Die im November stattfindende DeepSec-In-Depth-Security-Konferenz widmet sich den technischen Herausforderungen des Internets der Dinge, den kommenden Netzwerktechnologien und den geopolitischen Randbedingungen diktiert durch Schlüsselereignisse der letzten sechs Jahre. [...]
Es gibt weltweit sehr wenige Anbieter von Mobilfunknetzwerktechnologie. Der Name Huawei wird in den letzten Monaten in der Berichterstattung recht oft erwähnt. Diskutiert werden dann selten die Vorzüge der angebotenen Produkte oder die tatsächlichen Implementationen des neuen Mobilfunkstandards 5G. Stattdessen geht es um den Vorwurf heimlich eingebauter Notabschaltungen, die auf einen Schlag das komplette Mobilfunknetz eines Betreibers lahmlegen können. Angeklagt wird auch vermeintlicher versteckter Code, der Fernzugriff und das Kopieren von Daten aus dem Netzwerk erlaubt. Gerüstet mit vielen Vorwürfen ohne konkrete Beweise wird gerade in bestimmten westlichen Ländern ein Ausschluss chinesischer Telekommunikationsausrüster öffentlich diskutiert.
Die Sorgen sind berechtigt, jedoch sind sie Sicherheitsforschern nicht fremd. Fast alle Computer, die in Europa und anderswo eingesetzt werden, stammen selten aus den Ländern, in denen sie ihre Arbeit tatsächlich verrichten. Die Chips, die Firmware und viele weitere Zutaten in Hard- und Software werden woanders gebaut. Da man in den letzten Dekaden systematisch darauf verzichtet hat, den Inhalt der Box hinter Tastatur oder Touchscreen zu hinterfragen, geschweige zu verstehen, blühen die Anschuldigungen getrieben von der Fantasie.
Fakten von Fiktion trennen
Die IT-Security-Forschung kann dem nur mit Fakten und solider Recherche begegnen. Robert Hannigan, der ehemalige Chef des britischen Geheimdiensts GCHQ, hat bestätigt, dass sich das britische National Cyber Security Centre (NCSC) lange Jahre mit Komponenten aus chinesischen Lieferketten beschäftigt hat. Bisher hat es laut seiner Aussage keine Indizien für staatlich verordnete verdeckte Angriffe durch Huawei-Hardware gegeben. NCSC hat seit 2010 mit Hilfe des Huawei Security Evaluation Centres (HSEC) Zugang zum Quellcode der Produkte.
Der Sinn dahinter ist eine Zertifizierung durch das NCSC bevor Technologie in sensitiven Bereichen eingesetzt werden kann. Robert Hannigan widerspricht damit direkt den Vorwürfen aus den USA und der Einschätzung von Gerhard Schindler, dem früheren Präsident des deutschen Bundesnachrichtendienstes (BND). Darüber hinaus ignorieren die Kritiker die bereits jetzt in Europa vorgeschriebenen gesetzlichen Überwachungsschnittstellen, standardisiert durch das Europäische Institut für Telekommunikationsnormen (ETSI). Diese Vorgaben gelten übrigens für alle Anbieter, die in Europa Netzwerke bauen oder bauen lassen möchten.
Intranet statt Internet
Die aktuelle Nachrichtenlage illustriert daher sehr gut, was man alles in der Informationssicherheit beachten sollte. Die Absicherung der eigenen Daten ist längst nicht mehr mit einzelnen isolierten Betrachtungen getan. Die DeepSec-Konferenz hat obendrein eine lange Tradition der Sicherheitsforschung im Mobilfunkbereich, angefangen von der ersten öffentlichen Publikation von Schwachstellen des A5/1 Verschlüsselungsalgorithmus (zwischen Telefon und Funkzelle) bis hin zu Sicherheitsproblemen bei Smartphones. Dieser Bereich ist nur ein Beispiel, und hat durch die rasante Verbreitung von Mobiltechnologie immens an Bedeutung gewonnen.
Um den diskutierten Killswitch in Netzwerken wieder aufzugreifen: Die Idee in einem nationalen Notfall Informationsnetzwerke zu kontrollieren ist nicht neu. Präsident Franklin D. Roosevelt hat dies im Communications Act of 1934 schon umgesetzt. Damals ging es um Medien. Im vorgeschlagenen „Protecting Cyberspace as a National Asset Act of 2010“ wollte man dasselbe für das Internet umsetzen, mit dem Unterschied der Abschaltung statt Kontrolle. Das vorgeschlagene Gesetz von 2010 verfiel ohne Stimmen zu bekommen, weil die technische Umsetzung nicht klar war und nach wie vor auch nicht ist. Der Gedanken mit einem simplen Schalter Kommunikationsnetzwerke nach Belieben lahmzulegen funktionierte auf der Kinoleinwand oder im Fernsehen noch gut – leider nur in der Vergangenheit, denn mittlerweile werden Informationen per Internet gestreamt.
Die Alternative ist ein strikt nationales Netzwerk. Die iranische Regierung arbeitet an einem iranischen Intranet, angespornt durch Proteste im Jahre 2009. Die chinesische Firewall versucht etwas ähnliches, allerdings durch strenge Filter gesteuert durch Redaktionen. Russland probt derzeit ebenfalls eine Abkopplung vom Internet. Die Kommunikationsnetzwerke sollen dann zwar noch funktionieren, aber man plant sie vom Rest der Welt zu trennen. Das ist de fakto einfach die fettarme Variante des Killswitches. Beide Ansätze demonstrieren wie essentiell die Bedeutung des Internets mittlerweile geworden ist. Das gilt für Unternehmen noch viel mehr als für Länder.
Digitaler Realismus
Realistisch betrachtet ist es wenig sinnvoll, die eigene Bevölkerung und den Staat zunächst von einem Netzwerk abhängig zu machen, um das dann wieder abzuschalten, sind die DeepSec-Konferenz-Versanstalter überzeugt. Die Sehnsucht nach lokalen Netzwerken beweist das. In Unternehmen ist es nicht anders. Daten müssen ausgetauscht werden. Seriöse Informationssicherheit muss daher untersuchen wie sich die Integrität der Infrastruktur und von Daten auch unter widrigen Umständen erhalten lassen. Wichtigster Punkt ist dabei das sichere Design von Applikationen von Beginn an. Dazu gab es bei den vergangenen DeepSec-Konferenzen reichlich Vorträge und Trainings als Weiterbildung für Entwickler und Planer.
Der IT-Security haftet oft der Ruf eines Verhinderers an. Tatsächlich ist das Gegenteil der Fall. Vergangene Sicherheitsvorfälle und publizierte Dokumente über organisierte Schwachstellen wie beispielsweise durch Edward Snowden sind und waren wesentliche Bausteine für eine Verbesserung der Sicherheit in unserem Alltag. Voraussetzung dafür ist paradoxerweise ein freier Austausch zwischen Sicherheitsforschern. Ein nationales Intranet, Verbote von kryptografischen Algorithmen, Filter für publizierte Inhalte oder ähnliche Restriktionen sind laut DeepSec-Experten daher der maximal unsicherste Kontrapunkt zu notwendiger Sicherheit in der digitalen Welt.
Die DeepSec-Konferenz möchte daher explizit nicht nur Sicherheitsexperten ansprechen. Die Durchdringung digitaler Netze erfordert für eine sinnvolle Weiterentwicklung der IT-Sicherheitsmaßnahmen die Einbindung von Unternehmen, Entwicklern, der Hacker-Community, Behörden, Anwendern, Infrastrukturbetreibern, Designern und interdisziplinären Wissenschaftlern. Menschen in beratender Funktion sind ausdrücklich eingeladen an dem Austausch von Erfahrungen und Ideen im November in Wien teilzunehmen.
Beiträge gesucht – Call for Papers
Die DeepSec-Konferenz legt dieses Jahr das Augenmerk auf die Verbindung zwischen Geopolitik und Informationssicherheit. Bis zum 31. Juli 2019 werden daher Vorträge gesucht, die sich mit Technologien beschäftigen, die beide Welten berühren. Konkret sind das die Herausforderungen für Industrie- und Steuerungssysteme, das Internet der Dinge, sämtliche mobil eingesetzte Kommunikationstechnologie (vom Auto bis zum Telefon), Einsatz von Algorithmen und moderne Datenhaltung. Wir erleben gerade eine sich beschleunigende Vermischung neuer und vorhandener Methoden. Es sind Sicherheitsforscher gefragt, die sich kreativ mit den aktuellen Möglichkeiten auseinandersetzen und Schwachstellen aufzeigen. Risiken lassen sich erst dann managen, wenn man sie kennt. Das Programmkommittee freut sich daher auf möglichst viele Einreichungen, die Trends und sogenannte Zukunftstechnologien ganz genau unter das digitale Mikroskop legen.
Die zweitägigen Trainings vor der DeepSec-Konferenz sind auch Teil des „Call for Papers“. Trainer und Trainerinnen, die ihr Wissen weitergeben möchten, sind herzlich eingeladen Kurse einzureichen. Akzeptierte Kurse werden vorzeitig bekanntgegeben, um den Teilnehmern die Planung beim Buchen zu erleichtern.
Programme und Buchung
Die DeepSec-2019-Konferenztage sind am 28. und 29. November. Parallel finden die ROOTS 2019 Vorträge in einem separaten Saal ebenso am 28. und 29. November statt. Die DeepSec-Trainings finden an den zwei vorangehenden Tagen, dem 26. und 27. November statt. Die DeepINTEL-Konferenz ist für den 27. November angesetzt. Anfragen für Programm unter deepsec@deepsec.net , es wird dann zugesandt. Tickets sind auf der Webseite https://deepintel.net erhältlich.
Die Konferenzen DeepSec, DeepINTEL und ROOTS 2019 finden im Hotel The Imperial Riding School Vienna – A Renaissance Hotel in der Ungargasse 60 im dritten Wiener Gemendebezirk statt.
Einreichungen können unter https://deepsec.net/cfp.html abgegeben werden. Das aktuelle Programm der Veranstaltungen wird nach dem Abschluss der Einreichungsfristen bekanntgegeben.#
Tickets für die DeepSec Konferenz sowie ROOTS 2019 und die DeepSec Trainings können Sie jederzeit unter dem Link https://deepsec.net/register.html bestellen.
IT-Sicherheit muss weder kompliziert, noch teuer sein. Schon mit einfachen Mitteln kann der Sicherheitslevel drastisch erhöht werden. Mittlerweile existiert jede Menge Standardwerke, die grundsätzliche Maßnahmen beschreiben. Wer ein wenig recherchiert, findet schnell gute Literatur, etwa hier die Neueste von Jens Libmann: bit.ly/1tkDYv2