Internet Security Digital Days 2020
Vom 15.09.2020 bis zum 18.09.2020 haben die “Internet Security Digital Days 2020” in virtueller Form stattgefunden.
Der “eco – Verband der Internetwirtschaft e.V.” hat in Zusammenarbeit mit “Heise Medien GmbH & Co. KG” die Vorträge in vier Themenbereiche zusammengefasst. Es galt vieles zu entdecken, unter anderem ungeöffneten “offline” Spam, ein paar Tipps zu verbreiten und natürlich für Denkanstösse zu sorgen.
Zuerst vielen Dank an Herrn Thomas Jarzombek, vom Bundesministerium für Wirtschaft und Energie, der den Punkt der offenen Firmware und offenen Hardware “mitgenommen hat” (Videostream “IT-Sicherheit als zentraler Wirtschaftsfaktor” 59:10). Vielleicht kann es darüber gelingen, IoT-Geräte ohne aktiven Support des Herstellers (z.B. nicht mehr existent), durch eine “Open Source Community” weiter zu pflegen. Letztendlich trägt dies auch zum Umweltschutz bei, wenn Hardware aufgrund von Software-Schwachstellen nicht ausschließlich verschrottet werden muss. Das eine einfache Aktualisierung von Firmware bereits aktuell möglich ist, zeigt der Linux Vendor Firmware Service (LVFS).
Zurück zur eigentlichen Veranstaltung.
Der erste Tag stand unter der Überschrift “Cybercrime: Den Hackern auf der Spur”.
Es sind unter anderem Vorträge vom LKA NRW und von einem kommunalem CERT gehalten worden. Interessant hierbei ist, dass professionelle Unterstützung zum Lösen von IT-Sicherheitsproblemen einfach nicht angenommen wurde, obwohl im Vortrag “Sicherheitsvorfälle die nie passiert sind – Aus dem Alltag eines kommunalen CERTs” durchaus der Eindruck entstanden ist, dass hier mehr passieren muss und professionelle Hilfe durchaus vor Ort gebraucht wird. Hier ist der Wechsel hin zu einer offenen Fehlerkultur notwendig. Es kann nicht sein, dass nur wirtschaftlich agierende Unternehmen über IT-Sicherheitsvorfälle / Datenschutzvorfälle informieren. Dies muss auch für öffentliche Verwaltungen gelten, ein Deckmantel des Schweigens aus politischen Bestrebungen ist wenig hilfreich. Ebenso wenig hilfreich ist das “Abwälzen” der Verantwortung für IT-Sicherheit auf den lokalen Bürgermeister / die kommunale Verwaltung. Hierbei entsteht der Eindruck, dass es an einem einheitlichen Konzept auf höherer Ebene fehlt. Eine Umsetzung eines einheitlichen Konzepts aus der Sicht eines Informatikers, sollte keine großen Schwierigkeiten darstellen, insbesondere wenn hierbei auf Open Source Technologien gesetzt wird.
Der zweite Tag stand unter dem Motto “Human Factor: Die menschliche Firewall” und befasste sich mit dem Thema des Social Engineering.
Der wohl beste Ratschlag “Loose Lips save ships!”. Eine Aufforderung “Kaffeeklatsch” über z.B. auffällige E-Mails zu halten. Eine Phishing Kampagne kann darüber eventuell gestoppt werden, weil der “Flurfunk” in einen digitalen Firmenchat verlagert worden ist. Hilfreich zum Brechen des “educated guess” auf der Seite des Angreifers kann hierbei auch ein geänderter Workflow für die E-Mail Kommunikation über die “Healbox” (siehe auch unseren Artikel zum 29. Cyber-Sicherheits-Tag) sein. Manipulierte E-Mail-Anhänge können ihre Gefahr, aufgrund der geänderten Architektur des eingesetzten Betriebssystems, nicht ausspielen. Eine Erfolgsquote von 70 – 90 Prozent beim Erfüllen von simulierten Social Engineering-Angriffen zeigt deutlich, dass die technische Absicherung von IT-Systemen die “kleinere” Aufgabe darstellt. Wie Social Engineers vorgehen ist z.B. im Youtube Video This is how hackers hack you using simple social engineering veranschaulicht.
Der dritte Tag “Internet Everywhere – Security Everywhere?!” befasst sich mit Themen wie 5G und IoT.
Das modulare Konzept im Vortrag “Hochsicherheit im Zuge des Europäischen Cybersecurity Act: Common Criteria” ist spannend, wenn gleich auch kostenintensiv. Eine Zertifizierung kann hierbei schnell im höheren fünf- bis sechsstelligen Bereich liegen. Für Hersteller mit großen Stückzahlen kann sich die Zertifizierung jedoch durchaus lohnen. Wie die erfolgreiche Abwehr von über einer Milliarde “Schädlingen / Malware” gelingt, zeigte der Vortrag “Testen von IT-Sicherheit”. Die AV-TEST GmbH setzt hierfür unter anderem auf sogenannte “Honeypots” und verzeichnet auf diese ca. eine Million Angriffe pro Tag. Insgesamt kommen pro Monat ca. acht Millionen neue Schädlinge hinzu. Kurz gesagt, sind Honeypots abgeschottete und gut überwachte “Fallen” über die der “Fallensteller” die Möglichkeit bekommt den Angreifer zu beobachten. Aus diesen Beobachtungen können Erkenntnisse über die Vorgehensweise der Angreifer gewonnen werden. Diese Erkenntnisse fließen dann in die Abwehrstrategien mit ein und tragen somit zu einer Erhöhung des Sicherheitslevels bei.
Der vierte Tag “Best Practices: Aus Erfahrungen lernen” zeigte, dass auch moderne Technologien à la Kubernetes unter einer ISO 27001-Zertifizierung betrieben werden können.
Den Abschluss der ISDD 2020 bildete der Vortrag “Wie reproducible builds Software sicherer machen”. Was ist ein reproducible build von Software? Wenn zwei mal dieselben Quelldateien “gebaut” werden und als Ergebnis dieselbe Binärdatei erzeugt wird. Die Vorteile für reproduzierbare Software sind unter anderem eine Reduzierung der benötigten Rechenlast, weniger Bandbreite wenn vor Ort gebaut wird und das Offenlegen von Bugs beim Bauvorgang. Die Einsparung der Rechenlast ist sicherlich nicht unerheblich bei den erwähnten ca. elf- bis zwölftausend Paketen. Manchmal sind es jedoch “Kleinigkeiten” die einen build unreproducible machen. So spielt die Reihenfolge der eingebundenen Objekte beim Linken durchaus eine Rolle. Der Vortragende hat für Interessierte an dem Thema in seinem Github Repository theunreproduciblepackage Beispiele für nicht reproduzierbare Software zusammengetragen. Nicht reproduzierbare Software ist dabei unabhängig von der gewählten Sprache, wie z.B. Python, Rust, C. Wer die Präsentation selbst ansehen möchte, findet sie auf Github.
Fazit
Die ISDD 2020 waren informativ und boten eine Vielfalt an Themen aus dem Bereich der IT-Sicherheit. Um die größte “Sicherheitslücke” zu minimieren ist es jedoch notwendig frühzeitig in Bildung zu investieren. Die Ausbildung von IT-Sicherheitsexperten fängt am besten schon während der Grundschulzeit an. Hier besteht also noch viel Nachholbedarf…