36C3 Vorspannmusik
Herald: 3, 2, 1. Security Nightmares mit
Ron und Frank.
Ron: Sehr gut, danke, nicht zu dunkel
bitte. Und wie eben schon gesagt, wir
hätten gerne noch mal dass "Cyber" - das
Publikumsgeflüster mit dem "Cyber Cyber
Cyber".
Publikum: Cyber Cyber Cyber Cyber...
Zwischenruf "Cyber!"
Lachen
R: Dankeschön.
Frank: Dankeschön. Ja wir sind jetzt hier
bei der 20. Ausgabe indezimal.
R: Jubiläum!
Applaus
Für die, die Dezimalzahlen mögen... Ich
habe das ja fast verpennt, ne? Ich war so
am, ne? Letztes Mal haben wir, glaube ich,
im Oktalsystem noch gezählt, davor ein
paar Mal im hexadezimalen Raum und dann
fiel mir das eine Weile nicht auf, bis ich
dann dachte oh 2 0 das doch auch irgendwie
wichtig, ja? Und deswegen haben wir auch
eine eine 20-Jahre Rückblendung gleich
kurz aber nur als Ausnahme. Das machen wir
jetzt nicht jedes Jahr. Wer ist denn das
erste Mal da? Naja schön.
F: Okay, wer war...?
R: Das ist, was war das? Ein Drittel?
F: Joa, 20 25% und wer war beim ersten Mal
da?
R: Also für die, die das jetzt noch im
Kopf rechnen, also vor 20 Jahren, das war
dann der 16c3 im Haus am Köllnischen Park.
Wer war da?
Vereinzelter Applaus und Rufe
Ah doch. 5.
F: 5, schau an.
R lacht
F: Okay, wer war damals noch nicht
geboren?
Lachen
R: Mehr.
F: Mehr, sehr gut. wir verjüngen uns dann
doch, nicht schlecht. Ja damals im Haus am
Köllnischen Park waren insgesamt auf dem
gesamten Kongress knapp halb so viele
Leute, wie hier jetzt im Saal sind.
Lachen
R: Genau also 1999 vor der, vor der
Jahrtausendwende. Das war die erste
Verwendung der Abkürzung 16c3 in dem jahr.
Und es war das zweite Mal im Haus am
Köllnischen Park in Berlin. Sehr schöne
Lokation und da haben halb so viele Leute,
wie in diesen Saal passen, reingepasst. In
das ganze Haus.
F: Und es fühlte sich einigermaßen voll
an.
Lachen
R: Ja, weil man muss halt wissen, das Haus
am Köllnischen Park, da war ja im großen
Saal, haben so viele Leute reingepasst,
wie vorher in das gesamte Eidelstedter
Bürgerhaus, ja? Kann das mal schnell
jemand hochrechnen, wo wir dann in 20
Jahren sein müssen?
Lachen
F: Aber ne ne, wir sind jetzt post growth,
ne? Also wir haben ja festgestellt, mit
dem Wachstum und so ist schwierig und...
R: Das ist wahr.
F: ... der Planet irgendwann alle und
deswegen wachsen jetzt lieber nicht
weiter.
R: Ja.
F: Okay.
R: Genau und der Kongress war nur drei
Tage. Das heißt, man konnte das an einem
Stück durchmachen.
Lachen
Wer von euch hat es versucht? Mit vier
Tagen? Ja schämt euch.
F: Na die sind jetzt nicht hier, die
liegen irgendwo.
Lachen
R: Genau, genau ich kann mich noch daran
erinnern als ich das erste Mal auf einem
ersten Vier-Tage-Kongress war und gedacht
habt: Hier das kann doch alles nicht wahr
sein. Das ist doch ein Anschlag auf die
Gesundheit.
F: Ich glaube diese, diese Korrelation von
wir sind auf vier Tage gewechselt und das
CERT ist massiv gewachsen, die es nicht,
kein Zufall.
R: Aber am Ende ist gut oder, vier Tage?
Applaus
R: Wer findet es ein Verbrechen am
Hackertum hier schon wieder entlassen zu
werden nach vier Tagen?
Applaus
Also die Hälfte. Wer hätte gerne einen
Monat Kongress am Stück?
Applaus
Okay, auch zwei Drittel, oder so.
Lachen
Genau, nahtloser Übergang vom Camp zum
Kongress?
Jubel
Ne, weil das ist eine gute Steilvorlage,
weil 1999 war ja auch das Jahr, in dem das
erste Camp stattfand. Wer war da? Ja ja,
doch, auch 5.
Lachen
Gut, das sind die langjährigen Begleiter.
Was war das große Thema 1999? Natürlich
das Jahr 2000. Wer bereut noch den Ankauf
eines Generators?
Lachen
F: Nein, nicht bereut. Außerdem habe ich
nichts dafür bezahlt. Das war sehr lustig,
weil die Firma, von der ich es gekauft
habe, auf Rechnung. War im Januar einfach
pleite.
Lachen
R: Wie konnte das passieren? Ja, nächstes
Jahr, wo wir dabei sind, ist wieder ein
Schaltjahr. D.h. wenn ihr vom 28 auf den
29 auf den 3..., also auf den ersten März
irgendwo übernachtet, nehmt euch eine
Rolle Klopapier extra mit.
F: Ja, das Jahr 2000 war ja so eines der
ersten Themen, wo diese Abhängigkeit von
dieser ganzen IT so ein bisschen ins
öffentliche Bewusstsein gerückt ist durch
diese ganze Panik und deshalb ist heute
nicht so ganz klar, ob das jetzt so Panik
war, die irgendwie unberechtigt war oder
ob die ganze Panik dafür gesorgt hat, dass
genügend Energie und Zeit und Geld
reingesteckt wurde, dass es kein Problem
gab. Irgendwie ist das bis heute so ein
bisschen ungeklärt und wir schauen alle
mit großer Freude auf das Jahr 2038.
Lachen
Was sich ja langsam nähert, so, wenn wir
so gucken, dann ist sozusagen 2038 näher
dran als die ersten Security Nightmares
von jetzt weg sind, ne? Nur so als
Referenz.
R: Genau, ja und dann saßen wir da alle
und haben den Vortrag von Professor
Bunnstein, mit leichtem Gruseln, der uns
erklärt hat, wie die Welt untergehen wird,
naja. Those were the days. Gut, das
erschreckende ist, dass man die Jahre 1999
bis 2019 in einem einzigen Bild
zusammenfassen kann. In einem Screenshot.
Lachen
Applaus
F: Also bei der Vorbereitung waren wir
auch so ein bisschen davon angefressen,
dass wir in diesen 20 jahren keinen
wirklichen Fortschritt an dieser Front
feststellen konnten. Was wir dieses jahr
ja massiv hatten sind ja so Ransomware-
Attacken, die zum allergrößten Teil immer
noch über Office Makros als
Infektionsvektor funktionieren. Und das
war 1999 nicht anders. Es war genau
dasselbe. Zwischendurch war's dann mal ein
bisschen weniger aber inzwischen sind wir
wieder genau da und so langsam fragt man
sich: Ist diese Menschheit irgendwie
lernfähig? Also wie viel da draußen von
der Wirtschaft würde brechen, wenn man
jetzt einfach sagt: Ok, liebes Microsoft,
zum Wohle der Menschheit, ihr schaltet
jetzt einfach mal Office Makros einfach
komplett ab. So, aus.
Applaus
Das Problem dabei ist halt, wahrscheinlich
würde wirklich ganz schön viel
Bullshitwirtschaft brechen, also diese
ganzen Reporting Sheets und diese 400
Megabyte Excel-Dokumente mit dem so
Großkonzerne betrieben werden. Ist kein
Scherz. Also lebende Excel-Dokumente, die
sich verändern wenn man irgendwo was rein
schreibt dann ändern sich 15 Sheets weiter
Dinge und die muss man später auch noch
ausfüllen. Ist tatsächlich die Realität da
draußen. Ist also nicht irgendwie selten
oder so. Aber es sind alles so Sachen, wo
man sich denkt: Naja, wenn die weg wären,
würden jetzt, glaube ich, auch nicht allzu
viele leute sterben, glaube ich. Obwohl,
keine Ahnung, in Krankenhäusern gibt's
wahrscheinlich auch Office Makros. Also
die sterben dann noch nicht, sondern erst
später, wenn die Ransomware dann da war.
R: Ja, da darf man nicht zu viele Scherze
machen.
F: Doch, immer rin!
R: Genau, also zum Regelprogramm. Vor zehn
jahren hatten wir cloudy Computing
angesagt und waren der Meinung dass
Malware und Cloud konvergiert. Für wen von
euch ist denn das eingetroffen? Ahja,
acht. Die Ansage war, glaube ich, dass
sehr viel Malware in die Cloud reinwandert
und die cloud in ihrer eben vielleicht
nicht Sicherheit dann zum Problem wird.
Tatsächlich scheinen wir etwas anderes zu
beobachten, dass es so ein bisschen so
aussieht, als wenn nur die Cloud noch das
ist, was verteidigt werden kann, oder
zumindest viele versuchen, diesen Eindruck
zu erwecken. Tja.
F: Dafür sind ja die ganzen Antiviren
Snakeoils in die Cloud gewandert. Die
verkaufen jetzt ja alle Cloud Antivirus.
R: Alle verkaufen Cloud, alles Cloud, ist
eh klar.
F: Stimmt, Hypervisor Rootkits hatten wir
damals angesagt. Interessanterweise haben
wir dann eine weile diskutiert, wie wir
dazu gekommen sind, was daraus geworden
ist und haben festgestellt, dass, klar,
gibt es, also es gibt halt so Toolkits,
mit denen man so Ausbruch aus Hypervisorn
und VMs und so machen kann, die aber in
der freien Wildbahn eigentlich relativ
selten verwendet werden, weil die
Notwendigkeit für so eine unglaublich
elegante, fiese Attacke gar nicht besteht,
weil der Kram, der in den VMs läuft, in
den virtual machines läuft, so schlecht
ist, dass es gar nicht lohnt da von hinten
durch die Brust ins Auge gegenüber
Hypervisor zu kommen, sondern man geht
einfach direkt durch die Vordertür rein.
So kann man sich irren. Also optimistische
Annahmen über Softwarequalität, haben wir
glaube ich gelernt in der Geschichte der
Security Nightmares, haben sich nie
bewahrheitet.
R: Das stimmt. Die Frage ist, hätten wir
das jetzt, wenn es Office Makros nicht
mehr gäbe?
Verhaltenes Lachen
Das hier war die Idee, dass man, wenn man
so vor seiner Suchmaschine der wahl sitzt
und Fragen stellt und Fragen stellt, dann
ist es ja vor Allem auch immer eine...
"Jede Frage an Google ist eine Antwort an
Google" war der schöne Spruch. Und wie
verschleiert man sich denn da? Und ich
muss aber sagen, ich habe kein Plugin
gesehen, das einfach zwischendurch immer
mal nach Britney Spears sucht oder was
halt gerade so ansteht, damit man
harmloser aussieht.
F: Ich glaube, wenn du heute nach Britney
Spears suchst, würde dir wahrscheinlich
irgendwie ein bizarrer Fetisch unterstellt
oder so.
R: Es war halt vor zehn Jahren die Ansage.
Street View war ein Thema vor zehn Jahren.
Das hat deutschland ja so hart verbrannt,
dass Google jetzt lieber gar nichts mehr
veröffentlicht und alle anderen da auch
eher nicht mitgemacht haben, was ich den
Eindruck habe, aber das ist vielleicht nur
meine Filterblase, was weiß ich schon,
dass es jetzt alle ein bisschen schade
finden, dass es alles so vor sich hin
gammelt diese Street View-Bilder, nichts
geupdatet wird.
F: Also ich find das eigentlich ganz
interessant so. Es ist sozusagen so
lebendige Archäologie. Man kann halt
irgendwie sehen wie es vor ein paar jahren
da aussah und was sich ja so inzwischen
verändert hat und... Naja, gut, ich mein,
das Problem ist halt, dass Street View war
halt damals so state of the art und
heutzutage ist es halt so, wir haben jetzt
in der Vorbereitung mal geguckt, so
aktuelle Luftbilder in so bekannten
Kartenplattformen haben so 10 cm
Auflösung. Das heißt also, man ist noch
nicht ganz bei Nummernschilder lesen aber
auch nicht mehr so weit weg davon.
R: Und das ist auch das eigentlich
faszinierende, weil ich mal, ich glaube
das war dieses Jahr, hatten wir
zwischendurch die Diskussionen: Wie ist
denn das eigentlich mit Luftbildern, die
werden ständig immer besser. Ich glaube
Bing hatte damit mal angefangen. Die haben
das dann immer, wie haben die das genannt?
Bird View oder sowas. Und Apple nennt das
irgendwie Flyover oder so. Und die haben
wirklich gute Daten und da ist vor allen
Dingen gar nix verpixelt, jedenfalls habe
ich nichts gefunden. Und dieser Aufschrei
der damals durch Deutschland lief, wie,
ich muss mein Haus verpixeln, das scheint
sich über diese Luftbilder ist da... war
da irgendwas?
F: Ich glaube, es hat zwei Gründe. Der
eine Grund ist, du siehst in Luftbildern
von oben primär. Also klar hast du diesen
3D View, kannst auch so ein bisschen von
der seite sehen. Aber du kannst noch nicht
so richtig Schrift lesen, also auch keine
Nummernschilder und du kannst noch nicht
so richtig Gesichter erkennen was beides
in Street View ja ging. Und die
Algorithmen jetzt, die sie da verbauen
gerade zum Gesichter verpixeln und
Nummernschilder weg pixeln, die brauchten
ja auch erstmal ein bisschen, bis sie dann
so weit waren. Dann gab es natürlich
dieses ganze "Wir verpixeln ganze
Ladenfronten und Häuser und so", aber ich
glaube, die Entwicklung wird jetzt relativ
schnell gehen, wenn 5G ausgerollt ist.
Also es gibt diverse Projekte, die sagen
"Okay, 5G viel Bandbreite, da können wir
doch eigentlich so 360° Rundumkameras
einfach mal so auf Taxis oder Müllautos
oder so kleben und dann machen wir die
ganze Zeit live Updates von dem Street
View", weil die werden halt die ganze Zeit
über 5G raus gestreamt, dann zusammen
gestitcht und dann an die Stelle geklebt.
Die brauchen natürlich dann auch
Algorithmen zum Verpixeln von
Nummernschildern und Gesichtern weil sonst
Datenschutz. Und das eröffnet aber
interessante Perspektiven, weil, dann kann
man plötzlich mit diesem, wenn man seinen
Laden nicht in dem live Street View haben
will, muss man eigentlich nur die
Schriftart von Nummernschildern nehmen und
seine Ladenbeschriftung damit machen, dann
wird sie automatisch weg gepixelt.
Lachen
R: Genau das geht dann hin bis zur
Nummernschild-Tapete, die man sich dann
von außen an sein Haus klebt. Damit es
einfach nicht da ist.
F: Also, klar ist halt, das ist halt noch
nicht vorbei. Das hat jetzt nur
geschlafen. Also dieses live Street View
Ding wird halt kommen. Das ist relativ
absehbar.
R: Ja sie haben sich über die Luftbilder
so ein bisschen angeschlichen, würde ich
sagen.
F: Ja
R: Genau, die Flashmobvermieter sind jetzt
Bot herder, die
Botnetzbekämpfungsbundesbetreuer. Das war
lustig. Das war ja nur eine Ankündigung
damals. Das wurde dann irgendwie
botfrei.de oder so gestartet, ein Jahr
später. Und der Grund war ja, dass, das
war damals das Jahr von dem Conficker
Virus und das hieß, 5% der Unternehmens-
PCs sind verseucht. Und Deutschland war
auf dem Platz zwei weltweit der Länder mit
den meisten Botnet-Infektionen. So und
dann wurden da Dinge getan und ein paar
Jahre später war Deutschland dann aus den
Top ten heraus und bis jetzt auch gerade
nicht drin und dann wurde das so ein
bisschen runter gefahren. Interessant ist,
dass sich Japan letztes Jahr, also, hat
sich die Regierung erlaubt, nach IoTs zu
scannen und wohl dieses Jahr damit
angefangen. Ich habe jetzt noch nichts
über Ergebnisse gelesen ich nehme mal an,
dass sie auch versuchen, dann Leute, die
IoT mit schlechten Passwörtern am Netz
haben, zu kontaktieren und so, wie das
damals hier gelaufen ist mit verseuchten
Systemen. Vielleicht haben wir da nächstes
Jahr ein Update.
F: Hatten wir damals schon, Umwelt- vs
Datenschutz. Damals ging es um
intelligente Stromzähler. Mittlerweile
haben wir ja so das Phänomen, dass etliche
aus der, sagen wir mal, stark Klima- und
Umwelt bewegten Ecke, so ein bisschen der
Meinung sind, dass, ja also wenn wir denen
damit den Planeten retten, dann ist auch
da einen Überwachungsstaat dafür bauen,
gerechtfertigt, um halt irgendwie die
Leute dazu zu bringen, sich umwelt- und
klimagerecht zu verhalten. Dieser Konflikt
wird halt nicht weggehen. Also der wird
halt auch stärker werden und der wird halt
die gesellschaftlichen Bewegungen, die
sich halt für die verschiedenen Ziele
einsetzen, dazu treiben, dass man sich da
auch intensiver darüber unterhalten muss.
Also das ist so ein Ding, was wir gerade
sehen, auch im politischen Spektrum. Bei
den Grünen gibt es da durchaus Leute, die
irgendwie eigentlich nicht so richtig
finden, dass Datenschutz irgendwie ein
gleichwertiges Ziel ist und da durchaus
eher geneigt zu sagen: "So naja so ein
bisschen Überwachung, wenn es den Planeten
rettet, ist ja schon eigentlich ganz
okay." Dieses Problem werden wir in den
nächsten Jahren auf jeden Fall auch noch
mal häufiger diskutieren müssen und da
auch sinnvolle Weges des Diskurses darüber
finden. Auch, sage ich mal, außerhalb des
Verhältnisses Staat - Bürger.
R: Genau. Aber mein intelligenter
Stromzähler tut immer noch nichts, was
wirklich interessant ist. Wir hatten
Malware mit Updatezyklen von einer Woche,
inzwischen sind wir bei einer Stunde oder
so angelangt. Das ist glaube ich, ein
anständiger Fortschritt.
Lachen
Applaus
Ja und dann haben wir gedacht, die
elektronische Gesundheitskarte ist
vielleicht tot.
Lachen
Ihr könnt ja einfach den Vortrag hier vom
Kongress euch anschauen und euch dann
selber ein Urteil bilden. Ja, die Zeit
läuft. Das Internet-Normalitätsupdate.
Ganz schnell so ein paar Zahlen in die
Runde geworfen. Es gab diese Microsoft RDP
Vulnerability, die BlueKeep genannt worden
ist. Als das veröffentlicht wurde, waren
mal eine knappe Million Systeme direkt
erreichbar und verwundbar. Das ist so die
Größenordnung, um die es im Moment geht.
Obwohl sich auch noch ganz viel Malware
fröhlich verbreitet, auch wenn man direkt
nur ein paar zehntausend Systeme sehen
kann. Dann gab es größere Zahlen.
Natürlich, was so verdient wurde in der
Ransomware-Branche. Hier sind Zahlen. Das
sind glaube ich Eigenangaben von den
Leuten, die diese Malware hier gemacht
haben. Das ist deswegen ganz interessant,
weil die lief halt nur so ungefähr 16
Monate und die haben gesagt sie hätten da
160 Millionen US Dollar verdient. Spannend
ist, dass auf der anderen Seite die
Betroffenen sagen, sie hätten, was waren
das, zwei Milliarden Schaden. Und die
Zahlen passen natürlich immer alle links
und rechts überhaupt gar nicht zueinander
und das ist eben die Frage, wenn die
sagen: "Wir haben das verdient." Ist das
echt Profit nach allen Kosten, ja? Macht
ihr da eine ordentliche Buchprüfung?
Lachen
F: Wird das auditiert?
R: Oooder. Ja, was?
F: Ich meine, es muss ja auditiert werden
ja eigentlich, solche Zahlen.
R: Sollte man meinen, ja oder haben die
aufgerundet oder abgerundet. Und es ist
natürlich auch klar, dass die Unternehmen
sagen: "Ach das war so furchtbar teuer",
weil die haben da noch, was weiß ich,
irgendwas neu gemacht bei der Gelegenheit
und das dann damit rein gezählt. Aber
naja, irgendwo in der Größenordnung 2
Milliarden Schaden, 160 Millionen Dollar
verdient. Wie war denn das bei euch so,
mit der Ransomware? Wer kennt denn da
einen Betroffenen über zwei Ecken? Ach,
doch so wenig! Das sind ja höchstens 100.
F: Und wer von euch kennt Unternehmen, die
von Ransomware oder 'ner Ransomattacke
betroffen waren? Deutlich mehr. Und wer
von euch kennt eine Person oder
Unternehmen, die gezahlt hat? Auch schon
nicht so wenig.
R: Naja, 15 oder so. Und wie viele Sterne
würde dir dem Kundenservice geben?
Lachen
Jemand aus Publikum: Fünf!
R: Fünf? Ich glaube, die Branche muss ja
immer erst mal erklären was ein Bitcoin
ist und so und wie man an einen rankommt
und all diese Dinge. Die haben ja viel zu
tun, also ist deswegen schon die Frage
nach dem Kundenservice. Sind denn die
Daten hinterher zurückgekommen?
F: Genau, bei wem sind die Daten denn
zurück gekommen, also wer kennt jemanden,
bei dem die Daten zurück gekommen sind
oder ein Unternehmen?
R: Ah, doch.
F: Der Kundensupport ist ausbaufähig, ich
seh' das schon. Das waren deutlich weniger
als Betroffene.
R: Es gab ja so Zahlen, habe ich das jetzt
hier, genau, was ich gefunden hatte, also
was mir so entgegen sprang war eine
Behörde, ich glaube in Florida, die
600.000 gezahlt hat an Ransom. Es gab
Andere, die haben 400.000 gezahlt und
Ähnliches. Hat jemand von einer höheren
Summe gehört?
F: Ja, ich.
R: Ist die offiziell?
F: Nee, aber Menschen, die mit dem
Aufräumen nach solchen Dingen beschäftigt
sind, berichteten mir unter Anderem, dass
zumindest eine Gruppe sich einfach am
Umsatz des betroffenen Unternehmens
orientiert. Also die neben halt einfach
sowas, wie ein bis zwei Prozent des
Jahresumsatzes den sie aus irgendeinem
Unternehmensauskunftsregister rausziehen
und nehmen diese pauschal als
Ransomforderung. Und naja, muss man sich
mal kurz überlegen, wenn die Produktion
stillsteht, dann ist so'n Prozent drei
Tage Produktionsausfall und da kann man
dann schon mal schnell ins Rechnen kommen
als Unternehmen. Also letzten Endes ist
diese ganze Ransom-Geschichte gerade so
ein bisschen so der Punkt, wo viele von
den Vorhersagen, die wir in den letzten
Jahren gemacht haben, einfach geballt
eintreffen, weil wir jetzt die Situation
haben wo...
Post Engel: Post.
F: Die Post, war die auch betroffen?
PE: Post für euch.
F: Oh, eine Postkarte, dankeschön. Eine
sehr schöne Postkarte. Time travel is not
a crime.
Applaus
F: Die erzählen wir nachher. Diese
Ransomware, bzw. diese Ransomattacken,
weil nicht alles davon ist Ransomware,
viele davon sind auch tatsächlich gezielte
Angriffe auf Unternehmensnetzwerke wo man
sich dann, einnistet, einmal quer
verbreitet, sich die schwächsten Punkte im
Unternehmen sucht und dann genau da
zuschlägt. Also zum Beispiel bei einem
Unternehmen, was viele Sachen verschickt,
macht man halt die Auslieferung platt,
damit halt keine Sachen raus geschickt
werden können oder macht die
Finanzabteilung platt oder was auch immer
gerade, wo es wehtut. Und was da jetzt
passiert, ist, dass diese ganze Sache
schon, man sagt immer so technical debt,
also der Schuldenberg an unaufgeräumten
technologischen Probleme, die Unternehmen
so vor sich herschieben, der kommt jetzt
halt zurück. Und wir haben uns ja mal
gefragt "Warum haben jetzt in den letzten
Monaten so viele von diesen
Ransomvorfällen, so Gemeinden und
Krankenhäuser und Universitäten und so
betroffen?". Die Antwort ist ganz einfach:
Da ist es am schlimmsten. Also da sind die
ältesten IT-Systeme unterwegs mit den
wenigsten Aussichten auf Besserung. Aber
das führt dazu, dass die dann natürlich
die schwächsten Mitglieder der Herde sind,
die als erste betroffen werden. Die können
natürlich auch weniger zahlen, klar, weil
das müssen sie irgendwie haushalterisch
verbuchen. Aber letzten Endes sind die
dann halt auch im Zweifel motiviert zu
zahlen. Das heißt, diese ganze Ransomware-
Nummer oder bzw. Ransomangriff erzeugt
jetzt tatsächlich so was Ähnliches wie
eine intrinsische Motivation, sich mal um
IT Security zu kümmern. Also insofern hat
halt möglicherweise auch positive
Auswirkungen in der Gesamtheit, natürlich
jetzt nicht für das einzelne Unternehmen
oder die einzelne Behörde.
R: Genau. Die Ransomware Infektionen
stiegen um über 350 Prozent. Die Bug-
Bounty-Prämien steigen auch. Ich glaube,
Apple ist jetzt auch noch mal eingestiegen
mit 1,5 Mio. für iOS zero klick. Dann
hatten wir in diesem jahr 19 0days, die es
in Umlauf geschafft haben. Das waren 2018
zwölf, deswegen hat sich für einige von
euch vielleicht dieses Jahr ein bisschen
geschäftiger angefühlt, aber vielleicht
nicht so sehr wie in 2017, da waren es
nämlich 22. Der durchschnittliche
Cyberschaden in Deutschland liegt bei zwei
Millionen Euro und jede achte deutsche
Firma hatte einen Cyberangriff.
F: Das sind so Zahlen, wo man sagen
muss...
R: Jede achte. Die Anderen lesen keine
E-Mail.
Verhaltenes Lachen
Oder, genau die zahlen sind komplett gaga.
F: Also so 'ne Zahlen, die immer so von
diesen Branchenverbänden kommen, sind
halt, also insbesondere diese letzte, so
jede achte deutsche Firma oder der
Gesamtschaden von Cybervorfällen in
Deutschland sind, keine Ahnung, irgendeine
zweistellige Millardenzahl. Dann muss man
sich ja schon immer fragen: Wie rechnen
die denn eigentlich?
R: Und haben Sie die Makros eingeschaltet
beim Rechnen oder nicht. Da ist es dann
eher spannender, zu gucken: Was steht da
sonst noch drin? Und spannend war eben
dieses, dass die Rufe in der Industrie
wohl größer werden, dass dann mal jemand,
nämlich der Staat, regulierend eingreift.
Und wir haben uns überlegt, das ist
vielleicht dann auch einfach die
Verzweiflung der Sicherheitsbeauftragten
in den Firmen, die einfach merken, sie
kriegen das Geld nicht vom Vorstand oder
von wem auch immer und schauen so neidisch
in branchen, die reguliert sind, weil dort
mehr verbaut werden darf, muss, kann und
hoffen dann auf mehr Regulation. Wir
werden sehen. Gut, die Jahresrückschau, da
müssen wir jetzt ein bisschen
durchstressen glaube ich.
F: Ein bisschen.
R: Kammergericht Berlin und vieles mehr.
Die mussten also krass die Faxe
entstauben.
F: Ich glaube, die mussten die nicht
entstauben. Die sind da super gewartet,
also ich meine, wenn du so die Justiz
kennst, wenn da ein Ding wirklich gut
gewartet und entstaubt ist, dann ist es
das Faxgerät.
R: Aber haben die dann die Leitungen
verzehnfacht oder einfach Faxe aus dem
Keller geholt oder was machen die dann da?
F: Ich glaube, die haben dann einfach
nicht einen Stapel Papier daneben, sondern
gleich eine Palette Papier daneben. Und
dann so einen HiWi daneben gestellt, der
mal Papier nachschiebt.
R: Irgendwas, sowas, ja.
F: Es gibt ja so einen blöden Spruch von
den Anwälten dass erst das elektronische
Übermitteln von Dokumenten es möglich
gemacht hat, dass diese Schriftsätze so
eskalieren in ihrem Umfang, weil vorher
gab es immer das Problem, dass man die
rechtzeitig fristgerecht durchkriegen
musste und dann gab es natürliche Limits,
wie viele 100 Seiten man so in einer
halben Stunde durch kriegt.
R: Frei nach dem motto "Wenn ich mich kurz
fasse, kann ich später abgeben." Genau.
F: Dieses E-Voting geht halt nicht so
richtig weg. Wir haben halt in der Schweiz
den Versuch gehabt, der dann kläglich
gescheitert ist, auch dank der aktiven
Arbeit der Schweizer CCC-Mitglieder.
R: Applaus!
Applaus
F: Und dieselbe Firma, die spanische Firma
Scytl, das sind halt so Zombies, also die
gehen halt nicht weg. Die machen halt
dieses webserverbasierte E-Voting und
haben dann auch bei der SPD die
Mitgliederbefragung gemacht, wo es halt
auch von unserer Seite aus natürlich
intensive Kritik daran gab. Und die wurde
von der SPD immer so abgebügelt: "Ja, es
ist ja keine richtige Wahl, es ist ja nur
eine Befragung der Mitglieder, die der
Parteitag dann nochmal umsetzt" oder so
ähnlich. Das wird halt auch nicht
weggehen, also die werden dann weiter
durch die gegend zombien und da muss man
ein gutes Auge drauf haben, weil so
langsam stellt sich denn auch eine der
weiteren Vorhersagen raus, die stimmte.
Nämlich, wenn man digitale Wahlen hat oder
elektronische Wahlen hat, ist der
Nachweis, dass nicht gefälscht wurde,
quasi nicht möglich. Und genau das haben
wir gerade in Bolivien gesehen. In
Bolivien...
R: Ecuador?
F: Bolivien.
R: Okay.
F: ...ist der Präsident gestürzt, weil die
eine Wahl durchgeführt haben, unter
Anderem mit digitalen Systemen und dann
hat irgendjemand Wahlfälschung gesagt. Und
dann konnte niemand sagen: "Nee, da war
keine Wahlfälschung." Ging halt einfach
nicht. So, es gab dann so einen Audit.
Dieses Audit hat festgestellt, dieses
System ist so kaputt wie alle anderen
Digitalwahlsysteme auch und daraus wurde
dann so ein Narrativ von: "Ja, wir wissen
jetzt, dass da gefälscht wurde. D.h.
digitale Wahlen einsetzen bedeutet, in dem
Augenblick, wo irgend jemand hinterher
sagt: "Wahlfälschung", hat man eigentlich
schon verloren.
R: Genau. Ja und dann diese faszinierende
Thematik mit den mit den Ring Kameras und
natürlich einmal das Thema der
Passwortqualitäten und Software
Vulnerabilities und ähnlichen Geschichten
aber noch viel spannender. Was in den USA
passiert, dass es da so eine unheilige
Allianz gibt zwischen den lokalen
Polizeidienststellen und dem Hersteller,
wenn ich das richtig verstanden habe. Und
dann, man sozusagen dazu gebracht wird,
der Polizei Zugriff auf die Kameras zu
geben.
F: Wobei man da auch sagen muss, was da
absehbar ist, ist dass es zu so einem
sozialen Druck wird. Also in den USA gibt
es ja diese sogenannten neighbourhood
associations. D.h. in diesen Vorstädten,
in den etwas situierten, gibt es quasi
Vorschriften darüber, wie man sein Haus,
seinen Garten und so weiter zu gestalten
hat, damit der Wert der umliegenden
Grundstücke nicht sinkt. Also man darf
sein Grundstück nicht irgendwie anders
machen oder so ein bisschen den Rasen
länger wachsen lassen, weil dann, damit
beeinflusst man den Wert der
nebenliegenden Häuser und das geht halt
nicht. Und da ist halt vollkommen
absehbar, dass es relativ bald soweit sein
wird, dass diese neighbourhood
associations sagen: "Okay übrigens, wir
sind eine ring neighborhood. Wir haben
alle irgendwie diese Kameras an der Tür
und die gehen dann auf unser örtliches
Polizei Department und dann kann man sich
die black mirror Szenarien, die daraus
folgen, natürlich gut ausmalen. So von, da
rennt jemand weg und die Kameras in der
neighbourhood gucken halt, ob das Gesicht
von dem irgendwo gesehen wird und so
weiter und so fort. D.h. also diese
Kameras, die direkt in die Cloud streamen,
sind ein Phänomen, was wir echte im Auge
behalten müssen. Wir haben immer davor
gewarnt, schon lange, dass es passieren
wird. Jetzt passiert es tatsächlich. Wir
haben zum Beispiel im asiatischen Raum,
gibt es Unternehmen, die machen das so,
die verkaufen dir eine Kamera. Die Kamera
streamt in die Cloud. Die schneidet aus
allen Videobildern alles raus, was wie ein
Gesicht aussieht, schickt es in die Cloud,
wo die Gesichtserkennung läuft und wenn
die dann irgendjemanden erkennen und dann
sagen: "Okay, der ist schon mal als
Ladendieb verdächtigt worden", oder so.
Kriegt der Shopbesitzer auf sein Telefon
eine Message, da steht hier: "Guten Tag,
diese Personen die wir gerade in ihrem
Video Stream gesehen haben, ist woanders
schon mal als Ladendieb verdächtigt
worden. Behalten sie den mal im Auge."
Oder was auch immer. Und als Service. Also
gegen Geld. Und natürlich hat der Staat
dann wiederum auch Zugriff auf diese Daten
und kann noch selber Daten in die
Gesichtserkennung reinfeeden. Dass die nur
80% korrekt ist, ist vollkommen egal,
solange das System halt so aussieht, als
wenn es einen Mehrwert bietet.
So und diese Form von Integration, von
staatlicher Überwachung und privater
Überwachung mit den Konzernen, die die
Technologie bauen, die sich zu so einem
Konglomerat zusammenfügen, die werden wir
immer mehr sehen. Da müssen wir uns auch
daran gewöhnen, mental, dass dieses
Staates versus Industrie Denken einfach
nicht mehr funktioniert. Es wird zu einem
Konglomerat werden.
R: Genau. Da wird es uns vielleicht nicht
retten, wenn die Sicherheit so schlecht
ist, dass man dafür sorgen kann, dass in
jedem zweiten Bild Donald Duck auftaucht.
Gucken wir mal. Datenreichtum! Ja, jede
Menge Datenreichtum in diesem Jahr, ist eh
klar. Bemerkenswert vielleicht zwei Dinge.
Nämlich einmal, dass sie 30TB Daten bei
den Top 3 Antivirus Herstellern
rausgetragen haben, was ja schon mal
wirklich anständig ist.
Applaus
F: Ob die ihre eigenen Produkte nicht
verwendet haben?
R: Vielleicht weil die Lizenz abgelaufen
ist.
Lachen
F: Ja, das könnte sein.
R: Und das andere, was ich einigermaßen
irre fand, war, dass da ein paar
Sicherheitsforscher einen Datentopf
gefunden haben, der nicht ordentlich
gesichert war. Da waren also Daten drin
von 80 Millionen US-Haushalten. So richtig
anständig, mit Geburtsdatum und Adresse
und GPS-Daten und Einkommen und so Zeug.
Und das lag wohl in einer Microsoft Cloud
Geschichte herum und sie konnten anhand
der Daten nicht feststellen, wem sie
gehören, ja? Es war einfach so: "Ist
irgendwie Daten halt, ja? Große Datei. Wir
haben das Format auch auf ihrer Webseite
veröffentlicht und so mit Schwärzungen.
Und dann aufgerufen, ob ihnen nicht jemand
helfen kann, das zu finden. Und das
Einzige, was passiert ist, ist dass
Microsoft hat dann schnell den Server
abgeschaltet und wohl auch demjenigen
Bescheid gesagt, dem sie für diesen Server
die Rechnung schicken. Aber natürlich
nicht gesagt, wer es war. So, das heißt,
die Frage ist noch offen. Und das wird
häufiger passieren, ja? Also davon können
wir mal ausgehen, dass das häufiger
passiert, dass irgendwie Daten auftauchen
und dann alle sagen: "Boah pff. Das könnte
einer Bank gehören, könnte nicht. Könnte
einem Steuerberatungsunternehmen gehören,
könnte nicht." Ja. Also vielleicht wird es
auch neuer Klassiker, ja? Dass so, ich
meine, wie kommt so etwas zustande? Da
braucht irgendwie jemand noch ein bisschen
Backup Space und die IT hat gesagt, das
neue NAS wird erst fertig in vier wochen
und dann sagen die: "Ja, aber unsere
Deadline ist nächste Woche. Was machen
wir? Wir klicken uns irgendwo 'nen Bucket,
dann laden wir das da hin. Crypto brauchen
wir nicht, weil machen wir ja nur zwei
Tage und Security brauchen wir auch nicht,
weil dann dauert es ja länger und wir
löschen das ja dann ganz bestimmt schnell"
und Freitag Abend sagt dann auch noch
einer: "Hast du die Daten schon gelöscht?"
- "Nee, mache ich gleich.". Dann kippt ihm
der Becher auf die Tastatur, dann ist er
mit etwas Anderem beschäftigt, dann macht
er Urlaub und ist weg. Und die Daten
bleiben da liegen. So.
Applaus
Und je nachdem, was das dann für eine
Kreditkarte ist, merkt es irgendwann
jemand oder auch nicht. Und so wird noch
so viel weg kommen und so oft wird man
nicht wissen, wer es war.
F: Eines der Dinge, die dieses Jahr wieder
auch ihre zombiehafte Charakteristik
offenbart haben, ist die Diskussion
Hintertüren in Verschlüsselung. Der
momentane Spin, der passiert, läuft unter
dem Stichwort verantwortungsvolle
Verschlüsselung oder auch responsible
encryption. Und die geht so, dass... die
Behörden sagen so "Naja, gut, okay, wir
wollen jetzt nicht, dass die
Verschlüsselung schwächer wird, weil die
Chinesen und die Russen, aber wir möchten
gerne, dass Firmen, die Verschlüsselung
verwenden, also zum Beispiel die großen
Techkonzerne, die so bauen, dass man im
Zweifel noch einen zusätzlichen Schlüssel
hinzufügen kann, der dann für die
Strafverfolger oder für die Geheimdienste
ist und der individuell jeweils da
zugefügt wird, wenn die Notwendigkeit
besteht." Und am Besten gar nichts
irgendwie extra speziell bauen sondern
einfach sagen "Okay, wenn du einen Google
Account hast, der sowieso verschlüsselt
ist, dann tu' noch einen weiteren
Schlüssel dazu" und dann kriegt die
Behörde einen Google Account, wo die daten
rein gespiegelt werden. So sachen also.
Diese Diskussion wird in den USA ziemlich
radikal geführt von Seiten der
Staatsvertreter da, die also dann so
richtig den Vertretern von den Techfirmen
die Pistole auf die Brust setzen und sagen
"Ihr kriegt doch sonst alles hin. Hier
müsst euch jetzt was ausdenken. Macht mal,
dass es so ist. Wir wollen es ganz
unbedingt. Nein, wir wollen keine Anderen,
wollen nichts hören, dass es eigentlich
schwierig ist oder halt irgendwie
Sicherheitsprobleme verursacht. Löst das
Problem."
R: Genau und zwar mit Zeitansagen. Also es
gabe eine Anhörung im Rechtsausschuss vom
US-Senat. Es wurdne gegrillt die Firmen
Apple und Facebook und ich weiß nicht, ob
noch jemand anders da war. Und die Ansage
war relativ klar. Also was heißt relativ
klar, die war so richtig glasklar. "Wenn
ihr das bis heute nächstes Jahr, also same
time next year, nicht euch was überlegt
habt, dann regeln wir euch. Also wir sind
ja dann wieder da, same time next year und
dann sehen wir ja mal, was dabei
rausgekommen ist."
F: Also die Diskussion läuft in
Deutschland auch. Das ist ein
international koordinierter Putsch
zwischen den Strafverfolgern und
Geheimdiensten. In Deutschland wird
versucht, die umsetzung unter Anderem über
das Telemediengesetz zu machen. Das heißt
also, wie jeweils die nationalstaatliche
Ausprägung aussieht, wie die Firmen
gezwungen werden sollen, da
Hintertüroptionen einzubauen, ist halt
verschieden. Also zum beispiel, keine
Ahnung, wenn man einen verschlüsselten
Chat hat, dann soll halt vorgesehen
werden, dass ein zusätzlicher Teilnehmer
zu dieser Kommunikation verdeckt
hinzugefügt wird und dessen Schlüssel mit
in die Kommunikation kommt, so dass das
dann eine Kopie des Chatverlauf bei diesem
Teilnehmer, der dann halt Geheimdienst
oder Strafverfolgung das gibt. Und die
Problemlage, die sich da stellt, ist
natürlich, dass es über kurz oder lang
dazu führen wird, dass verschlüsselte
Kommunikation von kommerziellen
Unternehmen, die diesen rechtlichen
Regularien unterliegen, nicht mehr als
wirklich Ende-zu-Ende-sicher angesehen
werden kann. Also wenn man sich diesen
Regularien unterwirft, weil man zum
Beispiel Apple oder Google oder was auch
immer ist, und unter diese Grenze von
einer Million User, die da diskutiert
wird, also darüber fällt, dann ist es
diesen Unternehmen nicht mehr rechtlich
möglich, vertrauenswürdige Kommunikation
zu bauen. Das heißt also, das Einzige, was
dann noch geht, ist freie Software
benutzen, eigene Dienste benutzen, eigene
Systeme benutzen oder halt im Zweifel die
von Unternehmen, die noch so klein sind,
dass sie halt unter die Schwelle fallen.
Das heißt, dieser Zustand, den wir
momentan haben, dass wir ubiquitäre Crypto
überall drin haben, der ist dann zwar
besser geworden dank Snowden, aber die
geben sich halt nicht damit zufrieden auf
der Startseite. Die wollen die
Kommunikation mitlesen können und ihr
momentaner Pusch ist gerade, diese
Hintertürgeschichte als
verantwortungsvolle Verschlüsselung...
R: Ganz schnell noch das Bemerkenswerte.
Ich glaube, wir müssen furchtbar auf die
Tube drücken eigentlich. Man kann doch
mehr lernen auf eine Art aus den Reports
von den Breaches, die es jetzt von einigen
gegeben hat, als gefühlt in den Vorjahren.
Von daher, wenn euch das interessiert,
dann googlet das immer mal mit den
entsprechenden Namen, Equifax Data Breach
Report und solche Sachen. Das ist schon
zum Teil sehr spannend, weil sie auch
Zeitlinien machen. Andere Firmen haben ja
gemerkt, dass es gut ist fürs Marketing
und fürs Mitleid bei den Kunden und
Zulieferern, wenn sie offen mit der
Situation umgehen und erzählen ein
bisschen, wie sie sich dann wieder
aufgestellt haben, nachdem das Cyber Cyber
einmal durchs Netzwerk gefegt ist und so.
Das kann schon sehr spannend sein. Es gab
diese super krasse iOS-Sicherheitslücke,
also eigentlich nicht iOS oder?
F: Das ist der Bootloader.
R: Der Bootloader, checkm8te, den Apple
wohl nicht patchen wird können und der
erst gefixt ist ab irgendwie iPhones 11
oder sowas. Und das ist dann natürlich
schon ziemlich bitter. Aber auch das wird
nicht das letzte Mal sein, dass so was
passiert. Das hält alles immer nur eine
gewisse Weile. Die nächste Diskussion, die
wir am Start hatten, zum Teil auch sehr,
keine Ahnung, schon fast emotional
geführt, war aber dieses Thema DNS over
HTTPS. Aus meiner Sicht ist es ein
bisschen wie dieses Thema TLS Forward
Secrecy. Crypto wird besser oder
überhaupt, die Kommunikation, oder so, von
Daten wird besser. Sachen werden
verschlüsselt, dann gibt es erst mal ganz
viele, die sagen "Ach doof. Dann muss ich
ja irgendwas neues kaufen, um mitlauschen
zu können. Und ich brauche das doch für
die Security." Und dann gibt es natürlich
die, die das doof finden, weil sie das
brauchen, weil sie die Daten minen und
verkaufen. Vielleicht für Werbung und
andere Sachen, das ist gerade bei DNS bei
den Internetprovidern in den usa wohl sehr
weit verbreitet. In Deutschland darf man
das nicht. Also die Telkos dürfen es
nicht. Sagen wir es so. Und, ja. Aber
natürlich ist es für Firmen ist es mehr
nur ein Ärgernis, ja? Die können sich
darauf einrichten und dann Dinge regeln
über Policies, Softwareverteilung, GPOs
und anderes. Die, die schlecht dran sind,
sind die Datenhändler. Und das ist
sicherlich super. Und die, die schlecht
dran sind, erst mal, sind die Regierungen,
die mit lauschen wollen. Und das führt
dann eben zu mehr Druck bei der
Diskussion, die wir eben gerade hatten.
Ja? Ja. Gut. Eines wollte ich ganz kurz
ein geworfen haben, der erste Rückruf von
der FDA von einem Stück Medizintechnik
wegen Sicherheitsvulnerabilites war 2017.
Also vor zweieinhalb Jahren. Das irre ist
immer, wie lange das dauert, ja? Diese
Funkinsulinpumpe um die es hier gerade
geht, wo es einen freiwilligen Rückruf
gab, da mussten die Sicherheitsforscher
2,5 Jahre dran bleiben, an dem Thema,
bevor dann was passiert ist, ja? Dann
immer nachlegen, Wahnsinn. Und das ist ja
nur die Spitze des Eisbergs, man weiß
überhaupt nicht, was da nicht noch
eigentlich alles zurückgerufen werden
sollte, müsste. Ansonsten beobachten wir
stark das Thema Automation und
Arbeitsteilung und Spezialisierung. Bei
den ganzen Malware Produzenten. Also die
Industrie schaukelt sich fröhlich hoch und
Frank hatte ja gerade gesagt: "Die
Schwächsten werden dann so umgefahren",
wobei, wie gesagt, Mærsk ja eigentlich
nicht zu den Schwächsten gehört. Aber es
auch sehr erwischt hat. Und dann gehen die
Firmen natürlich los und schauen sich das
an und sagen: "So, was brauchen wir jetzt?
Okay, wir brauchen bessere Backups. Okay,
wir müssen schneller Systeme
wiederherstellen können. Okay, wir
brauchen, was weiß ich, ein Active
Directory im Schrank oder so, das wir dann
schnell raus schmeißen können und so
weiter. Und dann kann man sich vielleicht
fast hinstellen als Unternehmen und wenn
man dann so einem kleinen Ransomware
Befall hat oder einen mittleren, einfach
sagen: "Ich zahle nichts." Und das kriegt
die Branche aber auch mit und das führt
jetzt zu einer Steigerung von Ransom zu
Blackmail.
F: Was passiert ist, bevor sie die Platten
verschlüsseln, tragen sie erst mal die
Daten raus und sagen dann halt nicht nur:
"Guten Tag", irgendwie, "wenn sie ihre
Daten wieder haben wollen, dann hätten wir
gerne ein paar Bitcoin", oder so. Sondern
wenn man sagt: "Ja, ach ne, ich hab
Backups, alles gut." Dann sagen sie: "Ja,
wir haben auch Backups und vielleicht
interessiert ja auch noch andere Leute,
was in diesen Backups steht. Und was sie
dann da so machen, das ist so ein bisschen
so eine Tröpfchen Folter. Also die lassen
so nach und nach immer mehr Details raus,
bis dann das entsprechende Unternehmen
halt der Meinung ist, halt irgendwie man
könnte doch vielleicht lieber zahlen. Das
wäre doch irgendwie besser. Und das ist
halt, ja ein durchaus traditionelles
Geschäftsmodell, was auch schon mehrfach
Anwendung gefunden hat aber was jetzt
wieder kommt als Bestandteil dieser ganzen
Ransom Geschichten.
F: Weiter?
R: Ja. Das überspringen wir mal schnell.
Metadaten klauen und genau, was
bemerkenswert ist, dass man inzwischen
Produkte findet, die mehr als eine
Hintertür haben, weil bei der Herstellung
des Produkts mehr als einer beteiligt war,
der eine Hintertür eingebaut hat.
F: Also sozusagen der Bestandteil der
Wertschöpfungskette, die mehrstufig ist.
Sowas wie Chipset Hersteller, Firmware
Hersteller, Geräte Hersteller. Hinterlässt
halt jeder, sozusagen, seine Duftmarke in
Form eines hardcoded Passworts. Wer da mal
Spaß haben will, dem empfehle ich mal so
auf irgendwie einer beliebigen Online
Handelsplattform mal also ein paar
chinesische IP Kameras zu kaufen. So in
der Kategorie, so unter 50 oder um die 50
Euro und sich dann da mal hinzusetzen. Ist
ein sehr schönes reverse engineering
Anfangstarget. Da findet man in der Regel
halt so mehrere hardcoded passwords und
irgendwie nach Hause telefonieren und
seltsame dinge die NTP-Paketen drin stehen
und so. Sehr unterhaltsam, das ist
wirklich viel Unterhaltung für wenig Geld.
Vereinzeltes Lachen
Und man lernt auch eine Menge dabei, unter
Anderem genau dieses
Wertschöpfungskettending. Also sowieso,
solltet ihr tatsächlich mal machen, also
vielleicht bei euch im Hackerspace. Pickt
euch mal irgendwas aus der
Spielzeuggeldkategorie und dann nehmt es
auseinander, ist immer highly
entertaining.
R: Kommen wir zu der Vorhersage. Die
Wettervorhersagen. Ein kurzer Hinweis, wir
hatten das letztes Jahr schon gesagt,
dass, alles, was euch verraten kann, wird
euch verraten. Alles kriegt jetzt einen
Chip, alles kriegt Speicher, alles
zeichnet alles auf, alles hat immer mehr
Sensorik und da wird es dann auch Hardware
geben, die aufzeichnet, bei welcher
Temperatur ihr den Akku geladen habt oder
eben nicht geladen habt und solche Dinge
und ob es warm war oder zu kalt war und
das wird bestimmt einer versuchen, gegen
euch zu verwenden, indem er sagt "Nein,
keine Gewährleistung weil, war zu warm,
war zu kalt."
F: "Dem Akku ist zu kalt geworden." ist so
der Klassiker bei E-Bikes.
R: "Luftfeuchtigkeit war zu hoch."
F: ...und es stand halt draußen bei minus
zehn und dann danach will der Akku nicht
mehr. Da sagt dann der Händler: "Ich kann
Ihnen da ein Angebot für einen neuen Akku
machen aber Garantie ist das leider nicht
mehr." und das ist natürlich blöd. Aber
das sind ja nur Daten. Da kann man ja
möglicherweise was dran tun. Dafür braucht
man halt den Logfile-Friseur.
Vereinzeltes Lachen
Was wir beobachten, was sich 2020
verstärken wird, ist die Aufteilung des
Marktes für insbesondere Geräte nach so
Datenschutz-Geschäftsmodellen. Es gibt
dann so das untere Ende, das sind dann
halt so insbesondere so super billige
asiatische Endgeräte, die haben
Datenschutz noch nie so gehört, sondern
die refinanzieren die Preise, die
niedrigen Preise für die Geräte, durch
vorinstallierte Apps. Das heißt, das
Modell ist: Man hat so ein Telefon, dieses
Telefon kostet überraschend wenig Geld.
Auf diesem Telefon sind irgendwie 30 Apps
vorinstalliert. Einer von diesen
Appbetreibern hat irgendwas zwischen 20
cent und fünf Dollar bezahlt für diese
Vorinstallation auf diesem Telefon. Die
Apps sind halt in der Regel Systemapps,
das heißt, sie haben Zugriff auf alle
Sensoren, alle Daten und monetarisieren
dann halt die Daten direkt aus dem
Telefon. Das heißt, da ist dann keine
Plattform mehr dazwischen oder so, sondern
das machen die Apps dann direkt oder bauen
ihre eigene Plattform damit. Das ist so
das untere Ende. Dann gibt es halt so das
obere Ende, die sagen so: "Okay, so à la
Apple, wir wollen deine Daten nicht, weil
wir haben dein Geld schon. Die Hardware
war so teuer, dass die 100 Dollar, die wir
noch aus den Daten rauswringen können, das
lohnt dann halt nicht." Und dann gibt's
halt noch so alles dazwischen, diese
Graustufen, wie Google bei den
Pixelphones. Die sagen "Schön, wir haben
dein Geld, für die teuren Telefone. Jetzt
wollen wir auch noch ein bisschen was aus
deinen Daten rauswringen."
R: "Nein, wir wollen auch noch alle deine
Daten, aber mach dir keine Sorgen. We will
do no evil."
F: Genau. "Die sind nur für uns." Und
diese Ausdifferenzierung nach
Datenschutzgeschäftsmodellen werden wir
nächstes Jahr auch noch verstärkt sehen,
da lohnt's auch, genauer hinzugucken, um
so ein bisschen zu verstehen, was die
datenschutzökonomischen Grundlagen der
einzelnen Hersteller sind.
R: Und die die traurige Wahrheit ist aber
natürlich, dass, es wird da auch welche
geben, die werden behaupten sie hätten
Datenschutz und wären deswegen teurer und
haben gar nichts. Bei Heise gab es ein
paar Artikel über einen Hersteller von von
Kinder-Smartwatches und da fällt einem
nichts mehr zu ein, wenn man das liest,
wie die damit umgehen, was ihnen da
berichtet wird über ihre eigenen Produkte
und was sie dann alles nicht tun.
Wahnsinn. Die Cloud kriegt jetzt alle
Daten, frei nach dem Motto "Nur da sind
sie sicher." und wird damit natürlich dann
zum single point of alles mögliche,
inklusive der eben zitierten Blackmail.
F: Genau und da kann man dann, also nehmen
wir mal an, als Ransomgruppenbetreiber
findet man so eine Firma, die solche
Türschlösser betreibt, die an der Cloud
hängen. Und die haben so, keine ahnung,
500.000 Kunden oder sowas und man macht
die auf und dann kann man sagen "Also wir
könnten uns jetzt überlegen, ob bei allen
Kunden die Schlösser aufgehen..."
R: "Oder kaputt gehen."
F: "Oder zu bleiben oder kaputt gehen".
Und dann kann man so ein
ausdifferenziertes Preismodell machen.
R: Wir haben uns gefragt, ob im nächsten
Jahr der erste große Fall von von API
Obsoleszenz vorfallen wird. Das ging los,
weil ich in der Familie so Anfragen hatte
wie "Sag mal, ist Whatsapp nicht, hört das
nicht auf nächstes Jahr, wenn ich noch ein
iPhone 4 hab oder ein Android whatever?"
Und dann ist die Antwort immer "Ja, ist
doch egal." Aber das sehen ja viele Leute
nicht so. Und und da habe ich mich dann
gefragt "Okay, was ist denn jetzt
eigentlich die Realität?" Und die Realität
scheint zu sein, dass sie da halt
bestimmte Dinge dann nicht mehr
unterstützen wollen von bestimmten
Plattform und keiner will mehr 16 bit
machen und dieses und jenes. Und wird es
dann heißen, dass in dem Moment, wo die
irgendwas an ihrer API machen müssen aus
Sicherheitsgründen. dass dann plötzlich
irgendwie ein paar Millionen Endgeräte
nicht mehr ticken, weil es keine Updates
mehr für diese Geräte gibt auf die neue
API-Version. Und dann haben wir bisschen
drüber nachgedacht und gedacht "Nö,
wahrscheinlich nicht. Wahrscheinlich
werden sie sich das schlicht nicht trauen,
sondern irgendwie versuchen, das auf der
Serverseite so zu machen, dass sie die
alten Geräte noch an die alte API lassen
und die neuen Geräte an die neue API und
dann versuchen, die Dinge irgendwie
wegzufiltern und sonstwie irgendwas, weil
eigentlich hatten wir das ja schon bei
SMS, da gab es ja auch genug Probleme, die
dann im Netz gelöst wurden und eben nicht
durch Updates der der GSM-Telefone oder
Ähnliches. Also vielleicht wird da nix
passieren. Am Ende oder was heißt am Ende,
also es gibt jetzt bei den Datenbergen,
also bei den Daten, die weg kommen werden,
zwei Baustellen, die sich weiterhin
verstärken. Und das ist einmal die
offizielle Digitalisierung die stattfindet
und ich meine, wir haben vorhin über die
elektronische Gesundheitskarte gelacht
aber da gibt es ja auch andere Dinge, wie,
dass das besondere anwaltliche Postfach,
das dafür sorgt, dass Anwälte jetzt eben
noch mehr digital machen können und noch
weniger faxen und noch weniger per Post
schicken und ähnliche Dinge. Und dann ist
noch dazu gekommen das besondere
Notarpostfach und die Zitate, die da in
den Medien zu lesen waren, die ziehen
einem immer den Boden unter den Füßen weg
aus meiner Sicht. Also da hat dann mal ein
Journalist freundlich gefragt oder ich
glaube sogar jemand aus der Politik oder
so, ob man da ein IT-Security-Audit
gemacht hätte und dann wird geantwortet,
dass man dazu keine Veranlassung sieht.
F: Weil die Hersteller sind nämlich
vertrauenswürdig.
Einzelnes Klatschen
Wenn man es mal zusammenfassen will, die
Digitalisierungsstrategie von heute ist
der Datenreichtum von morgen. Und wer von
euch arbeitet an einer Institution oder
Behörde oder Unternehmen, das gerade ganz
viel damit zu tun hat, eine
Digitalisierungsstrategie zu entwickeln?
R: Ach doch ein Drittel.
F: Doch ganz schön viele. Also
Digitalisierungsstrategie scheint
tatsächlich so ein Ding zu sein.
R: Und wer von denen, die jetzt sich nicht
gemeldet hat, findet denn, dass sein
Unternehmen eine Digitalisierungsstrategie
haben sollte und
damit aber noch nicht mal angefangen hat?
10 Prozent. Wenn man da so einen
Wahnsinnsansatz hat, wie gerade gesagt,
ja, "Es gibt keine Veranlassung, da
irgendwie die Sicherheit zu prüfen", dann
ist klar, wie es kommen wird. Das ist die
eine Seite. Die andere Seite sind die
unsichtbaren Datenberge der
Schattendigitalisierung. Gruselts euch
schon? Damit ist eure Tante gemeint.
F: Alle Menschen, die Digitalgeräte
benutzen und keine Ahnung davon haben, was
sie damit tun und trotzdem eure Daten
dabei irgendwie verarbeiten, verteilen,
teilen, hinterlassen.
R: Es ging los mit der Digitalfotografie,
wo man Fotos macht, Fotos macht, Fotos
macht und hinterher nicht ausmistet
sondern das einfach irgendwie auf irgend
eine Platte schmeißt, die man noch
rumliegen hat. Die platte ist dann
irgendwann am lokalen Netz und irgendwann
synct sie sich durch irgendeinen kleinen
Fehler in die Cloud. Da bleibt's dann auch
liegen, wenn der Hersteller sein
Geschäftsmodell nicht ändert. Und dadurch,
dass Speicher immer billiger wird, das
findet ja nicht nur im Privaten statt, das
findet auch in jeder Firma statt, dass man
immer mehr Daten abgespeichert, ablegt und
sich dann hinterher nicht ums Aufräumen
kümmert weil es ja einfach nicht sichtbar
ist. Da werden noch unglaubliche Dinge
zusammenkommen.
F: Genau, wenn es dann einen kleinen
Staudammbruch am Datensee gibt. Data Lake,
schöne Sache. Überall in der Industrie
gibt es Data Lakes, also wo die halt
einfach mal alle Daten gesammelt haben,
ohne sie wegzuschmeißen und hofften
irgendwie, dass jetzt mit Machine Learning
man jetzt aus diesem Data Lake halt
irgendwie was extrahieren kann und stellen
dann aber fest, dass leider die Daten
darin nicht so gut brauchbar sind für
viele Zwecke. Aber die liegen trotzdem
weiter herum, weil halt, könnte ja
irgendwann mal was passieren, was man
damit machen kann.
R: Genau. Und das beliebte Format
Geschäftsfelder, die Geschäftsfelder, so
also dann gab es, dann man hat jetzt jeder
an Cyber und es haben mehr Firmen einen
Cyber als noch im letzten Jahr einen
Cyber. Und inzwischen hat die Industrie
verstanden, dass man dann natürlich helfen
kann und es gibt irgendwie incident
response und emergency dies und jenes und
Leute, die man anrufen kann, wenn man
einen Cyber hatte. Und dann helfen die
einem, das auszutreiben. Und da hängt ja
noch viel mehr dran. Da können auch, also
da muss man ja auch nicht ITler sein, um
da mitmachen zu können.
F: Also Cyber Notfallseelsorge zum
Beispiel für Leute, die vom Cyber
betroffen sind, ist auf jeden Fall ein
Geschäftsfeld, was boomt. Also wenn man
sich so ein bisschen anekdotisch umhört in
der Branche, dann sind da durchaus Leute,
die halt sich um die professionelle
Hirnwartung nach so Cybervorfällen kümmern
müssen.
R: Datenverlust-Bewältigungsstrategien.
F: Sowas.
R: Ja, digitale Trauer.
Lachen
Wie sieht das aus? Also inklusive
Restrukturierung hinterher. Ich meine, bei
Mærsk haben sie gesagt: "Na ja, da war
halt die IT dann weg und die E-Mails
gingen nicht mehr und dann sind wir halt
alle zu Whatsapp migriert.
Lachen
Und haben uns da dann organisiert, ja? Und
dann haben wir da Gruppen gemacht und in
den Gruppen haben wir dann versucht, das
Geschäft zu organisieren. Ja und hinterher
haben wir uns vor dem Einschalten von der
E-Mail überlegt: Das ist vielleicht unsere
neue Firmenstruktur." Die Whatsappgruppen,
ja? Sie haben nicht gesagt, ob alle, die
nicht in einer Whatsappgruppe waren, dann
hinterher entlassen wurden. Also da hängt
noch viel dahinter.
F: Was man da auch hat, ist natürlich das
Problem, wie vermittelt man so Cyber
Probleme. Also die meisten Menschen sind
davon überfordert. Für die sieht das
sowieso aus, wie Magie. Es gibt keine
wirkliche Möglichkeit mehr, das so richtig
zu erklären, im Detail, weil es zu komplex
geworden ist. Man kann nur noch so
irgendwie so komische verallgemeindernde
Analogien finden. Und dann kann man doch
eigentlich auch so richtig all in gehen
und sagen: "Okay, wenn die Technologie
schon aussieht wie Magie, dann kann man
sie auch erklären wie Magie und weil somit
Fantasy Magic so, kennen sich ja sehr
viele Leute aus und haben da so eine
Begrifflichkeit von so. Und wenn dann halt
sozusagen, so ein, keine Ahnung, man hat
sich dann halt irgendwie so eine
Ransomgang eigetreten, die irgendwie in
dem System persistent geworden ist und da
sich lateral durch bewegt hat. Dann heißt
das dann halt in Cyber Fantasy übertragen,
dass: "Dämonen haben die äußere Burgmauer
durchbrochen. Sie wohnen jetzt in unseren
Katakomben. Sie können überall hoch
brechen in unsere Räume und wir brauchen
jetzt Menschen, die diese Dämonen in die
Katakomben jagen gehen." Ja so, nur mal so
als Vorschlag und dafür braucht es
natürlich Profis, die solche Geschichten
erzählen können und sie so übertragen
können, dass man halt irgendwie sie dann
halt der Geschäftsführung erklären kann.
R: Genau.
Lachen
Applaus
Du musst jetzt, ihr müsst jetzt bei
Sonnenaufgang mehr Cyber Gänse schlachten,
ja? Aber nur bei Vollmond. Genau. Ja. Dan
Kaminsky sagt immer gerne: "Data wants to
lie to you and wants you to be wrong."
Daten wollen dich anlügen. Das haben viele
noch nicht begriffen, dass ihr data lack
sie eigentlich vor hat, sie in die Pfanne
zu hauen. Und das ist natürlich sehr
wichtig, dass man dann sich trainiert,
dadrin, die Verzerrungen, die in den
eigenen Daten drin sind, durch die
Sensoren, die man da benutzt hat, durch
die Daten, die man abgefragt hat, durch
die Daten. Also durch die Datenquellen,
die man hat, zu erkennen, ja? Und das ist
sozusagen das komplette Gegenteil zu dem,
was heute eher passiert, dass man Leuten
sagt: "In diesen Daten sind tolle Dinge
drin" und die schauen dann auf das
Rauschen so lange bis sie irgendein Muster
sehen.
Lachen
F: Also wir haben jetzt so das Phänomen,
dass die Migration zu IPv6 ja so ein
bisschen länger gedauert hat, als alle
gedacht haben. Und jetzt aber so ein
bisschen, so plötzlich stattfindet, weil
die Geräte können jetzt z.B. alle
plötzlich v6 und machen halt auch so v6
und dann guckt man so in sein Netzwerk und
sieht da lauter v6 Pakete und denkt sich:
"Ich habe aber gar kein v6 und meine
Firewall kann noch kein v6 und mein
Monitoring hat von v6 auch noch nie gehört
und mein Router kann aber irgendwie schon
v6. Genau und deswegen denken wir, so erst
einmal gibt es dann halt so das Berufsbild
des IPv6 Exorzisten, der halt irgendwie
versucht IPv6 aus den Netzwerken raus zu
exzorsieren. Und der muss dann später
umschulen, wenn v6 sich dann durchgesetzt
hat auf IPv4 Exorzist
Lachen
um halt, ja ...
Applaus
R: Crypto ist ja so der Sache. Also, haben
jetzt alle verstanden, dass Crypto wichtig
ist? Dass man Crypto machen muss? Dass es
auch ohne Crypto nicht geht? Wie gesagt,
es verlangt keiner mehrs dass es kein
Crypto gibt. Es wollen nur alle noch eine
Hintertür und dann auch einen extra
Schlüssel und ähnliches. Und damit stellt
sich dann die Frage aber, ob es auch die
ganze Zeit an ist?
F: Oder ob es nur da ist aber nicht an?
Oder nicht konfiguriert oder mit dem
falschen Parametern? Oder nur manchmal an
oder nur auf bestimmten verbindungen an
oder was auch immer, ja?
R: Oder nach dem Software-Update plötzlich
wieder weg, ja? Weil der Parameter
umgekippt ist oder so und da wird es
sicherlich genug Software geben, die dann
versucht rauszukriegen, ob das Skript doch
noch an ist und wenn ja für wie viele.
F: So und wir finden, wir müssen wir jetzt
mal was für die IT Security tun.
Applaus
Es hieß ja immer so lange, man solle
irgendwie aufpassen und man müsse
irgendwie als gebildeter Bürger irgendwie.
Also das Problem sitze zwischen Tastatur
und irgendwie Schreibtischstuhl. Das
Problem ist aber eigentlich, die Software
ist halt einfach scheiße. So und natürlich
sollte jede Software, die ich betreibe,
heute in der Lage sein, damit
klarzukommen, dass da irgendwelche Daten
in einer E-Mail drin sind und dabei mir
nicht um die Ohren fliegen, nicht mein
computer kaputt machen, nicht dafür
sorgen, dass da Software installiert wird.
D.h. diese Predigt von wegen: "Klicken sie
mal nicht auf Anhänge und seien sie ganz
vorsichtig und wenn sie doch tun, dann
sind sie selber Schuld."
R: Ja das ist alles Victim Blaming, das
geht gar nicht.
F: Genau, Victim Blaming, damit müssen wir
aufhören. Wahrscheinlich sollten auch mit
den Gewerkschaften reden und denen
klarmachen: "So pass auf, immer auf jeden
Anhang klicken, führt zu mehr
Tagesfreizeit.
Lachen
Applaus
So, also das ist jetzt so ein so klarer
Fall von: "Ist jetzt, ... wir können so
nicht mehr weitermachen. Wir müssen jetzt
einfach mal die Situation ein bisschen
eskalieren. Deswegen immer auf alle
Anhänge klicken, zumindest in der Firma."
Lachen
Publikum: Makros!
F: Ne, Makros, ich glaube Makros lassen
wir mal außen vor. Makros ausschalten ist
trotzdem eine gute Idee, anyway.
R: Ja, das ist unser Aufruf an euch und
dann wünschen wir euch einen guten Rutsch
ins Jahr 1984 wir sehen uns wieder
nächstes Jahr.
Applaus
36C3 Abspannmusik
Untertitel erstellt von c3subtitles.de
im Jahr 2020. Mach mit und hilf uns!