Vorträge und Lösungen - Bundesministerium für Inneres
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
I N FO R M AT I O N S S I C H E R H E I T
Generieren und Erkennen von Deepfakes Sebastian Schreiber: Präsentation von Penetrationstests
Vorträge und Lösungen
Quantenkryptografie, Frauen in der IT-Sicherheitsindustrie, Hacking, Malware und Schutz kritischer
Infrastruktur waren Themen der it-sa Expo&Congress Nürnberg, Europas führender IT-Fachmesse.
ie IT-Sicherheitsmesse it-sa fand die hauptsächliche Bedrohung. Aller- heit (ENISA) mit einem KMU-Leitfaden
D vom 25. bis zum 27. Oktober 2022
im Messezentrum Nürnberg statt,
begleitet von einem Kongress. Wenn-
dings wurden auch staatliche Stellen an-
gegriffen. Bei einer Landkreisverwal-
tung in Sachsen-Anhalt waren bürger-
zur Cyber-Sicherheit sowie das Bayeri-
sche Landeskriminalamt, Zentrale An-
laufstelle Cybercrime (ZAC). Das Cy-
gleich technische Problemstellungen nahe Dienstleistungen über 207 Tage bercrime-Landeslagebild Bayern 2021
und -lösungen im Vordergrund standen, nicht verfügbar. Es wurde der Katastro- zeigt auch Möglichkeiten der Präventi-
wurde etwa unter dem Titel „Women in phenfall ausgerufen. on auf.
Cybersecurity“ erörtert, wie sich Frauen Der russische Angriffskrieg auf die
in die IT einbringen können und wie Ukraine zeigte sich laut Lagebericht OWASP. Das Open Web Application
dem Fachkräftemangel begegnet wer- bisher nur in Kollateralschäden, etwa Security Project (OWASP; owasp.org)
den kann. Auch Rechtsfragen wurden bei Angriffen auf die Satelliten-Kom- ist bekannt für seine Top Ten, eine Auf-
erörtert. In der Eröffnungs-Pressekonfe- munikation. Als weiterer Schwachpunkt zählung der zehn häufigsten IT-
renz bezeichnete Dr. Markus Richter, wurde die unzureichende Qualität der Schwachstellen bei der Entwicklung
Staatssekretär im Bundesministerium Software-Produkte bezeichnet. von Anwendungen. Dabei handelt es
des Innern und Beauftragter der deut- Das BSI hat ein Grundschutzprofil sich nur um eines von derzeit 263 Pro-
schen Bundesregierung für Informati- für das 5-G-Mobilfunknetz sowie ein jekten dieser globalen Non-Profit-Orga-
onstechnik, die Sicherheitslage im Cy- IT-Sicherheitskennzeichen vorgestellt, nisation, die, wie Tobias Glemser aus-
ber-Raum als mehr als angespannt, vor mit dem auf Antrag eines Herstellers führte, die Verbesserung der Sicherheit
allem in der kritischen Infrastruktur. Er Produkte gekennzeichnet werden, die von Software und Cyber-Sicherheit all-
stellte notwendig werdende Änderungen die vom BSI anerkannten Sicherheitsan- gemein zum Ziel haben. Jeder, der da-
des Grundgesetzes in Aussicht. Das forderungen erfüllen. Der Link auf dem ran interessiert ist, kann auf ehrenamtli-
Bundesamt für Sicherheit in der Infor- Siegel bzw. der QR-Code führen zu ak- cher Basis mitmachen. Die OWASP-
mationstechnik (BSI; bsi.bund,de) soll tuellen Sicherheitsinformationen sowie Foundation gliedert sich weltweit in 233
dabei als Zentralstelle für Informations- zur Gültigkeitsdauer des Siegels. Mit lokale Chapters in 70 Ländern mit über
sicherheit eine umfassende, nicht mehr der Beschleunigten Sicherheitszertifizie- 110.000 Mitgliedern.
nur auf Nothilfe und auf Verwaltungs- rung (BSZ) werden Sicherheitsaussagen Ein interessanter Gedankengang
vereinbarungen beruhende Bundeskom- über ein IT-Produkt bestätigt. Seit 1. wurde von Johannes Klick, Alpha Strike
petenz erhalten und bundesweit für die Oktober 2022 besteht auch die Digitale Labs (alphastrike.io), vorgestellt. Das
Gefahrenabwehr im Cyber-Raum zu- Rettungskette des Cyber-Sicherheits- Unternehmen, ein Start-up, hat die Ser-
ständig werden. netzwerks. ver- und Netzwerktätigkeiten in der
BSI-Vizepräsident Dr. Gerhard Am Stand des BSI war ein Speakers Ukraine beobachtet und einen Zusam-
Schabhüser stellte den Bericht des BSI Corner eingerichtet, an dem Vorträge menhang mit russischen Angriffsopera-
zur Lage der IT-Sicherheit in Deutsch- unter anderem zur automatisierten Ma- tionen festgestellt, die zu Schäden an
FOTOS: KURT HICKISCH
land 2022 vor. Darin wird die Bedro- nipulation von medialen Identitäten der Infrastruktur geführt haben. Die
hung im Cyber-Raum als so hoch wie (Deepfakes) oder zum digitalen Ver- Netzwerktätigkeit fiel im Angriffsgebiet
noch nie bezeichnet. Bei Cybercrime braucherschutz geboten wurden. bei solchen Operationen markant ab und
bleibt die Cyber-Erpressung durch Ran- Mit einem Stand vertreten waren erholte sich dann nur langsam. Im Zu-
somware besonders für Unternehmen auch die EU-Agentur für Cyber-Sicher- sammenhang mit anderen Berichten las-
ÖFFENTLICHE SICHERHEIT 1-2/23 95
I N FO R M AT I O N S S I C H E R H E I T
lenge gestellte Aufgabe hat darin be-
standen, das fiktive AKW Blackout zu
retten, von dem sensible Daten im
Darknet veröffentlicht und von einer
Untergrundorganisation bereits zu Geld
gemacht wurden. Es bestehe die Gefahr
eines Zugriffs auf die Steuerung der
Kernreaktoren im Kraftwerk.
Die Qualifizierung für die Challenge
2023 beginnt am 5. Juli 2023. Es be-
steht keine Altersbeschränkung. Ziel
des Wettbewerbs ist, das Hacking aus
dem Dunkel zu holen und White Ha-
ckers zu fördern, um mit deren Hilfe die
Sicherheit im Cyber-Raum zu erhöhen.
Sebastian Schreiber, SySS GmbH
(syss.de), führte in Live-Präsentationen
vor, dass mit dem nötigen Fachwissen
auch Krypto-Hardware geknackt oder
eine Alarmanlage angegriffen werden
Start-up-Area auf der Fachmesse it-sa mit 16 Start-up-Unternehmen kann. Auch Virenscanner können über-
listet werden. Vorsicht bei Mails – sie
sen sich auf diese Art Meldungen aus Bounty-Programme kontinuierlich ab- müssen nicht unbedingt von dem stam-
dem Kriegsgebiet objektiv verifizieren. laufen; die Bezahlung ergebnisorientiert men, der sich als Absender ausgibt.
Ein Spillover-Effekt (Auswirkungen auf erfolgt; ein kreativer statt ein technik- Sobald Fonts (Schriftarten) auf die
andere Länder) oder ein Cyber Pearl orientierter Ansatz verfolgt wird und Website geladen werden, wird vom An-
Harbor konnten bis auf den bereits er- anstelle der Kompetenz und dem Fach- bieter die als personenbezogenes Datum
wähnten Ausfall der Satellitenkommu- wissen einzelner Experten das der Ge- geltende IP-Adresse erfasst, teilweise
nikation nicht festgestellt werden. meinschaft zum Tragen kommt auch Browser- und Gerätedaten, und ei-
(Schwarmintelligenz). ne Verbindung zu den Servern des An-
Ethische Hacker spüren Schwach- bieters hergestellt, wodurch es (Beispiel
stellen in IT-Systemen auf, um die be- Penetrationstests wurden von vielen Google) zu einer Datenübermittlung et-
troffenen Unternehmen zu warnen. Das Unternehmen angeboten. Whitelistha- wa in die USA kommt. Nachdem sich
niederländische Unternehmen Intigriti ckers (wlh.io) steht in Verbindung mit daraus Abmahnverfahren als Geschäfts-
(intigriti.com) beschäftigt nach eigenen der Challenge „Deutschlands bester Ha- idee entwickelt haben, bietet das öster-
Angaben 50.000 ethische Hacker aus cker“ (deutschlands-bester-hacker.de). reichische Unternehmen Lukmann Con-
140 Ländern. Diese werden mit einer Bereits 2020 war Frankens bester Ha- sulting GmbH mit dem „DSGVO-Web-
„Bounty“ (Spende, Kopfgeld) belohnt, cker im Wettkampf ermittelt worden, site-Butler“ Alfright (alfright.eu) die
wenn sie bei einem Vertragsunterneh- 2021 jener von Bayern und 2022 Analyse einer gesamten Website ein-
men eine valide Sicherheitslücke ent- Deutschlands bester Hacker. Als dieser schließlich aller Unterseiten auf Einhal-
deckt und dem Unternehmen gemeldet wurde Leon, ein 17-jähriger Schüler, er- tung der rechtlichen Bestimmungen wie
haben. Der Unterschied zu Penetrations- mittelt und von Marco Di Filippo bei DSGVO, BDSG, EU-Cookie-RL und
tests besteht laut Intigriti, dass Bug- der it-sa vorgestellt. Die bei der Chal- TTDSG an. Bei diesem Auditing wird
unter anderem überprüft, ob externe
FAC H KO N F E R E N Z Dienste wie Youtube oder Google Maps
ohne Einwilligung geladen werden, es
Personenschutz nehmenssicherheit im Großkonzern/ Datenübertragungen in unsichere Dritt-
Gefahren mit nationaler Filialenstruk- länder gibt oder die Datenschutzerklä-
In der Burg Deutschlandsberg in tur, Fabian Pfliegler REWE-Sicher- rung (Art. 13 DSGVO) vollständig und
der Steiermark findet am 18. und 19. heitsmanagement; IT im Unterneh- noch aktuell ist. Gefundene externe
April 2023 die 3. Fachkonferenz Per- men – Im Jahr 2023 immer noch ein Dienste, zu deren Nutzung keine Ein-
sonenschutz und Unternehmenssi- Risikofaktor?/Angriffe aus dem Netz, willigung erteilt wurde, die Datenüber-
cherheit statt. Zielgruppe sind Füh- Bernhard Otupal, Sicherheitsexperte tragung nicht zulässig ist oder die Infor-
rungskräfte Personenschutz, Leiter beim IT-Unternehmen RISE; Die sie- mationspflicht nicht erfüllt wurde, wer-
Unternehmenssicherheit/Sicherheits- ben W im Umgang mit Journalisten den in einer Tabelle angezeigt. Das Un-
verantwortliche, Private Sicherheits- faktisch/praktisch, Michael Fleischha- ternehmen bietet des Weiteren Ab-
dienstleister/-Unternehmen. In der cker, Journalist; Wundbild und Erst- mahnschutz und ein Datenschutzsiegel
Konferenz geht es unter anderem um versorgung bei Stich- und Schussver- für die Website des Nutzers an.
FOTO: KURT HICKISCH
Digitales Alarm- und Notfallmanage- letzungen, Clemens Wissiak.
ment, Peter Endress (EVALARM Anmeldeschluss: 22. Februar 2023; Malware. Die Deutsche Gesellschaft
Swiss Platinum Consulting); Unter- Information: www.closeprotection.at für Cybersicherheit (dgc.org) definierte
Malware als jegliche Software, die ohne
96 ÖFFENTLICHE SICHERHEIT 1-2/23
I T- S A 2 0 2 2
Zustimmung des Opfers unerwünschte über die Grundlagen des Quantencom-
und schädliche Funktionen auf dem putings und die, mit der enormen Re-
Computer ausführt. 75 Prozent der Mal- chenleistung des Quantencomputers
ware werden nach dieser Darstellung einhergehenden Auswirkungen auf der-
über E-Mail und Phishing-Kampagnen zeitige kryptografische Verfahren. Der-
eingeschleust. Um Identitäten zu imitie- zeit werden in Rechnerfarmen Unmen-
ren, wird Deepfake und Voice-Phishing gen bisher nicht entschlüsselter Nach-
(Vishing) eingesetzt, letzteres auch richten bloß zu dem Zweck gesammelt,
durch Manipulation der Stimme einer später entschlüsselt zu werden („capture
Person (Voice Swapping). Bei Ransom- now, decrypt later“). Public-key-Ver-
ware-Angriffen würden 50 Prozent der fahren wie etwa RSA werden nicht
kompromittierten Unternehmen Löse- mehr sicher sein. Dagegen ist Daten-
geldzahlungen akzeptieren. Die durch- übermittlung über Quantenkanäle inso-
schnittlichen wirtschaftlichen Auswir- fern abhörsicher, als jedes Dazwischen-
kungen pro Vorfall würden zwischen treten eines Dritten den quantenphysi-
1,73 und 3,7 Millionen Euro liegen. Im kalischen Zustand der Teilchen verän-
Durchschnitt werde erst nach 207 Tagen dert und damit erkannt wird.
der Einbruch in das System erkannt, ge- Die Sicherheit der Quantenkommu-
folgt von 73 Tagen, um den Betrieb er- nikation beruht nicht wie bisher auf Re-
folgreich wiederherzustellen. chenoperationen, sondern ist physika-
it-sa Expo&Congress 2022: Referenten lisch begründet. Europa dürfe, so Baloo,
Sicherheitslösungen. Die auf IT-Si- Markus Richter, Jaya Baloo, Tobias nicht nachlassen, seinen wissenschaftli-
cherheit ausgerichtete Messe bot einer Glemser und Marco di Filippo chen Vorsprung auf dem Gebiet der
derartigen Vielfalt von Ausstellern Ge- Quantentechnologie zu halten. In der
legenheit, ihre aus den unterschiedlichs- nach außen gelangen (Data Loss Pre- technischen Umsetzung seien Länder
ten technischen und strategischen Ge- vention). wie China bereits voraus.
sichtspunkten entwickelten IT-Sicher- Die Fraunhofer FOKUS-Akademie
heitslösungen zu präsentieren, sodass (fokus-akademie.de) stellt mit Hilfe von Bei der it-sa Expo&Congress waren
im Einzelnen nicht diskriminierungsfrei VR-Brillen eine virtuelle Umgebung 693 Aussteller (2021: 273) aus 29 Län-
darauf eingegangen werden kann. Es zur Verfügung, in der Incidents, wie et- dern vertreten. Es wurden 15.229 Fach-
sollen im Weiteren, und auch hier wie- wa auch ein Blackout, simuliert werden besucher (2021:5.184) vor Ort gezählt.
der nur exemplarisch, Lösungen ange- können. Weitere 1.848 waren während der Lauf-
führt werden, die direkt beim Men- IncreaseYourSkills (IncreaseYourS- zeit der Messe auf der Online-Plattform
schen, als dem schwächsten Glied der kills.com) befasst sich unter anderem it-sa365 aktiv. Unter der Plattform Con-
Kette, ansetzen. Immerhin beginnen, mit der Generierung und dem Erkennen gress@it-sa fanden schon am Vortag
wie bei einem Kurzvortrag von Thrive- von Deepfakes. der Messe eine Informationsveranstal-
DX (thrivedx.com) ausgeführt wurde, 95 Nach einer Untersuchung der tung der Firma Cirosec GmbH zu
Prozent der Cyber Incidents beim Mit- Schweizer Nevis Security AG (nevis.net) Trends in der IT-Sicherheit sowie mes-
arbeiter. Das Unternehmen bietet Cy- haben Anwender bis zu 130 digitale Be- sebegleitend die Jahrestagung der IT-Si-
ber-Security-Awareness-Trainings an. nutzerkonten und verbringen 12 Tage cherheitsbeauftragten der Länder und
Laut Hoxhunt (hoxhunt.com) begin- ihres Lebens damit, nach ihren Benut- Kommunen sowie weitere Firmenmee-
nen 93 Prozent aller Breaches mit einer zernamen und Passwörtern zu suchen. tings statt.
Phishing-Email. Technologie biete nur 52 Prozent nutzen ein Passwort für
zu 90 Prozent Sicherheit. Einige schäd- mehrere Websites. 13 Prozent haben für 16 Start-up-Unternehmen hatten Ge-
liche E-Mails würden immer in die alles nur ein Passwort, wobei Geburts- legenheit, sich auf einer eigenen Fläche
Posteingänge der Mitarbeiter/-innen ge- tag oder Haustiernamen (21 %) oder gemeinsam zu präsentieren. Auf fünf
langen. Auch Hoxhunt setzt auf Phis- Fantasiewörter mit Brute-Force-Atta- Foren (A – E) wurden während der
hing- und Awareness-Training, und cken leicht zu knacken sind. Das Unter- Messetage rund 350 Fachvorträge gebo-
zwar in einer Form von Gamification. nehmen bietet das Ersetzen von Pass- ten. Die Vorträge wurden aufgezeichnet
Nach einer Einschulung werden Mitar- wörtern für alle Anwendungen durch und können über it-sa365 im Internet
beitern in unregelmäßigen Zeitabstän- biometrische Authentifizierung an. Der abgerufen werden. Erforderlich ist, sich
den Phishing-Mails geschickt, die es zu Passwort-Manager von LastPass (last- unter Angabe seiner Mail-Adresse und
erkennen gilt – was entsprechende Bo- pass.com) lässt sich in bestehende An- eines künftighin zum Einloggen ver-
nifikationen zur Folge hat. wendungen integrieren, auch dann, wendeten Passwortes kostenfrei als
Keysight (keysight.com) setzt einen wenn Mitarbeiter ihre Firmengeräte pri- Nutzer anzumelden. Durch weitere An-
Threat Simulator ein, mit dem ein vat verwenden wollen. gaben zu Beruf, Unternehmen, Wirt-
Selbsttest durchgeführt werden kann. schaftszweig wird man ein Teil der it-sa
FOTOS: KURT HICKISCH
Proofpoint (proofpoint.com) über- Quantencomputing. Ein Höhepunkt Community.
prüft in einem Insider-Threat-Manage- der Messe war der Vortrag von Jaya Ba- Die nächste it-sa (it-sa.de) wird vom
ment-System Verhaltensanomalien, um loo, CISO von Avast, zum Thema 10. bis 12. Oktober 2023 wiederum im
zu erkennen, ob vertrauliche oder kriti- Quantenkryptografie. Die in den Nie- Messezentrum Nürnberg stattfinden.
sche Daten aus einem Unternehmen derlanden lebende Forscherin berichtete Kurt Hickisch
ÖFFENTLICHE SICHERHEIT 1-2/23 97Sie können auch lesen
