„ATM”, war das nicht eine Übertragungstechnik, die in den 90ern populär wurde und dann bald wieder verschwand – zugunsten von Gigabit Ethernet? Nein, der Asynchronous Transfer Mode ist hier nicht gemeint, sondern die Automated Teller Machine, zu Deutsch der Geldautomat. Ganoven schafften es in jüngerer Zeit des Öfteren, Geldautomaten derart zu manipulieren, dass sie ihren gesamten Inhalt auf einmal ausspuckten. Sie haben also quasi den Jackpot geknackt.
Manche Schwachstellen und damit verbundene Sicherheitsvorfälle sind spannend wie ein Krimi und wahre Lehrstücke, um die Herausforderungen der operativen Informationssicherheit in den Netzen der modernen IT zu illustrieren.
TCP/IP ist ein Dinosaurier. Mit IPv6 wurde das Internet Protocol schon grundüberholt, wenn IPv4 auch noch lange nicht abgelöst ist. Nun zeichnet sich mit QUIC ein standardisierter Nachfolger von TCP ab.
Das Internet of Things ist ein Netzwerk aus vielen verschiedenen “smartifizierten” Endgeräten. Fast alles kann mittlerweile miteinander vernetzt werden. Die Steckdose spricht mit der Glühbirne, der smarte Eierbehälter nutzt das Heim-WLAN, aus modernen Autos ist Sensorik nicht mehr wegzudenken, und auch die Industrie baut mehr und mehr auf smarte Systeme, um Prozesse zu automatisieren.
Die Grundlage für eine umfassende und nachhaltige Informationssicherheit bildet ein sogenanntes Information Security Management System (ISMS), in dem Organisation, Rollen und Verantwortlichkeiten sowie ein Richtlinienapparat für die Informationssicherheit festgelegt werden.
Um die Pointe vorwegzunehmen: Das SEF-Theorem besagt, dass von den drei Zielen Security, Economy und Functionality maximal nur zwei zu haben sind. Oder anders formuliert: Sichere Nutzung von möglichst vielen Funktionen der IT ist aufwändig. Deshalb empfehle ich, dass Unternehmen, Verwaltungen und andere Organisationen zumindest einen Teil des mit IT erwirtschafteten Vorteils in IT-Sicherheit investieren, was bisher nicht ausreichend geschieht.
Um eins vorweg zu sagen, dies ist keine Kapitalismuskritik oder ein Aufruf zu nationalen Alleingängen, ganz im Gegenteil. Wo solche Gedanken und Handlungen hinführen sehen wir gerade am Fall Huawei. Wie Dr. Moayeri schon in seinem Geleit zum Netzwerk Insider im Mai dieses Jahres ausgeführt hat, …
Die jüngste indirekte Stellungnahme der Bundesregierung zum Fall Huawei kam von der Bundeskanzlerin bei der Eröffnung der Industriemesse in Hannover:
„Ich bin dagegen, dass wir einfach per Definition jemanden ausschließen. Wichtig sind die Standards, die eingehalten werden müssen.“
Zwei Begriffe sind seit einigen Jahren in aller Munde: IoT und Cloud. Passen sie zusammen?
Ja und nein.
Spectre und Meltdown – ein Synonym für den Fokus auf Leistungsfähigkeit bei der Entwicklung von Prozessoren und die mangelnde Berücksichtigung von Sicherheitsaspekten. Was zu den Anfangszeiten des Internets noch wenig Relevanz hatte, ist in Zeiten von Cloud und gemeinsamer Nutzung von Infrastruktur umso kritischer. Innerhalb von etwas mehr als einem Jahr hat sich aus zwei Sicherheitslücken mittlerweile ein ganzer Zoo entwickelt, der in wenige Gattungen unterteilt werden kann. Was gibt es Neues? Welche Auswirkungen haben die Lücken? Was sagen Experten dazu?
ComConsult GmbH
Pascalstraße 27
DE-52076 Aachen
Telefon: 02408/951-0
Fax: 02408/951-200
E-Mail: info@comconsult.com
