-
36C3 Vorspannmusik
-
Herald: 3, 2, 1. Security Nightmares mit
-
Ron und Frank.
Ron: Sehr gut, danke, nicht zu dunkel
-
bitte. Und wie eben schon gesagt, wir
hätten gerne noch mal dass "Cyber" - das
-
Publikumsgeflüster mit dem "Cyber Cyber
Cyber".
-
Publikum: Cyber Cyber Cyber Cyber...
Zwischenruf "Cyber!"
-
Lachen
R: Dankeschön.
-
Frank: Dankeschön. Ja wir sind jetzt hier
bei der 20. Ausgabe indezimal.
-
R: Jubiläum!
Applaus
-
Für die, die Dezimalzahlen mögen... Ich
habe das ja fast verpennt, ne? Ich war so
-
am, ne? Letztes Mal haben wir, glaube ich,
im Oktalsystem noch gezählt, davor ein
-
paar Mal im hexadezimalen Raum und dann
fiel mir das eine Weile nicht auf, bis ich
-
dann dachte oh 2 0 das doch auch irgendwie
wichtig, ja? Und deswegen haben wir auch
-
eine eine 20-Jahre Rückblendung gleich
kurz aber nur als Ausnahme. Das machen wir
-
jetzt nicht jedes Jahr. Wer ist denn das
erste Mal da? Naja schön.
-
F: Okay, wer war...?
R: Das ist, was war das? Ein Drittel?
-
F: Joa, 20 25% und wer war beim ersten Mal
da?
-
R: Also für die, die das jetzt noch im
Kopf rechnen, also vor 20 Jahren, das war
-
dann der 16c3 im Haus am Köllnischen Park.
Wer war da?
-
Vereinzelter Applaus und Rufe
Ah doch. 5.
-
F: 5, schau an.
R lacht
-
F: Okay, wer war damals noch nicht
geboren?
-
Lachen
R: Mehr.
-
F: Mehr, sehr gut. wir verjüngen uns dann
doch, nicht schlecht. Ja damals im Haus am
-
Köllnischen Park waren insgesamt auf dem
gesamten Kongress knapp halb so viele
-
Leute, wie hier jetzt im Saal sind.
Lachen
-
R: Genau also 1999 vor der, vor der
Jahrtausendwende. Das war die erste
-
Verwendung der Abkürzung 16c3 in dem jahr.
Und es war das zweite Mal im Haus am
-
Köllnischen Park in Berlin. Sehr schöne
Lokation und da haben halb so viele Leute,
-
wie in diesen Saal passen, reingepasst. In
das ganze Haus.
-
F: Und es fühlte sich einigermaßen voll
an.
-
Lachen
R: Ja, weil man muss halt wissen, das Haus
-
am Köllnischen Park, da war ja im großen
Saal, haben so viele Leute reingepasst,
-
wie vorher in das gesamte Eidelstedter
Bürgerhaus, ja? Kann das mal schnell
-
jemand hochrechnen, wo wir dann in 20
Jahren sein müssen?
-
Lachen
F: Aber ne ne, wir sind jetzt post growth,
-
ne? Also wir haben ja festgestellt, mit
dem Wachstum und so ist schwierig und...
-
R: Das ist wahr.
F: ... der Planet irgendwann alle und
-
deswegen wachsen jetzt lieber nicht
weiter.
-
R: Ja.
F: Okay.
-
R: Genau und der Kongress war nur drei
Tage. Das heißt, man konnte das an einem
-
Stück durchmachen.
Lachen
-
Wer von euch hat es versucht? Mit vier
Tagen? Ja schämt euch.
-
F: Na die sind jetzt nicht hier, die
liegen irgendwo.
-
Lachen
R: Genau, genau ich kann mich noch daran
-
erinnern als ich das erste Mal auf einem
ersten Vier-Tage-Kongress war und gedacht
-
habt: Hier das kann doch alles nicht wahr
sein. Das ist doch ein Anschlag auf die
-
Gesundheit.
F: Ich glaube diese, diese Korrelation von
-
wir sind auf vier Tage gewechselt und das
CERT ist massiv gewachsen, die es nicht,
-
kein Zufall.
R: Aber am Ende ist gut oder, vier Tage?
-
Applaus
R: Wer findet es ein Verbrechen am
-
Hackertum hier schon wieder entlassen zu
werden nach vier Tagen?
-
Applaus
Also die Hälfte. Wer hätte gerne einen
-
Monat Kongress am Stück?
Applaus
-
Okay, auch zwei Drittel, oder so.
Lachen
-
Genau, nahtloser Übergang vom Camp zum
Kongress?
-
Jubel
Ne, weil das ist eine gute Steilvorlage,
-
weil 1999 war ja auch das Jahr, in dem das
erste Camp stattfand. Wer war da? Ja ja,
-
doch, auch 5.
Lachen
-
Gut, das sind die langjährigen Begleiter.
Was war das große Thema 1999? Natürlich
-
das Jahr 2000. Wer bereut noch den Ankauf
eines Generators?
-
Lachen
F: Nein, nicht bereut. Außerdem habe ich
-
nichts dafür bezahlt. Das war sehr lustig,
weil die Firma, von der ich es gekauft
-
habe, auf Rechnung. War im Januar einfach
pleite.
-
Lachen
R: Wie konnte das passieren? Ja, nächstes
-
Jahr, wo wir dabei sind, ist wieder ein
Schaltjahr. D.h. wenn ihr vom 28 auf den
-
29 auf den 3..., also auf den ersten März
irgendwo übernachtet, nehmt euch eine
-
Rolle Klopapier extra mit.
F: Ja, das Jahr 2000 war ja so eines der
-
ersten Themen, wo diese Abhängigkeit von
dieser ganzen IT so ein bisschen ins
-
öffentliche Bewusstsein gerückt ist durch
diese ganze Panik und deshalb ist heute
-
nicht so ganz klar, ob das jetzt so Panik
war, die irgendwie unberechtigt war oder
-
ob die ganze Panik dafür gesorgt hat, dass
genügend Energie und Zeit und Geld
-
reingesteckt wurde, dass es kein Problem
gab. Irgendwie ist das bis heute so ein
-
bisschen ungeklärt und wir schauen alle
mit großer Freude auf das Jahr 2038.
-
Lachen
Was sich ja langsam nähert, so, wenn wir
-
so gucken, dann ist sozusagen 2038 näher
dran als die ersten Security Nightmares
-
von jetzt weg sind, ne? Nur so als
Referenz.
-
R: Genau, ja und dann saßen wir da alle
und haben den Vortrag von Professor
-
Bunnstein, mit leichtem Gruseln, der uns
erklärt hat, wie die Welt untergehen wird,
-
naja. Those were the days. Gut, das
erschreckende ist, dass man die Jahre 1999
-
bis 2019 in einem einzigen Bild
zusammenfassen kann. In einem Screenshot.
-
Lachen
Applaus
-
F: Also bei der Vorbereitung waren wir
auch so ein bisschen davon angefressen,
-
dass wir in diesen 20 jahren keinen
wirklichen Fortschritt an dieser Front
-
feststellen konnten. Was wir dieses jahr
ja massiv hatten sind ja so Ransomware-
-
Attacken, die zum allergrößten Teil immer
noch über Office Makros als
-
Infektionsvektor funktionieren. Und das
war 1999 nicht anders. Es war genau
-
dasselbe. Zwischendurch war's dann mal ein
bisschen weniger aber inzwischen sind wir
-
wieder genau da und so langsam fragt man
sich: Ist diese Menschheit irgendwie
-
lernfähig? Also wie viel da draußen von
der Wirtschaft würde brechen, wenn man
-
jetzt einfach sagt: Ok, liebes Microsoft,
zum Wohle der Menschheit, ihr schaltet
-
jetzt einfach mal Office Makros einfach
komplett ab. So, aus.
-
Applaus
Das Problem dabei ist halt, wahrscheinlich
-
würde wirklich ganz schön viel
Bullshitwirtschaft brechen, also diese
-
ganzen Reporting Sheets und diese 400
Megabyte Excel-Dokumente mit dem so
-
Großkonzerne betrieben werden. Ist kein
Scherz. Also lebende Excel-Dokumente, die
-
sich verändern wenn man irgendwo was rein
schreibt dann ändern sich 15 Sheets weiter
-
Dinge und die muss man später auch noch
ausfüllen. Ist tatsächlich die Realität da
-
draußen. Ist also nicht irgendwie selten
oder so. Aber es sind alles so Sachen, wo
-
man sich denkt: Naja, wenn die weg wären,
würden jetzt, glaube ich, auch nicht allzu
-
viele leute sterben, glaube ich. Obwohl,
keine Ahnung, in Krankenhäusern gibt's
-
wahrscheinlich auch Office Makros. Also
die sterben dann noch nicht, sondern erst
-
später, wenn die Ransomware dann da war.
R: Ja, da darf man nicht zu viele Scherze
-
machen.
F: Doch, immer rin!
-
R: Genau, also zum Regelprogramm. Vor zehn
jahren hatten wir cloudy Computing
-
angesagt und waren der Meinung dass
Malware und Cloud konvergiert. Für wen von
-
euch ist denn das eingetroffen? Ahja,
acht. Die Ansage war, glaube ich, dass
-
sehr viel Malware in die Cloud reinwandert
und die cloud in ihrer eben vielleicht
-
nicht Sicherheit dann zum Problem wird.
Tatsächlich scheinen wir etwas anderes zu
-
beobachten, dass es so ein bisschen so
aussieht, als wenn nur die Cloud noch das
-
ist, was verteidigt werden kann, oder
zumindest viele versuchen, diesen Eindruck
-
zu erwecken. Tja.
F: Dafür sind ja die ganzen Antiviren
-
Snakeoils in die Cloud gewandert. Die
verkaufen jetzt ja alle Cloud Antivirus.
-
R: Alle verkaufen Cloud, alles Cloud, ist
eh klar.
-
F: Stimmt, Hypervisor Rootkits hatten wir
damals angesagt. Interessanterweise haben
-
wir dann eine weile diskutiert, wie wir
dazu gekommen sind, was daraus geworden
-
ist und haben festgestellt, dass, klar,
gibt es, also es gibt halt so Toolkits,
-
mit denen man so Ausbruch aus Hypervisorn
und VMs und so machen kann, die aber in
-
der freien Wildbahn eigentlich relativ
selten verwendet werden, weil die
-
Notwendigkeit für so eine unglaublich
elegante, fiese Attacke gar nicht besteht,
-
weil der Kram, der in den VMs läuft, in
den virtual machines läuft, so schlecht
-
ist, dass es gar nicht lohnt da von hinten
durch die Brust ins Auge gegenüber
-
Hypervisor zu kommen, sondern man geht
einfach direkt durch die Vordertür rein.
-
So kann man sich irren. Also optimistische
Annahmen über Softwarequalität, haben wir
-
glaube ich gelernt in der Geschichte der
Security Nightmares, haben sich nie
-
bewahrheitet.
R: Das stimmt. Die Frage ist, hätten wir
-
das jetzt, wenn es Office Makros nicht
mehr gäbe?
-
Verhaltenes Lachen
Das hier war die Idee, dass man, wenn man
-
so vor seiner Suchmaschine der wahl sitzt
und Fragen stellt und Fragen stellt, dann
-
ist es ja vor Allem auch immer eine...
"Jede Frage an Google ist eine Antwort an
-
Google" war der schöne Spruch. Und wie
verschleiert man sich denn da? Und ich
-
muss aber sagen, ich habe kein Plugin
gesehen, das einfach zwischendurch immer
-
mal nach Britney Spears sucht oder was
halt gerade so ansteht, damit man
-
harmloser aussieht.
F: Ich glaube, wenn du heute nach Britney
-
Spears suchst, würde dir wahrscheinlich
irgendwie ein bizarrer Fetisch unterstellt
-
oder so.
R: Es war halt vor zehn Jahren die Ansage.
-
Street View war ein Thema vor zehn Jahren.
Das hat deutschland ja so hart verbrannt,
-
dass Google jetzt lieber gar nichts mehr
veröffentlicht und alle anderen da auch
-
eher nicht mitgemacht haben, was ich den
Eindruck habe, aber das ist vielleicht nur
-
meine Filterblase, was weiß ich schon,
dass es jetzt alle ein bisschen schade
-
finden, dass es alles so vor sich hin
gammelt diese Street View-Bilder, nichts
-
geupdatet wird.
F: Also ich find das eigentlich ganz
-
interessant so. Es ist sozusagen so
lebendige Archäologie. Man kann halt
-
irgendwie sehen wie es vor ein paar jahren
da aussah und was sich ja so inzwischen
-
verändert hat und... Naja, gut, ich mein,
das Problem ist halt, dass Street View war
-
halt damals so state of the art und
heutzutage ist es halt so, wir haben jetzt
-
in der Vorbereitung mal geguckt, so
aktuelle Luftbilder in so bekannten
-
Kartenplattformen haben so 10 cm
Auflösung. Das heißt also, man ist noch
-
nicht ganz bei Nummernschilder lesen aber
auch nicht mehr so weit weg davon.
-
R: Und das ist auch das eigentlich
faszinierende, weil ich mal, ich glaube
-
das war dieses Jahr, hatten wir
zwischendurch die Diskussionen: Wie ist
-
denn das eigentlich mit Luftbildern, die
werden ständig immer besser. Ich glaube
-
Bing hatte damit mal angefangen. Die haben
das dann immer, wie haben die das genannt?
-
Bird View oder sowas. Und Apple nennt das
irgendwie Flyover oder so. Und die haben
-
wirklich gute Daten und da ist vor allen
Dingen gar nix verpixelt, jedenfalls habe
-
ich nichts gefunden. Und dieser Aufschrei
der damals durch Deutschland lief, wie,
-
ich muss mein Haus verpixeln, das scheint
sich über diese Luftbilder ist da... war
-
da irgendwas?
F: Ich glaube, es hat zwei Gründe. Der
-
eine Grund ist, du siehst in Luftbildern
von oben primär. Also klar hast du diesen
-
3D View, kannst auch so ein bisschen von
der seite sehen. Aber du kannst noch nicht
-
so richtig Schrift lesen, also auch keine
Nummernschilder und du kannst noch nicht
-
so richtig Gesichter erkennen was beides
in Street View ja ging. Und die
-
Algorithmen jetzt, die sie da verbauen
gerade zum Gesichter verpixeln und
-
Nummernschilder weg pixeln, die brauchten
ja auch erstmal ein bisschen, bis sie dann
-
so weit waren. Dann gab es natürlich
dieses ganze "Wir verpixeln ganze
-
Ladenfronten und Häuser und so", aber ich
glaube, die Entwicklung wird jetzt relativ
-
schnell gehen, wenn 5G ausgerollt ist.
Also es gibt diverse Projekte, die sagen
-
"Okay, 5G viel Bandbreite, da können wir
doch eigentlich so 360° Rundumkameras
-
einfach mal so auf Taxis oder Müllautos
oder so kleben und dann machen wir die
-
ganze Zeit live Updates von dem Street
View", weil die werden halt die ganze Zeit
-
über 5G raus gestreamt, dann zusammen
gestitcht und dann an die Stelle geklebt.
-
Die brauchen natürlich dann auch
Algorithmen zum Verpixeln von
-
Nummernschildern und Gesichtern weil sonst
Datenschutz. Und das eröffnet aber
-
interessante Perspektiven, weil, dann kann
man plötzlich mit diesem, wenn man seinen
-
Laden nicht in dem live Street View haben
will, muss man eigentlich nur die
-
Schriftart von Nummernschildern nehmen und
seine Ladenbeschriftung damit machen, dann
-
wird sie automatisch weg gepixelt.
Lachen
-
R: Genau das geht dann hin bis zur
Nummernschild-Tapete, die man sich dann
-
von außen an sein Haus klebt. Damit es
einfach nicht da ist.
-
F: Also, klar ist halt, das ist halt noch
nicht vorbei. Das hat jetzt nur
-
geschlafen. Also dieses live Street View
Ding wird halt kommen. Das ist relativ
-
absehbar.
R: Ja sie haben sich über die Luftbilder
-
so ein bisschen angeschlichen, würde ich
sagen.
-
F: Ja
R: Genau, die Flashmobvermieter sind jetzt
-
Bot herder, die
Botnetzbekämpfungsbundesbetreuer. Das war
-
lustig. Das war ja nur eine Ankündigung
damals. Das wurde dann irgendwie
-
botfrei.de oder so gestartet, ein Jahr
später. Und der Grund war ja, dass, das
-
war damals das Jahr von dem Conficker
Virus und das hieß, 5% der Unternehmens-
-
PCs sind verseucht. Und Deutschland war
auf dem Platz zwei weltweit der Länder mit
-
den meisten Botnet-Infektionen. So und
dann wurden da Dinge getan und ein paar
-
Jahre später war Deutschland dann aus den
Top ten heraus und bis jetzt auch gerade
-
nicht drin und dann wurde das so ein
bisschen runter gefahren. Interessant ist,
-
dass sich Japan letztes Jahr, also, hat
sich die Regierung erlaubt, nach IoTs zu
-
scannen und wohl dieses Jahr damit
angefangen. Ich habe jetzt noch nichts
-
über Ergebnisse gelesen ich nehme mal an,
dass sie auch versuchen, dann Leute, die
-
IoT mit schlechten Passwörtern am Netz
haben, zu kontaktieren und so, wie das
-
damals hier gelaufen ist mit verseuchten
Systemen. Vielleicht haben wir da nächstes
-
Jahr ein Update.
F: Hatten wir damals schon, Umwelt- vs
-
Datenschutz. Damals ging es um
intelligente Stromzähler. Mittlerweile
-
haben wir ja so das Phänomen, dass etliche
aus der, sagen wir mal, stark Klima- und
-
Umwelt bewegten Ecke, so ein bisschen der
Meinung sind, dass, ja also wenn wir denen
-
damit den Planeten retten, dann ist auch
da einen Überwachungsstaat dafür bauen,
-
gerechtfertigt, um halt irgendwie die
Leute dazu zu bringen, sich umwelt- und
-
klimagerecht zu verhalten. Dieser Konflikt
wird halt nicht weggehen. Also der wird
-
halt auch stärker werden und der wird halt
die gesellschaftlichen Bewegungen, die
-
sich halt für die verschiedenen Ziele
einsetzen, dazu treiben, dass man sich da
-
auch intensiver darüber unterhalten muss.
Also das ist so ein Ding, was wir gerade
-
sehen, auch im politischen Spektrum. Bei
den Grünen gibt es da durchaus Leute, die
-
irgendwie eigentlich nicht so richtig
finden, dass Datenschutz irgendwie ein
-
gleichwertiges Ziel ist und da durchaus
eher geneigt zu sagen: "So naja so ein
-
bisschen Überwachung, wenn es den Planeten
rettet, ist ja schon eigentlich ganz
-
okay." Dieses Problem werden wir in den
nächsten Jahren auf jeden Fall auch noch
-
mal häufiger diskutieren müssen und da
auch sinnvolle Weges des Diskurses darüber
-
finden. Auch, sage ich mal, außerhalb des
Verhältnisses Staat - Bürger.
-
R: Genau. Aber mein intelligenter
Stromzähler tut immer noch nichts, was
-
wirklich interessant ist. Wir hatten
Malware mit Updatezyklen von einer Woche,
-
inzwischen sind wir bei einer Stunde oder
so angelangt. Das ist glaube ich, ein
-
anständiger Fortschritt.
Lachen
-
Applaus
Ja und dann haben wir gedacht, die
-
elektronische Gesundheitskarte ist
vielleicht tot.
-
Lachen
Ihr könnt ja einfach den Vortrag hier vom
-
Kongress euch anschauen und euch dann
selber ein Urteil bilden. Ja, die Zeit
-
läuft. Das Internet-Normalitätsupdate.
Ganz schnell so ein paar Zahlen in die
-
Runde geworfen. Es gab diese Microsoft RDP
Vulnerability, die BlueKeep genannt worden
-
ist. Als das veröffentlicht wurde, waren
mal eine knappe Million Systeme direkt
-
erreichbar und verwundbar. Das ist so die
Größenordnung, um die es im Moment geht.
-
Obwohl sich auch noch ganz viel Malware
fröhlich verbreitet, auch wenn man direkt
-
nur ein paar zehntausend Systeme sehen
kann. Dann gab es größere Zahlen.
-
Natürlich, was so verdient wurde in der
Ransomware-Branche. Hier sind Zahlen. Das
-
sind glaube ich Eigenangaben von den
Leuten, die diese Malware hier gemacht
-
haben. Das ist deswegen ganz interessant,
weil die lief halt nur so ungefähr 16
-
Monate und die haben gesagt sie hätten da
160 Millionen US Dollar verdient. Spannend
-
ist, dass auf der anderen Seite die
Betroffenen sagen, sie hätten, was waren
-
das, zwei Milliarden Schaden. Und die
Zahlen passen natürlich immer alle links
-
und rechts überhaupt gar nicht zueinander
und das ist eben die Frage, wenn die
-
sagen: "Wir haben das verdient." Ist das
echt Profit nach allen Kosten, ja? Macht
-
ihr da eine ordentliche Buchprüfung?
Lachen
-
F: Wird das auditiert?
R: Oooder. Ja, was?
-
F: Ich meine, es muss ja auditiert werden
ja eigentlich, solche Zahlen.
-
R: Sollte man meinen, ja oder haben die
aufgerundet oder abgerundet. Und es ist
-
natürlich auch klar, dass die Unternehmen
sagen: "Ach das war so furchtbar teuer",
-
weil die haben da noch, was weiß ich,
irgendwas neu gemacht bei der Gelegenheit
-
und das dann damit rein gezählt. Aber
naja, irgendwo in der Größenordnung 2
-
Milliarden Schaden, 160 Millionen Dollar
verdient. Wie war denn das bei euch so,
-
mit der Ransomware? Wer kennt denn da
einen Betroffenen über zwei Ecken? Ach,
-
doch so wenig! Das sind ja höchstens 100.
F: Und wer von euch kennt Unternehmen, die
-
von Ransomware oder 'ner Ransomattacke
betroffen waren? Deutlich mehr. Und wer
-
von euch kennt eine Person oder
Unternehmen, die gezahlt hat? Auch schon
-
nicht so wenig.
R: Naja, 15 oder so. Und wie viele Sterne
-
würde dir dem Kundenservice geben?
Lachen
-
Jemand aus Publikum: Fünf!
R: Fünf? Ich glaube, die Branche muss ja
-
immer erst mal erklären was ein Bitcoin
ist und so und wie man an einen rankommt
-
und all diese Dinge. Die haben ja viel zu
tun, also ist deswegen schon die Frage
-
nach dem Kundenservice. Sind denn die
Daten hinterher zurückgekommen?
-
F: Genau, bei wem sind die Daten denn
zurück gekommen, also wer kennt jemanden,
-
bei dem die Daten zurück gekommen sind
oder ein Unternehmen?
-
R: Ah, doch.
F: Der Kundensupport ist ausbaufähig, ich
-
seh' das schon. Das waren deutlich weniger
als Betroffene.
-
R: Es gab ja so Zahlen, habe ich das jetzt
hier, genau, was ich gefunden hatte, also
-
was mir so entgegen sprang war eine
Behörde, ich glaube in Florida, die
-
600.000 gezahlt hat an Ransom. Es gab
Andere, die haben 400.000 gezahlt und
-
Ähnliches. Hat jemand von einer höheren
Summe gehört?
-
F: Ja, ich.
R: Ist die offiziell?
-
F: Nee, aber Menschen, die mit dem
Aufräumen nach solchen Dingen beschäftigt
-
sind, berichteten mir unter Anderem, dass
zumindest eine Gruppe sich einfach am
-
Umsatz des betroffenen Unternehmens
orientiert. Also die neben halt einfach
-
sowas, wie ein bis zwei Prozent des
Jahresumsatzes den sie aus irgendeinem
-
Unternehmensauskunftsregister rausziehen
und nehmen diese pauschal als
-
Ransomforderung. Und naja, muss man sich
mal kurz überlegen, wenn die Produktion
-
stillsteht, dann ist so'n Prozent drei
Tage Produktionsausfall und da kann man
-
dann schon mal schnell ins Rechnen kommen
als Unternehmen. Also letzten Endes ist
-
diese ganze Ransom-Geschichte gerade so
ein bisschen so der Punkt, wo viele von
-
den Vorhersagen, die wir in den letzten
Jahren gemacht haben, einfach geballt
-
eintreffen, weil wir jetzt die Situation
haben wo...
-
Post Engel: Post.
F: Die Post, war die auch betroffen?
-
PE: Post für euch.
F: Oh, eine Postkarte, dankeschön. Eine
-
sehr schöne Postkarte. Time travel is not
a crime.
-
Applaus
F: Die erzählen wir nachher. Diese
-
Ransomware, bzw. diese Ransomattacken,
weil nicht alles davon ist Ransomware,
-
viele davon sind auch tatsächlich gezielte
Angriffe auf Unternehmensnetzwerke wo man
-
sich dann, einnistet, einmal quer
verbreitet, sich die schwächsten Punkte im
-
Unternehmen sucht und dann genau da
zuschlägt. Also zum Beispiel bei einem
-
Unternehmen, was viele Sachen verschickt,
macht man halt die Auslieferung platt,
-
damit halt keine Sachen raus geschickt
werden können oder macht die
-
Finanzabteilung platt oder was auch immer
gerade, wo es wehtut. Und was da jetzt
-
passiert, ist, dass diese ganze Sache
schon, man sagt immer so technical debt,
-
also der Schuldenberg an unaufgeräumten
technologischen Probleme, die Unternehmen
-
so vor sich herschieben, der kommt jetzt
halt zurück. Und wir haben uns ja mal
-
gefragt "Warum haben jetzt in den letzten
Monaten so viele von diesen
-
Ransomvorfällen, so Gemeinden und
Krankenhäuser und Universitäten und so
-
betroffen?". Die Antwort ist ganz einfach:
Da ist es am schlimmsten. Also da sind die
-
ältesten IT-Systeme unterwegs mit den
wenigsten Aussichten auf Besserung. Aber
-
das führt dazu, dass die dann natürlich
die schwächsten Mitglieder der Herde sind,
-
die als erste betroffen werden. Die können
natürlich auch weniger zahlen, klar, weil
-
das müssen sie irgendwie haushalterisch
verbuchen. Aber letzten Endes sind die
-
dann halt auch im Zweifel motiviert zu
zahlen. Das heißt, diese ganze Ransomware-
-
Nummer oder bzw. Ransomangriff erzeugt
jetzt tatsächlich so was Ähnliches wie
-
eine intrinsische Motivation, sich mal um
IT Security zu kümmern. Also insofern hat
-
halt möglicherweise auch positive
Auswirkungen in der Gesamtheit, natürlich
-
jetzt nicht für das einzelne Unternehmen
oder die einzelne Behörde.
-
R: Genau. Die Ransomware Infektionen
stiegen um über 350 Prozent. Die Bug-
-
Bounty-Prämien steigen auch. Ich glaube,
Apple ist jetzt auch noch mal eingestiegen
-
mit 1,5 Mio. für iOS zero klick. Dann
hatten wir in diesem jahr 19 0days, die es
-
in Umlauf geschafft haben. Das waren 2018
zwölf, deswegen hat sich für einige von
-
euch vielleicht dieses Jahr ein bisschen
geschäftiger angefühlt, aber vielleicht
-
nicht so sehr wie in 2017, da waren es
nämlich 22. Der durchschnittliche
-
Cyberschaden in Deutschland liegt bei zwei
Millionen Euro und jede achte deutsche
-
Firma hatte einen Cyberangriff.
F: Das sind so Zahlen, wo man sagen
-
muss...
R: Jede achte. Die Anderen lesen keine
-
E-Mail.
Verhaltenes Lachen
-
Oder, genau die zahlen sind komplett gaga.
F: Also so 'ne Zahlen, die immer so von
-
diesen Branchenverbänden kommen, sind
halt, also insbesondere diese letzte, so
-
jede achte deutsche Firma oder der
Gesamtschaden von Cybervorfällen in
-
Deutschland sind, keine Ahnung, irgendeine
zweistellige Millardenzahl. Dann muss man
-
sich ja schon immer fragen: Wie rechnen
die denn eigentlich?
-
R: Und haben Sie die Makros eingeschaltet
beim Rechnen oder nicht. Da ist es dann
-
eher spannender, zu gucken: Was steht da
sonst noch drin? Und spannend war eben
-
dieses, dass die Rufe in der Industrie
wohl größer werden, dass dann mal jemand,
-
nämlich der Staat, regulierend eingreift.
Und wir haben uns überlegt, das ist
-
vielleicht dann auch einfach die
Verzweiflung der Sicherheitsbeauftragten
-
in den Firmen, die einfach merken, sie
kriegen das Geld nicht vom Vorstand oder
-
von wem auch immer und schauen so neidisch
in branchen, die reguliert sind, weil dort
-
mehr verbaut werden darf, muss, kann und
hoffen dann auf mehr Regulation. Wir
-
werden sehen. Gut, die Jahresrückschau, da
müssen wir jetzt ein bisschen
-
durchstressen glaube ich.
F: Ein bisschen.
-
R: Kammergericht Berlin und vieles mehr.
Die mussten also krass die Faxe
-
entstauben.
F: Ich glaube, die mussten die nicht
-
entstauben. Die sind da super gewartet,
also ich meine, wenn du so die Justiz
-
kennst, wenn da ein Ding wirklich gut
gewartet und entstaubt ist, dann ist es
-
das Faxgerät.
R: Aber haben die dann die Leitungen
-
verzehnfacht oder einfach Faxe aus dem
Keller geholt oder was machen die dann da?
-
F: Ich glaube, die haben dann einfach
nicht einen Stapel Papier daneben, sondern
-
gleich eine Palette Papier daneben. Und
dann so einen HiWi daneben gestellt, der
-
mal Papier nachschiebt.
R: Irgendwas, sowas, ja.
-
F: Es gibt ja so einen blöden Spruch von
den Anwälten dass erst das elektronische
-
Übermitteln von Dokumenten es möglich
gemacht hat, dass diese Schriftsätze so
-
eskalieren in ihrem Umfang, weil vorher
gab es immer das Problem, dass man die
-
rechtzeitig fristgerecht durchkriegen
musste und dann gab es natürliche Limits,
-
wie viele 100 Seiten man so in einer
halben Stunde durch kriegt.
-
R: Frei nach dem motto "Wenn ich mich kurz
fasse, kann ich später abgeben." Genau.
-
F: Dieses E-Voting geht halt nicht so
richtig weg. Wir haben halt in der Schweiz
-
den Versuch gehabt, der dann kläglich
gescheitert ist, auch dank der aktiven
-
Arbeit der Schweizer CCC-Mitglieder.
R: Applaus!
-
Applaus
F: Und dieselbe Firma, die spanische Firma
-
Scytl, das sind halt so Zombies, also die
gehen halt nicht weg. Die machen halt
-
dieses webserverbasierte E-Voting und
haben dann auch bei der SPD die
-
Mitgliederbefragung gemacht, wo es halt
auch von unserer Seite aus natürlich
-
intensive Kritik daran gab. Und die wurde
von der SPD immer so abgebügelt: "Ja, es
-
ist ja keine richtige Wahl, es ist ja nur
eine Befragung der Mitglieder, die der
-
Parteitag dann nochmal umsetzt" oder so
ähnlich. Das wird halt auch nicht
-
weggehen, also die werden dann weiter
durch die gegend zombien und da muss man
-
ein gutes Auge drauf haben, weil so
langsam stellt sich denn auch eine der
-
weiteren Vorhersagen raus, die stimmte.
Nämlich, wenn man digitale Wahlen hat oder
-
elektronische Wahlen hat, ist der
Nachweis, dass nicht gefälscht wurde,
-
quasi nicht möglich. Und genau das haben
wir gerade in Bolivien gesehen. In
-
Bolivien...
R: Ecuador?
-
F: Bolivien.
R: Okay.
-
F: ...ist der Präsident gestürzt, weil die
eine Wahl durchgeführt haben, unter
-
Anderem mit digitalen Systemen und dann
hat irgendjemand Wahlfälschung gesagt. Und
-
dann konnte niemand sagen: "Nee, da war
keine Wahlfälschung." Ging halt einfach
-
nicht. So, es gab dann so einen Audit.
Dieses Audit hat festgestellt, dieses
-
System ist so kaputt wie alle anderen
Digitalwahlsysteme auch und daraus wurde
-
dann so ein Narrativ von: "Ja, wir wissen
jetzt, dass da gefälscht wurde. D.h.
-
digitale Wahlen einsetzen bedeutet, in dem
Augenblick, wo irgend jemand hinterher
-
sagt: "Wahlfälschung", hat man eigentlich
schon verloren.
-
R: Genau. Ja und dann diese faszinierende
Thematik mit den mit den Ring Kameras und
-
natürlich einmal das Thema der
Passwortqualitäten und Software
-
Vulnerabilities und ähnlichen Geschichten
aber noch viel spannender. Was in den USA
-
passiert, dass es da so eine unheilige
Allianz gibt zwischen den lokalen
-
Polizeidienststellen und dem Hersteller,
wenn ich das richtig verstanden habe. Und
-
dann, man sozusagen dazu gebracht wird,
der Polizei Zugriff auf die Kameras zu
-
geben.
F: Wobei man da auch sagen muss, was da
-
absehbar ist, ist dass es zu so einem
sozialen Druck wird. Also in den USA gibt
-
es ja diese sogenannten neighbourhood
associations. D.h. in diesen Vorstädten,
-
in den etwas situierten, gibt es quasi
Vorschriften darüber, wie man sein Haus,
-
seinen Garten und so weiter zu gestalten
hat, damit der Wert der umliegenden
-
Grundstücke nicht sinkt. Also man darf
sein Grundstück nicht irgendwie anders
-
machen oder so ein bisschen den Rasen
länger wachsen lassen, weil dann, damit
-
beeinflusst man den Wert der
nebenliegenden Häuser und das geht halt
-
nicht. Und da ist halt vollkommen
absehbar, dass es relativ bald soweit sein
-
wird, dass diese neighbourhood
associations sagen: "Okay übrigens, wir
-
sind eine ring neighborhood. Wir haben
alle irgendwie diese Kameras an der Tür
-
und die gehen dann auf unser örtliches
Polizei Department und dann kann man sich
-
die black mirror Szenarien, die daraus
folgen, natürlich gut ausmalen. So von, da
-
rennt jemand weg und die Kameras in der
neighbourhood gucken halt, ob das Gesicht
-
von dem irgendwo gesehen wird und so
weiter und so fort. D.h. also diese
-
Kameras, die direkt in die Cloud streamen,
sind ein Phänomen, was wir echte im Auge
-
behalten müssen. Wir haben immer davor
gewarnt, schon lange, dass es passieren
-
wird. Jetzt passiert es tatsächlich. Wir
haben zum Beispiel im asiatischen Raum,
-
gibt es Unternehmen, die machen das so,
die verkaufen dir eine Kamera. Die Kamera
-
streamt in die Cloud. Die schneidet aus
allen Videobildern alles raus, was wie ein
-
Gesicht aussieht, schickt es in die Cloud,
wo die Gesichtserkennung läuft und wenn
-
die dann irgendjemanden erkennen und dann
sagen: "Okay, der ist schon mal als
-
Ladendieb verdächtigt worden", oder so.
Kriegt der Shopbesitzer auf sein Telefon
-
eine Message, da steht hier: "Guten Tag,
diese Personen die wir gerade in ihrem
-
Video Stream gesehen haben, ist woanders
schon mal als Ladendieb verdächtigt
-
worden. Behalten sie den mal im Auge."
Oder was auch immer. Und als Service. Also
-
gegen Geld. Und natürlich hat der Staat
dann wiederum auch Zugriff auf diese Daten
-
und kann noch selber Daten in die
Gesichtserkennung reinfeeden. Dass die nur
-
80% korrekt ist, ist vollkommen egal,
solange das System halt so aussieht, als
-
wenn es einen Mehrwert bietet.
So und diese Form von Integration, von
-
staatlicher Überwachung und privater
Überwachung mit den Konzernen, die die
-
Technologie bauen, die sich zu so einem
Konglomerat zusammenfügen, die werden wir
-
immer mehr sehen. Da müssen wir uns auch
daran gewöhnen, mental, dass dieses
-
Staates versus Industrie Denken einfach
nicht mehr funktioniert. Es wird zu einem
-
Konglomerat werden.
R: Genau. Da wird es uns vielleicht nicht
-
retten, wenn die Sicherheit so schlecht
ist, dass man dafür sorgen kann, dass in
-
jedem zweiten Bild Donald Duck auftaucht.
Gucken wir mal. Datenreichtum! Ja, jede
-
Menge Datenreichtum in diesem Jahr, ist eh
klar. Bemerkenswert vielleicht zwei Dinge.
-
Nämlich einmal, dass sie 30TB Daten bei
den Top 3 Antivirus Herstellern
-
rausgetragen haben, was ja schon mal
wirklich anständig ist.
-
Applaus
F: Ob die ihre eigenen Produkte nicht
-
verwendet haben?
R: Vielleicht weil die Lizenz abgelaufen
-
ist.
Lachen
-
F: Ja, das könnte sein.
R: Und das andere, was ich einigermaßen
-
irre fand, war, dass da ein paar
Sicherheitsforscher einen Datentopf
-
gefunden haben, der nicht ordentlich
gesichert war. Da waren also Daten drin
-
von 80 Millionen US-Haushalten. So richtig
anständig, mit Geburtsdatum und Adresse
-
und GPS-Daten und Einkommen und so Zeug.
Und das lag wohl in einer Microsoft Cloud
-
Geschichte herum und sie konnten anhand
der Daten nicht feststellen, wem sie
-
gehören, ja? Es war einfach so: "Ist
irgendwie Daten halt, ja? Große Datei. Wir
-
haben das Format auch auf ihrer Webseite
veröffentlicht und so mit Schwärzungen.
-
Und dann aufgerufen, ob ihnen nicht jemand
helfen kann, das zu finden. Und das
-
Einzige, was passiert ist, ist dass
Microsoft hat dann schnell den Server
-
abgeschaltet und wohl auch demjenigen
Bescheid gesagt, dem sie für diesen Server
-
die Rechnung schicken. Aber natürlich
nicht gesagt, wer es war. So, das heißt,
-
die Frage ist noch offen. Und das wird
häufiger passieren, ja? Also davon können
-
wir mal ausgehen, dass das häufiger
passiert, dass irgendwie Daten auftauchen
-
und dann alle sagen: "Boah pff. Das könnte
einer Bank gehören, könnte nicht. Könnte
-
einem Steuerberatungsunternehmen gehören,
könnte nicht." Ja. Also vielleicht wird es
-
auch neuer Klassiker, ja? Dass so, ich
meine, wie kommt so etwas zustande? Da
-
braucht irgendwie jemand noch ein bisschen
Backup Space und die IT hat gesagt, das
-
neue NAS wird erst fertig in vier wochen
und dann sagen die: "Ja, aber unsere
-
Deadline ist nächste Woche. Was machen
wir? Wir klicken uns irgendwo 'nen Bucket,
-
dann laden wir das da hin. Crypto brauchen
wir nicht, weil machen wir ja nur zwei
-
Tage und Security brauchen wir auch nicht,
weil dann dauert es ja länger und wir
-
löschen das ja dann ganz bestimmt schnell"
und Freitag Abend sagt dann auch noch
-
einer: "Hast du die Daten schon gelöscht?"
- "Nee, mache ich gleich.". Dann kippt ihm
-
der Becher auf die Tastatur, dann ist er
mit etwas Anderem beschäftigt, dann macht
-
er Urlaub und ist weg. Und die Daten
bleiben da liegen. So.
-
Applaus
Und je nachdem, was das dann für eine
-
Kreditkarte ist, merkt es irgendwann
jemand oder auch nicht. Und so wird noch
-
so viel weg kommen und so oft wird man
nicht wissen, wer es war.
-
F: Eines der Dinge, die dieses Jahr wieder
auch ihre zombiehafte Charakteristik
-
offenbart haben, ist die Diskussion
Hintertüren in Verschlüsselung. Der
-
momentane Spin, der passiert, läuft unter
dem Stichwort verantwortungsvolle
-
Verschlüsselung oder auch responsible
encryption. Und die geht so, dass... die
-
Behörden sagen so "Naja, gut, okay, wir
wollen jetzt nicht, dass die
-
Verschlüsselung schwächer wird, weil die
Chinesen und die Russen, aber wir möchten
-
gerne, dass Firmen, die Verschlüsselung
verwenden, also zum Beispiel die großen
-
Techkonzerne, die so bauen, dass man im
Zweifel noch einen zusätzlichen Schlüssel
-
hinzufügen kann, der dann für die
Strafverfolger oder für die Geheimdienste
-
ist und der individuell jeweils da
zugefügt wird, wenn die Notwendigkeit
-
besteht." Und am Besten gar nichts
irgendwie extra speziell bauen sondern
-
einfach sagen "Okay, wenn du einen Google
Account hast, der sowieso verschlüsselt
-
ist, dann tu' noch einen weiteren
Schlüssel dazu" und dann kriegt die
-
Behörde einen Google Account, wo die daten
rein gespiegelt werden. So sachen also.
-
Diese Diskussion wird in den USA ziemlich
radikal geführt von Seiten der
-
Staatsvertreter da, die also dann so
richtig den Vertretern von den Techfirmen
-
die Pistole auf die Brust setzen und sagen
"Ihr kriegt doch sonst alles hin. Hier
-
müsst euch jetzt was ausdenken. Macht mal,
dass es so ist. Wir wollen es ganz
-
unbedingt. Nein, wir wollen keine Anderen,
wollen nichts hören, dass es eigentlich
-
schwierig ist oder halt irgendwie
Sicherheitsprobleme verursacht. Löst das
-
Problem."
R: Genau und zwar mit Zeitansagen. Also es
-
gabe eine Anhörung im Rechtsausschuss vom
US-Senat. Es wurdne gegrillt die Firmen
-
Apple und Facebook und ich weiß nicht, ob
noch jemand anders da war. Und die Ansage
-
war relativ klar. Also was heißt relativ
klar, die war so richtig glasklar. "Wenn
-
ihr das bis heute nächstes Jahr, also same
time next year, nicht euch was überlegt
-
habt, dann regeln wir euch. Also wir sind
ja dann wieder da, same time next year und
-
dann sehen wir ja mal, was dabei
rausgekommen ist."
-
F: Also die Diskussion läuft in
Deutschland auch. Das ist ein
-
international koordinierter Putsch
zwischen den Strafverfolgern und
-
Geheimdiensten. In Deutschland wird
versucht, die umsetzung unter Anderem über
-
das Telemediengesetz zu machen. Das heißt
also, wie jeweils die nationalstaatliche
-
Ausprägung aussieht, wie die Firmen
gezwungen werden sollen, da
-
Hintertüroptionen einzubauen, ist halt
verschieden. Also zum beispiel, keine
-
Ahnung, wenn man einen verschlüsselten
Chat hat, dann soll halt vorgesehen
-
werden, dass ein zusätzlicher Teilnehmer
zu dieser Kommunikation verdeckt
-
hinzugefügt wird und dessen Schlüssel mit
in die Kommunikation kommt, so dass das
-
dann eine Kopie des Chatverlauf bei diesem
Teilnehmer, der dann halt Geheimdienst
-
oder Strafverfolgung das gibt. Und die
Problemlage, die sich da stellt, ist
-
natürlich, dass es über kurz oder lang
dazu führen wird, dass verschlüsselte
-
Kommunikation von kommerziellen
Unternehmen, die diesen rechtlichen
-
Regularien unterliegen, nicht mehr als
wirklich Ende-zu-Ende-sicher angesehen
-
werden kann. Also wenn man sich diesen
Regularien unterwirft, weil man zum
-
Beispiel Apple oder Google oder was auch
immer ist, und unter diese Grenze von
-
einer Million User, die da diskutiert
wird, also darüber fällt, dann ist es
-
diesen Unternehmen nicht mehr rechtlich
möglich, vertrauenswürdige Kommunikation
-
zu bauen. Das heißt also, das Einzige, was
dann noch geht, ist freie Software
-
benutzen, eigene Dienste benutzen, eigene
Systeme benutzen oder halt im Zweifel die
-
von Unternehmen, die noch so klein sind,
dass sie halt unter die Schwelle fallen.
-
Das heißt, dieser Zustand, den wir
momentan haben, dass wir ubiquitäre Crypto
-
überall drin haben, der ist dann zwar
besser geworden dank Snowden, aber die
-
geben sich halt nicht damit zufrieden auf
der Startseite. Die wollen die
-
Kommunikation mitlesen können und ihr
momentaner Pusch ist gerade, diese
-
Hintertürgeschichte als
verantwortungsvolle Verschlüsselung...
-
R: Ganz schnell noch das Bemerkenswerte.
Ich glaube, wir müssen furchtbar auf die
-
Tube drücken eigentlich. Man kann doch
mehr lernen auf eine Art aus den Reports
-
von den Breaches, die es jetzt von einigen
gegeben hat, als gefühlt in den Vorjahren.
-
Von daher, wenn euch das interessiert,
dann googlet das immer mal mit den
-
entsprechenden Namen, Equifax Data Breach
Report und solche Sachen. Das ist schon
-
zum Teil sehr spannend, weil sie auch
Zeitlinien machen. Andere Firmen haben ja
-
gemerkt, dass es gut ist fürs Marketing
und fürs Mitleid bei den Kunden und
-
Zulieferern, wenn sie offen mit der
Situation umgehen und erzählen ein
-
bisschen, wie sie sich dann wieder
aufgestellt haben, nachdem das Cyber Cyber
-
einmal durchs Netzwerk gefegt ist und so.
Das kann schon sehr spannend sein. Es gab
-
diese super krasse iOS-Sicherheitslücke,
also eigentlich nicht iOS oder?
-
F: Das ist der Bootloader.
R: Der Bootloader, checkm8te, den Apple
-
wohl nicht patchen wird können und der
erst gefixt ist ab irgendwie iPhones 11
-
oder sowas. Und das ist dann natürlich
schon ziemlich bitter. Aber auch das wird
-
nicht das letzte Mal sein, dass so was
passiert. Das hält alles immer nur eine
-
gewisse Weile. Die nächste Diskussion, die
wir am Start hatten, zum Teil auch sehr,
-
keine Ahnung, schon fast emotional
geführt, war aber dieses Thema DNS over
-
HTTPS. Aus meiner Sicht ist es ein
bisschen wie dieses Thema TLS Forward
-
Secrecy. Crypto wird besser oder
überhaupt, die Kommunikation, oder so, von
-
Daten wird besser. Sachen werden
verschlüsselt, dann gibt es erst mal ganz
-
viele, die sagen "Ach doof. Dann muss ich
ja irgendwas neues kaufen, um mitlauschen
-
zu können. Und ich brauche das doch für
die Security." Und dann gibt es natürlich
-
die, die das doof finden, weil sie das
brauchen, weil sie die Daten minen und
-
verkaufen. Vielleicht für Werbung und
andere Sachen, das ist gerade bei DNS bei
-
den Internetprovidern in den usa wohl sehr
weit verbreitet. In Deutschland darf man
-
das nicht. Also die Telkos dürfen es
nicht. Sagen wir es so. Und, ja. Aber
-
natürlich ist es für Firmen ist es mehr
nur ein Ärgernis, ja? Die können sich
-
darauf einrichten und dann Dinge regeln
über Policies, Softwareverteilung, GPOs
-
und anderes. Die, die schlecht dran sind,
sind die Datenhändler. Und das ist
-
sicherlich super. Und die, die schlecht
dran sind, erst mal, sind die Regierungen,
-
die mit lauschen wollen. Und das führt
dann eben zu mehr Druck bei der
-
Diskussion, die wir eben gerade hatten.
Ja? Ja. Gut. Eines wollte ich ganz kurz
-
ein geworfen haben, der erste Rückruf von
der FDA von einem Stück Medizintechnik
-
wegen Sicherheitsvulnerabilites war 2017.
Also vor zweieinhalb Jahren. Das irre ist
-
immer, wie lange das dauert, ja? Diese
Funkinsulinpumpe um die es hier gerade
-
geht, wo es einen freiwilligen Rückruf
gab, da mussten die Sicherheitsforscher
-
2,5 Jahre dran bleiben, an dem Thema,
bevor dann was passiert ist, ja? Dann
-
immer nachlegen, Wahnsinn. Und das ist ja
nur die Spitze des Eisbergs, man weiß
-
überhaupt nicht, was da nicht noch
eigentlich alles zurückgerufen werden
-
sollte, müsste. Ansonsten beobachten wir
stark das Thema Automation und
-
Arbeitsteilung und Spezialisierung. Bei
den ganzen Malware Produzenten. Also die
-
Industrie schaukelt sich fröhlich hoch und
Frank hatte ja gerade gesagt: "Die
-
Schwächsten werden dann so umgefahren",
wobei, wie gesagt, Mærsk ja eigentlich
-
nicht zu den Schwächsten gehört. Aber es
auch sehr erwischt hat. Und dann gehen die
-
Firmen natürlich los und schauen sich das
an und sagen: "So, was brauchen wir jetzt?
-
Okay, wir brauchen bessere Backups. Okay,
wir müssen schneller Systeme
-
wiederherstellen können. Okay, wir
brauchen, was weiß ich, ein Active
-
Directory im Schrank oder so, das wir dann
schnell raus schmeißen können und so
-
weiter. Und dann kann man sich vielleicht
fast hinstellen als Unternehmen und wenn
-
man dann so einem kleinen Ransomware
Befall hat oder einen mittleren, einfach
-
sagen: "Ich zahle nichts." Und das kriegt
die Branche aber auch mit und das führt
-
jetzt zu einer Steigerung von Ransom zu
Blackmail.
-
F: Was passiert ist, bevor sie die Platten
verschlüsseln, tragen sie erst mal die
-
Daten raus und sagen dann halt nicht nur:
"Guten Tag", irgendwie, "wenn sie ihre
-
Daten wieder haben wollen, dann hätten wir
gerne ein paar Bitcoin", oder so. Sondern
-
wenn man sagt: "Ja, ach ne, ich hab
Backups, alles gut." Dann sagen sie: "Ja,
-
wir haben auch Backups und vielleicht
interessiert ja auch noch andere Leute,
-
was in diesen Backups steht. Und was sie
dann da so machen, das ist so ein bisschen
-
so eine Tröpfchen Folter. Also die lassen
so nach und nach immer mehr Details raus,
-
bis dann das entsprechende Unternehmen
halt der Meinung ist, halt irgendwie man
-
könnte doch vielleicht lieber zahlen. Das
wäre doch irgendwie besser. Und das ist
-
halt, ja ein durchaus traditionelles
Geschäftsmodell, was auch schon mehrfach
-
Anwendung gefunden hat aber was jetzt
wieder kommt als Bestandteil dieser ganzen
-
Ransom Geschichten.
F: Weiter?
-
R: Ja. Das überspringen wir mal schnell.
Metadaten klauen und genau, was
-
bemerkenswert ist, dass man inzwischen
Produkte findet, die mehr als eine
-
Hintertür haben, weil bei der Herstellung
des Produkts mehr als einer beteiligt war,
-
der eine Hintertür eingebaut hat.
F: Also sozusagen der Bestandteil der
-
Wertschöpfungskette, die mehrstufig ist.
Sowas wie Chipset Hersteller, Firmware
-
Hersteller, Geräte Hersteller. Hinterlässt
halt jeder, sozusagen, seine Duftmarke in
-
Form eines hardcoded Passworts. Wer da mal
Spaß haben will, dem empfehle ich mal so
-
auf irgendwie einer beliebigen Online
Handelsplattform mal also ein paar
-
chinesische IP Kameras zu kaufen. So in
der Kategorie, so unter 50 oder um die 50
-
Euro und sich dann da mal hinzusetzen. Ist
ein sehr schönes reverse engineering
-
Anfangstarget. Da findet man in der Regel
halt so mehrere hardcoded passwords und
-
irgendwie nach Hause telefonieren und
seltsame dinge die NTP-Paketen drin stehen
-
und so. Sehr unterhaltsam, das ist
wirklich viel Unterhaltung für wenig Geld.
-
Vereinzeltes Lachen
Und man lernt auch eine Menge dabei, unter
-
Anderem genau dieses
Wertschöpfungskettending. Also sowieso,
-
solltet ihr tatsächlich mal machen, also
vielleicht bei euch im Hackerspace. Pickt
-
euch mal irgendwas aus der
Spielzeuggeldkategorie und dann nehmt es
-
auseinander, ist immer highly
entertaining.
-
R: Kommen wir zu der Vorhersage. Die
Wettervorhersagen. Ein kurzer Hinweis, wir
-
hatten das letztes Jahr schon gesagt,
dass, alles, was euch verraten kann, wird
-
euch verraten. Alles kriegt jetzt einen
Chip, alles kriegt Speicher, alles
-
zeichnet alles auf, alles hat immer mehr
Sensorik und da wird es dann auch Hardware
-
geben, die aufzeichnet, bei welcher
Temperatur ihr den Akku geladen habt oder
-
eben nicht geladen habt und solche Dinge
und ob es warm war oder zu kalt war und
-
das wird bestimmt einer versuchen, gegen
euch zu verwenden, indem er sagt "Nein,
-
keine Gewährleistung weil, war zu warm,
war zu kalt."
-
F: "Dem Akku ist zu kalt geworden." ist so
der Klassiker bei E-Bikes.
-
R: "Luftfeuchtigkeit war zu hoch."
F: ...und es stand halt draußen bei minus
-
zehn und dann danach will der Akku nicht
mehr. Da sagt dann der Händler: "Ich kann
-
Ihnen da ein Angebot für einen neuen Akku
machen aber Garantie ist das leider nicht
-
mehr." und das ist natürlich blöd. Aber
das sind ja nur Daten. Da kann man ja
-
möglicherweise was dran tun. Dafür braucht
man halt den Logfile-Friseur.
-
Vereinzeltes Lachen
Was wir beobachten, was sich 2020
-
verstärken wird, ist die Aufteilung des
Marktes für insbesondere Geräte nach so
-
Datenschutz-Geschäftsmodellen. Es gibt
dann so das untere Ende, das sind dann
-
halt so insbesondere so super billige
asiatische Endgeräte, die haben
-
Datenschutz noch nie so gehört, sondern
die refinanzieren die Preise, die
-
niedrigen Preise für die Geräte, durch
vorinstallierte Apps. Das heißt, das
-
Modell ist: Man hat so ein Telefon, dieses
Telefon kostet überraschend wenig Geld.
-
Auf diesem Telefon sind irgendwie 30 Apps
vorinstalliert. Einer von diesen
-
Appbetreibern hat irgendwas zwischen 20
cent und fünf Dollar bezahlt für diese
-
Vorinstallation auf diesem Telefon. Die
Apps sind halt in der Regel Systemapps,
-
das heißt, sie haben Zugriff auf alle
Sensoren, alle Daten und monetarisieren
-
dann halt die Daten direkt aus dem
Telefon. Das heißt, da ist dann keine
-
Plattform mehr dazwischen oder so, sondern
das machen die Apps dann direkt oder bauen
-
ihre eigene Plattform damit. Das ist so
das untere Ende. Dann gibt es halt so das
-
obere Ende, die sagen so: "Okay, so à la
Apple, wir wollen deine Daten nicht, weil
-
wir haben dein Geld schon. Die Hardware
war so teuer, dass die 100 Dollar, die wir
-
noch aus den Daten rauswringen können, das
lohnt dann halt nicht." Und dann gibt's
-
halt noch so alles dazwischen, diese
Graustufen, wie Google bei den
-
Pixelphones. Die sagen "Schön, wir haben
dein Geld, für die teuren Telefone. Jetzt
-
wollen wir auch noch ein bisschen was aus
deinen Daten rauswringen."
-
R: "Nein, wir wollen auch noch alle deine
Daten, aber mach dir keine Sorgen. We will
-
do no evil."
F: Genau. "Die sind nur für uns." Und
-
diese Ausdifferenzierung nach
Datenschutzgeschäftsmodellen werden wir
-
nächstes Jahr auch noch verstärkt sehen,
da lohnt's auch, genauer hinzugucken, um
-
so ein bisschen zu verstehen, was die
datenschutzökonomischen Grundlagen der
-
einzelnen Hersteller sind.
R: Und die die traurige Wahrheit ist aber
-
natürlich, dass, es wird da auch welche
geben, die werden behaupten sie hätten
-
Datenschutz und wären deswegen teurer und
haben gar nichts. Bei Heise gab es ein
-
paar Artikel über einen Hersteller von von
Kinder-Smartwatches und da fällt einem
-
nichts mehr zu ein, wenn man das liest,
wie die damit umgehen, was ihnen da
-
berichtet wird über ihre eigenen Produkte
und was sie dann alles nicht tun.
-
Wahnsinn. Die Cloud kriegt jetzt alle
Daten, frei nach dem Motto "Nur da sind
-
sie sicher." und wird damit natürlich dann
zum single point of alles mögliche,
-
inklusive der eben zitierten Blackmail.
F: Genau und da kann man dann, also nehmen
-
wir mal an, als Ransomgruppenbetreiber
findet man so eine Firma, die solche
-
Türschlösser betreibt, die an der Cloud
hängen. Und die haben so, keine ahnung,
-
500.000 Kunden oder sowas und man macht
die auf und dann kann man sagen "Also wir
-
könnten uns jetzt überlegen, ob bei allen
Kunden die Schlösser aufgehen..."
-
R: "Oder kaputt gehen."
F: "Oder zu bleiben oder kaputt gehen".
-
Und dann kann man so ein
ausdifferenziertes Preismodell machen.
-
R: Wir haben uns gefragt, ob im nächsten
Jahr der erste große Fall von von API
-
Obsoleszenz vorfallen wird. Das ging los,
weil ich in der Familie so Anfragen hatte
-
wie "Sag mal, ist Whatsapp nicht, hört das
nicht auf nächstes Jahr, wenn ich noch ein
-
iPhone 4 hab oder ein Android whatever?"
Und dann ist die Antwort immer "Ja, ist
-
doch egal." Aber das sehen ja viele Leute
nicht so. Und und da habe ich mich dann
-
gefragt "Okay, was ist denn jetzt
eigentlich die Realität?" Und die Realität
-
scheint zu sein, dass sie da halt
bestimmte Dinge dann nicht mehr
-
unterstützen wollen von bestimmten
Plattform und keiner will mehr 16 bit
-
machen und dieses und jenes. Und wird es
dann heißen, dass in dem Moment, wo die
-
irgendwas an ihrer API machen müssen aus
Sicherheitsgründen. dass dann plötzlich
-
irgendwie ein paar Millionen Endgeräte
nicht mehr ticken, weil es keine Updates
-
mehr für diese Geräte gibt auf die neue
API-Version. Und dann haben wir bisschen
-
drüber nachgedacht und gedacht "Nö,
wahrscheinlich nicht. Wahrscheinlich
-
werden sie sich das schlicht nicht trauen,
sondern irgendwie versuchen, das auf der
-
Serverseite so zu machen, dass sie die
alten Geräte noch an die alte API lassen
-
und die neuen Geräte an die neue API und
dann versuchen, die Dinge irgendwie
-
wegzufiltern und sonstwie irgendwas, weil
eigentlich hatten wir das ja schon bei
-
SMS, da gab es ja auch genug Probleme, die
dann im Netz gelöst wurden und eben nicht
-
durch Updates der der GSM-Telefone oder
Ähnliches. Also vielleicht wird da nix
-
passieren. Am Ende oder was heißt am Ende,
also es gibt jetzt bei den Datenbergen,
-
also bei den Daten, die weg kommen werden,
zwei Baustellen, die sich weiterhin
-
verstärken. Und das ist einmal die
offizielle Digitalisierung die stattfindet
-
und ich meine, wir haben vorhin über die
elektronische Gesundheitskarte gelacht
-
aber da gibt es ja auch andere Dinge, wie,
dass das besondere anwaltliche Postfach,
-
das dafür sorgt, dass Anwälte jetzt eben
noch mehr digital machen können und noch
-
weniger faxen und noch weniger per Post
schicken und ähnliche Dinge. Und dann ist
-
noch dazu gekommen das besondere
Notarpostfach und die Zitate, die da in
-
den Medien zu lesen waren, die ziehen
einem immer den Boden unter den Füßen weg
-
aus meiner Sicht. Also da hat dann mal ein
Journalist freundlich gefragt oder ich
-
glaube sogar jemand aus der Politik oder
so, ob man da ein IT-Security-Audit
-
gemacht hätte und dann wird geantwortet,
dass man dazu keine Veranlassung sieht.
-
F: Weil die Hersteller sind nämlich
vertrauenswürdig.
-
Einzelnes Klatschen
Wenn man es mal zusammenfassen will, die
-
Digitalisierungsstrategie von heute ist
der Datenreichtum von morgen. Und wer von
-
euch arbeitet an einer Institution oder
Behörde oder Unternehmen, das gerade ganz
-
viel damit zu tun hat, eine
Digitalisierungsstrategie zu entwickeln?
-
R: Ach doch ein Drittel.
F: Doch ganz schön viele. Also
-
Digitalisierungsstrategie scheint
tatsächlich so ein Ding zu sein.
-
R: Und wer von denen, die jetzt sich nicht
gemeldet hat, findet denn, dass sein
-
Unternehmen eine Digitalisierungsstrategie
haben sollte und
-
damit aber noch nicht mal angefangen hat?
10 Prozent. Wenn man da so einen
-
Wahnsinnsansatz hat, wie gerade gesagt,
ja, "Es gibt keine Veranlassung, da
-
irgendwie die Sicherheit zu prüfen", dann
ist klar, wie es kommen wird. Das ist die
-
eine Seite. Die andere Seite sind die
unsichtbaren Datenberge der
-
Schattendigitalisierung. Gruselts euch
schon? Damit ist eure Tante gemeint.
-
F: Alle Menschen, die Digitalgeräte
benutzen und keine Ahnung davon haben, was
-
sie damit tun und trotzdem eure Daten
dabei irgendwie verarbeiten, verteilen,
-
teilen, hinterlassen.
R: Es ging los mit der Digitalfotografie,
-
wo man Fotos macht, Fotos macht, Fotos
macht und hinterher nicht ausmistet
-
sondern das einfach irgendwie auf irgend
eine Platte schmeißt, die man noch
-
rumliegen hat. Die platte ist dann
irgendwann am lokalen Netz und irgendwann
-
synct sie sich durch irgendeinen kleinen
Fehler in die Cloud. Da bleibt's dann auch
-
liegen, wenn der Hersteller sein
Geschäftsmodell nicht ändert. Und dadurch,
-
dass Speicher immer billiger wird, das
findet ja nicht nur im Privaten statt, das
-
findet auch in jeder Firma statt, dass man
immer mehr Daten abgespeichert, ablegt und
-
sich dann hinterher nicht ums Aufräumen
kümmert weil es ja einfach nicht sichtbar
-
ist. Da werden noch unglaubliche Dinge
zusammenkommen.
-
F: Genau, wenn es dann einen kleinen
Staudammbruch am Datensee gibt. Data Lake,
-
schöne Sache. Überall in der Industrie
gibt es Data Lakes, also wo die halt
-
einfach mal alle Daten gesammelt haben,
ohne sie wegzuschmeißen und hofften
-
irgendwie, dass jetzt mit Machine Learning
man jetzt aus diesem Data Lake halt
-
irgendwie was extrahieren kann und stellen
dann aber fest, dass leider die Daten
-
darin nicht so gut brauchbar sind für
viele Zwecke. Aber die liegen trotzdem
-
weiter herum, weil halt, könnte ja
irgendwann mal was passieren, was man
-
damit machen kann.
R: Genau. Und das beliebte Format
-
Geschäftsfelder, die Geschäftsfelder, so
also dann gab es, dann man hat jetzt jeder
-
an Cyber und es haben mehr Firmen einen
Cyber als noch im letzten Jahr einen
-
Cyber. Und inzwischen hat die Industrie
verstanden, dass man dann natürlich helfen
-
kann und es gibt irgendwie incident
response und emergency dies und jenes und
-
Leute, die man anrufen kann, wenn man
einen Cyber hatte. Und dann helfen die
-
einem, das auszutreiben. Und da hängt ja
noch viel mehr dran. Da können auch, also
-
da muss man ja auch nicht ITler sein, um
da mitmachen zu können.
-
F: Also Cyber Notfallseelsorge zum
Beispiel für Leute, die vom Cyber
-
betroffen sind, ist auf jeden Fall ein
Geschäftsfeld, was boomt. Also wenn man
-
sich so ein bisschen anekdotisch umhört in
der Branche, dann sind da durchaus Leute,
-
die halt sich um die professionelle
Hirnwartung nach so Cybervorfällen kümmern
-
müssen.
R: Datenverlust-Bewältigungsstrategien.
-
F: Sowas.
R: Ja, digitale Trauer.
-
Lachen
Wie sieht das aus? Also inklusive
-
Restrukturierung hinterher. Ich meine, bei
Mærsk haben sie gesagt: "Na ja, da war
-
halt die IT dann weg und die E-Mails
gingen nicht mehr und dann sind wir halt
-
alle zu Whatsapp migriert.
Lachen
-
Und haben uns da dann organisiert, ja? Und
dann haben wir da Gruppen gemacht und in
-
den Gruppen haben wir dann versucht, das
Geschäft zu organisieren. Ja und hinterher
-
haben wir uns vor dem Einschalten von der
E-Mail überlegt: Das ist vielleicht unsere
-
neue Firmenstruktur." Die Whatsappgruppen,
ja? Sie haben nicht gesagt, ob alle, die
-
nicht in einer Whatsappgruppe waren, dann
hinterher entlassen wurden. Also da hängt
-
noch viel dahinter.
F: Was man da auch hat, ist natürlich das
-
Problem, wie vermittelt man so Cyber
Probleme. Also die meisten Menschen sind
-
davon überfordert. Für die sieht das
sowieso aus, wie Magie. Es gibt keine
-
wirkliche Möglichkeit mehr, das so richtig
zu erklären, im Detail, weil es zu komplex
-
geworden ist. Man kann nur noch so
irgendwie so komische verallgemeindernde
-
Analogien finden. Und dann kann man doch
eigentlich auch so richtig all in gehen
-
und sagen: "Okay, wenn die Technologie
schon aussieht wie Magie, dann kann man
-
sie auch erklären wie Magie und weil somit
Fantasy Magic so, kennen sich ja sehr
-
viele Leute aus und haben da so eine
Begrifflichkeit von so. Und wenn dann halt
-
sozusagen, so ein, keine Ahnung, man hat
sich dann halt irgendwie so eine
-
Ransomgang eigetreten, die irgendwie in
dem System persistent geworden ist und da
-
sich lateral durch bewegt hat. Dann heißt
das dann halt in Cyber Fantasy übertragen,
-
dass: "Dämonen haben die äußere Burgmauer
durchbrochen. Sie wohnen jetzt in unseren
-
Katakomben. Sie können überall hoch
brechen in unsere Räume und wir brauchen
-
jetzt Menschen, die diese Dämonen in die
Katakomben jagen gehen." Ja so, nur mal so
-
als Vorschlag und dafür braucht es
natürlich Profis, die solche Geschichten
-
erzählen können und sie so übertragen
können, dass man halt irgendwie sie dann
-
halt der Geschäftsführung erklären kann.
R: Genau.
-
Lachen
Applaus
-
Du musst jetzt, ihr müsst jetzt bei
Sonnenaufgang mehr Cyber Gänse schlachten,
-
ja? Aber nur bei Vollmond. Genau. Ja. Dan
Kaminsky sagt immer gerne: "Data wants to
-
lie to you and wants you to be wrong."
Daten wollen dich anlügen. Das haben viele
-
noch nicht begriffen, dass ihr data lack
sie eigentlich vor hat, sie in die Pfanne
-
zu hauen. Und das ist natürlich sehr
wichtig, dass man dann sich trainiert,
-
dadrin, die Verzerrungen, die in den
eigenen Daten drin sind, durch die
-
Sensoren, die man da benutzt hat, durch
die Daten, die man abgefragt hat, durch
-
die Daten. Also durch die Datenquellen,
die man hat, zu erkennen, ja? Und das ist
-
sozusagen das komplette Gegenteil zu dem,
was heute eher passiert, dass man Leuten
-
sagt: "In diesen Daten sind tolle Dinge
drin" und die schauen dann auf das
-
Rauschen so lange bis sie irgendein Muster
sehen.
-
Lachen
F: Also wir haben jetzt so das Phänomen,
-
dass die Migration zu IPv6 ja so ein
bisschen länger gedauert hat, als alle
-
gedacht haben. Und jetzt aber so ein
bisschen, so plötzlich stattfindet, weil
-
die Geräte können jetzt z.B. alle
plötzlich v6 und machen halt auch so v6
-
und dann guckt man so in sein Netzwerk und
sieht da lauter v6 Pakete und denkt sich:
-
"Ich habe aber gar kein v6 und meine
Firewall kann noch kein v6 und mein
-
Monitoring hat von v6 auch noch nie gehört
und mein Router kann aber irgendwie schon
-
v6. Genau und deswegen denken wir, so erst
einmal gibt es dann halt so das Berufsbild
-
des IPv6 Exorzisten, der halt irgendwie
versucht IPv6 aus den Netzwerken raus zu
-
exzorsieren. Und der muss dann später
umschulen, wenn v6 sich dann durchgesetzt
-
hat auf IPv4 Exorzist
Lachen
-
um halt, ja ...
Applaus
-
R: Crypto ist ja so der Sache. Also, haben
jetzt alle verstanden, dass Crypto wichtig
-
ist? Dass man Crypto machen muss? Dass es
auch ohne Crypto nicht geht? Wie gesagt,
-
es verlangt keiner mehrs dass es kein
Crypto gibt. Es wollen nur alle noch eine
-
Hintertür und dann auch einen extra
Schlüssel und ähnliches. Und damit stellt
-
sich dann die Frage aber, ob es auch die
ganze Zeit an ist?
-
F: Oder ob es nur da ist aber nicht an?
Oder nicht konfiguriert oder mit dem
-
falschen Parametern? Oder nur manchmal an
oder nur auf bestimmten verbindungen an
-
oder was auch immer, ja?
R: Oder nach dem Software-Update plötzlich
-
wieder weg, ja? Weil der Parameter
umgekippt ist oder so und da wird es
-
sicherlich genug Software geben, die dann
versucht rauszukriegen, ob das Skript doch
-
noch an ist und wenn ja für wie viele.
F: So und wir finden, wir müssen wir jetzt
-
mal was für die IT Security tun.
Applaus
-
Es hieß ja immer so lange, man solle
irgendwie aufpassen und man müsse
-
irgendwie als gebildeter Bürger irgendwie.
Also das Problem sitze zwischen Tastatur
-
und irgendwie Schreibtischstuhl. Das
Problem ist aber eigentlich, die Software
-
ist halt einfach scheiße. So und natürlich
sollte jede Software, die ich betreibe,
-
heute in der Lage sein, damit
klarzukommen, dass da irgendwelche Daten
-
in einer E-Mail drin sind und dabei mir
nicht um die Ohren fliegen, nicht mein
-
computer kaputt machen, nicht dafür
sorgen, dass da Software installiert wird.
-
D.h. diese Predigt von wegen: "Klicken sie
mal nicht auf Anhänge und seien sie ganz
-
vorsichtig und wenn sie doch tun, dann
sind sie selber Schuld."
-
R: Ja das ist alles Victim Blaming, das
geht gar nicht.
-
F: Genau, Victim Blaming, damit müssen wir
aufhören. Wahrscheinlich sollten auch mit
-
den Gewerkschaften reden und denen
klarmachen: "So pass auf, immer auf jeden
-
Anhang klicken, führt zu mehr
Tagesfreizeit.
-
Lachen
Applaus
-
So, also das ist jetzt so ein so klarer
Fall von: "Ist jetzt, ... wir können so
-
nicht mehr weitermachen. Wir müssen jetzt
einfach mal die Situation ein bisschen
-
eskalieren. Deswegen immer auf alle
Anhänge klicken, zumindest in der Firma."
-
Lachen
Publikum: Makros!
-
F: Ne, Makros, ich glaube Makros lassen
wir mal außen vor. Makros ausschalten ist
-
trotzdem eine gute Idee, anyway.
R: Ja, das ist unser Aufruf an euch und
-
dann wünschen wir euch einen guten Rutsch
ins Jahr 1984 wir sehen uns wieder
-
nächstes Jahr.
-
Applaus
-
36C3 Abspannmusik
-
Untertitel erstellt von c3subtitles.de
im Jahr 2020. Mach mit und hilf uns!
