Käferlive Blog

No news are bad news! In diesem Sinne berichtet das Team von KaeferLive im Blog regelmäßig über Neuerungen, Interessantes und wichtige Nachrichten aus der IT-Szene. Stay tuned!

BSI verabschiedet sich von der Empfehlung zum regelmäßigen Passwortwechsel

Fotolia-Password

Da stehen dem IT-Sicherheitsexperten die Haare zu Berge

BSI verabschiedet sich von der Empfehlung zum regelmäßigen Passwortwechsel

Das BSI erklärt laut WDR2, dass das ständige Ändern von Passwörtern die Sicherheit verschlechtert. Das ist nur die halbe Wahrheit. Man sollte schon mal zwischen 1234, 12345 und 123456 wechseln...

... und im Ernst: Passwörter nie zu ändern, wäre genauso schlecht.

Im aktuellen IT Grundschutzkompendium 2020 des BSI verabschiedet sich das BSI von der bisherigen Empfehlung, Passwörter regelmäßig zu ändern: IT-Systeme oder Anwendungen SOLLTEN NUR mit einem validen Grund zum Wechsel des Passworts auffordern. Reine zeitgesteuerte Wechsel SOLLTEN vermieden werden.

Richtig ist: Das regelmäßige Ändern von Passwörtern in zu kurz bemessenen Zeitabständen (z.B. jedes Quartal) ist tatsächlich kontraproduktiv, denn User neigen dazu, die Passwörter nur geringfügig abzuändern, damit sie sich diese merken können und produzieren damit meist eine gewisse Systematik (Passwort2019, Passwort2020, Passwort 2021 etc.). Oder sie können sich das neue Passwort nicht merken und kleben es per Haftzettel an den Monitor. Am Ende nervt die Pflicht zum ständigen Wechsel und die Akzeptanz von IT-Sicherheit leidet.

Falsch ist: Passwörter muss man nun gar nicht mehr ändern oder kann sie jahrelang benutzen (wenn sie ausreichend lang und komplex sind) bzw. die Passwortlänge von mindestens 8 Zeichen wird nicht mehr explizit gefordert. Auf diese Schlussfolgerung kommen die Medien, wie u.a. der WDR2 in seinem Beitrag am 05.02.2020 im Hörfunk durch eine medientypische Verkürzung der Sachlage.

Wenn es den Verdacht gibt, dass Passwort könnte kompromittiert worden sein, dann muss es sofort geändert werden. Und auch eine Mindestlänge muss es nach wie vor haben. Für Passwörter bis zu 8 Zeichen existieren sogenannte Rainbow-Tabellen mit vorberechneten Hash-Werten. Damit kann man ein verschlüsselt (gehasht) abgelegtes Passwort im Klartext durch Nachschlagen in der Rainbow-Datenbank ermitteln, wenn man einen Hash-Wert (oder gar eine ganze gehashte Passwortliste) erbeutet hat. Und: Mit entsprechender Rechenleistung kann man Passwörter auch systematisch durchprobieren (Brute Force Attacke). Beides funktioniert aber nur mit Passwörtern bis etwa zur Länge von 8 Zeichen. Darüber wird der Rechenaufwand bzw. der benötigte Speicherplatz so groß, dass er i.d.R. nicht mehr handhabbar ist (wächst exponentiell mit Anzahl der möglichen Zeichen und Stellen). Daher bleibt die Empfehlung, Passwörter möglichst lang zu wählen (z.B. größer 10 Zeichen). Das geht ganz einfach mit einem persönlichen Merksatz, von dem man die ersten beiden Zeichen jedes Wortes in Gross-Kleinschreibung incl. Satzzeichen und Ziffernaustausch als Passwort nimmt. Beispiel: „Heute ist ein schöner Tag, um sich ins Freibad zu legen.“ ergibt das sehr sichere Passwort „Heis1scTa,umsiinFrzule.“ (bitte diesen Satz jetzt nicht verwenden…)

Benutzer sollten ihre Passwörter in angemessener Zeit (entsprechend dem persönlichen Schutzbedarf) dennoch ändern, da mit der Zeit die Gefahr steigt, dass ihr Passwort in einer (schlecht gesicherten) geleakten bzw. kompromittierten Passwortdatenbank aufgetaucht ist und damit Einzug in eine Wörterbuchattacke hält oder gezielt in Verbindung mit dem ebenfalls erbeuteten Benutzernamen zu einem konkreten Angriff benutzt wird (Erbeutetes Mail-Passwort des Benutzers wird z.B. in Amazon oder Ebay als Login versucht).

Und es gibt einen weiteren gewichtigen Grund, warum Betreiber von IT-Systemen an einem regelmäßigen Passwortwechsel festhalten sollten. Passwörter werden gerade bei Funktions-Accounts oft von mehreren Personen benutzt bzw. sind den Kollegen bekannt. Scheidet ein Mitarbeiter aus dem Unternehmen aus, so hat er oft mit den alten - nie gewechselten - Passwörtern auch anschließend noch lange Zeit Zugriff auf die Daten und Systeme. Oder man denke an Situationen, wo Passwörter für einen externen Zugang geleakt worden sind, weil ihn mehrere Menschen kennen. So funktionieren dann Zugriffe auf eigentliche geschützte Bereiche dauerhaft mit nicht geänderten Passwörtern. Sollte alles nicht so sein – ist aber in der Praxis oft so.

Die Realität ist also meist etwas komplexer, als in einem 3 min – Beitrag oder ein paar Sätzen erklärbar (und auch als dieser Beitrag beschrieben kann). Man sollte sich dadurch also nicht zu falschen, voreiligen Schlüssen verleiten lassen. Man kann ja „zur Not“ jemanden Fragen, der sich damit auskennt…

Fazit: Passwörter ausreichend lang und komplex wählen, geheim halten und bei Verdacht sofort und ansonsten in angemessenem Zeitraum (z.B. alle 1-2 Jahre) ändern. Bei Funktions-Accounts, die ggf. von mehreren Benutzern genutzt werden (wenn sich das nicht vermeiden lässt) sollte der Zeitraum kürzer sein bzw. der Wechsel muss initiiert werden, wenn ein Benutzer aus der Runde ausscheidet.

Quellen der Berichterstattung u.a.

Heise:

https://www.heise.de/security/meldung/Passwoerter-BSI-verabschiedet-sich-vom-praeventiven-Passwort-Wechsel-4652481.html

WDR:

https://www1.wdr.de/nachrichten/rheinland/bsi-it-grundschutz-kompendium-100.html

BSI IT Grundschutz Kompendium 2020

https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Kompendium/IT_Grundschutz_Kompendium_Edition2020.html

Weiterlesen
  258 Aufrufe
  0 Kommentare
258 Aufrufe
0 Kommentare

Symantec verschickt HTML-Anhänge per E-Mail

Symantec

Neues aus der Rubrik "Der Schuster hat die schlechtesten Schuhe " bzw. "da kotzt der Security-Experte": Symantec verschickt Virenschutz-Lizenzen bzw. Infos zu der Vertragsverlängerung als HTML-Anhang per E-Mail incl. jeder Menge Links im Body-Text.

Wir Security-Experten werden nicht müde, unseren Kunden zu vermitteln, dass sie bei E-Mail-Anahängen extrem vorsichtig sein sollen und vor allem keine HTML-Dateien als Anhang anklicken sollen. Das ist gerade wieder einmal eine beliebte Masche von Spammern und Angreifern, um ihre Phishing-Attacken loszuwerden und Schad-Code nachzuladen, wenn man die HTML-Dateien im Browser öffnet. Das Symantec bzw. der neue Besitzer Broadcom genau auf diesem Weg die Abonnement-Verlängerungen für den Viren-Schutz an Kunden verschicken, ist schon ein starkes Stück von Inkompetenz. Oder steckt da gar Absicht dahinter. Damit kann man ja dann prima beweisen, dass der Virenscanner funktioniert, oder. Dazu gibt es in Aachen ein Karnevalslied: Der Glaser tritt die Scheiben ein und sagt, da müssen neue rein. Dem Fass den Boden schlägt es dann aus, dass die Mails auch noch von einer "no-reply"-Adresse verschickt werden. Beschweren kann man sich also auch noch nicht einmal... Und wofür der ganze Mist? Wenn man dann die HTML-Datei in gesicherter Umgebung in einem Editor öffnet, sieht man, dass sie lediglich eine Tabelle mit den Bestellinformationen enthält. Also vollkommen ohne Mehrwert und Könner schaffen es, so etwas direkt in einer PDF zu schreiben. Setzen. Sechs.

 

Weiterlesen
  417 Aufrufe
  0 Kommentare
417 Aufrufe
0 Kommentare

Backup first!

Backup first!

Aus eigener leidvoller und aktueller Erfahrung kann ich nur raten: Backups machen!

Aus der Idee „mal schnell die Website aktualisieren“ wurde ein Mega-Desaster. Zunächst verschwand nur ein Menü. Dann noch eins. Und dann war auf einmal die ganze Website zerschossen. Guter Rat teuer!

Okay. Irgendwann kommt man an den Punkt, dass ein Weitersuchen nach der Ursache keinen Quick-Win bringt. Also einfach ein Backup einspielen. Upps, wie war das noch? Das Backup für das man gerade keine Zeit hat, ist das, welches man am dringendsten braucht. Und so war es dann auch bei mir. Ein vollständiges aktuelles Backup hatte ich vor den Änderungen nicht gemacht. Zum Glück gab es da noch ein paar Fall-Back-Szenarien. U.a. beim Provider lagen noch automatische Sicherungen vom Vortag (die ich erst einmal nicht auf dem Schirm gehabt hatte). Und dann stolperte ich sogar noch über eine interne Backup-Funktion, die mir immerhin ein einen Monat altes Backup offerierte. Glück gehabt. Und obendrein fand ich dann auch die Ursache des eigentlichen Fehlers. ein veraltetes Plug-In, welches nicht in den automatischen Updates enthalten war und mir die Menüleiste zerschossen hatte. Also alles wieder gut. Sorgfältige Analyse und ein wenig Fachkompetenz haben mich dann gerettet. Und das Backup.

Wann haben Sie Ihr Backup zum letzten Mal gemacht und kontrolliert?

Weiterlesen
  2175 Aufrufe
  0 Kommentare
2175 Aufrufe
0 Kommentare

Neuauflage Forschungsbericht Car-Forensics 5.0

Neuauflage Forschungsbericht Car-Forensics 5.0

Der Forschungsbericht Car-Forensics ist ab sofort in der 5. Auflage bei BOD oder im Buchhandel unter der ISBN 9783738635393 als eBook oder Harcover erhältlich.

Aus der im Frühjahr 2014 entstandenen Idee für die Abschlussarbeit im berufsbegleitenden Masterstudiengang Digitale Forensik an der Hochschule Albstadt-Sigmaringen ist ein umfangreiches Forschungsprojekt entstanden.

Die Erkenntnisse aus der Arbeit wurden und werden im Rahmen von Vorträgen auf Kongressen und Veröffentlichungen in Zeitschriften und Fernsehberichterstattungen einem Fachpublikum auch zur Förderung des wissenschaftlichen Dialogs präsentiert. Im Rahmen des Responsible Disclosures wurden sicherheitskritische Schwachstellen zunächst den betroffenen Firmen und Institutionen gemeldet und ihnen Gelegenheit zur Stellungnahme und Abstellen der Fehler gegeben. Hiervon wurde nicht immer zeitnah und manchmal auch gar nicht Gebrauch gemacht.

Nicht nur die Vermittlung der Ergebnisse wurde im unmittelbaren Anschluss an die Fertigstellung der Masterthesis fortgeführt, sondern es ist auch eine darauf aufbauende weitere Kooperation mit der FH Aachen eingegangen worden.

Ein Hacker gibt selten Ruhe und der Autor gehört auch eher zur hartnäckigen und unbequemen Sorte Mensch. Von daher ist es logisch, dass das Projekt Car-Forensics weitergeführt wird. Im Jahr 2016 wurden hierzu u.a. Untersuchungen am Unfallmeldedienst des Gesamtverbandes der deutschen Autoversicherer mit dem Retrofit-Adapter (Kapitel 4.4) und Analysen des Dienstes „Audi connect“ (Kapitel 5.7) vorgenommen.

Aber auch Erkenntnisse bzgl. der Zuverlässigkeit von Fahrerassistenzsystemen im Hinblick auf die zukünftige Entwicklung hin zum vollautomatisierten Fahren fanden Eingang in die forensischen Betrachtungen. U.a. am Beispiel des Audi A4 Baujahr 2017, der bereits mit einer Vielzahl von Assistenzsystemen ausgerüstet werden kann, wird gezeigt, auf welchem Qualitäts- und Funktionsniveau sich solche elektronischen Helfer derzeit bewegen und welche Probleme sich beim Bewerten von vermuteten Fehlfunktionen und Produktmängeln geben. Diese grundsätzlichen Vorbehalte und Kritik wurden im März 2018 auf traurige Weise durch den ersten tödlichen Unfall mit einem Fremdschaden – verursacht durch ein voll-automatisiert fahrendes Volvo-Fahrzeug des Fahrdienstanbieters Uber – bestätigt (Kapitel 6.4).

Aber auch andere Forscher waren fleißig und so vergeht praktisch kein Monat, an dem nicht wieder eine neue Veröffentlichung eines Problems in Bezug auf die funktionale und/oder IT-Sicherheit bekannt wird. Auch hierauf wird – ohne einen Anspruch auf Vollständigkeit – eingegangen. Last but not least hat sich auch die Gesetzeslage in Deutschland bzw. Europa in Bezug auf den Datenschutz (DS-GVO) und die Normen für die Zulassung und den Betrieb von automatisiert fahrenden Fahrzeugen verändert.

Alle diese Ergebnisse fanden Eingang in die nun vorliegende 5. Auflage des Buches Car-Forensics. Über eine Reihe von weiteren Erkenntnissen bei Penetration-Test an Fahrzeugen kann an dieser Stellen leider nicht öffentlich berichtet werden, da der Autor sogenannten NDA (Non-Disclosure-Agreements) abgeschlossen hat und es sich um Auftragsarbeiten handelt.

Mit dem Kaufpreis unterstützen Sie die Forschungsarbeit Car-Forensics, die komplett aus privaten Mitteln ohne öffentliche Förderung oder Unterstützung von Automobilherstellern oder Verbänden finanziert wurde.

Besitzer der vorherigen Versionen können gegen Zusendung eines Kaufnachweises die neue Auflage kostenlos als PDF erhalten – E-Mail an Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein! mit dem Beleg genügt.

Weiterlesen
  8442 Aufrufe
  0 Kommentare
8442 Aufrufe
0 Kommentare

Neues aus der Rubrik "IT-Sicherheit gut gemeint, aber nicht gut gemacht"...

Neues aus der Rubrik "IT-Sicherheit gut gemeint, aber nicht gut gemacht"...

Neues aus der Rubrik "IT-Sicherheit gut gemeint, aber nicht gut gemacht"... Telekom-Techniker verschickt Zugangsdaten zu einem Firmenrouter über ein "E-Mail-Encryption-Gateway" als "vertrauliche Nachricht". So weit so gut. Doof nur, dass er / das System eine Initial-Mail unverschlüsselt mit den Zugangsdaten zum Portal verschickt und dass die anschließende Registrierung komplett ohne wirkliche Authentifizierung des legitimen Empfängers passiert bzw. verifiziert wird. Ein Angreifer, der Zugang zu den Mails hat (mitliest), kann somit den Account unbemerkt kapern, bevor der echte User sein Passwort geändert hat. Damit ist das E-Mail-System nur scheinbar sicher. Und das Verfahren zeigt die Misere beim verschlüsselten E-Mail-Versand: Es ist nur dann sicher, wenn ein rel. hoher Initialaufwand betrieben wird und sich alle Seiten dann an den Sicherheitsstand halten.

 

Telekom

Weiterlesen
  11491 Aufrufe
  0 Kommentare
11491 Aufrufe
0 Kommentare

Shared responsibility and development in Automotive

Shared responsibility and development in Automotive

Shared responsibility and development in Automotive

Bei der Entwicklung von Automobilen hat sich ein Verfahren der Beauftragung und Delegation von Verantwortlichkeiten etabliert. Der Autohersteller (OEM) schreibt die Entwicklung von Teilsystemen aus und beauftragt Firmen, die diese wiederum aus Modulen und Baugruppen anderer Firmen zusammenstellen. Und selbstverständlich bedienen sich auch die Komponentenlieferanten weiterer Teilelieferanten.

Die auf den ersten Blick durchaus sinnvolle Arbeitsteilung und Spezialisierung der in der Liefer- und Produktionskette beteiligten Firmen hat durchaus ihre Daseinsberechtigung, birgt aber in Hinblick auf die IT-Sicherheit des Gesamtproduktes Automobil erhebliche Risiken. Derzeit versuchen die Auftraggeber von oben nach unten ihre Zulieferer zur Implementierung von Cyber-Sicherheit in die Produkte zu verpflichten. Das kann jedoch nur bedingt gelingen, vor allem wenn jedes an der Entwicklungs- und Produktionskette beteiligte Unternehmen sein eigenes Produkt mit geheimen Know-How abkapselt.

Niemand hat dann den Gesamtüberblick über das Fahrzeug und gerade an den Übergabepunkten und Schnittstellen zwischen den Teilsystemen, Steuergeräten und Module lauern die Gefahren. Denn ein potentieller Angreifer wird sich immer das schwächste Glied in der Kette aussuchen und vielleicht an Stellen angreifen, die niemand vor ihm im Blick hatte.

Ein besserer Ansatz ist daher gerade in Hinblick auf die Härtung von komplexen Fahrzeugen der heutigen Zeit, dass die Firmen geradebei der Sicherstellung der IT-Sicherheit (Security) viel enger bei Konzeption und Entwicklung zusammenarbeiten und den bisherigen Pfad der Delegation von Verantwortlichkeiten verlassen. Das fordert ein erhebliches Umdenken in der Branche, aber es würde die IT-Sicherheit moderner Kfz erheblich verbessern.

Wen weitere Details zu diesem Thema interessieren, dem sei das vom 08. bis 10.10.2018 im Aachener Eurogress stattfindende Aachener Kolloquium Fahrzeug- und Motorentechnik empfohlen, bei dem es u.a. von Dipl.-Ing. Thomas Käfer, M.Sc. nun schon zum dritten Mal einen spannenden Einblick in die Welt der IT-Sicherheit im Automobil geben wird.

Link zur Veranstaltung: https://www.aachener-kolloquium.de/de/

Weiterlesen
  22303 Aufrufe
  0 Kommentare
22303 Aufrufe
0 Kommentare

Vortrag zum Uber-Crash beim Kölner Kreis am 14.08.2018

Vortrag zum Uber-Crash beim Kölner Kreis am 14.08.2018

Am 14.08.2018 darf ich auf Einladung meines geschätzten Forensik-Kollegen Martin Wundram von DigiTrace wieder einmal beim Kölner Kreis referieren.


Der Kölner Kreis ist eine recht regelmäßig stattfindende Veranstaltung zum Austausch über IT-Sicherheit, Datenschutz und Digitaler Forensik. Das passt meine Auswertung des Uber-Crashs sozusagen wie die Faust aufs Auge.


Bei Interesse an der Teilnahme einfach E-Mail anDiese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!

Weiterlesen
  23165 Aufrufe
  0 Kommentare
23165 Aufrufe
0 Kommentare

Vortrag: Effiziente und richtige IT-Sicherheitstests im Automotive-Umfeld

Jetzt schon Termin vormerken: Am 09.10.2018 um 17:30 Uhr findet im Rahmen des 27. Aachener Kolloquium Fahrzeug- und Motorentechnik von ika/vka der RWTH Aachen der Vortrag "Effiziente und richtige IT-Sicherheitstests im Automotive-Umfeld" von Thomas Käfer statt.

Ort: Eurogress Aachen

Weitere Infos und Anmeldung zum Kolloquium: https://www.aachener-kolloquium.de/de/

Weiterlesen
  23616 Aufrufe
  0 Kommentare
23616 Aufrufe
0 Kommentare

Car-Forensics auf dem 27. Aachener Kolloquium Fahrzeug- und Motorentechnik am 08.10. bis 10.10.2018

Car-Forensics auf dem 27. Aachener Kolloquium Fahrzeug- und Motorentechnik am 08.10. bis 10.10.2018

Car-Forensics auf dem 27. Aachener Kolloquium Fahrzeug- und Motorentechnik am 08.10. bis 10.10.2018

Wir sind wieder dabei und freuen uns über die Einladung von Prof. Lutz Eckstein und Prof. Stefan Pischinger, nun zum dritten Mal einen Vortrag zum Thema Car-Forensics halten zu dürfen. Der Titel des Vortrags von Dipl.-Ing. Thomas Käfer, M.Sc lautet diesmal:

Effektive und richtige IT-Sicherheits-Tests im Automotive-Umfeld

Also: Schon einmal Termin vormerken oder am besten direkt buchen, denn die Teilnehmerplätze sind erfahrungsgemäß begrenzt und begehrt.

https://www.aachener-kolloquium.de/

Weiterlesen
  20598 Aufrufe
  0 Kommentare
20598 Aufrufe
0 Kommentare

Kommt nach der Datenschutz-Grundverordnung bald auch eine Datensicherheits-Grundverordnung?

Kommt nach der Datenschutz-Grundverordnung bald auch eine Datensicherheits-Grundverordnung?

Kommt nach der Datenschutz-Grundverordnung bald auch eine Datensicherheits-Grundverordnung?

Am 25.05.2018 tritt die EU-Datenschutz-Grundverordnung in Kraft und verpflichtet alle Akteure, die Dienstleistungen und Waren in der Europäischen Union anbieten und letztlich personenbezogene Daten erheben, speichern und/oder verarbeiten zu einem sorgsamen Umgang mit selbigen. Und das gilt damit erstmalig auch für Institutionen, die außerhalb der EU ansässig sind, aber in der EU tätig werden. Und wer sich nicht an die Regeln hält, dem drohen saftige Bußgelder bis zu 20 Mio. Euro oder 4% des Gesamtumsatzes eines Jahres des kompletten Konzerns, je nachdem was höher ausfällt.

Und was wird geschützt? Personenbezogene Daten natürlicher lebender Personen, also z.B. Adressen, Geburtsdaten bis hin zu besonders schützenswerten Gesundheitsdaten oder Informationen über Rasse, Religion, politischer Einstellung usw..

Schön. War längst überfällig und eigentlich selbstverständlich. In Deutschland haben wir uns darum dank BDSG schon seit Jahrzehnten kümmern müssen. Jetzt trifft es auch die Mitbewerber im Ausland.

Aber ist Datenschutz wirklich so wichtig oder gibt es vielleicht etwas, das noch viel wichtiger ist?

Richtig. Wie sieht es denn mit dem Recht auf Datensicherheit aus? Viele leiten aus dem Begriff „Datenschutz“ einen allumfassenden Schutz ihrer Daten ab. Schön wär’s.

In den Datenschutznormen ist zwar auch die Einhaltung von grundlegenden IT-Sicherheitsregeln vorgeschrieben, aber in dem Moment, wo keine personenbezogenen Daten direkt betroffen sind, ist die Missachtung von IT-Sicherheit in Produkten und Dienstleistungen praktisch vollkommen sanktioniert.

Unser nationales IT-Sicherheitsgesetz suggeriert, dass IT-Sicherheit per Gesetz geregelt wäre, aber das betrifft nur kritische Infrastrukturen (wie beispielsweise etwa Strom- und Wasserversorger) und eben nicht das 08/15 IT-Produkt oder Programm für Lieschen Müller.

Wenn dann Daten auf einmal weg sind oder IT-Systeme kompromittiert worden sind, ist das Geheule groß. Jemanden dafür haftbar zu machen, ist in der Praxis äußerst schwierig. Und auch wenn man (noch ohne Schaden) eine IT-Sicherheitslücke entdeckt (die es zuhauf gibt), bleibt das für den Verursacher / Anbieter ebenfalls meist folgenlos. Selbst wenn er die Lücke nicht schließt, bekommt man ihn nicht so einfach zu fassen.

Wäre es angesichts zunehmender Digitalisierung und Durchdringung der IT in allen Lebensbereichen nicht dringend notwendig, auch die Implementierung von IT-Sicherheit nach einem aktuellen Stand der Technik in jedem Produkt zu fordern und dessen Fehlen bzw. Mangelhaftigkeit zu pönalisieren? Was ist, wenn die Produktion eines Unternehmens aufgrund eines eigentlich abwehrbaren IT-Vorfalls ausfällt? Was ist, wenn ein voll-automatisiert fahrendes vernetzets Fahrzeug mit 130 km/h gegen die Wand fährt, weil es eine Sicherheitslücke gab, die ein Hacker zum Spaß ausgenutzt hat? Was ist, wenn das Haus abbrennt, weil der internetfähige Toaster durch Schadcode überlastet wurde?

Einen Teil davon kann man über Versicherungen abfedern. Aber es bleiben erhebliche Risiken für Vermögen, Leib und Leben, denn wir reden nicht mehr allein von Daten oder Geld, die weg sind. Im Internet der Dinge reden wir von echten Bedrohungen durch mangelhafte IT-Sicherheit.

Bei aller digitaler Aufbruchsstimmung lohnt es sich daher, auch über IT-Sicherheit zur Not über eine Verordnung und einen gesetzlichen Anspruch nachzudenken. Alles andere wäre fahrlässig und kurzsichtig.

Und für die Gerichte wäre es durchaus sinnvoll, wenn mangelhafte oder fehlende IT-Sicherheit als Produktmangel definiert würde. Das würde den Druck auf die Anbieter erhöhen, ihren Job in Punkto IT-Sicherheit besser zu machen, als das jetzt der Fall ist. Denn eine mal schnell hin gerotzte App mit Sicherheitslücken ist weder digitale Transformation noch ein Leuchtturmprojekt, sondern eine Sackgasse.

Viele Entwickler und Anbieter empfinden IT-Sicherheit als hinderlich und kostspielig. Der Verzicht darauf wird noch kostspieliger und letztlich erhöht die Berücksichtigung von IT-Sicherheit bereits beim Produktdesign auch die Produktqualität.

Jetzt müsste nur jemand den Gedanken mal aufgreifen und weiter diskutieren…

P.S. Und bis es eine Verordnung gibt, könnten wir ja schon einmal anfangen, freiwillig konsequent IT-Sicherheit in unsere Produkte und Dienstleistungen einzubauen.

 

Weiterlesen
  22154 Aufrufe
  0 Kommentare
22154 Aufrufe
0 Kommentare