IT-Sicherheit steht zunehmend im Zeichen der Geopolitik

Wien (pts005/18.02.2019/08:45) – Wer den Technologie Teil des jeweiligen Lieblingsmagazins liest, kann sich vor den Versprechungen kommender Netzwerktechnologien kaum retten. Das eigene Auto wird zum Smartphone. Der sprechende Kühlschrank wird zur Therapeutin. 5G-Mobilfunknetze versprechen glasfaserschnelles Streaming von Daten auf dem geschwindigkeitsbeschränkten Elektroroller. Beim zweiten Lesen offenbahrt sich die Bedeutung des Buchstabens G in 5G – er steht für Geopolitik. Es gibt im Zuge des Netzwerkausbaus Diskussionen um versteckte Killswitches zwecks Notabschaltungen ganze Netzwerke und Hintertüren zur Belauschung der Kunden. Die im November stattfindende DeepSec-In-Depth-Security-Konferenz widmet sich den technischen Herausforderungen des Internets der Dinge, den kommenden Netzwerktechnologien und den geopolitischen Randbedingungen diktiert durch Schlüsselereignisse der letzten 6 Jahre.

5G als Fortsetzung der Handelskriege

Es gibt weltweit sehr wenige Anbieter von Mobilfunknetzwerktechnologie. Der Name Huawei wird in den letzten Monaten in der Berichterstattung recht oft erwähnt. Diskutiert werden dann selten die Vorzüge der angebotenen Produkte oder die tatsächlichen Implementationen des neuen Mobilfunkstandards 5G. Stattdessen geht es um den Vorwurf heimlich eingebauter Notabschaltungen, die auf einen Schlag das komplette Mobilfunknetz eines Betreibers lahmlegen können. Angeklagt wird auch vermeintlicher versteckter Code, der Fernzugriff und das Kopieren von Daten aus dem Netzwerk erlaubt. Gerüstet mit vielen Vorwürfen ohne konkrete Beweise wird gerade in bestimmten westlichen Ländern ein Ausschluss chinesischer Telekommunikationsausrüster öffentlich diskutiert.

Die Sorgen sind berechtigt, jedoch sind sie Sicherheitsforschern nicht fremd. Fast alle Computer, die in Europa und anderswo eingesetzt werden, stammen selten aus den Ländern, in denen sie ihre Arbeit tatsächlich verrichten. Die Chips, die Firmware und viele weitere Zutaten in Hard- und Software werden woanders gebaut. Da man in den letzten Dekaden systematisch darauf verzichtet hat, den Inhalt der Box hinter Tastatur oder Touchscreen zu hinterfragen, geschweige zu verstehen, blühen die Anschuldigungen getrieben von der Phantasie.

Die IT-Security-Forschung kann dem nur mit Fakten und solider Recherche begegnen. Robert Hannigan, der ehemalige Chef des britischen Geheimdiensts GCHQ, hat bestätigt, dass sich das britische National Cyber Security Centre (NCSC) lange Jahre mit Komponenten aus chinesischen Lieferketten beschäftigt hat. Bisher hat es laut seiner Aussage keine Indizien für staatlich verordnete verdeckte Angriffe durch Huawei Hardware gegeben. NCSC hat seit 2010 mit Hilfe des Huawei Security Evaluation Centres (HSEC) Zugang zum Quellcode der Produkte.

Der Sinn dahinter ist eine Zertifizierung durch das NCSC bevor Technologie in sensitiven Bereichen eingesetzt werden kann. Robert Hannigan widerspricht damit direkt den Vorwürfen aus den USA und der Einschätzung von Gerhard Schindler, dem früheren Präsident des deutschen Bundesnachrichtendienstes (BND). Darüber hinaus ignorieren die Kritiker die bereits jetzt in Europa vorgeschriebenen gesetzlichen Überwachungsschnittstellen, standardisiert durch das Europäische Institut für Telekommunikationsnormen (ETSI). Diese Vorgaben gelten übrigens für alle Anbieter, die in Europa Netzwerke bauen oder bauen lassen möchten.

Intranet statt Internet

Die aktuelle Nachrichtenlage illustriert daher sehr gut was man alles in der Informationssicherheit beachten sollte. Die Absicherung der eigenen Daten ist längst nicht mehr mit einzelnen isolierten Betrachtungen getan. Die DeepSec Konferenz hat obendrein eine lange Tradition der Sicherheitsforschung im Mobilfunkbereich, angefangen von der ersten öffentlichen Publikation von Schwachstellen des A5/1 Verschlüsselungsalgorithmus (zwischen Telefon und Funkzelle) bis hin zu Sicherheitsproblemen bei Smartphones. Dieser Bereich ist nur ein Beispiel, und hat durch die rasante Verbreitung von Mobiltechnologie immens an Bedeutung gewonnen.

Um den diskutierten Killswitch in Netzwerken wieder aufzugreifen: Die Idee in einem nationalen Notfall Informationsnetzwerke zu kontrollieren ist nicht neu. Präsident Franklin D. Roosevelt hat dies im Communications Act of 1934 schon umgesetzt. Damals ging es um Medien. Im vorgeschlagenen Protecting Cyberspace as a National Asset Act of 2010 wollte man dasselbe für das Internet umsetzen, mit dem Unterschied der Abschaltung statt Kontrolle. Das vorgeschlagene Gesetz von 2010 verfiel ohne Stimmen zu bekommen, weil die technische Umsetzung nicht klar war und nach wie vor auch nicht ist. Der Gedanken mit einem simplen Schalter Kommunikationsnetzwerke nach Belieben lahmzulegen funktionierte auf der Kinoleinwand oder im Fernsehen noch gut – leider nur in der Vergangenheit, denn mittlerweile werden Informationen per Internet gestreamt.

Die Alternative ist ein strikt nationales Netzwerk. Die iranische Regierung arbeitet an einem iranischen Intranet, angespornt durch Proteste im Jahre 2009. Die chinesische Firewall versucht etwas ähnliches, allerdings durch strenge Filter gesteuert durch Redaktionen. Rußland probt derzeit ebenfalls eine Abkopplung vom Internet. Die Kommunikationsnetzwerke sollen dann zwar noch funktionieren, aber man plant sie vom Rest der Welt zu trennen. Das ist de fakto einfach die fettarme Variante des Killswitches. Beide Ansätze demonstrieren wie enorm die Bedeutung des Internets mittlerweile geworden ist – es kann nicht mehr ignoriert werden. Das gilt für Unternehmen noch viel mehr als für Länder.

Digitaler Realismus

Realistisch betrachtet macht es wenig Sinn die eigene Bevölkerung und den Staat zunächst von einem Netzwerk abhängig zu machen, um das dann wieder abzuschalten. Die Sehnsucht nach lokalen Netzwerken beweist das. In Unternehmen ist es nicht anders. Daten müssen ausgetauscht und Kommunikation muss stattfinden. Seriöse Informationssicherheit muss daher untersuchen wie sich die Integrität der Infrastruktur und von Daten auch unter widrigen Umständen erhalten lassen. Wichtigster Punkt ist dabei das sichere Design von Applikationen von Anfang an. Dazu gab es bei den vergangenen DeepSec-Konferenzen reichlich Vorträge und Trainings als Weiterbildung für Entwicklerinnen und Planer.

Der IT-Security haftet der Ruf eines Verhinderers an. Tatsächlich ist das Gegenteil der Fall. Vergangene Sicherheitsvorfälle und publizierte Dokumente über organisierte Schwachstellen wie beispielsweise durch Edward Snowden sind und waren wesentliche Bausteine für eine Verbesserung der Sicherheit in unserem Alltag. Voraussetzung dafür ist paradoxerweise ein freier Austausch zwischen Sicherheitsforschern. Ein nationales Intranet, Verbote von kryptographischen Algorithmen, Filter für publizierte Inhalte oder ähnliche Restriktionen sind daher der maximal unsicherste Kontrapunkt zu notwendiger Sicherheit in der digitalen Welt.

Die DeepSec Konferenz möchte daher explizit nicht nur Sicherheitsexperten ansprechen. Die Durchdringung digitaler Netze erfordert für eine sinnvolle Weiterentwicklung der IT-Sicherheitsmaßnahmen die Einbindung von Unternehmen, Entwicklerinnen, der Hacker Community, Behörden, Anwendern, Infrastrukturbetreibern, Designern und interdisziplinären Wissenschaftlerinnen. Menschen in beratender Funktion sind ausdrücklich eingeladen an dem Austausch von Erfahrungen und Ideen im November in Wien teilzunehmen.

Beiträge gesucht – Call for Papers

Die DeepSec Konferenz möchte dieses Jahr das Augenmerk auf die Verbindung zwischen Geopolitik und Informationssicherheit legen. Bis zum 31. Juli 2019 werden daher Vorträge gesucht, welche sich mit Technologien beschäftigen, die beide Welten berühren. Konkret sind das die Herausforderungen für Industrie- und Steuerungssysteme, der Internet der Dinge, sämtliche mobil eingesetzte Kommunikationstechnologie (vom Auto bis zum Telefon), Einsatz von Algorithmen und moderne Datenhaltung. Wir erleben gerade eine beschleunigte Vermischung neuer und vorhandener Methoden. Es sind Sicherheitsforscherinnen gefragtt, die sich kreativ mit den aktuellen Möglichkeiten auseinandersetzen und Schwachstellen aufzeigen. Risiken lassen sich erst dann managen, wenn man sie kennt. Das Programmkommittee freut sich daher auf möglichst viele Einreichungen, die Trends und sogenannte Zukunftstechnologien ganz genau unter das digitale Mikroskop legen.

Die zweitägigen Trainings vor der DeepSec Konferenz sind auch Teil des Call for Papers. Trainerinnen, die ihr Wissen weitergeben möchten, sind herzlich eingeladen Kurse einzureichen. Akzeptierte Kurse werden vorzeitig bekanntgegeben, um den Teilnehmern die Planung beim Buchen zu erleichtern.

Programme und Buchung

Die DeepSec 2019-Konferenztage sind am 28. und 29. November. Parallel finden die ROOTS 2019 Vorträge in einem separaten Saal ebenso am 28. und 29. November statt. Die DeepSec Trainings finden an den zwei vorangehenden Tagen, dem 26. und 27. November statt. Die DeepINTEL Konferenz findet am 27. November statt. Das Programm senden wir auf Anfragen an deepsec@deepsec.net gerne zu. Tickets sind auf der Webseite https://deepintel.net erhältlich.

Der Veranstaltungsort für DeepSec, DeepINTEL und ROOTS 2019 ist das Hotel The Imperial Riding School Vienna – A Renaissance Hotel, Ungargasse 60, 1030 Wien.

Einreichungen können unter https://deepsec.net/cfp.html abgegeben werden. Das aktuelle Programm der Veranstaltungen wird nach dem Abschluss der Einreichungsfristen bekanntgegeben. #

Tickets für die DeepSec Konferenz sowie ROOTS 2019 und die DeepSec Trainings können Sie jederzeit unter dem Link https://deepsec.net/register.html bestellen.

(Ende)

Aussender: DeepSec GmbH Ansprechpartner: René Pfeiffer Tel.: +43 676 5626390 E-Mail: deepsec@deepsec.net Website: deepsec.net