ist eine sichere Plattform. Die Digitalisierung ist ein Wohlstandsgarant."
Klingt wie die Selbstbelüg-Mantren der Neocons zur sozialen Marktwirtschaft! "Sozial ist, was Arbeit schafft!" "Das Internet ist sicher!"
Wo finden die nur solche Clowns? Was waren da bitte die Auswahlkriterien? "Er muss die Erwartungshaltung deutlich senken"?
In der Selbstdarstellung sind seine Skills eher nicht-technisch. Eher so Sales. Genau was das BSI jetzt braucht!
Update: Ich bin nicht der Einzige, der sich über die Ernennung wundert.
Update: Den Schönbohm hatte ich auch schon mal im Blog. Keine weiteren Fragen.
Update: Der Cyber-Sicherheitsrat läuft übrigens mit Wordpress. Wordpress!! Und hat das gleiche Impressum wie die BSSAG. Oh und der Titel der Webseite ist:
Cyber-Sicherheitsrat Deutschland e.V.Cyber-Sicherheitsrat Deutschland e.V. Cyber-Sicherheitsrat Deutschland e.V.
Einmal mit Profis arbeiten! Oh und wo wir gerade bei Profis sind: Die Bewertungen unter seinem Buch sehen auch aus, als seien sie von professionellen Kommentarschreibern geschrieben worden.
Zum Beispiel müsse er noch klären, ob die von Wikileaks veröffentlichten Protokolle von Gesprächen Merkels tatsächlich echt seien und von wem sie stammen. Dabei zähle er auf die Hilfe von Behörden wie dem Bundesnachrichtendienst, dem Bundesamt für Sicherheit in der Informationstechnik und dem Verfassungsschutz.Ja, klar, denn wenn jemand gegen die NSA auf unsere Seite der Barrikaden kämpft, dann sind es BND, Verfassungsschutz und BSI!1!!
Ich denke, ich greife da mal ein bisschen vor. Der Generalbundesanwalt ist durchaus willens und in der Lage, gegen die NSA zu ermitteln. Alles, was er braucht, ist ein notariell beglaubigtes Geständnis von Obama und allen NSA-Mitarbeitern der letzten 15 Jahre. Und natürlich Fingerabdrücke, DNA-Beweise, Zeugenaussagen, die Original-Abhörbänder, Satellitenfotos der Abhörer und Baupläne der Wanzenbauer. DANN könnte er was tun. Aber so? (Danke, Stefan)
Ich arbeite im öffentlichen Dienst und bekam vor kurzem Probleme, weil ich wegen der Darpa Robotics Challenge auf der Webseite von Bostondynamics rumgesurft bin. Die ist nämlich scheinbar auch auf der Liste der bösen Webseiten.o_OWarum? Es gibt wohl eine ähnliche Webseite (bostondynamlcs [l statt i am Ende) die Schadecode verteilt. Offenbar hat jemand von Hand URLs in irgendwelche Filter eingetippt, dabei aber dann statt dem l wieder das i verwendet. Naja, wie es aussieht wird dieser Filter auch auf sämtlichen Webtraffic hier angewendet (gut zu wissen…). Daher wurde mein Arbeitsplatzrechner dann zwecks Virencheck erst mal aus dem Verkehr gezogen…
Ich weiß aber nicht genau, ob diese Liste vom BSI kam. Die IT-Kollegen meinten was von Verfassungschutz, habe aber nicht so genau aufgepasst, da ich ein wenig schockiert war…
Und, weiter unten dann:
Ein angemessen ausgestattetes BSI wäre das, was man sich unter einer guten NSA vorstellen könnte.Alleine die Vorstellung einer "guten NSA" zeigt, dass da einige Leute immer noch im freien Fall sind und noch nicht den klärenden Einschlag erlebt haben.
Und überhaupt, eine "gute NSA" schaffen, was kann DA schon schiefgehen!1!! (Danke, Norbert)
Hier ist es:
Das BSI hat es angesehen, und bat die Dunkle Seite von Fraunhofer (FKIE) um Hilfe, weil sie sich überfordert sahen.Anonyme Bestätigungen oder überspezifische Dementis nehme ich wie üblich gerne per Email entgegen.Die haben sich das angesehen und gemeint: Tja, ausmachen, Images zur Analyse ziehen, Netz isolieren, alles neu aufsetzen.
Damit ist das BSI zur Bundestagsverwaltung gegangen, und die haben gesagt: Äh, was? Ihr seid doch das BSI! Wieso kriegt ihr das denn nicht hin?!
Das BSI hat denen dann erklärt, dass das bei nichttrivialer Malware halt so ist, woraufhin die Bundestagsverwaltung das lieber vor den Fraktionen geheimgehalten hat. Die Fraktionen haben gerade keinerlei Informationslage, fliegen blind.
Daraus entstand die "Vielleicht die Sommerpause vorziehen"-Empfehlung, weil das im Wesentlichen die Empfehlung der Fraunhofers ist.
Sehr schön auch, dass all unsere Geheimdienste und Behörden das nicht verhindern konnten. Dabei haben wir eine eigene Behörde, die nur für sowas zuständig ist, das BSI. Also bezeihungsweise hatten. Denn das BSI heute ist eher für Dinge wie Bundestrojaner-Programmieren zuständig. Tsja, so ist das halt, wenn man in Angriff statt in Verteidigung investiert. Und wenn man Verteidigung den Schlangenölherstellern überlässt.
Haben Sie eigentlich schon ihren Virenscanner geupdated?
Aber nochmal: Exzellentes Timing! Fast so gut wie das Timing der Bombendrohung gegen diese eine strauchelnde TV-Show, die mit ihrem Untergang kämpfte, und Medienaufmerksamkeit brauchte!
Das BSI als unabhängige Instanz ist seit der Staatstrojaner-Nummer jedenfalls vom Tisch.
Die ausführliche Stellungnahme ist auch als PDF beim CCC online
Das Bundesinnenministerium hatte [nach dem BVerfG-Urteil] das BSI beauftragt, im Rahmen seiner gesetzlichen Aufgaben das BKA bei den für die Erstellung der RFS erforderlichen IT-Sicherheitsüberlegungen, wie die Eignung grundsätzlicher Sicherheitsmechanismen, Kryptoalgorithmen und Protokolle, zu unterstützen, um so die notwendige IT-sicherheitliche Korrektheit der Software gewährleisten zu können."Wir haben doch bloß die Software auditiert!1!!" Mit anderen Worten: die Wernher von Braun-Verteidigung!
Once the rockets are up,
who cares where they come down?
That's not my department!
says Wernher von Braun
Schließlich folgt noch der Rat: "Führen Sie Gespräche mit vertraulichem Inhalt nicht über ihr Mobiltelefon."So, liebe Leser, fühlt es sich an, in einem Überwachungsstaat zu wohnen.
It's encouraging to see the GnuPG project benefitting from similar largess. But it also raises the question: how is the money best spent? Matt Green, a professor specializing in cryptography at Johns Hopkins University, said he has looked at the GnuPG source code and found it in such rough shape that he regularly assigns chunks of it to his students for review."At the end I ask how they felt about it and they all basically say: 'God, please I never want to do something like this again,'" Green told Ars.
Soweit würde ich jetzt nicht gehen. Immerhin benutzt Werner Koch seit Jahren size_t für Längen und Offsets. Ich habe schon viel schlimmeren Code gelesen. Ich glaube ja, die Jugend von heute ist verweichlicht. Was sollen die denn erst sagen, wenn sie mal OpenSSL erben und warten sollen eines Tages?Übrigens, einen noch:
Given the ramshackle state of massive GnuPG code base, it's not clear what's the best path forward. A code audit is one possibility, but such reviews typically cost a minimum of $100,000 for complex crypto programs, and it's not unheard of for the price to be double that.Stimmt. Oder man hat halt Glück und der Fefe macht das kostenlos in seiner Freizeit. Und dann schmeißt Werner Koch Das liegt daran, dass Werner Koch das Problem ist, nicht die Lösung. Werner Koch macht mit dem Code keine Wartung, eher eine Geiselnahme. Denn wer will schon gnupg forken. Wir kriegen ja schon ohne Fork die Leute nicht in signifikanter Größenordnung dazu, das zu benutzen. Das wäre noch übler, wenn es da auch noch Marktfragmentierung gäbe. Deshalb hat noch niemand gnupg geforkt. Nötig gewesen wäre es seit Jahren. Ich persönlich hoffe seit Jahren, dass Werner endlich hinwirft, und dann jemand die Wartung übernehmen kann, der auch ein Interesse daran hat, daraus ein ordentliches Projekt zu machen. Aber das wird ja jetzt nicht mehr stattfinden. Jetzt wo nicht mehr nur sein Ego sondern auch sein Lebensunterhalt direkt davon abhängt, dass er weiterhin Diktator von gnupg bleibt.
Übrigens hat Werner seine BSI-Kohle über die Jahre nicht gekriegt, weil er dafür gearbeitet hätte, sondern weil Leute mit Beziehungen beim BSI Klinken geputzt haben. Diese Leute haben zwar gesehen, dass Werner Koch das Problem ist, aber sie haben sich gedacht, wenn man dem Geld gibt, vielleicht wird das dann besser. Wurde es leider nicht. Ein bisschen Mitleid war glaube ich auch dabei. Und ein bisschen "das ist das eine erwähnenswerte Kryptoprojekt aus Deutschland, das sollte gefördert werden, um ein Signal zu setzen".
Weil mir schon die ersten Twitter-Experten Neid vorwerfen: Ich habe den Aufwand für den Patch geleistet, weil ich vorher eine Finanzierung für meine Zeit klargemacht hatte. Ich brauche keine Spenden, schon gar nicht von Facebook. Das werde ich zu vermeiden wissen, dass Facebook sich mit einer Spende für eines meiner Projekte, die ich dann aus einer Notlage heraus annehmen muss, gutes Karma kauft. Das Geld, das ich bei Kunden für ehrliche Arbeit nehme, ist Bezahlung, keine Spende. Damit finanziere ich zwar meine Open Source Arbeit, aber keiner meiner Kunden kann damit Werbung machen, über mich Open Source finanziert zu haben. Außer der Kunde hat mich explizit für die Entwicklung von Open-Source-Software bezahlt, versteht sich. Das hat es auch mal gegeben.
Ich finde übrigens nach wie vor, am besten wäre es, wenn wir einfach ein bedingungsloses Grundeinkommen hätten. Dann hätten wir das Finanzierungsproblem für Kunst und Open-Source-Softwareentwicklung gelöst und niemand müsste so entwürdigende Winselnummern bringen. Wir hätten aber immer noch das Code-Geiselnahme-Problem. Dafür kenne ich auch keine gute Lösung.
Update: Ich sollte der Sicherheit halber dazu sagen, dass das nicht bloß meine Eintschätzung ist, dass Werner Koch das Problem ist, sondern ziemlich breiter Konsens. Ich habe diverse Mails von anderen Leuten gekriegt, die mit Werner vergeblich zu kooperieren versucht haben. Ich werde die hier aber nicht zitieren. Das sind die Geschichten der jeweiligen Leute, nicht meine. Sollen die sie erzählen. Mir persönlich war das 8 Jahre lang egal. Ich hatte meinen Patch. Mein persönlicher Moment, ab dem ich der Meinung war, dass da jetzt mal was geschehen muss, war als ich auf dem 31C3 Citizen Four sah.
Der spannene Teil beim Sony-Hack ist, wie Sony es geschafft hat, das von "oh wie peinlich, wir waren zu doof, ordentliche Passwörter zu vergeben" umgelenkt hat zu "OMGWTF DIE TERRORISTEN AUS NORDKOREA WERDEN UNS ALLE TÖTEN!!1". Und Obama ist natürlich sofort aufgesprungen, weil das vom CIA-Folterbericht abgelenkt hat. Ein Musterbeispiel für einen Bullshit-Geysir.
Rein rechnerisch hätte Nordkorea vermutlich gar nicht die Bandbreite, um da bei Sony die ganzen Daten rauszulutschen. :-) Und wenn sie sie hätten, wieso würden sie dann die anderen Filme raustragen und bei irgendwelchen Torrent-Sites hochladen? Dass irgendjemand auf diese völlig abwegige Theorie mit etwas anderem als Gelächter reagiert hat, finde ich nicht nachvollziehbar.
Hier schlagen auch gerade gehäuft Journalisten auf und fragen nach Regin, weil das angeblich im Kanzleramt entdeckt worden sein soll. Naja, äh, klar, warum sollte das Kanzleramt auch immun gegen Malware sein? Solange es Menschen gibt, die auf Dinge raufklicken, wird es eine Malware-Problematik geben.
Aus meiner Sicht ist der Punkt bei Malware, dass es hier zwei Märkte gibt. Auf der einen Seite schaffen die Geheimdienste einen Markt, weil sie für unbekannte offene Sicherheitslücken Geld ausgeben. Solange es diese Nachfrage gibt, wird auch ein Angebot entstehen. Auf der anderen Seite gibt es den Markt der Antiviren-Hersteller. Wir haben hier zwei Märkte mit Angebot und Nachfrage, die sich gegenseitig bedingen. Solange diese Konstellation besteht, wird das Malware-Problem sicher nicht weggehen. Wir müssen also gucken, dass wir diese Märkte beseitigen.
Die mir liebste Lösung wäre, wenn wir Malware international ächten könnten, und dafür sorgen könnten, dass Geheimdienste und Militär sie nicht kaufen. Das erscheint aber nicht sonderlich realistisch. Wenn wir die Nachfrage nicht wegkriegen, dann bleibt nur, das Angebot zu verknappen. Dafür müssten wir dafür sorgen, dass man in der Ausbildung zum Programmierer lernt, wie eine Sicherheitslücke aussieht und wie man sie vermeidet. Leider geht die Kohle der "digitalen Agenda" nicht in die Bildung sondern verstärkt das Problem sogar noch, indem es Malware-Käufern wie BKA und Verfassungsschutz mehr Mittel in die Hand gibt für ihr unmoralisches Tun.
Man könnte das Angebot noch verknappen, indem man dafür sorgt, dass Softwarehersteller für das Ausliefern von Software mit Sicherheitslücken Konsequenzen zu befürchten haben. Das ist im Moment leider nicht der Fall. Ganz lösen kann man das Problem durch Verknappung wahrscheinlich nicht, aber bei Microsoft kann man sehen, dass man so die Preise für 0day dramatisch in die Höhe treiben kann. Früher konnte man mit Windows-Bugs kein Geld verdienen, weil es zu viele davon gab. Heute kostet ein ordentlicher Remote Exploit siebenstellige Beträge. Das ist immer noch im Budget von Geheimdiensten, klar, aber das reduziert deren Munition deutlich. Wenn wir dann eine Lücke finden und schließen, dann tut das den Diensten richtig weh.
Es gibt da noch die Idee, das BSI 0day kaufen zu lassen, und die dann zu verbrennen. Das ist wahrscheinlich nicht die Lösung, weil das den Markt ja befeuert, statt ihn auszutrocknen, aber es wäre immerhin mal eine nicht völlig sinnlose Geldanlage. Besser als ein beklopptes Mautsystem zu bauen jedenfalls. Oder den Berliner Großflughafen.
Die Kern-Forderung des Dokumentes ist, dass man nicht einfach bei irgendwelchen Krautern seine Penetrationstests in Auftrag geben soll, sondern bei zertifizierten Prüfstellen. Nun gibt es bisher keine zertifizierten Prüfstellen, weil völlig unklar ist, wer da überhaupt die Kompetenz haben soll, andere Marktteilnehmer zu zertifizieren. Es gibt natürlich Common Criteria und ISO9000, aber das ist hier mit Zertifizierung nicht gemeint.
Ich für meinen Teil sehe das Problem auch, dass es unseriöse Marktteilnehmer gibt, aber das wird man mit Zertifikaten nicht los. Im Gegenteil, die verkaufen selber üblicherweise Zertifikate. Ich würde sogar soweit gehen, dass man unseriöse Marktteilnehmer relativ zuverlässig daran erkennen kann, dass sie Zertifikate verkaufen.
Hier ist, was das BSI vorschlägt (Sektion 2.2.3).
Anbieter, die IS-Penetrationstests anbieten, sollten möglichst als Prüfstelle zertifiziert sein. Sie sollten nachweislich die Grundsätze des Datenschutzes, der sicheren Datenhaltung und der IT-Sicherheit einhalten und qualifiziertes Personal beschäftigen.Das ist in der Praxis natürlich Blödsinn. Einhaltung des Datenschutzes weist man nicht nach, wie soll das auch vor dem Einsatz für die Zukunft gehen, sondern man macht einen Vertrag, wo das mit heftigen Strafen belegt wird. Und dann leakt da auch nichts. Bei der sicheren Datenhaltung kann man jetzt natürlich sagen, dass das wie eine gute Idee klingt. Aber in der Praxis steht im Vertrag drin: ihr dürft unseren Quellcode sehen, aber nicht kopieren. Es gibt da keine Daten, die man als Pentester halten würde. Außer natürlich dem Report, den man im Rahmen des Auftrags schreibt. Man archiviert da nicht jahrelang irgendwelche Daten von irgendwelchen Kunden, die bei irgendwelchen Tests vor 10 Jahren angefallen sind. Das tut man in den Vertrag und fertig.
Das mit dem qualifizierten Personal halte ich für am gefährlichsten an der ganzen Chose. Denn da gibt es schlicht keine Metriken. Es gibt natürlich irgendwelche Gruppierungen aus dem Zertifikate-Verkloppen-Umfeld, die auch Zertifikate für Personen verkloppen. Und bestürzenderweise zitiert das BSI auch genau diese Leute in ihren Referenzen am Ende, irgendwelche sinnlosen "ethical hacker"-Pömpel mit genau Null Aussagekraft. Selbst wenn jemand sein Leben lang ehrlich war, kann der ja trotzdem morgen kriminell werden und mit deinen Daten weglaufen. Die Aussagefähigkeit und Messbarkeit ist hier meines Erachtens nicht gegeben. Und insbesondere haftet keiner dieser Zertifikatsherausgeber dafür, wenn einer ihrer Zertifikatsträger sich dann anders als zertifiziert verhält. Zertifikate verkaufen ist ein Geschäftsmodell, kein Kundendienst.
Und so stellt sich auch für das BSI die Frage, was man denn jetzt machen soll, wenn keine Zertifikate vorliegen. Antwort:
Es wird dort verlangt, dass ein IS-Penetrationstester Berufserfahrung in dem Bereich IT-Penetrationstest besitzt und eine technische Ausbildung abgeschlossen hat. Der Projektverantwortliche muss in den letzten acht Jahren mindestens fünf Jahre Berufserfahrung (Vollzeit) im Bereich IT erworben haben, davon sollten mindestens zwei Jahre (Vollzeit) im Bereich Informationssicherheit absolviert worden sein. Zudem sollte der IS-Penetrationstester an mindestens sechs Penetrationstests in den letzten drei Jahren teilgenommen haben. Dies sollte möglichst vom Anbieter über entsprechende Referenzen nachgewiesen werden.Aus meiner Sicht ist das wildes Hand Waving. Gestikulieren, damit keiner merkt, dass der Kaiser keine Kleider trägt.
In der Praxis kann man das mit den Referenzen vergessen. Viele Kunden wollen nicht als Referenz auftreten. Und selbst wenn Firma XY mit Mitarbeiter A und B einen Pentest bei Firma Z durchgeführt hat, weiß Z doch gar nicht, wer da tatsächlich die Arbeit gemacht hat. Das ist schlicht nicht bewertbar, ob A oder B fit ist. Oder beide. Oder vielleicht keiner von ihnen und sie hatten nur Glück oder ein gutes Tool dabei.
Der Report fällt dann noch durch Vorschläge wie den hier auf (Sektion 3.1.2):
Der Auftraggeber sollte gewährleisten, dass keine Änderungen an den Systemen während der Tests durchgeführt werden. Sollte der Ansprechpartner des Auftraggebers durch Beobachten des IS-Penetrationstests oder Gespräche auf Sicherheitslücken aufmerksam werden, so muss er warten, bis der IS-Penetrationstest abgeschlossen ist, bevor er die Lücke beseitigt, da sonst die Testergebnisse verfälscht werden können.Bitte was? Der Kunde darf seine Systeme nicht sicherer machen, weil sonst der Test verfälscht werden könnte? Liebes BSI, Ziel eines Pentests ist, dass die Systeme sicherer werden, nicht dass der Test nicht verfälscht wird. Was ist DAS denn für ein Blödsinn?! Und im Übrigen, ich als Pentest-Durchführer bin der Auftragnehmer, ich kann da meinem Auftraggeber keine Vorschriften machen, wie ein Test ordentlich durchgeführt gehört.
Sollte eine derart gravierende Lücke entdeckt werden, dass es unabdingbar ist, diese sofort zu schließen, so sollte der IS-Penetrationstest abgebrochen und zu einem späteren Zeitpunkt weiter durchgeführt werden.Es gibt keine fachliche Grundlage für diese Empfehlung.
Humoristisch besonders wertvoll ist auch diese Empfehlung (Sektion 4.1.2):
Das BSI empfiehlt, das IS-Penetrationstester nur solche Exploits einsetzen, deren Wirkungsweise sie schon untersucht und getestet haben.Scheiße, Bernd!! Hätte mir das doch mal vorher jemand gesagt!1!!
Kurz gesagt: Das ist ein Schuss in den Ofen. Ich verstehe, dass das BSI hier gerne aktiv werden würde, denn Zertifikate kosten Geld, womöglich kann das BSI sich hier ähnlich wie das Patentamt zu einem Profit Center entwickeln. Aber den Kunden hilft das nichts. Aus meiner Sicht sind die Empfehlungen alle gesunder Menschenverstand, angereichert mit "kauft uns doch ein paar Zertifikate ab, Zertifikate können wir gut!"
Nun, liebe Leser, das will ich gerne aufklären: Die Kohle aus dem neuen IT-Sicherheitsgesetz fließt in den "Verfassungsschutz". Ja, der Verfassungsschutz! Die, die wie kaum eine andere Behörde für das Gegenteil von Sicherheit stehen! Die, die den Ku-Klux-Klan Deutschland, den NSU und andere verfassungsfeindliche Organisationen entweder selbst gegründet und/oder jahrelang per V-Mann-Spende am Leben gehalten haben, ausgerechnet die werden jetzt nicht zugemacht sondern kriegen noch neue Planstellen dazu! Und dann nennen sie das auch noch Sicherheitsgesetz!
Wenn das nicht unsere Steuergelder wären, wäre es fast eine schöne Aktion zur Monty-Python-Abschlußtour.
Oh, einen noch. Falls jemand dachte, hey, der Verfassungsschutz ist furchtbar, aber immerhin sind sie noch nicht mit Trojanern in der Hand ertappt worden, wie das BKA! Für den habe ich eine schlechte Nachricht:
Das Bundesinnenministerium möchte mit seinem jetzt veröffentlichten Referentenentwurf für ein IT-Sicherheitsgesetz neben dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und dem Bundeskriminalamt (BKA) auch das Bundesamt für Verfassungsschutz (BfV) ausbauen.Business as usual!
Wer sich jetzt wundert, dass der Zoll und BND nicht auch noch einen Geldregen kriegen: Der BND untersteht dem Kanzleramt, der Zoll dem JustizFinanzministerium. Der Referentenentwurf kommt aus dem Innenministerium. Die geben in ihren Gesetzesentwürfen natürlich nur sich selbst Geld, nicht anderen Ministerien. Denn darum geht es hier. Geld her, egal wie dümmlich der Vorwand auch ist.
Update: Vielleicht sollte ich auch auf inhaltliche Aspekte eingehen. Nur so der Vollständigkeit halber. Firmen müssen jetzt Hackerangriffe melden, aber a) nur "den Behörden", nicht der Bevölkerung, und b)
können sie das anonym tun, solange es keine Störungen oder Ausfälle gibt
Und wer soll das schon prüfen oder im Nachhinein überhaupt noch sagen können, ob einer der vielen Ausfälle auf Hackerangriffe zurückzuführen war oder nicht.
An dieser Stelle sei mir erlaubt, kurz darauf hinzuweisen, wieso die Idee "Hackerangriffe müssen gemeldet werden" überhaupt auf dem Tisch lag. Damit Firmen und Behörden diese Peinlichkeit vermeiden wollen. Das soll einen Anreiz schaffen, die Infrastruktur robust und sicher zu machen. Dafür gibt im Moment niemand wirklich Geld aus, weil es betriebswirtschaftlich kurzfristig mehr Profit bringt, wenn man es in Kundenacquise steckt. Diese zentrale Idee wird also mit diesem Gesetzesentwurf komplett ad absurdum geführt. Ursprünglich ging die Idee ja noch weiter, die Firmen hätten auch alle potentiell betroffenen Kunden jeweils individuell in Kenntnis setzen sollen. Damit die Firma befürchten muss, die Kunden laufen wenn.
Oh und wieso betrifft das eigentlich nur Firmen und nicht auch Behörden? Und wieso nur kritische Infrastruktur, nicht auch ganz normale Infrastruktur? Wer definiert eigentlich, welche Infrastruktur kritisch ist und welche nicht?
Update: Ich finde übrigens, wenn man da richtig Anreiz schaffen will, muss man auch gleich gesetzlich ein Sonderkündigungsrecht schaffen, wenn eine Firma beim Schlampen erwischt wird. Und zwar nicht nur für die betroffenen Kunden, für alle Kunden. Was glaubt ihr, wie eilig es die Knebelvertrag-Telcos plötzlich hätten, nie wieder gehackt zu werden!
Übrigens sieht der Secusmart-Chef das ähnlich und warnt offen vor deutschen Technologie-Souveränitäts-Ambitionen. Er meint, das habe eh alles keinen Sinn. Die Formulierung ist spannend:
"In Deutschland wird der Mythos einer völligen digitalen Souveränität gepflegt", sagt Quelle. Doch ein kleines Unternehmen wie Secusmart müsse über die Grenzen schauen und brauche den Weltmarkt.Wo ist da der Widerspruch? Außer man deutet das so, dass für die Teilnahme am Weltmarkt auch Hintertüren für ausländische Geheimdienste nötig sind?
Update: Ah, anscheinend ist das so gemeint, dass ihr aktuelles Produkt an BSI-Smartcard-Kram gebunden ist, und der ist nicht exportfähig. Das hätte man ja auch irgendwie durch smartes Engineering optional halten können. Vor allem: Was will denn Blackberry dann mit denen, wenn das nicht international verkauft werden kann?
Wie sich jetzt rausstellt: Beides formal korrekt. Denn nicht das BSI sondern der BND hat geschnorchelt und die Daten jahrelang direkt an den NSA weitergeleitet. Aber keine Daten von Deutschen, versteht sich!1!! Denn das wäre ja illegal gewesen, und das weise uns erstmal jemand nach, dass wir hier ständig die Gesetze brechen!1!! Die Details sind schließlich alle geheim.
So richtig überraschend sind die Standorte jetzt nicht. Bai Aibling war seit vielen Jahren bekannt, der Dagger Complex auch, der offizielle Hauptsitz eh, das US-Konsulat in Frankfurt und die US-Botschaft in Berlin werden jetzt auch niemanden wirklich überraschen. Aber hey. Immerhin gibt es auch ein paar echte Neuigkeiten:
Interne Berichte beschreiben etwa die Kooperation der NSA mit den deutschen Diensten und sogar mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) - das die deutschen Nutzer eigentlich vor Cyber-Bedrohungen von außen schützen sollte.Jetzt ist natürlich die Frage, was genau die da kooperiert haben. Auch die offizielle Zusammenarbeit bei der Krypto-Standardisierung ist ja eine Kooperation.
Aber das eigentliche Lügengebäude, das jetzt endlich einstürzt, ist das hier:
Vor allem aber belegt das Deutschland-Dossier die enge Zusammenarbeit zwischen NSA und BND. Nicht nur abgefangene Informationen werden geteilt: Die NSA veranstaltet Lehrgänge, man zeigt sich gegenseitig Spähfähigkeiten und tauscht untereinander Überwachungssoftware aus. So haben die Deutschen das mächtige XKeyscore bekommen, die Amerikaner durften MIRA4 und VERAS ausprobieren.Damit fallen die ganzen Argumente in sich zusammen, bei uns habe niemand von irgendwas gewusst. Nicht nur Mitwisser sind wir, sondern Kollaborateure! Das ist jetzt nicht mehr zu leugnen. Außer vom Generalbundesanwalt, natürlich.
Update: Die ganzen Dokumente gibt es hier.
Erschwerend hinzu kam, dass die Seite dann ziemlich sofort unter der Last zusammenbrach (warum eigentlich?).
Die Fakten liegen immer noch nicht auf dem Tisch, aber so langsam scheint halbwegs Konsens zu bestehen, dass da irgendein Ermittlungsverfahren gegen irgendjemanden läuft, weil sie diese Daten gefunden haben. Daher wollen sie nicht sagen, woher sie die haben.
Ich stelle mir das so vor. Das BSI wird von einer Firma oder Behörde angerufen, weil die ein Botnetz bei sich gefunden haben. Die kommen und finden beim Stochern diese Daten. Was tun? Nun könnte man natürlich die Email-Adressen alle anschreiben, aber wer glaubt denn seit dem Bundestrojaner noch Emails von Behörden?
Diese Webseite jetzt ist aus meiner Sicht Ass Covering. Da geht es nicht darum, Leuten zu helfen. Denn Leute, die sich um ihre Sicherheit genug Sorgen machen, dass sie von der Existenz so einer Webseite erfahren, und dann da hingehen und damit interagieren, sind vermutlich eh nicht betroffen. Ich verwende z.B. eine eigene Email-Adresse pro Webseite, die meine Email-Adresse haben will — und natürlich jeweils ein anderes Passwort. Soll ich die jetzt alle beim BSI eingeben? Ich mache das ursprünglich, um zu erkennen, woher Spammer Email-Adressen haben, aber es hilft natürlich auch prima gegen solche Account-Datenbanken. Da ist dann jeweils nur der eine Account gehackt, das Passwort funktioniert nirgendwo anders.
Dazu dann das Verfahren, das die das wählen. Man kriegt die Antwort nicht direkt sondern man kriegt einen Code und später eine Email, wenn man betroffen war. Wenn man nicht betroffen war, kriegt man keine Email. Das BSI scheint zu glauben, dass davon auch die Umkehrung gilt: Wer keine Email kriegt, war nicht betroffen. Aber das ist natürlich Blödsinn, Emails können verloren gehen, im Spamfolder landen, versehentlich gelöscht werden, etc. Oder wenn die Credentials gehackt waren und auch für den Email-Provider gelten, kann jemand mit den Daten natürlich auch die Email vom BSI löschen, bevor das Opfer sie sieht. Und die Email ist im Gegensatz zu der SSL-Verbindung, über die man die Daten einschickt, nicht verschlüsselt und signiert, d.h. wenn da eine Mail kommt, gibt es keinen Grund, der zu trauen. Den Code hätte auch jemand raten können. Kurz: Die Aktion ist voll für den Fuß. Das BSI tut das daher aus meiner Sicht nur, weil sie glauben, irgend etwas tun zu müssen.
Besonders absurd mutet die Meldung von heute an, dass das BSI seit Dezember auf den Daten saß, aber so lange brauchte, weil sie wirklich sicher gehen wollte, dass ihre Webseite den Ansturm aushalten würde. Was sie dann nicht tat.
Einmal mit Profis arbeiten!
Update: Die Webseite heißt übrigens www.sicherheitstest.bsi.de und liegt bei Strato. Ohne jetzt irgendwie Strato bashen zu wollen, aber … srsly, BSI? Das konntet ihr nicht selber hosten? So sieht das aus, wenn jemand per DNS-Hijacking Domains umlenkt. Übrigens liegt die BSI-Webseite nicht nur in einem anderen Netz (das dem BSI gehört), sondern sie benutzt auch eine andere Domain. Viel mehr Indizien für "hier riecht was schlecht, hier geb ich lieber keine Daten ein" hätte man auf die Schnelle gar nicht ankreuzen können. Oh, doch, eine noch. Das SSL-Zertifikat kommt bei der BSI-Homepage von Trustcenter, und beim Sicherheitstest von T-Systems. NA SUPER. Vertrauenswürdiger geht es ja kaum!1!!
Update: Anscheinend soll die Rück-Email PGP-signiert sein. Wozu brauchen sie dann den Code, wenn sie PGP haben? Weil niemand einen Grund hat, einem angeblichen BSI-Key zu vertrauen, der vor sechs Wochen erzeugt wurde?
Update: Wo wir gerade bei T-Systems waren… guckt mal, was da auskommentiert im HTML steht:
<div style="padding-top:20px;padding-bottom:20px;">Und hier ist das Bild. Ja, das hätte ich auch lieber auskommentiert an deren Stelle *schenkelklopf* :-)
<!--<img src="/static/images/vl_powered_by_T.png" />-->
Update: Ah, sie haben auch ihren öffentlichen PGP-Schlüssel auf ihrer HTTP-Webseite. Immerhin. Ich sehe trotzdem nicht, wieso sie da überhaupt Email machen und nicht direkt per Web antworten. Das schafft doch nur zusätzliche Metadaten.
Update: Der PGP-Schlüssel ist vom 9.12., das SSL-Zertifikat ist vom 17.12. Da kann man mit ein bisschen Fantasie die Denkprozesse verfolgen.
Hey, Cheffe, wir haben hier echt viele Email-Adressen, was machen wir jetzt?
Wir schreiben denen ne Email!
Ja, aber Cheffe, seit dem BKA-Trojaner glaubt unseren Emails doch keiner mehr!
Dann signieren wir die halt mit PGP!
OK, Cheffe, hab nen Schlüssel gemacht, aber wieso sollten die Leute dem denn vertrauen? Ich hätte Frau Merkel gebeten, uns den zu signieren, aber die hat kein PGP!
Na gut, dann machen wir dazu ne Pressemitteilung und machen einen Webserver auf und da tun wir den Schlüssel hin!
Aber Cheffe, unser Webserver hält doch nichts aus, wir benutzen doch Java!
Ja, äh, hmm, na löse das halt irgendwie!1!!
OK, Cheffe, ich hab jetzt bei Strato nen Webserver geklickt, aber wir brauchen auch SSL, sonst lachen die Leute doch wieder über uns!
Hmm, also über unseren normalen Amtsweg braucht das 4 Monate. Frag mal Strato, ob die nicht auch SSL mit verkaufen können!
OK, Cheffe, hab ich gemacht, alles in Ordnung!1!!
Update: In den Mails an Betroffene steht, dass die Daten bei einem Botnet gefunden wurden. Jemand hat mir ein Zitat aus so einer Mail geschickt.
Update: Der Code steht bei den PGP-Mails übrigens im Subject, also im nicht signierten Header-Bereich.
Angeblich, so die Google-Presseerklärung, sei der Schlüssel nur "für internen Gebrauch" und mit Einverständnis der so Ausspionierten eingesetzt worden. Ja nee, klar.
Aber überlegt euch doch mal, woher Google dann überhaupt mitgekriegt hat, dass es da einen MitM-Schlüssel gibt? Ob die sich einen Seitenkanal geschaffen haben, der bei Zertifikats-Pinning-Verletzungen Alarm schlägt und Details an Google meldet? Sehr spannend jedenfalls.
Accepted SSLv3 128 bits RC4-SHA
Accepted SSLv3 128 bits RC4-MD5
Accepted TLSv1 128 bits RC4-SHA
Accepted TLSv1 128 bits RC4-MD5
Weiß das BSI etwas, das wir nicht wissen? Oder war da nur mal wieder einer der BESTEN der BESTEN der BESTEN am Start? (Danke, Steffen)
Wenn das stimmt mit dem wegfallenden Opt-Out, dann würde ich dem inhaltlich zustimmen.
Update: Mir sei noch kurz der Hinweis erlaubt, dass der CCC seit 2002 vor Trusted Computing warnt :-)
Update: Das BSI distanziert sich.
Update: Microsoft hat eine einstweilige Verfügung erwirkt, und die "Zeit" musste den Artikel runternehmen. (Danke, Stefan)
Das BSI verfügt zudem nicht über das Programm XKeyscore und setzt dieses nicht ein. Das BSI gibt überdies keinerlei Informationen über zertifizierte IT-Produkte und -Dienstleistungen oder im Rahmen des Zertifizierungsprozesses gewonnene Erkenntnisse über diese Produkte und Dienstleistungen an andere Behörden, Nachrichtendienste oder sonstige Dritte weiter.Dazu gibt es eine Geschichte, die ich vielleicht mal nach ein paar alkoholischen Getränken bei einem Alternativlos erzählen werde. Aber ihr könnt mir schonmal glauben, dass diese Zertifizierungen völlig wertlos sind, um die Sicherheit oder Qualität eines Produktes zu beurteilen. Die Aussage, dass sie gewonnene Erkenntnisse nicht weitergeben, ist aus meiner Sicht im Wesentlichen eine Aussage ala "für alle Elemente der leeren Menge gilt…" (kleiner Mathematiker-In-Joke).
Auch das ist alles seit Jahrzehnten bekannt oder wird laut gemunkelt. Wirklich wissen tut man sowas natürlich nur in den seltensten Fällen. Aber in der Praxis gehe ich zumindest im Umgang mit Software aus den USA immer davon aus, dass da alle möglichen Dienste mal reingeguckt und nach 0day gesucht haben. Bei freier Software weiß man wenigstens, dass auch andere mal reingeguckt haben :-)
Update: Auch 0days werden laut Artikel rausgerückt, aber das bringt den Diensten weniger als den Quellcode rauszurücken. Denn das ist halt nur die Lücke, nicht der Exploit, und wenn man das von Microsoft kriegt, dann weiß man ja auch, dass die gerade dabei sind, das zu fixen. Daher gibt es nur ein sehr begrenztes Zeitfenster, in dem das tatsächlich ein 0day ist. Diese Vorab-Info über Sicherheitslücken an Regierungen ist übrigens auch seit Jahren bekannt.
Ich würde da gar nicht auf das BSI zeigen wollen. Der CCC ist seit Jahren eher unterzeugt von der Software. Und bei mir hört die Beweisführung schon bei "ist eine Java-Anwendung" auf. Java!! (Danke, Marcus)
Aber hey, immerhin sind sie in guter Gesellschaft: Das australische Finanzamt speichert auch ihre Passwörter im Klartext ab. Einmal mit Profis arbeiten! (Danke, Norbert)
Frage: Wie schätzen Sie das Vorhaben ein, eine Hacker-Truppe im BND aufzubauen?
Antwort: Das ist sinnlose Geldverschwendung und Hype-Hinterherlaufen. Die Amerikaner haben Hacker, also will der BND jetzt auch welche haben.
Hacken als Methode der Kriegsführung oder für Geheimdienste ist generell abzulehnen. Man kann dabei schlicht nicht ausschließen, dass man ein Krankenhaus trifft, oder ein Atomkraftwerk. Die Risiken sind völlig unüberschaubar. Und wegen der generellen Rückverfolgungsproblematik bei Hacker-Angriffen ist die einzige Methode, im Falle eines explodierenden Atomkraftwerkes nicht beschuldigt zu werden, solche Abteilungen gar nicht erst aufzubauen.
Frage: Wie realistisch ist denn das, dass der BND jetzt fähige Leute findet?
Antwort: Völlig unrealistisch. Die wollen das Knowhow im Haus haben, daher müssten die Hacker sich da fest anstellen lassen. Die Gehälter im öffentlichen Dienst sind miserabel, und wenn man an so wichtiger Stelle aktiv ist, können die einen nicht mehr frei rumreisen lassen. Auch der freie Austausch mit anderen Hackern fällt dann flach. Das ist schon an sich sehr unattraktiv.
Aber vom BND weiß man ja, dass sie auch sonst an keiner Stelle besonders fähiges Personal haben. Ich verweise da nur mal auf das Buch "Bedingt dienstbereit". Wieso sollten die jetzt plötzlich bei den Hackern fähige Leute anziehen können? Aus meiner Sicht sollte der BND geschlossen werden. Stattdessen wirft man jetzt dem schlechten Geld noch gutes hinterher.
Frage: Hat die Bundesregierung hier jahrelang die Entwicklung verschlafen?
Antwort: Nein, die bemühen sich seit Jahren um Hacker-Knowhow. Das scheitert von Anfang an an den genannten Gründen. Als freischaffender Hacker arbeitet man noch in einer moralischen Grauzone. Bei bezahlter Arbeit für Regierungen gibt es keine Spielräume mehr, um das vor sich selbst oder anderen schönzureden. Es gibt da keine positiven Aspekte mehr. Außerdem hat die Regierung mit ihrem Hackertoolverbot die Hacker alle gegen sich aufgebracht.
Die müssten jetzt mit exorbitanten Geldbergen winken, damit sich überhaupt jemand meldet. Und das scheitert in der Praxis auf ganzer Linie, wie man beim Staatstrojaner schön beobachten kann. Am Ende wird es darauf hinauslaufen, dass unsere "Hackerabteilungen" sich die Angriffstools aus dem Ausland einkaufen müssen — und sie dann natürlich nicht exklusiv haben. Die Fähigkeiten der Mitarbeiter werden sich darin erschöpfen, bei zugekauften Tools auf Knöpfe zu klicken. Im internationalen Vergleich wird das nie zu mehr als einer Lachnummer reichen. Wenn Sie mich fragen, ist das auch gut so.
Es wäre natürlich noch viel besser, wenn man sich diese Ausgaben ganz sparen würde. Mit dem Geld könnte an deutlich sinnvollere Projekte fördern, wie z.B. den DSL-Ausbau auf dem Land.
Frage: Ist so eine Hackerabteilung nicht auch für die Verteidigung gut?
Antwort: Nein. Für die Verteidigung haben wir schon eine Behörde, das BSI. Denen mehr Geld für ihre Arbeit zu geben ist nicht Teil der aktuellen Diskussion.
Wenn Deutschland sich in dem Bereich engagiert, dann würde ich mir wünschen, dass sich die Bundesregierung für ein internationales Abkommen starkmacht, das Cyberwar generell ächtet. Und wenn tatsächlich Geld für den Einkauf von Angriffstools übrig ist, dann könnte man die Tools kaufen und dann die ausgenutzten Lücken zuzumachen helfen.
Konkrete Punkte sind:
Ich bin grundsätzlich für eine Meldepflicht. Der Gedanke hinter einer Meldepflicht, und warum ich auch dafür bin, ist: a) wir brauchen ordentliche Daten, um über das Problem reden zu können. Wer wird wie häufig gehackt und welche Daten leaken dabei? b) wenn die Firmen das unter den Teppich kehren können, warum sollten sie dann in Security investieren. Dann bleibt alles Scheiße und die Kunden wissen nicht, bei welchen Anbietern ihr Geld wirklich sicher ist.
Wenn man sich jetzt diesen Entwurf ansieht, dann sieht man, dass die zwar melden müssen, aber nur dem BSI, nicht der Öffentlichkeit. Und das BSI legt das dann zwar offen, aber nicht der Öffentlichkeit, sondern … den Meldepflichtigen. Die können dann zwar sehen, ob sie sicherer als der Durchschnitt der Konkurrenz sind, aber der Kunde kriegt es nicht mit. Damit ist der Anreiz für Verbesserungen weg. Dann werden die weiter alle die Öffentlichkeit anlügen, wie toll sicher sie sind, und Vorfälle verschweigen.
Alleine schon aus diesem Grund lehne ich diesen Gesetzesentwurf ab. Aber meine Kritikpunkte gehen noch weiter.
Das BSI soll jetzt Firmen beraten. Das halte ich für eine sehr schlechte Idee. Das BSI wird aus Steuergeldern finanziert. Wieso sollten Steuergelder dafür ausgegeben werden, den Firmen zu ermöglichen, ihre Hausaufgaben an das BSI outzusourcen? Nee, so geht das nicht.
Es ist nicht so, dass das BSI keine Rolle spielen sollte. Ich schlage vor, dass das BSI einen Katalog erstellt, in dem Angriffe klassifiziert werden. Wo man dann sagt: ein XSS auf der Pressemitteilungen-Webseite der Polizei Brandenburg ist kein Angriff auf "sicherheitsempfindliche Stellen lebenswichtiger Institutionen". Diese Formulierung zitiert Heise als Beschreibung dafür, wofür das BKA in Zukunft zuständig sein soll. Hier muss aus meiner Sicht Sorge getragen werden, dass es eine klare Unterscheidung zwischen gefährlichem Angriff und zivilem Ungehorsam und Demonstrationsrecht gibt. Wenn Leute aus Protest gegen Abschiebungsflüge die Lufthansa-Webseite blockieren, sollte das jetzt nicht über diese Hintertür zu einem Fall für das BKA deklariert werden.
Überhaupt, das BKA. Die sollen 105 neue Stellen schaffen, um besser das Internet patroullieren zu können. Halte ich für falsch. Die stehen sich doch jetzt schon nur im Wege. Ich habe noch von keinem einzigen Fall gehört, wo das BKA mal im Internet zu Recht und Ordnung beigetragen hätte. Was die brauchen ist eine Schulung, und die klare Vorgabe, dass ihrem Präsidenten pro Eingriffsversuch in die Politik ein Monatsgehalt abgezogen wird, bis hin zu negativem Gehalt und Forderungen an ihn. Jedes Mal, wenn Ziercke und co die Vorratsdatenspeicherung fordern, verplempern die Zeit, die sie damit verbringen sollten, Kriminelle zu fangen.
Also. Das Gesetz lehne ich so ab. Mein Vorschlag:
Kurz gesagt: aus dem Gesetz muss der Populismus und der Bullshit raus, dann kann daraus was richtig gutes werden.
Die größten Gefahren und Risiken sind aus meiner Sicht:
Ich persönlich halte die Meldepflicht nur dann für effektiv, wenn die Fälle alle sofort veröffentlicht werden, und zwar ohne Anonymisierung. Zumindest die Kunden haben ein Recht, das zu erfahren. Und zwar nicht erst, wenn sich nicht mehr abstreiten lässt, dass sie betroffen sind. Sofort. Ich hätte gerne eine Webseite, wo man hingehen kann, Postbank eingibt, und dann kommt eine Liste der Incidents bei denen, jeweils mit Links zu deren Reaktion und mit Zeitstempeln, damit man sehen kann, wie lange die jeweils untätig rumgegammelt haben. Und da müssen auch Incidents drin sein, die die jeweilige Firma bestreitet. Das kann gerne dranstehen, dass sie das bestreiten. Und von mir aus können sie auch Dokumente anheften, die das belegen. Aber man darf da nicht rauskommen können, indem man schlicht leugnet.
Ich würde mich auch freuen, wenn das BSI nach einem Hackerangriff die Aufgabe hätte, die Schwere zu bewerten. Damit man das als Kunde vergleichen kann.
Update: Fällt jemandem ein, wie man "das BKA ist jetzt für 202c zuständig" anders interpretieren kann als "Ziercke ist sauer auf den CCC und will sich jetzt rächen"? Aber Herr Ziercke! Wie unsportlich!
Das BKA und das BSI weisen deshalb zusätzlich darauf hin, dass das Abspeichern dieses Fotos beziehungsweise eine Besitzverschaffung einen strafbaren Besitz von Jugendpornografie darstellt.Der Lacher ist ja, dass GENAU DIESES SZENARIO damals angesprochen wurde von den Sachverständigen. Genau deshalb ist es bekloppt, den Besitz von Hackertools oder Pornographie oder was auch immer unter Strafe zu stellen, weil Szenarien denkbar sind, in denen der Empfänger gar nichts dafür kann, dass ihm ein Bild untergejubelt wird. Ach was, völlig realitätsfremd, hieß es damals.
Übrigens, weil sich ja nicht jeder mit den verschiedenen Abstufungen des kriminellen Milieus auskennt: der "BKA-Trojaner" ist nicht der "Bundestrojaner", auch wenn der Bundestrojaner vom BKA kommt und auch offensichtlich illegal ist. Achtung, Verwechslungsgefahr!
CSC, CSC … CSC … da war doch was. Oh ja richtig! Das waren die hier, die ihre Business-Jets für Rendition-Flüge nach Guantanamo an die CIA ausgeliehen haben. Und nicht nur Guantanamo, auch an andere Folterknäste.
Nur falls jemand noch Zweifel hatte, wie diese Trojaner-Geschichte ethisch/moralisch einzuordnen ist. Das war damals der militärische Arm von Dyncorp, den hat CSC inzwischen wieder verkauft. Aber wisst ihr, was CSC noch so macht? Die machen den "Groundbreaker"-Rahmenvertrag für die NSA. Über zwei Milliarden Dollar ist der Vertrag wert. Mit anderen Worten: die NSA prüft hier über Bande den Trojaner des BKA.
Das wäre ja bei uns auch mal spannend, wenn sie dann da nicht so Feigenblätter wie das BSI oder den Schaar losschicken würden, die dann am Ende groß rumlavieren, weil alle Details geheim bleiben müssen.
Die wichtigste Einsicht des Vereins ist, dass sie von der zuständigen Datenschutzkommission die Aussage gekriegt haben, dass die mit der Überprüfung noch nicht mal begonnen haben. Je mehr sie nachbohrten, desto unangenehmer wurde es. Die Gegenseite konnte nicht mal eine grobe Schätzung liefern, wie lange denn eine Überprüfung der ganzen VDS-pflichtigen Anbieter dauern würde.
Das klingt ja schon wieder echt apokalyptisch. Ich sehe es schon vor mir. "erheblich" wird in der Praxis "nicht mehr zu leugnen" heißen, alles andere wird weiter verschwiegen werden. Aber weil wir Mindeststandards haben, wird es ab dann "kann gar nicht sein, wir haben hier schließlich Standards!1!!" heißen. Ist alles sicher, weil wir ein Gesetz haben!1!! Und am besten wird das dann regelmäßig von irgendwelchen BSI-Zertifikatsträgern auditiert, oder hey, wie wäre es mit dem TÜV? Wie bei Fahrstühlen!1!!
Immerhin tut mal überhaupt jemand was. Aber sonderlich stringent werden die Sicherheitsstandards nicht sein können, sonst fällt als erstes unsere ganze staatliche Infrastruktur durch. Auf der anderen Seite fallen vielleicht ein paar der chinesischen Hintertüren tot um, wenn da mal jemand rumläuft und aus Sicherheitsstandardgründen das Windows XP updated.
Erstens hat ja keiner geglaubt, dass das BKA die technische Kompetenz hat, Trojaner zu bauen. Haben sie auch nicht. Dafür gibt es jetzt ein "Kompetenzzentrum Informationstechnische Überwachung" (CC ITÜ). Ich wäre ja lieber arbeitslos und würde vom Arbeitsamt mit Hartz IV Auflagen gegängelt als bei so einem Laden mitzuarbeiten. Die sollen sich alle mal schämen, die da arbeiten. Und dann über China meckern, so haben wir es gern!
Die zweite spannende Neuigkeit ist, dass das BSI eingeknickt ist. Das BSI, eine Ausgliederung des BND, hat es ja schon immer schwer, plötzlich als Behörde ernstgenommen zu werden, die für den Schutz der Bevölkerung vor digitaler Spionage zuständig ist. Gut, besonders beeindruckend waren ihre Leistungen auch nie. Das einzige, was man ihnen zu gute halten konnte, war dass sie sich geweigert haben, unserer Junta ihre Spionagewerkzeuge zu zertifizieren. Das war der ausdrückliche Wunsch der Möchtegerne-Unterdrücker von der CDU, aber das BSI hat immer argumentiert, dass das ihre Glaubwürdigkeit zerstören würde, wenn sie das täten. Jetzt gibt es eine Lösung:
Die Software zur Durchführung von Quellen-TKÜ wird durch ein BSI-zertifiziertes Prüflabor geprüft.Seht ihr? Ganz einfach! Das BSI zertifiziert jetzt nicht die Malware direkt, sondern sie zertifizieren ein Malware-Prüflabor! DAS ist natürlich was GANZ anderes, liebes BSI! DANN kann man ÜBERHAUPT NICHT davon sprechen, dass ihr eure Glaubwürdigkeit im Klo runtergespült habt, da ist ja noch eine Indirektion dazwischen!1!! Und Schwarz-Geld kann ruhig schlafen, weil sie wissen, dass das BSI über Bande ihre Diktatur-Technologie zertifiziert hat.
Update: Die Haupt-Lektion für mich wäre, nie wieder einer Prüfung zu trauen, wenn sie von einer BSI-zertifizierten Prüffirma kommt. Da muss man ja dann davon ausgehen, dass es einen Interessenskonflikt gibt, und die Hintertüren für staatliche Malware und Schnüffelmaßnahmen vor mir geheim halten würden. Wenn jemand eine Liste der zertifizierten Prüflabore findet, freue ich mich über eine Mail.
Update: Das hier sieht wie die Liste aus. Ich rechne also damit, dass der Trojaner dann von den Spezialexperten von T-Systems "geprüft" werden wird. Wir müssen uns also keine Sorgen machen.
Na herzlichen Glückwunsch, Herr Ziercke. So tief ist noch keine andere deutsche Behörde gefallen, dass man aus Angst, sich einen Trojaner zu holen, lieber eine bestehende Botnet-Infektion in Kauf nimmt, als auf eine Seite von euch zu klicken.
Können wir jetzt endlich diesen Ziercke und seine Mannen rausschmeißen, bitte? Was steht dem eigentlich in den letzten Jahren im Wege? Der Mann ist doch eine Katastrophe von geradezu biblischen Ausmaßen! Was muß der noch verkacken, damit er endlich rausfliegt?
Und dass dem BSI auch schon keiner mehr traut, das haben die ja schon länger mal verdient. Nicht wegen ihrer Arbeit, sondern weil das eine BND-Ausgliederung ist und vorher deren "Abteilung für Chiffrierwesen" war. Das war schon immer nicht nachvollziehbar, dass ausgerechnet die anderer-Leute-Krypto-Entschlüsseln-Leute plötzlich für die Gute Sache zuständig sein sollten. Da hätte man auch gleich einen Knasti zum BKA-Chef machen können. Wobei das vermutlich auch nicht schlimmer geworden wäre als dieser unsägliche Ziercke und seine Kinderporno-Roadshow. Sein klandestiner Stil ist schon immer einer Polizeibehörde unwürdig gewesen, und jetzt kriegt er die Rechnung dafür.
Der Bundesinnenminister Hans-Peter Friedrich treibt den Bau einer Bundes-Cloud voran, damit sensible Regierungs- und Unternehmensdaten nicht bei US-Behörden landen.Noch am Start? Einen hab ich noch. Ratet mal, wer das machen soll. Kommt ihr NIE drauf!
Die Regierung, das Bundesamt für Sicherheit in der Informationstechnik (BSI) und die Deutsche Telekom hätten in den vergangenen Wochen bereits miteinander gesprochen, heißt es aus Kreisen von T-Systems, der IT-Sparte der Telekom.OH NEEEEEEIIIIIINNNNN!!!
Also was schreibt er denn da so.
Das BKA hat keinen Verfassungsbruch begangen!Das wird sich zeigen.
In unsere OLD- und Quellen-TKÜ-Software war zu keinem Zeitpunkt eine rechtswidrige Hintertür zum Aufspielen von Ausspähprogrammen eingebaut.Das klingt gut, leider wird es noch im selben Dokument auf Seite 7 der Lüge überführt:
Update selbst wird mit der Updatefunktionalität der Digitask-Aufzeichnungseinheit durchgeführt (Updates werden protokolliert)Das mit dem Protokoll klingt gut, aber leider ist ein Protokoll auf Seiten des Trojaners wertlos, weil es von Dritten manipuliert werden kann, und ein Protokoll auf Seiten des BKA ist auch wertlos, weil über die Schnittstelle auch von Dritten weitere Malware hochgeladen worden sein kann, ohne dass das überhaupt beim BKA vorbeikommt.
Es gibt keinen Zugriff von Dritten auf die Software des BKA.Da bin gespannt auf Ihre Beweisführung, Herr Ziercke!
Die Planung, Durchführung und Nachbereitung von Quellen-TKÜ und Online-Durchsuchung folgen einem detaillierten Phasenkonzept, einschließlich ausdifferenzierter Prüf- und Kontrollmechanismen.Bei dem Satz muss jemand den Inhalt mitzuübertragen vergessen haben. Hier ist jedenfalls keiner angekommen. Auch die ganze Seite 4 ist reiner "Beweis durch Behauptung"-Kinderkram. Damit können sie vielleicht jemanden wie den Uhl überzeugen, aber sonst niemanden. Kein Wunder, dass sie das hinter verschlossenen Türen vor ausgesuchtem Publikum gehalten haben. Sonst wären sie ja aus dem Saal gelacht worden damit.
Dann machen sie noch die Ansage, dass sie in Amtshilfe für Rheinland-Pfalz und Hessen Trojaner verteilt haben. Sehr schön!
Desweiteren verweisen sie auf ihre ISO 9000ff-Zertifizierung (HAHAHAHA, Snake Oil zum Quadrat, das lässt ja tief blicken, dass sie DAS als Beleg für ihre Integrität nehmen!) und ein Phasenkonzept. Wer schonmal in einer WG gewohnt hat, mit Konzept zum gemeinschaftlichen Geschirrspülen und Müllrunterbringen, der wird das ähnlich erheiternd finden wie ich jetzt. Sie zitieren da ab Seite 6 das Phasenmodell. Ich kann das nicht mal pasten hier, ich hab vom Fremdschämen Rheuma gekriegt und kann die Maus nicht mehr schieben. AU DIE SCHMERZEN! Das einzige, was man da mitnehmen kann, ist dass es einen Amtsleitungsvorbehalt gibt. D.h. die Amtsleitung steht jetzt persönlich mit einem Bein im Knast und kann das nicht mehr auf inkompetente Angestellte abwälzen.
Schließlich kommen dann auch noch die Ausflüchte zu dem Proxy, bzw. kommen sie gerade nicht. Da steht nur:
zur Verschleierung der Q-TKÜ gegenüber dem Tatverdächtigen wird die gesamte Kommunikation der Software über mindestens zwei Proxy Server geleitetEin Schelm, wer böses dabei denkt.
auf diesen Proxy Servern werden keinerlei Daten abgelegt, sondern lediglich eine Durchleitung - über nicht-deutsche Server – vorgenommenAch sooo! Das ist nur eine Durchleitung! Na dann kann da ja nichts passieren. Immerhin: Sie geben zu, dass sie durch das Ausland routen. Das macht aber nichts (Seite 11), weil:
Richtig ist vielmehr, das die Daten über einen ausländischen Server lediglich verschlüsselt weitergeleitet und nicht auf dem ausländischen System gespeichert werden.Ich bewundere deren Chuzpe, ihre Pfusch-Verschleierung als "Verschlüsselung" zu bezeichnen. Oh und die scheinen noch nicht verstanden zu haben, dass man mit einem Proxy auch durchfließende Daten manipulieren kann.
Ein schöner Lacher ist noch die "Beendigungsphase":
No shit, Sherlock! Mit forensischen Methoden durch Dritte analysiert, ja? *schenkelklopf*
- Überwachungssoftware wird möglichst im Rahmen operativer Maßnahmen physikalisch gelöscht
- sofern mangels Zugriff auf das überwachte System physikalisches Löschen nicht realisierbar, wird auf die eingebaute Löschfunktion zurückgegriffen
- bei letztgenannter Alternative (sogen. Fernlöschung) besteht ein Restrisiko, dass die Software oder Teile davon zu einem späteren Zeitpunkt mit forensischen Methoden durch Dritte analysiert werden
Die nächste Frage, die sich stellt, ist was es mit der "revisionssicheren Dokumentation" zu tun hat, die gestern alle CDU-Tontauben nachgebetet haben.
Das ist nicht gut, weil "alle gewonnenen Daten" auch den Kernbereich der privaten Lebensgestaltung betrifft und nach Vorgabe des Bundesverfassungsgerichts solche Daten sofort gelöscht werden müssen. Und überhaupt stellt sich natürlich die Frage, was auf ein Protokoll zu geben ist, dass im Fall eines Manipulationsvorwurfes vom Angeklagten selber geführt wurde. Ich sage: gar nichts. Da müsste man schon besondere Maßnahmen ergreifen, um eine Manipulation besonders schwer zu machen, z.B. per Read-Only-Ausleitung der Logdaten in einen physisch separaten Logging-Bereich, bei dem nur hinten angefügt und nichts gelöscht oder überschrieben werden kann nachträglich. Was das BKA aber darunter versteht:
- Sämtliche durchgeführten Aktionen (Updates, Modulaktivierungen und -deaktivierungen) werden protokolliert.
- Des Weiteren sind dort alle gewonnenen Daten (Gespräche, Chatnachrichten, übertragene Dateien) auswertbar vorhanden.
Die operativen Worte hier sind "aus der Bedienoberfläche heraus". Wenn jemand weiß, wie man es außerhalb der Bedienoberfläche manipuliert, ist das Scheunentor offensichtlich offen. Daher dementiert das BKA auch gleich so doll sie können (ein lauer Windhauch würde diese Argumentation wegwehen):
- Das systemtechnische Protokoll ist aus der Bedienoberfläche heraus nicht manipulierbar.
ACH, für das BKA soll die Unschuldsvermutung gelten, wenn sie mit thermonuklearen Trojanern herumhantieren? Aber umgekehrt dürfen unsere Behörden uns trojanisieren, selbst wenn wir nachweislich überhaupt nichts angestellt haben, unter der Maßgabe der Gefahrenabwehr? Im Übrigen ist das mit dem administrativen Zugang nicht glaubwürdig. Wenn das GUI ohne Admin-Zugang in die Datenbank schreiben kann, dann kann das auch der Benutzer des GUIs. Er muss sich nur die Zugangsdaten für die Datenbank aus dem GUI rauspopeln.
- Löschen von Protokolldaten wäre nur mit administrativem Zugang (nicht der Ermittlungsbeamte, nur der Techniker hat Zugang) auf die zugrundeliegende Datenbank und entsprechendem technischen Aufwand bei gleichzeitiger krimineller Energie möglich. Dafür gibt es keinem Fall auch nur die Spur eines Verdachts!
Und ob das BKA kriminelle Energie hat, das ist ja wohl eine Frage des Blickwinkels. Die wollen Trojaner bei den Bürgern installieren! Wenn die Russen das tun, nennt man das "Mafia" und "organisierte Kriminalität" und die Politik nimmt es als Anlass, um noch mehr Trojanereinsätze zu begründen!
Aber hey, ist ja noch nicht fertig. Hier ist noch ein echtes Highlight:
Falsch ist, dass das BKA eine Überwachungssoftware verwendet, die mit einer unsicheren symmetrischen Verschlüsselung arbeitet und nur in eine Kommunikationsrichtung verschlüsselt. Wir verschlüsseln in beide Richtungen!HAHAHAHAHAHAHA, das alleine ist ja schon so ein Brüller, ich lach mich kaputt. Wir verschlüsseln in beide Richtungen mit einem unsicheren symmetrischen Cipher!1!!
Richtig ist, dass ein gemeinsamer Schlüssel zwischen Software und Einsatzservern vergeben wird. Dies dient der Verschlüsselung und der Authentifizierung.OH DIE SCHMERZEN! Sie bestätigen also direkt, was sie im Absatz davor noch dementiert haben. Gut, mit einem symmetrischen Schlüssel kann man sich nicht authentisieren, das weiß schon jeder Informatik-Studienabbrecher, das meinen die bestimmt nicht ernst? Doch, meinen sie!
Der Kommunikationspartner kann sich ohne diesen Schlüssel nicht als gültiger Partner ausgeben.Liebes BKA. IHR LIEFERT DEN SCHLÜSSEL AUS. Der ist im Trojaner drin. Der ist nicht geheim. Und man kann mit ihm nichts authentisieren. Fragt doch mal eure Krypto-Kollegen vom BSI, die haben dem Vernehmen nach Reste von Krypto-Knowhow am Start. Wenn die nicht alle schon dem Herzinfarkt erlegen sind angesichts eurer haarsträubenden Äußerungen hier, dann werden sie euch zumindest bestätigen, wie tief euer Unwissen hier reicht. "Wir haben da auch Experten", dass ich nicht lache. Gut, helfen werden euch die BSIler nicht, das haben sie ja schon angesagt. Aber euch ist ja eh nicht zu helfen.
Weiter im Text. Es fehlt ja noch der Teil, wo sie den CCC als die Bösen hinstellen. Hier ist er:
Seit der Veröffentlichung der Signatur der Verschlüsselung durch den CCC könnten noch laufende Maßnahmen entdeckt werden. Das BKA hat daher in einem aktuellen Verfahren der organisierten Rauschgiftkriminalität die Maßnahme sofort abgebrochen und dies der Staatsanwaltschaft und dem anordnenden Gericht mitgeteilt. Dies ist auch den Bundesländern mitgeteilt worden.ORGANISIERTE RAUSCHGIFTKRIMINALITÄT!!1! Mit anderen Worten: noch eine Online-Apotheke.
Oh, eine Sache möchte ich schon noch ansprechen:
Die Quellen-TKÜ-Software ist auf das Zielsystem und die dort installierte Skypeversion ausgerichtet. Bei einem Skypeupdate muss daher auch die Quellen-TKÜ-Software angepasst werden, da ansonsten die Kommunikation nicht mehr aufgezeichnet wird.Das klingt für mich nach Unsinn. Ich behaupte, dass das auch ohne Updates geht.
Das BKA behauptet weiterhin, das Verfassungsgericht habe nicht gesagt, ein Mehr an Funktionalität sei generell verboten, sondern nur dann,
wenn – und darauf kommt es dem BVerfG an - die durch eine Nachladefunktion eingesetzte Software zum Ausspähen von weiteren Daten genutzt würde.Hier ist, was das Verfassungsgericht tatsächlich urteilte:
Art. 10 Abs. 1 GG ist hingegen der alleinige grundrechtliche Maßstab für die Beurteilung einer Ermächtigung zu einer „Quellen-Telekommunikationsüberwachung“, wenn sich die Überwachung ausschließlich auf Daten aus einem laufenden Telekommunikationsvorgang beschränkt. Dies muss durch technische Vorkehrungen und rechtliche Vorgaben sichergestellt sein.Es geht also nicht darum, ob die nachgeladene Software tatsächlich benutzt wird, um mehr abzuhören, sondern es müssen technische und rechtliche Vorkehrungen da sein, um zu verhindern, dass das geschehen kann. Das ist hier nicht der Fall, daher handelt es sich um eine klare Verletzung des Urteils.
Gegen eine bloße Aktualisierungsfunktion kann das BVerfG keine Einwände haben, weil sonst die Maßnahme an sich gefährdet wäre.Den Typen, der diese Argumentation gemacht hat, würde ich gerne hinter Gittern sehen. "Ich MUSSTE den Laden ausrauben, Euer Ehren, denn mir ist ja Fahrradfahren erlaubt, und wenn ich denen nicht ein Fahrrad gestohlen hätte, dann wäre ja die Fahrradfahr-Maßnahme an sich gefährdet gewesen!1!!" Dass solche Leute überhaupt frei rum laufen können, irritiert mich maßlos, aber dass sie auch noch für Bundesbehörden der Exekutive Statements formulieren, das schlägt dem Fass den Boden aus. Wenn ihr es unter den Vorgaben nicht hinkriegt, DANN KÖNNT IHR ES HALT NICHT MACHEN. Ganz einfach!
Immerhin sehen sie auch selber ein, dass ihre Beweise da wertlos sind, und weil sie keine tatsächliche Überprüfung machen können, …
Das BKA hat am 11./12.10.2011 alle Protokolle bisheriger Quellen-TKÜ-Maßnahmen mit der DigiTask-Aufzeichnungseinheit unter Beteiligung der Beauftragten für den Datenschutz sowie für die IT-Sicherheit im BKA auf Plausibilität kontrolliert hat.Äh, auf … Plausibilität?! So Pi mal Daumen oder wie? Geschaut, dass keine Logeinträge von Freitag nachmittag kommen, weil da die Beamten auf dem Heimweg sind? Oder wie habe ich mir das vorzustellen? Wenig überraschend haben sie nichts gefunden:
Im Ergebnis konnten keine Hinweise festgestellt werden, dass im BKA eine Software eingesetzt wird, die über die rechtlich zulässigen Grenzen der Quellen-TKÜ hinausgeht und dass im Rahmen der bisher erfolgreich durchgeführten Quellen-TKÜ-Maßnahmen unzulässige Daten ausgeleitet werden.Natürlich nicht. Anhand einer "Plausibilitätsprüfung" der Logdateien kann man sowas ja auch nicht beurteilen.
Auf Seite 11 gibt es dann noch die Ausrede, wieso der Proxy in den USA steht. Achtung: fest sitzen bei der Lektüre:
Der Grund für diese Verschleierung ist kriminalistischer Natur. Skype selbst nimmt beim Start automatisch Kontakt mit einem Server in den USA auf. Für den versierten User sollte durch die Quellen-TKÜ- Software kein anderer Eindruck entstehen.m(
Halt, einen hab ich noch. Wie das BKA prüft. Ihr sitzt hoffentlich weiterhin fest:
Das BKA testet die bestellte Software mit Hilfe eines sogen. Positivtests, der der Funktionalitäten der Software und die Reaktion der vom Zielsystem eingesetzten Sicherheitssoftware (Virenscanner, Firewall) prüft. Die Maßnahme wird als einsatzfähig betrachtet, wenn die bestellten Funktionalitäten vorhanden sind, und die Sicherheitssoftware keine Warnungen produziert.Selbstverständlich sind so keinerlei Aussagen über eventuell zusätzlich vorhandene Funktionalität treffbar.
Update: Oh und natürlich ist der Paragraph mit den abgebrochenen Einsätzen auch gleichzeitig das Eingeständnis, dass ihre angeblich ganz andere Version des Trojaners das selbe schlechte Protokoll einsetzt und damit so verschieden nicht sein kann.
Update: Weil ich jetzt mehrfach darum gebeten wurde, hier nochmal explizit die letzte Zeile aus dem PDF:
Glauben Sie mir, meine Mitarbeiter verstehen das nicht!
Daran zweifelten wir auch keine Sekunde, Herr Ziercke!
Normalerweise wird Software, die von bayerischen Behörden eingesetzt wird, vom Bayern CERT überprüft. In diesem Fall war dies jedoch, so bestätigte der Leiter der Behörde, "definitiv nicht der Fall".Und weiter noch, falls das jemand nicht mitgekriegt hat:
Auch der Bundestrojaner des Bundeskriminalamts kann übrigens nicht von der technischen Expertise des Bundesamts für Sicherheit (BSI) in der Informationstechnik profitieren. Die Behörde hatte schon vor Jahren eine entsprechende Überprüfung abgelehnt, da damit ein Interessenkonflikt entstünde - das BSI berät auch Bürger, wie sie ihre digitalen Geräte vor Angreifern schützen können.Tja, wenn nicht das CERT und nicht das BSI, wer hat denn dann die besonders eingehende Prüfung durchgeführt? Na? Kommt ihr NIE drauf!
Das bayerische Landeskriminalamt teilte schließlich mit, dass es sich bei den externen Prüfern nicht um versierte IT-Sicherheitsexperten, sondern um Mitarbeiter anderer Landeskriminalämter handle.Das kann man sich gar nicht ausdenken! Die LKA-Spezialexperten haben sich notgedrungen gegenseitig attestiert, dass ihre Software schon OK sei! HARRHARRHARR
Und auch sonst redet sich das LKA Bayern um Kopf und Kragen, deuten gar an, das Gericht habe ihnen die Nachladeschnittstelle erlaubt.
SYMANTEC wird das jetzt ABSICHERN! HAHAHAHAHAHAHA
Zentrale Kernaussage ist, dass die Bundespolizei eine Apache-Distribution namens XAMPP eingesetzt haben. Den Teil mit Open Source und Apache hat der Focus allerdings nicht gemerkt, sonst hätten sie da wahrscheinlich fett draufgekloppt. Haben sie aber nicht. Sie haben das so verstanden, als sei das ein Antivirus (!?!?):
Peinlich nur, dass die geheimen Datenträger durch eine Billig-Software geschützt waren, die Spezialisten der Bundespolizei vorgegeben hatten.Auch der nächste Teil ist ein Money Quote für die Ewigkeit:
Die Bundespolizei diente den Partnerbehörden nach Angaben des BSI eine Server-Software namens XAMPP an, vor deren Risiken sogar normale Handbücher warnen. Das Fazit der Zollbeamten: „Diese von der Bundespolizei … angebotene Lösung ist risikobehaftet.“ Auch die Bundesnetzagentur stuft das Programm als unsicher ein. Der virtuelle Schutzmantel ist demnach so dünnhäutig, dass er einzig für den Privatgebrauch außerhalb des Internets und für Ausbildungszwecke gedacht ist.Ich sehe ein T-Shirt auf uns zukommen! "Not even XAMPP can protect you!" oder so. Käptn, der XAMPP-Schutzmantel ist gebrochen, Schilde bei 40%!
BMI-Referatsleiter Andreas Reisen erklärte, dass die Einführung des neuen Personalausweises erfolgreich verlaufe. Dass exakt am ersten Tag der Einführung eine Sicherheitslücke in der Update-Funktion der AusweisApp bekannt wurde, erklärte Reisen damit, dass dieses Wissen um die Lücke von Kritikern offenbar zurückgehalten wurde: "Das war eine inszenierte Sache."Äh, … zurückgehalten? Wann hätten sie die Lücke denn finden und publizieren sollen, ne Woche vor Release der App?
Mann Mann Mann. Die BESTEN der BESTEN der BESTEN, SIR!
Um einen eventuellen Missbrauch zu vermeiden haben wir aus Sicherheitsgründen eine Zugangssperre für unsere Marktteilnehmer gesetzt. Wir werden sie sobald als möglich wieder aufheben und Sie darüber umgehend informieren.Es geht um eine Viruswarnung vor "Nimkey", der offenbar Banken und das US-Finanzamt angreifen will. Die Mail warnt vor dem Virus und empfiehlt
Wir ersuchen Sie Ihr Anti-Virusprogramm auf aktuellem Stand zu halten und damit Ihren Computer regelmäßig zu überprüfenDasselbe hilflose Händeringen wie beim BSI anlässlich des Personalausweises. Ist ja schon irgendwie traurig, wie hilflos wir alle diesem Virenproblem gegenüberstehen.
Jedenfalls: ist nur eine Mail, behandelt das als Gerücht / Hörensagen.
Update: Hier ist ein offizieller Link!
Fürs Archiv: Der Hersteller der Äpp, und was sticht mir da sofort ins Auge: die werben da mit Common Criteria EAL4+ Zertifizierung. Da sieht man mal wieder, wie wertlos diese ganze Zertifizierungsscheiße ist. Reines Snake Oil.
Oh und wo wir gerade bei Hirnriss waren: aus der BSI-FAQ zur Ausweis-App:
Der Windows7-eigene Screenreader fängt beim Vorlesen die Eingaben über die Tastatur direkt ab. Dadurch wird auch die eingegebene PIN im Klartext vorgelesen. Unter JAWS, NVDA und VoiceOver tritt dieses Problem nicht auf.
Update: So eine Autoupdatefunktion einer Ausweis-Äpp wäre ja auch genau die Infrastruktur, die man für die Installation des Bundestrojaners braucht.
"Where is that ugly thing?", fragte der Minister dabeiDaneben eine Merkel mit Gollum-Gesichtsausdruck, oder von mir aus auch irgendein anderer unser ganzen gutaussehenden Poliker ("Politik macht schön").
Ich bin da nicht so drinnen, aber der Absatz in dem Update kommt mir im Moment nicht glaubwürdig vor. Mein Stand ist, dass die "Ende-zu-Ende"-Verschlüsselung eben nicht von Ende zu Ende ist, sondern von (per Trojaner fernsteuerbarem) "Bürgerclient", äh, der "Ausweis-App", und dem Webseiten-Anbieter. Angesichts dessen erscheint mir diese Aussage gerade nicht nachvollziehbar:
Auch muss bei Verwendung des Basislesers kein zusätzliches Sicherheitsprotokoll wie U-Prove verwendet werden, um eine Absicherung der übertragenen personenbezogenen Daten zu erreichen, da der neue Personalausweis grundsätzlich eine Ende-zu-Ende Sitzungsverschlüsselung und Integritätssicherung erzwingt.Bei einem einfachen Kartenleser gibt es kurz gesagt keine Möglichkeit, wie der Ausweis irgendwas erzwingen kann. Selbst wenn man den die Daten kryptographisch signieren lässt, dann kann der Trojaner ja immer noch die zu signierenden Daten ändern, bevor sie den Ausweis erreichen. Wenig erbaulich ist auch das Name Dropping, mit dem sie da zu punkten versuchen:
Derzeit kommen 256-Bit Schlüssel für Elliptische Kurven und AES-128 zum Einsatz.Denn für Integritätssicherung verwendet man eine Hashfunktion. Elliptische Kurven sind ein Public-Key-Verfahren und AES-128 ist ein symmetrischer Blockcipher. Ich vermute daher, dass es sich hier um eine PR-Nebelkerze handelt. Wer sich selbst ein Bild über die Technik machen will, der findet bei den Aufzeichungen vom 26C3 das nötige Bildungsmaterial.
Update: In dem Video erklärt Henryk, dass es tatsächlich ein Protokoll von Dienstanbieter PC/Lesegerät bis Karte gibt, das heißt PACE, aber dafür braucht man ein PACE-fähiges Lesegerät, und die gibt es noch nicht. Bzw. gab es sie noch nicht, als Henryk den Vortrag hielt, zum Jahreswechsel. Er meint, sowas kostet dann so 200 € und er rechnet daher nicht damit, dass das irgendjemand einsetzen wird.
Update: So, Henryk erklärt mir das gerade. PACE ist zwischen Karte und Leser (wenn man einen PACE-fähigen Leser hat), ansonsten zwischen Karte und PC. Nach PACE kommt noch eine Terminal Authentication, bei der sich der Web-Dienst gegenüber der Karte authentisiert, und eine Chip Authentication, bei der sich der Personalausweis gegenüber der Gegenstelle authentisiert, und wenn das durch ist, gibt es in der Tat einen Ende-zu-Ende-Kanal vom Perso bis zum Webanbieter. Da hat das BSI also Recht und ich ziehe mein Gemecker zurück. Hätte ich mich mal vorher informieren sollen :-)
Übrigens, Hashfunktionen sind SHA-1, SHA-224 und SHA-256, je nach Protokoll-Einsatzort.
Erst in einem zweiten Schritt wird ein Vertrag geschlossen oder eine Transaktion autorisiert. Ein Vertrag kommt grundsätzlich durch zwei Willenserklärungen zustande: Angebot (durch den Dienstanbieter) und Annahme (durch den Kunden). In vielen Fällen ist die Schriftform für diese Erklärungen nicht notwendig, d.h. sobald sich beide Seiten handelseinig sind, kommt auch ohne Unterschrift ein Vertrag zustande (konkludentes Handeln).Da haben sie völlig Recht. Die digitale Signatur ist weitgehend überflüssig. Die hoheitliche Biometrie bringt auch keinen Sicherheitsgewinn. Und eID ist von Trojanern angreifbar.
Wenn wir uns da alle einig sind, können wir dann nicht einfach den ganzen Blödsinn zurückdrehen, und weiterhin Persos ohne Chip machen?
[…]Also Humor haben sie ja :-)Am Rande bleibt noch zu erwähnen, dass in Gebäuden der Bundesverwaltung - und somit auch im BSI - Rauchverbot besteht, so dass wir dem veröffentlichen Wunsch des Chaos Computer Clubs (vgl. http://www.ccc.de, Veröffentlichung vom 21.09.2010 um 22:00:00 Uhr; Zitat: "Was die da rauchen …") nicht entsprechen können.
Mit freundlichen Grüßen,
Matthias Gärtner--------------------------------------------
Bundesamt für Sicherheit in der Informationstechnik (BSI)
Pressesprecher
Das ging leider per Mail rum, jedenfalls habe ich keine URL dazu. Vielleicht veröffentlicht das ja nochmal jemand in Gänze.
Übrigens, bei aller Häme über de Maizieres Äußerungen gestern: eigentlich hat der Mann unser Mitleid verdient. Der muss sich da ins Fernsehen stellen und ein Rohrkrepierer-Projekt verteidigen, an dem sich ausgerechnet der Mensch, den er (deswegen?) rausgeschmissen hat, August Hanning, eine goldene Nase verdient.
Update: Hahaha, sie haben da echt ne DPA-Meldung draus gemacht! Liebes BSI, wenn ihr zum 27C3 kommt, trinken wir gerne ein Gläschen Rotwein mit euch und tauschen Gerüchte über Stuxnet aus :-)
BSI-Experte Jens Bender nahm Stellung zur Kritik des CCC. Er räumte ein, wenn ein Benutzer "den großen Fehler" mache, den elektronischen Personalausweis länger als nötig in einem Lesegerät zu lassen, könne sich ein Angreifer im Besitz der PIN tatsächlich für ihn ausgeben, zum Beispiel bei Altersverifizierungsdiensten.DAS ist ihre Strategie jetzt? "Das ist alles sicher, aber tut die Karte nur in den Leser, wenn ihr wirklich müsst"? Bwahahahaha, was für eine Lachnummer!
Und ihre Verteidigung zu den Geschäften im Internet ist, dass man dafür eine digitale Signatur braucht und sich nicht nur ausweist. Aha. Soso. Hat das mal jemand dem Herrn de Maiziere erklärt? Der hat die Identifikationsfunktion nämlich schon als Funktion fürs sichere Einkaufen im Internet beworben.
So ein Personalausweis hat drei logisch getrennte Bereiche, den hoheitlichen Teil mit den Biometriedaten, den eID-Teil fürs Ausweisen, und als drittes die Signatur. Damit die aber rechtswirksam ist, muss laut Signaturgesetz die PIN am Smartcardreader eingegeben werden, man braucht also einen Reader mit PIN-Eingabefeld, der braucht dann auch eine richtige Stromversorgung und kostet richtig Geld, weil das a) RFID statt Kontakten ist wie bei den verbreiteten Readern mit Pinpad im Moment und b) gibt es solche Reader für den "nPA" (ePA ist nämlich verbrannt, müsst ihr wissen, deshalb nennen die das jetzt "nPA") noch nicht.
Kurz gesagt: ihre Verteidigung ist, dass der eID-Teil eh für den Fuß ist, und man halt den Signaturteil benutzen soll, den es noch nicht gibt (die beiden zertifizierten Leser sind in der Klasse "Basis", d.h. ohne Pinpad und ohne Display, der Rest sind nur Labormuster ohne BSI-Zertifizierung).
Und, um das nochmal ganz deutlich zu sagen: "dann lässt man die Karte halt nicht im Leser" ist unter dem Gesichtspunkt "das sind kontaktlose RFID-Karten" auch noch mal eine besonders … spaßige Aussage.
Angeblich haben sie schon ne Million Reader ohne Pinpad geordert, damit sie überhaupt was zum zeigen haben. Ohne Pinpad heißt natürlich unsicher, und weil wir, um das nicht zu kompliziert zu machen, als Gefahr "Keylogger" benannt haben, haben sie sich als Feigenblatt ein Software-Pinpad auf dem PC gemacht, wo man dann die Tasten mit der Maus klickt und nicht auf der Tastatur eingibt. Weil das natürlich was GANZ ANDERES ist und VÖLLIG UNABGREIFBAR durch Trojaner!1!! Da kriegt man echt abgenutzte Handflächen vom Fazialpalmieren.
An der Stelle sei auch auf die CCC-Presseerklärung zum Thema hingewiesen. Mein Lieblingssatz daraus:
"Was die da rauchen, hätten wir auch gern mal", kommentierte CCC-Sprecher Engling.Update: Noch ein Detail: mit der eID-PIN kann man die Signatur-PIN setzen, wenn die noch nicht gesetzt wurde, was ja bei praktisch allen Anwendern zumindest initial der Fall sein wird.
Das BSI dementiert selbstverständlich, jemals so einen Blödsinn gesagt zu haben.
Was für eine Posse.
Konkrete, pragmatische Forderungen kamen weniger von Verbandsvertretern als von den Netzpolitik-Aktivisten aus CCC und AK Vorratsdatenspeicherung.Überraschung!!1!
Ich fühle mich in meiner Auffassung bestärkt, dass die alle rausgeschmissen gehören. Der BSI-Präsident hat da ernsthaft von organisierter Internetkriminalität zu faseln begonnen, und der Typ von den Verbraucherzentralen brachte dann noch das Urheberrecht ins Gespräch (WTF?!?). Gerade von den Verbraucherzentralen hätte ich da mehr erwartet. Zumindest aber, dass sie die Klappe halten, wenn es um ein Thema geht, von dem sie keine Ahnung haben.
Aber natürlich sind in der Zwischenzeit Politiker aufgesprungen und wollen das geschickt für sich verwursten. Das könnt ihr also mal direkt abhaken, das war eine Ente. Andy hat eco noch empfohlen, da selber noch mal ein Dementi zu publizieren. Das tun sie hoffentlich auch bald, damit da keine Begehrlichkeiten entstehen. Ihr wißt ja, wie das ist, wenn inkompetente Politiker plötzlich Morgenluft schnuppern.
Update: ACH NEE, das wird ja immer spannender! das BSI bestätigt jetzt plötzlich die Eco-Pressemeldung und sagt, das sei seit langem abgesprochen. Was jetzt? Einer von beiden macht gerade Krisen-PR, um ihr Gesicht zu wahren. Mal schauen, ob Eco ein Dementi publiziert. Wenn nicht, dann wäre meine Interpretation, dass sie wie Anfänger ins Messer gelaufen sind und jetzt merken, dass ihnen Zensursula 2.0 droht in Sachen Katastrophen-Presse und nicht wissen, wie sie zurückrudern sollen. Wenn doch, dann ist das BSI in Erklärungsnot. Andererseits bestätigt das BSI natürlich auch nur einen winzigen Teil der Botnetz-Sache, nämlich ein Beratungszentrum. Dagegen ist ja prinzipiell nichts einzuwenden, ausser dass es Geldverschwendung ist. Es können also theoretisch auch noch beide Darstellungen richtig sein.
Aber jetzt gibt es zumindest einen humoristischen Höhepunkt, den Heise zu berichten hat:
Dem gemeinsam vom Bundesamt für Sicherheit in der Informationstechnik (BSI) und dem Verband der deutschen Internetwirtschaft (eco) entwickelten Konzept zufolge hätten Internetzugangsanbieter (ISPs) längst die technische Möglichkeit, vireninfizierte Rechner bei ihren Kunden durch Analyse des Netzwerkverkehrs auszumachen.Aha. Soso. Weil die … IRC machen, ja? Und dann lange auf Kanälen rumhängen, ohne etwas zu tippen? Moderne Botnetze können noch ganz andere Protokolle für ihr Command&Control benutzen, von HTTP über XMPP bis BitTorrent. Das will ich sehen, wie die ein noch nicht reverse engineeretes Botnet am Traffic erkennen. Oder generell, wie sie datenschutzkonform bei ISPs Jabber oder IRC mitloggen wollen, um ein Botnet zu erkennen.
Update: Wenn man da aus der anderen Richtung drüber nachdenkt, ergibt das plötzlich doch einen Sinn. "Ihr Internetzugang ist gesperrt worden, weil Sie einen Virus haben. Lassen Sie mal [diese Software] laufen, um den Virus zu entfernen". Einen besseren Installationsvektor für den Bundestrojaner gibt es doch gar nicht!
Das Bundeskriminalamt geht von «einigen 1000 Domains» aus, die zu sperren sind. Bis zu 200 neue Seiten würden schätzungsweise pro Woche dazukommen.Sorum hat das natürlich niemand gesagt, aber das ist eine von Zensursulas Fantasiezahlen, mit denen sie in letzter Zeit Wahlkampf betrieben hat. Oops.
Update: Und auch das BSI-Gesetz. Und die Patentrechts-Verschlimmerung. Wozu gibt es den Bundesrat eigentlich, wenn die die ganzen Müllgesetze durchwinken?
Update: Doch, doch, der Bundesrat winkt nicht alles durch. Das Schulobst-Programm z.B. haben sie gestoppt. Weil das 20 Millionen kosten würde. Aber für Internetzensur haben wir das Geld, ja? Tolle Wurst.
Und die Leute vom De-Mail Projekt haben sich bis auf die Knochen blamiert, als sie in ner Präsi von nem jungen Informatiker aus Bochum in technischen Dingen auseinander genommen worden sind. Konnten sich dagegen aber nur mit heisser Luft wehren und dem Standardvorwurf "das ist ja typisch deutsch, Bedenkenträger". Dr. Heike Stach - die Projektleiterin(?) - hatte sogar ihre eigenen Jubelperser zum Klatschen mitgebracht. Was für Luftpumpen!Ich finde das eine tolle Idee. Ich will das auch haben. Am besten gleich randomisieren. Oder gleich alle Daten von dem Ausweis randomisieren.Hammer des Tages war aber ein BND-Futzi, der - vor versammeltem Publikum!! - an das Projekt "elektronischer Personalausweis" ernsthaft die Frage gestellt hat, ob man da auch mehrere IDs darauf speichern könnte…
Update: Es gibt eine gutartige Erklärung für den BND-Typen. Datenschützer hatten Pseudonyme gefordert, wie sie auch im SigG vorgesehen sind. Könnt ihr euch ja selber überlegen, ob der BNDler einfach nur an Datenschutz interessiert gewesen sein wird. Wenn ich an Datenschutz denke, denke ich auch immer zuerst an den BND.
Das BSI-Gesetz sei daher nur ein erster Schritt, kündigte Schäuble an: "Zur Abwehr ist es nötig, über dieselbe fachliche Kompetenz und die technischen Möglichkeiten wie die Angreifer zu verfügen."Da weiß man, was man hat.
Die Datenschutzaktivisten kritisieren, der Vorstoß würde die "unbegrenzte und unbefristete Speicherung jeder Eingabe und jedes Mausklicks beim Lesen, Schreiben und Diskutieren im Internet legalisieren". Diese Surfprotokolle dürften an Polizei, Bundeskriminalamt, Geheimdienste sowie an die Unterhaltungsindustrie herausgegeben werden. Eine richterliche Anordnung sei nicht vorgeschrieben, eine Beschränkung auf schwere Straftaten nicht vorgesehen.Und auch der Ziercke lässt mal wieder seiner Phantasie freien Lauf: Bundestrojaner gegen organisierte Kriminalität in Osteuropa. Nanu? Jetzt hat das BKA auch schon die Kompetenzen eines Auslandsgeheimdienstes? Wird ja immer härter! Und was meint er mit organisierter Kriminalität? Phishing, Spamming, Botnetze. Ja, richtig gehört, Ziercke will den Bundestrojaner gegen Botnetze einsetzen.
Gut, der Ziercke ist ja nicht der einzige, der von Tuten und Blasen keine Ahnung hat, und der ein Botnetz nicht erkennen würde, wenn es ihm in den Arsch beisst, geschweige denn einen chinesischen Trojaner auf seiner Festplatte identifizieren könnte. Aber andere Leute halten dann lieber die Schnauze und vermeiden weiteres sich lächerlich machen. Ich gebe zu, bei Ziercke gibt es da nicht mehr viel zu schützendes Material.
Aber war es das schon? Nein! Es gibt noch folgendes grandiose Argument für den Bundestrojaner:
Man werde aber etwa über die Möglichkeit der Quellen-TKÜ zur Aufklärung von Computerkriminalität reden müssen, die Experten zufolge technisch gesehen verdeckten Online-Durchsuchungen nahe kommt. "70 Prozent der Erfolge beruhen heute auf der TKÜ", sagte Ziercke. "Da kann man den Kopf nicht in den Sand stecken".Hey, ich habe noch einen Vorschlag, Herr Ziercke! Wir können uns die Ermittlungen ganz sparen und die Leute direkt in den Knast stecken, da haben wir dann eine noch höhere Erfolgsquote mit! Dieser ganze Rechtsstaat ist uns doch eh nur im Wege. Und wenn jemand Widerspruch einlegt, dann foltern wir das Geständnis einfach aus ihm heraus. Justiz kann so einfach und effizient sein, wenn man den Anspruch der Rechtstaatlichkeit fallen lässt!
Aber nicht nur das BKA nutzt die Gelegenheit für einen Schuss ins Knie. Auch die DATEV greift mal so richtig schön tief ins Klo.
Als großes Hindernis bei der Aufklärung von Verbrechen im Internet machte der Vorstandsvorsitzende der DATEV den Einsatz von Verschlüsselungstechniken durch Angreifer aus: "Wenn nur die Kryptographie nutzen, die etwas verbergen wollen, haben wir ein Riesenproblem."Oh nein, der Angreifer hat seine IP und den Port verschlüsselt!1!! Und den Shellcode auch!!1! Nicht dass irgendjemand von der DATEV erwartet hätte, dass die zur Diskussion was beizutragen haben. Aber trotzdem. Meine Fresse. Können die nicht einfach alle mal die Klappe halten, wenn sie keine Ahnung haben?
Halt halt! Einen hab ich noch! Der Präsident des BSI hat die Lösung gefunden: man muss Emails digital signieren. Mit einem Chipkartenleser. Und schwupps haben wir die perfekt überwachbare Email! Sozusagen selbstüberwachend!
Konkret stößt sich Schaar vor allem daran, dass das BSI "die gesamte Sprach- und Datenkommunikation aller Unternehmen und Bürger mit Bundesbehörden ohne Anonymisierung beziehungsweise Pseudonymisierung abhören und auswerten" können soll. Im Entwurf selbst heißt es dazu, dass das Amt "Protokolldaten", die beim Betrieb der Kommunikationstechnik des Bundes anfallen, erheben und automatisiert auswerten darf.Äh, wie meinen? WTF?! Desweiteren wollen sie das BSI auch nicht verpflichten, ihnen bekannt gewordene Sicherheitslücken zu veröffentlichen. Warum auch. Wie kommt der Schaar darauf, dass das Bundesamt für Sicherheits in der Informationstechnik dann auch tatsächlich was für die Sicherheit in der Informationstechnik tun muss!1!!
Einer schreibt z.B., dass da auch schon die Verbraucherzentrale Sachsen vor gewarnt hat.
Ansonsten klärt mich ein Banker über die Kosten auf. Lastschrift und Überweisung kosten Geschäfte gleich viel, die zahlen pro Buchung. Der Unterschied ist wie schon vermutet die Rückbuchbarkeit, die halt bei Überweisungen in der Praxis nicht gegeben ist. Und eine rückgerufene Lastschrift kostet eine zweite Buchung für das betroffene Geschäft.
Dann kam da noch diese URL bei der Berliner Volksbank, die explizit vor dem System warnt.
Payment Network AG bietet im Übrigen eine Versicherung bis 5000 Euro an, aber für den Laden, falls der was zurück erstatten soll, nicht für den Endkunden. Falls ein Endkunde Geld zurück will: da gibt es auch eine Versicherung, aber nur bis 2500 Euro, und nur bei "geprüften Händlern" und nur bei "materiellen Konsumgütern", also nicht bei Dienstleistungen, Wertkarten, Content-Bezahlung, und bizarrerweise auch nicht bei Edelmetallprodukten und Münzen (?!?).
Es gab laut dieses Forenbeitrags sogar schon eine Abmahnung der Verbraucherzentrale Berlin.
Dann weist mich noch jemand aus dem TÜV-Umfeld darauf hin, dass TÜV nicht gleich TÜV ist, das war in diesem Fall TÜV Saarland, genauer Tekit aus Bonn, deren Kriterien "Einfache Bedienung, Sichere Übertragung, Schnelle Transaktion" sind, wo ich zwei von dreien erst mal direkt für irrelevant halten würde aus Sicht eines Security-Prüfers. Und der Fliesstext sagt dann, es wurde "in Anlehnung an ISO und BSI Sicherheitsbestimmungen" geprüft. Also vermutlich haben sie geguckt, ob es am Serverraum eine abschliessbare Tür gab (sorry, aber an einem billigen Seitenhieb gegen das BSI komm ich nicht vorbei) :-)
Dann wies jemand auf Giropay hin, das offenbar etwas ähnliches ist. Wenn ich mir deren Seite angucke, liest sich das aber anders, als ob Giropay bei meiner Bank eine Transaktion einträgt, die ich dann bei meiner Bank bestätige, d.h. weder PIN noch TAN gehen an Giropay und es gibt auch keinen Automatismus, weil ich noch mal bestätigen muss als Kunde. Aber das ist jetzt nur vom Überfliegen von deren Webseite.
Dann wies noch jemand auf Conrads Datenschutzstatement hin, wo u.a. folgender Absatz drin steht:
Wir behalten es uns vor, Ihre Daten zur Versendung von Informationsmaterial auch zu eigenen Werbezwecken zu nutzen sowie anderen Unternehmen in zulässiger Weise zu überlassen. Falls Sie damit nicht einverstanden sind, schicken Sie uns einfach eine kurze formlose MitteilungBwahaha, nee klar.
Dann schreibt jemand, dass L'TUR mit einem ähnlichen Verfahren im Jahr 2000 schon Ärger hatte.
Dann schreibt mir noch einer, dass die Überweisung auch nicht an den Kunden geht, sondern an Payment Network, und die das dann an den Kunden weiter leiten, minus einer Kommission. Das finde ich ja nun wieder spannend, weil so eine Kommission ja gerade das Argument gegen Kreditkarten ist. Offenbar nimmt Payment-Networks da weniger Kommission.
Dann schreibt noch jemand, dass der RTL Spendenmarathon das als exklusives Zahlungsmittel anbieten. Das finde ich ja schon krass jetzt, auch wenn ich gegenüber RTL sicher keine überhöhte Erwartungshaltung habe *hust*.
Hier gibt es ein PDF des TÜV-Zertifikats.
Giropay hat offenbar ein Disagio von 2% und kostet in der Integration 5-10 Kiloeuro. Hier hat also blinde Gier der Banken eine Marktlücke für die Sofortüberweisung geschaffen, und die Zeche zahlen am Ende die Kunden. Bei der Sofortüberweisung beträgt der Abzug je nach Fall zwischen 0,8 und 1,5%, bei Kreditkarten um die 3%.
Vielen Dank für die vielen, vielen Zuschriften.
Update: die Pressemitteilungen von denen sind auch witzig. Ebay (!!) hat die auf die Liste der nicht gestatteten Zahlungssysteme gesetzt. Dann machen sie damit Werbung, auf der Venus 2008 (Berliner Pornomesse) vertreten zu sein. Sehr cool auch diese Meldung mit Foto der bayerischen Justizministerin in Tracht.
Update: Hier ist noch eine Meldung zur Ebay-Verbotsliste, aber mit interessanten Kommentaren darunter, u.a. von der Firma selbst. Während die in den Kommentaren hauptsächliche ihre PR abspulen, bleibt vom Artikel selbst vor allem die juristische Keule in Erinnerung, mit der der Geschäftsführer Ebay droht. Das ist ja auch immer ein schlechtes Zeichen, wenn Firmen mit Klage drohen. Auf der anderen Seite ist es Ebay, die ja auch nicht gerade Sympathieträger sind. Aber hey, ich verlinke mal explizit darauf, damit mir keiner einseitige Berichterstattung vorwerfen kann. Da habt ihr deren Seite. Und das ist auch humoristisch durchaus eine Goldgrube, argumentieren sie doch z.B., ihr System sei sicherer, weil die TAN involviert ist, und die könne ja nicht durch einen Angriff auf den Kunden-Rechner erlangt werden (soso, vielleicht wollen die sich mal über die Möglichkeiten von Trojanern informieren). Außerdem ist ihr System vertrauenswürdig, weil PIN und TAN nicht zu Conrad gehen, sondern zu ihnen. Nun, äh, Conrad hat zumindest einen bekannten Namen, von Payment Network AG habe ich noch nie was gehört und habe überhaupt keinen Grund, die für seriös zu halten. Aber lest das mal selber durch. Mein persönliches Highlight:
Uns liegen sogar Schreiben von Banken selbst vor, dass weder technisch noch juristisch gegen sofortüberweisung.de vorgegangen werden kann.
Sie sind auch noch stolz darauf, dass die Banken gegen sie vorgehen wollten!
Ihr habt ja sicher mitgekriegt, dass gerade der ach so unabhängig klingende "Deutsche IT-Sicherheitspreis 2008" verliehen wurde. Gewinner war: Bingovoting.
Erst mal zu dem IT-Preis. Ausgeschrieben wird der Preis von der Horst Görtz Stiftung. Die Stiftung kümmert sich neben der IT-Sicherheit auch um Rehabilitation von Komapatienten (?) und um "chinesische Lebenswissenschaften" (?!?!?). Horst Görtz ist der Gründer von Utimaco. Für mich riecht das danach, als hätten sie die Stiftung genommen, um ein unbedenkliches Vehikel für Industrie-Lobbyarbeit in Form des Preises zu haben. Und es ist auch sicher kein Zufall, dass der Preis an das Wahlcomputer-Umfeld vergeben wird, denn da steht ja der Termin beim Verfassungsgericht direkt bevor. Und — was für ein Zufall! — der Erfinder von Bingo Voting, Dr. Jörn Müller-Quade, soll vor dem Verfassungsgericht als Sachverständiger aussagen. Da sah die Industrie offenbar ihre Felle davon schwimmen und wollte dem Herrn Sachverständigen noch kurz ein 100.000 Euro Argument mitgeben, das er vor dem Verfassungsgericht als Hoffnungsschimmer präsentieren kann, damit die Karlsruher computergestützte Wahlen nicht vollständig verbieten. Und da trifft es sich auch gut, dass der Herr Sachverständige auch selber in Karlsruhe arbeitet, Lokalkolorit kommt immer gut.
Aber schauen wir uns doch mal die Jury an:
Dem gegenüber sind vier nicht neutral: Einmal der Common Criterial Mensch, denn das ist ja das Allerheilmittel, um Hardware vertrauenswürdig zu machen, das geht ja gar nicht, wenn das Verfassungsgericht da jetzt das Gegenteil sagt. Dann der Utimaco-CEO und der Utimaco-Krypto-Prof, deren Stiftung verleiht den Preis. Dann der T-Systems Online-Voting-Mensch natürlich. Man kann auch noch argumentieren, dass die Smart Card und TPM-Fraktion ein Interesse daran hat, Hardware grundsätzlich als vertrauenswürdig genug für Wahlen darzustellen, dann wären es noch mehr.
Ich kann mich da natürlich bezüglich der Qualifikationen der Leute auch irren, das basiert jetzt nur auf ein bisschen Rumgoogeln, aber es ist kein guter Anfang.
Es gibt da Leute, die das noch kritischer sehen, und die ganze IT-Uni-Szene für eine korrupte Mischpoke halten. Ich habe auch den Eindruck, kann das aber nicht genug untermauern, um das öffentlich zu sagen.
Kommen wir zu Bingo Voting selber.
Bingo Voting ist ein cooles Verfahren. Ja, ist es. Es ist aus der Tradition der Verfahren, die ich gerne als "Krypto-Hirnwichs" bezeichnen möchte, weil sie intellektuell herausfordernd, spannend und anspruchsvoll sind, und das Denken über kryptologische Verfahren voran treiben.
Andere Verfahren aus der Kategorie sind die Chaum-Protokolle für kryptologische Zahlungsverfahren, und Zero Knowledge Poker. Von diesen ganzen Verfahren sind einige implementiert worden, aber nur eines hat tatsächlich eine Anwendung: Zero Knowledge Skat. Für eine Skat-Runde ist das nämlich nicht so wichtig, ob man da was übersehen hat. Bei elektronischen Wahlverfahren hingegen geht es um ein ganzes Land, im Fall von Deutschland um Billionen von Euros, über die die zu wählende Regierung bestimmen kann, da muss man von einem Angreifer mit quasi unlimitierten Ressourcen ausgehen. Und man kann eben auch keine Einbußen gegenüber unserem bisherigen Wahlverfahren hinnehmen, wo jeder Bürger nach der Wahl das Auszählen der Stimmen begutachten darf. Einfach so. Transparenz ist das Stichwort.
Bingo Voting ist ein Krypto-Protokoll, das mit der Annahme operiert, dass derjenige, der die Wahl durchführt, integer ist. Derjenige stellt nämlich einen Zufallsgenerator, der nicht manipuliert sein darf, sonst ist das ganze Verfahren hinfällig. Das mag nicht jedem Leser klar sein, daher will ich mal beschreiben, wie man sowas prüft: gar nicht. Man kann das nicht prüfen. Man kann ein paar statistische Verfahren drauf werfen, um zu gucken, ob es Anzeichen von Bias gibt. Aber damit kann man nur versehentliche Unzufälligkeit nachweisen, nicht absichtliche. Der Fokus auf den Zufallszahlengenerator kommt von den Bingovoting-Leuten selber, nicht von mir. Deren Argumentation geht so: wenn wir den Zufallszahlengenerator rausziehen, dann müssen wir die Wahlcomputer selbst nicht so gut sichern, weil dann wissen wir ja, dass der Zufall richtig zufällig ist. Das stimmt schon mal so allgemein nicht, denn der Wahlcomputer kann ja immer nur die Zufallszahlen nehmen, die einer bestimmten Bedingung genügen, und damit haben wir eine gute Zufallsquelle aber schlechten Zufall am Ende.
Kurz gesagt: erstens ist der Zufallszahlengenerator manipulierbar, und zweitens würde es nicht helfen, wenn er es nicht wäre.
Die stellen sich da eine mechanische Lottomaschine als intuitiv vertrauenswürdigem Zufallsgenerator vor, haben aber selbst bei ihren Feldtests doch lieber einen elektronischen Generator genommen und dem dann halt vertraut.
Für die Wahlcomputer selber kommen natürlich wieder die selben Probleme dazu, die Wahlcomputer generell haben, sie könnten z.B. einfach mitloggen, wer wie gewählt hat, oder elektromagnetische Abstrahlungen haben, etc. Das ist alles kaum bis gar nicht nachzuweisen. Gegen Wahlcomputer-Manipulation ist natürlich auch ansonsten kein Kraut gewachsen. Der manipulierte Wahlcomputer kann z.B. jedem Linkspartei-Wähler den selben Ausdruck mitgeben, und im Hintergrund nur mit einer Stimme tatsächlich für die Linksparteil stimmen. Das würde nur auffallen, wenn jeder seine Ausdrucke mit allen anderen Ausdrucken im Stimmbezirk vergleicht, was rein logistisch ausgeschlossen ist.
Die Bingovoting-Leute halluzinieren sich dann noch folgendes Konstrukt herbei:
We intend therefore a trusted printer, which uses unforgeable paper to allow the voter to prove that she indeed has a valid receipt.Da kann ich ja nur heiser lachen. In der Praxis steht und fällt die Manipulationssicherheit des Systems damit, dass alle Wähler oder zumindest die Mehrzahl von ihnen nach der Wahl ihren Ausdruck prüfen. Das wird nicht geschehen. Das Verfahren selber ist so obskur und unverständlich, dass normale Mathematiker und Informatiker es nicht auf Anhieb verstehen, da braucht man schon Kryptographie-Grundkenntnisse. Dass der Bürger das versteht, und die Signifikanz ihrer Quittungen nachvollzieht, ist völlig ausgeschlossen.
Der Aufwand für das System übersteigt den für die (hoffentlich) gescheiterten Wahlstift- und Nedap-Systeme noch einmal deutlich. Die Angriffe sind so subtil möglich, dass der Wähler sie nicht verstehen kann. Wenn einer der Wahlcomputer die Liste der Dummy-Stimmen weiterleitet, ist das Wahlgeheimnis futsch. Wenn ein Wahlcomputer die Stimmreihenfolge protokolliert oder elektromagnetisch abstrahlt, ist das Wahlgeheimnis futsch. Wenn ein Wahlcomputer manipuliert ist, ist sogar das Wahlergebnis nicht vertrauenswürdig.
Dass die Praktikabilität nicht gegeben ist, sehen auch die Erfinder selber ein, indem sie vorschlagen, 40 Bit Zufallszahlen zu nehmen, damit man nicht so viel vergleichen muss als Bürger. 40 Bit? Das ist natürlich viel zu wenig. Schon aus Gründen des Geburtstagsparadoxon.
Im Übrigen kann der Betreiber der Wahl nach der Wahl auch "Beweise" für eine Manipulation generieren, wenn ihm das Ergebnis nicht gefallen hat.
Kurz gesagt: tolles Verfahren, aber in der Praxis untauglich, ja sogar ein Rückschritt gegenüber dem, was wir jetzt haben.
Und DIESE Leute sind Gutachter vor dem Verfassungsgericht, ob Wahlcomputer abgeschafft werden sollen oder nicht. Na prost Mahlzeit.
Update: Andreas und ich sind noch am diskutieren, ob dieser Danisch-Angriff funktioniert oder nicht. Seit 24 Stunden ist der CCC jetzt damit beschäftigt, dieses Protokoll zu verstehen zu versuchen. Das alleine ist in meinen Augen Aussage genug, ob das vielleicht zu komplex ist, um realistisch nachprüfbar zu sein. Papierwahl versteht auch Oma Frieda vom Bauernhof.
Update: wir sind inzwischen überzeugt, dass der Danisch-Angriff abgewehrt wird. Aber aus dem näheren Nachdenken ergeben sich neue Einsichten. Z.B. ist uns augefallen, dass alle Daten, die man für das Brechen des Wahlgeheimnisses braucht, auch aufgehoben werden müssen, weil man sie für die Beweise der Wahlintegrität später braucht. Der Wahlcomputer muss also gar keine Daten elektromagnetisch abstrahlen und auch nicht manipuliert werden, um einem Insider das Brechen des Wahlgeheimnisses zu erlauben. Ich skizziere das mal. Der Erpresser verlangt von mir, dass ich CSU wähle. Ich gebe ihm nach der Wahl meinen Wahlschein. Damit geht er dann zum Wahlleiter, und der hat die Daten vorliegen, die er für den Beweis braucht, dass mit dieser Stimme die CSU gewählt wurde. Oder natürlich, wie bei Nedap, der Erpresser manipuliert den Wahlcomputer oder hört seine elektromagnetischen Emissionen ab.
Update: Oh wow. Der Bingovoting-Mensch hat vor dem Verfassungsgericht im Wesentlichen die CCC-Position vertreten, meinte zu seinem Verfahren, es bestünde ja schon Hoffnung, aber das sei in weiter Ferne. Das freut mich sehr, dass es doch noch Akademiker mit Rückgrat gibt. Da wird sich die Industrie ärgern, dass sie ausgerechnet den mit dem Preis noch aufgebaut haben vorher.
Update: mir mailt gerade jemand, dass das HGI-Institut nicht mehr von der Stiftung finanziert wird, die hätten nur mal anfangs drei Lehrstühle finanziert. Damit wäre meine "stiftungseigen" Kritik an dem Herrn Schwenk entkernt. Und der Herr Schabhüser, teilt mir gerade jemand anderes mit, ist tatsächlich Mathematiker und sogar Kryptologe. Damit ist der Anteil der Jury-Mitglieder, die das Verfahren auf Anhieb verstehen können, auf immerhin zwei von acht gestiegen.
Die Stasi spitzelte rund um die Uhr. Leichtfertig findet er es, wenn heute Deutschland „Überwachungsstaat“ genannt wird.Nee, klar. Denn, so müsst ihr wissen, der Hanning, der ist eigentlich ein Held!
Seit zweieinhalb Jahren betreibt Hanning eine stille Revolution. Die Abschottung von Polizei und Nachrichtendiensten bricht er auf, weil es in Zeiten der Internetkommunikation auf rasche und umfassende Information ankommt.Sehr ihr? Die Lektionen, die wir aus der NS-Zeit gezogen haben, macht der Mann mal eben rückgängig, und die FAZ feiert ihn noch dafür! Man kann gar nicht so viel fressen, wie man kotzen möchte.
Doch er sieht die Gefahr, dass der Föderalismus zu Chaos und Pannen führen kann. Wo die Länder zu schwach sind, da muss der Bund helfen.Hey, Hanning, beim Föderalismus geht es nicht um Effizienz, sondern das sind unsere Checks and Balances. Das ist ABSICHT, dass das nicht effizient ist. Damit da keine durchgeknallten Einzeltäter mal eben ein paar neue Sicherheitsbehörden aus dem Boden stampfen können, und dann die halbe Bevölkerung abhören.
Erst mal muss man sich auf deren Neusprech kalibrieren. Den Bundestrojaner nennen sie jetzt RFS, "remote forensic software", dabei paßt "Schäuphilis" doch so viel besser. Auch an anderer Stelle soll PR-Neusprech die differenzierte Betrachtung des Sachverhaltes verhindern. So unterscheiden sie zwischen "Quellen-TKÜ" und "Online-Durchsuchung". Quellen-TKÜ ist, wenn sie Skype abschnorcheln. Online-Durchsuchung ist, wenn sie Dateien raustragen. Und, so der Gedanke, wenn man das so schön trennt, dann klingt das gleich gar nicht mehr so bedrohlich, und dann müssen sie auch nicht aufpassen, weil wenn sie den Online-Durchsuchung-Trojaner hochladen, dann ist ja klar, daß das keine Quellen-TKÜ war, für die sie eine andere Art der richterlichen Genehmigung brauchen. Ich hatte so ein bißchen den Eindruck, als hielten sie die Quellen-TKÜ schon nach bisherigen Gesetzen für ausreichend legitimiert.
Ich finde es ja gefährlich, wenn wir argumentieren, daß sie keine Ahnung haben und das total unsicher wird. Das ist zwar die Wahrheit, aber wir wollen ja nicht, daß der Trojaner sicher wird, wir wollen daß er gar nicht kommt. Insofern nahm ich mit Belustigung zur Kenntnis, daß das BMI denkt, sie könnten ihre Malware kryptographisch vor Reverse Engineering schützen:
Diese Analyse der RFS (Disassembling) wird jedoch durch die Verwendung kryptographischer Methoden nahezu unmöglich gemacht.An dieser Stelle hätte man nicht tiefer ins Klo greifen können. Dieser eine Satz reicht, um ihnen sämtliche auch nur in Resten von Fetzen vorhandene Sachkenntnis pauschal abzusprechen. Das ist so grotesk falsch, daß man sich ab dieser Stelle gar nicht mehr inhaltlich mit ihrem Geschreibsel beschäftigen muss, man kann sich auf den Stil beschränken. Und der bietet auch noch genug Angriffsfläche.
So paßt das ja überhaupt nicht mit meinem Bild der Sicherheitsbehörden zusammen, daß sie meine Sicherheit senken anstatt sie zu erhöhen. Daher war eine der Fragen, wie sie denn ihre Spyware gegen Missbrauch durch Dritte sichern wollen. Die Antwort ernüchtert.
Die Sicherheitsbehörden und das Bundesministerium des Innern verfügen grundsätzlich über genügenden Sachverstand.Sie halten sich schlicht für unfehlbar. Sie setzen da auf Designkriterien und die Vorgabe von Sicherheitsstandards durch das BSI. Von Prüfung, womöglich gar durch unabhängige Experten, steht da nichts. Für die Ausschreibung von Tollcollect galten höhere Sicherheitsanforderungen. Für Glückspielautomaten gelten höhere Sicherheitsanforderungen. Hey, für Wahlcomputer gelten höhere Sicherheitsanforderungen, und ihr wißt ja alle, wie katastrophal unsicher die sind.
Und wenn man unfehlbar ist, dann muss man sich auch keine fiesen Fragen gefallen lassen.
Es ist nicht zu erwarten, dass die RFS entdeckt wird.Nee, klar. Un-denk-bar.
Die RFS wird so entwickelt, dass von ihr nach dem aktuellen Stand der Technik keine Schadfunktionen ausgehen.So spricht der Papst, also ist es so. Und überhaupt, was bildet ihr euch eigentlich ein, ihre hinterhältige Spyware als solche zu bezeichnen?!
Mit der Online-Durchsuchung werden keine Personen ausgespäht, sondern relevante Erkenntnisse auf informationstechnischen Systemen erhoben.Wartet, kommt noch besser!
Bei der hier in Rede stehenden RFS handelt es sich nicht um eine "Spionagesoftware", sondern um ein technisches Mittel zur Datenerhebung.Das werde ich ab jetzt auch immer sagen. "Herr Richter, das ist doch kein Hackertool, das ist bloß ein technisches Mittel zur Datenerhebung!"
Und überhaupt halten sich die Behörden nicht nur für unfehlbar, sondern auch für grundsätzlich vollständig vertrauenswürdig. Daher stellt sich auch die Frage gar nicht, wie sie da verhindern wollen, daß auf Tagebücher, Krankheitsberichte oder Liebesbriefe zugegriffen wird:
Das Bundeskriminalamt hat beim (verdeckten) Zugriff auf das informationstechnische System kein Interesse an der Kenntnisnahme etwa von Krankheitsberichten, Tagebüchern oder Liebesbriefen.Und damit ist klar: da wird auch nie jemand gucken. Aber wartet, sie toppen das noch mit der Aussage, das Tagebuch hätte man ja auch bei einer offenen Durchsuchung finden und sichten können, insofern müsse man das ja bei unserer Spyware auch nicht weiter schützen.
Nun sollte man denken, wenn die so von sich selbst überzeugt sind, daß sie dann die Großartigkeit ihrer Software erkennen und sofort verstehen, wieso z.B. die Chinesen sich ihres Trojaners bedienen sollten. Aber neeeiiinnn, das ist völlig undenkbar. Denn:
Speziell wird sichergestellt, dass die Software nicht ohne erheblichen Aufwand dazu veranlasst werden kann, an einen anderen Server als den vom Bundeskriminalamt verwendeten zurückzumelden, und dass die Software weder von außen erkannt noch angesprochen werden kann. Das Entdeckungsrisiko kann durch technische Maßnahmen reduziert werden.Ich bin mir sicher, das wird sich Sony bei ihrem Rootkit auch gedacht haben. Aber solche Fragen stellen sich nicht, wenn man mit Zauberern zusammen arbeitet. Denn nicht nur ist die Software nicht von außen ansprechbar, das BKA kann sie trotzdem von außen ansprechen:
oder sogar die Beendigung der Maßnahme wegen eines zu hohen Entdeckungsrisikos angezeigt erscheinen lassen, erfolgt die Anweisung an das Programm sich selbst zu deinstallieren.Zauberei!!! Die können mit einer nicht von außen ansprechbaren Software kommunizieren!
Eine andere Sache ist die Beweissicherheit der aus dem Trojanereinsatz gewonnenen Erkenntnisse. Für die Gefahrenabwehr ist das egal, da kann man auch ohne Beweissicherheit Leute willkürlich in den Karzer sperren, das heißt dann "Unterbindungsgewahrsam". Aber bei Straftaten haben wir ja noch so Reste einer Justiz-Simulation stehen, und da will man von Beweisen, daß sie Beweiskraft haben. Bei Hausdurchsuchungen macht man das so, daß man die Festplatte vor Ort versiegelt, einpackt, dann beim BKA vor Zeugen eine Kopie zieht, und dann auf dieser Kopie arbeitet, damit das Original nicht verändert wird. Das ist beim Trojaner alles nicht gegeben, die Umgebung von dem ist dynamisch und unter der Kontrolle anderer. Selbst wenn wir dem Wirt des Bundesparasiten nicht die nötige Sachkenntnis zubilligen, um da Eingriffe durchzunehmen, so könnte auch ein anderer Trojaner auf dem Rechner sein. Es ist dokumentiert, daß sich Botnet-Trojaner gegenseitig vom Rechner schmeißen, um ihre Überlebenschancen zu verbessern. Ich warte ja auf den Tag, wo die Russenmafia-Trojaner den BKA-Herpes entfernen, weil er sie bei der Arbeit behindert. Und dann ist da natürlich noch die Frage des fernsteuernden BKA-Rechners. Das BKA denkt sich, wenn sie da zwei Beamte haben, die sich gegenseitig bezeugen, daß sie nur Gutes getan haben, ist das alles OK, aber auf dem Rechner könnte ja ein Chinesen-Trojaner sein. Wir haben ja gerade gesehen, daß unsere "grundsätzlich über genügenden Sachverstand" verfügenden Behörden mit ein paar lächerlichen Windows-Trojanern überfordert waren. Und jetzt nehmen wir mal an, der Trojaner-Wirt sagt vor Gericht, er habe den Trojaner bemerkt, und ihm absichtlich irreführende Daten gefüttert. Technisch ist das kein Problem, so einen Trojaner z.B. über Rechnervirtualisierung auch im laufenden Betrieb in ein Holodeck einzusperren und ihn komplett zu verarschen. Wenn der Rechner-Eigentümer zu Protokoll gibt, er habe den Trojaner bemerkt und mit ihm gespielt, ist die Beweiskraft sämtlicher Beweise völlig dahin. Das BKA redet sich ein, man könnte sowas ja dann forensisch feststellen. Dem kann ich nur mit lautem Gelächter antworten.
Auch Diplomatenstatus hilft nicht, selbst wenn es ein UNO-Ausweis ist. Furchtbar, was aus der Welt wird.
Update: das ist mir jetzt noch aus zwei anderen großen Konzernen bestätigt worden.
Oh, und beim BSI fällt der Passus, der Ausweis-Klonen für eine "ernstzunehmende Attacke" hält, einer "redaktionellen Überarbeitung" des Dokumentes zum Opfer. Es gibt dazu ein prima passendes Zitat von Upton Sinclair: "It is difficult to get a man to understand something when his salary depends upon his not understanding it".
Er soll auch dem CCC und Nedap in einem Top geworfen vorgeworfen haben, nicht kooperiert zu haben. WTF? Und er sagt, er kenne die Unterschied zwischen dem deutschen und dem niederländischen Modell nicht, die sie in ihrer Erklärung damals als Ausrede benutzt hatten. Der Kaiser hat hier offenbar keine Kleider an. Ich denke, man wird dazu bald auf den CCC-Webseiten einen Konter lesen können, sobald wir das Interview vorliegen haben.