Gesellschaft – GFFT e.V.

13. Mai 20189. Juni 2018Forschung und Entwicklung, Gesellschaft, Meinung

Was haben US-Sanktionen mit Technologie zu tun?

Bad Vilbel, 13.5.2018, GGroße. Im Alleingang hat der amerikanische Präsident die internationalen Verträge mit dem Iran gekündigt. Als Konsequenz verlangt er von allen Unternehmen, die mit Amerika weiterhin Geschäfte durchführen möchten, ihre Iran-Beziehungen ebenfalls einzustellen.

Unabhängig von den Fragen, ob diese Art der Politik als fair, strategisch geschickt oder egoistisch bezeichnet werden sollte, gebietet es die Situation, über die eigene Stärke nachzudenken. Es erscheint mehr als unbefriedigend, dass ein einzelnes Land den europäischen Wirtschaftsraum mit mehr als 500 Mio. Menschen vor sich hertreiben kann und die Politiker dabei nur hilflos mit den Achseln zucken können. 2011 haben beispielsweise weltweit aufgestellte Unternehmen wie Ebay und Paypal ihre europäischen Kunden aus politischen Gründen dazu gezwungen, ihre Kuba-Geschäfte einzustellen. Ebay hat dazu einfach die Shops von betroffenen Händlern gesperrt. Natürlich ist dies rechtlich nicht in Ordnung, effektiv war es alle mal.

Da die wirtschaftliche Stärke ein offensichtliches Kriterium für die Durchsetzung politischer Interessen ist, wäre es für Europa und Deutschland ratsam, gezielt die Technologieführerschaft in strategisch entscheidenden Wirtschaftsfeldern anzustreben. Besonders spannend sind dabei Technologien, die einem Quasi-Monopol entsprechen und die man schnell und zielgenau abschalten kann. Gute Beispiele sind Microsoft, Amazon und Google, die auf Kontozugängen beruhen und bei denen ein Abschalten für den Anbieter nur begrenzte Nachteile mit sich bringt. Im Gegensatz dazu kann mit einem Vorsprung im Bereich Industrie 4.0 weit weniger Druck ausgeübt und Aufsehen erzeugt werden.

Was also ist zu tun?

Unter politischer Führung sollte ein Aktionsplan zur Identifikation und Entwicklung strategisch relevanter Technologien ins Leben gerufen werden. Im Anschluss sollten in den existierenden Förderprogrammen die Anträge priorisiert werden, die diesen Zielen zuarbeiten.
Es muss darauf hingearbeitet werden, dass der europäische Wirtschaftsraum seine Anstrengungen hinsichtlich der identifizierten Technologien abstimmt. Nur als Europa sind wir stark genug, um gegen die USA und China zu bestehen. Konkret sollte daher die Liste der relevanten Technologien gleich mit den europäischen Partnern abgesprochen werden.
Der deutsche Markt als größter Binnenmarkt der EU sollte den europäischen Partnern stärker geöffnet werden. Ein wichtiger Grund, warum Technologien in den USA schneller an Relevanz gewinnen und daher mit mehr Startkapital unterlegt werden, liegt an dem sehr großen und in puncto Sprache und Lebensverhältnisse sehr homogenen Binnenmarkt. Dieser Nachteil kann nur mit und durch Deutschland ausgeglichen werden. Es wäre also zu überlegen, wie man den deutschen Markt zum Katalysator für Europa und den Weltmarkt entwickeln kann.

Man bedenke, dass schon alleine die Konkretisierung der Innovationsanstrengungen und die Abstimmung für einen positiven Effekt sorgen werden. Der finanzielle Mehraufwand gegenüber den heutigen Ausgaben beschränkt sich also erst mal lediglich auf die Koordination.

12. Oktober 2017Gesellschaft, IT-Security, Meinung

Treffen der Spione und Zero-Day Skandale

Es klingt wie aus einem schlechten Spionagefilm und ist doch Realität. Vor zwei Jahren, so kam jetzt heraus, kamen Synergien zusammen, die so manchen Manager zum Träumen bewegen könnten: Ein PC wurde von einem NSA-Mitarbeiter genutzt, vom Russen ausspioniert und vom Israeli gemeldet. Was ist denn hier passiert? Der Wahnwitz der Cybersicherheit und warum diese so niemals funktionieren wird, ist bei den Geheimdiensten wohl zur Realität geworden. Rechtsfreie Räume sind wir ja schon genauso gewohnt, aber dieser Zufall hat dem ganzen ein kurioses Gesicht verliehen. Software, die zum Schaden anderer Nutzer geschrieben wurde, ist Malware – egal, wer der Urheber ist. Folgerichtig hatte damals auch der Antivirenscanner von Kaspersky Alarm geschlagen. Beabsichtigt war das wohl nicht. Russische Hacker hat das dann, wie auch immer geartet, auf die Spur gebracht und die haben sich den NSA Schadcode gegriffen – wahrscheinlich zur späteren Analyse. Beobachtet wurde das ganze von einem Cyberspion aus Israel, der es dann den Freunden bei der NSA gesteckt hat.

Was im bisher geschilderten Beispiel eine fast schon lustige Begebenheit darstellt, wird für echte Anwender zur Gefahr. Schutzlos einer Heerschar von Spionen/Hackern und Tools ausgesetzt, kommt aber nun noch eins oben drauf. Spätestens seit WannaCry sollte unsere Bundesregierung wissen, dass das Ausnutzen und Verschweigen von Zero-Day Lücken eine selten dämliche Angelegenheit ist. Trotzdem wird momentan debattiert und es sieht wie immer nicht gut aus für den Rechtsstaat und die Demokratie. Es ist ein Skandal, wie im Namen von irgendwas Menschen der Gefahr durch Cyberattacken von welcher Quelle auch immer ausgesetzt werden. Das gefährdet den Standort Deutschland als die Hochburg für IT-Security Produkte. Man vertraut deutschen Produkten und entgegen einiger Laienkommentare bei diversen IT-Foren sind die Leute vom BSI auf einer Mission, um die IT-Sicherheit Stück für Stück zu gewährleisten. Beim letzten Treffen der ACS am 01.09. habe ich hautnah miterleben können, wie der Präsident des BSI an die Zuhörer appelliert hat, sich für die IT-Sicherheit stark zu machen und Deutschland zu einem Leuchtturm in Europa und der Welt zu machen. Zu uns sollen die Unternehmen kommen, wenn sie auf Sicherheit setzen wollen. Da würde es der Regierung gut zu Gesicht stehen, endlich die Vertrauenskultur zu fördern, die offensichtlich als Auftrag an das BSI gegeben wurde. Alles andere wäre ein Skandal.

2. Oktober 2017Gesellschaft, IT-Security, Meinung

Lernprozesse rund um die IT-Security

Es vergeht im Moment mal wieder kein Tag, ohne das offenbar wird, dass IT-Sicherheit noch nicht als ganzheitliches Element verstanden wird. Wieder einmal steht die Frage im Raum, warum das Thema Sicherheit in Unternehmen eine große Baustelle zu sein scheint, wo wir doch gute Werkzeuge hätten, um viele Probleme abzufangen, bevor diese in der Presse zum Kopfschütteln führen. Nehmen wir doch Daimlers „neue Krise“ um WannaCry. Das Virus ist inzwischen alt genug, dass es als „Uraltproblem“ betrachtet werden kann. Es gibt die notwendigen Patches, selbst Virenscanner haben den Hashwert zum Schädling schon lange in der Datenbank und weitere Infrastrukturmaßnahmen könnten das Virus leicht am Vorwärtskommen hindern. Trotzdem konnte es wieder Fuß fassen.

Wem das aber vielleicht schon in der Seele weh getan hat, dass ein DAX Konzern nicht knallhart innovative Sicherheit und ganzheitliche Konzepte verfolgt, der konnte bei Deloitte sicherlich mehr als ein Haar in der Suppe finden. Offene Ports…. Offene Ports? Offene Ports!!! War es denn so schwer für die NASA die übliche Backdoor zu nehmen – oder hat wenigstens diese Leitungsverschlüsselung und einen Passwortzugang? Wer sein Brot & Butter Geschäft so schleifen lässt, wird in Zukunft am Markt einen schweren Zugang im Bereich IT-Security finden. Andererseits gibt es ja auch andere bekannte Unternehmen, die vergesslich in Sachen Qualität und Sicherheit sind. Bleibt nur die Erkenntnis der Woche frei nach Fefe: „Es ist unmoralisch schlechte Software zu verbreiten!“. Bleibt nur die Frage, ob es auch schlecht fürs Geschäft ist.

26. Juli 201715. Januar 2018Gesellschaft, IT-Security, Meinung

Meinung: Passworte verstehen Menschen nicht

Die Erfindung des Passworts (für Computer) war die Sternstunde der IT-Sicherheit. Niemals wieder sollte jeder Nutzer unbedarft alles lesen oder sehen können. Wir waren an einem Punkt angelangt, wo Computer so leistungsfähig waren, dass viele Nutzer von einem System profitieren konnten. Doch wie ist die Situation in der Gegenwart? Es hat uns eine regelrechte Flut an Passworten erreicht – ebenso wie eine Flut an Systemen die von einer unvorstellbar großen Zahl an Nutzern zugleich genutzt werden. Immer wieder wird verkündet: ein Passwort muss dies können, ein Passwort muss das können… Sicher soll es sein, einzigartig und natürlich unheimlich schwer zu raten, denn das ist theoretisch der einzige Knackpunkt. Wenn ich zufällig das richtige Passwort eingebe, komme ich schon beim ersten Versuch rein und all die Mühe war für die Katz!

Dies hat die Situation geschaffen, dass jedes selten benutzte Passwort ein Hindernis werden kann, wenn der Dienst doch mal gebraucht wird. Abhilfe schafft das berühmte Passwort 123456! Dies steht im Gegensatz zu Empfehlungen des BSI. Zwölf Zeichen für Onlinezugänge – mindestens und für das WLAN besser 20 oder mehr. Hinzu kommen die vielen Zwangsloginkonten und selbst bei einem Dienstleister können auch mal mehrere, komplexe Passworte angelegt werden.

Unser Appell an dieser Stelle: ein verantwortungsbewusster Umgang mit Passworten, aber auch mit Accounts. Dieser dauerhafte Zwang zur Authentifizierung (und sonst teils Verweigerung aller Dienste) und der Bindung ans Internet ist uns ein Dorn im Auge. Wir sehen Passworte als wertvolles Mittel, um einige Dienste oder Infrastruktur abzusichern, aber dauerhaft werden wir in diesem Netzwerk auch das Problem der Authentifizierung angehen müssen. Damit es am Ende nicht heißt: dieses Passwort ist geheim!

23. Juni 2017Gesellschaft, IT-Security, Meinung

Staatstrojaner: Kein gutes Pferd

Die Tage muss sich der Bürger noch mehr Luft zufächeln. Der warme Sommer hält die Republik noch fest im Griff, da pustet auch durch das Parlament ein heißer Wind. Die Rede ist vom Gesetz zum Staatstrojaner. Eine Schadsoftware, die entwickelt wurde, um Informationen von technischen Geräten unbemerkt zu beschaffen. Der Nutzer soll einfach weitermachen wie bisher und falls die Taten böse waren, wird der gutmütige Staat diesem Verbrecher das Handwerk legen. Nun ist die Beschaffung von strafrechtlich Relevanter Information in der Tat das tägliche Brot von Ermittlern. Diese gehen hin, beobachten und dürfen vielerlei nicht. Sie dürfen nicht in Wohnungen einbrechen, sie dürfen Menschen nicht zu Aussagen nötigen. Doch es gibt Ausnahmen: Wenn eine ernste Bedrohungssituation besteht (auch „Gefahr im Verzug“), die beispielsweise Menschenleben bedroht, so darf der Ermittlungsbeamte aufgrund einer berechtigten Annahme ausnahmsweise die rote Linie übertreten und handeln. So etwas wird bei der Polizei jedoch nicht leichtfertig und schon gar nicht in Massen angewandt. Hier kommt der Staatstrojaner ins Spiel. Dieser Schädling kann potentiell alle Bürger und Unternehmen angreifen und führt „Ermittlungen“ durch, deren Dauer als auch rechtlicher Ermessensspielraum schnell verschwimmen können. Das Gesetzt sieht eine Vielzahl von Delikten vor, in denen ein Staatstrojaner legal eingesetzt werden darf. Die Liste ist lang und kann hier betrachtet werden. Während Mord noch irgendwo verständlich sein könnte, ist Betrug sicherlich kein Verbrechen, welches eine solch massive Überwachung rechtfertigt.

Vom Missbrauchspotential abgesehen, gibt es einen viel größeren Aspekt zu beachten: Hat nicht erst WannaCry gezeigt, dass von staatlichen Institutionen ausgenutzte Lücken eine Bedrohung für die Sicherheit aller sein kann? Wie rechtfertigen die sogenannten Experten im Bundestag, dass alle eigenen Bürger vom Staat einer potentiellen Bedrohung und Missbrauch von, nennen wir es beim Namen, Schadsoftware ausgesetzt sind, nur um dem Staat mehr Potential zur Spionage einzuräumen? Dieses Stück Software gehört aus gutem Grund verboten und vielmehr sollten Demokratie und das Miteinander gestärkt werden. Denn viele echte Verbrechen haben auch nicht selten einen traurigen Hintergrund – keiner wollte so richtig hinsehen.