KaeferLive - Thomas Käfer

No news are bad news! In diesem Sinne berichtet das Team von KaeferLive im Blog regelmäßig über Neuerungen, Interessantes und wichtige Nachrichten aus der IT-Szene. Stay tuned!

Adieu IHK

foto

Nach zwei Legislaturperioden in der Vollversammlung der IHK Aachen sage ich heute Adieu. Habe in den acht Jahren ehrenamtlicher Arbeit viele interessante Menschen kennengelernt und mit der ein oder anderen Frage vielleicht auch mal zur Diskussion beigetragen. Jetzt sollen mal andere ran. Gutes Gelingen!

Weiterlesen
  1794 Aufrufe
  0 Kommentare
1794 Aufrufe
0 Kommentare

Vortrag AKEUR: Autonomes Fahren - in mehreren Leveln zum selbstfahrenden Auto?

Acc2

Hybride Veranstaltung: Autonomes Fahren - in mehreren Leveln zum selbstfahrenden Auto? Kritische Betrachtung des Themas anhand der IT-forensischen Untersuchung eines bedeutenden Unfalls

Mobilität ist ungebrochen ein großes Thema unserer Zeit. Neben neuen Antriebs- und Energiekonzepten (etwa Car-Sharing oder Elektrofahrzeuge) ist Autonomes Fahren ein konkret werdendes Versprechen für mehr Freiheit und Komfort! Wer freut sich nicht darauf, Staus bald einfach verschlafen zu können? Und doch, sind wir noch lange nicht auf diesem Reifegrad, immer wieder zeigen uns Unfälle die Grenzen der Technik auf. Abgesehen von moralischen Fragestellungen sind die technische und juristische Welt in diesem Thema noch nicht abschließend ausgestaltet. Ein Unfall vom 19.03.2018 in USA hat erhebliche mediale Aufmerksamkeit gefunden, nicht zuletzt weil in diesem Fall ein Mensch um's Leben kam.
 
Der Kfz-Forensik Spezialist Dipl.-Ing. Thomas Käfer, M.Sc. hat das Original-Video des Unfalls mit Todesfolge des Uber-Volvo in Tempe, Arizona (USA) aus dem Unfallfahrzeug bei der dortigen Polizei angefragt und es im Rahmen seiner Forschungsarbeit Car-Forensics ausgewertet.
 
Er kommt hierbei teilweise zu vollkommen anderen Aussagen als die Meldungen der Polizei und die der Medienberichterstattung. Tatsächlich konnte er belegen, dass die getötete Fußgängerin nicht plötzlich aus einem Schatten herausgetreten ist und der Unfall alles andere als für Mensch oder Maschine unvermeidbar war. Faktisch war die Situation am Unfallort bei weitem nicht so dunkel und unübersichtlich, wie das auffällig dunkle Video Glauben machen soll.
 
Das Video ist mindestens einmal verlustbehaftet kopiert und fahrlässiger Weise oder sogar mit Vorsatz dunkler wiedergeben worden. Das Fahrzeug hat sich innerhalb des zulässigen Geschwindigkeitslimits von 45 mph bewegt und somit nicht wie ebenfalls falsch berichtet einen Geschwindigkeitsverstoß begangen. Allerdings war es zum Zeitpunkt des Aufpralls 45 mph und nicht wie behauptet 40 mph schnell und hat unmittelbar nach dem Unfall selbstständig wieder beschleunigt.
 
Die zur Überwachung des voll automatisiert fahrenden Fahrzeugs an Bord befindliche menschliche Fahrerin hat mindestens sechs Sekunden vor dem Aufprall nicht auf die Fahrbahn geschaut und war offenbar abgelenkt. Sie hätte den Unfall durch ein frühes Eingreifen (Bremsen und/oder Ausweichen) problemlos vermeiden können.
 
Offenbar haben aber auch die Sensorsysteme des Fahrzeugs versagt, da auch für diese die Fußgängerin spätestens 4,5 Sekunden und mindestens 80 Meter vor dem Unfall als Hindernis auf Kollisionskurs erkennbar gewesen sein muss (Anhalteweg max. 54 m).
 
Dieser Vortrag wird aus der interdisziplinären Sicht eines IT-Sachverständigen in das Thema einführen und auch Raum für eine fruchtbare Diskussion in der Gruppe - gleichermaßen vor Ort wie online - schaffen.
 

Referenten


Dipl.-Ing. Thomas Käfer, M.Sc. ist mit seinem IT-Systemhaus seit 1990 selbstständig in der IT tätig. Das Tätigkeitsfeld der Firma Käfer umfasst Consulting-Leistungen im Bereich der IT-Sicherheit incl. Penetration-Testing u.a. im Automotive-Umfeld. Thomas Käfer arbeitet seit 2002 als Sachverständiger für Systeme und Anwendungen der Informationsverarbeitung (seit 2006 öffentlich bestellt), als IT-Consultant, Fachautor und beschäftigt sich vor allem mit Fragen der IT-Sicherheit, dem Datenschutz und dem Gebiet der Digitalen Forensik.


Datum


Mittwoch, 17.11.2021, 18:00 Uhr - 20:00 Uhr


Veranstaltungsort


Wir freuen uns Sie wieder im Hotel Pullmann oder online begrüßen zu können.
 
Pullmann Cologne
Helenenstrasse 14, 50667 Köln


Entgelt


45,- € für Mitglieder

70,- € für Nicht-Mitglieder



> Hier können Sie sich anmelden <

https://www.akeur.de/veranstaltungen_neu.php?datum=2021-11-17

 

Weiterlesen
  1938 Aufrufe
  0 Kommentare
1938 Aufrufe
0 Kommentare

Fluthilfe - Temporärer Büroarbeitsplatz in Würselen

Buero

Wegen meines Beinbruchs kann ich leider nicht direkt helfen und mich aktiv bei den Aufräumarbeiten in den Überschwemmungsgebieten beteiligen, aber ich kann in meinem Büro in Würselen für die nächsten 3-4 Wochen 1-2 temporäre Computerarbeitsplätze mit Internet, Telefon, Drucker, Schreibtisch und Kaffeemaschine kostenlos zur Verfügung stellen. Vielleicht hilft das dem einen oder anderen Soloselbstständigen aus Stolberg oder Eschweiler, dessen Büroraum von der Flut weggespült wurde, ein kleines bisschen weiter. Also einfach mal anrufen: 02405/479490.

Weiterlesen
  1298 Aufrufe
  0 Kommentare
1298 Aufrufe
0 Kommentare

Über Fälschungen von Corona-Test-Ergebnissen, Kunden-Desorientierung und digitalen Rohrkrepierer

Ruck

Ich weiß gerade nicht, ob ich lachen oder nur noch heulen soll.

Digitalisierung und Kundenorientierung sind in Deutschland offenbar weiterhin Neuland. In den letzten Tagen erlebe ich am eigenen Leib, wie desolat die tatsächliche Situation in diesen Bereich wirklich ist. Und nach dem Eisbergprinzip kann meine subjektive Momentaufnahme der letzten fünf Tage nur bedeuten, dass unter der Oberfläche noch mehr ist. Das muss sich ändern, wenn wir uns nicht vollkommen lächerlich machen oder wegen Herzinfarkt reihenweise vom Bürostuhl kippen wollen. Das oft dümmliche Gelaber von Politikern und Nichtwissenden zu diesem Thema ist da weder hilfreich noch fachlich untermauert. Ach so: Breitbandausbau ist nicht Digitalisierung (sondern nur die notwendige Voraussetzung) und iPads für Schüler sind es auch nicht, wenn es keine wirklich digitalen Lerninhalte und interaktive Lernmedien darin gibt. Aber zurück zu meinen konkreten und aktuellen Erfahrungen…

Kostprobe gefällig?

Fall 1:

Die Sparkasse Aachen stellt zum Juli das HBCI-Verfahren ein. Das erfolgt ohne große Not, denn andere Banken wie VR-Bank oder Aachener Bank kündigen das Verfahren nicht ab. Blöd, dass man deshalb einen neuen Kartenleser kaufen und sich erst einmal schlau machen muss, welches Ersatzverfahren denn adäquat wäre. Für die Umstellung von HBCI auf Chip/TAN-USB hat mir die Sparkasse dann heute über ihr „Secure-Mail“-Portal 7 (in Worten sieben) E-Mails mit 10 Anhängen und insgesamt rund 80 Seiten DIN-A4 Formulare und Vertragstext geschickt. Schon blöd, dass meine Frau und ich mehrere Konten mit unterschiedlichen „Firmierungen“ dort betreiben. Die Benachrichtig über die Secure-Mail kommt dann via „noreply-Adresse“ und es hat keine 10 Minuten gedauert, bis ich den richtigen meiner drei Secure-Mail-Zugänge identifiziert und das Passwort zurückgesetzt hatte. Dann ist das Tageslimit leider zum wiederholten Mal falsch und nach einem Dutzend Unterschriften scheitert der Versuch, die eingescannten (!) Dokumente (22 Seiten), die ich ja wegen Unterschrift ausdrucken musste, wieder über Secure-Mail hochzuladen an der dortigen Begrenzung von 5 MB. Puls 180. Aber ich habe dann einfach den ganzen Mist als normale Mail an meinen Bankberater geschickt, der mir einen Teil der obigen Mails neben dem Weg über Secure Mail auch über die normale unverschlüsselte Mail geschickt hat. Er ist aber nach eigenem Bekunden unschuldig. Er ist nicht Mister Sparkasse. Das merke ich mir mal, wenn sich einer meiner Kunden beschwert. Ich bin dann auch unschuldig. Jetzt bin ich mal gespannt, ob die tatsächliche Umstellung des Verfahrens wenigsten reibungslos klappt. Das wäre das erste Mal.

Fall 2:

Die IHK Aachen verschickt PDFs zur Online Abstimmung an uns Vollversammlungsmitglieder. Darin sollen wir „online“ ankreuzen, ob wir bestimmte Beschlüsse unterstützen oder nicht. So weit so gut. Blöd, dass sich die PDF nicht bearbeiten lässt und so eine Abstimmung gar nicht möglich ist. Kein Problem. Einfach kurze Email zurück an „noreply…“. Ach nee, kurz „richtige“ E-Mail-Adresse raussuchen und Hinweis verschicken. Prompte Reaktion: „Danke für den Hinweis – haben wir sofort geändert“. Gerne. Jetzt kann ich wenigstens die Klicks „online“ machen und das Ergebnis direkt als PDF per Mail verschicken. Zum Glück ist das kein echtes Wahlverfahren, bei dem es auf etwas ankommen würde (Stichwort: Vertraulichkeit, Sicherheit, Zuordnungsfähigkeit zu einer bestimmten Person etc.).

Fall 3:

Die Städteregion Aachen verschickt offenbar grundsätzlich alle möglichen E-Mails mit einer „noreply“-Adresse, damit man bloß nicht direkt darauf antworten kann, wenn etwas nicht stimmt. Harmlos bei einer Online Terminanmeldung beim Straßenverkehrsamt. Richtig blöd, wenn eine (offenbar fehlerhafte) Terminstornierung für den zweiten Corona-Impftermin am Pfingstsonntag eintrudelt. Meine Frau hat sich dann die Mühe gemacht, „echte“ Emailadressen herauszusuchen, nachdem ihre Beschwerde wegen der unverständlichen Terminstornierung an die „noreply“-Adresse des Impfzentrums als unzustellbar zurückkam. Das hat dann ausgelöst, dass sehr schnell die Terminstornierung storniert wurde (unerklärlicher Systemfehler) und ein neuer Termin bestätigt wurde (zunächst als „echte“ Mail von Menschenhand und dann nochmal per Noreply-Mail). Gestern rief dann eine weitere Mitarbeiterin an und wollte das Thema nochmal klären. Zum Glück hatte sie den gleichen bestätigten zweiten Impftermin auch in ihrem System. Sie erklärte mir auch, dass die mehrfachen Nachfragen jetzt daran liegen, dass meine Frau ihre Beschwerde an mehrere Adressen geschickt hatte. Auf meinen Einwand, dass das daher kommen würde, wenn man u.a. die Stornomail mit einer „noreply“ Adresse verschickt, meinte sie nur: „Dafür kann ich nichts. Das macht die Städteregion bzw. Regio-IT immer so“. Genau das ist das Problem. Also auch „unschuldig“.

Fall 4: Tja und dann habe ich bei meiner Versicherung (Gothaer) letztes Wochenende per Mail angefragt, wie denn die Konditionen für die Versicherung eines Zweitfahrzeugs wären. Darauf erreicht mich sehr schnell am nächsten Werktag ein Anruf – dummerweise gerade nur unterwegs mit keiner Möglichkeit zum Mitschreiben (ich brauche einen Chauffeur). Auf meine Bitte, die Konditionen doch einfach kurz per E-Mail zu schicken, meinte die Dame nur: „Das geht leider nicht. Wir können das nur telefonisch oder per Post“. Ich habe dann nochmal entsetzt nachgefragt, ob das ihr Ernst sei, war dann aber zu perplex, um schlagfertig darum zu bitten, eine Eule oder eine Kutsche zu schicken. Wir einigten uns daher auf einen erneuten Anruf heute Vormittag. Den muss ich gerade verpasst haben, als ich die 10 Unterschriften für die Sparkasse nebenan von meiner Frau eingesammelt habe, denn gerade kamen zwei E-Mails der Gothaer-Versicherung. Überraschung: Die Gothaer kann doch E-Mail. In der 1. Mail steht:

Sehr geehrte Damen und Herren,
Sie haben eine neue Nachricht von Ihrer Gothaer erhalten.
Der Schutz Ihrer Daten ist uns sehr wichtig. Deshalb haben wir die Nachricht für Sie in einem sicheren elektronischen Postfach (Gothaer Webmailer) hinterlegt.
Sie können die Nachricht nach dem Login in den Gothaer Webmailer aufrufen und auch abspeichern.
Der Login zum Gothaer Webmailer ist erreichbar unter der Adresse: https://www.gothaer.de/app/webmailer/webmail_users/login...
Wenn Sie den Webmailer bislang noch nicht benutzt haben, erhalten Sie in einer weiteren E-Mail das Kennwort für den ersten Login.
 

In der zweiten Mail (direkt dahinter) kommt dann:

Wir haben Ihnen für die Erstanmeldung im Gothaer Webmailer ein Initialkennwort erstellt.
Den Link zum Gothaer Webmailer erhalten Sie in einer separaten E-Mail. Bitte prüfen Sie auch Ihren SPAM-Ordner auf Erhalt der Nachricht.
Das Initialkennwort für Ihren Gothaer Webmailer-Zugang lautet: …

Als Addendum dann noch ein Link zum BSI zur Vergabe sicherer Passwörter (das ist der Treppenwitz schlechthin).

Ich musste lachen. Nun, tatsächlich muss man nach dem ersten Login eine eigenes (sicheres) Passwort vergeben. Aber das Versenden eines Initialpasswortes in einer separaten Mail suggeriert eine Sicherheit, die es nicht gibt. Das ist fast so dumm, wie echte Passwörter in einer separaten Mail zu verschicken, um den Anhang in einem passwortverschlüsselten Anhang der vorherigen Mail „abzusichern“ (unter anderem vom Gesundheitsamt der Stadt Aachen so als Verfahren zur Übermittlung personenbezogener Daten mir gegenüber vorgeschlagen – aber das ist Fall 5).

Zurück zur Gothaer:
(Die Gothaer hat übrigens nicht angerufen. Sie hat es nur behauptet, aber das kommt gleich).
Nachdem ich nun also ein eigenes Passwort eingegeben hatte und die Gothaer somit immer noch nicht weiß, ob ich tatsächlich der Thomas Käfer bin, konnte ich die so wichtige Mail nun endlich lesen. Da war nicht etwa ein Angebot enthalten, sondern dass hier:



Und jetzt – die Spannung steigt: Was verbirgt sich hinter der HTML-Datei, die man eigentlich aus Sicherheitsründen eher nicht öffnen sollte?

Das hier: Leider konnten wir Sie telefonisch nicht erreichen. Gerne klären wir Ihr Anliegen in einem persönlichen Gespräch.


Nachdem ich mich wieder vom Boden aufgerappelt, den umgestürzten Stuhl aufgerichtet und meine Tränen getrocknet hatte, dachte ich mir: Jetzt reicht es …

Aber es reicht noch nicht (Übrgens habe ich die Sache dann mit ein "paar" Telefonaten, darunter mit einer unfassbaren dummen Mitarbeiterin (diesmal bei Check24) regeln können - aber das ist kein digitales Thema).

Kommen wir zum Schluss noch zum Thema „Fälschen von Covid-Testergebnissen“ unserem heutigen Fall 6:

Den nachfolgenden Text habe ich am 14.05.2021 an die Kaiser-Apotheke Würselen, den Betreiber der Software-Lösung des dort verwendeten Covid-Tests (no-q.info) und den Sprecher des Gesundheitsamtes der Städteregion Herrn Ziemons mit der Bitte um Stellungnahme vor Veröffentlichung meiner Befunde geschickt.

Ich lasse mich seit einigen Wochen brav jede Woche im Testzentrum in der Kaiser-Apotheke in Würselen testen. Da ich mich hauptberuflich mit Datenschutz und IT-Sicherheit befasse, wurde meine Neugier geweckt, wie gut denn die Testbescheinigungen vor Manipulationen geschützt sind. Das neuerdings das Geburtsdatum als Passwort genutzt wird, ist nett, aber – wenn wir mal ehrlich sind – kein wirksamer Schutz. Am Anfang gab es nicht mal diesen trivialen Passwortschutz.

Schlimmer noch ist, dass die PDF nach Eingabe des Passwortes dann vollkommen ungeschützt ist und problemlos in gängigen Programmen wie Adobe Acrobat o.ä. komplett editiert und verfälscht werden kann.

Ich habe mal als Fingerübung mein letztes Testergebnis in 10 Minuten beliebig modifiziert und könnte mir damit nun täglich neue negative Testbescheinigungen auszustellen. Das Ergebnis dieser – hier bewusst plumpen – Urkundenfälschung habe ich Ihnen mal beigefügt. Wenn dann ein Kontrolleur (wie mutmaßlich praktisch jeder Laden- oder Restaurantbesitzer) so ein Blatt Papier vorgelegt bekommt (ohne die hier offensichtlichen plumpen Modifikationen), wird er in der Mehrzahl der Fälle den QR-Code gar nicht prüfen und die Urkunde als echt hinnehmen.

 

Aber auch das wäre kein wirkliches Problem , wenn dies Anbieter mit krimineller Energie als Dienstleistung im Netz anbieten würden. Denn den QR-Code könnte ich als Kür auf einer von mir als Hacker bereitgestellten Website, die an https://verify.no-q.info/  angelehnt ist (um nicht zu sagen kopiert) und die z.B. https://verify.noq.info heißen könnte, ebenfalls beliebig als valide bestätigen lassen. Dazu übergibt man im QR-Code einfach in der gewünschten URL den Namen und das Testdatum als get-parameter. Den Übergabeparamater kann man dann genauso kodieren wie die offensichtlich simpel mit Base64 codierten Übergabeparameter der originalen QR-Codes. Die Webseite braucht dann nur die wahlfrei übergebenen Parameter wieder zu dekodieren und genauso wie auf der Original-Website formatiert auszugeben. Wetten, dass kaum ein Kontrolleur diesen Betrug erkennt? Denn wer weiß schon, dass das Testergebnis auf verifiy.no-q.info (mit Bindestrich) verifiziert werden muss und nur das dann als valide Echtheitsprüfung gilt? Und dafür ist auch im Alltag keine Zeit!

Die Website https://verify.no-q.info/ enthält keinerlei Anbieterkennung oder Impressum und damit ist für den Prüfenden ohnehin nicht zu erkennen, ob das Ergebnis der QR-Code-Prüfung vertrauenswürdig bzw. echt ist.

Warum wird keine wirklich offizielle und eindeutig zuzuordnende Adresse (wie z.B. www.rki.de) benutzt? Und warum wird überhaupt ein so unsicheres Verfahren wie eine einfach zu fälschende oder selbst zu erstellende PDF als Testnachweis benutzt? Warum wird so etwas nicht mit der offiziellen Corona-App gekoppelt, sodass eine Manipulation nahezu ausgeschlossen werden kann? Die Corona-App gibt es nun seit über einem Jahr und der Nutzen ist mehr als fraglich. Das ärgert mich umso mehr, als dass wir im April 2020 mit der Cyber-Security Fokusgruppe des digihub Aachens auf Basis meiner Initiative ein Konzept für eine Corona-App vorgestellt haben, die wohl nur einen Bruchteil der jetzigen Kosten verursacht hätte, aber dennoch hinsichtlich Datenschutz und IT-Sicherheit wohl deutlich besser gewesen wäre, als das, was wir jetzt vorfinden. Im Konzept wurden damals schon genau die jetzt hochkommenden Probleme thematisiert, aber das ist wieder ein anderes Thema. Nur kann man jetzt nicht sagen, „das war ja alles überraschend und wir mussten schnell eine Lösung haben“. Die Probleme und Herausforderungen sind seit Monaten, wenn nicht seit gar seit Anfang der Pandemie bekannt.

Dennoch müsste die Corona-App längst flächendeckend zum Verarbeiten und Nachweis von Testergebnissen eingesetzt werden können, aber das ist wohl immer noch Utopie. Denn auch die QR-Codes, die ich auf meinen Testergebnissen erhalte, werden nach wie vor von der aktuellen Corona-Warn-App nicht erkannt. Das ist umso unverständlicher, als das auf der Website von https://www.no-q.info/ genau mit der Kompatibilität zur Corona-Warn-App geworben wird. Warum funktioniert mein Test-Ergebnis damit nicht?

Und beim Blick auf die Nachlässigkeit, wie die Testergebnisse verwaltet und wenig fälschungssicher verteilt werden, brauchen wir nicht ernsthaft über fälschungssichere Impfnachweise nachzudenken.

In Anbetracht der massiven Einschränkungen mit der wir Bürger seit über einem Jahr konfrontiert werden, würde ich mir endlich mal mehr Professionalität beim Einsatz der IT-Werkzeuge zur Bekämpfung der Pandemie wünschen.

Und jetzt das Positive an dem negativen Test:

Sowohl die Kaiser-Apotheke als Betreiber des Testzentrums als auch der Software-Anbieter Vertical Life aus Südtirol haben sich sehr schnell und konstruktiv zurückgemeldet. So wurde umgehend ein Impressum auf die Verifikationsseite hinzugefügt (wenn auch nicht auf allen Seiten) und die PDF ist seither schreibgeschützt und kann nicht mehr auf einfachster Weise direkt manipuliert werden. Zudem verwies der Software-Hersteller darauf, dass das Formular den Vorgaben der Corona- Schutzverordnung des Landes NRW entspricht. Dort wird eine gewisse Formfreiheit bejaht und auch die Möglichkeit zum Bestätigen per Online-Formular erlaubt. Der Vordruck sieht jedoch trotzdem anders aus und beinhaltet vor allem einen Hinweis auf die Strafbarkeit der Fälschung einer solchen Bestätigung, die übrigens gerade vom Bundestag nochmals mit schärferen Strafen auch im Fall eines gefälschten Impfausweises unterstrichen wurde. Das ist gut und wichtig, damit jedem klar wird, dass das einfache Manipulieren kein Kavaliersdelikt ist. Dieser Hinweis fehlt leider nach wie vor auf dem Corona-Testergebnis von Vertical (wie vermutlich in vielen anderen selbst entworfenen Formularen). Vor Gericht wäre wahrscheinlich aber spannend, wie scharf das Gesetzesschwert dann wäre, wenn es dem Urkundenfälscher zu leicht gemacht wird…

Und Vertical-Life gab mir gleich noch eine Anleitung mit, wie denn das Testergebnis auch mit der Corona-Warn-App verknüpft werden kann: https://www.coronawarn.app/de/blog/2021-05-11-how-to-rapid-test-integration/

Das ist leider etwas schwerfällig beschrieben bzw. aus der Benutzerführung der Warn App nicht sofort klar ersichtlich. Man muss die Warn App dazu entweder autorisieren und das Testprofil dann vor dem Test beim Testzentrum vorzeigen oder die Mitarbeiter im Testzentrum müssen den Zugriff auf die Warn-App explizit freischalten, wenn man das bei der Testbuchung nicht bereits selber gemacht hat. Für mich als Informatiker war das offenbar schon zu kompliziert, denn es hat dann nur einmal geklappt, als der Mitarbeiter dies vor Ort explizit freigeschaltet hat. Mit der Testregistrierung aus der Corona-Warn-App konnte man dort nichts abfangen. Und tatsächlich haben wir in der Registrierungsmaske bei der Terminbuchung auch nichts gefunden. Da sollte man also noch nachbessern…

Fazit: Die Reaktion des Betreibers der Tests war vorbildlich und lösungsorientiert. Das habe ich auch schon anders erlebt. Die Städteregion Aachen hat sich zu dem Thema bisher nicht geäußert. Tja… vielleicht schicke ich ihr den Text hier nochmal an eine noreply-Adresse…

Die Lösung mit den Testergebnissen per PDF ist aber nach wie vor nicht optimal und krankt daran, dass es keine offizielle und einheitliche Form und Verifikationsmöglichkeit zur Echtheitsprüfung gibt. Denn letztlich kann ich mir so eine PDF ja auch komplett selber bauen. Das ist zwar strafbar, schützt aber nicht vor Missbrauch und von der Unsicherheit beim Test des Tests. Schließlich gestaltet ja auch nicht jeder von uns seine eigenen Banknoten und behauptet dann, die wären echt…

So, ich rufe jetzt mal bei der Gothaer an und versuche mein Glück erneut. Bin gespannt, auf welchem Weg ich die EVB Nummer bekomme…

Aber wenn gleich der nächste mit so einem Digitalisierungs-Rohrkrepierer um die Ecke kommt, platzt hier eine Bombe oder ich.

Durch Deutschland muss endlich ein Digitalisierungs-Ruck gehen.

 

Weiterlesen
  7940 Aufrufe
  0 Kommentare
7940 Aufrufe
0 Kommentare

Hackergruppe legt Benzin-Pipeline in den USA lahm

weyer

Die Meldungen über den weitreichenden Angriff auf die Benzinversorgung der Ostküste der USA in den vergangenen Tagen sind hinlänglich bekannt. Mittlerweile ist wohl auch klar, dass die international agierenden Cyber-Kriminellen Darkside hinter dem Angriff stecken. Die Professionalität solcher Gruppen muss aufhorchen lassen. Da wird in Robin-Hood-Manier über eine eigene Website und Pressstelle verkündet, dass man das Geld nur von den Reichen nimmt und keine Menschenleben zu Schaden kommen sollen (also z.B. lt. Ehrenkodex keine Angriffe auf Gesundheitseinrichtungen, sondern nur auf finanzkräftige Firmen) und man streicht für den Hack mit Ransom-Ware vermutlich 5 Mio. Dollar Lösegeld ein. Gut, wenn dann der Schlüssel zur Entschlüsselung der Systeme und Daten auch geliefert wird und funktioniert. Das ist nicht sicher! Und die Lücke, über die die Erpresser Zugang zu den Systemen bekommen hatten, muss nicht nur gefunden, sondern auch noch wirksam verschlossen werden. Ansonsten kommen die bösen Buben wieder.

Die Auswirkungen sind in diesem Fall jedoch enorm. Die Benzinversorgung ist massiv eingeschränkt und neben erhöhten Spritpreisen kam es sogar zu Hamsterkäufen.

Ein besonderes krasses Bild eines solchen Hamsterkauf geistert derzeit durch die Medien. Da hat ein US-Bürger Plastiksäcke mit Sprit gefüllt und transportiert diese in seinem Kofferraum. Jetzt könnte man mit bösen Zungen behaupten, dass das ein Sinnbild für die Absicherung von mancher Industriesteuerung gegen Cyber-Attacken ist und die nächste Anlage jederzeit hoch gehen kann. Aber ist das wirklich nur böse Polemik des Autors oder doch nicht so weit hergeholt?

Spätestens jetzt sollte man sich als Anlagenbetreiber kritischer Infrastrukturen überlegen, ob so etwas nicht auch hier bei uns passieren könnte – Vielleicht nicht direkt eine ganze Pipeline oder Raffinerie, aber vielleicht ein Kraftwerk oder zentrale Element der Grundvorsorge…

Wir helfen gern (also bei der Absicherung 😉).

 

Weiterlesen
  1574 Aufrufe
  0 Kommentare
1574 Aufrufe
0 Kommentare

IHK-Versicherungstag - Digitalisierung im Vertrieb - 21. April 2021

Versicherungstag Versicherungstag

Aktuelle Entwicklungen durch Gesetzgebung und Rechtsprechung sowie die Frage, wie sich die digitale Transformation und das Thema Datenschutz auf das Versicherungsgeschäft auswirken, haben weiterhin großen Einfluss auf die Versicherungsbranche. Der Versicherungstag 2021 soll mit spannenden Vorträgen und aktuellen Themen zur Diskussion anregen und einen gemeinsamen Austausch fördern.


Die IHK Koblenz, die IHK Trier, der Bezirksverband Koblenz-Trier des Bundesverbandes Deutscher Versicherungskaufleute e.V. und der BWV Koblenz e.V. freuen sich auf Ihre Teilnahme!

Wann:
Mittwoch, 21. April 2021
10:00 bis 13:00 Uhr

Wo:
Online-Veranstaltung

10:00 Uhr Begrüßung

Rolf Löhmar,
Vizepräsident
Industrie- und Handelskammer Koblenz

10:10 Uhr Auswirkungen der digitalen

Transformation auf das Versicherungsgeschäft
Prof. Dr. Florian Elert,
HSBA Hamburg
School of Business Administration
• Veränderung durch die Digitalisierung
für die Produktangebote und Absatzkonzepte
• Auswirkungen der Entstehung von
Plattformen und Ökosystemen auf das
Versicherungsgeschäft
• Herausforderungen und Chancen für
Vermittler und Versicherer

11:20 Uhr IT-Sicherheit - Datenschutz -

Pen Testing
Thomas Käfer, M.Sc.
Diplom Ingenieur
• Problematisierung von IT-Sicherheit
und Datenschutz
• Was ist die digitale Forensik?
• Beratungsansatz, Gefahrenabwehr und
Absicherung des Restrisikos (Cyberversicherung)
• Umsetzung im Versicherungsvertrieb

12:50 Uhr Fragen und Antworten

Veranstalter:
Industrie- und Handelskammer Koblenz
Schloßstraße 2, 56068 Koblenz

Anmeldung online unter:
https://www.ihk-koblenz.de/unternehmensservice/recht/downloads/versicherungsvermittler/formulare/weitere-formulare/anmeldung-zum-digitalen-versicherungstag-4611870#page

Ansprechpartnerinnen
IHK Koblenz
Birgit Lohn
(02 61) 106-245
Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!

IHK Trier
Gilda Orban
(06 51) 97 77-4 02
Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!

Die Teilnahme ist kostenfrei.
Aufgrund der begrenzten Teilnehmerzahl ist eine
Anmeldung erforderlich bis spätestens:
Mittwoch, 14. April 2021

 

Weiterlesen
  1610 Aufrufe
  0 Kommentare
1610 Aufrufe
0 Kommentare

Jetzt haben wir das Faxen dicke…

FAX

Das Fax hat ausgedient und gehört abgeschafft. Man muss sich auch einmal von Errungenschaften des vergangenen Jahrhunderts verabschieden. Und es kann vor allem nicht angehen, dass wichtige und dringende Nachrichten noch per Fax übertragen werden – so geschehen während der Pandemie bei der Übermittlung von Fallzahlen und Infektionsmeldungen. So fordern viele gerade angesichts der Herausforderungen von Corona zur Digitalisierung eine schnelle Abschaltung der Faxgeräte in Behörden und Ämtern. Ein Fax ist nicht digital – auch wenn es Pieptöne von sich gibt und bei Empfang einer Nachricht blinkt.

Doch halt. Einfach nur den Stecker ziehen, ist jetzt auch keine Lösung und wieder mal zu kurz gesprungen. Denn warum sind die ollen Fax-Geräte noch so „beliebt“ und im Einsatz? Es gibt zwei gute Gründe: Rechtssicherheit und Vertraulichkeit. Zum einen wird eine Unterschrift auf einem Fax-Dokument als rechtssicher angesehen, was bei einer einfachen nicht qualifiziert digital signierten E-Mail nicht der Fall ist. Lösung hier: Qualifizierte Digitale Signaturen verwenden und auch auf allen Seiten die notwendigen Voraussetzungen zum Versand und zur Annahme schaffen. Die Gesetze, die das ermöglichen, gibt es schon seit zwei Jahrzehnten! Nur mit der Infrastruktur (Endgeräte, Software) dafür haperts es seit langem.

Zum anderen kann i.d.R. bei einem Fax-Versand von personenbezogenen Daten davon ausgegangen werden, dass die Daten nur an den gewünschten Empfänger übermittelt werden und nicht von Dritten mitgelesen werden können (Punkt zu Punkt Verbindung). Das ist zwar technisch möglich, aber weit aufwändiger als eine unverschlüsselt übertragene E-Mail mitzulesen oder aus versehen an eine Vielzahl von Empfängern weiterzuleiten. Daher raten Datenschützer zum Griff zum Fax-Gerät, wenn es um den Transport von personenbezogene Daten geht und es keine verschlüsselte digitale Übertragung gibt (auch wenn das durch ein Urteil des OVG Lüneburg Beschluss vom 22.07.2020 11 LA 104/19 mittlerweile auch anders gesehen wird). Denn das unverschlüsselte Senden ist genau das Problem. Einfach eine Liste mit Adressen oder gar Patientendaten mit Befunden per E-Mail zu verschicken, ist unzulässig. Zu groß ist die Gefahr, dass diese Daten in fremde Hände geraten. Also verschlüsseln! Richtig blöd ist es dann aber, das Passwort für die verschlüsselten Daten (Anhänge) mit in die Mail zu packen. Sehr clevere Zeitgenossen greifen daher zu diesem überwältigend logischen Trick und schicken das Passwort in einer separaten Mail. Darauf muss man erst einmal kommen. Nun, der Datendieb, der Zugriff auf die Mail mit den verschlüsselten Anhängen hat, wird mutmaßlich dann über denselben Weg auch die zweite Mail mit dem Passwort abfangen. Also nicht wirklich clever. Umso erstaunlicher, dass Gesundheitsämter und andere Behörden mit Segen der dortigen Datenschutzbeauftragten genau diesen Weg gehen bzw. fordern. Entweder wird einfach nur platt die Zusendung von personenbezogenen Daten per E-Mail gefordert (ohne ein Wort über den Schutz der Daten zu verlieren) oder es wird (bei Intervention des betrieblichen Datenschutzbeauftragten der Gegenseite) dann von der Behörde bzw. deren Datenschutzbeauftragten die zweite Version dem Passwort in der separaten Mail vorgeschlagen. Der betriebliche Datenschutzbeauftragt bleibt da nur noch kopfschüttelnd zurück. Das kann es nicht sein, denn auch eine Pandemie bricht nicht die DS-GVO.

Lösung: Entweder man verständigt sich auf separatem und sicherem Weg (Telefon) auf ein Passwort für die Verschlüsselung oder die Behörden schaffen endlich Portale und Upload-Möglichkeiten, mit den die vertraulichen Daten zeitgemäß verschlüsselt und zielgerichtet übertragen und gesichert werden. So ein Portal einzurichten, schafft ein IT-Azubi in einem Tag, oder, wenn es richtig gut werden soll, in einer Woche. Also los! Und dann können wir auch den Stecker vom Fax-Gerät ziehen.

Weiterlesen
  1977 Aufrufe
  0 Kommentare
1977 Aufrufe
0 Kommentare

Cyber Security von Produktionsanlagen

weyer

Durch eine Kooperation mit der weyer-Gruppe Düren, habe ich mein Tätigkeitsfeld im Bereich der Digitalen Forensik auf den Bereich Cyber Security von Produktionsanlagen erweitert.

Hier bieten wir als Team folgende Leistungen an:

 

  • Aufnahme und Aufteilung der Betriebsbereiche / Anlagen in überschaubare Einheiten (Sektionierung) zur Analyse der notwendigen Maßnahmen
  • IT-Risikobeurteilung (z. B. nach NA 163 / IEC 62443 / DIN ISO 27001)
  • Ableitung und Priorisierung von Maßnahmen
  • Unterstützung bei der Umsetzung von Maßnahmen
  • Einarbeitung in das Gesamt-Sicherheitskonzept der Anlage: Verbindung zur klassischen Prozesssicherheit bzw. zur funktionalen Sicherheit mit den Anforderungen und Maßnahmen, die sich aus der IT-Beurteilung ergeben
  • Beratung von Equipment-Herstellern hinsichtlich Cyber Security
  • Penetrationstest, kurz Pentest(ing): Wir übernehmen eine umfassende Sicherheitsprüfung aller Systembestandteile und Anwendungen eines Netzwerks (Rechner, Maschinen, Produktionsanlagen etc.) mit den Methoden, die ein Angreifer bzw. Hacker anwenden würde, um in ein System einzudringen. Mehr Informationen dazu finden Sie hier.
  • Digitale Forensik bzw. IT-Forensik:

 

Weitere Infos finden sie hier: https://www.weyer-gruppe.com/anlagenbetreiber-und-investoren/cyber-security-produktionsanlagen/

 

Weiterlesen
  2300 Aufrufe
  0 Kommentare
2300 Aufrufe
0 Kommentare

KOLLOQUIUM der weyer-Gruppe Düren: Cyber Security von Anlagen und Maschinen am 18.06.2020

kolloquium

Die Absage von der Absage: Wegen der Corona-Krise muss das Kolloquium der Weyer-Gruppe "Cyber Security von Anlagen und Maschinen" als Präsenzveranstaltung leider abgesagt werden. Aber es gibt einen Ersatz: Wir machen das einfach digital:

Das Kolloquium der weyer gruppe wird das erste mal als Live-Stream übertragen. #kolloquiumgoesdigital

Das Thema des ersten digitalen Kolloquiums ist die Cyber Security für Produktionsanlagen. Unsere Fachvortragenden beschäftigen sich aus verschiedenen Blickwinkeln mit der Thematik. Sie erfahren von einem Unternehmer, was es bedeutet gehackt zu werden und welche Folgen sich für seinen Betrieb ergeben haben. Ein Hacker wird Ihnen die Schwachstellen der Systeme zeigen und gemeinsam klären wir, wie dies verhindert werden kann. Außerdem erläutern die Referenten, welche Schäden durch eine Cyber Security Versicherung abgefangen werden und welche Notwendigkeiten die Behörden sehen.

Die Referenten werden Ihre Vorträge statt auf einer Bühne in einem Studio halten und Sie können über einen Chat Ihre Fragen und Kommentare einwerfen.

Melden Sie sich jetzt kostenlos und unverbindlich an!

Der IT Security-Experte Dipl.-Ing. Thomas Käfer, M.Sc. moderiert das Koloquium 2020 und darf im Namen des Gastgebers - weyer gruppe - hochkarätige Referenten begrüßen.

Unser Programm:

10:00 Uhr | Klaus Weyer - Ihr Gastgeber

10:30 Uhr | Stephan Gebhard - KAS 51 und Co - Anforderungen und Auswirkungen der aktuellen Regelwerke

11:15 Uhr | Markus Ahorner - Integrierte Cybersicherheit für Produktionsstandorte

12:00 Uhr | Martin Wundram - Live-Hacking „Stein zu Sand AG“ + Goldene Tipps als Gegenmaßnahmen

12:45 Uhr | Gerhard Klein – Erfahrungsbericht eines Angriffsopfers

13:30 Uhr | Onnen Siems, Thomas Budzyn und Tommy Berg - Chancen und Herausforderungen einer Cyber-Industrieversicherung

Weitere Fragen beantwortet Ihnen:
Frau Stefanie Moschkau
Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!
+49 (0) 2421 69 09 22 86

Wir laden Sie herzlich zu diesem spannenden und kostenlosen Branchenaustausch ein und freuen uns über Ihre Anmeldung bis zum 8. Juni 2020 unter
Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!

Wir freuen uns auf Sie!

 

Weiterlesen
  3690 Aufrufe
  0 Kommentare
3690 Aufrufe
0 Kommentare

Unter neuen Vorzeichen - Titelbeitrag in den Wirtschaftliche Nachrichten der IHK Aachen 06-2020

Wirtschaftliche Nachrichten 06-2020

Unter dem Titel "Der Daten-Detektiv" berichten die Wirtschaftlichen Nachrichten der IHK Aachen in der Ausgabe Juni 2020 über die Unternehmungen und den Werdegang von Thomas Käfer.

Mit dem einen oder anderen Augenzwinkern ist daraus ein kurzweiliger und gut gelaunter Artikel geworden, der die Darwinsche Theorie, dass die Spezies überlebt, die sich an wechselnde Bedingungen am besten anpasst, perfekt belegt.

Zum Artikel: https://www.aachen.ihk.de/blueprint/servlet/resource/blob/4811502/b83a0769d73c2573a82f991cfadae0d8/wn-06-2020-data.pdf

 

Weiterlesen
  2774 Aufrufe
  0 Kommentare
2774 Aufrufe
0 Kommentare