Blogging CEO: Auf der Münchner Cybersecurity Konferenz 2019 mit dem Entwickler der Twofish Verschlüsselung und der Bounty Queen

(english version) planet 33 auf der Münchner Cybersicherheitskonferenz – ein kurzer und fragmentarischer Sampler für diejenigen, die nicht dabei waren.

Einmal im Jahr treffen sich Mitglieder der europäischen Cybersicherheits-Community (meist die Policy- und Corporate-Typen mit ein paar Praktikern) am Vormittag der Münchner Sicherheitskonferenz im Bayerischen Hof in München, in diesem Jahr am 14. Februar 2019.

planet 33 ist als stolzes Mitglied des “Security Network Munich” (https://it-security-munich.net/ueber-uns/about-us-english) zur Konferenz eingeladen und versteht sich als Antriebsriemen für Security Best Practices im Alltag unserer Kunden. Offensichtlich unterscheiden sich Sicherheitsmaßnahmen und -bewusstsein von den hier vertretenen Großunternehmen zu unseren mittelständischen Kunden.

Dies ist keineswegs eine vollständige Darstellung der Veranstaltung auf hohem journalistisches Niveau. Es ist ein sehr subjektiver und persönlicher Rückblick auf die Veranstaltung. Ich habe die Aussagen aller zitierten Personen überprüft.

Alle nicht erwähnten Redner wurden nicht wegen ihres Beitrags ausgelassen, sondern wegen sehr grundlegender Interferenzprobleme und anderen Aktivitäten des Autors auf der Konferenz (insbesondere meiner Gespräche mit anderen Teilnehmern der Konferenz).

Einer der Auftaktveranstaltung war Julian King – einer der mutigen britischen EU-Kommissare, die wir in der EU-Verwaltung künftig vermissen werden.

Er beschreibt in seinem Überblick, wie sich die Cyber-Threat-Landschaft in den letzten Jahren verändert hat und nennt einige der großen Themen der EU-Sicherheitsunion:

die Gefahr, dass Wahlen behindert werden.

Die Notwendigkeit des Schutzes kritischer technischer Infrastrukturen (Huawei baut 5G-Netze in Europa).

Die Notwendigkeit, die Identitäten der EU-Bürger zu schützen.

Er betont, dass die europäischen Ausrüstungshersteller für Telco-Infrastruktur über einen Marktanteil von etwa 30 % verfügen, aber 90 % der IT-Geräte in Asien, insbesondere in China, hergestellt werden.

Die Entwicklungsausgaben der USA und Chinas für die KI stellen die europäischen Ausgaben in den Schatten.

Die Region Shenzen gibt 13,5 Milliarden US-Dollar für KI-Forschung und -Bildung aus, während Frankreich als eine der innovativsten politisch bestimmten EU-Verwaltungen im KI-Bereich 1,5 Milliarden US-Dollar ausgibt.

Die EU braucht eine bessere Koordination der Technologie, und wir müssen uns vor Schutzinstinkten hüten!

Offene Märkte & Messe passen nicht gut zu “Huawei out!”.

Er erwähnt die Komponenten einer erfolgreichen EU-Politik zur Minderung dieser Risiken:

Das EU-Cybersicherheitsgesetz, die NUS-Richtlinie, der Rahmen für das Screening ausländischer Investitionen und die EU-Vorschriften für die Auftragsvergabe.

Ein weiterer Teilnehmer aus Großbritannien: Alexander Evans – Director Cyber, Foreign & Commonwealth Office gab Einblick in die Cybersicherheitsaktivitäten des Vereinigten Königreichs – interessant, bevor das Vereinigte Königreich die EU verlässt.

Er beschreibt den Einsatz der nationalen Cybersicherheitspolitik durch die NCSC als recht technische und automatisierte Prozesse unter Einbeziehung der Verhaltenswissenschaften und des Big Data Spezialisten im Auswärtigen Amt.

Er will entmystifizieren, was Cybersicherheit wirklich ist. Die typische Reaktion vorher war, dass CS zu technisch, zu kompliziert und jemand anderes geschäftlich ist. Das Auswärtige Amt hat einen großen strategischen Impuls gegeben (auch nach den entsprechenden EU-Richtlinien) und setzt seine Innovationskraft mit einem Budget von 30 Mio. Pfund fort – und will nicht selbstgefällig sein.

Das erste PANEL hatte einige praktische Leute, die ihre alltäglichen Probleme in die Diskussion einbrachten.

Dr. Stefan Lüders (CIO des CERN) ist erstaunt über die großartigen Web-Apps, die seine Forscher am CERN ohne integrierte Sicherheit durch Design entwickeln. Die Academia scheint schöne Grafiken zu fördern und hat die Benutzeroberflächen stark verbessert, trägt aber nicht ausreichend zum sicheren Betrieb der Anwendungen bei.

Stephan Micklitz (Director of Engineering bei Google) beschreibt das Wettrüsten, wie der Angriff auf die Google-Infrastruktur immer ausgefeilter wird – spearfise/gerichtete und breite Angriffe werden immer gefährlicher.

Larry Clinton (Präsident der Internet Security Alliance, der das von der US-Regierung gebilligte und vom BSI in deutscher Sprache herausgegebene “Cyber Risk Management Handbook” geschrieben hat) wird oft gefragt: “Warum hast du das Problem nicht gelöst, seit du das erste Mal darüber geschrieben hast”? Seine Antwort:

Das Wesentliche sind nicht die Schwachstellen, sondern die Attraktivität des “Black Hat Attacker Business Modells”.

Angriffe passieren, weil sie ein großartiges Geschäftsmodell sind, die Versuche billig sind und die Wirtschaft großartig. Die Fragen sind falsch – niemand lehrt Sicherheit – niemand will für Sicherheit bezahlen. Das muss sich ändern!

Wir müssen die Cybersicherheit “White Hat” kühl und wirtschaftlich interessanter machen als “Black Hat Activity”.

Während des Panels betonen Larry Clinton und Stefan Lüders die Rolle, die Bug-Bounty-Programme spielen können, um den “White Hat” Cybersicherheit zu einem Beruf mit Zukunft zu machen:

Larry Clinton will, dass Bug-Bounty-Programme durchgesetzt werden. Der Besitzer der Produkte muss dem Käferjäger eine feste Gebühr nach einem staatlichen Katalog zahlen. Stefan Lüders witzelt, es gibt zwei Produkttypen, bei denen die Hersteller nicht für Schäden verantwortlich sind, die ihre Produkte verursachen: Software und illegale Drogen. Geld und Legalität sind der wichtigste Anreiz für Menschen, Fehler aufzudecken! Besser die guten Jungs bleiben auf der legalen Seite, auch wenn sie weniger bezahlt werden als die schlechten Jungs.

Motohiro Tsuchiya (Cybersecurity Professor an der Keio University in Japan) – erzählt nur halb im Scherz, dass seine besten Schüler am Ende bei Google arbeiten und sich nicht von Cyberkriminalität angezogen fühlen.

Aber als nordkoreanischer oder chinesischer Computerexperte können Sie ein gutes Leben als Cybersicherheitsexperte “EXPERT” führen.

In seiner Forschung zu den “bösen Jungs” hat Professor Tsuchiya 5 Arten von Cyberkriegern im chinesischen Kontext identifiziert.

1 frustrierte Studenten

2 Wirtschaftsspione (chinesische Unternehmen spionieren chinesische Unternehmen aus)

3 politische Spione (Spionage als Erweiterung der Außenpolitik – klassische Spionage mit neuen technischen Mitteln)

4 Cybersoldaten in regulären nationalen Einheiten (z.B. Chinese PLA Unit 61398)

5 Söldner – es ist ihnen egal, wer ihr Arbeitgeber ist und wer ihr Ziel ist.

Ein Highlight des diesjährigen MCSC war die Anwesenheit von Bruce Schneier (Sicherheitstechnologe, Co-Architekt des Twofish-Kryptoalgorithmus, https://www.schneier.com) in einem der Panels.

Herr Schneier beschreibt zunächst dumme, unsichere Geräte, d.h. Kühlschränke, die den Empfang erfassen und an einen Cloud-Service senden, bei Herstellern, die diese Daten an Dritte verkaufen. Kunden werden in ihrer Privatsphäre beeinträchtigt und stellen gleichzeitig eine Angriffsdrohne für den nächsten DOS-Angriff zur Verfügung.

Er hat die aufstrebende IOT-Industrie in seinem neuen Buch “Click Here to Kill Everybody – Security and Survival in a Hyper-connected World” analysiert.

Er beschreibt, wie stark die neue marktbestimmte Kraft, die auf der Erhebung unserer Daten basiert, ist und weist darauf hin, dass Sicherheit kein Wettbewerbsvorteil für Facebook und die anderen Datenhändler ist. Schneier empfiehlt Shoshana Zuboffs “The Age of Surveillance Capitalism” dringend als neuen Standard zu diesem Thema.

Die Regulierung dieser Hersteller und Datenhändler ist bisher gescheitert, so dass der Gesetzgeber die Kosten dieser Unsicherheit erhöhen muss, so dass er es sich einfach nicht mehr leisten kann, unsichere Produkte zu installieren.

Schneier fährt fort: “Vorschriften sind die Funktionsweise der Gesellschaft – wenn ich in ein Flugzeug einsteige, dessen Triebwerke durch Vorschriften gesteuert werden – vertraue ich darauf, da ich nicht weiß, wie man einen Flugzeugmotor überprüft.”

Für die Verbraucher brauchen wir einfache Anweisungen und Regeln.

Das Einstecken eines USB-Sticks in einen Computer kann nie ein Sicherheitsproblem sein – denn das ist es, was sie entworfen wurden – das automatische Starten von Sachen auf dem Stick ist ein Designproblem.

Das Anklicken eines Links kann nie ein Sicherheitsproblem sein – denn der Grund für die Existenz eines Links ist seine Funktion – das Zulassen von unsicheren Links ist in erster Linie ein Designproblem.

Gib nicht dem Benutzer die Schuld!”

Das Problem mit guten Regelungen nach Schneier ist, dass IT-Leute nicht in der Politik sind und die Politiker nicht in der IT.

Herr Schneier beschreibt die Transformation der historischen Fragen “Wie viel Leben soll vom Staat und wie viel vom Markt regiert werden” in die neue Frage “Wie viel vom Leben soll von der Technik und wie viel vom Staat regiert werden” und möchte, dass sich mehr Technologen mit politischen Fragen befassen.

Das ist einer der Gründe, warum er an der Harvard Kennedy School of Government über “Cybersecurity” unterrichtet: Technologie, Politik und Recht”.

Schneier zeigt das Dilemma der Verantwortung in der Cybersicherheit zwischen Privatwirtschaft und Regierung.

Wir erwarten von der Privatwirtschaft, dass sie den Staat verteidigt – aber das ist eine sehr asymmetrische Kriegsführung, da SIEMENS den russischen Staat nicht bekämpfen kann (auch wenn sie angegriffen wird) und auch das Gegenteil ist nicht gut – der Staat kann die Privatwirtschaft nicht übernehmen, um ihre Wirtschaftsexposition gegenüber einem Angriff des Auslands zu mildern.

Ein weiteres Problem, so Schneiers, sind die Kunden, die sich nach Features sehnen. Der Markt belohnt nicht Einfachheit, sondern Merkmale, so dass sich Code in zu vielen Codezeilen entwickelt, als dass Menschen Sicherheitsbewertungen durchführen könnten.

Herr Schneiers Anwesenheit im MCSC hat mich motiviert, seine Bücher “Data and Goliath” sowie “CLICK HERE TO KILL EVERYBODY” zu lesen

Meine letzte Begegnung bei der MCSC 2019, von der ich berichten möchte, war mit Katie Moussouris (Gründerin der Luta-Sicherheit, http://lutasecurity.com) alias der “Bounty Queen”.

Sie nahm am letzten Panel teil und hat mir und den Teilnehmern Einblicke in die Welt der Bounty-Programme und der Fehler vor Augen geführt, die man bei Ihrer Einrichtung machen kann.

Frau Moussouris hat Microsoft 2013 als Mitarbeiterin der „Vulnerability disclosure unit“ davon überzeugt, ein Bug-Bounty-Programm einzuführen, nachdem sie eine gründliche Analyse interner Microsoft-Daten durchgeführt hatte, die ihre Behauptung untermauert, dass sich ihr Bug-Bounty-Programms bei Microsoft positiv auf die Sicherheit von Microsoft-Produkten auswirken würde und das Bounty-Programm die Qualität von Microsoft-Produkten schneller verbessert als jede andere interne Maßnahme. Das ist insofern bemerkenswert, als das Microsoft in der Vergangenheit immer wieder betont hat, mit Ihrem wöchentlichen Patchen („Patch Tuesday“) bereits genug für die Sicherheit der Microsoft Produkte zu tun.

Es gibt einen Markt für Angriffsmaterial, d.h. einen Schwarzmarkt für Zero-Day-Exploits, und Katie Moussouris hält es für legitim, dass Regierungsorganisationen und Geheimdienste solche Zero-Day-Exploits auf Lager halten, um sie gegen “Feinde” einzusetzen.

Aber sie betont die Verantwortung für die Aufsicht über diese „Waffen“. Die Sicherheitsbehörde, die die zeroday Exploits speichert, muss die Nutzung der exploits genau überwachen und Risiken managen.

Bug-Bounties werden oft nicht richtig eingesetzt und eingerichtet. Ausgelagerte Bug-Bounty-Programme produzieren keine qualitativ hochwertigen Bug-Reports und schneide den Kontakt zur Hacker-Szene ab.

Und natürlich ersetzen Bug-Bounty-Programme nicht eine gute interne Handhabung der Fehlerbehebung und Priorisierung. Das stärkste Argument für ein eigenes Bug-Bounty-Programm ist der direkten Kontakt zur Hacker-und Poweruser-Community zu haben.

Manchmal entstehen pervertierte Konstellationen bei Unternehmen, deren Entwicklung in andere Länder ausgelagert ist und die ein “one size fits all” Bug-Bounty-Programm aufstellen. Ein Bug-Jäger in Indien verdient 16 mal mehr Geld verdienen als der indische Programmierer, der den Bug verursacht haben könnte.

Bug-Bounty-Programme sind nicht immer die richtige Lösung und können im Open-Source-Bereich sogar problematisch sein. Katie hat das Apache Core Maintainer-Team (weniger als 5 Personen) gefragt, ob es ihnen helfen würde, Fehlerberichte zu belohnen? Die Antwort war ein eindeutiges Nein. Denn bereits jetzt sind die meisten vorgeschlagenen Kernelfixes nicht anwendbar und würden die Funktion des Kernels stören. Bereits die bisherigen Vorschläge verstopfen die Pipeline für die Maintainer. Ein Bugbounty Programm würde das Problem der Sichtung für die Core Maintainer nicht lösen.

Katie fordert die Unternehmen auf, mit den gemeldeten Sicherheitsproblemen vernünftig und mit einem klar definierten Koordinierungsprozess für Schwachstellen umzugehen. Ein negatives Beispiel ist der Umgang mit dem Apple-Facetime-Bug Anfang 2019, der von einem 14-jährigen Schulkind entdeckt wurde, das den Gruppenchat benutzte und nur dann an dem offiziellen Bug-Bounty-Programm teilnehmen konnte, nachdem seine Mutter sich als Entwickler im bei Apple registriert hatte. Etwas, was die Mutter nicht tat, ohne vorher über das kuriose Verhalten von Apple zu twittern. Katie Moussouris fasst das so zusammen: “Apple hat beim Facetime-Bug den Staffelstab fallen lassen.”

Ein guter Bug Bounty – Prozess klärt ob identischen Einträgen in der Datenbank unabhängig voneinander entstanden sind und belohnt beide Einträge. Er bewertet ob ein Bug unterteilt worden ist in einzelne kleinere Bug-Meldungen um die Ausschüttung zu maximieren. Ebenso müssen Bugbounty Programme mit Vorlieferanten und Kunde abgestimmt werden, um die Mehrfachmonetarisierung eines Bugs entlang der Lieferantenkette zu verhindern. Diese Prozesse müssen zertifiziert, auditiert und… gelebt werden. Equifax war gut zertifiziert – aber offensichtlich ohne die reguläre Überprüfung. Das Equifax-Beaconing-System, das das Daten-Dumping hätte erkennen sollen, war aufgrund eines abgelaufenen Zertifikats offline.

Ein gut implementiertes Bug-Bounty-Programm mit den richtigen Prozessen hat die Wahrnehmung von Microsoft verändert. Im Jahr 1990 war Microsoft das Gespött der Sicherheitsszene – und 2019 ein führendes Unternehmen in Sachen Sicherheit. Einige der branchenweit effizientesten Bug-Bounty-Programme (“Hack the Pentagon”) wurden von Katie Moussouris ins Leben gerufen und sie bietet Ihr Know-how in Ihrer Unternehmensberatung Luta Security an ( “a 100% female-owned and Native Pacific Islander-owned tech company“).

***

Ihnen gefallen Themen wie dieses und Sie möchten mehr relevante Informationen haben? Einmal im Monat gibt es genau dafür ‘planet 33 WISSEN’. In einer sehr persönlichen Email bekommen Sie eine Liste mit Beiträgen, Videos oder Buchempfehlungen zu Themen, die uns bei planet 33 gerade bei der täglichen Arbeit, in der Freizeit und mit einem strategischen Blick in die Zukunft beschäftigen. Hier können Sie sich anmelden: