Käferlive Blog

No news are bad news! In diesem Sinne berichtet das Team von KaeferLive im Blog regelmäßig über Neuerungen, Interessantes und wichtige Nachrichten aus der IT-Szene. Stay tuned!

WDR Lokalzeit Aachen - 06.02.2020 zum Cyber-Angriff auf die Uni Maastricht

WDR0602020

Das WDR Fernsehen mit dem Team von Bettina Staubitz war heute wieder einmal gerngesehener Gast und hat mich zu meiner Meinung zu dem Cyber-Angriff auf die Uni Maastricht und die Lösegeldzahlung befragt.

Die Story:

Zur Weihnachtszeit 2019/2020 hat es die Universität Maastricht erwischt. Ein Mitarbeiter hatte offenbar Wochen vor dem eigentlichen Angriff eine Mail mit Schad-Software geöffnet und so konnte sich eine Hackergruppe anschließend tief in das IT-System der Hochschule einnisten. Als sie genügend Ressourcen für die Attacke offenbar unbemerkt übernommen hatten, schlugen sie in einer konzentrierten Aktion zu und legten nach Uni-Angaben mehrere Hundert Rechner durch Verschlüsselung der Daten und Systeme lahm.

Die Uni Maastricht hat nach eigenen Angaben 30 Bitcoins (umgerechnet ca. 197.000 €) als Lösegeld bezahlt und im Gegenzug den Schlüssel zum Entschlüsseln der Systeme bekommen. Glück gehabt, denn das war wahrscheinlich wirtschaftlich die beste Entscheidung.

Ein funktionierendes Backup und ein vorher ausgearbeiteter Incident Response Plan hätte die Folgen vermutlich besser mildern können. Und natürlich, die Systeme besser gegen Schad-Software abzusichern und die Mitarbeiter zu schulen. Nachher ist man schlauer…

Die Sendung wird am 06.02.2020 ab 19:30 in der WDR Lokalzeit Aachen ausgestrahlt.

Beitrag in der Mediathek (zeitlich begrenzt): https://www1.wdr.de/mediathek/video/sendungen/lokalzeit-aachen/video-lokalzeit-aus-aachen---540.html

Weiterlesen
  722 Aufrufe
  0 Kommentare
722 Aufrufe
0 Kommentare

BSI verabschiedet sich von der Empfehlung zum regelmäßigen Passwortwechsel

Fotolia-Password

Da stehen dem IT-Sicherheitsexperten die Haare zu Berge

BSI verabschiedet sich von der Empfehlung zum regelmäßigen Passwortwechsel

Das BSI erklärt laut WDR2, dass das ständige Ändern von Passwörtern die Sicherheit verschlechtert. Das ist nur die halbe Wahrheit. Man sollte schon mal zwischen 1234, 12345 und 123456 wechseln...

... und im Ernst: Passwörter nie zu ändern, wäre genauso schlecht.

Im aktuellen IT Grundschutzkompendium 2020 des BSI verabschiedet sich das BSI von der bisherigen Empfehlung, Passwörter regelmäßig zu ändern: IT-Systeme oder Anwendungen SOLLTEN NUR mit einem validen Grund zum Wechsel des Passworts auffordern. Reine zeitgesteuerte Wechsel SOLLTEN vermieden werden.

Richtig ist: Das regelmäßige Ändern von Passwörtern in zu kurz bemessenen Zeitabständen (z.B. jedes Quartal) ist tatsächlich kontraproduktiv, denn User neigen dazu, die Passwörter nur geringfügig abzuändern, damit sie sich diese merken können und produzieren damit meist eine gewisse Systematik (Passwort2019, Passwort2020, Passwort 2021 etc.). Oder sie können sich das neue Passwort nicht merken und kleben es per Haftzettel an den Monitor. Am Ende nervt die Pflicht zum ständigen Wechsel und die Akzeptanz von IT-Sicherheit leidet.

Falsch ist: Passwörter muss man nun gar nicht mehr ändern oder kann sie jahrelang benutzen (wenn sie ausreichend lang und komplex sind) bzw. die Passwortlänge von mindestens 8 Zeichen wird nicht mehr explizit gefordert. Auf diese Schlussfolgerung kommen die Medien, wie u.a. der WDR2 in seinem Beitrag am 05.02.2020 im Hörfunk durch eine medientypische Verkürzung der Sachlage.

Wenn es den Verdacht gibt, dass Passwort könnte kompromittiert worden sein, dann muss es sofort geändert werden. Und auch eine Mindestlänge muss es nach wie vor haben. Für Passwörter bis zu 8 Zeichen existieren sogenannte Rainbow-Tabellen mit vorberechneten Hash-Werten. Damit kann man ein verschlüsselt (gehasht) abgelegtes Passwort im Klartext durch Nachschlagen in der Rainbow-Datenbank ermitteln, wenn man einen Hash-Wert (oder gar eine ganze gehashte Passwortliste) erbeutet hat. Und: Mit entsprechender Rechenleistung kann man Passwörter auch systematisch durchprobieren (Brute Force Attacke). Beides funktioniert aber nur mit Passwörtern bis etwa zur Länge von 8 Zeichen. Darüber wird der Rechenaufwand bzw. der benötigte Speicherplatz so groß, dass er i.d.R. nicht mehr handhabbar ist (wächst exponentiell mit Anzahl der möglichen Zeichen und Stellen). Daher bleibt die Empfehlung, Passwörter möglichst lang zu wählen (z.B. größer 10 Zeichen). Das geht ganz einfach mit einem persönlichen Merksatz, von dem man die ersten beiden Zeichen jedes Wortes in Gross-Kleinschreibung incl. Satzzeichen und Ziffernaustausch als Passwort nimmt. Beispiel: „Heute ist ein schöner Tag, um sich ins Freibad zu legen.“ ergibt das sehr sichere Passwort „Heis1scTa,umsiinFrzule.“ (bitte diesen Satz jetzt nicht verwenden…)

Benutzer sollten ihre Passwörter in angemessener Zeit (entsprechend dem persönlichen Schutzbedarf) dennoch ändern, da mit der Zeit die Gefahr steigt, dass ihr Passwort in einer (schlecht gesicherten) geleakten bzw. kompromittierten Passwortdatenbank aufgetaucht ist und damit Einzug in eine Wörterbuchattacke hält oder gezielt in Verbindung mit dem ebenfalls erbeuteten Benutzernamen zu einem konkreten Angriff benutzt wird (Erbeutetes Mail-Passwort des Benutzers wird z.B. in Amazon oder Ebay als Login versucht).

Und es gibt einen weiteren gewichtigen Grund, warum Betreiber von IT-Systemen an einem regelmäßigen Passwortwechsel festhalten sollten. Passwörter werden gerade bei Funktions-Accounts oft von mehreren Personen benutzt bzw. sind den Kollegen bekannt. Scheidet ein Mitarbeiter aus dem Unternehmen aus, so hat er oft mit den alten - nie gewechselten - Passwörtern auch anschließend noch lange Zeit Zugriff auf die Daten und Systeme. Oder man denke an Situationen, wo Passwörter für einen externen Zugang geleakt worden sind, weil ihn mehrere Menschen kennen. So funktionieren dann Zugriffe auf eigentliche geschützte Bereiche dauerhaft mit nicht geänderten Passwörtern. Sollte alles nicht so sein – ist aber in der Praxis oft so.

Die Realität ist also meist etwas komplexer, als in einem 3 min – Beitrag oder ein paar Sätzen erklärbar (und auch als dieser Beitrag beschrieben kann). Man sollte sich dadurch also nicht zu falschen, voreiligen Schlüssen verleiten lassen. Man kann ja „zur Not“ jemanden Fragen, der sich damit auskennt…

Fazit: Passwörter ausreichend lang und komplex wählen, geheim halten und bei Verdacht sofort und ansonsten in angemessenem Zeitraum (z.B. alle 1-2 Jahre) ändern. Bei Funktions-Accounts, die ggf. von mehreren Benutzern genutzt werden (wenn sich das nicht vermeiden lässt) sollte der Zeitraum kürzer sein bzw. der Wechsel muss initiiert werden, wenn ein Benutzer aus der Runde ausscheidet.

Quellen der Berichterstattung u.a.

Heise:

https://www.heise.de/security/meldung/Passwoerter-BSI-verabschiedet-sich-vom-praeventiven-Passwort-Wechsel-4652481.html

WDR:

https://www1.wdr.de/nachrichten/rheinland/bsi-it-grundschutz-kompendium-100.html

BSI IT Grundschutz Kompendium 2020

https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Kompendium/IT_Grundschutz_Kompendium_Edition2020.html

Weiterlesen
  831 Aufrufe
  0 Kommentare
831 Aufrufe
0 Kommentare

Symantec verschickt HTML-Anhänge per E-Mail

Symantec

Neues aus der Rubrik "Der Schuster hat die schlechtesten Schuhe " bzw. "da kotzt der Security-Experte": Symantec verschickt Virenschutz-Lizenzen bzw. Infos zu der Vertragsverlängerung als HTML-Anhang per E-Mail incl. jeder Menge Links im Body-Text.

Wir Security-Experten werden nicht müde, unseren Kunden zu vermitteln, dass sie bei E-Mail-Anahängen extrem vorsichtig sein sollen und vor allem keine HTML-Dateien als Anhang anklicken sollen. Das ist gerade wieder einmal eine beliebte Masche von Spammern und Angreifern, um ihre Phishing-Attacken loszuwerden und Schad-Code nachzuladen, wenn man die HTML-Dateien im Browser öffnet. Das Symantec bzw. der neue Besitzer Broadcom genau auf diesem Weg die Abonnement-Verlängerungen für den Viren-Schutz an Kunden verschicken, ist schon ein starkes Stück von Inkompetenz. Oder steckt da gar Absicht dahinter. Damit kann man ja dann prima beweisen, dass der Virenscanner funktioniert, oder. Dazu gibt es in Aachen ein Karnevalslied: Der Glaser tritt die Scheiben ein und sagt, da müssen neue rein. Dem Fass den Boden schlägt es dann aus, dass die Mails auch noch von einer "no-reply"-Adresse verschickt werden. Beschweren kann man sich also auch noch nicht einmal... Und wofür der ganze Mist? Wenn man dann die HTML-Datei in gesicherter Umgebung in einem Editor öffnet, sieht man, dass sie lediglich eine Tabelle mit den Bestellinformationen enthält. Also vollkommen ohne Mehrwert und Könner schaffen es, so etwas direkt in einer PDF zu schreiben. Setzen. Sechs.

 

Weiterlesen
  978 Aufrufe
  0 Kommentare
978 Aufrufe
0 Kommentare

Arbeitskreis Digitalisierung in der IHK Aachen - Austausch mit Schülern

Fotolia_8392250_Subscription_XXL

Am 16.12.2019 findet in der IHK Aachen ein Austausch mit rund 30-40 Schülern der allgemein- und berufsbildenden Schulen zum Thema Digitalisierung und den Herausforderungen im späteren Arbeitsleben statt. Das Ganze geht auf eine Initiative des Berufsbildungsausschuss der IHK Aachen und dort des Arbeitskreises Digitalisierung zurück.

Wir wollen herausfinden, wie die Digitalisierung in Schule, Ausbildung und Beruf das Lernen (und Leben) wirklich verbessern kann und wo Schüler, Schulen und Betriebe noch enger zueinanderfinden können. Denn die Anforderungen, die sich in Ausbildung und Studium und später im Arbeitsalltag stellen, sind durch die Digitalisierung nicht weniger geworden - sie haben sich vor allem verändert. Damit knüpfen wir an zwei bereits sehr erfolgreich verlaufene Veranstaltungen zunächst mit den Mitgliedern des Berufsbildungsausschusses und dann mit Lehren der allgemeinbildenden Schulen und Berufsschulen in Form eines "World Cafés" an. Die Ergebnisse des dritten Teils mit den Schülern sollen dann in konkrete Handlungsempfehlungen münden, wie wir die Jugendlichen vielleicht noch ein bisschen besser auf die neue digitale Welt vorbereiten und wie moderne Lern- und Ausbildungsmethoden in Schulen und Betrieb Einzug halten können.

Und so ganz "nebenbei" möchten wir mit den Schülern ins Gespräch kommen, ob und wann eine betriebliche Ausbildung die bessere persönliche Alternative zu einem Studium ist. Denn wie viele andere müssen wir feststellen, dass nach wie vor zu viele Schüler das Studium einer Ausbildung vorziehen (und dann ggf. scheitern), obwohl viele Gründe bei objektiver Betrachtung eher für eine Berufsausbildung sprechen würde. Offenbar gibt es vielfach einen Automatismus, dass die Kinder bevorzugt auf das Gymnasium gehen sollen und dann automatisch studieren. Das liegt mit Sicherheit auch daran, dass in der Gesellschaft - getrieben auch durch eine jahrzehntelange verfehlte politische Orientierung zu immer mehr Hochschulabschlüssen - die duale (betriebliche) Ausbildung in ihrer Wertigkeit immer mehr zurückgedrängt wurde. Sprüche wie „Wenn Du das Abitur nicht schaffst, musst Du eben eine Ausbildung machen.“ sind genauso falsch wie kontraproduktiv wie Entscheidungen der Eltern über die Köpfe der Kinder hinweg à la „Der Junge wird Jurist!“. Die betriebliche Ausbildung und die daraus entstehenden Fachkräfte sind eine ebenso wichtige Stütze unserer Wirtschaft und Gesellschaft wie die Ausbildung an FH’s und TH’s. Und die Karrierechancen und Verdienstmöglichkeiten sind vielfach mindestens genauso gut.

Es wird Zeit, dass wir - so wie mittlerweile auch die Bunderegierung - die duale Ausbildung (um die uns das Ausland übrigens beneidet) wieder im Ansehen und Wertigkeit einem Studium gleich stellen und den Schülern echte Alternativen und Auswahlmöglichkeiten für das künftige Berufsleben vorstellen.

Ich freue mich auf den Austausch. Und übrigens: So bringt Ehrenamt allen etwas.

Thomas Käfer

 

Weiterlesen
  700 Aufrufe
  0 Kommentare
700 Aufrufe
0 Kommentare

Seminar Cyber Security von Anlagen und Maschinen findet ONLINE statt!

Screenshot_2019-11-29-Seminar-Cyber-Security-von-Anlagen-und-Maschinen Seminar Cyber Security von Anlagen und Maschinen

Die Absage von der Absage: Wegen der Corona-Krise muss das Kolloquium der Weyer-Gruppe "Cyber Security von Anlagen und Maschinen" als Präsenzveranstaltung leider abgesagt werden. Aber es gibt einen Ersatz: Wir machen das einfach digital:

Das Kolloquium der weyer gruppe wird das erste mal als Live-Stream übertragen. #kolloquiumgoesdigital

Das Thema des ersten digitalen Kolloquiums ist die Cyber Security für Produktionsanlagen. Unsere Fachvortragenden beschäftigen sich aus verschiedenen Blickwinkeln mit der Thematik. Sie erfahren von einem Unternehmer, was es bedeutet gehackt zu werden und welche Folgen sich für seinen Betrieb ergeben haben. Ein Hacker wird Ihnen die Schwachstellen der Systeme zeigen und gemeinsam klären wir, wie dies verhindert werden kann. Außerdem erläutern die Referenten, welche Schäden durch eine Cyber Security Versicherung abgefangen werden und welche Notwendigkeiten die Behörden sehen.

Die Referenten werden Ihre Vorträge statt auf einer Bühne in einem Studio halten und Sie können über einen Chat Ihre Fragen und Kommentare einwerfen.

Melden Sie sich jetzt kostenlos und unverbindlich an!

Der IT Security-Experte Dipl.-Ing. Thomas Käfer, M.Sc. moderiert das Koloquium 2020 und darf im Namen des Gastgebers - weyer gruppe - hochkarätige Referenten begrüßen.

Unser Programm:

10:00 Uhr | Klaus Weyer - Ihr Gastgeber

10:30 Uhr | Stephan Gebhard - KAS 51 und Co - Anforderungen und Auswirkungen der aktuellen Regelwerke

11:15 Uhr | Markus Ahorner - Integrierte Cybersicherheit für Produktionsstandorte

12:00 Uhr | Martin Wundram - Live-Hacking „Stein zu Sand AG“ + Goldene Tipps als Gegenmaßnahmen

12:45 Uhr | Gerhard Klein – Erfahrungsbericht eines Angriffsopfers

13:30 Uhr | Onnen Siems, Thomas Budzyn und Tommy Berg - Chancen und Herausforderungen einer Cyber-Industrieversicherung

Weitere Fragen beantwortet Ihnen:
Frau Stefanie Moschkau
Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!
+49 (0) 2421 69 09 22 86

Wir laden Sie herzlich zu diesem spannenden und kostenlosen Branchenaustausch ein und freuen uns über Ihre Anmeldung bis zum 8. Juni 2020 unter
Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!

Wir freuen uns auf Sie!

 

 
Weiterlesen
  996 Aufrufe
  0 Kommentare
996 Aufrufe
0 Kommentare

Backup first!

Backup first!

Aus eigener leidvoller und aktueller Erfahrung kann ich nur raten: Backups machen!

Aus der Idee „mal schnell die Website aktualisieren“ wurde ein Mega-Desaster. Zunächst verschwand nur ein Menü. Dann noch eins. Und dann war auf einmal die ganze Website zerschossen. Guter Rat teuer!

Okay. Irgendwann kommt man an den Punkt, dass ein Weitersuchen nach der Ursache keinen Quick-Win bringt. Also einfach ein Backup einspielen. Upps, wie war das noch? Das Backup für das man gerade keine Zeit hat, ist das, welches man am dringendsten braucht. Und so war es dann auch bei mir. Ein vollständiges aktuelles Backup hatte ich vor den Änderungen nicht gemacht. Zum Glück gab es da noch ein paar Fall-Back-Szenarien. U.a. beim Provider lagen noch automatische Sicherungen vom Vortag (die ich erst einmal nicht auf dem Schirm gehabt hatte). Und dann stolperte ich sogar noch über eine interne Backup-Funktion, die mir immerhin ein einen Monat altes Backup offerierte. Glück gehabt. Und obendrein fand ich dann auch die Ursache des eigentlichen Fehlers. ein veraltetes Plug-In, welches nicht in den automatischen Updates enthalten war und mir die Menüleiste zerschossen hatte. Also alles wieder gut. Sorgfältige Analyse und ein wenig Fachkompetenz haben mich dann gerettet. Und das Backup.

Wann haben Sie Ihr Backup zum letzten Mal gemacht und kontrolliert?

Weiterlesen
  3288 Aufrufe
  0 Kommentare
3288 Aufrufe
0 Kommentare

Neuauflage Forschungsbericht Car-Forensics 5.0

Neuauflage Forschungsbericht Car-Forensics 5.0

Der Forschungsbericht Car-Forensics ist ab sofort in der 5. Auflage bei BOD oder im Buchhandel unter der ISBN 9783738635393 als eBook oder Harcover erhältlich.

Aus der im Frühjahr 2014 entstandenen Idee für die Abschlussarbeit im berufsbegleitenden Masterstudiengang Digitale Forensik an der Hochschule Albstadt-Sigmaringen ist ein umfangreiches Forschungsprojekt entstanden.

Die Erkenntnisse aus der Arbeit wurden und werden im Rahmen von Vorträgen auf Kongressen und Veröffentlichungen in Zeitschriften und Fernsehberichterstattungen einem Fachpublikum auch zur Förderung des wissenschaftlichen Dialogs präsentiert. Im Rahmen des Responsible Disclosures wurden sicherheitskritische Schwachstellen zunächst den betroffenen Firmen und Institutionen gemeldet und ihnen Gelegenheit zur Stellungnahme und Abstellen der Fehler gegeben. Hiervon wurde nicht immer zeitnah und manchmal auch gar nicht Gebrauch gemacht.

Nicht nur die Vermittlung der Ergebnisse wurde im unmittelbaren Anschluss an die Fertigstellung der Masterthesis fortgeführt, sondern es ist auch eine darauf aufbauende weitere Kooperation mit der FH Aachen eingegangen worden.

Ein Hacker gibt selten Ruhe und der Autor gehört auch eher zur hartnäckigen und unbequemen Sorte Mensch. Von daher ist es logisch, dass das Projekt Car-Forensics weitergeführt wird. Im Jahr 2016 wurden hierzu u.a. Untersuchungen am Unfallmeldedienst des Gesamtverbandes der deutschen Autoversicherer mit dem Retrofit-Adapter (Kapitel 4.4) und Analysen des Dienstes „Audi connect“ (Kapitel 5.7) vorgenommen.

Aber auch Erkenntnisse bzgl. der Zuverlässigkeit von Fahrerassistenzsystemen im Hinblick auf die zukünftige Entwicklung hin zum vollautomatisierten Fahren fanden Eingang in die forensischen Betrachtungen. U.a. am Beispiel des Audi A4 Baujahr 2017, der bereits mit einer Vielzahl von Assistenzsystemen ausgerüstet werden kann, wird gezeigt, auf welchem Qualitäts- und Funktionsniveau sich solche elektronischen Helfer derzeit bewegen und welche Probleme sich beim Bewerten von vermuteten Fehlfunktionen und Produktmängeln geben. Diese grundsätzlichen Vorbehalte und Kritik wurden im März 2018 auf traurige Weise durch den ersten tödlichen Unfall mit einem Fremdschaden – verursacht durch ein voll-automatisiert fahrendes Volvo-Fahrzeug des Fahrdienstanbieters Uber – bestätigt (Kapitel 6.4).

Aber auch andere Forscher waren fleißig und so vergeht praktisch kein Monat, an dem nicht wieder eine neue Veröffentlichung eines Problems in Bezug auf die funktionale und/oder IT-Sicherheit bekannt wird. Auch hierauf wird – ohne einen Anspruch auf Vollständigkeit – eingegangen. Last but not least hat sich auch die Gesetzeslage in Deutschland bzw. Europa in Bezug auf den Datenschutz (DS-GVO) und die Normen für die Zulassung und den Betrieb von automatisiert fahrenden Fahrzeugen verändert.

Alle diese Ergebnisse fanden Eingang in die nun vorliegende 5. Auflage des Buches Car-Forensics. Über eine Reihe von weiteren Erkenntnissen bei Penetration-Test an Fahrzeugen kann an dieser Stellen leider nicht öffentlich berichtet werden, da der Autor sogenannten NDA (Non-Disclosure-Agreements) abgeschlossen hat und es sich um Auftragsarbeiten handelt.

Mit dem Kaufpreis unterstützen Sie die Forschungsarbeit Car-Forensics, die komplett aus privaten Mitteln ohne öffentliche Förderung oder Unterstützung von Automobilherstellern oder Verbänden finanziert wurde.

Besitzer der vorherigen Versionen können gegen Zusendung eines Kaufnachweises die neue Auflage kostenlos als PDF erhalten – E-Mail an Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein! mit dem Beleg genügt.

Weiterlesen
  11119 Aufrufe
  0 Kommentare
11119 Aufrufe
0 Kommentare

Neuer Online Shop von Plum's Kaffee online

Neuer Online Shop von Plum's Kaffee online

Deutschlands älteste Kaffeerösterei hat einen neuen Online-Shop. Dank KaeferLive.

Die Abkündigung von PHP 5.X hat es ausgelöst und gemeinsam mit dem Team von Plum's Kaffee haben wir aus der Not eine Tugend gemacht und nicht nur die technische Basis erneuert, sondern gleich auch noch den Shop gestalterisch und inhaltlich auf den neuesten Stand gebracht. Und das Sahnehäubchen on top: Die Administration ist einfacher und die Kosten für die Pfege des Shops sind deutlich gesunken. Win-Win.

Ab was erzählen wir? Machen Sie sich selbst ein Bild und probieren Sie eine Tasse exzellenten Kaffee!

https://www.plumskaffee.de

 

Weiterlesen
  8073 Aufrufe
  0 Kommentare
Markiert in:
8073 Aufrufe
0 Kommentare

Neuer Flyer für das Seminar Car-Forensics

Neuer Flyer für das Seminar Car-Forensics

 

Seminar Car-Forensics - Automotive Security 5.0

zum Flyer...

Motivation: Durch die zunehmende Vernetzung von Fahrzeugen untereinander, mit Smartphones und zentralen Infrastrukturen (Car2X) sowie durch Erweiterungen wie Unfalldatenschreibern und das System „eCall“ bis hin zum automatisierten und autonomen Fahren muss der Fokus von reinen Fragen der Functional- und Road-Safety mehr und mehr in Richtung auf IT-Sicherheitsaspekte (Security) und Datenschutz (Privacy) erweitert werden. Das Bewusstsein über die Gefahren, die durch mangelhafte IT-Sicherheit im Automotive-Umfeld ausgehen, hat sich durch die zahlreichen Incidents und Veröffentlichungen ab 2015 spürbar verändert. Dennoch ist in vielen Bereichen der Automobilindustrie und Automotivszene die Komplexität der Herausforderung für sichere IT-Systeme im und um das Fahrzeug herum noch nicht adäquat erkannt worden bzw. findet in den Produkten und Services keine ausreichende Beachtung.

Die Speicherung und der Austausch von Fahrzeug- und Bewegungsdaten wecken Begehrlichkeiten bei Industrie, Polizei und Justiz, Versicherungen und Dienstleistern aber auch bei Kriminellen. Aus der Vernetzung und Steuerungsmöglichkeit von Fahrzeugen via Funk ergeben sich komplett neue Bedrohungsszenarien im Bereich der IT-Security mit Auswirkungen auf die Functional- und Road-Safety.

Probleme der IT an sich und mit deren Sicherheit werden durch Schwachstellen verursacht, deren Ursache fast immer mit menschlichen Fehlern zusammenhängt. Je mehr Fehler Menschen bei der Entwicklung, Integration, Administration oder Nutzung von IT machen, desto mehr Schwachstellen gibt es und umso größer ist das Risiko von Fehlfunktionen oder erfolgreicher Angriffe. Im Zeitalter der Digitalisierung kann dem nur gegengesteuert werden, wenn die Gründe für Schwachstellen - die Fehler der beteiligten Menschen - reduziert werden. Dabei ist die Sichtweise des Hackers dem Ingenieur üblicherweise vollkommen fremd. Dem kann durch das Seminar abgeholfen werden. Denn: IT-Sicherheit und Datenschutz werden von Entwicklern und Treibern der Digitalisierung oft als Hemmnisse und Stolpersteine auf dem Weg zu einer schnellen Lösung gesehen. Der Versuch, diese Punkte in fast fertige Produkte nachträglich zu integrieren oder gar „hinein zu testen“, ist zum Scheitern verurteilt bzw. erhöht die Entwicklungskosten erheblich (bei gleichzeitig geringerer Produktqualität). Tatsächlich sind sogenannte Penetration-Tests nur ein Baustein, um am Ende (regelmäßig) zu prüfen, ob das geforderte Schutzniveau auch erreicht wird.

Viele Schäden könnten von Beginn an verhindert werden, wenn den beteiligten Entwicklern und Entscheidern ein Basiswissen an IT-Sicherheit vermittelt würde. Andere können durch den Einsatz von IT-Sicherheitsexperten in wichtigen Phasen von IT-Projekten erkannt und beseitigt werden. Tatsächlich sind IT-Sicherheit und Datenschutz als integrale Bestandteile einer jeden IT-Entwicklung bereits in der Konzeptionsphase der Idee zu berücksichtigen. Das senkt nicht nur die Entwicklungskosten für diese Punkte, sondern zeigt bereits in einem frühen Stadium, ob und wo die Geschäftsidee aus Security- oder Datenschutz-Sicht angreifbar ist.

Betrachtet man, wie unbedarft und fahrlässig aktuelle Systeme und Netzwerke gerade im Bereich von Automobilen aber auch bei Industriesteuerungen, Web-Anwendungen, Smart-Home und Stromversorgungsnetzen aktuell bzw. in der jüngeren Vergangenheit entwickelt wurden, ist das Vertrauen in deren Betriebs- und IT-Sicherheit unbegründet.

Ein Ausfall bzw. Angriff auf solch ein System produziert nicht nur erhebliche Kosten und Schäden, sondern senkt die Reputation des Anbieters auf ein ggf. existenzbedrohendes Niveau. Für den Nutzer kann ein IT-Security-Incident letztlich tödlich enden.

Anhand von zahlreichen aktuellen Beispielen lassen sich konzeptionelle und individuelle Fehler sehr plastisch demonstrieren. Nach dem Motto „Niemand ist unnütz - er kann immer noch als schlechtes Beispiel dienen“ kann man daran nicht nur die Risiken demonstrieren, sondern auch geeignete Abhilfemaßnahmen diskutieren, um die Eintrittswahrscheinlichkeit derartiger Vorfälle deutlich zu senken.

Am Ende bleibt ein Rest-Risiko, das es zu bewerten und zu minimieren gilt. Hier sind vor allem die Risiken, die eine hohe Eintrittswahrscheinlichkeit gepaart mit einer hohen Schadensauswirkung haben, bevorzugt zu betrachten.

Security by Design und Privacy by Design sollten daher nicht nur leere Marketing-Schlagworte oder Normen wie beispielsweise der DS-GVO geschuldet sein, sondern tatsächlich belastbare Qualitätskriterien jeder modernen Digitalisierungsstrategie und IT-Entwicklung.

Seminarkonzept: Das Seminar „Car-Forensics - Automotive Security“ basiert auf und orientiert sich an der gleichnamigen Forschungsarbeit (Stand 05/2019 ISBN: 9783738635393) und soll vorgenannten Aspekten Rechnung tragen und zeigen, was technisch im Bereich der digitalen forensischen Auswertung der in den Kfz verbauten bzw. extern mit den Fahrzeugen gekoppelten IT-Systemen derzeit bereits möglich und zukünftig denkbar ist. In diesem Kontext wird beleuchtet, welche Rechtsgrundlagen zurzeit vorhanden und anwendbar sind und wo nach wie vor Regelungsbedarf seitens des Gesetzgebers besteht. Im praktischen Teil wird thematisiert, welche Schnittstellen die verschiedenen Systeme besitzen, die forensisch angesprochen bzw. ausgewertet werden können. Hierbei wird sowohl auf offen kommunizierte Standards und Zugänge zugegriffen als auch z.B. mittels Hacking- und Analysewerkzeugen mit Hilfe von Reverse-Engineering-Methoden eine Datenauswertung bzw. -manipulation gezeigt. Mittels Vorgehensweisen der digitalen Forensik und typischer Angreifer wird an Beispielen aus dem Automotive-Umfeld und dem Internet der Dinge visualisiert, inwieweit technische und organisatorische Sicherungen umgangen werden können bzw. welche Daten tatsächlich übertragen und gespeichert werden.

Zielsetzung: Im Seminar werden die Themen Datensicherheit und -schutz aus Sicht der Betreiber und Verwender sowie die forensischen Möglichkeiten und Rechte für Sachverständige und Ermittler beleuchtet. Des Weiteren wird ein Code of Conduct für Car2X-Kommunikation diskutiert. Die Erkenntnisse aus den verschiedenen Angriffsszenarien und Werkzeugen der Hacker können von mit der Entwicklung betrauten Ingenieuren wiederum verwendet werden, um die Systeme nicht nur in Hinblick auf die funktionale Safety sondern auch und vor allem auf die IT- und Daten-Sicherheit (Security) zu härten.

Zielgruppe: Das Seminar richtet sich gleichermaßen sowohl an Entwickler und Betreiber von Automotive-Systemen (Hard- und Software) als auch an Entscheider, die Personal- und Entwicklungsverantwortung in diesem Bereich tragen (OEM und Zulieferer). Für die unterschiedlichen Zielgruppen werden separate Workshops mit differenziertem Gesamtumfang und fachlicher Tiefe angeboten (1/2 Tag, 1 Tag und 2 Tage).

Voraussetzungen: Vorkenntnisse im Bereich der Software- und System-Entwicklung sowie der IT-Sicherheit sind wünschenswert, jedoch nicht zwingend erforderlich. Im Seminar wird versucht, das Themenfeld Car-Forensics in der Breite und dort wo nötig und sinnvoll in der erforderlichen Tiefe zu betrachten und eine für alle Teilnehmer verständliche Fachsprache zu verwenden.

Kosten: Die Kosten für ein Seminar bzw. einen Workshop differieren entsprechend der gewünschten Dauer, des Schulungsortes und des ggf. individuell angepassten Inhalts oder der Schwerpunktsetzung. Auf Anfrage erhalten Sie gerne ein konkretes Angebot incl. aller Spesen.

Vertraulichkeit / NDA: Der Referent ist bereits aufgrund seines Berufsstandes als ö.b.u.v. Sachverständiger zur Vertraulichkeit verpflichtet. So werden in den Schulungen weder Namen oder Details aus anderen Kundenprojekten kommuniziert noch werden konkrete Wortbeiträge oder Meinungen der Seminarteilnehmer aus den Diskussionen in anderen Schulungen weiter verbreitet. Erfolgt über die reine Wissensvermittlung eine individuelle Projektberatung, so ist der Abschluss eines NDA möglich.

Projektbetreuung: Auch bzw. gerade nach der Schulung steht Ihnen der Referent Thomas Käfer als kompetenter Ansprechpartner rund um die Themen IT-Sicherheit, Forensik und Datenschutz im Rahmen von Projekt- und Entwicklungsunterstützung auf Honorarbasis zur Verfügung. Seine Tätigkeiten können sowohl beratender Natur bei der Konzeption von fahrzeugnahen IT-Systemen sein als auch deren nachfolgende Bewertung z.B. im Rahmen von Security- und Privacy-Audits und Penetration-Tests beinhalten.

Vorstellung Referent:  Dipl.-Ing Thomas Käfer, M.Sc. ist mit seinem IT-Systemhaus seit 1990 selbstständig in der IT tätig. Das Tätigkeitsfeld der Firma Käfer umfasst Consulting-Leistungen im Bereich der IT-Sicherheit incl. Penetration-Testing u.a. im Automotive-Umfeld. Thomas Käfer arbeitet seit 2002 als Sachverstän­diger für Systeme und Anwendungen der Informationsverarbeitung (seit 2006 öffentlich bestellt), als IT-Consul­tant, Fachautor und beschäftigt sich vor allem mit Fragen der IT-Sicherheit, dem Datenschutz und dem Gebiet der Digitalen Forensik. Ehrenämter als Handelsrichter am Landgericht Aachen sowie als Mitglied der Vollversammlung der IHK Aachen (Ausschüsse Industrie und Technologie, Außenhandel sowie Berufsbildung) komplettieren seine Tätigkeiten. Er hat 2015 erfolgreich den berufsbegleitenden Masterstudiengang „Digitale Forensik“ als Zweitstudium an der Hochschule Albstadt-Sigmaringen in Kooperation mit der LMU München und der FAU Erlangen abgeschlossen und in diesem Rahmen eine umfangreiche Forschungsarbeit zum Thema Digitale Kfz-Forensik erstellt. Thomas Käfer beschäftigt sich regelmäßig mit Fragestellungen der IT-Sicherheit und der forensischen Auswertung von modernen Fahrzeugen und IT-Systemen, die mit diesen gekoppelt werden. Er ist Speaker auf Veranstaltungen zum Thema IT-Sicherheit und Datenschutz und hält Workshops zu diesem Thema für Automobilindustrie, Zulieferer, Behörden und Verbände und ist Mitglied der Fokus-Gruppe IT-Security im Digital Hub Aachen.

zum Flyer...

 

Weiterlesen
  14412 Aufrufe
  0 Kommentare
14412 Aufrufe
0 Kommentare

Neues aus der Rubrik "IT-Sicherheit gut gemeint, aber nicht gut gemacht"...

Neues aus der Rubrik "IT-Sicherheit gut gemeint, aber nicht gut gemacht"...

Neues aus der Rubrik "IT-Sicherheit gut gemeint, aber nicht gut gemacht"... Telekom-Techniker verschickt Zugangsdaten zu einem Firmenrouter über ein "E-Mail-Encryption-Gateway" als "vertrauliche Nachricht". So weit so gut. Doof nur, dass er / das System eine Initial-Mail unverschlüsselt mit den Zugangsdaten zum Portal verschickt und dass die anschließende Registrierung komplett ohne wirkliche Authentifizierung des legitimen Empfängers passiert bzw. verifiziert wird. Ein Angreifer, der Zugang zu den Mails hat (mitliest), kann somit den Account unbemerkt kapern, bevor der echte User sein Passwort geändert hat. Damit ist das E-Mail-System nur scheinbar sicher. Und das Verfahren zeigt die Misere beim verschlüsselten E-Mail-Versand: Es ist nur dann sicher, wenn ein rel. hoher Initialaufwand betrieben wird und sich alle Seiten dann an den Sicherheitsstand halten.

 

Telekom

Weiterlesen
  14325 Aufrufe
  0 Kommentare
14325 Aufrufe
0 Kommentare