„Gib mir 4“: Interview mit Thomas Käfer anlässlich unseres Vortrages zu IT-Sicherheit in Industrieumgebungen

Am 18. Juni 2020 fand als Online-Stream das Kolloquium der weyer gruppe statt. Es ging dabei um IT-Security für Maschinen und Anlagen. Thomas Käfer hat den Tag mit sieben Referenten moderiert und uns durch das Thema geführt. Mein Beitrag war es, mit einem Live-Hacking des fiktiven Unternehmens „Stein zu Sand AG“ zu zeigen, wie Täter vernetzte Industrieumgebungen (Industrie 4.0) angreifen und z.B. Sach- sowie im Extremfall auch Personenschäden verursachen.

Der Beitrag „Live-Hacking Stein zu Sand AG“ ist über Youtube abrufbar (über den folgenden Screenshot verlinkt). Im Nachgang habe ich den öffentlich bestellten und vereidigten Sachverständigen Thomas gefragt, wie seine Erfahrung bei Produktionsanlagen ist, und was es bräuchte, um zu einer nachhaltig besseren Situation in Sachen IT-Sicherheit zu kommen.

DigiTrace - Martin Wundram - Industrie 4.0 - Live-Hacking 2020 - Youtube
DigiTrace – Martin Wundram – Industrie 4.0 – Live-Hacking 2020 – Youtube

Martin: Wie ist deine Erfahrung in Bezug auf IT-Sicherheit für Produktionsanlagen (Industrie 4.0)?

Thomas: Bei den Produktionsanlagen verhält es sich prinzipiell wie bei den automobilen Infrastrukturen und den vernetzten Fahrzeugen: Wenn man sich ein solches System unter IT-Sicherheitsaspekten bzw. im Rahmen eines Pen-Tests näher anschaut, ist man als Fachmann erschrocken darüber, wie schlecht und fahrlässig Security vielfach implementiert ist. Da werden selbst Basics zur Absicherung von Systemen vergessen oder durch ungeeignete Eigenkonstruktionen ersetzt und nach einer gewissen Eingewöhnungszeit in die für den Hacker zunächst fremde Welt ist er dann doch buchstäblich „drin“.

Martin: Wie reagieren Unternehmen, wenn du sie auf bestehende Lücken hinweist, also im Rahmen einer Forschung etwas findest und darüber mittels „Responsible Disclosure“ berichten möchtest?

Thomas: Manchmal gar nicht, meist unfreundlich bis ungehalten und nur manchmal dankbar und offen für den kostenlosen Input. Ein ehrlich gemeintes „Danke schön“ habe ich selten gehört, eher, dass es eine Reflexhaltung gibt und die Lücke kleingeredet wird bzw. mit Marketing-Bla-Bla Besserung gelobt wird (die es dann nicht oder sehr langsam gibt).

Martin: Was bräuchte es, um zu einer nachhaltig besseren Situation in Sachen IT-Sicherheit zu kommen?

Thomas: Es muss auch in der produzierenden Industrie ankommen, dass IT-Security genauso wichtig ist, wie Safety (also funktionale Sicherheit). Die Angriffe sind real und funktionieren und sind für Angreifer äußerst lukrativ, weil sie oft mit vergleichsweise kleinem Aufwand einen großen Nutzen bringen können. Die Gefährdung der Produktion durch IT-Sicherheitsvorfälle ist m.E. genauso hoch zu bewerten, wie durch Feuer, Einbruch, physische Sabotage usw. und die Eintrittswahrscheinlichkeit und der Impact liegen vielleicht sogar noch höher als bei klassischen Bedrohungsszenarien. Beim Kolloquium der Weyer Gruppe haben wir live aus erster Hand von einem Betroffenen erfahren, was es heißt, wenn das Office-Netz einer Firma von einem Verschlüsselungstrojaner lahmgelegt wurde. Und die hatten noch Glück im Unglück, denn die Produktion war nicht betroffen. Die Erkenntnis des Unternehmers war jedoch, dass es auch diesen Teil hätte treffen können und die Auswirkungen noch schmerzhafter gewesen wären. Das kann einen Betrieb ruinieren. Also: IT Sicherheit ernst nehmen, Fachleute hinzuziehen und sich von Leuten beraten lassen, die sich damit auskennen.

Martin: Gibt es einen Punkt, der dir bei diesem Thema besonders am Herzen liegt?

Thomas: Ich finde es immer angenehmer, wenn man im Vorfeld als Berater und Pen-Tester gerufen wird, bevor etwas passiert ist. Ein Incident bedeutet immer Hektik und Panik beim Auftraggeber. Und wenn ich erst ganz zum Ende als Sachverständiger den Fall analysieren soll, dann ist bereits viel Geld verbrannt worden. Ergo könnte es mir egal sein, wann wir gerufen werden, aber schöner ist es, wenn man im Vorfeld durch geeignete Maßnahmen dazu beitragen kann, dass der Fall der Fälle erst gar nicht eintritt.

Podcast-Interview mit Konstantin von Essen (NewFinance) für Checkpoint Charlie TV

Mit Konstantin von Essen habe ich am 02.04.2020 über IT-Forensik gesprochen und auch über IT-Sicherheit und Cyber-Crime speziell in dieser besonderen Zeit (COVID-19/Corona). Der Podcast ist nun hier und bei Checkpoint Charlie TV zum Download verfügbar.

Wir haben über unsere Welt aus Bits und Bytes gesprochen, und darüber dass Cyber-Crime nicht immer rein digital stattfindet, sondern oft auch unmittelbare Auswirkungen auf unsere physische Welt hat. Dazu haben wir über die besonderen Risiken von kleinen und mittelständischen Unternehmen gesprochen, z.B. über Gefahren, die jetzt bei Home Office und VPN drohen.

Im Podcast habe ich Konstantins Fragen beantwortet:

  • Was genau macht ein IT-Forensiker? Ist er so etwas wie ein digitaler Sherlock Holmes? Oder die „SpuSi“ aus dem Tatort?
  • Wie sehen die Tatorte aus, an denen IT-Forensiker ermitteln?
  • Wie gefährlich ist die aktuelle “Home-Office-Welle”  wirklich? Gibt es effektive Schutz-Maßnahmen, die jeder Einzelne treffen kann?
  • Welche digitalen Bedrohungen sind aktuell für Unternehmen, besonders kleinere und Mittelständler, am gefährlichsten? Und wie können sich diese Unternehmen schützen?
  • Cyber-Risiken sind auch in der Versicherungsbranche mittlerweile auf der Agenda. Bei welchen Fällen werden IT-Forensiker eingeschaltet? Wie groß sind die Schäden?

Den Podcast gibt es (bald) auf Checkpoint Charlie TV zum Download und ab sofort auch hier:
Checkpoint Charlie TV – Konstantin von Essen und Martin Wundram – Podcast zu IT-Forensik und IT-Sicherheit (23 MB, MP3)

„Gib mir 4“: Interview mit Gerald Spyra und Wiegand Liesegang zu IT-Sicherheit und dem „Stand der Technik“

Bereits seit Längerem sind beinahe alle Menschen „online“. Die dabei verwendeten Geräte, insbesondere PCs wie Laptops, nutzen wir typischerweise auch zum Bearbeiten und Speichern vertraulicher, vielleicht sogar geheimer, Daten. Dass Virenscanner und selbst neueste verfügbare Software inkl. aller Patches in vernetzten Büroumgebungen keinen verlässlichen Schutz vor Angriffen bieten, ist mittlerweile klar geworden. Und zu der Gefahr von Angriffen auf die Technik selbst gesellt sich leider das Risiko eigenen Fehlverhaltens, etwa wenn jemand einen unverschlüsselten Datenträger verliert, eine vertrauliche Nachricht an den falschen Empfänger sendet oder einem Social-Engineering-Angriff erliegt.

Wenn es dann zu einem Schaden kommt, etwa dem Abgriff vertraulicher Daten oder dem Abfluss von Geld, liegen zwei Fragen nahe: war es vermeidbar und wer ist für die Folgen verantwortlich. Um möglichen Antworten auf diese Fragen sowie auf die zentrale Frage nach dem jeweils notwendigen „Maß“ an IT-Sicherheit näher zu kommen, habe ich mit dem Rechtsanwalt Gerald Spyra und dem öffentlich bestellten und vereidigten Sachverständigen Wiegand Liesegang gesprochen.

Rechtsanwalt Gerald Spyra

Martin: Welches Maß an IT-Sicherheit muss wer eigentlich erreichen?

Gerald: Diese Frage ist sehr spannend und weitaus komplexer als man dieses zunächst annehmen würde.

Denn zunächst gilt sich darüber klar zu werden, was IT-Sicherheit eigentlich bedeuten soll und wie sich „IT-Sicherheit“ von den übrigen, diesbezüglich oftmals synonym verwendeten Begrifflichkeiten wie Informationssicherheit, Datenschutz, Datensicherheit, Cybersicherheit, Sicherheit bei Produkten wie bspw. Medizinprodukten, usw. unterscheidet. Um es kurz zu machen: Es ist m.A. nach oftmals müßig und nicht zielführend zwischen diesen Begrifflichkeiten streng unterscheiden zu wollen. Vielmehr sollte man heutzutage alles als „Schutz von Daten“ bzw. „Schutz der störungsfreien Datenverarbeitung“ bezeichnen, denn darum geht es mehr oder weniger immer.

Darüber hinaus sollte man sich ferner die Frage beantworten, was man mit den Begriffen „IT-Sicherheit“ bzw. den vorstehend genannten Begrifflichkeiten eigentlich meint bzw. welche Bereiche / Aspekte diese erfassen sollen. So ist häufig zu beobachten, dass man diese Begriffe nur technisch verstehen und damit nur die technischen Aspekte beleuchten will (keine gute Idee). Untrennbar mit den technischen hängen nämlich immer auch die organisatorischen Aspekte zusammen, die man zusätzlich bzw. gemeinsam mit den technischen beleuchten muss. Doch auch diese beiden Bereiche sind m.A. nach für die Erfüllung einer „modernen IT-Sicherheit“ nicht ausreichend. Vielmehr sollte man zumindest immer die einschlägigen rechtlichen, technischen, organisatorischen sowie ökonomischen Aspekte berücksichtigen. Zusätzlich empfiehlt es sich vermehrt, auch die psychologischen Aspekte mit einzubeziehen (Stichwort: „Gefahren durch Social Enginieering“), was dieses Thema jedoch immer komplexer und somit schwerer greifbarer werden lässt.

Die rechtlichen „Sicherheits-Implikationen“ lassen sich m.A. nach an den datenschutzrechtlichen Anforderungen mehr oder weniger konkret ablesen. Da ein Verstoß gegen die „Sicherheit“ bzw. gegen den Datenschutz mit hohen Bußgeldern einhergehen kann, die nun auch zunehmend verhängt werden (siehe z. B. Beispiel 1&1 Bußgeld i.H.v. rund 10 Mio € wegen eines unzureichenden Rollen- und Berechtigungskonzepts) sollte die Erfüllung der EU-Datenschutzgrundverordnung (DSGVO) die maßgebliche „Motivation“ zur Umsetzung von adäquater Sicherheit (Rechtskonformität) für ein Unternehmen sein.

Bei der IT-Sicherheit, dem „Datenschutz“ usw., muss man sich ferner immer auch fragen, wer eigentlich, wofür verantwortlich ist. So ist es bspw. gerade bei modernen (smarten) „Cloud-Lösungen“ ein ganz heißes Eisen zu bestimmen, wer eigentlich (in der Realität) für die Gewährleistung der „Sicherheit“ verantwortlich sein soll und in wie fern der eigentlich datenschutzrechtliche „Verantwortliche“, wie z. B. ein Unternehmen, das diese Lösung einsetzt, überhaupt Einfluss auf die Sicherheit solcher Lösungen nehmen kann. Denn oftmals ist es bei diesen Lösungen so, dass der „Verantwortliche“ mehr oder weniger komplett „abhängig“ vom Anbieter dieser Lösungen ist, was wiederum die Frage der Verantwortlichkeit in ein anderes Licht rückt.

Ferner kommt hinzu, dass es, wie z. B. auch aus der DSGVO deutlich wird, niemals ein „starres“ Maß an Sicherheit geben kann. Vielmehr ist es essenziell, dass immer eine adäquate Sicherheit entsprechend des mit der Datenverarbeitung einhergehenden Risikos vom Verantwortlichen gewährleistet wird. Wer Verantwortlicher und was ein adäquates Sicherheitsniveau ist, lässt sich jedoch immer nur im konkreten Einzelfall bestimmen.

Das wiederum hat in der Praxis zur Konsequenz, dass sich die Maßnahmen, die für eine adäquate, ausreichende „Sicherheit“ ergriffen werden müssen, von Unternehmen zu Unternehmen massiv unterscheiden können. Eine „one-size-fit-all“-Lösung kann es daher bei der IT-Sicherheit, dem Datenschutz, etc. nicht geben!

Damit erklärt sich auch, dass die DSGVO keine starren Vorgaben zur Gewährleistung von „Sicherheit“ gibt, sondern vielmehr einen risikoorientierten Ansatz verfolgt. Dadurch ist jedes Unternehmen als Verantwortlicher aufgerufen, ein entsprechendes Risikomanagement durchzuführen, um in die Lage zu kommen, ein ausreichendes Sicherheitsniveau für seine IT / seine Daten zu gewährleisten.

Voraussetzung dafür ist jedoch eine umfassende Transparenz über die Datenverarbeitungen / die IT-Infrastruktur, die Zugriffsmöglichkeiten auf IT / Daten usw., was jedoch in der Zeit der „smarten“ IT immer mehr zu einer „Mission Impossible“ wird.

Zusammenfassend lässt sich daher sagen, dass derjenige, der im jeweiligen Einzelfall für die „IT-Sicherheit“ verantwortlich ist (was es immer im Einzelfall, anhand der konkret stattfindenden Datenverarbeitung zu prüfen und festzulegen gilt), verpflichtet ist, ein der Verarbeitungssituation inkl. der damit einhergehenden, mannigfaltigen Risiken, adäquates (Daten-)Schutzniveau zu gewährleisten. Dieses Niveau hängt immer von den konkreten Umständen der jeweiligen Datenverarbeitung ab.

Wenn man sich offen und ehrlich mit diesem Thema auseinandersetzt wird man daher zum Ergebnis kommen, dass es kein „einheitliches Maß“ an Sicherheit geben kann, sondern alles vom Einzelfall und den Risiken abhängt, die mit der Datenverarbeitung einhergehen.

Martin: Gibt es konkrete juristische Vorgaben für spezifische Schutzmaßnahmen?

Gerald: Es gibt in unterschiedlichen Gesetzen / Verordnungen „Hinweise“ auf Schutzmaßnahmen, wobei diese jedoch alle recht rudimentär sind. So beinhaltet bspw. Art. 32 DSGVO auch nur einige allgemeine Hinweise auf zu ergreifende Schutzmaßnahmen, die immer anhand des jeweiligen Einzelfalls zu konkretisieren sind. So sind insbesondere folgende Maßnahmen bei einer Datenverarbeitung zur Gewährleistung von „Sicherheit“ zu berücksichtigen:

– Pseudonymisierung und Verschlüsselung personenbezogener Daten;
– die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;
– die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;
– ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

Wie Art. 32 Abs. 2 DSGVO deutlich macht, sind bei der Beurteilung des angemessenen Schutzniveaus insbesondere immer „die Risiken zu berücksichtigen, die mit der Verarbeitung insbesondere durch Vernichtung, Verlust oder Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden verbunden sind.“

Mithin sind die Gefährdungen zu berücksichtigen, die bei einer Verletzung gegen die Schutzprinzipien der IT-Sicherheit nämlich der Vertraulichkeit, der Integrität und der Verfügbarkeit eintreten können. Auch daran sieht man, wie eng „Datenschutz“ und „IT-Sicherheit“ heutzutage zusammenspielen oder anders gesagt, dass es heute praktisch unmöglich ist, diese Bereiche getrennt voneinander zu betrachten.

Im Bereich KRITIS existieren immer mehr IT-Sicherheits-Branchenstandards, die vom BSI akzeptiert wurden und auch nicht KRITIS-Unternehmen eine nicht zu unterschätzende Hilfestellung bieten. Diese stellen zumeist eine Konkretisierung der in ISO 27002 enthaltenen Maßnahmen darf. Auch wenn Unternehmen in einer bestimmten Branche nicht als KRITIS-Unternehmen anzusehen sind, kann es für diese dennoch durchaus empfehlenswert sein, z. B. zur Erfüllung der DSGVO-Anforderungen, die für ihre Branche für die KRITIS-Unternehmen vorgeschlagenen Maßnahmen, ihren konkreten Anforderungen entsprechend zu implementieren und zu dokumentieren.

Insbesondere wenn eine umfangreiche Verarbeitung besonders schützenswerter Daten (z. B. Gesundheitsdaten) vorliegt, ist das damit verbundene Risiko dementsprechend hoch, was es gem. DSGVO angemessen u.a. im Hinblick auf die zu ergreifenden technischen und organisatorischen Maßnahmen zu berücksichtigen gilt.

Martin: Gibt es Quellen, Vorgaben oder Urteile, aus denen hervorgeht, was heute als Mindeststandard nicht mehr ausreicht?

Gerald: Auch diese Frage ist sehr spannend, da es m.A. nach ja schon sehr fraglich ist, was überhaupt „Standard“ sein soll, wer diesen festlegt usw.

Denn der Begriff „Standard“ impliziert ja eigentlich, dass es etwas gibt, das überall Geltung beanspruchen kann. Da jedoch wie vorstehend aufgezeigt „Sicherheit“ etwas sehr Spezifisches ist, ist es schwer, einen überall geltenden „Mindeststandard“ zu definieren, der für alle denkbaren Szenarien Geltung beansprucht.

Dennoch werden regelmäßig Mindestanforderungen zu unterschiedlichsten Produkten, „Sicherheitstechniken“ u.a. vom BSI aufgestellt, die wiederum für Aufsichtsbehörden und Gerichte als Leitlinien dienen zu entscheiden, ob die eingesetzte IT bzw. Techniken noch dem „Stand der Technik“ entsprechen und damit „sicher“ sind oder nicht. Etwaige Urteile von Gerichten oder Beschlüsse von Aufsichtsbehörden, die sich mit diesen Fragen auseinandersetzen kommen im Prinzip immer nur zu Stande, weil etwas im Bereich „Sicherheit“ bildlich gesprochen „in die Hose“ gegangen ist. Wenn nämlich etwas passiert ist und dabei ein Produkt bzw. seine Eigenschaften nicht mehr dem jeweiligen Stand der Technik entsprechen, spricht immer eine gewisse Vermutung dafür, dass der Schaden durch dieses Produkt bzw. durch die veralteten Techniken, Standards etc. direkt oder mittelbar entstanden ist. Der Beklagte muss dann in einem Rechtstreit bzw. in einem behördlichen Verfahren diese Vermutung entkräften, indem er der Behörde bzw. dem Gericht nachweist, dass dieses Produkt / Verfahren nicht kausal für den Schaden war.

In die Jahre gekommene Software, Komponenten, Standards usw., gerade auch wenn sie nicht mehr den Anforderungen von BSI und Co. entsprechen, dürfen daher nach herrschender Meinung eigentlich nicht mehr eingesetzt werden. Denn diese beinhalten bspw. viele bekannt gewordene Sicherheitslücken, die in diesen alten Produkten nicht mehr gepatchet sind. Doch muss man m.A. nach ehrlicherweise auch sagen, dass es auch bei diesen in die Jahre gekommenen Produkten immer darauf ankommt, wie und in welcher „Umgebung“ bzw. unter welchen Umständen sie konkret eingesetzt werden sollen. Denn wenn ein Gerät autark betrieben und nicht im Netzwerk betrieben wird und insbesondere auch nicht mit dem Internet verbunden ist, dürfte das Risiko der Gefährdung geringer sein, als wenn ein solches Gerät mit dem Internet verbunden ist.

Will ein Verantwortlicher derartige Produkte weiterhin betreiben, muss er sich daher immer darüber im Klaren sein, was dieses u.a. in gerichtlichen Verfahren für Probleme mit sich bringen kann.

Martin: Gibt es einen Punkt der dir bei diesem Thema besonders am Herzen liegt?

Gerald: Um es kurz und knapp zu machen:
Mir ist es ein sehr, sehr großes Anliegen, dass man sich hinsichtlich dieses Themas endlich offen und ehrlich, mit den teilweise zugegebenermaßen auch sehr unbequemen Fragestellungen auseinandersetzt. Denn erst eine offene und ehrliche Auseinandersetzung mit Fragestellungen, die jedoch gerne von Politik und Wirtschaft totgeschwiegen werden, kann zu einer Besserung der Gesamtsituation führen.

Man sollte jedenfalls nicht den Fehler machen, jedem neuesten IT-Sicherheitstrend „nachzuhecheln“. Denn wie so einige Beispiele aufzeigen, handelt es sich auch bei diesen „Sicherheits-Technologien“ um Software, die Fehler haben. Daher ist es nicht unwahrscheinlich, dass durch den Einsatz einer solchen „Lösung“ zwar ein Problem gelöst wurde, dadurch aber möglicherweise ein oder mehrere neue Probleme geschaffen wurde. Denn gerade die datenschutzrechtlichen Anforderungen sollten beim Einsatz einer solchen Lösung nicht aus dem Blick verloren werden. Gerade weil solche Lösungen oftmals massiv in Rechte Dritter (z. B. Mitarbeiter) eingreift, sollte man vor Beschaffung den Einsatz einer solchen Software immer an den datenschutzrechtlichen Grundprinzipien messen.

Es ist mir ferner ein sehr großes Anliegen darauf hinzuweisen, dass man als Unternehmen / Nutzer usw. nicht in eine Technikhörigkeit verfällt. Vielmehr sollte man sich als Verantwortlicher immer darüber im Klaren sein, dass moderne Datenverarbeitung ausmacht, dass sie immer intransparenter und komplexer wird. Folglich wird es auch immer schwerer, die gesetzlichen Anforderungen, insbesondere auch die Gewährleistung einer angemessenen Sicherheit zu erfüllen, denn diese bedingen zwangsläufig „Transparenz“.

Von daher ist es wie gesagt absolut essenziell, sich offen und ehrlich mit diesem hochkomplexen und sehr diffusen Thema auseinanderzusetzen. Die vielfach in Unternehmen zu beobachtende „Vogel-Strauß-Mentalität“ „Kopf in den Sand stecken“ und alle relevanten Fragestellungen verdrängen nach dem Motto, „hätt noch immer jutjejange“, hilft jedenfalls nicht weiter und ist der Sache an und für sich nicht zuträglich!

Denn wie viele aktuelle Sicherheitsvorfälle zeigen, dürfte zunehmend das Motto gelten, dass je mehr man sich auf IT verlässt, umso größer ist das Risiko verlassen zu sein, wenn diese nicht mehr so funktioniert bzw. man nicht mehr auf die Daten zugreifen kann. Eine adäquate „Sicherheit“ der Datenverarbeitung ist damit das A und O, um den Geschäftsbetrieb aufrechtzuerhalten, weshalb man dafür halt auch mehr tun muss, als wenn man nur wenig IT einsetzt und seine Geschäftsprozesse nicht ausschließlich auf IT ausrichtet!

öbuv-Sachverständiger Wiegand Liesegang

Martin: Was ist der „Stand der Technik“?

Wiegand: Laut einschlägiger Literatur und Rechtsprechung genügen Maßnahmen dem „Stand der Technik“, wenn es sich um machbare technische Spitzenleistungen handelt, die sich in der Praxis bewährt haben oder zumindest erfolgreich und praxisnah erprobt wurden. Ferner sollten die Maßnahmen der herrschenden Auffassung führender Fachleute entsprechen.

Hiervon strikt zu trennen sind die „allgemein anerkannten Regeln der Technik“. Maßnahmen entsprechen „allgemein anerkannten Regeln der Technik“, wenn sie allgemein bekannten Erkenntnissen genügen und sich in der Praxis (allgemein) bewährt haben. Die Maßnahmen sollten sich ferner bei der Gesamtheit bzw. zumindest bei der Mehrheit der Praktiker durchgesetzt haben.

Darüber hinaus sind „allgemein anerkannte Regeln der Technik“ insofern von besonderer Bedeutung, als sie nach herrschender Meinung einen Mindeststandard für das Leistungs-Soll repräsentieren, sofern keine vertraglichen Vereinbarungen existieren. Weiterhin gilt nach herrschender Meinung, dass eine Leistung, die gegen Normen (wie DIN etc.) verstößt, die (allerdings im Einzelfall widerlegbare) Vermutung mit sich zieht, dass die Leistung nicht einmal dem Mindeststandard entspricht. Insofern ist in der Regel von einer weitreichenden Gleichwertigkeit von Normen und „allgemein anerkannte Regeln der Technik“ auszugehen.

Im Ergebnis sind beide Termini sehr allgemein gehaltene Qualitätsdefinitionen, die sich über die Zeit kontinuierlich verändern. Daher ist die Beurteilung, ob eine konkrete Maßnahme dem „Stand der Technik“ oder „allgemein anerkannten Regeln der Technik“ genügt, nicht trivial und nur für eine kurze Zeit gültig, insbesondere im Kontext der sich schnell ändernden Informationstechnologie.

Martin: Welche Rolle spielt dieser Begriff im Umfeld der IT-Sicherheit und Informationssicherheit?

Wiegand: Grob vereinfacht ist beispielsweise dem IT-Sicherheitsgesetz, dem Telemediengesetz, dem Telekommunikationsgesetz und der DSGVO gemein, dass bei der konkreten Ausgestaltung von Maßnahmen der „Stand der Technik“ zu berücksichtigen ist. Die Maßnahmen müssen ferner die tatsächlich konkret bestehenden Risiken und die Verhältnismäßigkeit / Wirtschaftlichkeit der Maßnahmen angemessen berücksichtigen.

Dementsprechend müssen bei der Herleitung und Definition von regulatorisch angemessenen Maßnahmen die Risiken, die Verhältnismäßigkeit / Wirtschaftlichkeit und der „Stand der Technik“ angemessen berücksichtigt werden, was eines differenzierten und systematischen Prozesses einschließlich einer entsprechenden Dokumentation bedarf.

Martin: Gibt es konkrete Ausgestaltungen des Standes der Technik, die als umzusetzende Vorgabe gelten, etwa bestimmte Entwicklungsstandards oder „verwende einen aktuellen Virenscanner“?

Wiegand: Tatsächlich gibt es Hilfestellungen, die die Ausgestaltung von Maßnahmen im Sinne des „Stands der Technik“ erleichtern bzw. ermöglichen sollen, bspw. die „Handreichung zum Stand der Technik“ vom Bundesverband IT-Sicherheit e.V. oder der branchenspezifischen Sicherheitsstandard (B3S) „BAK Datacenter & Hosting mit CDN“. Insbesondere die „Handreichung zum Stand der Technik“ lifert konkrete Anregungen, die für eine erste grobe Orientierung verwendet werden können.

Fragwürdig ist allerdings, die weit verbreitete, auch in den beiden zuvor beispielhaft angeführten Hilfsmitteln und vom BSI vertretene, Position, dass Normen und Standards herangezogen werden sollen, um den „Stand der Technik“ bestimmter Maßnahmen herzuleiten. Wie im Kontext von Frage 1 dargelegt, ist in der Regel vielmehr von einer weitreichenden Gleichwertigkeit von Normen und „allgemein anerkannte Regeln der Technik“ auszugehen.

Darüber hinaus gibt es Produkte, die bspw. vom BSI im Hinblick auf definierte Kriterien zertifiziert wurden, und somit zumindest ein bestimmtes Maß an IT-Sicherheit realisieren.

Im Ergebnis gibt es zumindest nach meiner Einschätzung keine konkreten Ausgestaltungen, die rechtlich verbindlich den Stand der Technik verkörpern. In der Folge sind individuelle und differenzierte Bewertungsprozesse notwendig, um für den jeweiligen Kontext eine angemessene konkreten Ausgestaltung herzuleiten.

Martin: Gibt es einen Punkt der dir bei diesem Thema besonders am Herzen liegt?

Wiegand: Tatsächlich habe ich den Eindruck, dass die Termini „Stand der Technik“ und „allgemein anerkannte Regeln der Technik“ aufgrund unzureichender Sachkenntnis häufig nicht richtig interpretiert und abgegrenzt und somit — auch bei der Vertragsgestaltung — nicht richtig verwendet werden.

Dies führt bspw. auch dazu, dass der Stand der Technik (eine technische Spitzenleistung, die möglicherweise erst vereinzelt praxisnah erprobt wurde) ohne entsprechenden Bedarf fast schon inflationär gefordert wird. Das kann auch zur Folge haben, dass aufgrund unzureichender Erfahrungen mit derartigen Maßnahmen das Sicherheitsniveau eher herabgesetzt als gesteigert wird.

„Gib mir 4“: Interview mit Noèl Funke zu Hackers4Good e.V.

Noèl, wir kennen uns seit der ersten Leetcon 2016, einer großartigen Konferenz, die du insgesamt dreimal organisiert und durchgeführt hast. Dabei hast du von Beginn an auch dein ehrenamtliches Engagement einfließen lassen und deine Gäste zum mitmachen motiviert. Ich erinnere mich an ein „Radrennen“ auf Fahrradergometern, bei denen jeder gefahrene Kilometer Spendengelder generiert hat und auch an deine Geschenkelieferung an den Weihnachtsmann im hohen Norden, damit dieser die Geschenke an Kinder in Deutschland bringen kann . Dazu bist du mit deinem LKW „Paulchen“ unterwegs gewesen. Daher heißt dieses Interview nicht „Gib mir 4“, sondern „Gib mir 4×4“.

Martin: Charity, also Nächstenliebe, ist ein wichtiger und sinnstiftender Teil des Menschseins. Was motiviert dich, was treibt dich an und gibt es für dich eine Besonderheit in sozialem Engagement von ITlern oder überhaupt in der IT?

Noèl: Eine Grundmotivation ist natürlich, dass es auf der Welt überall Kinder und Jugendliche gibt, die unsere Hilfe benötigen um in eine vernünftige Zukunft zu blicken. Egal ob bei digitalen IT-Themen oder auch ganz normalen Lebenssituationen. Selbst hier in Deutschland gibt es über 20.000 Kinder, die in Armut leben müssen. Es gibt zig tausend Kinder die nicht mal ein eigenes Bett haben. Kinder in Albanien teilen sich in der Schule zu viert einen Bleistift. Kinder und Jugendliche in Südafrika haben kaum Chancen auf Bildung, wenn sie nur 100km außerhalb der Hauptstädte leben, oder werden zwangsverheiratet, misshandelt … zur Arbeit gezwungen. Die Liste kann endlos fortgeführt werden … Ein unglaublicher Zustand!

Wir haben das Glück in einem ziemlich komfortablen Umfeld zu leben und können ein wenig zurückgeben, ohne das es uns weh tut. Daraus ist auch der Gedanke der Weihnachtstour mit „PAUL“ entstanden. Es tut eben nicht weh einige Wunschbriefe von sterbenskranken Kindern mit auf eine Reise zum Weihnachtsmann mitzunehmen … der Dank sind leuchtende Kinderaugen, die manchmal das letzte Geschenk ihres Lebens erhalten.

Ich denke, dass die Besonderheit an uns ITlern ist, dass wir in der digitalen Welt zu Hause sind und digitale Aspekte für eine Hilfe, die zukunftsorientiert angelegt ist, sonst eher weniger berücksichtigt werden. Aber letztlich ist nicht alles von IT und digitaler Welt abhängig. Wenn jemand Hilfe braucht und wir können Sie geben, ohne das es weh tut … gibt es keinen Grund es nicht zu tun. Gerade bei Kindern und Jugendlichen, die mit unserer Hinterlassenschaft leben müssen.

Geschenkefahrt zum Weihnachtsmann zur Auslieferung
Geschenkefahrt zum Weihnachtsmann zur Auslieferung

Martin: Gemeinsam haben wir den Verein Hackers4Good e.V. gegründet. Du bist der „Kopf“ und Ideengeber. Welche Ziele verfolgt der Verein?

Noèl: Die Menschen schauen in eine digitale, sich schnell verändernde Zukunft. Mein großes Steckenpferd ist die IT-Security und wie wir es auch gesellschaftlich schaffen diese digitale Zukunft vor allem sicher zu meistern. Kinder und Jugendliche bekommen hier oft wenig Unterstützung wenn es um digitale Themen geht und wie man zum Beispiel mit sozialen Medien umgeht. Auf sich allein gestellt lernen sie oft nicht den richtigen Umgang oder eignen sich falsche Denkweisen an. Jedes Kind, welches wir zu einem verantwortungsvollen Umgang mit IT, sozialen Medien und der digitalen Welt bewegen können bedeutet für mich:

  • ein Mobbingopfer weniger
  • ein Täter weniger
  • weniger Cyberkriminalität in Verbindung mit Kindern
  • eine Vorbereitung für die digitale Zukunft
    … und viele Themen mehr.

    Wir wollen einfach „handeln“ und nicht irgendwo Geld hinwerfen. (#mirhacknhalt)

Die Besonderheit dabei ist, das wir Hacker, Nerds oder IT-Leute direkt aus der Quelle schöpfen können und damit auch fachliches Wissen weitergeben können; die Kids mit praktischen Beispielen an das Thema heranführen können. Zusätzlich zu wichtigen Skills, die wir vermitteln, organisieren wir für bedürftige Kinder und Jugendliche auch Hardware, damit sie den Anschluss an die digitale Zukunft nicht verpassen.

Martin: Vor dir liegt eine engagierte Zeit in Afrika. Welche Pläne habt ihr und was möchtet ihr dort erreichen?

Noèl: Das Motto ist: Wir schenken einer Region die Zukunft ihrer Kinder! Ein guter Freund engagiert sich dort schon seit mehr als 15 Jahren. Es gibt auf einem großen Gelände einer Mission verschiedene Gebäude, Sportplätze und Einrichtungen. Nahe der Grenze zu Lesotho, in Underberg stehen bereits 14 Gebäude, die verschiedene Einrichtungen beheimaten. Waisenhaus, Kinderheim, Preschool, Highschool, ein SafeHouse für misshandelte Mädchen, Sporteinrichtungen und eine Art Wohnbereich für Jugendliche auf dem Weg ins Berufsleben. Die Aufgabe ist nun eine unterbrechungsfreie, stabile Versorgung mit Strom und Internet zu installieren. Hierzu müssen wir erstmal erfassen wie die Gegebenheiten vor Ort sind und mit Behörden und Versorgern sprechen. In Kooperation wird es alternative Konzepte wie Solarenergie geben. Im nächsten Schritt wird es eine Art berufsvorbereitende Schule geben in der wir IT-Skills vermitteln wollen, Grundkenntnisse, Programmierung, Office, etc. Dazu gehört auch der Aufbau dieser Schule auf technischer Ebene. Hardware, Infrastruktur, Zugang zu Medien und Internet. Derzeit gibt es dort schon ein Konzept für Gärtnerei & Landwirtschaft, sowie eines für Schneiderei & Hauswirtschaft. Wir übernehmen den Technologie-Part. Alles in allem ein auf lange Zeit und Nachhaltigkeit angelegtes Projekt.

Martin: Gibt es einen Punkt, der dir bei diesem Thema besonders am Herzen liegt?

Noèl: Es ist schockierend wie viel Bedarf an Hilfe allein hier in Deutschland herrscht und wie grotesk teilweise damit umgegangen wird. Ebenso wie der Umgang mit digitalen Themen gibt es an jeder Ecke etwas zu tun. Ein Projekt, das ich dabei besonders unterstütze, ist eine Web-Schule in Bochum, wo Kinder unterrichtet werden, die wegen Gewalt, Mobbing, Krankheit oder anderen Gründen nicht in die Regelschule gehen können. Die Kosten werden zwar nach langem Behördenkampf oft übernommen … aber die Kids haben keine Hardware um überhaupt am Online-Unterricht teil nehmen zu können. Das ist doch total GaGa … oder nicht? Also ein typischer Fall für die Hackers4Good … wir geben den Kids die Hardware, damit Sie für die Zukunft lernen können. Auch die Themen um soziale Medien, Mobbing und Missbrauch im Netz liegen mir sehr am Herzen und wir unterstützen immer wieder mit Kampagnen an Schulen und auf Veranstaltungen.

Erste Infos haben wir auf Facebook online gestellt: Hackers4Good (Facebook)

Kölner Kreis: Lesung ’00:01′ Mythos Computerforensik | Constantin Gillies + Martin Wundram, 19.11.19

00:01 Die Lesung - Gillies, Wundram - Youtube-Link

„Ein mysteriöser Mordanschlag, ein verdächtiger Laptop und ein abgehalfterter Ermittler – darum dreht sich ’00:01′, der neue Roman des Kölner Autors Constantin Gillies. Er spielt in einer Welt, die kaum jemand kennt in der Computerforensik.“

Der Kölner Kreis hat am 19.11.2019 eine Lesung zu diesem Roman ausgerichtet. Der Raum im Cöln Comic Haus war mit 60 Teilnehmern ausgebucht. Constantin Gillies und Martin Wundram haben gelesen, diskutiert und mit dem Publikum gelacht.

Constantin Gillies ist Journalist und Autor des Romans „00:01“. Martin Wundram ist Computerforensiker und Geschäftsführer von DigiTrace, Köln.

Zusammen stellten sie Constantins Roman „00:01“ vor und beantworteten Fragen wie: „Wie viel Crime‘ bietet die Computerforensik wirklich?“ und „Welche IT-Kniffe aus dem Roman sind realistisch?“

Dieser Mitschnitt zeigt die erste Stunde, bis zum Beginn der Frage- und Diskussionsrunde mit den Teilnehmern.

Link zum Video: ’00:01′ Die Lesung – Gillies, Wundram – Youtube

DigiTrace-Template zur Erfassung von IT-Events und IT-Incidents (z.B. bei IT-Sicherheitsvorfällen)

Seit Januar 2020 bietet DigiTrace die eintägige Fortbildung „Digitaler Ersthelfer“ als Workshop an. Dabei erlernen die Teilnehmer auch den Umgang mit einer Erfassungsvorlage z.B. für IT-Sicherheitsvorfälle. Diese Vorlage kann ausgedruckt (z.B. direkt das PDF) und per Stift ausgefüllt, oder am PC bearbeitet werden (2. Variante, Libreoffice). Wir haben die Vorlage CC-BY-SA-lizenziert und online gestellt, damit jeder damit arbeiten kann, auch ohne Teilnahme an einer Schulung:
Download des DigiTrace-Template zur Erfassung von IT-Events und IT-Incidents (Libreoffice .odt) 158 kB
Download des DigiTrace-Template zur Erfassung von IT-Events und IT-Incidents (PDF) 115 kB

Kommentar zum Bezos-Hack: Forensik-Gutachten lässt noch viele Fragen offen

Losgelöst von der rechtlichen, politischen und ethischen Komponente rund um den mutmaßlichen Hack des Smartphones von Jeff Bezos wirft ein kritischer Blick auf den öffentlich gewordenen IT-forensischen Untersuchungsbericht weitere Fragen auf. Vice hat am 22. Januar 2020 einen 17-seitigen als vertraulich markierten Bericht mit dem Titel “Project Cato” des Unternehmens “FTI Consulting” online gestellt. Darin kommt FTI mit “mittlerer bis hoher Überzeugung” zu dem Schluss, Bezos iPhone X sei mittels Malware durch einen WhatsApp-Account kompromittiert worden, den der Saudische Kronprinz genutzt habe.

Sicher, mittels per WhatsApp versendeter Videos waren Mobilgeräte wohl tatsächlich angreifbar und der im forensischen Gutachten beschriebene technische Ablauf erscheint nicht unplausibel, aber sind auf Basis der IT-forensischen Untersuchung wirklich Opfer sowie Täter mit “mittlerer bis hoher Überzeugung” zu bestimmen? Oder wurden hier die Ergebnisse technischer Untersuchungen mit Informationen aus einer Hintergrundrecherche vermischt?

Die erste Schwierigkeit liegt darin, dass FTI laut Bericht nur eine logische Kopie von Anwendungsdaten über reguläre Backup-Techniken und eben nicht eine vollständige Kopie des gesamten Geräte-Speichers erzeugt hat. Das wäre jedoch notwendig, um das Gerät wirklich gründlich inklusive gelöschter und geschützter Datenbereiche zu untersuchen. So spricht das Dokument in der “Executive Summary” (Zusammenfassung) auf Seite 6 von einer “full forensic examination of the logical file system” (‚vollständigen forensischen Untersuchung des logischen Dateisystems‘).

Ganz am Ende findet sich dann der wichtige Hinweis, eine vollständige Untersuchung des gesamten Speichers mittels Jailbreak sei noch bevorstehend. Diese Einschränkung findet sich auch in Anhang 1 des Berichtes der beiden UN-Experten Callamard und Kaye: “Logical mobile acquisition” (‚logische Sicherung des Mobiltelefons‘). Zuvor schreiben auch sie jedoch umfassend: “An in-depth, forensic level examination of Mr. Bezos’ phone including full forensic imaging and analysis – was undertaken by a team of digital forensic experts.” (‚Eine gründliche Untersuchung von Mr. Bezos Telefon auf forensischer Ebene einschließlich vollständiger forensischer Sicherung und Analyse wurde von einem Expertenteam für digitale Forensik vorgenommen.‘)

Fragwürdig ist, warum der forensische Bericht ausführlich über technische Details der Analyseplattform berichtet (so sei unter anderem Ubuntu in Version 18.04 LTS in Oracle VirtualBox auf zwei Surface-Laptops mit Intel Core i7-Prozessor und 512 GB Festspeicher verwendet worden), für die Aufklärung wesentliche Angaben aber unerwähnt lässt: Welche Seriennummer hat das iPhone von Jeff Bezos, welche iOS-Version war installiert? Lief die Systemuhr des Mobiltelefons zum Zeitpunkt der Untersuchung korrekt und gibt es Anhaltspunkte, ob dies auch im mutmaßlichen Tatzeitraum so war? War das Gerät (zumindest zum Zeitpunkt der Untersuchung) z.B. mit einer PIN geschützt oder ungeschützt verwendbar? Wurde Herr Bezos befragt, ob er zum Tatzeitraum einen solchen Geräteschutz eingestellt hatte oder nicht? Welche Änderungen haben die IT-Forensiker an dem iPhone vorgenommen? Schließlich haben sie wohl live an dem System gearbeitet und damit potentiell Spuren verändert oder (ungewollt) gelöscht.

Wie viele Nutzdaten waren auf dem iPhone gespeichert? Laut FTI sollen 7,6 GB Daten abgeflossen sein. Waren so viele Fotos, Videos und sonstige Nutzdaten auf dem Gerät vorhanden, oder müsste der Traffic eher Folge einer abgeschnorchelten Kamera sein? Auch hierzu liefert der IT-forensische Bericht keine Aussage.

Es ist zwar interessant zu erfahren, dass die FTI-Forensiker mittels Metalldetektoren an der Labortür überprüft wurden (Seite 8 des Berichts), aber offen bleibt nun die Frage, wie genau die ausführlichen forensischen Untersuchungen abliefen (“FTI conducted in-depth analysis of forensic artifacts from the redacted Cellebrite reports and captured network logs”, Seite 9 des Berichts – ‚FTI nahm eine gründliche Analyse der forensischen Beweismittel aus den redigierten Cellebrite-Berichten und den aufgezeichneten Netzwerkprotokollen vor‘).

An keiner Stelle nennt der Bericht die Mobilnummer, die für den WhatsApp-Namen “MBS” in dem iPhone gespeichert war. Das ist auffällig, weil mehrere Bereiche in dem Bericht mit der Zeichenfolge “REDACTED” (‚redigiert‘) geschwärzt sind. Die Mobilnummer hätte problemlos ebenfalls geschwärzt werden können. Damit stellt sich auch die Frage, warum der Bericht überhaupt geschwärzte Bereiche enthält. Wurde nachträglich geschwärzt oder direkt durch FTI? Auffällig ist auch die Ähnlichkeit oder sogar Gleichheit des Schwärzungstextes mit dem Originaltext. Die folgende Grafik zeigt einen 1:1 aus dem Fließtext kopierten Buchstaben ‚C‘, der zur Verdeutlichung neben das ‚C‘ aus ‚Redacted‘ gelegt ist: Font und Schriftgröße scheinen identisch.

Ähnlichkeit oder sogar Gleichheit des Schwärzungstextes mit dem Originaltext

Dies führt zu der abschließenden Frage, für wen der forensische Bericht bestimmt war. Denn je nach Auftrag und insbesondere Auftraggeber können natürlich z.B. für den Auftraggeber irrelevante Punkte ausgelassen werden. Jeff Bezos wird wohl selbst wissen, ob und unter welcher Mobilnummer er MBS gespeichert hatte, und er wird sich wahrscheinlich sicher sein, dass exakt sein Mobiltelefon bei FTI gelandet ist und dass es dann auch untersucht wurde. Aber dann wäre es vielleicht auch nicht nötig gewesen, in der Executive Summary (Seite 5) zu erklären, mit wem Bezos wann eine persönliche Beziehung führte oder Scheidungspläne eruierte.

Für Außenstehende bleiben damit relevante Fragen offen, besonders wie die FTI-Forensiker zu dem Schluss kamen, dass es sich bei dem Absender tatsächlich um das Konto des Saudischen Prinzen handeln soll. Da dieser interessante Bericht aber die wesentliche Einschränkung bezüglich der noch nicht erfolgten vollständigen Sicherung benennt und es wohl unklar ist, ob es von FTI einen weiteren Bericht gibt oder nicht, sollte man vor einer abschließenden Kritik an diesem Bericht noch warten.

Vortragsrückblick „So erkennen Sie, dass Sie angegriffen/gehackt wurden“

Vortragsrückblick: Eigener Vortrag bei IT-Sicherheitstag NRW

Wann: 04. Dezember 2019 | Was: Ausstellung/Messe und Konferenz mit verschiedenen Vorträgen (IT-Security und IT-Forensik)

Rückblickend: Zum siebten Mal fand der IT-Sicherheitstag NRW, diesmal in Hagen, statt. Wir waren zum dritten Mal als Aussteller dabei und haben viele spannende Gespräche geführt. Was mir besonders angenehm im Vergleich zu anderen (größeren) Messen aufgefallen ist: wie leise es war. Etwas zurückhaltender gestaltete Stände und insgesamt eine kleinere Halle haben für eine ruhige Atmosphäre gesorgt. Der regionale Bezug dieses Sicherheitstags führt auch dazu, dass sich Anbieter, Interessenten, Experten aus der Region direkt miteinander vernetzen können.

Download der Vortragsfolien

Veranstalter: IHK NRW, Link zur Veranstaltung

Interview zu Cyberstalking

Dieses Interview erfolgte im Rahmen einer Seminararbeit zum Thema „Stalking: Möglichkeiten zu Prävention und Opferschutz“ während des dualen Studiums bei der Polizei NRW. Jonas Meisner ist Polizeikommissaranwärter im 2. Ausbildungsjahr an der Fachhochschule für öffentliche Verwaltung NRW und hat mich zu diesem Thema interviewt.

Cyberstalking beschreibt ein Stalking-typisches Handeln des Täters durch Ausnutzen des Internets oder anderer elektronischer Mittel. Dabei gibt es viele mögliche unterschiedliche Erscheinungsformen, wie eine mehrfache Kontaktaufnahme oder Belästigung, Veröffentlichung unwahrer Tatsachen, intimer Details oder Fotos, Diebstahl der Identität des Opfers durch Anmeldung in Foren o.ä., Begehung von Straftaten oder Warenbestellung unter den Personalien des Opfers. Die Folgen solcher Aktionen können für die Opfer gravierend sein.

Jonas Meisner: Können Sie einen Fall aus ihrer beruflichen Praxis schildern?

Martin Wundram:

Im Laufe der Jahre habe ich als Sachverständiger eine Anzahl an Fällen von Cyberstalking begleitet. Wenn Täter und Opfer in einer persönlichen Beziehung stehen und es konkrete Verdachtsmomente gibt, kann eine Aufklärung möglich sein. So habe ich einen Fall als Gerichtssachverständiger begutachtet, in dem motiviert durch ausreichende Anhaltspunkte im Rahmen einer Durchsuchung der PC des Beschuldigten gesichert und untersucht werden konnte. Der Täter hatte mehrfach Nacktbilder seiner Ex-Freundin in „eindeutigen“ Dating-Portalen eingestellt und dazu erniedrigende Texte formuliert. Da hier keine Anonymisierungstechniken zum Einsatz kamen und der PC unverschlüsselt war, konnte der PC des schließlich Angeklagten und Verurteilten zweifelsfrei als Tatmittel identifiziert werden.

Sobald jedoch Anonymisierungstechniken wie TOR zum Einsatz kommen und keine Vermutungen oder Erkenntnisse über mögliche Täter vorliegen, sind solche Fälle schwer oder sogar überhaupt nicht aufklärbar. Das gilt insbesondere dann, wenn es nicht zu dauerhaften Aktionen kommt, sondern eher zu „Nadelstichen“. In einem kleineren Unternehmen wurde kürzlich ein Abteilungsleiter mehrfach mittels Cyberstalking unter Druck gesetzt und diffamiert. Von Extern wurden unter Verwendung anonymisierter TOR-IP-Adressen E-Mails an die E-Mail-Verteiler der Abteilung und sogar an unternehmensweite E-Mail-Verteiler versendet. Inhalte waren erniedrigende Falschinformationen über den Abteilungsleiter, ihn beruflich schädigende Falschaussagen und mehrfach auch explizit ausformulierte Drohungen. Der Fall konnte nicht aufgeklärt werden. Dies lag wohl auch daran, dass tatsächlich niemand eine Vermutung über den oder die möglichen Täter und auch nicht über das Motiv hatte. Eine Kontaktaufnahme an die täterseitig verwendeten E-Mail-Adressen blieb ohne jede Reaktion.

Ein besonders tragischer Fall ist auch der von Amanda Todd, der schließlich mit einem Suizid tragisch endete.

Jonas Meisner: Wie kann ich mich vor Cyberstalking schützen? (Maßnahmen zur Prävention)

Martin Wundram:

Dazu kann ich nur aus Sicht der IT-Sicherheit und IT-Forensik, also aus technisch-organisatorischer Sicht, schildern. Grundsätzlich ist es immer sinnvoll, bewusst mit dem Medium Internet umzugehen und nur diejenigen Informationen preiszugeben, die man wirklich preisgeben will und zu denen man auch mögliche Konsequenzen abschätzen kann. Wer von sich Ganzkörper-Nacktaufnahmen inkl. Gesicht in einschlägigen Portalen online stellt läuft einfach eher Gefahr, als jemand, der keinerlei Daten von sich veröffentlicht. Besonders riskant ist eine Informationspreisgabe in unmittelbar einsehbaren Plattformen, etwa Blogs oder Foren, die von Google und anderen Suchmaschinen indexiert und so einfach durchsuchbar gemacht werden. Aber auch vermeintlich geschlossene Kreise wie Facebook-Gruppen oder Threema-Chats bieten keine Garantie. Denn Nachrichten und Bild-/Videoinhalte lassen sich leicht als Screenshot an Andere weiter verbreiten. Es ist auch wichtig, sich deutlich zu machen, dass Inhalte im Internet manchmal 10, 20 oder noch mehr Jahre „konserviert“ und für jeden leicht auffindbar bleiben können. Die beste Präventivmaßnahme ist daher nach meiner Überzeugung die Datensparsamkeit und Datenvermeidung. Grundsätzlich ist es auch sinnvoll mit wechselnden und allgemein gehaltenen Pseudonymen zu arbeiten. So können Dritte nicht oder nur aufwändig Inhalte im Internet einem Individuum zuordnen.

Jonas Meisner: Wie kann ich mich verhalten, wenn ich bereits Opfer geworden bin?

Martin Wundram:

Auch dazu kann ich nur aus Sicht der IT-Sicherheit und IT-Forensik, also aus technisch-organisatorischer Sicht, schildern. Wichtig ist möglichst gut abschätzen zu können, was schlimmstenfalls passieren kann. Hat das Opfer Nacktbilder von sich selbst auf eigenen Systemen? Haben Dritte Nacktbilder? Steht das Opfer in der Öffentlichkeit? Was ist an Informationen über das Opfer im Internet und in IT-Systemen Dritter vorhanden und auffindbar? Wer zum Opfer geworden ist, sollte seinen „digitalen Schatten“ verkleinern, was eine Reduktion der Angriffsfläche bedeuten kann. Essentiell ist auch eine schnelle und präzise, also korrekte und belastbare, Dokumentation der Ereignisse. Dies können IT-Forensiker der Polizei und bei privaten IT-Forensikern insbesondere öffentlich bestellte und vereidigte Sachverständige sein. Es ist wichtig, sich an einen geeigneten Experten zu wenden, denn nach meiner Erfahrung geht oft wertvolle Zeit verloren und Spuren werden zu oft nicht so gesichert, dass sie bei einer Ermittlung und anschließender Beweisführung wirklich weiterhelfen. Problematisch sind etwa ungenaue Zeitangaben oder Informationen über IP-Adressen, die bereits Wochen oder Monate zurück liegen.

Jonas Meisner: Wo liegt die besondere Dimension von Cyberstalking?

Martin Wundram:

Die besondere Dimension liegt hier in der mühelosen Überwindung räumlicher Distanzen in Verbindung mit Anonymisierungstechniken. So können Opfer und Täter zur gleichen Zeit im selben Raum sitzen, der Angriff aber über eine IP-Adresse aus dem Ausland erfolgen. Umgekehrt ist es möglich, dass der Täter räumlich weit entfernt ist, er sein Opfer aber im „Cyberspace“ auf Schritt und Tritt verfolgen kann. Hinzu kommt die Möglichkeit, digitale Nachrichten praktisch zu Nullkosten an ein unbegrenzt großes Publikum zu verbreiten. Wer etwa über Twitter oder einen Blog ausreichend „spannende“ Nachrichten verbreitet, kann im Extremfall ein Millionenpublikum erreichen und zwar Tag und Nacht.

Weitere Informationen zu diesem Thema gibt es online, z.B. in Form eines Infoblattes des Bayerischen Landeskriminalamts.

Penetration Testing: Dump Hashes from Oracle SQL

How to get password hashes from Oracle SQL RDBMS when you already got a privileged account

Pentestmonkey and others offer valuable know-how for penetration testers facing an Oracle database server. If one already got privileged access (>=11g) system password hashes can be dumped for cracking purposes. It is important to consider that those hashes are stored not only in the attribute „spare4“ but can be stored in e.g. „spare6“. So if one wants to dump all hashes using „SELECT name,spare4 FROM sys.user$“ for each account with an empty hash you should SELECT the other spare-attributes, too.

Einladung zur Pressekonferenz des BSKI in Berlin

Veranstaltung: Pressekonferenz zur Gründung des Bundesverbandes zum Schutz Kritischer Infrastrukturen e.V. im Pressehaus, Berlin

Wann: 23. August 2018 09:00 bis 11:00 Uhr | Was: Pressefrühstück/Pressekonferenz mit Vorträgen und gemeinsamer Diskussion

Warum es sich lohnt hinzugehen: Der neu gegründete Bundesverband hat sich zum Ziel gesetzt, mit seinem Wissen den Schutz Kritischer Infrastrukturen zu fördern. Das besondere sind die interdisziplinären Kompetenzen, die sich im BSKI zusammen gefunden haben, etwa aus der Hochschulwelt, Energieversorung und IT. Die Pressekonferenz ist die erste öffentliche Veranstaltung und es gibt auch ein leckeres Frühstück. DigiTrace ist Gründungsmitglied und wird von mir vertreten.

Veranstalter: BSKI e.V., Einladung und Kontaktinformationen (PDF) | Agenda (PDF)
Ort: Raum 1 der Bundespressekonferenz, Pressehaus/0103, Schiffbauerdamm 40, 10117 Berlin

Erste Hilfe für den IT-Notfall

Kostenfreier Leitfaden aus einer Zusammenarbeit zwischen Martin Wundram (DigiTrace) und den Industrie- und Handelskammern

Was: Leitfaden (PDF) mit Tipps, Know-How und Ansprechpartnern für IT-Sicherheitsnotfälle

Gemeinsam mit der IHK Köln habe ich 2017 einen Leitfaden erstellt, der insbesondere KMU im Falle eines IT-Sicherheitsvorfalls (oder Verdacht darauf) erste Informationen, eine Skizzierung typischer Fehler, die man vermeiden sollte und eine Liste verschiedener Ansprechpartner an die Hand gibt. Die kleine Broschüre kann eine gründliche Vorbereitung und eine kompetente Beratung natürlich nicht ersetzen, sondern soll im Ernstfall einen Startpunkt liefern, von dem aus Betroffene schneller und besser reagieren können. Der Leitfaden betont insbesondere auch die präventive Seite:

Einfache präventive Maßnahmen
Am besten sind Sie gut vorbereitet! Dazu hilft ein aktueller und vollständiger Infrastrukturplan (Was steht wo, Netzwerkplan, Konfiguration), ein Incident Response Plan (Liste zum „Abarbeiten“ für den Ernstfall) und die präventive Kontaktaufnahme mit Ihren IT-Dienstleistern. Erarbeiten Sie mit diesen gemeinsam einen (kleinen) Plan, der die wichtigsten Punkte und Maßnahmen kurz skizziert

Quelle/Download: Download des Leitfadens Incident Response (PDF)

Vortragsrückblick: „IT-Sicherheit in Unternehmen ist Chefsache“ 2015 bei Smartworx

Vortragsrückblick: Was hat sich seit 2015 bei KMU getan?

Wann: 17. Juni 2015 | Was: Veranstaltung, verschiedene Vorträge (IT-Security und IT-Forensik)

Rückblickend: Im Rahmen einer sehr professionell von Smartworx geplanten und vorbereiteten Veranstaltung habe ich zwei Vorträge gehalten und mich den Abend über wohlgefühlt. Das lag an den interessierten Teilnehmern und der gastfreundlichen Atmosphäre, die das Team von Smartworx mühelos aufgebaut hatte. Aber was bewirken solche Themenabende eigentlich? Nun habe ich zwar keine Studie dazu angefertigt und kann nur über mein Bauchgefühl berichten. Ich denke auch, dass es für den einen oder anderen weiterhin ganz oben auf der Agenda grundsätzlich und immer wichtigere Themen gibt, als Informationssicherheit. Und dennoch, seit einigen Jahren merke ich, wie auch bei kleinen und mittleren Unternehmen das Bewusstsein für Informationssicherheit angemessener in den Fokus gekommen ist und viele Anwender und Entscheider sich immer öfter ganz bewusst die zentrale Frage stellen: welchen Schutzbedarf haben meine Daten und Systeme eigentlich?

Veranstalter: Smartworx, Link zur Veranstaltung

Leckeres Frühstück und gute Vorträge

Veranstaltung: IHK Köln Digital Cologne – Digital Brunch – Datensicherheit

Wann: 18. September 2018 | Was: Veranstaltung, offene Diskussionsrunde mit Sicherheits-Experten (IT-Security und IT-Forensik)

Warum es sich lohnt hinzugehen: Die Initiative Digital Cologne der IHK Köln stellt sich vor, die Moderation übernimmt Thomas Riedel und es gibt leckeres Frühstück (a.k.a. Brunch). Von mir wird der Eröffnungsbeitrag „Incident Response – Richtig reagieren bei einem IT-Sicherheitsvorfall“ beigesteuert.

Veranstalter: IHK Köln, Link zur Veranstaltung
Ort: Digital Lab der IHK Köln

Ein Mittsommer-Praktikum

Freiwilliges Schülerpraktikum bei DigiTrace

Diese Woche war Max auf seine eigene Initiative als Schülerpraktikant bei uns und hat einen ersten Einblick in die Welt der IT-Forensik genommen. Mich hat besonders interessiert, warum er freiwillig eine Woche lang während seiner Sommerferien seine Zeit in einem Büro verbringen wollte:

Max, wie kam es, dass du dich statt für Freizeit unter der Sonne für ein Praktikum vor dem Monitor entschieden hast?

Von einer Lehrerin habe ich erfahren, dass es Unternehmen für IT-Forensik gibt und was diese machen. Das hat mich interessiert und ich habe direkt nach einem Praktikum gefragt, also sogar eine richtige Bewerbung verschickt.

Und hat sich die Woche für dich gelohnt?

Ja, die Woche hat sich für mich gelohnt. Die Zeit war spannend und ich konnte einen sehr guten Einblick in ein Unternehmen bekommen. Mein offizielles Schülerpraktikum dauerte ja nur einen Tag, so hatte ich mehr Zeit.

Was konntest du in dieser Zeit lernen?

Ich konnte etwas über die Arbeitsweise lernen und überhaupt einen ersten Blick in die Arbeitswelt bekommen. Und zwar einen besseren als nur an einem einzigen Tag. Ich habe hier das Betriebssystem Qubes OS kennengelernt. Das fand ich wirklich gut, weil es anders ist, als Windows. Aber ich kannte Linux schon vorher, denn ich habe zu Hause zwei Raspberry Pi und benutze einen zum Musik hören und den zweiten als Dateiserver.

Max, danke dir und bis bald!

Ja, danke auch und im nächsten Jahr möchte ich gerne für die reguläre Praktikumszeit wieder zu euch kommen. Das werden dann drei Wochen sein.

 

Abtauchen im Bauch des ExpoWal

Konferenz: L33tCon in Hannover

Wann: 07. und 08. November 2018 | Was: Konferenz (IT-Security und IT-Forensik)

Warum es sich lohnt hinzugehen: Unter dem diesjährigen Motto „Expedition IT-Security“ trifft sich zum 3. Mal die IT-Securityszene im ExpoWal Hannover. Der Veranstalter Noél Funke hat mit seinem Team erneut eine besondere Konferenz organisiert, die nach meiner Erfahrung nicht nur von den fundierten Vorträgen lebt, sondern besonders auch von der angenehmen und positiven Atmosphäre. Johnny Long wird über „Hackers for Charity“ berichten und von meiner Seite gibt es gemeinsam mit Robert Mittendorf (DigiTrace) einen Workshop zu „Forensic Readiness/Incident Response“.

Veranstalter: BWS Consulting Group
Ort: ExpoWal Hannover

Link zur Veranstaltung: L33tCon 2018

Autonomes Fahren – die dunkle Seite?

Forensikbericht: Auswertung des Unfalls eines Uber-Volvo vom 19.03.2018 in Tempe, Arizona (USA)

Wann: 14.08.2018 ab 19:00 Uhr | Was: Praxisvortrag (Speaker des Abends ist Thomas Käfer)

Warum es sich lohnt hinzugehen: Der Kfz-Forensikspezialist Dipl.-Ing. Thomas Käfer, M.Sc. hat das Original-Video des Unfalls mit Todesfolge des Uber-Volvo in Tempe, Arizona (USA) vom 19.03.2018 aus dem Unfallfahrzeug bei der dortigen Polizei angefragt und es im Rahmen seiner Forschungsarbeit Car-Forensics ausgewertet. Thomas wird zeigen, dass und wie er belegen konnte, dass die getötete Fußgängerin nicht plötzlich aus einem Schatten herausgetreten ist und der Unfall alles andere als für Mensch oder Maschine unvermeidbar war. Ich finde diesen Vortrag sehr spannend, weil er uns aufzeigt, dass das autonome Fahren längst noch nicht narrensicher ist und besonders bei Schadenereignissen wie Unfällen IT-Forensik auch in diesem Bereich immer wichtiger wird.

Veranstalter: Kölner Kreis
Ort: DigiTrace, Zollstockgürtel 59, 50969, Meetingraum 1. OG

Link zur Veranstaltung: Kölner Kreis – Nächster Termin

Anmeldung: E-Mail an schwarz@digitrace.de

IT-Sicherheit „zum Anfassen“

Kostenfreier Workshop-Tag von Network Box und DigiTrace in Köln

Wann: 31.10.2018 | Was: Livehacking, Vorträge und Praxisgespräche

Warum es sich lohnt hinzugehen: Treffen Sie im Security-Labor Experten, die Rede und Antwort stehen zu Ihren Fragen und Ihnen z. B. zeigen, wie eine moderne UTM-Firewall funktioniert oder wie Sie einen IT Sicherheitsvorfall und IT-Forensik bestmöglich meistern.

Veranstalter: Digitrace GmbH und Network Box Deutschland GmbH
Ort: Digital Lab der IHK Köln

Anmeldung: E-Mail an schwarz@digitrace.de