Security-Forum 2022

Digitale Sicherheit

Von digitaler Ethik bis zu Hackerattacken spannte sich der Themenkreis des Security-Forums des Hagenberger Kreises der Fachhochschule Hagenberg.

Fachhochschule Hagenberg in Oberösterreich: Fakultät für Informatik, Kommunikation, Medien.
Fachhochschule Hagenberg in Oberösterreich:
Fakultät für Informatik, Kommunikation,
Medien. © Kurt Hickisch

Zum 18. Mal veranstaltete am 3. und 4. Mai 2022 der Verein „Hagenberger Kreis zur Förderung der digitalen Sicherheit“ in der Fachhochschule Hagenberg das Security-Forum. Der Verein und auch das von den Studenten des FH-Studiengangs Sichere Informationssysteme organisierte Security-Forum haben das Ziel, das Bewusstsein für die IT-Sicherheit vor allem in Unternehmen, aber auch in Haushalten zu heben.
Bei dem vor allem in der IT-Branche bestehenden Mangel an qualifizierten Mitarbeitern empfahl Lilly Brauer, Siemens Energy, den Unternehmen, ihre Auswahlprozesse zu überprüfen. Stellenausschreibungen sollten in Englisch erfolgen. Das würde Frauen und Jüngere ansprechen. Die Vorteile eines Remote-Workings sollten herausgestrichen werden. Um Talente zu finden, würden sich Hackathons anbieten. Auch würde sich lohnen, Talente-Scouts zu engagieren (Bounty-Hunting). Strategisch gesehen, sollten mit Stipendien und über soziale Medien junge Menschen angezogen werden.

Digitale Ethik.

Mit Entwicklungen in der digitalen Welt setzte sich, aus dem Gesichtspunkt der digitalen Ethik, Dominic Neumann auseinander. Eine Maschine sei nur dann intelligent, wenn sie Entscheidung aus sich heraus (und nicht über die Cloud) treffe und diese Entscheidungen auch kommunizieren könne. Man hinterlasse Spuren im Internet, und es könnte sein, dass einem Internet-User, der ein höherpreisiges Gerät benützt, beispielsweise Reisen teurer angeboten würden. Der Saugroboter liefert den kompletten Grundriss eines Zimmers oder einer Wohnung. Der Roboter mit Maschinengewehr entscheidet autonom, auf welchen Menschen er schießt. Crime wird als Service angeboten, wobei die Tools gemietet werden könnten.
Der Anbieter stellt nur die Rechenleistung zur Verfügung und macht sich dadurch nicht die Finger schmutzig. Wer trägt die Verantwortung für digitales Handeln, etwa bei Unfällen mit autonom fahrenden Autos? Das Dilemma-Problem, dass bei einem Unfall entweder eine ältere oder eine jüngere Person zu Schaden kommt, würde in Asien bei der höheren Wertschätzung des Alters von der das Fahrzeug steuernden KI möglicherweise zu Lasten der jüngeren gelöst werden. Das ethische Design einer digitalen Maschine hänge von der jeweiligen Kultur ab.

Spy- und Stalkerware.

Das Security-Forum in der FH Hagenberg fand heuer zum 18. Mal statt.
Das Security-Forum in der FH Hagenberg fand heuer
zum 18. Mal statt. © Kurt Hickisch

„Stalkerware ist eine Art von Spyware, die für Cyberstalking verwendet wird“, umriss Eddy Willems, GData Defense AG, das Thema seines Vortrags. Begonnen hat die Entwicklung mit kommerziellen Programmen zur Überwachung von Ehepartnern oder Lebensgefährten. Stalkerware wird üblicherweise auf Smartphones installiert und erfordert dazu einen physischen Zugang zu diesen, wogegen sich Spyware über Schwachstellen in Programmen selbst installiert. Die Stalkerware bleibt verborgen und arbeitet im Hintergrund. Sie erfasst GPS-Positionsdaten, SMS-Nachrichten, über Social Media geführte Chats, Fotos, Video- und Sprachaufzeichnungen sowie Daten von Telefonaten. Alle diese Daten werden vom Handy dem Stalker übermittelt, der die Software installiert hat.
Anzeichen dafür, dass Stalkerware im Hintergrund im Spiel ist, sind etwa, dass jemand Sachen weiß, die er eigentlich nicht wissen könnte. Verdacht sollte erregen, wenn ein Handy, das vorerst nicht gefunden werden konnte, wieder zum Vorschein kommt. Auch ein unerklärlich hoher Stromverbrauch des Handys könnte ein Indiz sein.
Vorbeugende Maßnahmen wären etwa, ein sicheres Passwort zu verwenden und es öfter zu wechseln sowie Bildschirmsperren, die nur nach Eingabe des Passworts wieder behoben werden können. Zweckmäßig ist auch die Installation eines Virenschutzprogramms. Selbst wenn diese Programme oftmals nicht in der Lage sind, die Stalkerware zu entfernen, wird der Nutzer über deren Vorhandensein zumindest informiert.
Durch ein Zurücksetzen des Handys auf Werkeinstellungen wird, so Willems, die Stalkerware sicher entfernt. Die SIM-Karte braucht nicht ausgewechselt zu werden und man muss sich nicht auch gleich ein neues Handy zulegen. Allerdings wird das durch das Zurücksetzen bewirkte Entfernen des Programms vom Angreifer bemerkt und es kann auch Beweismaterial vernichtet werden, das für Gerichtsverfahren bedeutsam sein könnte.
Weitere Informationen bietet Stop­stalkerware.org, eine unter dieser Bezeichnung auch im Internet auftretende Organisation, die sich die Bekämpfung von Stalkerware zum Ziel gesetzt hat und der namhafte Hersteller von Antivirenprogrammen angehören.

Management.

Wolfgang Resch von der Österreichischen Computergesellschaft (OCG; ocg.at; ocgcert.com) bezeichnete Informationssicherheit und Datenschutz als Verpflichtung für das Management. Die Unternehmensleitung habe die Verantwortung eines ordentlichen Kaufmanns, wozu die Feststellung der Vermögenswerte gehöre. Es sei ein risikobasierter Ansatz zu wählen, wobei der Stand der Technik die Messlatte bilde. Schäden könnten eintreten durch Störung von Abläufen, Produktionsausfällen und an der Reputation. Vermögensschäden könnten bis zur Insolvenz führen. Strafrechtliche und zivilrechtliche Ersatzansprüche wären die Folge.
Über KI-Methoden im Risiko-Management und das Forschungsprojekt CRISAM der FH Hagenberg berichtete Günther Angerbauer. Mit Methoden des Natural Language Processing (NLP) sollen in Echtzeit Anomalien erkannt werden, etwa Ausfall von Lieferketten. „Es soll erkannt werden, was noch nicht am Schirm ist“.

Datenschutz.

Security-Forum 2022: Referenten Felix Eberstaller und Peter Panholzer (Limes Security), Lilly Brauer, Eddie Willems.
Security-Forum 2022: Referenten
Felix Eberstaller und Peter Panholzer
(Limes Security), Lilly Brauer, Eddie
Willems. © Kurt Hickisch

Nach Art. 32 DSGVO sind Daten durch geeignete technische und organisatorische Maßnahmen zu schützen, unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und der Schwere des Risikos.
Diese Unbestimmtheit hat, wie die Rechtsanwälte Nino Tlapak und Axel Anderl ausführten, den Vorteil einer flexiblen Anpassung an die im Einzelnen gegebenen Verhältnisse. Das Schutzniveau muss dem Risiko angemessen sein. Dem Regelungsbereich entsprechend, können die Maßnahmen skaliert werden.
Vom Maßnahmenkatalog des Art. 32 wäre eine Verschlüsselung personenbezogener Daten die beste Lösung, vornehmlich auch im Datenverkehr mit den USA, aber nur dann, wenn der Schlüssel beim Auftraggeber verbleibt. Allerdings werden in vielen Anwendungsfällen die Daten unverschlüsselt zur Verfügung stehen müssen.
Die getroffenen Maßnahmen, zu denen auch die Sicherstellung der Wiederherstellung bei Datenverlust gehört, müssen laufend evaluiert und dem Bedrohungsszenario angepasst werden. In der Praxis empfiehlt sich, auf technische Standards wie die ISO 27000-Reihe abzustellen. Einen Leitfaden bietet auch das Österreichische Informationssicherheitshandbuch.
Allgemeine Sicherheitsmaßnahmen stellen dar, datenschutzrechtliche Verpflichtungen in die Dienstverträge aufzunehmen, Awareness-Schulungen durchzuführen, Berechtigungssysteme einzuführen (wer darf was?) und auf Passwortsicherung zu achten. Ebenso zu bedenken ist die physische Sicherheit (Stromversorgung, Brandschutz, sichere Verwahrung von Back-ups). Berechtigungskonzepte sind auf dem letzten Stand zu halten, etwa, was ausgeschiedene Mitarbeiter betrifft oder solche, denen andere Tätigkeitsbereiche zugewiesen wurden. Schattendateien sind zu vermeiden. Geschäftsgeheimnisse genießen nur dann besonderen Schutz, wenn sie gesichert sind. Regelungen sind zu treffen im Umgang mit externen Speichermedien.

„Das Homeoffice ist gekommen, um zu bleiben“, stellten die Referenten fest, und erfordert weitergehende Regelungen, etwa hinsichtlich der Ausstattung mit Firmengeräten, welche Programme verwendet werden dürfen und wie der Anschluss an das Firmennetzwerk erfolgt (etwa über verschlüsselte VPN-Verbindung). Zu überprüfen ist von Seiten des Arbeitgebers, ob ausreichend Lizenzen vorhanden sind. Keine private Software für Firmenzwecke. Die Risikoerhöhung durch Fernzugriff ist zu berücksichtigen. Die technischen und organisatorischen Maßnahmen (TOMs) sind entsprechend anzupassen und dafür zu sorgen, dass regelmäßig Backups angelegt werden. Festzuhalten ist, dass aus Gründen des Persönlichkeitsschutzes Telefon- und Videokonferenzen nicht mitgeschnitten werden dürfen.
Regelungen sind auch zu treffen hinsichtlich angefertigter Ausdrucke (Hardcopies), die nicht achtlos herumliegen dürfen. Eine Clean-Desk-Policy ist auch für das Homeoffice vorzuschreiben. Letztlich ist sicherzustellen, was im Fall eines Data Breach zu geschehen hat. Ein solcher liegt vor bei jeder Verletzung der Sicherheit von personenbezogenen Daten, also deren Vernichtung, Verlust, Veränderung, bei unbefugter Offenlegung oder unbefugtem Zugang, beim Diebstahl mobiler Geräte (Laptop, Firmenhandys) oder liegengelassener USB-Sticks, Verlust von Hardcopys.
Datenschutzrechtlich muss innerhalb von maximal 72 Stunden ab Kenntnis des Data Breach eine umfassende interne Dokumentation aller Datenvorfälle erfolgen. Wenn kein Risiko für Betroffene besteht, reicht die interne Dokumentation. Besteht ein Risiko für Betroffene, ist zusätzlich eine Meldung an die Datenschutzbehörde (DSB) erforderlich. Dabei empfiehlt es sich, zunächst eine Meldung abzusetzen und weitere Nachträge mit ausführlicher Dokumentation in Aussicht zu stellen. Besteht ein hohes Risiko für die Betroffenen, sind diese zu benachrichtigen. Was Ransomware betrifft, ist eine Zahlung von Lösegeld an sich nicht verboten, muss sich aber im Rahmen des der Geschäftsführung eingeräumten Spielraums halten (Judgement-Rules). Die Frage ist, ob der Erpresser ein „ehrlicher Gauner“ ist und die Verschlüsselung der Daten tatsächlich bei Zahlung des Lösegelds aufhebt, und ob die Daten unverändert geblieben sind.

BSI-Grundschutz. York Keyser und Stefan Entacher stellten Zertifizierungen nach ISO 27001 dem BSI-Grundschutz gegenüber. Um eine solche Zertifizierung des Bundesamtes für Sicherheit in der Informationstechnik (bsi.bund.de) zu erhalten, muss der Grundschutz-Check erfüllt werden. Das BSI-Handbuch sieht über 1.500 Maßnahmen vor, unterteilt nach den Erfordernissen des Schutzbedarfs in normal, hoch und sehr hoch. Der Vorteil einer Zertifizierung nach BSI-Standards liegt darin, dass die Normen frei zugänglich sind, jährlich angepasst werden und einen pragmatischen Ansatz verfolgen. Die Audits nach BSI-Standards sind genauer, der Aufwand größer und die Prüfberichte umfangreicher.

Smart Homes.

Die Gebäudeautomation öffnet neue Angriffsmöglichkeiten. Peter Panholzer und Felix Eberstaller der auf OT-Sicherheit (Operational Technology – Steuerung von Industrieanlagen) spezialisierten, in Hagenberg ansässigen Limes Security GmbH (limessecurity.com) berichteten über das Unpwning (Entsperren) eines Bürogebäudes, in dem im Oktober 2021 nichts mehr funktionierte. Weder ließ sich das Licht ein- oder ausschalten, Bewegungsmelder, Heizung oder Lüftung funktionierten nicht. Die Jalousien konnten nicht bedient werden. Die Auswirkungen waren zwar insofern gemildert, als sich die Mitarbeiter der Büros pandemiebedingt zumeist im Homeoffice befanden, jedoch konnte ein Zahnarzt seine Ordination nicht betreiben, da auch die Steuerung der Druckluft für die Dentalmaschinen vom Ausfall betroffen war.
Die entsprechenden Aktionen werden von in den Schaltgeräten eingebauten Mikroprozessoren ausgelöst. Der Hersteller dieser Geräte sah als einzige Möglichkeit, diese durch neue zu ersetzen, was Kosten von etwa 100.000 Euro verursacht hätte.
Von den etwa 300 Komponenten des im praktischen Einsatz weit verbreiteten Automatisierungssystems waren etwa 75 Prozent von dem Ausfall betroffen. Zur Fernsteuerung war das System mit dem Internet verbunden und damit von Haus aus (by default) unsicher. Offenbar wurden über das Internet die auf den Prozessoren der betroffenen Komponenten enthaltenen Daten gelöscht. Darüber hinaus wurde ein neues Passwort gesetzt.
Dieses durch Ausprobieren (Brute-Force) zu ermitteln hätte, wegen der geringen Rechengeschwindigkeit der Prozessoren, Jahre gedauert. Das Unternehmen hat sich einige Exemplare der Prozessoren schicken lassen und im Memory Stellen gefunden, in denen das Passwort abgelegt worden sein könnte. Nach einigem Probieren wurde dieses im Klartext auch gefunden und die Steuerungskomponenten entsperrt.
Der Urheber des Angriffs und ein von ihm verfolgtes Ziel sind bisher unbekannt geblieben. Neben der zu vermeidenden Verbindung mit dem Internet wurde auch darauf hingewiesen, dass zur Gebäudeautomatisierung eingesetzte Schaltelemente wegen der in ihnen enthaltenen IT nicht einfach nur eingebaut, sondern auch einer Wartung durch den Hersteller unterzogen werden sollten.
Die Fachhochschule Hagenberg, Department Sichere Informationssysteme, hat als Studienobjekt für Angriffe auf Smart Homes ein virtuelles Labor eingerichtet, das einer Studentenwohnung samt Möblierung und Consumer-Elektronik nachgebildet ist. Ein simulierter Angriff auf Paul, den Inhaber der Wohnung, durch Mallory, seinen Widersacher, scheiterte zwar am Vorführeffekt, ließ aber die Angriffsrichtung erkennen, nämlich über den WLAN-Router.
An beiden Veranstaltungstagen wurden in den Hörsälen über 20 Vorträge gehalten, schwerpunktmäßig aufgeteilt auf Technik und Management. Vorträge von allgemeinem Interesse fanden als Plenarveranstaltung im Audi Max statt. Im Foyer waren Aussteller mit Ständen vertreten. Aus Platzgründen war die Teilnehmerzahl auf 300 beschränkt.

securityforum.at , hagenbergerkreis.at .

Kurt Hickisch


Öffentliche Sicherheit, Ausgabe 9-10/2022

Druckversion des Artikels (PDF 3,8 MB)