Zwei Fronten der digitalen Sicherheit – Chatverordnung & Lieferkettenangriffe

00:00:00: Hey, walle mal schön, dass wir uns heute wiederhören für eine neue Folge des Podcasts Sicherheitsfragen, dem ÖDIF-Infomationssicherheitspodcast für Entscheidungsträger.

00:00:08: Ja, hallo Jean.

00:00:11: Wie geht es dir denn heute, an dem an diesem wunderbaren Wochenbeginn, hat es so gutes Wochenende?

00:00:19: Tatsächlich weniger Regen, als man hätte glauben kann, ja.

00:00:24: Aber ja, es ist halt so arbeitsreich wie jedes Wochenende.

00:00:29: Kinder und Reparaturarbeiten, vieles mal hier gerne auch als Handwerker.

00:00:35: Ja, schön, schön.

00:00:37: Und wir wollen ja heute ein bisschen darüber sprechen, was hat uns die letzte Woche, was es uns da begegnet in den Bereich Informationssicherheit, was lohnt sich vielleicht zu teilen auch mit unserem Publikum?

00:00:51: Gab es irgendwas, wo du sagst, darüber müsste man eigentlich viel mehr reden als was tun?

00:00:56: Ja, ich verfolge tatsächlich mit Spannung die Chatverordnung in der EU, also beziehungsweise die Debatte darüber, ob es denn jetzt zu einer Konsolid oder nicht.

00:01:07: Und was mich dabei wundert ist, das gute Stück ist schon zum dritten Mal auf der Agenda.

00:01:13: Stimmt.

00:01:14: Magst du vielleicht einfach für die Zuhörer nochmal kurz deine Sicht zusammenfassen, was die Chatverordnung bedeutet?

00:01:20: Also im Endeffekt geht es nun darum, dass man sich z.B.

00:01:24: diese ganzen Tools bei uns wie WhatsApp oder was auch in welche Chats oder Tools anschaut, da steht ja immer ihr Gesprächs end-to-end verschlüsselt, sprich, kein Mensch kann da reingreifen, außer die beiden, die miteinander kommunizieren.

00:01:37: Und in der Debatte geht es darum, ob man diese Verschlüsselung nicht viel leicht für den Dritten bzw.

00:01:43: in diesem Fall den Staat zugänglich machen sollte, um die Chats auf schwierige Gebiete zu untersuchen wie Kriminalität.

00:01:54: Und die Debatte wird tatsächlich hauptsächlich durch die Kinderkriminalität, also quasi sexuelle Kriminalität an Kindern angeheizt, dass man die Chats entsprechend darauf untersuchen könnte, automatisiert in dem Fall.

00:02:10: Ab da irgendwelche Texte oder Bilder oder ähnliches zu dem Thema kursieren und dann tatsächlich auch die Täter leichter ausmachen zu können.

00:02:17: Ja, das klingt ja beim ersten Fugeln ja auch legitim.

00:02:23: Dem kann man sich schwer widersetzen, weil es ja rein aus einer moralischen Perspektive heraus völlig nachvollziehbar ist als Forderung.

00:02:32: Ja, und das ist halt genau diese Gratwanderung, auf der man sich bewegt.

00:02:36: Auf der einen Seite, das Ziel ist mehr als verständlich und mehr als Nogle.

00:02:41: Also da wäre ich absolut dabei, wenn es technisch dafür die Möglichkeit bereitgestellt werden würde, um das wirklich zu unterbinden.

00:02:48: Weil ich habe selber Kinder, allein das Thema ist schon gruselig.

00:02:55: Andererseits, es gibt keine technische Möglichkeit.

00:03:00: um partiell ausschließlich sich auf diese Nachrichten zu beziehen.

00:03:05: Und damit ist man sofort bei der Frage, wenn es halt nicht eingegrenzt werden kann, betrifft es alle.

00:03:10: Und dann sind wir bei dem Überwachungsstaat, von dem viele Parteien heute aus der rechten Ecke sehr gerne schreien mit, eure Rechte sind eingeschränkt.

00:03:20: Übrigens, wir werden das viel besser machen und schränken sie auf unsere Weise ein.

00:03:28: Egal welche Elke auf rechts oder links, in diesem Jahr ist es eigentlich, Politik ist nicht unser Thema, aber wenn man sich das mal anschaut, alle Menschen und einen Generalverdacht zu stellen und alle Nachrichten untersuchen zu lassen, finde ich tatsächlich etwas zu weitgehend.

00:03:45: Kann ich sehr gut nachvollziehen, finde ich auch sehr krass an der Stelle.

00:03:48: und wenn man sich mal überlegt, diese... Auf der anderen Seite, wenn man jetzt also mal das Teufelsadvokat die Rolle einnehmen wollen würde, dann ist ja die Gegenseite, die häufig zum Beispiel sagt, in der Presse oder mit politisch anders denken, dann in Regimen und dergleichen, die brauchen wirklich eine Verschlüsselung, um überhaupt sicher kommunizieren zu können.

00:04:15: Jetzt könnte man natürlich auch sagen, ja, also wenn man das gegeneinander abwegt, dann erscheint ja erstmal logisch, dass man sagt, na ja, gutes.

00:04:22: ist vielleicht nicht so häufig, aber wenn ich dann denke, zum Beispiel andere Unternehmen, also die Sicherstellung einer verschlüsselten Kommunikation von verschlüsselten Inhalten, unser ganzes, unser ganzer Datenschutz, basiert ja auch darauf, dass wir zum Teil Daten eben verschlüsseln können und damit gegen unbefugten Zugriff sichern können.

00:04:44: Ja, und das ist natürlich die Frage, was ist der unbefugte Zugriff?

00:04:48: Ist es denn befugt, wenn Staat der Meinung ist, dort eingreifen zu dürfen?

00:04:52: Vor allem generell, weil, wie du sagst, man kann ja nicht sagen, okay, in dem Chat geht es um dieses Thema, deswegen gucke ich dann nur in diesen Chat rein, sondern diese Hintertür wäre ja technisch so, dass generell alle Chats dann zugreifbar wären, also theoretisch.

00:05:11: Jetzt kann man natürlich sagen, wie in anderen Bereichen des Datenschutzes auch, man braucht halt entsprechend technische und organisatorische Hürden, zum Beispiel, dass man nur mit einem mit einem richterlichen Beschluss oder so draufzugreifen darf.

00:05:24: Was denkst du denn darüber?

00:05:27: Grundsätzlich ist es allgemein, wie gesagt, nicht ganz einfach zu handhaben, weil ich sage mal, wer bringt diese Debatte immer wieder hoch, als Mitarbeiter in der Politik?

00:05:37: Das heißt, die haben über ihre Berater, über die Lobbyisten entsprechend die Informationen so aufgearbeitet bekommen, wie sie sie gerne hören wollen.

00:05:45: Weil Lobbyisten... Die werden jetzt nicht um die Idee sich der hinstellung sagen übrigens unsere kai kann alle chats lesen ist alles super.

00:05:56: Sie werden durch auch nur rausfiltern was tatsächlich ihr nicht haben wollt und nur genau das anzeigen.

00:06:03: Ich vergesse mal darüber zu sprechen dass es auch positive skip Und dass da vielleicht jemand unter verdacht gerät der einfach nur weiß nicht sein kind abends bei einer über einem geburtstag von einem kuchen fotografiert hat dass man dann auf einmal doch auf dem Rad da landet und untersucht wird deswegen.

00:06:23: Es ist mehr diejenigen, die das in irgendeiner Weise in die Politik treiben, haben natürlich auch ein gewisses monetäres Interesse.

00:06:30: Habe ich auch vollstes Verständnis für jedes Unternehmen, was in irgendeiner Weise an der Lösung anbietet, hat ja auch eine Gewinnabsicht und muss ja auch in irgendeiner Weise überleben können, klar.

00:06:40: Aber dafür tatsächlich die Gesamtbevölkerung.

00:06:45: unter diesen Verdacht zu stellen, wohlwissend, dass der prozentuale Anteil dieser Kommunikation in den Tools ohnehin relativ gering ist.

00:06:53: Weil, wenn jemand heutzutage in irgendeiner Weise versucht, was ihn nicht meinetwegen Drogen zu verkaufen oder was auch immer, ist WhatsApp nicht die Chatplattform seiner Wahl.

00:07:06: Zumindest nicht die Erze, die in den Müllensinn kommen.

00:07:10: Dort das Ganze zu kommunizieren, wo wir wissen, dass wahrscheinlich die Amerikaner ihnen ein Generalschlüssel für diese End-to-End-Verschlüssel im Hintergrund haben und trotzdem sagt ja auch von sich, dass die allen Content verwenden können, der dort sich irgendwie kursiert, aber man ist ja dort zum End-to-End verschlüsselt, ist ein bisschen schwierig.

00:07:26: Ich glaube, die würden sich eher dann auf andere Tools, die das, was die da versprechen, auch transparent nachweisen, dass das eher so der Fall ist oder sich geeignete Tools kreieren.

00:07:39: Wahrscheinlich.

00:07:40: Aus einer technischen Perspektive fällt mir das in der Diskussion immer wieder auf, dass da nicht sauber unterschieden wird.

00:07:48: Ich habe ein Schlüssel, du hast ein Schlüssel, weil wir miteinander chatten können, nur wir miteinander chatten.

00:07:52: Und theoretisch kann eben auch ein Hersteller der Plattform, auf der wir chatten, nicht darauf zugreifen, weil er ja den Schlüssel nicht kennt, weil die nur auf unseren Endgeräten vorliegen und zum Beispiel mit einer Biometrie oder mit einem Pin oder dergleichen sozusagen gesichert werden.

00:08:10: Aber was ohnehin heute schon möglich ist und auch in der Strafverfolgung ja schon eingesetzt wird, ist die Metakommunikation.

00:08:17: Also die, was ich schon sehe ist, ok, Jean hat mit Waldemar eine Nachricht heute an diesem Tag zu dieser Uhrzeit geschickt und du hast dann daraufhin geantwortet.

00:08:28: Also diese Dinge, die kann man schon erkennen, auch von außerhalb und das wird ja in der Strafverfolgung schon eingesetzt.

00:08:37: Dieses Aufbrechen der Algorithmen, das geht ja noch eine ganze Stufe weiter, eben dann wirklich lesen zu können, okay, was worüber haben wir uns unterhalten?

00:08:44: Ja, da gab es ja auch vor kurzem eine heiße Debatte für die, ich glaube, Kriminalpolizei in Bayern, die in einer neuen Software einsetzt, allerdings in sehr kastrierter Version, die wirklich alle Verbindungen irgendwo offen liegt, wer mit wem, verwandt ist, wer mit wem, in irgendwelcher Weise kommuniziert, wie oft und wie sind die im ausdurchesischen Kontakt, was ja tatsächlich auch für die Verfolgung von Kriminalität auch... verwendet wird.

00:09:07: Klar, auch da gibt es natürlich Möglichkeiten, dass, nur weil ich jemanden, was ich abends auf einer Party kennengelernt habe und nicht weiß, dass der Kriminell ist.

00:09:16: Ich unterhalte mich mit dem Dreimal, bin auf einmal bei den Fahrern dann auch mit auf der Liste.

00:09:21: Gut, das Risiko hat man nur mal immer, das ist klar.

00:09:26: Aber wenn man jetzt tatsächlich sich anschaut, dass wir in einer Demokratie leben,

00:09:31: wo wir

00:09:32: die Möglichkeit haben unsere Identität, unsere eigenen Daten in irgendeiner Weise auch, sei es mit der DSG VRO, das er legt zu schützen, löschen zu lassen, abzufragen.

00:09:44: Auf einmal öffnen Sie sie komplett für den Staat.

00:09:48: Das fühlt sich, nie Herren, wie eine Demokratie, das fühlt sich an wie jemand, der mich überwacht.

00:09:54: Ja, kann ich einen großen Teil nachvollziehen.

00:09:58: Gleichzeitig denke ich natürlich so eine Tools, wie jetzt da diese amerikanische Software wieder zum Einsatz kommen soll, ermöglicht es halt zum ersten Mal natürlich auch Verbindungen zu schaffen, weil wir haben ja in Deutschland dieses Gebot der Datentrennung.

00:10:11: Das heißt, selbst wenn staatliche Stellen Daten erheben an der einen Stelle, dürfen sie sich nicht einfach so untereinander austauschen.

00:10:20: Wir kennen das, glaube ich, alle.

00:10:21: Wenn man irgendwo mal was beantragt oder so, dann muss man immer noch mal seine kompletten Daten ausfüllen.

00:10:27: Und ich denke mir dann oft, ja, habe ich doch gerade jetzt bei der anderen Behörde vor zwei Wochen gemacht.

00:10:32: Warum nutzt ihr das nicht einfach?

00:10:34: Also dürfen sie nicht.

00:10:35: Man darf das eben nicht.

00:10:36: Dürfen sie sich einfach austauschen, um das separiert zu halten.

00:10:39: Das macht es aber natürlich Strafverfolgungsbehörden unglaublich schwer, diese Zusammenhänge zu erkennen.

00:10:46: Was ist

00:10:47: es?

00:10:47: Ich kann mich an meine Studienzeite erinnern, wo es dann hieß, dass es einige Leute gegeben hätte, die in verschiedenen Bundesländern Baföch verandert haben und aus allen Bundesländern auch bezogen.

00:10:57: Und

00:10:58: das war nicht weniger offensichtlich, wo ich mich dann ernsthaft gefragt habe mit, oh mein mein, Baföch, zentrale Stelle, die das Geld irgendwie rausgebt haben, die nicht wenigstens gemerkt, was da los ist.

00:11:08: Offensichtlich schon, aber es hat eine ganze Weile gedauert.

00:11:12: Also ja.

00:11:12: Es gibt oft genug Situationen, wo ich mich tatsächlich frage, warum muss ich genau dieser Behörde diese Information rausgeben, wenn ich die doch schon mehrfach an alle Behörden noch ausgegeben habe?

00:11:23: Gut, ich hab jetzt das Bundesland gewechselt, die wollen alles neu wissen.

00:11:26: Woll ja alles neu wissen, genau, die dürfen davon nicht austauschen oder dürfen das zum Teil nicht austauschen.

00:11:30: Von daher finde ich die Diskussion schon nachvollziehbar zu sagen, okay, wie weit weicht man das auf?

00:11:35: Find's allerdings auch krass, dass zum Beispiel einen Hersteller wie Apple, nun einer wirklich großen Player am Markt ist, so weit gegangen ist, zu sagen, er zieht sich aus... Europa zurück, weil es in UK eben auch ein Gesetzesvorlage gab, die genau diese Hintertüren von dem Hersteller gefordert haben.

00:11:53: Das hieße also jedes iPhone, was unterwegs ist, könnte theoretisch eine Behörde in UK darauf zugreifen.

00:12:01: Und da natürlich einmal das eine Nummer weiter zu denken und zu sagen, okay, innerhalb der UK oder innerhalb von UK können sie ja tun, was sie wollen, ist ihre Gesetzgebung.

00:12:11: Aber wenn diese Hintertüren eben einmal da ist, Wer sagt denn, dass sie dann nicht auf ein iPhone zu greifen von jemanden, der nicht innerhalb ihrer Staatsgrenzen ist an der Stelle oder in ihrem Ohrheitsgebiet an der Stelle?

00:12:27: Und da sehe ich eine große Gefahr, wenn man eben diese Chatkontrolle etabliert, wenn man das zulässt, dass das aufgebrochen wird, dass eben auch Cyberkriminelle das genauso nutzen können.

00:12:38: Klar, es gibt bisher jede Menge Daten, die gerade für Sub-by-Kriminelle logischerweise interessant sind.

00:12:45: Wenn die an diese KI, die diese Auswertungen im Hintergrund fahren, rankrauben und es ist, wie es in der Cyber-Sicherheit immer so der Fall ist, die Frage ist nicht ob, die Frage ist wann.

00:12:56: Wie viele Informationen können Sie dann auf einmal über mich ziehen?

00:13:00: Wie viele Informationen können sie aus meiner letzten Kommunikation mit egal wem ziehen?

00:13:05: und ich sage jeder kommuniziert seine Themen so wie er möchte und bei dem einen ist mehrheitlich ist drin als bei dem anderen.

00:13:13: Aber auch allein die tatsache dass jemand von mir Jetzt gleich wissen würde wenn ich dir schreibe in welchen restaurant wie vielleicht oder am Bierchen trinken.

00:13:26: Es klingt nicht sehr angenehm

00:13:29: Und bei der Diskussion wird genau so eine.

00:13:31: Beispiele werden dann eben trivialisiert, dann eben auch, ja gut, das wäre nicht so schlimm, da weiß man halt wer, wo wir da am Birchen dringen, ist ja nicht im Vergleich zu dem, was dem gegenübersteht, dass man wirklich gravierende Straftaten verhindern könnte.

00:13:46: Aber wenn ich jetzt zum Beispiel an solche Leaks denke, die jetzt vor Kurzem in den USA passiert sind, wo über einen Angriff des Militärs auf einer nicht gesicherten Chatplattform diskutiert wurde, das kam nur raus, weil aus Versehen ein Pressemitarbeiter in diesen Chat eingeladen wurde, der das dann veröffentlicht hat.

00:14:08: Also es passieren auf diesen Chatnachrichten wirklich auch sensitive Dinge, oder ich möchte nicht wissen, in wie vielen Firmen über wirklich geheime Käufe oder Themen diskutiert wird über solche Chatplattformen, weil sie ja verschlüsselt sind.

00:14:23: Und jetzt gibt es da plötzlich so eine Hintertür und Wenn ein Angreifer die Möglichkeit bekommt, diese Hintertüren für sich zu nutzen, wie will man denn dann überhaupt noch eine Sicherheit herstellen an der Stelle?

00:14:37: Gleichzeitig ist es natürlich auch, dass es mir bei der Debatte immer wieder auffällt, dass Menschen, die nicht so technisch affin sind, was völlig in Ordnung ist, auch ein falsches Verständnis für einen ganzen Thema haben.

00:14:52: Dann kommt dann halt in der Debatte die Frage auf, ob es nicht möglich sei, einfach nur ein Teil der Bevölkerung entsprechend mit einem Schlüssel zu versorgen, während der andere Teil weiterhin verschlüsselt kommuniziert.

00:15:06: Also wenn man das Thema mal weiter denkt, ah, ich müsste von vorne rein schon vorher wissen, oder wie wir Schlüssel brauchen oder nicht, sprich, die Identifikation neuer Täter ist jetzt nicht ganz so simpel.

00:15:17: Ich müsste kenne maximal noch die bekannten Versuchen zu kriegen.

00:15:22: Und B, es gibt nur eine Möglichkeit, alle oder keiner.

00:15:28: Das ist halt technisch gar nicht anders machbar.

00:15:29: Und dass dann dabei die ganzen Wissenschaftler, die sich ja auch zu dem Thema gemeldet haben, vollständig ignoriert werden, ist für mich auch so ein bisschen so, Boah, kann man darüber reden, vielleicht gibt es auch bessere Ansätze.

00:15:42: Stimmt, da gab es neulich einen offenen Brief dazu, ne?

00:15:48: Das ist halt, also wenn sich aus... Also bekannte Wissenschaftler, die wirklich sich mit dem Thema ein Tag ein Tag aus beschäftigen und nichts anderes.

00:15:58: Schon mehrfache zu äußern und auch mit prozentualen Angaben belegen, wie viel prozent der Bevölkerung im Endeffekt davon also dort Monitord werden soll und wie viel davon Monitord werden würden, quasi AB, dass es sich eigentlich gar nicht rechtfertigen lässt.

00:16:20: Es ist dann immer noch auf die Agenda kommt und immer wieder auf die Agenda kommt.

00:16:24: Das ist für mich tatsächlich spannend zu beobachten.

00:16:27: Spannende Frage.

00:16:28: Super.

00:16:30: Ja, ich glaube, das ist ein wichtiges Thema, was man einfach im Blick behalten soll, gerade wenn man sich vielleicht wie unsere Zuhörer auch in dem Bereich Cyber-Sicherheit oder Informationssicherheit eben bewegt, was das bedeuten würde, wenn diese Verschlüsselungen hinter Türen bekommen, dann hätte das wahrscheinlich eben auch früher oder später auf die entsprechenden Unternehmen Auswirkungen, sodass man das vielleicht gut im Blick behält.

00:17:00: Ich habe heute ein ganz anderes Thema mal mitgebracht, etwas mehr technisch an der Stelle.

00:17:06: Wir sind zwei Cyberangriffe aufgefallen, die letzte und vorletzte Woche stattgefunden haben, die in meinen Augen auch etwas zu wenig Aufmerksamkeit eigentlich in den Medien bekommen.

00:17:19: Nämlich einmal wurde der Hersteller der Automobilhersteller Jaguar Land Rover angegriffen von einer auch bekannten Ransomalgruppe, den es sich Scattered Spiders nennt und der Angriff war wohl so schwer, dass sie ihre kompletten Produktionssysteme runterfahren mussten und auch nach wie vor, nach den letzten Meldungen, die ich gesehen habe, die immer noch runtergefahren sind.

00:17:48: Also jetzt einen wirklich langen Produktionsausfall haben.

00:17:52: Und ein zweiter Angriff, der jetzt am Wochenende passiert ist, auf eine Firma, die nennt sich Collins Aerospace, von denen hat man wahrscheinlich als normaler Mensch, der jetzt nicht in der Branche arbeitet und noch nichts gehört, die stellen eine Software her, die für das Check-in und Boarding und die Gepäckabfertigung an Flughäfen zuständig ist.

00:18:14: Und wird unter anderem eingesetzt eben in London Heathrow, in Berlin am Flughafen und in Brüssel.

00:18:20: Also an den wirklich großen Flughafen auch in Europa.

00:18:26: Und die Mitarbeiter sind jetzt zum Teil eben auf manuelles, auf pen and paper zurückgegangen.

00:18:31: Also versuchen wirklich die Gäste, die die die Passagiere und zu Worten mit Papier und Bleistift.

00:18:38: Und die Auswirkungen sind einfach auch gravierend an der Stelle, wo sich das überlegt.

00:18:44: Hast du von die mitbekommen, die Meldungen, weil immer?

00:18:47: Ja, dass wir sich eher so als Hintergrund rausholen.

00:18:51: Also die kam kurz das Meldung mit.

00:18:53: Übrigens, da ist was passiert.

00:18:54: Ja.

00:18:55: Aber da kam auch meiner Ansicht nach nicht so viel rüber, dass man sich da jetzt wirklich Gedanken drum machen würde.

00:19:03: Liegt vielleicht auch daran, dass tatsächlich mittlerweile so viele Meldungen kommen, dass da jemand schon wieder von einem erfolgreichen Angriff betroffen ist.

00:19:12: Das ist auch die Menge, also das Interesse verlieren.

00:19:16: Ja, deswegen wollte ich es hier auch mal rausstellen in dem Podcast, weil für mich sind das zwei Angriffe, die sind schon gravierend, weil es geht wieder mal um die Lieferkette.

00:19:24: Ich glaube, wir haben ja schon ein paar Mal über Lieferketten gesprochen und dass das einfach ein Angriffshebel ist, der immer stärker ausgenutzt wird.

00:19:34: Also wenn man sich das in der Automobilbranche überlegt, was so ein Lieferkettenangriff bedeutet.

00:19:42: Ja, also es ist ja nicht nur die Automobilbranche in Deutschland, die jetzt aktuell zurzeit gerne in den Medien als Greckeln beschrieben wird, sondern es gibt ja auch viele, viele anderen Länder, wo es nicht anders ist.

00:19:54: So ein Land Rover haben wir alle vor einigen Jahren in Nachrichten selber miterlebt, die sind ja mehrfach schon verkauft worden.

00:20:01: Aber hinter so einem größeren Hersteller hängt ja auch eine ganze Menge an weiteren Betrieben, die genauso davon betroffen sind.

00:20:10: Das heißt, wenn wir darüber reden, dass die Automobilindustrie nun keiner Weise ein Problem hat oder ein spezifisches Unternehmen, dann gibt es jede Menge weitere Arbeitsplätze, die genau daran hängen, weil sie auch immer nicht mehr liefern können.

00:20:23: Und das ist eigentlich das Krasse, wenn man sich das nämlich überlegt, im Vergleich jetzt zu einer Ransomware auf ein Unternehmen, also ohne das zu verharmlosen zu wollen, wo es ein Unternehmen betroffen ist und vielleicht nicht lieferfähig ist, aber hier an diesen Stellen in der Automobilindustrie, wo fast alles auf Just-in-Time-Lieferungen umgestellt wurde, Das heißt, die Zulieferer müssen zu einem bestimmten Zeitpunkt liefern.

00:20:45: Die Fuhrunternehmen sind darauf ausgelegt, just in time liefern zu können.

00:20:52: Die Bezahlungen auch der Zulieferer erfolgt natürlich nur, wenn es entsprechend geliefert wurde.

00:21:00: Also diese Ripple-Effekte, diese Folge-Effekte, die das hat, das ist für mich das, was ich so krass finde an dem Beispiel.

00:21:09: Ja, es ist halt, es ist ein Unterschied zwischen, ich habe mir ein Landrohr bestellt und warte jetzt darauf, da kann ich geliefert werden oder keine Ahnung, die Steuerkette meines Jaguars hat gerade so ein bisschen Lieferschwierigkeiten, weil die irgendwie in Angriff passiert ist.

00:21:23: Genau.

00:21:24: Oder ich kriege meinen Gehalt nicht, weil mein Unternehmen zu achtzig Prozent an den beiden Unternehmen tatsächlich mit seiner Produktion hängt.

00:21:34: Und dann kann ich meine Miete nicht bezahlen.

00:21:36: Genau.

00:21:41: Das finde ich so heftig an der Stelle, dass ich das einfach zu überlegen.

00:21:44: und wenn man sich jetzt die gesamte geopolitische Situation anschaut, dann ohne jetzt den Aluhude aufsetzen zu wollen, ist es halt schon naheliegend, was das da vielleicht auch ein Interesse da ist, solche Renz- und Wehrgruppen, die auch schon in der Vergangenheit von Staaten genutzt wurden als Helvershelfer, um genau solche Verwerfungen zu erzeugen.

00:22:07: In der Bevölkerung.

00:22:08: Gleichzeitig gibt es ja auch in der gesamten Automobilindustrie immer noch den Trend des Softwaregesteuerten Fahrzeugs.

00:22:15: Und wenn man dem Trend immer weiter folgt und einen Angriff auf ein Unternehmen dieser Größe erfolgreich durchzuführen, das gehört schon einiges zu.

00:22:24: Was passiert aber, wenn das Softwaregesteuerte Fahrzeugerfall mal tatsächlich erfolgreich angegriffen wird?

00:22:31: Das ist dann wieder ein Szenario, das ich mir wieder nicht ausbahlen möchte.

00:22:36: Ja, jetzt gab es ja vor kurzem erst eine große Konferenz in Deutschland.

00:22:42: Da wurde genauso was eben vorgestellt, was eigentlich als an Daten gesammelt wird von den Automobil-Hersteller, bereit heute.

00:22:48: Und eben zusammengeführt, es führt ein bisschen zu dem Punkt, was zum ersten Thema, was wir hatten, was man da alles rauslesen kann, also wer wohin fährt, wer vielleicht Wochenende welches Etablissement aufsucht und wenn man das dann zurückführt auf bestimmte Firmenkunden oder Flotten, vielleicht von Ministerien oder so, dann kann man da schon viel rauslesen.

00:23:12: Und das ist jetzt das erste Anfang, wie du sagst, wenn man natürlich Software gesteuert hat.

00:23:18: Dann geht es viel weiter.

00:23:19: Gleichzeitig.

00:23:19: Die Unternehmen tun ja viel dafür.

00:23:21: Es ist ja nicht.

00:23:22: Zum Beispiel bei Jaguar Land Rover, die gehören ja mittlerweile zu einem indischen Konzern.

00:23:26: Dieser indische Konzern bietet selber Cyber-Sicherheit an.

00:23:30: Ich bin mir auch sicher, dass die gut aufgestellt waren für das Thema Cyber-Sicherheit.

00:23:35: Aber es gibt halt nicht die hundert Prozent Sicherheit an der Stelle.

00:23:40: Das ist wohl wahr.

00:23:41: Aber wer muss man denn an?

00:23:43: Das andere Beispiel auch nochmal anschauen mit den Flughafen, ne?

00:23:46: Ja.

00:23:46: Das ist auch wieder ein Unterschied.

00:23:48: Entweder ich sitze jetzt am Flughafen, ärgere mir ein Loch in den Bauch, weil ich gerade nicht in die Keribik schaffe, nicht mal sicher sein kann, dass mein Gepäck ankommt, weil ich dafür einen handgeschriebenen Zettel in der Hand habe, der jetzt gedruckt sieht einfach vertrauenswürdig aus.

00:24:06: Oder ich habe heute ein wichtiger Geschäftsdermin in einem anderen Land, wo ich jetzt tatsächlich hinkommen muss und wo einige Millionen dran hängen.

00:24:15: Und auch das ist wieder nur dieser persönliche Perspektive.

00:24:18: und wenn man das wieder weiterdenkt, sagt okay, aber an dieser rechtzeitigen Abfertigung der Flugzeuge hängt ja zum Beispiel auch die Belieferung des Flugzeugs am nächsten Flughafen mit Bordessen statt, mit den Wartungsmechanikern.

00:24:35: Das überhaupt ein Flugzeug an dem an dem an deinem reiseziel ist was dann wieder in eine andere richtung fliegen kann.

00:24:42: also auch da wieder sind diese folge effekte so kravierlich

00:24:46: starten landezeiten sind geregelt sie sind oftmals begrenzt das sind passagieren auch nicht zu jeder tagessen nachtzeit auch tatsächlich hin dürfen

00:24:55: ja

00:24:56: daran hängen aber auch die zeiten für die kagoflugzeuge mit daran.

00:24:59: auch die dürfen nicht zu jeder tagessen nachtzeit überall starten.

00:25:03: ja

00:25:03: Das heißt, das hat eine Auswirkung auch auf diese Lieferkette.

00:25:06: Und wenn man sich einfach mal anschaut, wenn so ein Angriff die Systeme nicht einfach nur lahmlich, sondern vielleicht auch Daten abgibt, wie viele Daten bringe ich mit an einen Flughafen, inklusive meiner Reisepassnummer, inklusive gefühlt meiner Unterwäschunggröße?

00:25:21: Ja.

00:25:23: Auch da wieder.

00:25:24: Da sammeln wir sehr, sehr viele Daten.

00:25:27: Ich hoffe und gehe mal davon aus, dass sie in den allermeisten Fällen geschützt sind.

00:25:33: Aber ja, an der Stelle ist das natürlich diese Zentralisierung, dann wieder auch der Pferdefuß an der Stelle, weil man sie natürlich, wenn sie gefährdet wird.

00:25:45: Ich habe mir mal überlegt, zu sagen, was kann jetzt jemand, der uns dazu hört?

00:25:48: Wir wollen ja nicht nur einfach Schwarz machen, was kann der da eigentlich von mitnehmen?

00:25:52: Was kann man als CISO... in der von diesen beiden Vorfällen für sich, vielleicht für sein Unternehmen lernen.

00:26:02: Mir ist da sowas eingefallen, also zum einen fand ich das überhaupt merkenswert, dass an den Flughäfen auf Pen and Paper umgestellt werden kann.

00:26:11: Ich habe das jetzt schon beim Parcyber sich als Vorfällen gesehen, wo die Prozesse das überhaupt nicht mehr zugelassen haben, dass man überhaupt auf solche Steinzeitmethoden zurückgreift.

00:26:25: Steinzeit finde ich gerade gut.

00:26:29: Und sich darüber einfach mal Gedanken zu machen und zu überlegen, okay, wie könnte ich denn im Krisenfall, was sind wirklich die Methoden, um so Fallback zu machen?

00:26:40: Was ist das Fallback vom Fallback?

00:26:43: Ja, also es lobt im Flughafen definitiv, dass sie dann quasi auch Alternativ-Prozesse scheinbar zur Verfügung haben, wo sie trotz Ausfall weitampen können.

00:26:54: Nix ist schlimmer, als dann tatsächlich eine ganze Halle voller Leute da sitzen zu haben und sie mit Decken ausstatten zu müssen, weil sie gar nicht hier in diesem Land eigentlich, also sie wollen zurück nach Hause.

00:27:04: Ja.

00:27:05: Die haben hier keinen Wohnsitz.

00:27:08: Sie so dann quasi abfertigen zu können, dann ist es vielleicht ärgerlich, dass der Koffer verloren geht oder irgendwie in eine Woche später eintrifft, aber immerhin gibt es dann, dann kommt man nach Hause.

00:27:19: Ich weiß nicht, ob jedes Unternehmen dazu tatsächlich in Erlager wäre, weil ich kann mir nicht vorstellen, dass eine Just-in-Time-Produktion tatsächlich auf Papier geregelt werden kann.

00:27:27: Das wird ein bisschen schwierig.

00:27:31: Aber das Flughafenbeispiel zeigt auf jeden Fall, dass die Vorbereitung darauf, was man produzieren kann, ist genau das, was eigentlich den Unterschied macht.

00:27:43: Danke.

00:27:46: Ich höre auch von vielen Unternehmen, dass sie quasi als Fallback-Lösung in irgendeiner Weise ihre alten Server, die eigentlich aus der Garantie gelaufen sind und oftmals auch unten eher noch mit Diesel betrieben werden, gerne als Fallback-Solution genutzt werden.

00:28:02: Ob das die richtige Lösung ist, muss jeder für sich selbst entscheiden.

00:28:06: Ich bin ehrlicherweise kein Fan davon, kritische Prozesse in Fallback auf ein aussortiertes Gerät.

00:28:15: So verlagert.

00:28:18: Also diese Geräte sind für mich maximal noch Übungs- oder Trainingsanheiten für Azubis, aber darüber hinaus würde ich jetzt nicht mehr gehen wollen.

00:28:28: Aber sich da tatsächlich mal Gedanken dran zu machen, was sind meine kritischen Prozesse, wie werden sie auch gestellt und wie kann ich sie zu Not aufrecht erhalten?

00:28:38: Ist natürlich ein Gamechanger am Ende, ne?

00:28:41: Ja.

00:28:42: Danke.

00:28:43: Also gerade dieses Thema Krisenübung, da sprichst du mir aus dem Herzen an der Stelle.

00:28:47: finde, was man aus dem Beispiel auch noch mitnehmen kann, ist sich über Randsysteme noch mal Gedanken zu machen.

00:28:52: Ich glaube jetzt so ein Boarding ist schon ein wichtiges Thema in dem Flughafen, aber jetzt wahrscheinlich kein Kernprozess, wenn man das jetzt zum Beispiel mit der Flugsicherung oder dergleichen einfach vergleichen würde.

00:29:03: Aber sich darüber einfach mal Gedanken zu machen, was habe ich eigentlich so für Randprozesse, die aber wenn sie ausfallen, soll ich eine gravierenden Konsequenzen haben können in meinem Unternehmen.

00:29:14: Zumal aber dieser Randprozess des Bordings, also dass die Leute ihre Bordkarte überhaupt schriftlich oder handschriftlich ausgestellt bekommen können, kann ja nur bedeuten, dass die Prozesse dahinter auch zu einem gewissen Rad existieren.

00:29:28: Niemand lässt mich weitergehen zu einem Flugzeug, wohl wissen, dass ich sowieso nicht einscheinen kann.

00:29:35: Wenn er es tut, dann würde ich ernsthafterweise fragen, was ich da eigentlich mache.

00:29:42: Das sieht man ja auch leider oft in Beisheiber Angriffen, dass dann eben grundlegende Siehe als Maßnahmen vernachlässigt werden, weil man eben in so einem Krisenmodus ist und dann grundsätzlich checkt manchmal vernachlässigt.

00:29:56: Das ist ein wichtiger Punkt.

00:29:58: Und auf der anderen Seite, jetzt in dem Fall von Lentro und Jaguar, wie du schon sagst, du gehörst halt zu einem Unternehmen, was selber AT Security anbietet.

00:30:06: Das zeigt einfach, dass niemand davor gewappnet ist.

00:30:10: Danke.

00:30:10: Ja, ganz genau.

00:30:12: Also so ist es.

00:30:12: Es gibt keine hundertprozentige Sicherheit.

00:30:15: Und man wird sicherlich vielleicht, wenn sie es veröffentlicht im Nachgang feststellen, wie die Konstellation war, dass es überhaupt zu sowas kommen konnte.

00:30:24: Was mir da auch noch mal aufgefallen ist, ist diese Trennung von IT und OT, dass man eben da wirklich ein klares Tiering-Modell hat.

00:30:33: Und da nochmal genau hinzuschauen, wenn jetzt der Zugriff auf von der IT auf die IT nicht mehr möglich ist, weil in der Regel wird die IT angegriffen und nicht die produktionsnahen Systeme, weil die E-Gekapsel sind.

00:30:47: Ich kann nicht die dann vielleicht weiterführen, wenn meine IT nicht mehr zur Verfügung steht an der Stelle.

00:30:53: Und dabei kommt noch die aktuelle Debatte natürlich, ob man die OT mit der IT nicht lieber deutlich stärker verheiraten sollte.

00:31:01: Gleichzeitig aber auch sehr viel OT, wenn man stärker einen Angriffswittelpunkt rückt.

00:31:09: und sich das einfach mal gut zu überlegen sozusagen an dem Beispiel, vielleicht das einfach weiter zu verfolgen.

00:31:15: Diesen Fall, was da rauskommt, ob man da noch ein Learning machen kann.

00:31:18: Wenn da was rauskommt, glaube ich, können wir es nochmal kurz aufgreifen oder so.

00:31:21: Vielleicht entdecken wir ja da noch was Spannendes.

00:31:25: Ja.

00:31:26: Super.

00:31:27: Valima, danke für das spannende Beispiel mit der Chatkontrolle.

00:31:30: Fand ich eine spannende Diskussion?

00:31:33: Ich danke dir auch und ja, ich bin mal gespannt, welche Themen uns zu den nächsten Wochen begleiten werden.

00:31:38: Untertitel im Auftrag des ZDF.

00:31:42: im Auftrag des ZDF.