#BundesHack – Warum es kommen musste, wie es gekommen ist – #CIOKuratorLive Gespräch mit dem Hacker und Sicherheitsexperten @JANOTTA_A

Wir vertiefen das Interview

Adrian Janotta hat eine Biografie, wie aus einem Film, so Robert Weber. Software-Entwickler. Freundin hat ihn verlassen, dann abgestürzt, Job verloren, dann Shops im Internet gehackt, erwischt worden (Update von RW: Wurde nicht beim Hacken erwischt – darauf legt er Wert. War eine Verkehrskontrolle – Alkohol – und dann haben die ein paar Festplatten im Kombi gefunden). Kam in den Knast, hat Uli Hoeneß im Gefängnis getroffen und hinter den schwedischen Gardinen BWL studiert. Direkt nach der Freilassung gründete Janotta eine Security-Firma und berät mittlerweile die Deutsche Bank und mittelständische Maschinenbauer. Naiv bei der IT-Sicherheit seien nicht nur die Unternehmen, sondern auch die Sicherheitsfirmen, warnt Janotta:

“Sie versprechen Sicherheit, die sie nicht einhalten können.”

Man kauft eine Firewall, um Netzwerke zu schützen. Dennoch wird man gehackt. “Das passiert leider ständig.” Dieses Szenario könne man Anti-Viren-Software-Hersteller übertragen. Computer seien trotz dieser Virenwächter voller Spionagesoftware. Es mehren sich die Stimmen, das diese Hersteller Daten von Unternehmen sammeln und sensible Daten speichern.

“IT-Sicherheit ist heute zu einem Machtinstrument von Staaten geworden, sie missbrauchen Sicherheitssysteme für den Cyberkrieg”, erklärt Janotta.

Janotta plädiert für den Einsatz von Open Source-Software.

“Auch die US-Behörden setzen das sein, wenn es um Cyber-Sicherheit geht.”

Selbst die NSA würde Open Source-Software empfehlen, die von Communities entwickelt werden, die auf Sicherheit achten.

“Beim aktuellen Bundes-Hack sagt man ja, dass das ein Hochsicherheitsnetz sei – also der Kommunikationsverbund Berlin-Bonn, worüber auch das BSI läuft.”

Problem: Hier werde mit Software von Microsoft gearbeitet. Die Schwachstellen in diesem System werden regelmäßig herausgefunden und im Darknet verkauft. Es gebe einen regen Handel mit den sogenannten Exploits, also den Schwachstellen, die man systematisch ausnutzen und missbrauchen kann. Selbst die Mafia könne das kaufen und den Bundestag oder die Bundesregierung angreifen.

Um das zu verhindern, muss man die IT-Sicherheit professionalisieren.

Am Dienstag, den 13. März werde ich das im Gespräch mit Adrian Janotta vertiefen. Wie müsste die Cyber-Abwehr in Behörden organisiert werden? Welche Fachleuchte braucht man? Sollte man Gegenangriffe starten?

Läuft als Livestream via Facebook. Habt Ihr Fragen? Dann jetzt schon in der Blog-Kommentarfunktion unten posten oder live mitmischen auf Facebook.

Siehe auch:

HOLT HACKER IN DIE BUNDESBEHÖRDEN – SPANNENDES INTERVIEW VON @ROBERT_WEBER MIT DEM SICHERHEITSEXPERTEN @JANOTTA_A

Maizière macht den Morozov: IT-Bürokratismus und digitales Trauerspiel

Sicherheit statt digitale Visionen
Sicherheit statt digitale Visionen

Bundesinnenminister Thomas de Maizière versucht in einem FAZ-Gastbeitrag krampfhaft, mit Ausflügen in die Meinungswelt des Silicon Valley-Dauerkritikers Evgeny Morozov der kritischen Netzgemeinde das Wasser abzugraben.

„In der Debatte über die Inhalte der ‚Digitalen Agenda‘ der Bundesregierung, die in dieser Woche vom Bundeskabinett verabschiedet wird, können wir alle von Morozov beschriebenen Positionen schon heute in der öffentlichen Diskussion finden. Dies hängt auch mit einem weiteren, aus meiner Sicht eher zweifelhaften Aspekt des digitalen Wandels zusammen: seiner enormen Schnelligkeit und der Gier der sogenannten Internetgemeinde (was ist daran eigentlich noch eine Gemeinde?) nach immer neuen Informationen, seien sie auch noch so klein oder vorläufig. So hat es nur Stunden gedauert, bis der erste Entwurf der Digitalen Agenda ‚geleakt‘ wurde. Nur wenig später folgten die ersten Verrisse der Technooptimisten sowie der naiven Technoagnostiker. Sodann wurden zwischenzeitlich durchgeführte Veränderungen und Konkretisierungen des Entwurfs als Einflussnahme der Hauptstadtlobbyisten hochstilisiert und verdammt“, schreibt der Innenminister oder hat der Innenminister schreiben lassen.

Die im Rahmen (Bürokratendeutsch) von Ressortabstimmungen seit Jahrzehnten sinnvolle und geübte Praxis, dass die Fachabteilungen der verschiedenen Ministerien jeweils aus ihrer – teilweise von anderen Ressorts anders eingeschätzten – Fach- und Expertenperspektive heraus versuchen, Änderungen an den bestehenden Entwürfen einzubringen, werde dabei übersehen oder gar ignoriert. Wer übersieht denn das Ressort-Wer-hat-denn-nun-die Verantwortung-für-die-digitale-Agenda-Ablenkungsspiel der Großen Koalition? Da fängt doch das digitale Trauerspiel der schwarz-roten Regierung an.

De Maizière glaubt doch allen Ernstes, mit seinen Wackelpudding-Formulierungen zur Digitalen Agenda, Deutschland zum IT-Vorreiter zum machen. Gleichzeitig sollten die digitalen Infrastrukturen die sichersten weltweit werden.

Der Bundesminister gibt zudem zu Protokoll, dass „unser liebevoll gestricktes deutsches Datenschutzrecht“ ausgedient habe. Die bisher geltenden Regelungen würden der technischen Entwicklung nicht mehr gerecht. Die Verabschiedung einer EU-Datenschutzverordnung habe deshalb für ihn „überragende Bedeutung“. Die Verordnung werde das deutsche Recht „komplett“ ersetzen. Will de Maizière die Netzgemeinde verscheißern?

Die Rechtsverordnung hätte schon längst in Kraft treten können, wenn sich nicht die deutsche Regierung dagegen gesperrt hätte. Formell wurde als Argument angeführt, die Vorlage würde das Niveau des deutschen Datenschutzes absenken.

„Das ist völliger Quatsch. Ich war mit Sigmar Gabriel kürzlich in einer Talkshow. Er kam mit diesem Argument und konnte dennoch keinen einzigen Punkt nennen, wo der deutsche Datenschutz weiter geht“, bemerkt die Schriftstellerin Juli Zeh.

Trotzdem wollte Gabriel von seiner Haltung nicht abrücken. Da fehle schlichtweg die Kompetenz.

De Maizière hebt in seinem Beitrag hervor, dass im Zentrum der Überlegungen seines Ministeriums zur IT-Sicherheit eine Abkehr vom Prinzip der Freiwilligkeit stehe:

„Wer durch den Einsatz von IT Risiken für andere schafft, hat auch die Verantwortung für den Schutz vor diesen Risiken.“

Je gravierender die Risiken, desto höher müssten die Anforderungen an Schutzvorkehrungen sein. Weiter schreibt de Maizière:

„Auf freiwilliger Basis bestehende Angebote und Initiativen in Anspruch zu nehmen reicht hier nicht mehr aus!“

Der Staat müsse deshalb „Sicherheitsgurte für die IT der kritischen Infrastrukturen“ einführen. Wird dann ein Melderegister eingeführt? Schafft man eine Cyber-Polizei, um Verstöße gegen die Meldepflicht aufzuspüren? Und bestimmt ist schon ein umfassender Bußgeld-Katalog in Arbeit, um den Ungehorsam bei der Meldepflicht zu ahnden.

Wie im Koalitionsvertrag der GroKo wird viel über Sicherheit und wenig über die Modernisierung der digitalen Infrastruktur gesprochen. Wer das in der Netzgemeinde kritisiert und das Ressortchaos der Regierung moniert, ist dann wohl auch ein naiver Techno-Optimist oder Techno-Agnostiker? Was für eine dümmliche Klassifizierung.

Meine erste Wertung des Koalitionsvertrages der Merkel-Regierung bekommt immer mehr Nahrung: Der Netz-Patient ist ohne Sauerstoffzufuhr. Wie die Große Koalition Wohlstand und Wachstum verspielt.

Jeder Geschäftsbereich hat irgendetwas zur digitalen Agenda in das Koalitionspapier hineingekritzelt, um es mit fetten Budgets und Planstellen auszustatten – verfeinert mit Kompetenz-Zentren, in denen sich Verwaltungsjuristen austoben können. Besonders eifrig ist die CSU mit ihrem damaligen Innenminister Friedrich bei der Aufrüstung der Sicherheitsbehörden im sogenannten „Cyberkrieg“. Da lässt man es so richtig krachen – mit neuem Personal, lukrativen Berateraufträgen und einer opulenten Einkaufsliste für das Beschaffungsamt.

Die Horror-Märchen von der drohenden Netz-Apokalypse bringen zwar kein schnelles Internet und stellen keine Weichen für die digitale Transformation, sie nähren aber ein Kartell von hochbezahlten Sicherheitsberatern und Softwarefirmen, um sich gegenseitig Gruselgeschichten über Killerviren zu erzählen oder sich in martialischer Pose im Cyber-Abwehrzentrum ablichten zu lassen. Man züchtet ein Biotop mit einer paranoid anmutenden, extrem hermetischen Gedankenwelt, so die treffliche Bemerkung von Thomas Knüwer.

Sind kritische Köpfe wie der Personalmanager Thomas Sattelberger auch nur naive Techno-Optimisten oder Techno-Agnostiker? Sein Urteil zur IT-Expertise in Deutschland:

„Die USA sind das Digital House der Welt geworden und China das Maschinenhaus der Welt. Damit ist Deutschland im Sandwich zwischen digitaler Innovation und effizienter Produktion aus Asien. Zugleich entwickeln sich neue Felder wie IT, Biotech und Big-Data-Management in dramatischer Geschwindigkeit. Hier spielt Deutschland kaum eine Rolle.“

Die digitalen Naivlinge sitzen wohl eher am Kabinettstisch von Neuland-Kanzlerin Merkel.

Bislang ist leider nur die Zusammenfassung des dünnen FAZ-Gastbeitrages von Thomas de Mazière abrufbar.

Eure Meinung?

Das selbstlose Alarmismus-Blöken der IT-Sicherheitsgichtlinge

Warum mir die IT-Sicherheitsgichtlinge auf die Nerven gehen
Warum mir die IT-Sicherheitsgichtlinge auf die Nerven gehen

80 Prozent aller Angestellten verwenden bei der Arbeit ungenehmigte Apps – wie schrecklich. Und entsprechend blöken die IT-Sicherheits-Gichtlinge das immer gleiche Alarmismus-Liedchen. Das Verhalten der Mitarbeiter im Umgang mit der Schatten-IT sei riskant blabla.

Komischerweise kommen diese Studien in der Regel von….jawohl, von Firmen, die Software für die IT-Sicherheit verticken. Hier ist es mal wieder McAfee, die die Ergebnisse einer „Marktuntersuchung“ als Pressemitteilung durch die Gegend jagen. Sie erfasst angeblich den Umfang und die Risiken ungenehmigter Software-as-a-Service (SaaS)-Anwendungen. Dann taucht auch noch Stratecast auf, eine Division von Frost & Sullivan, die in einer „Studie“ belegen wollen, dass mehr als 80 Prozent der Befragten während der Arbeit nicht genehmigte SaaS-Anwendungen nutzen.

„Die Ergebnisse zeigen auch, dass IT-Mitarbeiter mehr ungenehmigte SaaS-Anwendungen im Einsatz haben als Mitarbeiter anderer Abteilungen im Unternehmen.“

Hä. In der Regel sind es doch die IT-Abteilungen, die den Einsatz von Wildwuchs-Anwendungen verhindern wollen. Dann kommt ein Satz, der verwirrt.

„Die Anwendung von Technologielösungen in Unternehmen und Organisationen, die nicht von der IT-Abteilung genehmigt sind oder nicht im Einklang mit IT-Richtlinien stehen, wird als ‚Schatten-IT‘ bezeichnet. Frost & Sullivan schätzen, dass der SaaS-Gesamtmarkt allein in Nordamerika mit einer kumulierten jährlichen Rate von 16 Prozent wächst und bis 2017 einen Marktwert von 23,5 Milliarden US-Dollar erreicht. Insbesondere die Cloud macht es den Mitarbeitern relativ leicht, Zugang SaaS-Anwendungen zu erlangen. So nutzen viele Mitarbeiter aber auch Auftragnehmer oder Geschäftspartner Anwendungen, ohne die IT-Abteilung zu informieren oder deren Genehmigung einzuholen.“

Ja wat denn nun? Ich dachte IT-Mitarbeiter sind die Bösewichte beim Einsatz ungenehmigter SaaS-Anwendungen? Und nun macht man das Fass auf, dass Mitarbeiter – von welchen Abteilungen auch immer – Software nutzen, die nicht von der IT-Abteilung genehmigt wurden.

Wenig überraschend ist übrigens das Resümee der „Studienautoren“:

„Angesichts der zunehmenden Nutzung von SaaS-Anwendungen müssen Unternehmen Richtlinien entwickeln, bei denen Flexibilität und Kontrolle im richtigen Verhältnis zueinander stehen. IT und Unternehmensführung sollten gemeinsam Richtlinien entwickeln, die es den Mitarbeitern erlauben, bestimmte Apps zugunsten einer höheren Produktivität zu nutzen. Dabei müssen Kontrollen zum Schutz der Daten und der Reduzierung des Unternehmensrisikos existieren.“

Und dann folgt die wenig überraschende Werbe-Einblendung in der Pressemitteilung:

„McAfee bietet Lösungen, die den Zugriff, die Sicherheit und die Kontrolle bereitstellen und die nötig sind, um der zunehmenden Verbreitung von SaaS-Anwendungen gerecht zu werden.“

Es ist ja auch schon bald Weihnachten, da kann man ja den Gabentisch mit McAffee-Software bereichern.

Für die so aussagekräftige „Studie“ wurden übrigens schlappe 600 Entscheidungsträger oder Einflussnehmende (????? gs) aus IT und Geschäftssparten in Nordamerika, Großbritannien, Australien und Neuseeland befragt. wahnsinnig repräsentativ. Den Fragebogen kann man der pdf-Datei nicht entnehmen – bei den Tabellen kann man nur erahnen, mit welch dünner Sauce die Umfrage geköchelt wurde.

Nach den Ursachen für den Einsatz von externen Geräten und Diensten fragt der Schweinebauch-Anzeigentext der Sicherheitsfirma übrigens nicht. Vielleicht liegt es ja auch an der Unmöglichkeit der Kontrolle, wenn Mitarbeiter mit eigenen Smartphones und Tablets ihr berufliches Dasein versüßen wollen, weil bei der unternehmenseigene IT der Kalk rieselt. Oder vielleicht liegt es auch am selbstverschuldeten Demontage der IT-Führungskräfte, die sich in der Vergangenheit und auch noch heute hinter ihren Server-Farmen verschanzen. Siehe dazu auch:

Digitale Transformation setzt IT-Abteilungen unter Druck.

Und wenn die IT-Abteilung wenig Sex-Appeal aussendet, könnte man ja selbst an sich arbeiten, weniger schlecht zu programmieren.

Ein Bruder im Geiste der IT-Sicherheitsgichtlinge ist übrigens unser amtierender Innenminister Friedrich. Auszug meines Beitrages:

Die Horror-Märchen von der drohenden Netz-Apokalypse bringen zwar kein schnelles Internet und stellen keine Weichen für die digitale Transformation, sie nähren aber ein Kartell von hochbezahlten Sicherheitsberatern und Softwarefirmen, um sich gegenseitig Gruselgeschichten über Killerviren zu erzählen oder sich in martialischer Pose im Cyber-Abwehrzentrum ablichten zu lassen. Man züchtet ein Biotop mit einer paranoid anmutenden, extrem hermetischen Gedankenwelt, so Thomas Knüwer.

Siehe meine Mittwochskolumne für das Debattenmagazin „The European“.

IT-Gipfel in Essen: T-Systems und die Eingreiftruppe gegen Cyberattacken

Eine neue IT-Sicherheitstruppe soll nach einem Bericht der Financial Times Deutschland die Wirtschaft gegen Attacken aus dem Netz verteidigen.

„Telekom-Vorstand Reinhard Clemens ruft die Wettbewerber zur Gründung eines neuen Unternehmens auf.“

Für die Telekom wie für die gesamte IT-Branche seien Attacken von Hackern zu einem riesigen Problem geworden. „Vor ein paar Jahren haben wir rund 10.000 Angriffe pro Tag gezählt, jetzt sind wir bei 100.000“, zitiert die FTD Clemens. Zudem seien virtuelle Schädlinge immer ausgefuchster programmiert.

„Viren haben selber so viel Intelligenz, dass sie sich in Unternehmensnetzwerken die wichtigen Daten eigenständig suchen.“

Der Verfassungsschutz beziffere den jährlichen Schaden durch elektronische Spionage auf etwa 50 Mrd. Euro.

Der Bonner Konzern soll angeblich selber zu den Betroffenen zählen. Er betreibe selbst Netze, bietet Cloud-Dienste für Großkunden an, die sicher sein müssen, und ist selbst tausendfaches Ziel von Angriffen. Gleichzeitig könnten die wachsenden Sorgen in Politik und Wirtschaft vor IT-Attacken der Telekom neue Umsätze bescheren – und das ist wohl eher der Kern dieser Sirenengesänge für mehr Sicherheit im Netz.

„Um den Schutz und vor allem die Reaktionszeit bei erfolgreichen Attacken zu erhöhen, schwebt dem T-Systems-Chef ein Zusammenschluss von Unternehmen vor, in dem Spezialisten ein Überwachungszentrum für die wichtigsten IT-Systeme aufbauen. Dies müsse jedoch alle Branchen umfassen und nicht nur die als kritische Infrastrukturen bezeichneten Systeme von Telekom-, Energie- und Finanzkonzernen“, schreibt die FTD. Dem Telekom-Manager schwebe etwas vor wie eine „Noteingreiftruppe“.

Die geplante Meldepflicht reiche der Telekom nicht, „denn die hilft im Ernstfall nicht“, kritisiert Clemens. Die Meldepflicht für Attacken auf kritische Infrastrukturen wie Energie oder Telekommunikation ist Teil eines Eckpunktepapiers zur Verbesserung der Cybersicherheit von Innenminister Hans-Peter Friedrich (CSU).

„Das Thema dürfte am Dienstag für heftige Diskussionen auf dem IT-Gipfel in Berlin sorgen“, führt die FTD aus.

Der IT-Gipfel ist allerdings nicht in Berlin, sondern in Essen. Und da wird Clemens auch einen Vortrag halten. Bei dieser Session habe ich mich jetzt nicht angemeldet, aber vielleicht gibt es für mich noch andere Möglichkeiten, ihm in Essen ein paar Fragen zu stellen. Welche Kompetenzen soll denn die Eingreiftruppe bekommen, wenn eine Meldepflicht alleine nicht ausreicht? Könnte Herr Clemens mal genau sagen, welche Hacker denn die Telekom und andere Unternehmen angreifen? Werden Sie doch mal konkreter? Um welche Angriffe handelt es sich? Welche Angriffe waren erfolgreich? Welcher Schaden ist entstanden?

Bei diesem Anti-Hacker-Alarmismus stört mich der Dauerton im Konjunktiv. Die liebwertesten IT-Sicherheits-Gichtlinge werden komischerweise nie konkret. Weltmeister der Horror-Warnungen ist der Dauer-Redner Kaspersky. Siehe: Kaspersky warnt mal wieder vor Cyber-Terrorismus: Der sollte einfach die Klappe halten. Und auch: Böse Hacker und die unheilige Allianz der Sicherheitsfuzzis #Cyberwar-Geschwätz.

Hier wird einfach eine andere Form des Verkaufs von Heizdecken betrieben – der läuft besonders gut, wenn sich Menschen vor dem Kälteeinbruch fürchten. Überhaupt ist das Säen von Furcht der Katalysator von Anbietern von entsprechender Software.

Ich bleibe bei meiner Forderung: Hosen runter, liebe Sicherheitsfetischisten. Es geht Euch doch gar nicht um die Abwehr von Netzangriffen. Es geht um das Zusammenschweißen einer unheiligen Allianz von Geheimdiensten, Politik und den pekuniären Interessen der Anbieter für Sicherheitssoftware. Wer soll denn meine Daten schützen? Der staatstrojanische Innenminister und die Telekom? Lächerlich.

Da Hannes und ich eh auf dem IT-Gipfel sind, könnten wir morgen ja mal kritisch nachfragen. Vielleicht macht der T-Systems-Clemens ein Live-Hangout mit uns oder ist das zu unsicher?

Countdown für die Cyber-Abwehrkrieger der Bundesregierung: #BSI contra #No-Name-Crew

Den spaßigen Teil der Hackeraktionen der No-Name-Crew kann man auf der Website des Bundesüberwachungsministeriums (eine Umbenennung des Innenministeriums) begutachten. Etwa im Aufgabenfeld „Totalüberwachung“. So sei die Volksverdummung Bestandteil der nationalen Totalüberwachungsarchitektur, er umfasst den Katastrophen- und den Zivilschutz. „Die zuständigen Behörden des Bundes dafür sind die Bundesanstalt Technisches Hilfswerk und das Bundesamt für Volksverdummung und Katastrophenhilfe“.

Wie bereits in vielen Medien berichtet wurde, ist der mutmaßliche Leiter der No-Name-Crew festgenommen worden. „Dies teilte das nordrhein-westfälische Landeskriminalamt am Montag mit. Der Verdächtige, bei dem es sich um den Hacker ‚Darkhammer‘ handeln soll, wurde nach einer Hausdurchsuchung verhaftet. Währenddessen ist die Seite der Gruppe nicht mehr erreichbar. Gerüchte besagen, dass die Behörden den Falschen verhaftet hätten“, schreibt gulli. Seit der Verhaftung sei auch die Internetseite der Netzaktivisten nicht mehr zu erreichen. „Eigentlich hatte man vor, im Falle einer Festnahme das Passwort eines Archivs zu veröffentlichen, das vertrauliche Dokumente der kompromittierten Behörden beinhalten soll. Vor kurzem hieß es auf der Webseite ‚Für den Fall eines Serverausfalls durch dritte ist die Verbreitung des Passworts durch No-Name Crew Mitglieder gesichert.‘ Davon ist jedoch nichts bekannt“, so gulli weiter.

Im BSI und im so genannten nationalen Cyber-Abwehrzentrum hat man wohl dennoch die Hosen voll und fürchtet einen weiteren Großangriff gegen Bundesbehörden. Entsprechend werden Server runtergefahren. Der Countdown bis zu einer weiteren großangelegten Hacker-Attacke soll immer noch laufen. Bis Ende Juli werden wir schlauer sein und einen Eindruck über die Kompetenz der Beamten Cyber-Grabenkampf bekommen.

Nachtrag: Auf der NNC-Website im Cache steht: „Neue Ziele wurden ausgesucht (Bundesebene) – Jetzt erst recht. Datum des Angriffs:
8 Tage“ – also am Mittwoch, den 27. Juli.

Als Gegenmaßnahme hilft ja vielleicht auch das:

Siehe auch:
No-Name-Crew-Video