Information icon.svg Erinnere Dich an die Movember Wohltätigkeitsveranstaltungen im November. Movember - Moustache.jpg
Information icon.svg MediaWiki[wp] ist männerfeindlich, siehe T323956.
Aktueller Spendeneingang: !!! Spenden Sie für Hosting-Kosten im Jahr 2024 !!! Donate Button.gif
84,6 %
1.015,22 € Spendenziel: 1.200 €
Die Bericht­erstattung WikiMANNias über Vorgänge des Zeitgeschehens dient der staats­bürgerlichen Aufklärung. Spenden Sie für eine einzig­artige Webpräsenz, die in Deutschland vom Frauen­ministerium als "jugend­gefährdend" indiziert wurde.
Logo - MSI.png
Besser klug vorsorgen, als teuer draufzahlen. - MSI
Die "Indizierung"[ext] der Domain "de.wikimannia.org" durch die Bundes­prüf­stelle für jugend­gefährdende Medien am 9. Januar 2020 ist illegal und deswegen rechtlich nichtig/unwirksam[wp]. Der Staatsfeminismus versucht alle Bürger zu kriminalisieren, die auf "wikimannia.org" verlinken, wobei massiv mit Einschüchterung und Angst gearbeitet wird. Bis zu dem heutigen Tag (Stand: 5. November 2024) wurde WikiMANNia weder ein Rechtliches Gehör gewährt noch wurden die Namen der Ankläger und Richter genannt. Ein Beschluss ohne Namens­nennung und Unterschrift ist Geheimjustiz und das ist in einem Rechtsstaat illegal und rechtlich unwirksam. Dieser Vorgang deutet auf einen (femi-)faschistoiden Missbrauch staatlicher Institutionen hin. Judge confirms the mothers right of possession and justifies it with the childs welfare.jpg
Rolle des Staates in der Familie
WikiMANNia schützt die Jugend vor familien­zerstörender Familienpolitik und staatlicher Indoktrination. All die Dinge, wovor Jugendliche geschützt werden müssen - Hass, Hetze, Aufruf zur Gewalt und Pornographie - gibt es hier nicht. WikiMANNia dokumentiert lediglich die Wirklichkeit, ohne sich mit dem Abgebildeten, Zitierten gemein zu machen, ohne sich das Dargestellte zu eigen zu machen. In WikiMANNia erfahren Sie all das, was Sie aus Gründen der Staatsräson nicht erfahren sollen.
Feminismus basiert auf der Verschwörungstheorie, Männer auf der gesamten Welt hätten sich kollektiv gegen die Weiber verschworen, um sie zu unter­drücken, zu benachteiligen, zu schlagen, zu ver­gewaltigen und aus­zu­beuten. Feministinnen bekämpfen Ehe und Familie, weil die bürgerliche Familie das Feindbild ist. Frauen werden kollektiv als Opfer inszeniert und Männer als Täter denunziert. So manifestiert sich ein Ressentiment gegen alles Männliche bis hin zum offenen Männerhass. Dies bewirkt eine tief­greifende Spaltung der Gesellschaft, die es zu überwinden gilt.

IT-Sicherheit

Aus WikiMANNia
Zur Navigation springen Zur Suche springen
Hauptseite » Technik » Informatik » IT-Sicherheit
Mit "hosts"-Datei gegen Lügen­presse und Staatspropaganda

Der Artikel IT-Sicherheit behandelt die Themen Informatik, Internet und damit verknüpfte Sicherheits­fragen unter dem Einfluss von Politik, Wissenschaft, akademischen Umfeld und Feminismus.

Einführung ins Thema

Zitat: «Vor fast 30 Jahren (irgendwann vor 1990), habe ich angefangen, mich mit Kryptographie und IT-Sicherheit zu befassen. Nur mal so drei wichtige Daten, die mir in Erinnerung geblieben sind und die mich damals beeinflusst haben:
  • Das Buch Das Kuckucksei[wp] von Clifford Stoll[wp], erschienen 1989, das den KGB-Hack[wp] aus amerikanischer Seite beschreibt.
  • Das Paper With Microscope and Tweezers[ext] von 1988,
  • Pretty Good Privacy[wp] von 1991

(die ja alle drei Reaktionen auf davor liegende Vorgänge waren, die Bedrohung also nicht erst 1988 angefangen hat).

Und wenn man sich mal anschaut, wovon die so handeln und was darin steht, muss man leider sagen, dass wir heute, 30 Jahre später, kein Stück weitergekommen sind. Effektiv geht's immer noch um die gleichen Probleme.

Und da kommen die mit Helmholtz-Zentrum, Cyber-Kriegern, BSI, Bundes-CIO und werfen massig Nebelkerzen. Aber die Realität ist, dass man die IT-Sicherheits­forschung in den 1990er Jahren systematisch erwürgt hat, und die Bundesregierung, der Bundesnachrichtendienst[wp] und die NSA hatten da die Finger drin.» - Hadmut Danisch[1]

Nach 30 Jahren haupt­beruflicher IT-Sicherheit habe ich die Schnauze auch gestrichen voll davon, weil wir eigentlich nicht vorankommen und die Sicherheits­löcher heute eigentlich immer noch dieselben wie vor 30, 40 Jahren ganz zu Anfang waren, das aber alles zunehmend verblödet, auch durch politischen Druck. IT-Sicherheit ist längst in vielen Bereichen zum Formalismus und Bürokratismus verkommen und wird mit immer dümmeren Leuten zwangsbetankt. Ich habe nicht die geringste Lust, mit irgendwelchen dummen Tussen gleichbezahlt zu werden, für die IT-Sicherheit bedeutet, sich das als Frau "zuzutrauen" und dann dümmlichste Falsch­aussagen loszulassen, Ratespiele zu veranstalten oder Fortbildungen mit Wachsmal­kreiden zu veranstalten. Den Schwachsinn hatte ich gerade, sowas brauche ich nicht nochmal. Ich habe gerade miterlebt, wie ein Betrieb im Allgemeinen und dessen IT-Sicherheit im Besonderen durch political correctness, Frauen­verquotung und die Reinigung des Betriebs von alten weißen Männern den Bach runterging, und IT-Sicherheit, Compliance, Datenschutz sich komplett und völlig darin auflösten, ab sofort einfach alles in der Azure-Cloud einzukaufen, damit dann andere dafür verantwortlich sind. Man will immer unbedingt Verantwortung und Wichtigkeit haben, aber wenn man sie dann hat, ist das erste Ansinnen, sie loswerden zu wollen und an irgendwen zu delegieren.

Und wenn ich dann sehe, wie man immer öfter Leute ohne Ahnung, dafür aber "Codes of Conduct"[wp] in die Branche drückt, und dann solche IT-Sicherheits­groß­zusammen­brüche wie gerade vor ein paar Tagen log4shell in log4j entstehen, was eigentlich nicht mal ein Bug, sondern durch pure Dummheit vorsätzlich gebauter und nie bemerkter Supermist war, und zum IT-Sicherheits­großschadens­ereignis wurde, dann verstärkt und verhärtet das meine Ansicht, die sich seit einigen Jahren habe, dass sich das mit der IT-Sicherheit erledigt hat, weil immer mehr Dumme, Inkompetente, Laien, "Entscheider", Förder- und Quoten­tussi mitrühren, und das alles nur noch ein großer unkontrollierbarer Haufen Mist und Sondermüll ist.

Ich habe keine Lust, für den Microsoft-Scheiß, bei dem man dann sowieso ziemlich blind ist und nur sehr wenig machen kann, verantwortlich zu sein. Wenn ich schon so einen Mist lese, wie dass es einerseits um das Bundes­kanzler­amt geht, dann aber da drin steht

Zitat: «Sie zeichnen sich durch Ihre Erfahrung im Umgang mit innovativen Kommunikations­techniken sowie Ihren routinierten Umgang mit den gängigen MS Office-Anwendungen aus.»

Mein "routinierter Umgang mit den gängigen MS Office-Anwendungen" ist, sie in hoch sicherheits­kritischen Umgebungen erst gar nicht zuzulassen. Der ganze Microsoft-Schrott hat da überhaupt nichts verloren. Und dann wundern die sich, wenn die Amis der Kanzlerin das Handy abhören.

Da weiß man dann von vornherein, dass die Entscheidungen auch alle woanders getroffen werden, die politisch oder in den oberen Etagen gemacht werden, und man dann der kleine Depp ist, der den eingekauften Mist irgendwie "sicher" machen soll oder dran schuld ist, wenn's schief geht.

Ich habe auch keine Lust, mich mit den Charakter­krüppeln des Polit­betriebs aus­einander­zusetzen. Als Blogger vielleicht schon, draufhauen. Aber nicht als deren Untergebener.

Oder ständig auf dem Schleudersitz zu sitzen, weil man irgendwo was sagt, was irgendeiner Ministerin nicht passt, und man dann abgesägt wird. Das Spiel habe ich schon mal mit Ursula von der Leyen (CDU) mitgemacht, wird aber bei SPD und Grünen garantiert nicht besser sein, eher noch schlimmer mit deren Political Correctness-Wahn.

– Hadmut Danisch[2]
[Zur "Digitalen Souveränität" beziehungsweise "IT-Sicherheit" schreibt der Tagesspiegel:]
Zitat: «In ganz Europa, von Finnland bis Portugal, von Irland bis Griechenland, basiert die Informations­technik (IT) der staatlichen Verwaltungen auf Programmen des US-Software­konzerns. Weil aber die digitalen Systeme ständig wachsen und immer wichtiger werden, geraten die Staaten damit immer tiefer in die Abhängigkeit von diesem einen Konzern. Die EU-Kommission räumte sogar ein, sie befinde sich "in effektiver Gefangenschaft bei Microsoft".»[3]

[N-TV greift das Thema auf und titelt]: "Digitale Souveränität in Gefahr? IT-Profis warnen vor Microsoft"

Äh... ja. Genau das tun ich und ganz viele andere IT-Profis seit 25 Jahren.

Aber es hört niemand auf uns. Es ist in der Politik nicht üblich und im Journalismus sehr selten, auf Leute zu hören, die Ahnung vom Fach haben. Beide, Politik und Journalismus, sind so einem Inkompetenz-Fetisch verfallen. Lieber setzt man Gaukler, Lobbyisten und Clowns in Berater­kommissionen als Leute mit Ahnung.

Und jetzt merkt dann doch mal der eine oder andere, dass das irgendwas faul ist.

Zitat: «Personaldaten, Dossiers, brisante Zahlen: Auf vielen Rechnern in Ministerien und Ämtern läuft Software aus den USA. Der frühere IT-Chef der Bundesregierung schlägt Alarm. Europa, heißt es, laufe Gefahr, "die Kontrolle über die IT-Infra­struktur zu verlieren".»[4]

So'n Quatsch.

Europa hatte nie eine Kontrolle über seine IT-Infrastruktur.

Der letzte Europäer, der seine IT voll unter Kontrolle hatte, war Konrad Zuse[wp] mit seiner Z3. Und die würde ich nicht als "Infrastruktur" einstufen.

Zitat: «Die öffentlichen Verwaltungen in Europa nutzen auf ihren Computern fast ausschließlich Software des US-Konzerns Microsoft. Diese Abhängigkeit birgt nach Ansicht internationaler Experten große Risiken und gefährdet die europäische Souveränität, wie das Journalisten-Team "Investigate Europe" und der Berliner "Tagesspiegel" berichten.»[4]

Ja, aber genau das hat man ja unbedingt gewollt und alle Kritiker abgesägt.

Ich habe gerade mal nachgeschaut. Unmittelbar, bevor sie mich damals an der Uni durch den BND abgesägt haben, habe ich ein Gutachten für den Bundestag zur Sicherheit in der IT und im Medizinwesen geschrieben. In meiner Version vom 28.1.1998, in der ich das Ding zur ersten Vorlage fertiggestellt hatte, kommt Microsoft 16 Mal vor, mit deutlichen Warnungen vor der Monopol­stellung von Microsoft und dem amerikanischen Einfluss auf unsere IT, im Anhang Literatur­verweise auf kritische Artikel über das Gebaren von Microsoft.

Dann musste das überarbeitet werden, weil Professor Beth das ja als seines ausgeben und wenigstens mal reingucken und was rum­meckern wollte, und wir deshalb den Abgabetermin verpasst haben. Dann kam der Bundestag an und meinte, leider, leider hätten wir jetzt die Frist verpasst und müssten die im Auftrag angegebene Vertragsstrafe zahlen bzw. Honorar­kürzungen hinnehmen, die nach wenigen Tagen schon so hoch ist, das vom Honorar (von dem ich sowieso nichts gesehen habe, das hat Beth eingesackt) nicht viel übrig bliebe, aber es gäbe da einen Ausweg. Wenn wir nämlich das Gutachten nach den Wünschen des Bundestags änderten, dann träte diese Kürzung nicht ein, weil es dann ja als Änderung im Interesse des Bundestags gälte und nicht mehr unsere Schuld sei. Motto: Du kriegst Geld, wenn Du schreibst, was wir haben wollen.

Und zu den "Änderungs­wünschen" gehörten einige Streichungen, unter anderem die Microsoft-Kritik. Die musste fast ganz raus. In der Abgabe­version vom 20.2.1998 kommt Microsoft nur noch dreimal und nicht als Kritik vor (Microsoft bietet einen Sicherheits­patch gegen Angreifer, Microsoft und Siemens erweitern die Zusammenarbeit, das Gutachten hätte als Microsoft Word 97 abgegeben werden sollen - ich bin aber bei TeX geblieben.)

Damit der Leser auch mal eine Vorstellung hat, wie die Gutachten für den Bundestag, die die dann als Beleg hernehmen, zustandekommen.

Kritik an Microsoft und den USA war nicht erlaubt. Sechs Wochen vorher gab es einen Vorfall, bei dem jemand heimlich versucht hatte, einen Backup meines Arbeits­platz­rechners zu ziehen (es hieß nachher, es sei um das Gutachten gegangen), und drei Monate später war meine Promotion totgeschlagen worden. In der Dissertation hatte ich beschrieben, wie man sich gegen amerikanische Krypto­kontrolle wehren kann.

Merkt Ihr was?

Zitat: «Nach Ansicht des früheren IT-Chefs der Bundesregierung, Martin Schallbruch, sind viele staatliche Verwaltungen so abhängig von Microsoft, "dass sie nicht mehr die Wahl haben, welche Software sie nutzen wollen". Schallbruch zufolge laufen die Staaten Europas "Gefahr, die Kontrolle über ihre eigene IT-Infrastruktur zu verlieren".

Der Jurist und Diplom-Informatiker Schallbruch war bis Februar 2016 Leiter der Abteilung Informations­technik, Digitale Gesellschaft und Cybersicherheit im Bundes­innen­ministerium. Der 50-Jährige war damals ohne Angaben von Gründen überraschend in den Ruhestand versetzt worden, was in Fachkreisen einiges Aufsehen ausgelöst hatte.»[4]

Wer's Maul aufmacht, dessen Karriere ist vorbei. (Nur ist es halt ein Unterschied, ob man mit 30 totgeschlagen wird oder mit 50 weich in den Ruhestand versetzt wird, es gibt wahrlich schlimmeres als mit 50 in den Ruhestand zu gehen und ausgesorgt zu haben.) Das Thema war beidesmal das gleiche.

Zitat: «Mit seiner Einschätzung zur Lage bleibt Schallbruch nicht alleine. Michael Waidner, Direktor des Fraunhofer-Instituts für sichere Informations­technik und einer der führenden europäischen Experten für Cyber-Sicherheit, beklagte im Gespräch mit dem Recherche­team den Verlust der "digitalen Souveränität" Europas.»[4]

Haben wir am E.I.S.S. schon vor 20 Jahren gesagt. Und wurden dafür erledigt.

Zitat: «Staaten und die Europäische Union müssten "in der Lage sein, zu testen ob Hardware und Software ihrer Informations­technik nur das tun, was sie sollen und nichts sonst". Darum sollten alle Staaten darauf bestehen, dass "ihre Experten alle nötigen Informationen haben, um die Software in sicherheits­empfindlichen Sektoren zu testen".

Das sei aber mit den Produkten von Microsoft bisher nicht möglich, heißt es weiter. Das US-Unternehmen hält grundsätzlich den so genannten Quellcode für seine Programme geheim. Bekannt ist, dass US-Software­unternehmen von den verschiedenen Washingtoner Geheimdiensten bedrängt werden, ihre Produkte für staatliche IT-Experten zu öffnen.

Dass Microsoft Kunden in Europa diesen Zugang verwehrt, sehen Fachleute kritisch.»[4]

Die Sache ist noch wüster.

Als ich da in dem Promotionsstreit war, habe ich ja versucht, mich da im außer­universitären Bereich zu etablieren und RMX gebracht (siehe Anhang in Adele und die Fledermaus[ext]). Da haben sie mich dann auch umgelegt, das Ding nämlich einfach übernommen und Microsoft hat mein Verfahren für sich patentiert (und dabei die Dreistigkeit besessen, mich im Patentantrag noch als Quelle anzugeben).

Deshalb war ich aber im Zeitraum von 2002 bis 2004 auf diversen Konferenzen in den USA, hauptsächlich IETF, und dort natürlich in den Fachbereichen für IT-Sicherheit. Und da ist etwas erstaunliches passiert. Dort nämlich waren Firmen wie Google, Microsoft und so weiter, und versuchten (neben den offiziellen Rekrutierungs­ständen) so unauffällig im persönlichen Gespräch mit ausgesuchten Sicherheits­fachleuten da welche für Spezial­aufgaben zu rekrutieren. Sie würden nämlich von US-Geheim­diensten unterwandert, die ihnen in ihre Produkte Backdoors einbauten, von denen sie selbst nichts wissen. Es ist also ein Unterschied, ob einem beispielsweise Microsoft böse will oder ob sie Backdoors drin haben. Die großen US-Firmen wussten damals, dass sie Backdoors drin haben, von denen sie nichts wissen, weil sie Agenten unter den Mitarbeitern haben. Und sie suchten nun unauffällig Leute, deren Aufgabe es war, diese Agenten und Backdoors ausfindig zu machen.

Hat für mich leider nicht geklappt, obwohl sie mich auch angesprochen hatten. Über die offiziellen Rekrutierungs­wege bin ich da nicht reingekommen, weil die Promotion versaut war. Und in diese Spezial­aufgaben kam ich nicht, weil sie da nur Amerikaner nehmen wollten und ich als Ausländer da zu auffällig war und mir das Gefühl fehlte, wer sich nach amerikanischem Schema ungewöhnlich verhält. Einige Tagen nach einer solchen Konferenz bekam ich dann (wieder in Deutschland) nachts um drei einen Anruf von Microsoft, wo sie dann doch fragten, ob ich für sie arbeiten wollte, und habe dann spontan eine Art Bewerbungs­gespräch mit ihnen geführt, ihnen aber auch klargemacht, dass ich mich mit Windows nur eingeschränkt auskenne und Unix mein Ding sei und die Sache mit dem Promotions­verfahren erläutert, weil sie eben nach Lebenslauf gefragt hatten. Zwar sagten sie, dass sie ja eigentlich genau solche Leute suchten, die faule Dinger und staatliche Manipulationen im Bereich Krypto aufdecken, ich habe dann aber trotzdem nie wieder was von denen gehört. Unix war bei denen damals nicht beliebt, heute sehen sie das anders.

Zitat: «Das technische Risiko gehe einher mit einer politischen Gefahr, sagte der grüne Europa-Abgeordnete Jan Philipp Albrecht[wp], der als Vater des EU-Daten­schutz­gesetzes gilt, dem "Tagesspiegel". Microsoft unterliege US-amerikanischem Recht. Damit könne Washington das Unternehmen jederzeit zwingen, US-Behörden dabei zu helfen, Zugang zu den Daten ausländischer Behörden oder Bürger zu bekommen. Darum sei der Einsatz der Microsoft-Produkte in staatlichen Behörden "mit dem Rechtsstaat nicht mehr vereinbar", meint Albrecht.»[4]

Auch das sagen wir seit 25 Jahren.

Zitat: «Das Europäische Parlament hatte bereits 2015 gefordert, dass die EU und ihre Mitglieds­länder bei Software für die staatliche Verwaltung die Offenlegung des Quellcodes von den Anbietern verlangen. Doch sowohl die EU-Kommission als auch die Regierungen verweigern die Umsetzung des Parlaments­beschlusses. Microsoft verfügt in vielen EU-Staaten über hochrangige Kontakte in die Regierungs­apparate, ergaben die Recherchen von Investigate Europe. Für Software-Anbieter ist die Ausstattung von Behörden mit so genannten Office-Programmen ein Riesen­geschäft. In Deutschland zum Beispiel gibt der Bund derzeit etwa drei Milliarden Euro für die IT-Ausstattung aus.»[4]

Auch das habe ich schon im Zusammenhang mit der Bundestags­anhörung zum Kryptoverbot von 1997 gesagt, dass es für Deutschland nicht nur besser, sondern vor allem auch billiger wäre, die Software selbst zu schreiben als sie in den USA zu kaufen.

Das aber wollte man überhaupt nicht hören.

Und es zieht sich wie ein roter Faden durch die Sache, dass jeder, der daran rührt, seine Karriere verliert.

– Hadmut Danisch[5]
Der Feminismus hat den Bereich der IT-Sicherheit erfasst. Als eine der letzten Männerdomänen.

Um ehrlich zu sein, habe ich mich in den letzten zwei, drei Jahren da schon sehr geschüttelt, als ich in der Industrie feststellte, dass Frauen­förder­politik aus der IT-Sicherheit machte. Lustige Ratespiele veranstalteten sie, so knapp über Grundschul­niveau. Nicht irgendwie so Krypto der Netzwerk­sicherheit, starke Authentifikation oder sowas, was wir halt alles so im Werkzeugkasten rumfliegen haben, sondern: Gesellschafts­tänze. Alberne Spielchen. Quotenfrauen auf Projektposten, die andere von oben herab abkanzeln und falsche Anweisungen geben, weil sie nicht einmal die Grundlagen, nicht mal ihre Dienst­hand­bücher verstanden haben. Die Frauenförderung in der IT-Sicherheit führt, wie schon vor 20 Jahren an den Universitäten, über eine Infantilisierung, über einen völligen Niveauverlust. Es wird alles zum Sozialakt runtergestuft. Früher verwendete man Verschlüsselung, heute Wachsmal­kreiden.

Und das mit den Wachsmalkreiden meine ich wörtlich. Ich war - unfreiwillig, jeder musste - bei einer allgemeinen Unternehmens­schulung (nicht spezifisch IT-Sicherheit), bei der alle zusammen mit Wachsmal­stiften naive Malerei betreiben sollten, damit man die Papp­kärtchen nachher zu einem großen Bild zusammen­setzen kann. Und andere Spiele mit Anfassen und rumturnen, von denen ich jetzt nicht behaupten könnte, dass ich sowas nie machen würde. Ich habe solche Spiele schon gemacht und kann mich gut dran erinnern - meine Kinder­geburts­tage, so mit 7 und 8 Jahren, so die Kategorie Topfschlagen und Blinde Kuh.

Wenn aber ein Unternehmen jemanden mit 30 Jahren Berufs­erfahrung in sowas zur Zugehörigkeits­schulung schickt, weil man Frauen fördert und reinquotet, und die sich dann eben aufführen wie die Kinder­garten­mutti, dann fühle ich mich verarscht.

Und ich meine das nicht nur auf der Ebene des sich Veralbert-Fühlens: Ich habe richtig ernsthafte Sicherheits- und Datenschutz­probleme gesehen, die entstanden, weil man partout leitende Stellen mit Frauen besetzte, und dann halt welche ohne Sachkunde nahm, weil man keine mit Sachkunde fand. Wo es überhaupt nicht mehr um IT-Sicherheit oder Datenschutz geht, sondern um "Teilhabe", "Diversität" und entsprechende Quoten­besetzung aller Gehaltsstufen.

Eine Schweizer Webseite namens switch (irgendwas mit deren Netzwerk oder dem der Universitäten) hat einen Artikel A woman's dream job: IT security specialist[6], schreibt aber dazu, dass er zunächst auf deutsch erschienen sei, #Security: Traumberuf IT-Security-Expertin.[7]

Traumberuf?

Sagen wir es so: Ich habe die Schnauze inzwischen gestrichen voll davon. Man kämpft endlos gegen Windmühlen, wird oft nur als der Spiel­verderber angesehen, der, zu dem man sich in die Schulung setzen muss, oder wie man in derselben Publikationen­gruppe schrieb: Sicherheit ist ein unerträglich langweiliges Hindernis.[8] Alle schreien sie, dass die Bedrohung immer höher steige, kritische Infra­strukturen und sowas, und gleichzeitig bewegt sich die Firmen­mentalität oft in Richtung "Scheiß drauf!". Weil man immer mehr Schwätzer und Windbeutel in den Führungs­etagen hat, und weil der Wettbewerb und Zeit- und Kosten­druck immer härter wird, und IT-Sicherheit als ungeliebte Pflicht, nicht als Umsatzbringer aufgefasst wird.

Ich kann mich noch erinnern, an eines der ersten Papers, mit denen ich mich damals befasst hatte: With Microscope and Tweezers: An Analysis of the Internet Virus of November 1988.. 1988. Das war vor 33 Jahren. Und immer noch haben wir dieselben Probleme, immer noch kommen solche Angriffe wie Puffer­überläufe und so weiter vor.

Die Politik legt den - von mir schon so oft beschriebenen - Schweine­zyklus hin, in dem sich die Fragestellungen alle 10 Jahre und im Großen nochmal alle 20 Jahre wiederholen. Man kann den Leuten erklären, so viel man will, kapieren werden sie es sowieso nicht, aber irgendwann halten sie die Klappe, wenn sie merken, dass sie da kein politisches oder pekuniäres Kapital draus schlagen können, aber kaum ist die nächste Generation von Politikern da, geht der ganze Schwachsinn von vorne los. Die informieren sich nicht, was schon gelaufen ist. Man bekommt ständig frische Idioten und Schwätzer.

Dazu kommt, dass die IT-Sicherheit primär schon lange nichts mehr mit dem Abwehren von Angreifern zu tun hat, sondern zum drögen Sach­bearbeiter-Job geworden ist. Man schreibt endlose Dokus, die nie jemand liest außer den Auditoren, muss ständig irgendwelche Frameworks, Normen, Grund­schutz­handbuch erfüllen, Audits und Zertifizierungen über sich ergehene lassen und rennt in einer riesigen Bürokratie­maschine im Kreis, in der unzählige Unternehmens­beratungen, Behörden, Sessel­furzer, Beamte, Ministerial­monster ihr Auskommen gefunden haben und sich gegenseitig mit unglaublichen Mengen von Papierkram (meist digital) zuwerfen, es aber längst keine Bedeutung in Bezug auf IT-Sicherheit mehr hat. Kann schon sein, dass man dem Auditor für die Zertifizierung mal eine 1000-seitige Doku übergibt, weil die Software für die Dokumentation so viel Blubber erzeugt. Muss ja jede Türklinke erfasst werden, und jeder Zugang dokumentiert. Während die Presse jodelt, dass die Russen und Chinesen alles angreifen, manipulieren, ausspionieren.

IT-Sicherheit dient schon lange nicht mehr der Abwehr von Angreifern, sondern fast nur noch dafür, dem Vorstand den Rücken freizuhalten - wenn etwas anbrennt, muss der vorweisen können, dass alle bestehenden Kataloge mit grünen Häkchen abgehakt sind und ihm nichts anzulasten ist.

Faktisch steht die IT-Sicherheit auf verlorenem Posten, der nicht mehr zu halten ist.

Einmal, weil man kaum noch qualifiziertes IT-Personal bekommt. IT ist heute ein Sammel­becken für Luftikusse, Schwätzer, Tunnel­blicker jeder Art, denen es auch um gar nichts anderes mehr geht, als fristgerecht irgendwas abzuliefern - und abzurechnen. Die Sachkunde geht immer weiter runter. Ich habe in den letzten 10 Jahren eine rapide Zunahme der Leute in der IT-Branche bemerkt, denen ich erklären musse, was eine ssh[wp] ist. Ich hatte über Jahre hinweg in den Schulungen eine Verständnis-Falle drin. Ich habe gesagt, dass man sich System A auf System B per ssh einloggt, und aus Sicherheits- und Datenschutz­gründen dazwischen im Netz ein System C hängt, das alle Befehle mit­protokolliert, damit man nachvollziehen kann, was man getan hat, weil die Zertifizierung das braucht. Nicht nur die Zahl der Leute, die da (sollten sie ja als Aufmerksamkeits­test, C hatte in dem Fall Kopien der Schlüssel und spielte MITM[wp], was ich als Aha-Effekt eingebaut hatte) protestierten, weil das doch gar nicht gehen könne, ist doch verschlüsselt, nahm rapide ab. Ich habe auch immer öfter erlebt, dass die Leute die Pointe nicht mal mehr begriffen, wenn ich das erklärt habe. Leute, die einen nur noch verständnislos anglotzen und bei denen gar nichts mehr Klick macht, wenn man ihnen sagt, dass das doch so eigentlich nicht gehen kann, dass C die Kommunikation zwischen A und B protokolliert (wenn man noch nicht gesagt hat, dass C Schlüssel­kopien hat), weil es doch verschlüsselt ist. Die Leute kapieren nicht mehr, dass "verschlüsselt" bedeutet, dass ein Dritter nicht mitlesen kann.

Und dann kapieren die auch andere grundlegende Dinge nicht mehr - von denen man eigentlich erwarten müsste, dass sie sie schon wissen und man sie ihnen nicht erst noch erklären müsste.

Gleichzeitig verlieren wir immer mehr die Kontrolle über unsere Software, weil der Stand der Software­technik ist, sich einfach irgendwelche Libraries und Tools von irgendwo aus dem Internet runterzuladen und zusammen­zu­nageln, ohne noch zu wissen, woher sie kommen und wer die geschrieben hat. Die dann noch dazu ihre Dependencies haben und iterativ, rekursiv ihrerseits noch allen möglichen Krempel von irgendwo runterladen. Einen Haufen Mist unbekannter Herkunft nagelt man zusammen, nennt das dann "Software­technik" und wundert sich, wenn es Sicherheits­löcher hat.

Und dann soll man da als der IT-Sicherheits­heini sitzen, das alles irgendwie sicher machen und dran schuld sein, wenn's nicht dicht ist.

Ich weiß nicht (mehr), was da schon unabhängig von der Achse Mann-Frau noch "Traumberuf" sein soll.

Es war sowieso noch nie ein "Traumberuf", aber es war mal ein hoch interessanter, wichtiger und elitärer Beruf, der nur von wenigen überhaupt ausgeübt werden konnte. Heute ist alles Geschwätz, weil man das Gefühl hat, dass es nur noch vier Berufe gibt: Supermarkt­verkäuferin, Kita-Tante, Kranken­schwester und "irgendwas mit IT".

Und die wollen nun die IT-Sicherheit noch für Frauen kapern.

Zitat: «Laut einer Studie liegt der Frauenanteil unter IT-Security-Expertinnen und Experten bei 25 %. Das ist zu wenig, um dem drohenden Fachkräftemangel und der immer komplexeren Bedrohungslage mit der nötigen Diversität entgegen­zu­wirken.»[7]

Ja.

Frauenförderung heißt, einen Fachkräftemangel auszunutzen, indem man die Gelegenheit nutzt, Unqualifizierte unterzubringen.

Zitat: «Aber wie wird man IT-Security-Expertin? Darja-Anna Yurovsky, Babara Flaad und Katja Dörlemann arbeiten im Computer Emergency Response Team von Switch (SWITCH-CERT) und sind Expertinnen für Incident Responding sowie IT-Security Awareness. Sie erzählen uns, wie sie zum Berufsfeld IT-Security gekommen sind und was sie dort hält.»[7]

Jo. Als ob die Telefon­zentrale der Feuerwehr erklärt, wie Chirurgie funktioniert.

Zitat: «Darja: Ursprünglich habe ich Politik­wissen­schaften studiert und mich auf internationale Beziehungen spezialisiert. Da ich mehrere Fremdsprachen spreche, schien das naheliegend. Nach meiner Zeit im Militär habe ich jedoch festgestellt, dass mir der Umgang mit IT noch mehr Freude macht. Zurück an der Universität, entdeckte ich zusätzlich die Begeisterung für Datenanalysen, Statistik und die interessanten Erkenntnisse, die so gewonnen werden. So landete ich nach dem Studium als Daten­analystin bei der Polizei und entwickelte mich dort weiter zur IT-Ermittlerin. Nun bin ich als Incident Responderin bei Switch und mache nebenberuflich ein Zweitstudium in der digitalen Forensik.»[7]

Von der Politikwissenschaft in ein Beruf gewechselt, in dem man Gehalt bekommt. Hat nur eben nicht viel mit IT-Sicherheit zu tun.

Typische Frauenförder­karriere: Ausbildung und berufliche Tätigkeit kommen nicht oder kaum vor, aber hochtrabende Job-Beschreibungen. Nicht "Ich kann, ich habe gelernt", sondern "Ich bin Incident Responderin". (Wenn man schon deutsche Endungen an englische Bezeichnungen wie bei Speakerin hängt, ist das für mich immer ein untrügliches Indiz, dass sowieso nur Geschwätz kommt.) Das ist das, was ich schon oft beschrieben habe: Frauen agieren nicht nach Wissen und Können, sondern nach sozialer Stellung. Die wollen und müssen das nicht können, sondern die Bezeichnung haben. Professorin. Responderin. Und sowas.

Zitat: «Katja: Bei mir lief es auch eher ungeplant. Für ein Projekt zum Thema IT-Security-Awareness suchte das Horst-Görtz-Institut der Ruhr-Universität Bochum nach Studierenden mit Kommunikations­expertise. Das Thema hat mich sofort begeistert! IT-Security Awareness bedeutet Brücken bauen zwischen zwei Welten - als Übersetzerin, Vermittlerin und Trainerin zu gleichen Teilen. Es geht wie in den Literatur­wissen­schaften um Kommunikation, Interpretation und Übersetzung. Ich musste und muss viel Neues lernen, aber von da an hat mich das Thema nicht mehr losgelassen und so bin ich nach einigen Jahren als Consultant bei Switch gelandet.»[7]

Genau das, was ich eingangs beschrieben habe. Eigentlich keine Ahnung, aber Workshops mit Wachsmalkreiden und alberne Ratespiele abhalten.

Zitat: «Barbara: Nach einem Informatik-Studium arbeitete ich an einer Fachhochschule in der zentralen IT als Teamleiterin. Als 2012 die Rolle der IT-Sicherheits­beauftragten besetzt werden musste, fiel die Wahl auf mich. In einigen Weiter­bildungen konnte ich mich in diesem Fachgebiet vertiefen und erkannte bald die spannenden und vielfältigen Aufgaben, die mich bis heute faszinieren.»[7]

Auch so eine Frauenkarriere. Immerhin mal ein Informatik-Studium, aber Team­leiterin und nicht technisch. Dann musste ein "Rolle besetzt" werden und Frau wird ernannt. Nicht gelernt, nicht erarbeitet, sondern Stellung in der Rudel-Rang­ordnung erklommen. Und dann ein paar "Weiter­bildungen".

Zitat: «Was genau macht ihr im SWITCH-CERT?

Barbara: Ich bin Projektleiterin und Awareness-Spezialistin.»[7]

Wenn ich so einen Scheiß schon lese: Awareness-Spezialistin. Auf deutsch: Labertante und Spezialistin für gar nichts. Wachsmalkreiden und sowas.

Zitat: «Hauptsächlich arbeite ich mit der Community und den Themen des Bereichs Registry und Internet­sicherheit. Das beinhaltet die verschiedensten Tätigkeiten: von der Entwicklung von Webseiten über die Organisation von Veranstaltungen bis hin zur Begleitung der Umsetzung technischer Sicherheits­maßnahmen.»[7]

Ach, so IT-Sicherheit schon mal aus der Entfernung gesehen...

Zitat: «Katja: Obwohl Barbara und ich beide als Awareness-Spezialistinnen arbeiten, ist unser Aufgabenbereich doch nicht derselbe. Ich konzentriere mich auf die Community-Arbeit mit den Schweizer Hochschulen, unseren Game-Design-Ansatz und das Engagement in nationalen Initiativen zur Sensibilisierung der Schweizer Bevölkerung, wie zum Beispiel iBarry. Es gibt in der IT-Security-Awareness eben auch verschiedene Bereiche und Ansätze, die wiederum verschiedene Fähigkeiten benötigen.»[7]

Auch nur Blabla und Soziales.

Zitat: «Darja: Im SWITCH-CERT bin ich als Incident Responderin tätig und pflege die Beziehungen zu verschiedenen Behörden aus der IT-Security-Perspektive. [...]»[7]

Beziehungspflege...

Zitat: «Darja: Der Faktor Mensch spielt eine immer grössere Rolle für IT-Security-Prozesse. IT-Security darf nicht mehr nur technologisch gedacht, sondern muss ganzheitlich angegangen werden. Schließlich ist es so: Alle technischen Sicherheits­maßnahmen der Welt nützen nicht viel, wenn Nutzerinnen und Nutzer Passwörter wie "12345" wählen, um den Zugang zu ihren Daten zu schützen.»[7]

Ganzheitlich. Wie ganzheitliche Medizin.

Zitat: «Katja: Da kommt IT-Security Awareness ins Spiel. Die größte Herausforderung hierbei ist, mit der fortschreitenden Digitalisierung Schritt zu halten. Das Sichern der eigenen Daten wird stetig komplexer - immer längere Passwörter, Multi-Faktor-Authentifizierung, unverständliche AGBs, Phishing[wp]-Mails erkennen etc. Es braucht in Zukunft mehr Aufklärung und mehr Informationen.»[7]

Wenn man das so liest, dann machen die Damen eigentlich gar nichts mit IT-Sicherheit selbst, sondern nur so Soziologen­akrobatik rund um das Erleben der IT. Phishing-Mails erkennen. Nicht etwa, wie man Phishing technisch verhindert. Das Drama der immer längeren Passwörter.

Pathologischer Befund

Was wir hier sehen ist symptomatisch.

Es reduziert sich alles nur noch auf Geschwätz­praktiken und so eine Art Erlebens­prozess der Digitalisierung. Eigentlich mehr so, wie man aus sozialer Sicht mit unsicheren Systemen umzugehen, anstatt Systeme sicher zu machen.

Die Infantilisierung und Zerschwätzung der IT geht Hand in Hand mit der frauen­fördernen Frauen­einpumpung, weil sich das gegenseitig bedingt und hochschaukelt. Auf der einen Seite muss das Ding "frauen­gängig" gemacht werden, und deshalb von der Technik zum Sozial-Event umgebaut werden, in dem sich die Hauptsache darum dreht, mit Menschen zu interagieren. Auf der anderen Seite pumpt man der Quote, Diversität und Gleichstellung wegen jede Menge Frauen - Stichwort: "Quer­einsteiger" - ohne adäquate Ausbildung und Berufs­erfahrung in die IT-Sicherheit, die ihrerseits das dann alles wieder runterziehen und zu Blubbe­revent machen. Es geht eigentlich nicht mehr darum, irgendetwas sicher zu machen, sondern das Erleben unsicherer System zum sozialen Event zu machen - und Arien darüber zu schreiben, wen sie benachteiligen.

Die - öffentliche - IT-Sicherheit ist tot und die Frauenförderung einer ihrer größten Sargnägel.

Das war mir spätestens klar, als die Wachsmal­stifte und die Ratespiele kamen.

– Hadmut Danisch[9]

Politisierung der IT-Sicherheit

Ein Puzzlesteinchen, warum ich die Schnauze so gestrichen voll von dem Job und dem Arbeiten in der IT-Sicherheit habe.

Ich habe das ja in den letzten Jahren schon so ausgiebig beschrieben, dass einem selbst in einem brisanten und hoch­technischen Thema wie der IT-Sicherheit, in dem es wirklich darauf ankommt, die Dinge sachlich und kritisch zu betrachten, und dem angrenzenden Thema Compliance[wp], wo es eben auch auf Gesetze und sowas ankommt, immer mehr solcher Political-Correctness-Zombies und Quoten­monstren entgegenkommen, und dass die fachliche Kompetenz und die Beschäftigung mit dem Thema immer mehr durch Wokeness und Political Correctness ersetzt wird. Ich habe gerade einem großen Konzern dabei zugesehen, wie eine ehemals sehr gute IT-Sicherheits­struktur und -mannschaft mit dem großen Hammer durch Quotenfrauen und Black-Lives-Matter-Aktivisten ersetzt wurde, und dann in Sachen Datenschutz, Compliance, IT-Sicherheit immer weniger lief, immer mehr grobe und schwere Fehler passierten, und das immer mehr auf Ebene von Befehls­empfängern, Ratespielen, Wachsmal­kreiden und Auslieferung der internen Kommunikation an amerikanische Cloud-Dienst­leister ablief, die IT-Sicherheit rapide zum Sachbearbeiter-, Versorgungs- und Quotenjob degradiert wurde.

Nun hatte ich doch gerade was zu dem Vorgang geschrieben, bei dem die Polizei in einer Todesfall­ermittlung auf Kontaktdaten aus der Luca-App zugegriffen hatte, dabei aber einen anderen Standpunkt als die breite Medien­öffentlichkeit eingenommen.[10] Während alle mir bekannten Äußerungen zu dem Thema darauf hinausliefen, dass die Polizei unrechtmäßig auf die Daten zugegriffen hätte, die Polizei also die Bösen seien, war ich zu einem anderen Ergebnis gekommen, nämlich dass nicht die Polizei, sondern eher das Gesundheitsamt gegen geltendes Recht verstoßen hat, weil das anzuwendende Recht sich dem Wortlaut nach nur auf das Gesundheitsamt und nicht die Polizei bezieht, und für Polizei und Staatsanwaltschaft dann erst mal deren allgemeine Ermittlungs­befugnisse gelten. Ich also den Verstoß, wenn überhaupt einer vorliegt, bei dem der gibt sehe, und nicht bei dem, der nimmt. Vor allem aber sehe ich das Hauptproblem darin, dass die Gesetzes­texte und Verordnungen einfach Murks sind, und das in meinen Augen daran liegt, dass immer mehr Ungebildete und Bildungs­versager in den Parlamenten sitzen und als Gesetzgeber fungieren. Vereinfacht gesagt: Wer so wenig Sprach­kenntnisse und Sprach­verständnis hat, dass er für das Gendern ist, der ist auch nicht in der Lage, verständliche Gesetzestexte zu formulieren. Man kann nicht einerseits Leute in ein Parlament wählen, die ständig Sprache umbauen und Begriffe umdefinieren oder die Bedeutung von Sprache verschieben, wie es ihnen tagesaktuell gerade passt, und dann erwarten, dass dabei klare und verbindliche Normentexte herauskommen.

Ein Leser schickt mir dazu einen Screenshot aus dem mir bis dato nicht bekannten "Kuketz-Forum IT-Sicherheit - Datenschutz - Hacking": [...]

Postings landeten im "Papierkorb", weil mein Blog "bekannt kontrovers" sei.

Das war bisher eigentlich so, dass "Kontroversen" ein elementarer und unverzichtbarer Grundbaustein der IT-Sicherheit waren. IT-Sicherheit hat schon immer darauf beruht, dass wenn 99 glauben, etwas wäre sicher oder gut, der Hunderste kommt und zeigt, dass es anders ist, anstatt sich der Gruppen­meinung anzuschließen. Weil das in der IT-Sicherheit fast immer so ist, dass Lücken und Fehler immer nur von einer kleinen Minderheit entdeckt werden, weil sie sonst normalerweise nicht gemacht würden, wenn sie zu offensichtlich wären.

Der Leser meint, es wäre sinnvoll, sich dazu mal deren Forenregeln anzuschauen, auf deren Abschnitt 2.2 man sich da bezieht.

Zitat: «2.2 Eingriff in Beiträge
[F]: Ein Moderator hat in meinen Beitrag eingegriffen. Warum tut er das?
[A]: In speziellen Fällen kann ein Moderator einen Beitrag anpassen bzw. verändern:
  • Korrektur bzw. Entfernung von Links (URL-Shortener-Links, URLs zu Verschwörungs­theorien, Änderung von Galerie- in Bild-Direktlinks)
  • Kürzung von Zitaten
  • Zusammenlegung von Beiträgen
  • Entfernung von Beiträgen, die wahrscheinlich gegen geltendes Recht verstoßen (Urheberrecht, Datenschutz etc.)

Hinweis: Der Eingriff in Beiträge ist nicht mit Zensur zu verwechseln. Als Foren­betreiber ist es mein gutes Recht, wenn ich bspw. Links zu Seiten, die Verschwörungstheorien verbreiten bzw. diese befeuern, zu unterbinden. Zensur wird in der Regel vom Staat oder dem Staat zurechenbare Stellen ausgeübt. Es gilt: Nicht jeder "Bullshit" wird hier toleriert.»[11]

Man sieht sofort, dass Begründung und Regeln schon nicht zusammenpassen. Da passte wohl einfach die Auffassung politisch nicht, dass nicht die Polizei hier die Böse ist, sondern das Gesundheitsamt, und der Gesetzgeber zu blöd.

Interessant ist deshalb auch

Zitat: «I. Regeln

Das Kuketz-Forum legt großen Wert auf eine angemessene Diskussions­kultur. Ein freundlicher und respektvoller Umgang mit anderen Teilnehmern sollte eine Selbst­verständlichkeit sein. Dazu zählt ebenfalls, andere Meinungen zu respektieren und die Würde eines jeden Einzelnen zu achten. Halte dich beim Verfassen oder Beantworten von Beiträgen daher bitte an die nachfolgenden Grundsätze bzw. Regeln.»

So, so. Ein respektvoller Umgang, andere Meinungen zu respektieren. Die Würde jedes Einzelnen zu achten.

Aber nur dann, wenn die Meinungen in den linken Mainstream passen. Ob etwas richtig ist, interessiert nicht. "Kontrovers", also schon die bloße Abweichung vom Mainstream, reicht bereits zur Löschung.

Drollig deshalb auch die Selbstbeschreibung:

Zitat: «Der Kuketz-Blog und das begleitende Forum sind eine Informations- bzw. Austauschs- Plattform für Menschen, die sich kritisch mit den Themen "IT-Sicherheit" und "Datenschutz" befassen möchten.

Das Ziel: Sicherheits- und datenschutz­relevante Themen leichter verständlich und für jedermann zugänglich zu machen.»[12]

Eine Plattform für Menschen, die sich "kritisch" mit IT-Sicherheit und Datenschutz befassen. Aber sofort gelöscht werden, wenn sie "kontrovers" sind, da Fehler bei Gesundheitsamt oder Gesetzgeber sehen und nicht dem linken Mainstream folgen, die Polizei als Allein­schuldigen anzusehen.

In seiner Gesamtheit ist das absurd. Aber genau solche Effekte, die Unterwanderung einer ganzen Branche, eines Aufgaben­bereichs durch Political Correctness-Geschwätz und Cancel-Culture, die dann dazu führen, dass man Sicherheits- und Datenschutz­probleme nicht mehr ansprechen kann und darf, weil man gefälligst der verordneten Mainstream-Meinung zu gehorchen hat, sind der Grund, warum mir die Branche, die Tätigkeit nach 30 Jahren inzwischen so zum Hals raushängen, ich da nicht mehr arbeiten will. Ist mir neulich so gegangen. Ich hatte darauf hingewiesen, dass es hochkritisch ist, seine gesamte Unternehmens­kommunikation in amerikanische Cloud-Dienste zu verlagern, dazu Kommunikations­dienste auf den Rechnern zwangs­zu­installieren, die eine völlige Überwachung ermöglichen, dazu noch das Eindringen auch in die privaten Netzwerke der Mitarbeiter im Home-Office, oder Dienste einzusetzen, die von den deutschen Datenschutz­beauftragten - zu Recht - als unzulässig eingestuft werden.

Ergebnis: Wie kannst Du es nur wagen, vom Mainstream abzuweichen. Das macht man heute eben so, das ist so beschlossen.

In dem Moment, in dem man als IT-Sicherheits­berater oder -verantwortlicher kein Gehör mehr findet und auf die Erwartungs­haltung trifft, das Maul zu halten und sich Kritik zu verkneifen, ist die Sache eigentlich gelaufen. Dann kann man einpacken und gehen.

Und genau das beobachte ich seit gewisser Zeit in der IT-Sicherheit.

Ursprünglich, damals an der Uni die Sache mit dem BND, in technischer Hinsicht, nämlich Verschlüsselungen.

Inzwischen auch sehr stark in Sachen Political Correctness, Wokeness, oder einfach Gehorsam gegenüber der diktierten Meinung[wp]. [...]

Die IT-Sicherheit hat fertig.

– Hadmut Danisch[13]

Rekrutierung für die IT-Sicherheit

Ein Leser verweist auf diese Meldung bei MMNews[ext]: "Deutsche Bank holt ihre russischen IT-Experten nach Deutschland", bezieht sich auf diesen Handelsblatt-Artikel[ext] hinter Paywall, in dem aber zumindest die wesentliche Aussage noch zu lesen ist:
Zitat: «Die Deutsche Bank hat mehrere Hundert ihrer russischen IT-Experten nach Berlin übersiedeln lassen. Eine mittlere dreistellige Zahl der insgesamt rund 1500 Programmierer des russischen Technologie­zentrums sei nach Deutschland gekommen, sagten Insider dem Handelsblatt. Die Bank habe allen Beschäftigten des russischen Tech-Zentrums eine Stelle in Deutschland angeboten. Das Institut wollte sich nicht dazu äußern.

Die Zahl der russischen Mitarbeiter, die in ein neues Technologie­zentrum der Bank nach Berlin wechseln, könnte noch steigen: Insgesamt habe eine hohe dreistellige Zahl der russischen Mitarbeiterinnen und Mitarbeiter, auf jeden Fall mehr als die Hälfte, an dem Angebot Interesse gezeigt, sagten mit dem Sachverhalt vertraute Personen dem Handelsblatt.»

Dazu stellt der Leser eine Frage, oder nein, er übernimmt eine Frage aus diesem Forum[ext]:

Zitat: «Allein die Deutsche Bank hat 1500 "Programmierer" in Russland?

Das wirft natürlich jetzt ein ganz anderes Licht auf Sätze, die mit "Russische Hacker haben..." beginnen! TB [...]»

Weiß ich nicht, was die Deutsche Bank sich dazu denkt.

Allerdings halte ich 1.500 Programmierer auch nicht für zuviel, denn wenn ich mir die Software-Qualität der Deutschen Bank und ihrer Töchter so anschaue, dann brauchen die noch viel mehr als 1.500 Programmierer. Oder mal 50 richtig fähige. [...]

Die Russen sind traditionell nicht nur exzellente Mathematiker und Ingenieure, sondern auch in der IT ziemlich gut, sagen wir mal vom Können her, nicht unbedingt immer in der Qualität. Das ist so ähnlich wie in der Luftfahrt. Flugzeuge und Hubschrauber konstruieren, das können sie wirklich gut. Aber die Dinger hinterher zu warten und instand zu halten, und nicht irgendwelchen gefälschten oder unpassenden Mist einzubauen oder in Korruption abzusaufen, das wird dann schwierig.

Allerdings geht damit dann eben auch eine Gefährdungslage einher, vor allem dann, wenn man die Leute nicht mehr einzeln und persönlich kennt. Wir haben durchaus eine Bedrohung durch die russische Regierung und den russischen Geheimdienst, und um es mal klar zu sagen: Wir sind im Krieg.

Ich hatte - auch schon oft erwähnt - so kurz nach dem Jahr 2000 mal so ein Erlebnis auf einer der amerikanischen Sicherheits­konferenzen, als ich im Zuge meines Krypto-Promotions­streites (denn ich persönlich übrigens auch unter IT-Sabotage durch Geheimdienste einordne, aber eben BND und CIA/NSA) verdichtet zu Konferenzen in die USA gefahren bin, um da irgendwie Kontakte aufzubauen oder nach Jobs zu suchen. Tatsächlich hatten da Firmen wie Google und Microsoft auf diesen Konferenzen, die in Tagungs­hotels stattfanden, kleine Räume angemietet und baten da Leute, die ihnen interessant erschienen, zum Bewerbungs­gespräch. Ich wurde da auch gebeten, aber in praktisch allen Fällen machte mir da der Promotions­streit einen Strich durch die Rechnung. In einem Falle war das anders, da hätte mir das sogar zum Vorteil gereichen können, weil sie sagten, was ich damals auch nur über einen direkten mündlichen Kontakt erfahren habe, dass die amerikanischen Firmen unauffällig und am Rande so kleine krypto­erfahrene Widerborsts suchten, weil sie wussten, dass ihnen die amerikanischen Geheimdienste getarnte Agenten in die Firmen eingeschleust hätten, die da (vgl. die Crypto AG und Omnisec in der Schweiz) als Programmierer wohl unbemerkt Hintertüren einbauten, ohne dass die Firmen selbst davon wüssten oder damit einverstanden seien. Sie suchten deshalb Leute, die sowas unauffällig und getarnt aufspüren könnten. Allerdings falle ich da völlig aus dem Raster, weil ich persönlich zwar gepasst hätte, sie aber dafür keine Ausländer nehmen können, man US-Amerikaner sein und außerdem mutter­sprachlich und kulturell dort voll verankert sein müsse, um die Nuancen und Unregel­mäßigkeiten erkennen zu können, und um selbst nicht aufzufallen.

Wenn die Amerikaner sowas machen, habe ich wenig Zweifel daran, dass die Russen es auch machen. Warum? Weil ich weiß, dass die Chinesen es machen.

Es ist also durchaus kritisch.

Aber was sollen sie machen? Wo will man hier in Genderland noch 1.500 Programmierer herbekommen, die wenigstens in der Lage wären, zu ihrem Arbeitsplatz zu finden?

Wer wäre da vertrauenswürdiger?

Deutschland? Die Frage stellt sich nicht, weil man hier keinen Haufen von 1.500 befähigten Leuten mehr findet.

USA? Siehe oben.

Indien? Oh, nee, bitte nicht. Das ist mitunter sehr wüst und qualitativ höchstens fiktiv.

Das Problem ist deshalb nicht so sehr, dass die Deutsche Bank da 1.500 Russen angestellt hat.

Das Problem ist, dass wir keine Alternative dazu haben.

Von der Gefahr einer Unterwanderung durch russische Geheimdienste mal abgesehen halte ich es aber für sinnvoll, russische Programmierer abzuwerben. Denn deutlich besser als die reingequotete Genderfront sind sie.

– Hadmut Danisch[14]

Scheingeschäfte mit IT-Sicherheit

Ein Leser schreibt mir zu den Vorgängen im Bundesland Kärnten:
Zitat: «Hallo Herr Danisch,

wahrscheinlich in Deutschland gänzlich unbemerkt, ist vor Wochen schon das österreichische Bundesland Kärnten von technical dept collectors besucht worden, die das ganz klassisch geransomed[wp] haben, Geld wollen und dann, weil keiner zahlte, ein paar Daten geleakt haben.

So normal, so unspannend.

Heute gab es dazu allerdings eine Pressekonferenz, die sich kein Satiriker besser ausdenken hätte können.

Der Standard berichtet, aber lässt die Highlights weg:

https://www.derstandard.at/story/2000136331154/erneute-hackerangriffe-auf-land-kaernten-laut-landeshauptmann-kaiser-abgewehrt

Das ganze Video gibt es hier:

https://www.facebook.com/peter.kaiser.kaernten/videos/1116094258974575/

Ein paar Highlights:

Kein einziger IT-Mensch da. Der Cybersecurity-Experte hat Politikwissenschaften studiert, der IT-Leiter Jus (Jura). Bei 12:50 hält der IT-Leiter tatsächlich ihre eingerahmten ISO 9001 und ISO 27001 Zertifikate in die Kamera, um zu erklären, dass sie eh super sicher sind. Danach liest er stichpunktartig die TOMs vor.

Bei 21:45 wird lang und breit erklärt, dass die Russen schuld sind, und Diktator Putin das Umfeld dafür schafft. Bei 24:48 wird gefragt, wie oft es Backups gibt, und der IT-Chef des ganzen Bundeslandes erklärt dann, Microsoft bringt jedes Monat Backups heraus, die dann eingespielt werden. Er kennt offensichtlich den Unterschied zwischen Backups und Updates nicht.

Jetzt kann man da sicher lachen und sagen, jaja, haha, Ösis in Kärnten. Aber jeder, der mal in einer größeren Firma (die nicht IT-Dinge als Hauptaufgabe macht) oder gar der öffentlichen Verwaltung war, sollte sich mal überlegen, wie viel besser das dort ablaufen würde...

Das ist die westliche IT-Welt, die unsere Politik und Universitäten in den letzten Jahren geschaffen haben!»

Die Stelle mit den von Microsoft herausgegebenen Backups, die monatlich eingespielt werden, habe ich mir jetzt schon angehört. Und das soll der "IT-Chef" sein.

Das ist ein Effekt, den ich schon lange beobachte und beschreibe, in den auch die ganzen Quotenfrauen gehören: Man hat eine große Menge von geisteswissenschaftlich totstudierten Menschen, für die auf dem Arbeitsmarkt keinerlei Bedarf ist, und die zu alt sind, um in ihrem Leben noch irgendwas zu lernen, aber dafür parteinah. Dann sieht man, dass in Informatik ordentlich gezahlt wird und "Fachkräftemangel" herrsche, also denkt man sich, dass man die Leute da einfach reindrückt, weil es doch sowieso keine Befähigung gibt und da alles nur ansozialisierte Gruppentänze sind. Quality is a myth und man ist nur das, wofür andere einen halten.

Passt dazu, dass ich mich 2008 ja schon mal mit dem damaligen BSI-Chef auf einer Konferenz vor Publikum angelegt habe, weil der die Auffassung der Bundesregierung verkündete, dass IT-Sicherheit eben sei, wenn eine IT-Sicherheits­branche melde, dass sie steigende Umsätze habe, ganz egal, was IT-Sicherheit überhaupt ist.

Und so wird auch die IT in den Führungs­positionen mit unfähigen Leuten vollgepumpt und im Ergebnis dann eben sowas wie Kärnten zerschossen.

Und das mit den ISO 9001 und ISO 27001-Zertifikaten ist auch ein ziemlicher Mist. Dieser ganze Zertifizierungs­kram ist zwar recht hübsch, einen an vieles zu erinnern, woran man vielleicht nicht denken würde. Aber wenn man daraus keine Konsequenzen zieht, wird es eben nicht sicher. Diese Zertifizierungs­kram heißt vor allem, dass man sich das Problem X angeschaut und was dazu entschieden und geschrieben hat, aber nicht, dass es sicher ist. Man kann da auch reinschreiben, dass man extra einen eingestellt hat, dessen alleinige Aufgabe es ist, die Risiken erkannt zu haben und in Kauf zu nehmen.

Die Zertifizierungen erfüllen in der Praxis damit vorrangig einen bestimmten Zweck: Die Geschäfts­leitung mit einem Katalog jährlich aufgefrischter grüner Haken zu versorgen, mit dem sie im Katastrophenfall nachweisen können, dass sie es nicht verpennt haben. Das dient nur dazu, dass nicht der Kopf der Geschäfts­leitung, sondern der irgendeines Mitarbeiters rollt.

Ich hatte mich vor noch gar nicht allzulanger Zeit mit der IT-Sicherheits­abteilung eines Konzernbereichs gefetzt. Ich hatte festgestellt, dass etwas unsicher ist und man das so nicht machen kann. Die IT-Sicherheits­abteilung sagte mir aber, dass sie sich nicht in das operative Geschäft einmischen und nur im Hintergrund dokumentieren. Was das für ein Blödsinn sei, hatte ich gefragt. Wenn man sich nicht ins Operative einmische, würde ja überhaupt nichts sicher.

Sie betrachteten es auch nicht als ihre Aufgabe oder auch nur ihre Fähigkeit oder ihr Ziel, etwas sicher zu machen oder Angriffe zu verhindern, antworteten sie mir. Ziel und Zweck ihres riesigen Verwaltungs­aufwandes und der Erfassung aller Vorgänge sei es, dann, wenn etwas schief geht, der Geschäfts­leitung sofort sagen zu können, wer dran schuld ist.

Man macht also nicht Sicherheit im technischen Sinne, nicht in dem Sinne, dass man irgendwas verhindert, sondern in dem Sinne, dass die Konzernleitung in der Sicherheit leben kann, dass sie im Schadensfall einen Schuldigen parat haben, den sie feuern können, und dann selbst nicht dran schuld sind.

Und je unfähiger die Leute sind, desto steiler machen sie Karriere, weil die Geschäftsleitung das gar nicht will, dass die IT-Sicherheit machen, sondern nur so tun als ob und viel Papier produzieren.

Das ist alles nur noch Witz und Hohn.

Ich habe vor 20 Jahren mal als Bewerber ein Bewerbungs­gespräch abgebrochen und bin gegangen. Ein Headhunter hatte mich zu einer Firma gefahren, so als Überraschung, ich wusste vorher nicht, zu welcher Firma wir fahren, sollte aber da der Datenschutz­beauftragte werden. In einer Firma, in der das eine ziemlich kritische Sache wäre. Als ich diskutieren wollte, was da wie zu machen wäre, sagte man mir direkt und unverhohlen, dass ich mich rauszuhalten hätte. Ich würde nicht dafür bezahlt, dass ich was tue, sondern dafür, dass ich nichts tue und mich darauf beschränke, ein Türschild mit "Datenschutz" drauf zu haben. Ich würde gut bezahlt, bräuchte nichts zu arbeiten, und es wäre in Ordnung, wenn ich den größten Teil meiner Arbeitszeit auf dem Golfplatz verbrächte. Dafür wäre ich dann der, der rausfliegen muss, wenn was anbrennt.

Ich hatte mich auch schon auf solche Stellen als Daten­schützer oder IT-Sicherheits­leiter beworben, nur um dann vorne- oder hintenrum herauszufinden, dass die Ausschreibungen nicht echt waren und man gar niemanden einstellen wollte, aber nach außen hin den Anschein erwecken wollte, dass man sich schon darum gekümmert hätte, aber leider, leider - schlimmer Fachkräftemangel - niemanden gefunden habe. Oder auch nur so tun will, als prosperiere man, während man in Wirklichkeit hart sparen muss.

Große Teile der IT-Sicherheitsbranche sind heute reiner Schwindel.

Ich habe Leute erlebt, die als CISO (Chief Information Security Officer) für einen großen Konzern tätig sind, aber sich nicht vorstellen konnten, wie man im Falle eines malware-kontaminierten PCs überhaupt herausfinden könnte, in welchem Kontinent (weltweit operierendes Unternehmen) der steht, weil er den Unterschied zwischen Switching[wp] und Routing[wp] nicht verstehen konnte und auch nicht verstand, was in einem Switch vor sich geht und wie man abfragt, an welchem Port ein Rechner hängt.

IT-Sicherheit ist heute vor allem: Hohn.

Und der ganze Zertifizierungskram hat es nur noch schlimmer gemacht, weil man die Zertifizierungen heute braucht, um keinen Ärger zu kriegen. IT-Sicherheit ist heute, der Firmenleitung die Zertifizierungen zu beschaffen. Mit tatsächlicher Sicherheit hat das höchstens noch zufällig was zu tun.

– Hadmut Danisch[15]

Zusammenbruch der IT-Sicherheit

Nächster Hackerangriff. Wohl dem, der noch mit der Hand schreiben kann.

Das ist lustig. Eigentlich könnte ich gerade ein Blog führen, indem ich nur noch abwechselnd über Messer- und Hacker-Angriffe schreibe.

SWR Aktuell schreibt, dass Hacker gerade die Verwaltung des Rhein-Pfalz-Kreises in Ludwigshafen lahmgelegt haben.

Zitat: «Die Verwaltung des Rhein-Pfalz-Kreises ist durch einen Hackerangriff lahmgelegt - die Behörde in Ludwigshafen ist nicht mehr erreichbar und für Kunden geschlossen. "Wir arbeiten wieder mit Block und Bleistift", so eine Sprecherin.

In der Zentrale der Kreisverwaltung des Rhein-Pfalz-Kreises am Standort in Ludwigshafen geht offenbar nichts mehr: Die Presse­sprecherin teilte am Montag über ihr Mobiltelefon auf SWR-Anfrage mit, alle Computer seien herunter­gefahren worden, auch die Telefone funktionierten nicht mehr. "Es ist wirklich der worst case eingetreten", so Sprecherin Kornelia Barnewald.»[16]

Jau. Ein Hurra auf die deutsche IT. Vor 20 Jahren hat man die IT-Sicherheits­forschung kaputtgeschlagen. Vor 10 Jahren herrschte die Merkel-dumme Auffassung, dass Sicherheit sei, wenn die Sicherheits­branche schöne Umsätze hat. Und jetzt fällt der ganze Mist halt zusammen.

Geliefert wie bestellt.

Ich empfehle in solchen Fällen ja immer eine Frauenquote mit Diversitäts­booster. Weil durch Frauenquote alles besser wird.

– Hadmut Danisch[17]

Romantische Vorstellungen zur IT-Sicherheit

Es ist zum Davonlaufen, auf welchem Niveau sich die Bundesregierung bewegt.

Heise schreibt gerade über die Visionen der Nancy Faeser: Cybersicherheitsagenda: BKA & Co. sollen Angriffsserver runterfahren können

Zitat: «Bundesinnenministerin Nancy Faeser hat am Dienstag in Berlin ihre Cyber­sicherheits­agenda vorgestellt. Kernpunkte des 14-seitigen Plans sind neue Befugnisse für die Sicherheits­behörden, um massive IT-Angriffe aktiv abwehren zu können, eine neu organisierte Cyber­sicherheits­architektur mit einer führenden Rolle des Bundes, ein verschärfter Kampf gegen Cyber­kriminalität sowie die Stärkung der Resilienz des Staates und kritischer Infra­strukturen. [...]

Ein besonders umstrittener Punkt ist die "aktive Cyberabwehr". Die aktuelle, von Ex-Innen­minister Horst Seehofer (CSU) vorangetriebene Cyber­sicherheits­strategie der Bundesregierung sieht dafür noch Hackbacks vor, also ein Zurückschlagen im Cyberspace. Die Ampel-Koalition lehnt dieses Mittel aber ab. Faeser peilt trotzdem nun auch Maßnahmen an, die über eine bloße Aufklärung einer Attacke hinausgehen: "Wir müssen auf IT-Infra­strukturen einwirken können, die für einen Angriff genutzt werden. So können die Sicherheits­behörden schwerwiegende Cyber-Angriffe[wp] verhindern, stoppen oder zumindest abschwächen." [...]

Es gehe etwa um die Fähigkeit, eine Attacke "umzuleiten", führte die Ministerin aus. Der Bund werde vor allem dem Bundeskriminalamt (BKA) - gegebenenfalls auch mehreren Behörden - einschlägige Zuständigkeiten geben müssen. Nicht geplant sei, mit staatlichen Mitteln ausländische Server mit aggressiven Gegenschlägen zu bekämpfen. Ein Angriff könne aber so schwer sein, dass der Staat sich gezwungen sehe, ihn abzustellen.

Es gelte herauszukommen aus der "Opfersphäre", ergänzte der IT-Beauftragte der Bundesregierung, Markus Richter. Die Sicherheits­behörden sollten auch Server in den Blick nehmen, von denen ein Angriff erfolge, um diese "gezielt runterzufahren". Dieses breite Reaktions­spektrum stehe derzeit noch nicht zur Verfügung.»[18]

Zu wenig Ahnung. Zu viel Kino geguckt.

Irgendwie stellen die sich das so vor wie in den Hollywood-Filmen: Irgendein Nerd[wp] mit Nerdbrille, der keine Frau abbgekommt, aber alle Passworte erraten kann, weil alle Passworte nach dem Geburtsdatum der Ex-Freundin, der verstorbenen Mutter oder dem Mädchennamen des geliebten Meer­schweinchens benannt sind, und zwar auch dann erraten, wenn nebendran die Uhr steht und tickt, und man sich eingeloggt haben muss, bevor die Zeit bei 00:00:00 angekommen ist, weiß in schlimmster Bedrohung einen coolen Trick, mit dem er den Server des finsteren Angreifers runterfahren kann, der sich dann ärgert wie Sauron[wp], dem man den Ring zum Dreieck gekloppt hat.

Mal abgesehen davon, dass man da erst mal wissen müsste, wo der Server ist, und sich sicher sein müsste, dass es nicht 100.000 gehackte Server sind, die über die Welt verteilt sind, und man mit dem "Runterfahren" nicht auch die Energie­versorgung oder die Herz-Lungen-Maschine lahmlegt: Wieso glauben die eigentlich, jeder dahergelaufene Hinz und Kunz könne dem Hacker mal eben den Server "runterfahren", nur weil er sich für wichtig hält?

Dazu müsste es erst einmal einen exponierten Angriffspunkt geben. Und so doof sind die in der Regel nicht. Schon gar nicht, wenn es "staatliche Hacker" sind, wie man behauptet.

Und wenn man ihn "runterfährt"?

Das ist nur bei deutschen Behörden und Universitäten so, dass die dann 6 Monate brauchen, um wieder hochzukommen. In virtuellen Umgebungen lassen sich Server auch in unter einer Sekunde, ganz sicher unter 6 Sekunden, wieder starten.

Irgendwie haben die da ganz komische, ganz seltsam romantische Vorstellungen.

Wie im Kino.

Wie James Bond auf Bundesangestelltentarif.

– Hadmut Danisch[19]

IT-Sicherheit mit Föderalismus und Frauenquote

Einer der Gründe, warum ich keine Lust mehr habe, in der IT-Sicherheit tätig zu sein.

Golem schreibt über einen IT-Sicherheits­vorfall bei der Landeshauptstadt in Potsdam.

Zitat: «Den 22. Januar 2020 wird Thomas Morgenstern-Jehia niemals vergessen. Es war sein 100. Arbeitstag als Fachbereichs­leiter E-Government bei der Landeshauptstadt Potsdam. Statt mit seiner Ehefrau zum Feierabend mit dem kalt gestellten Sekt zu anzustoßen, saß er um 17 Uhr in einer Pressekonferenz: Oberbürgermeister Mike Schubert musste erklären, warum die Stadt Potsdam mit sofortiger Wirkung auf unbestimmte Zeit alle Internet­verbindungen der Behörden gekappt hatte.

Thomas Morgenstern-Jehia ist kein klassischer ITler, er kam als studierter Bauingenieur nach der Wende eher zufällig zur EDV und eignete sich sein Wissen zunächst selbst an, bevor er einen Studiengang für Wirtschafts­ingenieur­wesen belegte und viele Weiterbildungen absolvierte, darunter zum zertifizierten SAP-Berater. Das half ihm, als er in der Landesverwaltung Brandenburg mit seinem Team SAP einführte und ein Rechenzentrum aufbaute.»[20]

Ein Bauingenieur mit Studiengang Wirtschafts­ingenieur und Weiter­bildung zum zertifizierten SAP-Berater.

Zitat: «Am 21. Januar wurde Morgenstern-Jehia bei Arbeitsbeginn über eine monatelang offene, einfach auszunutzende Sicherheits­lücke[wp] informiert. Da er in seinen ersten 99 Tagen keinen vollständigen Einblick in alle IT-Vorgänge Potsdams erlangen konnte, war er auf die Zuarbeit seines Teams angewiesen. Entsprechend wusste er noch wenig darüber, welche Schutz­mechanismen in Kraft waren und wie die Kolleginnen und Kollegen in dem Fachbereich, der mit rund 60 Prozent der verfügbaren 50 Stellen unterbesetzt war, Warnungen handhabten.

Es stellte sich schnell heraus, dass sowohl die internen Strukturen als auch die Reaktion auf Warnmeldungen von außerhalb Mängel aufwiesen.

Weil er die Schwere der Bedrohungslage schlecht einschätzen konnte, holte sich Morgenstern-Jehia noch am Abend des 21. Januar Hilfe von außerhalb: Eine ehemalige Kollegin, spezialisiert auf IT-Forensik, evaluierte mit ihm am 22. Januar die Situation. Beide kamen zu dem Schluss, dass es unabdingbar sei, die Stadt vom Netz zu nehmen, um weitere Analysen vornehmen zu können. [...]

Was Thomas Morgenstern-Jehia zu jenem Zeitpunkt nicht genau wissen konnte, war der Zustand, in dem sich große Teile der Stadt­verwaltungs-IT befanden. In den ersten Tagen nach der Notabschaltung machten sich sein Team und die extern beauftragten forensischen Fachkräfte daran, eine gründliche Inventur vorzunehmen. Das war jahrelang aufgrund von Personalmangel und Priorisierung unterblieben. Das Ergebnis war entsprechend.

Die gute Nachricht: Die Firewalls der Landeshauptstadt haben tausenden Angriffen über die ungepatchte Sicherheits­lücke standgehalten. Die schlechte: Niemand wusste, warum. Es gab circa 65.000 Regeln, von denen viele nicht dokumentiert waren. Hinzu kam eine beträchtliche Schatten-IT, also Geräte und Dienste, die niemand verzeichnet hatte und gewachsene Prozesse, die jahrelang niemand hinterfragte und die nun auf den Prüfstand mussten.»[20]

65.000 Firewall-Regeln.

Viele davon nicht dokumentiert.

Eine Schatten-IT aus Geräten und Diensten, die niemand verzeichnet hatte.

"Gewachsene Prozesse", die jahrelang niemand hinterfragt hatte.

Das ist der Horror.

Aber nicht unbekannt. Solche Zustände habe ich während meiner aktiven Zeit, vor allem, als ich noch im Außendienst zu Kunden gegangen bin, um denen Firewalls zu installieren und den Laden aufzuräumen, auch vorgefunden, wenngleich auch nicht ganz in dieser Größen­ordnung. Ich weiß es nicht mehr genau, irgendwas knapp über 10.000 war mal das Schlimmste, was ich vorgefunden habe.

Sowas ist nicht mehr zu kontrollieren. Das ist absoluter Murks. Es gibt auch keine Firewalls, die sowas noch wirklich effizient abarbeiten können. Zwar haben moderne Firewalls auch ASICs, die die Regeln in Hardware bzw. als programmierbare Schaltung abarbeiten, ich glaube, es gibt sogar welche, die FPGAs programmieren. Und man muss die auch nicht unbedingt alle 65.000 abklappern, denn das lässt sich mit guten Algorithmen vorsortieren, womit man von O(n) etwas runter in die Nähe von O(log(n)) kommt, also der Aufwand nicht linear mit der Zahl der Regeln steigt, aber so etwas ist schlicht und einfach Bullshit, das kann man nicht mehr kontrollieren, prüfen, verstehen, reparieren, oder im Notfall anpassen.

Im Prinzip beschreibt Golem da, dass die unter Notfall- und Angriffs­bedingungen das nachzuholen versuchten, was man vorher jahrelang durch Schlamperei verschlafen hat.

Herrlich diese zwei Sätze, ich bringe sie nochmal:

Zitat: «Die gute Nachricht: Die Firewalls der Landes­hauptstadt haben tausenden Angriffen über die ungepatchte Sicherheits­lücke standgehalten. Die schlechte: Niemand wusste, warum.»[20]

Und das Schlimme daran ist: Wenn man als Sicherheits­experte warnt und - beizeiten - sagt, dass das so nicht geht, dass man das dringend entrümpeln, dokumentieren, katalogisieren, priorisieren muss, man einen Notfall- und Anlauf­plan braucht, dass zu jeder Funktion dokumentiert sein muss, was die normale und was die tolerable Ausfallzeit ist, dann macht man sich sehr unbeliebt. Als Information Security Officer muss man immer eine Balance, einen Kompromiss finden: Rettet man die IT? Oder rettet man den eigenen Kopf? Nie so viel nerven, dass man wirklich Ärger bekommt, aber auch nicht zu wenig. Verlangt man zu viel, fliegt man, weil man zu teuer wird. Verlangt man zu wenig, fliegt man, wenn es schief geht. Deshalb entwickeln viele Firmen eine Vorliebe für "Sicherheits­experten", die davon gar nicht so viel Ahnung haben und bevorzugt einfach die Klappe und sich raus halten.

Zitat: «Für die dringendsten Probleme fand man kreative Lösungen: Die Daten für Auszahlungen gelangten per neu gekauftem USB-Stick zur Sparkasse, provisorische Netze wurden aufgespannt, um beispielsweise E-Mails in Not­situationen empfangen zu können.»[20]

Ja, geil. 2023 den Kurier mit dem USB-Stick zur Bank schicken.

Eigentlich ist ein Wiederanlaufplan Pflicht, der auch solche Fälle wie einen Totalverlust des Rechenzentrums mit abdeckt. Denkt nur mal an den Brand des Rechenzentrums bei OVH, wo angeblich auch die Backups mancher System mit verbrannten.

Was wird wie in welcher Zeit auf welche Weise und wo wieder aufgesetzt?

Früher hieß das: Lieferverträge, die Hardware in definierter Zeit liefern können. RZ-Betreiber, die Hardware-Redundanz vorhalten.

Heute heißt sowas auch (ergänzend oder alternativ, je nach Anforderungen), dass man in der Lage ist, seine IT - wenigstens notfalls - in der Cloud zu reproduzieren. Automatisierte Kochrezepte, nach welcher Technik auch immer, gibt ja verschiedene, die einem virtuelle Maschinen, Container, Netzwerke aufbauen, und die Funktion bereit stellen. Eine automatische Build-Chain, die die Software, Images und so weiter erzeugt, damit man auch patchen und aktualisieren und dann automatisiert installieren kann. Das ist kein Hexenwerk, das nennt sich Continuous Delivery und ist Stand der Technik. Wenn man auf dem Stand der Technik ist.

Und wer einen Produktivbetrieb mit 65.000 Firewall-Regeln betreibt, der macht einfach was falsch.

Wobei ich - technisch - noch nicht verstanden habe, warum eigentlich jede Stadt ihre eigene IT betreibt. Denn eigentlich sollte man ja annehmen, dass sich die Aufgaben und Anforderungen gleichen und jede Stadt im Prinzip dieselben Aufgaben hat, wie Einwohner­meldeamt, KFZ-Stelle und so weiter.

Ich verstehe nicht - falsch, ich verstehe es schon, soweit es um Geschäfte, Vetternwirtschaft[wp], Parteispiele, Korruption geht, aber technisch eben nicht - warum da so viele selbst lokal vor sich hinfrickeln, statt dass man eine zentrale IT macht, die diese immer selben Funktionen für alle einheitlich anbietet, und das damit gesparte Geld dafür in Qualität und Sicherheit steckt, und dafür sorgt, dass da Leute agieren, die das im Griff haben. Die also jederzeit in der Lage sind, die gesamte IT einer Stadt einfach wegzuschmeißen und innerhalb weniger Minuten frisch zu erzeugen. Stattdessen murkst da jede Stadt mir irgendwelchen Halb­fach­kräften herum, die sie gerade kriegen können - oder die aus Parteiräson und Frauenquote gewählt werden, und die dann als Leiterin der IT einer Großstadt nichts machen und hinbekommen als überall zu gendern und Frauenquoten durchzusetzen, anstatt die IT am Laufen zu halten.

Dann nämlich, wenn nicht mehr jede Stadt selbst frickelt, sondern zentral und übergreifend agiert wird, ist es auch möglich, dass Funktionen wie Einwohnermeldeamt oder KFZ oder was es alles gibt, sauber dokumentiert sind, mit Funktionen, APIs, Software, Wiederherstellung, Backup-Konzept und sonstwas alles, es da ein sauberes, verbindliches, vollständiges Handbuch gibt, in dem alles drin steht, was es zu wissen gibt.

Das ganze Konzept dieser föderalen, hierarchisch-fraktalen Korruption, die wir so gerne für Demokratie halten, weil sie dazu dient, dass Geld und Aufträge den Freunden der jeweiligen Partei zugeschustert werden, ist nicht realitäts­tauglich. Das hat in den 1970er Jahren noch funktioniert, als der Parteikumpel im Rathaus die Wasserhähne und Kloschüsseln installiert und zu hoch abgerechnet hat, aber mit IT funktioniert sowas eben nicht mehr.

Und das wird immer schlimmer, je mehr "Fachkräfte", "Quotenfrauen" und "Quereinsteiger" da drin rumrühren, und je politischer die Auswahl des IT-Führungs­personals wird.

Frage an die Leser:

Kennt Ihr auch nur einen einzigen der vielen Professoren der IT-Sicherheit oder allgemeiner Informatik in Deutschland, der auch nur irgendetwas zur Lösung dieser Probleme beigetragen hätte und über die Forderung hinauskäme, dass in den Rechenzentren eine Frauenquote und Gleichstellungsbeauftragte erforderlich seien?

Und dann schwätzen irgendwelche ahnungslosen Politiker und Medienfuzzis immer davon, dass wir ein Digitalland seien und "wieder nach ganz vorn an die Spitze" wollen. Und am besten alles mit - ja, was gerade in Mode ist, vor einiger Zeit musste es noch alles mit "Open Source", dann mit "Cloud" sein, dann natürlich alles mit der Wundersalbe "Blockchain", inzwischen alles mit "KI", nicht zu vergessen "Flugtaxis" - gemacht, weil man das jeweils wichtigste Buzzword in die Kamera sagen muss, damit wird alles gut, als wäre man in den Geisteswissenschaften und würde alles mit Woke heilen. Dabei wäre die wichtigste Maßnahme, alle Idioten und Schwätzer rauszuschmeißen und nur noch Leute mit Sachkunde ranzulassen - wenn wir sie noch hätten.

Ich habe das seit Jahren beschrieben, wie man seit 25 Jahren alle Leute mit Ahnung rausekelt und im Zuge des ideologischen Inkompetenzkultes - Quality is a Myth - durch den volkswirtschaftlich nutzlosen Überschuss der Geistes­wissen­schaften ersetzt.

Und jetzt hat man halt das Ergebnis.

Und seltsamerweise sagt niemand, dass das das Ergebnis auch der brachialen Ignoranz eines Gerhard Schröder oder einer Angela Merkel ist, die eine große Mitverantwortung dafür tragen, dass unser ganzes System der Berufsausbildung und auch der IT zum Kinder­garten­pille­palle geworden ist. Wir würden heute sehr viel besser dastehen, wenn wir vor 25 Jahren ordentliche IT gemacht und das in die richtigen Bahnen geleitet hätten. Stattdessen hat man die IT zum allgemeinen Futtertrog für Krethi und Plethi gemacht.

Ich bin raus.

MEDA. (Macht Euren Dreck Alleine)

– Hadmut Danisch[21]

Zersetzung der IT-Struktur

Zersetzung via Software-Entwicklung:

Sind wir gerade nur knapp am totalen IT-Fuckup vorbei?

Und wissen wir vielleicht noch nicht einmal, was da noch droht?

Das Problem ist, dass am aktuellen Fall vieles noch unklar ist, und dass das, was klar ist, schwer laienverständlich zu erklären ist.

Ich fange mal so an:

Zu den wichtigsten und sicherheits­relevantesten Programmen überhaupt im Unix[wp]/Linux[wp]-Bereich gehört der sogenannte ssh-Dämon. ssh (secure shell[wp]) ist das Programm, mit dem man sich auf anderen Rechnern einloggt und dort dann auch Administrator (root) wird, womit man also den gesamten Rechner kontrolliert. Wer in diesem ssh-Dämon (sshd) eine Lücke ausnutzen kann, der kann dann jeden Rechner übernehmen, bei dem er an den ssh-Dämon kommt, je nach Art der Lücke. Und das ist übel, weil große Teile der Server und der ganzen Internetdienste auf Linux laufen und damit den ssh-Dämon verwenden, um den Zugang sicher zu steuern.

Und genau das ist nun passiert, ein Angreifer hat es geschafft, da irgendwie eine Sicherheitslücke[wp] reinzuschmuggeln. Angeblich eine ganz böse, mit der man noch vor der Authentifikation Schadcode ausführen kann, man also überhaupt keine Zugangsdaten braucht (etwas anderes wäre es beispielsweise, wenn man Zugangsdaten für einen Benutzer bräuchte, und sich damit als jemand anderes einzuloggen, aber hier war es die Möglichkeit, direkt Schadcode mit Root-Rechten auszuführen, also der Jackpot).

Nur dem Zufall und einem aufmerksamen Programmierer namens Andres Freund (ironischerweise bei Microsoft), dem auffiel, dass da was nicht stimmt, ist es zu verdanken, dass der Angriff zu einem Zeitpunkt entdeckt wurde, als die Lücke noch - nach derzeitigem Wissen - nur in den Entwicklungs­versionen und noch nicht in den Produktiv­versionen der Systeme war.

Es geht dabei um einen sehr trickreichen Angriff, der nicht direkt am sshd stattfand, sondern über ein Kompressions­programm xz, genauer gesagt, dessen Programmbibliothek, in das eine Hintertür eingebaut war, die aber nur aktiviert wurde, wenn es als Teil des sshd lief und dann erlaubte, schon beim Schlüsseltausch, also lange vor der Authentifikation, Schadcode einzuschleusen.

Was mir daran schon Stirnrunzeln bereitet: Warum eigentlich verwendet die ssh bzw. deren Dämon eine Schrott­bibliothek wie xz? (Wer mal gucken will: Auf einem Linux-System "ldd /usr/sbin/sshd" aufrufen, da taucht liblzma.so auf) Es ist bekannt, dass xz ein ziemlicher Schrott und miserabel entworfen ist.[22]

Anscheinend war es nun so, dass hinter liblzma die Firma oder sonst unklare Organisation Tukaani steht. Und bei der nun wieder habe ein Entwickler mit dem Account JiaT75[ext] und dem Namen Jia Tan, den sie nicht einmal kennen, Code-Änderungen eingeschmuggelt. Was man über Jia Tan weiß.[23]

Das nun wieder war möglich, weil der Code sehr gut getarnt war. Soweit ich das bisher gelesen habe, war die Backdoor[wp] nicht im Quelltext lesbar, sondern in Testdaten, die man heute eben für automatische Tests beim Compilieren der Software (CI/CD-typisch) verwendet, war wohl eine vorcompilierte Bibliothek versteckt, die man dann eingebunden hat, weshalb die Backdoor nirgends im Quelltext auftauchte.

Dazu kamen wohl noch eine Reihe orchestrierter Fake-Accounts für social engineering[wp], die die neue Version lobten oder die Maintainer von Red Hat und Debian beknieten, SuSE wohl auch, Alpine wohl ebenso, nur indirekt Homebrew, dass sie die neue Version doch in ihre Distributionen aufnehmen sollten, weil so toll und gut - und das sogar erfolgreich, die fanden Eingang in die Entwickler- und Test­versionen, aber noch nicht in die Produktiv­versionen (wo sie aber dann gelandet wären).

Es gibt inzwischen ganz viele Webseiten dazu (meine jetzt auch), nicht ganz einfach, da noch greifbare Informationen zu finden. Hier und hier etwa, oder hier. Oder auch in deutsch. Oder Heise hier und hier. Und natürlich den CVE.

Alle regen sich auf, aber Ursachen­forschung habe ich bisher nicht entdeckt, bis auf einen Spott mit Verweis, dass xkcd das schon betrachtet habe:

Software Dependency.png

Dazu - mit Verweis auf dieselbe XKCD-Zeichnung - hatte ich aber auch schon viel geschrieben. Nämlich dass wir immer mehr Software schreiben, deren Zusammensetzung wir nicht mehr kennen, weil einfach irgendwelche Bibliotheken eingebunden werden, deren Herkunft und Qualität unbekannt ist, und die ihrerseits immer mehr hinter sich herziehen. Ich habe vor Jahren mal - ich mag Java nicht - für einen Test eine Java-Umgebung aufgesetzt, um ein Programm zu übersetzen - und erste einmal eine halbe Stunde gewartet, bis das Ding alle Dependencies aus dem Internet zusammen­gesammelt hatte, und mir damit dann die Platte vollgerotzt hat. In der Frühzeit von Rust[wp] wollte ich mal deren Web-Framework Iron ausprobieren, aber das Example lief nicht. Weil irgendwo auf der Welt irgendeine Bibliothek verändert worden sei, man aber selbst nicht wisse, wo in dem Haufen Zeugs, von dem man abhänge, das sei.

Und hier haben wir nun den Vorfall, dass einfach irgendjemand, jemand, den keine Sau kennt und überprüft hat, ob es den überhaupt gibt, ohne Historie, mit Phantasie­namen einfach auftauchen und eine Backdoor in eine Programm­bibliothek drücken kann, mit der er - wenn das nicht rein zufällig jemand entdeckt hätte - 'alle Linux-Server dieser Welt (Windows ausnahmsweise mal nicht, aber besser ist das da auch nicht) kompromittiert hätte.

Und das auf eine Weise, gegen die auch ein sorgfältiger Administrator, Firewall, Intrusion Detection nichts geholfen hätten.

(Was aber wieder meine Meinung bestätigt, dass man jederzeit in der Lage sein muss, seinen Server zu löschen und automatisiert neu aufsetzen.)

Was aber auch belegt, was ich schon vor Jahren prophezeit habe: Dass Linke, Queere, Woke, deren "Code of Conduct"[wp], die IT zerstören. Denn deren zentrales und mit dreckigsten Methoden durchgesetzes Weltbild ist ja, dass man - Quality is a myth - wirklich jeden an jedem Code mitschreiben lassen muss und niemanden ausgrenzen darf. Und jetzt hat man das Ergebnis.

Man ist sich noch nicht sicher, wen man dahinter vermuten soll. Der Angriff sei so ausgefuchst und mit social engineering unterlegt, dass das kein Anfänger, Skript-Kiddie oder Einzeltäter sein kann.

Man hat etwa die Russen, die Chinesen, Nordkorea in Verdacht. Auf Deutsch: Man weiß nicht, wer dahinter steckt.

In einem Punkt liegt man aber wohl richtig: Nämlich, dass es eine Kriegshandlung war, ein Angriff auf die gesamte Infrastruktur. Und schaut man sich an, seit wann es den Account gibt, seit wann das vorbereitet wurde, kann man sich überlegen, mit wem das zu tun haben kann.

– Hadmut Danisch[24]

Artikel

Einzelnachweise

  1. Hadmut Danisch: 30 satte Jahre IT-Sicherheitsversagen, Ansichten eines Informatikers am 29. März 2017
  2. Hadmut Danisch: Das Bundeskanzleramt und die IT-Sicherheit, Ansichten eines Informatikers am 4. Januar 2022
  3. IT in der öffentlichen Verwaltung: Europas fatale Abhängigkeit von Microsoft, Tagesspiegel am 10. April 2017
    Alle europäischen Staaten nutzen Software von Microsoft für ihre Verwaltungen - und geraten immer tiefer in die Abhängigkeit des US-Konzerns. Warum das technisch und politisch höchst riskant ist.
  4. 4,0 4,1 4,2 4,3 4,4 4,5 4,6 Digitale Souveränität in Gefahr? IT-Profis warnen vor Microsoft, n-tv am 9. April 2017
  5. Hadmut Danisch: Verlust der Digitalen Souveränität durch Microsoft und die USA, Ansichten eines Informatikers am 9. April 2017
  6. A woman's dream job: IT security specialist, Switch am 1. Juli 2021
    Anreißer: Women are still heavily underrepresented in cybersecurity. Three female IT security experts discuss their daily work and what they love about their profession.
  7. 7,00 7,01 7,02 7,03 7,04 7,05 7,06 7,07 7,08 7,09 7,10 7,11 Kolumne von: Switch - #Security: Traumberuf IT-Security-Expertin, Switch am 22. Juni 2021
    Anreißer: Frauen sind im Berufsfeld Cyber­security immer noch stark unter­repräsentiert. In der heutigen Kolumne von Switch berichten drei IT-Security-Expertinnen aus ihrem Arbeitsalltag und erzählen, was sie an ihrem Beruf begeistert.
  8. Marcel Gamma: Sicherheit ist ein unerträglich langweiliges Hindernis, 10. Dezember 2020
  9. Hadmut Danisch: Frauenförderung und der Tod der IT-Sicherheit, Ansichten eines Informatikers am 25. September 2021
  10. Hadmut Danisch: Die Polizei und ihr Zugriff auf die Luca-App-Daten, Ansichten eines Informatikers am 9. Januar 2022
  11. Forum des Kuketz-Blogs: Regeln FAQ
  12. kuketz-blog.de
  13. Hadmut Danisch: Die Politisierung der IT-Sicherheit, Ansichten eines Informatikers am 11. Januar 2022
  14. Hadmut Danisch: "Russische Hacker haben...", Ansichten eines Informatikers am 7. Juni 2022
  15. Hadmut Danisch: "Microsoft bringt jeden Monat Backups heraus, die dann eingespielt werden", Ansichten eines Informatikers am 7. Juni 2022
  16. Panja Schollbach: Ludwigshafen: Hackerangriff legt Verwaltung im Rhein-Pfalz-Kreis lahm, SWR Aktuell am 24. Oktober 2022
  17. Hadmut Danisch: Sie arbeiten wieder mit Block und Bleistift, Ansichten eines Informatikers am 24. Oktober 2022
  18. Cybersicherheitsagenda: BKA & Co. sollen Angriffsserver runterfahren können, Heise/Telepolis am 12. Juli 2022
  19. Hadmut Danisch: Bundesregierungshackerromantik: IT-Sicherheit wie im Kino, Ansichten eines Informatikers am 12. Juli 2022
  20. 20,0 20,1 20,2 20,3 Martin Wolf: Sicherheit: IT-Krimi in Potsdam, Golem am 14. Juli 2023
    Anreißer: Zweimal in zwei Jahren musste Potsdam den IT-Notstand ausrufen. Wir haben herausgefunden, wieso trotz standhaltender Firewalls die Feuerwehr kommen musste.
  21. Hadmut Danisch: Vom Horror in der IT-Sicherheit, Ansichten eines Informatikers am 20. Juli 2023
  22. Xz format inadequate for long-term archiving
  23. Evan Boehs: Everything I Know About the Xz Backdoor, 29. März 2024
  24. Hadmut Danisch: IT-Sicherheitskatastrophe durch Code of Conduct?, Ansichten eines Informatikers am 31. März 2024

Querverweise

Netzverweise

  • Hadmut Danisch - Ansichten eines Informatikers:
    • Von der Zerstörung der IT-Sicherheitsforschung, 16. Juli 2022
      Ein zentrales - oder das zentrale - Thema dieses Blogs, dieser Webseite ist es seit 20 Jahren, aufzuzeigen, wie man die Universitäten, die Forschung, die Informatik, insbesondere aber die IT-Sicherheits­forschung systematisch sabotiert und lahmgelegt hat. [...]
      Wir hatten in den 1990er-Jahren eine Generation wissenschaftlicher Mitarbeiter, die da weitaus besser war, aber die hat man systematisch kaltgestellt. Heute findet da solches soziol-orientierte Laien­geschwätz statt. Und der Steuerzahler zahlt's. Einmal drin in der Mühle, wird man verbeamtet und hat ausgesorgt bis ins Grab. Kann den Rest seines Lebens mit belanglosem Geschwätz und dessen Akzeptanz auf Gegenseitigkeit verbringen und finanzieren.
      In meiner Jugend und Aduleszenz, noch während des kalten Krieges, gab es für sowas ein geflügeltes Wort, eine ständige Redewendung: Und mit denen sollen wir den Krieg gewinnen, wenn die Russen kommen!?
      Damals war das nur eine Metapher, weil man eigentlich nicht erwartet hat, dass die Russen tatsächlich kommen könnten.
      Heute wollen die Russe kommen, wir sind im IT-Krieg, und wir haben die Universitäten mit solchen Leuten vollgepumpt.
      Der Plan des Bundesnachrichten­dienstes, die IT-Sicherheits­forschung zu verhindern, ist aufgegangen. Und nun haben wir den Salat.
    • Aktuelles zur IT-Sicherheit, 5. April 2022
      Der Cyber-Krieg und das "IT-Projekt zum Cyber-Lagezentrum".
    • Wie kommunziert man "sicher"?, 5. Dezember 2020
    • Professionelle IT bei British Airways, 27. Mai 2017