27. Dezember 2019 durch in Digital

Schützen Sie Ihre Geräte, Ihre Daten und Ihre Infrastruktur. Mein Aufruf zur Sensibilisierung bezüglich IT-Sicherheit.

Standby – Offline – Bye bye

Sicher oder Unsicher; das ist hier die Frage:
Obs edler im Gemüt, die Attacken und Angriffe
Des wütenden Hackers erdulden oder,
Sich waffnend gegen eine See von Stillstand,
Durch fehlende Sensibilisierung sie enden? Standby – Offline – Bye bye –

in Anlehnung an «Hamlet, Prinz von Dänemark» von William Shakespeare

Es herrscht Krieg

Unsichtbar, geruchlos, leise: In der digitalen vernetzten Welt herrscht Krieg. Meist kriegen wir davon nicht viel mit. Die Zeitungen oder TV-Sender berichten meist nur über sehr grobe Angriffe oder Störungen in der digitalen Welt.

Handelskriege, Industriespionage, Geldgier, Politische Interessen, Langeweile… Die Motivation, jemanden zu hacken, kann vielfältig sein. Daher ist es als Firma oder Privatperson wichtiger denn je, sich und seine Infrastruktur zu schützen.

Ein mir nicht erklärbarer Trend – ein „Vertrauensbeweis“ – ist die gegenseitige Überwachung in der Partnerschaft. Dabei kommen APPs zum Einsatz, wie von Detektiven genutzt würden oder wie sie von einigen Firmen für ihre „Dienstleistungen“ zum Einsatz kommen.

Firmen unterscheiden nicht, ob die Daten eine Relevanz haben; sie werden erfasst. Dadurch können auch nicht Spezialberechtigungen für Recherchen erteilt werden, jeder Mitarbeiter sieht das komplette Bewegungsprofil.

Die Kontrollbehörden sind in der Regel überfordert. Man darf sich auch nicht wundern, bestehen die Mitglieder dieser Behörden meist aus Anwälten und Juristen. Wie soll ein Jurist beurteilen, ob eine Lösung adäquat und zeitgemäss umgesetzt wurde?

Aufruf

Daher rufe ich Sie auf: Schützen Sie sich, Ihre Geräte, Ihre Daten, Ihre Infrastruktur. Ausnahmslos. Jetzt.

Was Sie in der heutigen Zeit können müssen, finden Sie z.B. im Grundschutzhandbuch des BSI. Dabei handelt es sich um Minimalanforderungen. Die dürfen nicht erwarten, dass das jemand für Sie macht; lesen Sie sich selber durch. Wer heute keine Backups, keine Notfallpläne, keine sicheren Passwörter einsetzt oder veraltete Software verwendet, erhält im Impact-Fall kein Mitleid.

Die Ausreden bezüglich dem Verzicht von Sicherheit aus Spargründen oder anderen Prioriäten sind nicht gültig. Sie glauben nicht, wie schnell Geld aufgetrieben wird und wie schnell sich Prioritäten verlagern, wenn die komplette Infrastruktur durch einen Kryptotrojaner befallen wird.

Wer nach der Erpressung immer noch nichts in die IT-Sicherheit investieren mag muss damit rechnen, dass „die erzieherische Massnahmen“ ihn erneut mit einem Kryptotrojaner besuchen. Nicht jeder Angriff ist nur schlecht.

Gut möglich, dass es die Firma danach nicht mehr gibt.

Aktuelles Beispiel: «Uni Giessen»

Die neuste publizierte Attacke betrifft die Bildung. Es wird viel darüber geschrieben:

  • Zwischen 33’500-38’000 Studenten und Angestellte mussten Schlange stehen für neue E-Mail-Passwörter.
  • Die Störungen halten weiter an – man rechnet damit, dass der Betrieb bis zu einem halben Jahr gestört sein wird.
  • Man geht davon aus, dass der Trojaner «Emotet» inkl. den nachgeladenen Schädlingen verantwortlich ist für den Stillstand.

Ob die Universität gezielt angegriffen wurde, lässt sich zur Zeit nicht sagen. Das ist nicht wirklich relevant.

Wäre die Universität eine private Firma, würde es sie vermutlich jetzt nicht mehr geben.

Der Betrieb einer Universität in Deutschland wurde nahezu lahmgelegt. Seit dem 22.12.2019 ist bekannt, dass die Universität keine (brauchbaren) Notfallpläne ausgearbeitet hatte für einen solchen Vorfall. Betrachtet man, wie sich die Uni seit dem 08.12.2019 bezüglich Kommunikation und Wiederaufbau verhält, wäre alles Andere auch verwunderlich gewesen.

Einige Systeme wurden wieder in Betrieb genommen. Leider noch immer mit Software, die z.B. seitens Hersteller seit über 2 Jahren nicht aktualisiert wurde und bei der Sicherheitslücken publiziert wurden.

Grundsätzlich kann ein solcher Vorfall überall passieren. Einige Organisationen erholen sich schneller davon als andere. Manche Firmen beüben regelmässig aktiv den Umgang mit Phising-Mails. Bei diesen Firmen reduziert sich die Anfälligkeit von solchen Attacken. Falls doch etwas passiert, wissen die Mitarbeiter, wo sie sich melden müssen oder es existieren Notfallpläne. Zudem werden die Netzwerke logisch getrennt, um die Empfindlichkeit der kompletten Infrastruktur zu reduzieren. Aktuelle Virenscanner oder Spam-Filter sortieren den Müll aus der Box, bevor ein Schaden durch den Nutzer entstehen kann.

Weshalb schützen?

Von Privatpersonen höre ich immer wieder, dass sie keinen Grund sehen, irgend etwas von ihrer Infrastruktur zu schützen. Die Bedrohungen sind simpel wie einfach.

  • Erpressung: Ein paar verbotene Bilder auf den Computer des Opfers installieren; das Opfer bedrohen oder erpressen; das Opfer abhören und Informationen sammeln. Damit lassen sich private Karrieren oder politische Ambitionen nachhaltig zerstören. Richtig angewendet schafft man es, das Opfer komplett lahm zu legen oder sogar für längere Zeit durch die Behörden einzusperren.
  • Diebstahl: Kleine oder grosse Mengen Geld vom Opfer abziehen. Es ist erstaunlich: Da viele Personen ihre Kontoauszüge nicht kontrollieren, bemerken Sie den Abzug von Kleinbeträgen nicht.
  • «Geiselnahme» der Infrastruktur: Viele Computeranwender sind überfordert beim Befall durch einen Kryptotrojaner. Schreiben Sie zeitlich eine Arbeit für ihr Studium, ist eine solche Attacke besonders ärgerlich. Ein Neukauf von einem Gerät löst das Problem nicht nachhaltig. Sie befinden sich in Geiselnahme.

Was schützen?

Als Privatperson sollten Sie ihre eigene Infrastruktur und ihre privaten Daten schützen: Ohne Kompromisse.

Beachten Sie zudem die Empfehlungen aus dem Notfallplan des Bundes. Infrasturkturausfälle (Strom, Bankomaten, Zahlungsverkehr, Medizin) sind nicht so unwahrscheinlich, wie man dies gerne hätte.

Als Firma müssen Sie sich überlegen, was ihr Kerngeschäft ist und welche Bereiche bei einem Ausfall existenzbedrohend sind. Diese Bereiche bedürfen einen hohen Schutz.

Ärgernis «Sammelwut»

Die wilde hemmungslose Sammelwut von Firmen wie z.B. den Staatsbahnen sind ein grosses Ärgernis. Als Privatperson werden Sie (aktuell) gezwungen, auf Marketings-Trägermedien wie dem Swisspass zu setzen, wenn Sie ein Abo (Monats-, Halbtax-, Jahres-, Verbunds-Abo) oder Online-Dienste (APP, Shop) nutzen wollen. Dabei stört mich nicht das Trägermedium als solches, sondern die Handhabung, wie Daten weitergeben werden.

Ein Freipass

  • «Die SBB ist sodann berechtigt, für die Abwicklung des Kartengeschäfts und des Marketings, für den Betrieb der IT sowie für die Erstellung von Einnahmenverteilschlüsseln Dritte im In- und Ausland zu beauftragen, auch in Ländern, die über ein tieferes Datenschutzniveau als die Schweiz verfügen

→ Ab mit den Daten nach China? Sie haben es nicht mehr in der Hand. China kann günstig alles Notwendige für Marketing-Kampagnen zur Verfügung stellen.

  • «In diesen Fällen stellt die SBB den angemessenen Schutz gemäss den in der Schweiz geltenden Gesetzen mit den Dritten vertraglich sicher.»

→ Angenommen, die Daten sind in den USA, übersteuert der «USA Patriot Act» oder «USA Freedom Act» sämtliche vertragliche Bestimmungen. Daten landen übrigens dank vielen US-Firmen recht schnell bis in die USA. Die versprochene Datenhaltung in Europa funktioniert dank Softwarefehlern nicht immer wie versprochen. Und es gibt ja noch den «US Cloud Act».

  • «Die Reisende oder der Reisende respektive die Vertragspartnerin oder der Vertragspartner nimmt zur Kenntnis, dass die TU, die SBB sowie allfällige Dritte, die zur Verarbeitung der Transaktionen im Zusammenhang mit der Ausstellung der Karte und deren Inkasso, dem Marketing oder dem Erstellen von Verteilschlüsseln beauftragt sind, von den Kunden- und Leistungsdaten (Kundennummer, Titel, Anrede, Name, Vorname, Adresse, Geburtsdatum und Daten zu den Leistungen wie Sortiment, Gültigkeit, Reiseklasse, Preis etc.) der Reisenden oder des Reisenden und/oder der Vertragspartnerin oder des Vertragspartners Kenntnis erhalten. TU und Verbünde haben unter Berücksichtigung des Datenschutzgesetzes und weiter gehender Bestimmungen zur Bearbeitung von Kundendaten die Möglichkeit, diese Daten für gezielte und bedürfnisgerechte Marketingmassnahmen zweckgebunden über die SBB zu beziehen

→ Dabei handelt es sich um über 250 Partner. Solche Systeme sind wie ein Virus: Einmal infiziert, kommen Sie davon nicht mehr los.

Diese AGBs sind ein Freipass für das Unternehmen. Sie haben keine Möglichkeit, auf den Swisspass und die damit verbundene Maschinerie zu verzichten; ausser, sie kaufen ihre Tickets einzeln zum vollen Preis und am Automaten ein. Am Besten mit Barzahlung und an Standorten ohne Videoüberwachung.

Löschen nicht vorgesehen

Viele IT-Systeme können Daten nicht löschen. Selbst wenn man die Systeme löschen könnten, befinden sich Kopien auf den Backup-Systemen. Im besten Fall erhalten die Daten eine Markierung in der Datenbank, dass sie fehlerhaft sind oder dass sie gelöscht sind (Löschmarkierung). Weil man vergisst, dass es fehlerhafte, gelöschte oder ungültige Daten gibt, wird die Software die Markierung ignorieren. Wir nennen das dann lapidar: Bug.

Weitere Systeme im Bereich vom Patientendossier, privater elektronischer Identität, elektronischem Abstimmung etc. ziehen nach.

Sich schützen

Mein Bedürfnis nach Schutz ist hoch. Trotz hohem Aufwand gibt es keine Garantie, dass ich nicht Opfer einer Attacke werde. Da ich berufstätig bin, müssen meine eigenen Systeme schnell wieder verfügbar sein.

Geräte ohne Update-Unterstützung hängen entweder nicht mehr am Internet oder werden ausgemistet. Hersteller, die kaum Updates liefern, berücksichtige ich beim Kauf nicht mehr. Software wird zeitnah aktualisiert und in regelmässigen Abständen scanne ich meine eigenen Geräte auf Sicherheitslücken. Passwörter werden nie 2x verwendet. Wo immer möglich verwende ich Zweifaktoren-Authentisierung oder ich verschlüssle meine Daten. Wo ich meine Daten nicht angeben will (weil es beispielsweise keine logische Notwendigkeit gibt), verwende ich Fake-Daten.

Nachhaltigkeit (Umwelt)

Ein nachhaltiger Umgang mit IT-Infrastruktur ist wichtig. Leider ist die Online-Nutzung von Geräten ohne Update-Möglichkeiten nicht empfehlenswert; solche Geräte gehören entsorgt. Ich selber achte beim Einkauf darauf, dass ich bei Herstellern einkaufe, die regelmässig Updates liefern. Die Preise sind etwas höher, über die Jahre reduzieren sich die Kosten dank längerer Nutzungsdauer.

Leistungsfähige Geräte haben nicht immer den niedrigsten Stromverbrauch. Leider wird bei den Geräten nur den Stromverbrauch ausgewiesen. Was nützen Ihnen Geräte mit einer «A+++++»-Einstufung, wenn diese bereits beim Einkauf komplett veraltete Software mit Sicherheitslücken enthalten. Ihr TV-Gerät wird beispielsweise trotz Neukauf zur Gratis-Abhörzentrale für Interessierte.

Was sich positiv entwickelt hat

Zu guter Letzt möchte ich ein paar positive Entwicklungen der letzten Jahre beschreiben.

  • Waren vor Jahren praktisch alle WLAN-Netzwerke offen, wird heute fleissig verschlüsselt. Meist mit dem aktuellen Standard.
  • Mobile Endgeräte werden meist verschlüsselt.
  • Virenscanner und Firewall werden auch im Privaten regelmässig eingesetzt.

Es bewegt sich (leider) nur sehr langsam etwas.

Quellen: Beispiel «Uni Giessen»

Empfehlen
  • Facebook
  • Twitter
  • LinkedIN
Share
Getagged in
Antwort hinterlassen

Thomas Verasani