Neuer Partner im IT-Security Lab: Willkommen @ ncp engineering

Wir freuen uns über einen neuen Partner in unserem IT-Security Netzwerk:

Die NCP engineering GmbH mit Hauptsitz in Nürnberg konzentriert sich seit über 30 Jahren auf die Entwicklung universell einsetzbarer Software-Komponenten für die einfache und sichere Vernetzung von Endgeräten und Systemen über öffentliche Netze. Eingesetzt werden die VPN-Lösungen in den Bereichen IoT / Industrie 4.0 / M2M sowie Mobile Computing und Filialvernetzung. NCPs Kernkompetenzen sind zentrales, vollautomatisiertes VPN Management sowie Verschlüsselungs- und Firewall-Technologien.

Weitere Informationen unter: https://www.security-innovations.de

Treffen der Spione und Zero-Day Skandale

Es klingt wie aus einem schlechten Spionagefilm und ist doch Realität. Vor zwei Jahren, so kam jetzt heraus, kamen Synergien zusammen, die so manchen Manager zum Träumen bewegen könnten: Ein PC wurde von einem NSA-Mitarbeiter genutzt, vom Russen ausspioniert und vom Israeli gemeldet. Was ist denn hier passiert? Der Wahnwitz der Cybersicherheit und warum diese so niemals funktionieren wird, ist bei den Geheimdiensten wohl zur Realität geworden. Rechtsfreie Räume sind wir ja schon genauso gewohnt, aber dieser Zufall hat dem ganzen ein kurioses Gesicht verliehen. Software, die zum Schaden anderer Nutzer geschrieben wurde, ist Malware – egal, wer der Urheber ist. Folgerichtig hatte damals auch der Antivirenscanner von Kaspersky Alarm geschlagen. Beabsichtigt war das wohl nicht. Russische Hacker hat das dann, wie auch immer geartet, auf die Spur gebracht und die haben sich den NSA Schadcode gegriffen – wahrscheinlich zur späteren Analyse. Beobachtet wurde das ganze von einem Cyberspion aus Israel, der es dann den Freunden bei der NSA gesteckt hat.

Was im bisher geschilderten Beispiel eine fast schon lustige Begebenheit darstellt, wird für echte Anwender zur Gefahr. Schutzlos einer Heerschar von Spionen/Hackern und Tools ausgesetzt, kommt aber nun noch eins oben drauf. Spätestens seit WannaCry sollte unsere Bundesregierung wissen, dass das Ausnutzen und Verschweigen von Zero-Day Lücken eine selten dämliche Angelegenheit ist. Trotzdem wird momentan debattiert und es sieht wie immer nicht gut aus für den Rechtsstaat und die Demokratie. Es ist ein Skandal, wie im  Namen von irgendwas Menschen der Gefahr durch Cyberattacken von welcher Quelle auch immer ausgesetzt werden. Das gefährdet den Standort Deutschland als die Hochburg für IT-Security Produkte. Man vertraut deutschen Produkten und entgegen einiger Laienkommentare bei diversen IT-Foren sind die Leute vom BSI auf einer Mission, um die IT-Sicherheit Stück für Stück zu gewährleisten. Beim letzten Treffen der ACS am 01.09. habe ich hautnah miterleben können, wie der Präsident des BSI an die Zuhörer appelliert hat, sich für die IT-Sicherheit stark zu machen und Deutschland zu einem Leuchtturm in Europa und der Welt zu machen. Zu uns sollen die Unternehmen kommen, wenn sie auf Sicherheit setzen wollen. Da würde es der Regierung gut zu Gesicht stehen, endlich die Vertrauenskultur zu fördern, die offensichtlich als Auftrag an das BSI gegeben wurde. Alles andere wäre ein Skandal.

Lernprozesse rund um die IT-Security

Es vergeht im Moment mal wieder kein Tag, ohne das offenbar wird, dass IT-Sicherheit noch nicht als ganzheitliches Element verstanden wird. Wieder einmal steht die Frage im Raum, warum das Thema Sicherheit in Unternehmen eine große Baustelle zu sein scheint, wo wir doch gute Werkzeuge hätten, um viele Probleme abzufangen, bevor diese in der Presse zum Kopfschütteln führen. Nehmen wir doch Daimlers „neue Krise“ um WannaCry. Das Virus ist inzwischen alt genug, dass es als „Uraltproblem“ betrachtet werden kann. Es gibt die notwendigen Patches, selbst Virenscanner haben den Hashwert zum Schädling schon lange in der Datenbank und weitere Infrastrukturmaßnahmen könnten das Virus leicht am Vorwärtskommen hindern. Trotzdem konnte es wieder Fuß fassen.

Wem das aber vielleicht schon in der Seele weh getan hat, dass ein DAX Konzern nicht knallhart innovative Sicherheit und ganzheitliche Konzepte verfolgt, der konnte bei Deloitte sicherlich mehr als ein Haar in der Suppe finden. Offene Ports…. Offene Ports? Offene Ports!!! War es denn so schwer für die NASA die übliche Backdoor zu nehmen – oder hat wenigstens diese Leitungsverschlüsselung und einen Passwortzugang? Wer sein Brot & Butter Geschäft so schleifen lässt, wird in Zukunft am Markt einen schweren Zugang im Bereich IT-Security finden. Andererseits gibt es ja auch andere bekannte Unternehmen, die vergesslich in Sachen Qualität und Sicherheit sind. Bleibt nur die Erkenntnis der Woche frei nach Fefe: „Es ist unmoralisch schlechte Software zu verbreiten!“. Bleibt nur die Frage, ob es auch schlecht fürs Geschäft ist.

Meinung: Passworte verstehen Menschen nicht

Die Erfindung des Passworts (für Computer) war die Sternstunde der IT-Sicherheit. Niemals wieder sollte jeder Nutzer unbedarft alles lesen oder sehen können. Wir waren an einem Punkt angelangt, wo Computer so leistungsfähig waren, dass viele Nutzer von einem System profitieren konnten. Doch wie ist die Situation in der Gegenwart? Es hat uns eine regelrechte Flut an Passworten erreicht – ebenso wie eine Flut an Systemen die von einer unvorstellbar großen Zahl an Nutzern zugleich genutzt werden. Immer wieder wird verkündet: ein Passwort muss dies können, ein Passwort muss das können… Sicher soll es sein, einzigartig und natürlich unheimlich schwer zu raten, denn das ist theoretisch der einzige Knackpunkt. Wenn ich zufällig das richtige Passwort eingebe, komme ich schon beim ersten Versuch rein und all die Mühe war für die Katz!

Dies hat die Situation geschaffen, dass jedes selten benutzte Passwort ein Hindernis werden kann, wenn der Dienst doch mal gebraucht wird. Abhilfe schafft das berühmte Passwort 123456! Dies steht im Gegensatz zu Empfehlungen des BSI. Zwölf Zeichen für Onlinezugänge – mindestens und für das WLAN besser 20 oder mehr. Hinzu kommen die vielen Zwangsloginkonten und selbst bei einem Dienstleister können auch mal mehrere, komplexe Passworte angelegt werden.

Unser Appell an dieser Stelle: ein verantwortungsbewusster Umgang mit Passworten, aber auch mit Accounts. Dieser dauerhafte Zwang zur Authentifizierung (und sonst teils Verweigerung aller Dienste) und der Bindung ans Internet ist uns ein Dorn im Auge. Wir sehen Passworte als wertvolles Mittel, um einige Dienste oder Infrastruktur abzusichern, aber dauerhaft werden wir in diesem Netzwerk auch das Problem der Authentifizierung angehen müssen. Damit es am Ende nicht heißt: dieses Passwort ist geheim!

Broken by design

Microsoft Windows hat den unrühmlichen Status als Ursache so mancher Sicherheitsprobleme in der modernen IT-Landschaft erworben. Das dieser nicht von ungefähr kommt, zeigt auch ein neuer Artikel über eine weitere Methode namens GhostHook, mit der sich Angreifer die höchste Befehlsgewalt auf der Maschine über die Ausnutzung einer falschen Behandlung eines Debugger in Windows zu eigen machen. Microsoft selbst stuft die Lücke als nicht kritisch ein, da der Schädling ja schon im Kernel Code ausführen können muss.
Was dabei vom Softwareriesen übersehen wird, dass die ausgetrickste Softwarekomponente im Kernel namens PatchGuard genau diese Art von Angriffen hätte verhindern sollen. Interessant der Hinweis von einem deutschen Newsportal an dieser Stelle: schon 2005 haben zwei Hacker gezeigt, wie man mit etwas Fleiß und Assembler die „Sicherheitsmaßnahmen“ von Microsoft umgehen kann, da der PatchGuard kein höheres Sicherheitslevel als der Kernel selbst hat. Softwareentwickler nennen so einen Sachverhalt „broken by design“ – also ein nicht mehr zu rettendes Unterfangen, dass wahrscheinlich daran gescheitert ist, dass Microsoft Hintertüren eine Möglichkeit geben wollte oder musste, sich in Windows einzupflanzen.

Es sollte an dieser Stelle einmal mehr überlegt werden, ob die Bequemlichkeit der Infrastruktur aus einem Guss nicht immer mehr zu einem Hindernis auf dem Weg zu ernsthaft abgesicherter IT wird. Nur die Zeit wird zeigen, welche Evolution sich in der Softwareindustrie an dieser Stelle letztlich durchsetzt.

Staatstrojaner: Kein gutes Pferd

Die Tage muss sich der Bürger noch mehr Luft zufächeln. Der warme Sommer hält die Republik noch fest im Griff, da pustet auch durch das Parlament ein heißer Wind. Die Rede ist vom Gesetz zum Staatstrojaner. Eine Schadsoftware, die entwickelt wurde, um Informationen von technischen Geräten unbemerkt zu beschaffen. Der Nutzer soll einfach weitermachen wie bisher und falls die Taten böse waren, wird der gutmütige Staat diesem Verbrecher das Handwerk legen. Nun ist die Beschaffung von strafrechtlich Relevanter Information in der Tat das tägliche Brot von Ermittlern. Diese gehen hin, beobachten und dürfen vielerlei nicht. Sie dürfen nicht in Wohnungen einbrechen, sie dürfen Menschen nicht zu Aussagen nötigen. Doch es gibt Ausnahmen: Wenn eine ernste Bedrohungssituation besteht (auch „Gefahr im Verzug“), die beispielsweise Menschenleben bedroht, so darf der Ermittlungsbeamte aufgrund einer berechtigten Annahme ausnahmsweise die rote Linie übertreten und handeln. So etwas wird bei der Polizei jedoch nicht leichtfertig und schon gar nicht in Massen angewandt. Hier kommt der Staatstrojaner ins Spiel. Dieser Schädling kann potentiell alle Bürger und Unternehmen angreifen und führt „Ermittlungen“ durch, deren Dauer als auch rechtlicher Ermessensspielraum schnell verschwimmen können. Das Gesetzt sieht eine Vielzahl von Delikten vor, in denen ein Staatstrojaner legal eingesetzt werden darf. Die Liste ist lang und kann hier betrachtet werden. Während Mord noch irgendwo verständlich sein könnte, ist Betrug sicherlich kein Verbrechen, welches eine solch massive Überwachung rechtfertigt.

Vom Missbrauchspotential abgesehen, gibt es einen viel größeren Aspekt zu beachten: Hat nicht erst WannaCry gezeigt, dass von staatlichen Institutionen ausgenutzte Lücken eine Bedrohung für die Sicherheit aller sein kann? Wie rechtfertigen die sogenannten Experten im Bundestag, dass alle eigenen Bürger vom Staat einer potentiellen Bedrohung und Missbrauch von, nennen wir es beim Namen, Schadsoftware ausgesetzt sind, nur um dem Staat mehr Potential zur Spionage einzuräumen? Dieses Stück Software gehört aus gutem Grund verboten und vielmehr sollten Demokratie und das Miteinander gestärkt werden. Denn viele echte Verbrechen haben auch nicht selten einen traurigen Hintergrund – keiner wollte so richtig hinsehen.

IT-Security muss neu verstanden werden

Neues Netzwerk der GFFT Innovationsförderung hilft Unternehmen, sich vor Cyberangriffen zu schützen

Um Unternehmen besser vor Cyberkriminalität zu schützen, hat die GFFT Innovationsförderung ein Netzwerk „IT-Security“ ins Leben gerufen. Der Zusammenschluss aus Technologie- und Beratungspartnern sowie einem Expertenbeirat informiert Unternehmen umfassend und aus einer Hand über innovative und bewährte Sicherheitslösungen. Geleitet wird das Netzwerk von dem Big Data- und Security-Experten David Veith.

„Professionalität und Varianz von Cyber-Angriffen nehmen mit wachsenden technischen Möglichkeiten rasant zu. Oft sind diese Attacken so gut getarnt, dass es im Durchschnitt 120 Tage und mehr braucht, um Angriffe zu erkennen“, erläutert Bernhard Koch, Geschäftsführer der GFFT Innovationsförderung. „Vor diesem Hintergrund sehen wir große Bedarfe in allen Bereichen von Industrie, Gewerbe und Forschung, die aktuell nicht hinreichend durch ein Gesamtkonzept befriedigt werden.“

„Isolierte Insellösungen müssen im Bereich der IT-Security der Vergangenheit angehören“, ergänzt Netzwerkleiter David Veith. „Angesichts der sich mit den wachsenden digitalen Möglichkeiten immer schneller transformierenden Geschäftsprozesse geht es uns darum, IT-Security und Unternehmensprozesse so zu verzahnen, dass Innovationen auch in Zukunft schnell und zugleich abgesichert umgesetzt werden können“, so Veith weiter.

Um interessierten Anwenderunternehmen einen komprimierten Überblick über derzeit verfügbare Produkte und Services im Bereich der Cybersicherheit zu bieten, hat die GFFT Innovationsförderung ein spezielles Workshop-Format entwickelt, die GFFT Technology-Races. Dabei werden die vorab ausgewählten Themen in kompakten, auf die Lösung fokussierten Kurzvorträgen vorgestellt.

Inhaltliche Schwerpunkte des Netzwerks sind derzeit u.a. die Themen Enterprise Security, Internet der Dinge (IoT), Kritische Infrastrukturen, Mobilität und Medizintechnik.

Weitere Informationen zum GFFT-Netzwerk „IT-Security“ sind unter www.security-innovations.de erhältlich.

Ansprechpartner für Rückfragen:

GFFT Innovationsförderung GmbH

Bernhard Koch

Tel.: 06101/95 49 80

Mail: bernhard.koch@gfft-ev.de