Schöner Artikel in der Welt. Nett, mit Größen aus der Automobilindustrie und FH und TH Aachen in einem Atemzug genannt zu werden...
Bericht über das Berufsbild „Digital-Forensiker“
Im Innovationsmagazin „Technology Review“ 07/2015 ist gerade ein Porträt über das Berufsbild „Digital-Forensiker“ erschienen. Dank an den Redakteur Peter Ilg, dass ich ein paar Beispiele meiner Arbeit beisteuern durfte.
Links:
Digitale Forensik im Innovationsmagazin „Technology Review“ 07/2015
Normal 0 21 false false false DE X-NONE X-NONE /* Style Definitions */ table.MsoNormalTable {mso-style-name:"Normale Tabelle"; mso-tstyle-rowband-size:0; mso-tstyle-colband-size:0; mso-style-noshow:yes; mso-style-priority:99; mso-style-parent:""; mso-padding-alt:0cm 5.4pt 0cm 5.4pt; mso-para-margin-top:0cm; mso-para-margin-right:0cm; mso-para-margin-bottom:10.0pt; mso-para-margin-left:0cm; line-height:115%; mso-pagination:widow-orphan; font-size:11.0pt; font-family:"Calibri","sans-serif"; mso-ascii-font-family:Calibri; mso-ascii-theme-font:minor-latin; mso-hansi-font-family:Calibri; mso-hansi-theme-font:minor-latin; mso-fareast-language:EN-US;} Berufsbild Digitale Forensik in der Südwest Presse
Wie u.a. der Spiegel am 21.05.2015 meldete, ist der Hackerangriff auf den Deutschen Bundestag wohl schwerwiegender, als bisher angenommen (mehr lesen...). Die Experten, die vor Ort sind, sind ratlos und können derzeit weder einschätzen, ob sie den Angriff aufklären noch ob sie den Schaden überhaupt ohne Austausch wesentlicher Systeme (Hard- und Software) beheben können.
Mein Mitleid hält sich in Grenzen. Bringt die Bundesregierung nicht gerade ein in seiner Wirkung äußerst zweifelhaftes IT-Sicherheitsgesetz auf den Weg, welches systemrelevanten Unternehmen und Institutionen vorschreibt, sicherheitskritische Fälle von IT-Angriffen an die Aufsichtsbehörde zu melden? Dann ruft Euch mal schnell selber an! Auch wenn es der eine oder andere anders sieht: die Bundesregierung ist systemrelevant.
Und was passiert dann nach dem Anruf? Kommt dann die Polizei raus und klärt den Sachverhalt auf (so wie bei einem klassischen Einbruch)? Fehlanzeige: "Schön dass Sie angerufen haben. Wir haben jetzt einen Fall mehr für die Statistik, aber helfen müssen Sie sich schon selber!?. Tja, lieber Bundestag, dann sucht Euch mal jemanden, der sich damit auskennt. Haben wir für so etwas beim BSI nicht so eine tolle Cyber-Eingreiftruppe? Ach nein. Die treffen sich ja nur einmal am Tag morgens um 9.00 Uhr zur Lagebesprechung.
Die Vermutung, ein ausländischer Geheimdienst könnte aufgrund der Professionalität dahinter stecken (vielleicht die NSA?) schlägt dem Fass den Boden aus. Sollte nicht unser BND (und weitere deutsche Institutionen) darüber Bescheid wissen und so etwas abwehren können? Anstatt ohne Rechtsgrundlage den Amerikanern beim Ausspionieren der eigenen Bevölkerungen und Unternehmen zu helfen ? so wie es sich ja wohl darstellt ? vielleicht mal die Hausaufgaben machen?
IT-Sicherheit wird nach wie vor dramatisch unterschätzt. Ohne sichere IT kann es letztlich gar keine IT geben. Die Botschaft scheint aber noch nicht überall angekommen zu sein. Wir digitalisieren und vernetzten stattdessen weiter munter unsere Autos, unsere Industrie, unsere Stromnetze und unsere Häuser. IT-Sicherheit wird dann irgendwie noch hinten dran gepappt. Datenschutz (oder besser: den Schutz der Daten) noch obendrauf. Das ist dann mehr gewuchert wie ein Krebsgeschwür als strukturiert gewachsen und konzipiert. Security bzw. Privacy by Design ist dann oft nur ein vollmundiges Werbeversprechen. Wenn man sich dann manches IT-System anschaut, bleibt von den Versprechungen nur heiße Luft (so u.a. geschehen in unserem Car-Forensics-Projekt).
Wenn wir so weitermachen, haben wir uns mit falsch konzipierten IT-Systemen bald selbst das Licht ausgeknipst. Vielleicht noch bevor uns die Computer irgendwann aussortieren, weil sie uns Menschen als limitierende Faktoren identifiziert haben (Arnold Schwarzenegger und Will Smith lassen grüßen).
Dislike.
Der 5. IT-Forensik Workshop fand am 12. Mai 2015 an der FH Aachen statt. Dipl.-Ing. Thomas Käfer war einer der Referenten...
Weitere Infos: http://www.it-forensik.fh-aachen.de/
5. IT-Forensik Workshop - Di 12. Mai 2015 in Aachen
An der FH Aachen spielen Forschung und Lehre im Bereich IT-Forensik seit Jahren eine wichtige Rolle.
Im Mai werden zum fünften Mal in einem halbtägigen Workshop aktuelle Arbeiten und Themen aus der
IT-Forensik vorgestellt und diskutiert. Der Workshop richtet sich an alle IT-forensisch Interessierten
aus Behörden, Unternehmen und Hochschulen.
Datum/Ort: Dienstag, 12. Mai 2015, 12.30 - 18.00 Uhr
Eupener Str. 70, Raum D006, 52066 Aachen
Programm
12:30 - 12:40 Uhr Begrüßung - Prof. Dr. Marko Schuba, FH Aachen
12:40 - 13:20 Uhr Beispiele aus dem Bereich der Mac-Forensic - Jürgen Becker - Bundeskriminalamt
13:20 - 13:40 Uhr Cold Boot Attacks auf DDR2 und DDR3 - Simon Lindenlauf, FH Aachen
13:40 - 14:00 Uhr Forensik von DSL Routern - Sebastian Braun, LKA NRW/FH Aachen
14:00 - 14:30 Uhr Kaffeepause
14:30 - 15:10 Uhr Forensik zwischen Theorie und Praxis - Aufklärung eines gezielten Angriffs auf einen
Großkonzern - Wolfgang Straßer - @yet GmbH
15:10 - 15:30 Uhr Sicherheit und Forensik einer Beckhoff SPS - B. Paffen und G. Bonney, FH Aachen
15:30 - 15:50 Uhr Pentest und Forensik einer Schneider SPS - Stefan Nagl, FH Aachen
15:50 - 16:10 Uhr Car Forensics - Thomas Käfer, Hochschule Albstadt-Sigmaringen / FH Aachen
16:10 - 16:40 Uhr Kaffeepause
16:40 - 17:20 Uhr IT-Forensik - Auswertung von Geldspielgeräten - Michael Thelen - LKA NRW
17:20 - 17:40 Uhr Sicheres Löschen von Mobiltelefonen - Eugen Müller, N.N., FH Aachen
17:40 - 17:50 Uhr RAT für Android - Christian Esser, FH Aachen
17:50 - 18:00 Uhr OPC Server in SCADA auf Arduino - Piotr Stepniewski, FH Aachen
ab 18:00 Uhr Zeit für weitere Diskussionen
ab 20:00 Uhr Wer noch Energie hat: Gemütlicher Abend im Studentenviertel (auf eigene Kosten)
Am 08.05.2015 hat das WDR Fernsehen in der Fachhochschule Aachen einen Bericht für die Lokalzeit Aachen produziert. Gezeigt werden u.a. die von uns entdeckte Schwachstelle der BMW-APP Remote für Apple IOS Geräte aus dem Car-Forensics-Projekt sowie Beispiele für direkte Manipulationen am Fahrzeug und ein Beispiel zur IT-Sicherheit in der Industrie aus den Fachbereichen von Prof. Schuba und Prof. Hillgärtner (FH Aachen). Dipl.-Ing. Thomas Käfer stand am 08.05.2015 zwischen 19:30 und 20:00 Uhr im Studio der Lokalzeit Aachen Rede und Antwort zu IT-Sicherheitslücken und was man dagegen tun kann. Und wer tiefer ins Thema einsteigen wollte, dem war die Teilnahme am Forensiktag der FH Aachen am 12.05.2015 empfohlen (http://www.it-forensik.fh-aachen.de/).
Am 08.05.2014 berichtete das WDR Fernsehen im Rahmen der Aktuellen Stunde in der Lokalzeit Aachen zwischen 19:30 Uhr und 20:00 Uhr über unser Forschungsprojekt Car-Forensics und die Zusammenarbeit mit der FH-Aachen.
Nun hat das EU-Parlament die eCall-Richtlinie - wie erwartet - formal verabschiedet. Die Berichterstattung darüber zeugt von viel Unwissenheit (der Reporter) und schürt Ängste. Dies wiederum nicht ganz unbegründet, denn von offizieller Seite gibt es relativ wenig belastbare Informationen zu eCall und die Richtlinie lässt den Automobilherstellern relativ viel Freiheiten, wie man das eCall-System in eigene Telematikdienste integrieren kann. Vor allem dadurch eröffnen sich die Missbrauchsszenarien. eCall ist daher eines der nächsten Themen, die wir im Rahmen der Forschungsarbeit Car-Forensics näher beleuchtet werden.
Unterstützen Sie uns dazu auf https://www.sciencestarter.de/car-forensics
In der Ausgabe 3.15 der Zeitschrift Mobile Business geht es unter anderem um das Thema Car-IT und das Versenden von Daten aus modernen Kfz. Ab Seite 28 gibt es dazu auch Statements und Einschätzungen aus der Forschungsarbeit Car-Forensics von Thomas Käfer.
Einen Online-Auszug und Infos zum Bezug gibt es hier:
http://www.it-zoom.de/mobile-business/e/sensorik-in-automobilen-sammelt-daten-10384/
Am 09.04.2015 fand in Stuttgart der Auto Motor Sport Kongress "Mobilität der Zukunft" statt. Neben aktuellen Visionen, wie das Fahren in der Zukunft aussehen soll, wurde nun - wenn auch noch recht oberflächlich und im Detail verkürzt - über IT-Sicherheit im Automobil debattiert. Ein erster Ansatz, der grundsätzlich zu begrüßen ist. Über Inhalte müssen wir noch einmal reden...
Die Verwunderung war groß, als ich vor einigen Tagen vom Veranstalter einer Messe per Briefpost angeschrieben wurde und ich mich für die Teilnahme an einer Eröffnungsfeier registrieren sollte. Auf dem Brief entdeckte ich das mir wohlbekannte und einige Tage zuvor online eingegebene Passwort im Klartext abgedruckt wieder.
Ich sollte mich nun mit der ebenfalls abgedruckten Kennung im Online-System des Messeveranstalters anmelden und meine Teilnahme bestätigen. Als besonderen Service bot man mir als Option an, das Schreiben einfach mit einem entsprechenden Kreuzchen versehen per FAX an den Messeveranstalter zurückzusenden. Damit nicht genug. Hatte man als Benutzer sein Passwort (und / oder seine Benutzerkennung) vergessen, so konnte man sich dieses über einen Klick im Anmeldeprozess des Online-Systems per E-Mail zusenden lassen. Auch hier wurden Kennung und Passwort zusammen und vollkommen unverschlüsselt übertragen.
Auch ein großer deutscher Technologie-Verein machte bis Ende 2014 einen vergleichbaren Fehler. Als ich mein Passwort für das Login der ePaper-Ausgabe der Mitgliederzeitung vergessen hatte, auf den Link "Passwort vergessen" klickte und ich ? so wie sich herausstellte ? per E-Mail um den Passwort-Rest bitten musste, sandte mir ein Sachbearbeiter Kennung und das von mir damals eingegebene Passwort im Klartext per E-Mail zu. Beide Verfahren entsprechen aus mehreren Gründen nicht dem Stand der Technik und sind aus IT-Sicherheitssicht vollkommen indiskutabel.
Man vertraut als User darauf, dass Passwörter nicht ausgelesen werden können, denn sie sind nach herrschender Meinung grundsätzlich gehashed/verschlüsselt abzuspeichern. Hierbei wird durch ein Verfahren (Falltüralgorithmus) das Passwort bei der Eingabe so zerhackt (Hash), dass man den Hash-Wert nicht mit verhältnismäßigem Aufwand auf das eigentliche Klartext-Passwort zurückführen kann. In der Datenbank wird dann nur der Hash-Wert gespeichert. Bei einem erneuten Login wird das Passwort wieder mit demselben Algorithmus zerhackt und dessen Hash-Wert mit dem gespeicherten verglichen. Stimmen beide Hash-Werte überein, weiß das System, dass das eingegebene Passwort richtig ist. Damit wird verhindert, dass ein Angreifer, der sich unberechtigt Zugang zur Datenbank verschafft hat, die Passwörter im Klartext auslesen und für andere Zwecke missbrauchen kann. Zudem wird sichergestellt, dass auch berechtigte Benutzer ein Passwort nicht auslesen und damit Missbrauch betreiben könnte.
Und dann versendet man nicht gehashte Passwörter auch nicht unverschlüsselt per E-Mail. Um ein solches Passwort im Datenstrom im Internet mitlesen zu können, braucht man nicht bei der NSA angestellt zu sein. Das kann jeder, der kurzfristig Zugriff auf die unverschlüsselt übertragenen bzw. abgelegten Nachrichten bekommt.
Beide Unternehmen haben u.a. auf meine Intervention die Verfahren zwischenzeitlich deaktiviert bzw. umgestellt. Eine Hinweispflicht (nach BDSG oder TMG) gegenüber den Betroffenen bzw. der Datenschutzaufsichtsbehörde darüber, dass sie die Passwörter kennen und zumindest zeitweise unverschlüsselt gespeichert und auf Anforderung auch unverschlüsselt verschickt haben, sehen beide Institutionen nicht. Das mag bei gemäß der Gesetzestexte rechtskonform sein ? mit der Einhaltung von IT-Sicherheitsgrundregeln sowie einem kundenorientierten und verantwortungsvollen Umgang mit sensiblen personenbezogenen bzw. Zugangs-Daten hat das m.E. jedoch wenig bis gar nichts zu tun.
Dislike.
