Transkript
Das Transkript wurde maschinell erstellt und kann Fehler enthalten. Es zählt
das gesprochene Wort.
Ausklappen
00:00–0:00:13
Herzlich willkommen zu einer neuen Folge Bildungsfern. Die erste Ausgabe im Jahr 2025 startet direkt
0:00:13–0:00:20
mit einem Rückblick in das Jahr 2024. Da war ich mal wieder eingeladen in einem anderen
0:00:20–0:00:27
Podcast und würde ja gerne diese Folge dann jetzt hier auch nochmal replizieren. Ja, warum
0:00:27–0:00:35
ging es? Es ging um IT-Sicherheit in Deutschland, Europa und sowohl auf der privaten Ebene,
0:00:35–0:00:44
als auch auf der Ebene von Firmen und Behörden. Lukas hatte mich eingeladen in seinen Podcast und
0:00:44–0:00:50
ich war dann zusammen dort mit Henrik, der genau in diesem Bereich arbeitet und damit dann deutlich
0:00:50–0:00:56
mehr Kompetenz beisteuern konnte, als ich dazu in der Lage war. Trotzdem konnte ich dann da nochmal
0:00:56–0:01:03
so eine Perspektive einbringen, die so aus dem Bildungsbereich bzw. berufliche Bildung und auch
0:01:03–0:01:08
der private Bereich so ein bisschen abdeckt. Also irgendwie kommt ja dann doch vieles an
0:01:08–0:01:16
der Stelle zusammen und das Ganze hat stattgefunden auf dem 38. Chaos Communication Congress,
0:01:16–0:01:25
also dem Kongress des Chaos Computer Club, der in Hamburg stattgefunden hat und zum Ende des
0:01:25–0:01:31
Jahres im Dezember zwischen den Jahren, also zwischen Weihnachten und Neujahr dort eine
0:01:31–0:01:38
ganze Reihe von interessierten Wesen zusammengetragen hat. Und ja, so war ich dann auch dort zusammen mit
0:01:38–0:01:45
Lukas und Henrik. Ja, hört euch den Podcast oder diese Folge jetzt einfach mal hier an. Ich hoffe,
0:01:45–0:01:52
bereitet euch genauso viel Freude das Anhören, wie mir die Produktion. Insofern hört ihr dort auch
0:01:52–0:01:58
im Hintergrund die Geräusche der Leute, die dort vor Ort waren. Das war so eine kleine Sendebühne,
0:01:58–0:02:02
genannt Sendezentrum, wo jeder vorbeigehen konnte und seinen Podcast aufnehmen konnte.
0:02:02–0:02:07
Eigentlich eine ganz schöne Veranstaltung, also kann ich nur empfehlen für jeden,
0:02:07–0:02:11
der sowieso beim Kongress ist und mal immer so überlegt hat, ja, so ein Podcast mal aufnehmen,
0:02:11–0:02:17
das wäre doch mal was, das ist tatsächlich sehr niederschwellig dort möglich und führt auch immer
0:02:17–0:02:24
wieder dazu, dass dann interessiertes Publikum, was das dann in den Ankündigungen sieht,
0:02:24–0:02:31
vorbeischaut und noch gute Beiträge mitliefern kann. Ja, ich wünsche euch viel Spaß mit der Aufnahme.
0:02:31–0:02:40
Ja, herzlich willkommen zur dritten Folge vom Podcast War und Lock Podcast, heute mit dem Titel
0:02:40–0:02:48
"Wie steht es um die IT-Sicherheit in Deutschland und Europa?". Diese Sendung ist hier aufgezeichnet
0:02:48–0:02:58
am 28. Dezember 2024 live vom Sendezentrum beim 38. Chaos Communication Kongress hier in Hamburg.
0:02:58–0:03:08
Und ja, wir steigen direkt ein. In erster Linie möchte ich erstmal überhaupt die Frage klären,
0:03:08–0:03:24
was ist IT-Sicherheit eigentlich und warum ist das richtig? Vielleicht sollten wir vorher erstmal
0:03:24–0:03:28
mal anfangen, wer ich überhaupt bin, also wer in dem Mikrofon ist, das bin einmal ich,
0:03:28–0:03:35
das ist Lukas, der Host vom Podcast. Ich habe den Marco neben mir sitzen und ich habe den Hendrik
0:03:35–0:03:44
neben mir sitzen. Genau. Und wir drei werden jetzt quasi in dem Podcast so ein paar Sachen zum Thema
0:03:44–0:03:49
IT-Sicherheit sagen und fangen an mit der Frage, was ist IT-Sicherheit eigentlich und warum ist es
0:03:49–0:03:55
wichtig, sich damit zumindest so ein Stück weit zu beschäftigen? Ich würde erst einmal anfangen mit
0:03:55–0:04:03
einer Definition von IT-Sicherheit, um mal überhaupt den Begriff so ein wenig klarzustellen.
0:04:03–0:04:08
Und zwar habe ich hier mir eine Definition rausgesucht, die doch recht treffend ist. Naja,
0:04:08–0:04:15
und zwar Zitat "Unter IT-Sicherheit versteht man Strategien und Maßnahmen, um die Verfügbarkeit von
0:04:15–0:04:20
IT-Systemen zu gewährleisten und den Unerlaubten zu rufen, also wie die unberechtigte Veränderung von
0:04:20–0:04:29
Informationen zu vermeiden." Und ja, das ist so die Definition, die wenn man IT-Sicherheit sucht,
0:04:29–0:04:39
bei Wikipedia steht. Und häufig ist es so, dass Informationssicherheit und IT-Sicherheit quasi
0:04:39–0:04:44
als synonym verwendet werden, dem ist aber nicht so. Denn IT-Sicherheit ist nur ein Teilaspekt der
0:04:44–0:04:53
Informationssicherheit. Ich steige da mal ein. Ich bin hier, weil Lukas und Marco gefragt hat,
0:04:53–0:04:58
was ich mitmachen möchte. Wie gesagt, ich bin Hendrik. Ich komme beruflich aus der IT-Sicherheit,
0:04:58–0:05:05
mache das jetzt auch schon ein paar Jahre. Und ja, das ist ja ein unheimlich komplexes Thema. Die
0:05:05–0:05:14
Definition von Lukas ist natürlich auch soweit richtig. Die klassische Definition, wenn wir über
0:05:14–0:05:20
IT-Sicherheit reden, ist eigentlich immer diese CIA-Triade. Naja, das heißt "Confidentiality,
0:05:20–0:05:25
Integrity, Availability", das ist Vertraulichkeit. Es dürfen nur Informationen an Leute herausgegeben
0:05:25–0:05:30
werden oder an Parteien herausgegeben werden, die dazu berechtigt sind. Vertraulichkeit. Dann
0:05:30–0:05:35
Integrität, das heißt Daten sollen nicht verändert werden, außer von Leuten, die dazu berechtigt
0:05:35–0:05:41
sind. Und Availability, das ist die Verfügbarkeit. Also ich möchte dann, wenn ich auf Daten zugreifen
0:05:41–0:05:45
muss und möchte und das auch so vorgesehen ist, dann sollen die auch da sein. Die sollen nicht
0:05:45–0:05:49
verschwunden sein. Ich soll jetzt nicht drei Stunden warten müssen oder gegebenenfalls noch
0:05:49–0:05:55
länger. Das ist so die Idee. Also die Idee ist, ich möchte sicherstellen, dass Daten, die benötigt
0:05:55–0:06:00
werden, von den Leuten, die berechtigt sind, auch benutzt werden können. Darum geht es in der IT-Sicherheit.
0:06:00–0:06:06
Nichts mehr, nichts weniger. Und daraus entsteht halt ein Riesenfeld an Komplexität. Was einmal die
0:06:06–0:06:11
IT-Sicherheit ist, das ist so der technische Bereich, der technische Aspekt mit "Ich sichere
0:06:11–0:06:17
meine Server ab, ich sorge dafür, dass Backups da sind und eingespielt werden können" und die ganze
0:06:17–0:06:23
Strategie drumherum. Wie plane ich das? Wie baue ich meine Architekturen? Wie baue ich Systeme? Wie
0:06:23–0:06:27
mache ich Personalplanung drumherum? Und auch vielleicht auch die Kommunikation dazu. Das ist
0:06:27–0:06:31
der große Bereich der Informationssicherheit. Informationssicherheit ohne IT-Sicherheit
0:06:31–0:06:37
funktioniert per se nicht. Es ist aber auch nur ein Baustein von der Informationssicherheit.
0:06:37–0:06:48
Genau. Und naja, jetzt ist die Frage, warum sollte man denn auf IT-Sicherheitkarte im Privaten,
0:06:48–0:06:55
warum sollte man darauf achten? Das ist wieder so ein "Komm drauf an"-Ding. Als Normalanwender muss
0:06:55–0:07:00
ich immer gucken, nervt mich das, habe ich da irgendwie Bock drauf. Meistens ist das lästig,
0:07:00–0:07:04
soll überall Passwörter eingeben, mir Passwörter merken, dann kommen irgendwie so Schlaumeier und
0:07:04–0:07:10
erzählen mir, ich soll hier 2-Faktor-Authentifizierung benutzen. Ich weiß gar nicht so richtig, was das
0:07:10–0:07:14
ist und dann muss ich mal mein Handy dabei haben und ein zweites Passwort irgendwo. Das kann ich mir
0:07:14–0:07:19
auch nicht merken. Per se muss ich mir aber darüber Gedanken machen, was will ich eigentlich schützen
0:07:19–0:07:23
und welches Problem möchte ich damit lösen, dass ich das ich IT-Sicherheit mache. Das ist ja kein
0:07:23–0:07:29
Selbstzweck, sondern ich möchte dafür sorgen, dass mir keinen Schaden entsteht. Das triviale
0:07:29–0:07:33
Beispiel, das gängige Beispiel ist halt das Online-Banking. Da soll jetzt niemand Geld von
0:07:33–0:07:38
meinem Konto verweisen können, dann muss ich mir Gedanken machen. Das geht aber noch weiter. Wir
0:07:38–0:07:43
haben ja nicht nur Online-Banking, wir haben Facebook, die meisten jetzt hier auf dem Kongress
0:07:43–0:07:49
wahrscheinlich nicht mehr oder auch noch nie gehabt. Wir haben unsere E-Mail-Accounts. Über unsere
0:07:49–0:07:54
E-Mail-Accounts haben wir, vermutlich die meisten von uns haben wir über einen E-Mail-Account ihr
0:07:54–0:07:59
komplettes digitales Leben organisiert. Das heißt, wenn man irgendwo ein Passwort
0:07:59–0:08:04
zurücksetzen möchte und jemand hat Zugriff auf meinen E-Mail-Account, dann kann er für jeden Account wo
0:08:04–0:08:07
anders über diesen E-Mail-Account das Passwort zurücksetzen. Das heißt, der ist mir irgendwie
0:08:07–0:08:15
wichtig, den muss ich sichern. Ich kann, ich habe vielleicht eine Dating-App irgendwo drauf. Da soll
0:08:15–0:08:21
jetzt niemand wissen, dass ich bestimmte Vorlieben habe. Das soll ich dann auch sichern, das ist
0:08:21–0:08:28
der Nutzen dabei. Insgesamt geht es halt darum, dass man versteht, welchen Zweck Privatsphäre an
0:08:28–0:08:36
in meinen Anwendungsfällen hat in meinem Alltag. Und das bringt sehr viel Komplexität mit sich,
0:08:36–0:08:42
wie zum Beispiel mit meinem Standard-E-Mail-Account, den viele Leute haben, dass der eigentlich so der
0:08:42–0:08:48
Ankerpunkt meiner kompletten Digitalidentität ist. Also es ist halt schwer abzusehen, was passiert,
0:08:48–0:08:54
wenn ich meine IT-Sicherheit nicht im Griff habe. Das eskaliert dann quasi direkt in die
0:08:54–0:08:57
Informationssicherheit, nicht in die IT-Sicherheit, weil meine Informationen nicht mehr sicher sind.
0:08:57–0:09:03
Du hast es ja gerade schon mit Kennwörtern angesprochen. Was wird sich denn da anbieten,
0:09:03–0:09:09
wenn man sagt, okay, starke Kennwörter haben ja gewisse Kriterien, je länger, desto besser,
0:09:09–0:09:14
mindestens acht Zeichen, acht bis zwölf Zeichen, rohes Kleinbuchstaben, Ziffern und Sonderzeichen
0:09:14–0:09:19
sollen dort enthalten sein und das Passwort selber sollte nicht irgendwo in einem Wörterbuch vorkommen,
0:09:19–0:09:24
geläufige Zahlenfolgen oder Tastaturmuster sollten auch nicht da sein. Wie soll man sich das alles
0:09:24–0:09:29
merken oder soll man sich das gar nicht merken? Und was ist da vielleicht die technische Anbindung,
0:09:29–0:09:32
die man dafür nehmen könnte? Ich gebe das mal Marco weiter, der guckt gerade so interessiert,
0:09:32–0:09:36
der wird da sicher auch was zu sagen haben. Ich kann vielleicht einmal kurz anbinden. Also ich
0:09:36–0:09:41
komme aus dem Bereich der beruflichen Bildung, habe also mit Jugendlichen und jungen Erwachsenen zu
0:09:41–0:09:46
tun, die genau diese Argumente, die du jetzt gerade angebracht hast, warum mache ich das eigentlich
0:09:46–0:09:50
alles? Ich habe doch Gmail, ich habe doch Google und für die verschlüsselte Kommunikation habe ich
0:09:50–0:09:59
doch Whatsapp. Das sind nicht mal falsche Argumente, ne? Eben und ich glaube auch nicht, dass sie den
0:09:59–0:10:03
Argumenten unzugänglich sind, aber die Hürde ist tatsächlich dann immer wieder so diese Praxis im
0:10:03–0:10:07
Alltag. Ich sehe jetzt hier auf dem Pad irgendwie auch gerade so, was die E-Mail-Verschlüsselung
0:10:07–0:10:12
angeht, was nehmen wir da jetzt an der Stelle oder eben auch die Passworter. Also wer benutzt einen
0:10:12–0:10:19
Passwortmanager? Außer er wird vielleicht dann durch Smartphones oder so vielleicht irgendwie
0:10:19–0:10:26
schon erzwungen oder durch eben auch Google Chrome, der dann auch meine Passwörter abspeichert. Soll
0:10:26–0:10:34
er das tun oder soll er das besser nicht tun? Und da wäre für mich eben, also was sind die starken
0:10:34–0:10:37
Argumente oder die, also Argumente nicht, also wie kann ich das quasi plastisch irgendwie
0:10:37–0:10:45
verargumentieren, dass es gut ist, weil es ist ja immer ein, es macht es kompliziert, es macht es
0:10:45–0:10:53
umständlich und ich muss immer diesen Goodwill haben, um IT-Sicherheit zu benutzen. Außer es wird
0:10:53–0:10:57
dann vielleicht wirklich erzwungen, wie zum Beispiel HTTPS und so. Da haben sich auch irgendwie alle
0:10:57–0:11:03
erst aufgeregt und dann war es auf einmal einfacher, da diese Zertifikat mit Encrypt zu erzeugen und
0:11:03–0:11:08
mittlerweile ist das eben gar nicht mehr so oder wurde bei Google irgendwie runtergerankt, wenn man
0:11:08–0:11:12
das nicht angeboten hatte oder sowas. Also es war immer irgendwie so ein Zwang, der dann dahinter
0:11:12–0:11:20
steckte, aber das macht man nicht so aus einem Selbstzweck. Aus Argumente hast du jetzt, hast du
0:11:20–0:11:26
ein plastisches Bild vielleicht oder was man transportieren könnte, außer so dieses, ja du
0:11:26–0:11:31
verschickst ja auch keine Postkarten, wenn man noch weiß, was das ist, wo persönliche Informationen
0:11:31–0:11:36
drauf stehen an vielleicht Menschen, die ihr öffentliches Leben ja auch auf Instagram oder
0:11:36–0:11:42
privates Leben ja auch auf Instagram gerne teilen. Ja, das ist mal aus der Kategorie "Es kommt drauf
0:11:42–0:11:46
an" und das ist auch ganz schwer zu vermitteln, damit die Leute nicht einsehen, dass sie was zu
0:11:46–0:11:50
verlieren haben oder dass es Probleme geben kann, weil sie das zum Beispiel noch nicht erlebt haben,
0:11:50–0:11:59
dann kannst du reden, so viel du willst. Entweder glauben dir das, weil du irgendwie als Botschafter
0:11:59–0:12:04
für die IT-Sicherheit glaubwürdig bist oder die glauben dir das nicht und die haben auch keine
0:12:04–0:12:11
schlechten Erfahrungen gemacht. Das ist, du wirst die da auch nicht ohne Weiteres erreichen. Du hast
0:12:11–0:12:18
gerade das Beispiel HTTPS gebracht. Da ist es so, dass Google und die Browser-Hersteller die
0:12:18–0:12:23
Kosten-Nutzen-Kalkulation verschoben haben, indem sie das aufgezwungen haben mehr oder weniger. Die
0:12:23–0:12:29
haben dafür gesorgt, dass Webseiten, die HTTPS anbieten, nicht mehr funktionieren oder das sind
0:12:29–0:12:35
nur danach, ich muss eine Bestätigung klicken und was diese ganzen Internetfirmen hassen, wie die
0:12:35–0:12:41
Pest ist zusätzlich ideologe, weil das drückt die Conversion-Rate nach unten und dann verkauft man weniger
0:12:41–0:12:47
und das ist richtig schmerzhaft und da ist dann auf einmal eine intrinsische Motivation da, in der
0:12:47–0:12:54
Security besser zu werden. Das ist bei Passwörtern, ist das ganz, ganz schwierig. Wir haben auch bei
0:12:54–0:13:01
uns in der Firma Password-Manager, wir haben das etabliert, wir sind dabei, also wir versuchen die
0:13:01–0:13:07
Nutzung durchzusetzen. Das kriegen wir aber nicht über Schreckgeschichten hin, sondern wir kriegen
0:13:07–0:13:13
das über bessere Kollaboration innerhalb der Teams hin, dass keine Excel-Sheets mehr geshared werden
0:13:13–0:13:19
mit Passwörtern, dass ich dafür sorgen kann, dass Zugriffe beschränkt werden. Das muss praktisch
0:13:19–0:13:23
einen Vorteil haben, sonst erreicht das einfach keinen Nutzer. Das muss man ehrlicherweise sagen.
0:13:23–0:13:29
Ich kann das in der Familie, die glauben mir, da bin ich als als Markenbotschafter IT-Sicherheit
0:13:29–0:13:34
glaubwürdig genug, dass die sagen, die nutzen einen Password-Manager, den bezahle ich aber.
0:13:34–0:13:39
Den bezahlen die nicht. Apple hat das auch gesehen und bietet jetzt einen Password-Manager auf iOS
0:13:39–0:13:47
und so weiter an, der auch ausgereift ist und in der Usability gut ist. Aber... Also sind diese
0:13:47–0:13:53
Kriterien mit, Achzeichen, Sonderzeichen oder ist das eigentlich eher unwichtig, weil das soll
0:13:53–0:13:59
entweder der Passmanager machen oder Pass-Keys und so das neue Ding, da ich gar keine Passwörter mehr
0:13:59–0:14:10
habe. Also das Problem bei Passwörtern ist, wenn man die wiederverwendet, da muss man muss man sich
0:14:10–0:14:16
Beispiele angucken, was schiefgehen kann. Denn auf einmal ist nicht nur mein Problem, dass mein
0:14:16–0:14:23
Passwort bekannt werden kann öffentlich, sondern unter Umständen gibt es einen Anbieter. Du bist
0:14:23–0:14:27
bei irgendeinem Onlineshop-Kunden, hast da dein Standard-Passwort und deine Standard-E-Mail-Adresse
0:14:27–0:14:32
eingegeben und die machen was falsch und speichern die Passwörter einfach so ab, damit sie nachher
0:14:32–0:14:38
vergleichen können, ob du dich wirklich anmeldest. Und dann werden die gehackt und dann wird dir eine
0:14:38–0:14:42
komplette Liste mit den Passwörtern rausgetragen. Was Angreifer dann machen, ist die nehmen deine
0:14:42–0:14:46
User-Daten, zum Beispiel eine E-Mail-Adresse und das Passwort und probieren die einfach überall
0:14:46–0:14:52
aus. Bevorzug erst mal bei deinem E-Mail-Account, weil das ja der Anker deiner digitalen Identität ist,
0:14:52–0:14:57
wenn du online bist. Sie werden das bei Ebay ausprobieren, bei Amazon, bei allen großen
0:14:57–0:15:03
Firmen, wo man standardmäßig irgendwelche Accounts hat. Das trifft jetzt nicht auf jeden zu,
0:15:03–0:15:08
der überall einen Account hat, aber die Trefferrate ist gut. Was dann im Anschluss passiert,
0:15:08–0:15:13
ist, dass die in diesem ominösen Darknet zum Verkauf angeboten werden oder vielleicht auch
0:15:13–0:15:17
einfach so hochgeladen werden, auf Pastebin oder irgendwelchen anderen Seiten. Das heißt,
0:15:17–0:15:20
in dem Moment ist deine Millionstar-Namen-Passwort-Kombination, die ist dein öffentliches
0:15:20–0:15:25
Datum, die ist dahin. Vielleicht das weißt du nicht, weil vielleicht nicht sofort was passiert und das
0:15:25–0:15:29
kann sein, dass dir erst im Jahr irgendwas passiert, was jemand gekauft hat oder brute-force-mäßig
0:15:29–0:15:35
irgendwo durchprobiert. Wie gesagt, das wirst du aber erst mitkriegen, wenn der Schaden passiert ist.
0:15:35–0:15:45
Was würdest du sagen, ab wann sollte man quasi so Sachen wie auf so Sachen wie Passwörter oder
0:15:45–0:15:50
so was achten? Ab wann sollte man so was Menschen beibringen? Schon irgendwie in der Grundschule,
0:15:50–0:15:55
natürlich dann didaktisch so runtergebrochen, dass sie das verstehen? Schwierig. Oder ab der
0:15:55–0:16:01
Allgemeinbildschule oder ab der Berufsbildenschule oder so? Im Endeffekt ab dem Zeitpunkt,
0:16:01–0:16:07
wo sie damit umgehen müssen. Wir fangen an, unseren Kindern Verkehrsregeln zu erklären,
0:16:07–0:16:10
in dem Moment, wo sie das erst mal selbstständig auf der Straße an der Hand laufen. Sagen,
0:16:10–0:16:14
bleiben wir am Rand stehen, sagen, guck links, guck rechts. Im Endeffekt ist das der Zeitpunkt,
0:16:14–0:16:19
wo wir anfangen müssen, unsere Kinder zu beziehen. Im Straßenverkehr haben wir aber eine sehr reale
0:16:19–0:16:24
Gefahr, weil jeder kann sich ungefähr vorstellen, was passiert, wenn man mit 70-80 Kilo von zwei Tonnen
0:16:24–0:16:29
Stahl getroffen wird. Und bei solchen Sachen hat man dann eher eine abstrakte Gefahr? Das ist eine
0:16:29–0:16:35
sehr abstrakte Gefahr, die nicht greifbar ist. Denn viele Leute sagen so, fürs Online-Banking,
0:16:35–0:16:39
da habe ich ja noch den Tannen-Generator. Was soll denn da passieren? Und da haben die auch recht.
0:16:39–0:16:45
Das bringt dich nicht um, in der Regel. Und die meisten Leute, das Schlimmste, was denen passiert
0:16:45–0:16:51
ist, der Amazon-Account wird aufgemacht und es werden Sachen bestellt. Amazon erstattet das,
0:16:51–0:16:55
es ist eine Bekannte von uns passiert. Die hat nicht mal Anzeige erstattet, weil eigentlich ist
0:16:55–0:17:03
ja nix passiert. Hat aber ein Passwort, was ein Werbeslogan von der Firma war vor ein paar Jahren.
0:17:03–0:17:09
So. Ergebnis ist, die hat sich da jetzt auch keine großen Gedanken darüber gemacht, hat aber jetzt
0:17:09–0:17:14
verstanden, dass das irgendwie unangenehm war, weil das drei Tage Arbeit war, Amazon und so zu
0:17:14–0:17:17
hinterher zu telefonieren, um den Schaden zu begrenzen. Aber wie gesagt, die hat nicht mal
0:17:17–0:17:23
Strafanzeige erstattet, weil wofür? Macht für sie ja keinen Sinn. Amazon hat das so erstattet,
0:17:23–0:17:29
ihr Gmail-Account war offen. War jetzt ein bisschen doof, aber ist jetzt eine Anekdote für sie.
0:17:29–0:17:36
Ja, also ich habe das bei mir, ich habe das in der Abwägung gemacht bei der Kreditkarte beispielsweise,
0:17:36–0:17:39
da habe ich explizit meiner Bank gesagt, ich möchte gerne eine Prepaid-Kreditkarte,
0:17:39–0:17:44
die ich vorher aufladen muss, um eben eine Schadensbegrenzung zum Beispiel zu machen.
0:17:44–0:17:48
Also die kann auch gar nicht belastet werden, wenn die nicht aufgeladen ist. Heißt also,
0:17:48–0:17:53
solche Buchen würden dann gar nicht erst so schön gehen. Wäre ja auch eine Möglichkeit.
0:17:53–0:17:57
Ja, die Kreditkartenfirmen und die Banken sind natürlich sehr hinterher, was die IT-Sicherheit
0:17:57–0:18:02
angeht. Ob das immer zielführend ist in allem, was sie tun, das ist eine völlig andere Diskussion.
0:18:02–0:18:10
Aber die haben Multifaktor-Authentifizierung, in dem wir zum Beispiel, wir haben unsere Bank
0:18:10–0:18:14
irgendeine ID, ein Passwort und in der Regel müssen alle Transaktionen nochmal durch ein
0:18:14–0:18:19
TAN-Verfahren oder sowas genehmigt werden oder durch eine Push-Notification wird es bestätigt. Auch
0:18:19–0:18:23
hier kann man jetzt darüber diskutieren, wie sinnvoll es ist oder wie wenig sinnvoll das ist,
0:18:23–0:18:28
aber es gibt zumindest mehrere Stufen und da sehen die Leute das auch ein. Denn Geld und sowas
0:18:28–0:18:32
verstehen sie natürlich als Problem. Aber auch da, wie das Beispiel mit der Prepaid-Kreditkarte,
0:18:32–0:18:37
ist es auch total sinnvoll, weitere Maßnahmen zu treffen, um Schaden zu begrenzen, indem ich zum
0:18:37–0:18:42
Beispiel Auslandsüberweisungen auf einen bestimmten Betrag limitiere oder mein Tageslimit an Überweisungen
0:18:42–0:18:48
limitiere. Das ist auch dann alles eine Erwägung, die man treffen muss. Marco hatte das gerade
0:18:48–0:18:53
angesprochen mit der E-Mail-Verschüsselung. Da habe ich mich an so eine Situation in der Ausbildung
0:18:53–0:19:03
erinnert. Unser Lehrer hat uns in mehreren Stunden zunächst das Prinzip von Verschüsselung
0:19:03–0:19:11
erklärt und dann haben wir OpenBGP-Schlüssel für unsere Schuladressen generiert. Und am Ende ist
0:19:11–0:19:17
dann für unsere ganze Klasse so ein Schlüsselbund angelegt worden, mit dem dann jeder quasi jedem
0:19:17–0:19:23
verschlüsselt schreiben konnte. Und ich weiß ehrlicherweise nicht, ob wenn das der Lehrer
0:19:23–0:19:28
damals nicht gemacht hätte, ob wir das überhaupt dann, ob ich mich damit privat so auseinander
0:19:28–0:19:34
gesetzt hätte und das für alle meine Sachen... PGP ist ein schönes Beispiel insofern, weil ich
0:19:34–0:19:41
keine Ahnung, wie alt das Projekt schon ist. Also es ist ja, glaube ich, schon in Dekaden so. Und
0:19:41–0:19:47
es hat sich bisher nicht durchgesetzt. So irgendwie weder, sage ich mal, konzeptionell noch so von den
0:19:47–0:19:54
Tool-Anbindungen, noch so von der Usability irgendwie. Da gab es viele Versuche in ganz
0:19:54–0:19:58
vielen unterschiedlichen Richtungen. Jetzt eben, hattest du es ja auch gesagt, auch auf der didaktischen
0:19:58–0:20:03
Ebene probiert man sowas natürlich. Jetzt ist die Frage, nutzt du das jetzt aktiv im Alltag in
0:20:03–0:20:10
irgendeiner Form? Ja, tatsächlich. Tatsächlich? PGP? Ja, also ich habe, als ich mich zu meinem
0:20:10–0:20:16
aktuellen Arbeitgeber beworben habe in der Bewerbung, stand im Lebenslauf mein extra
0:20:16–0:20:24
Alias für die Bewerbung drin mit einer Fußnote unten, wo dann der Open PGP Fingerprint abgebildet
0:20:24–0:20:32
war und im Link quasi, wo man die Datei quasi, die ASC-Datei herunterladen konnte und dann
0:20:32–0:20:41
verifizieren hätte können, dass das halt wirklich von mir ist. War jetzt über einen Portal quasi,
0:20:41–0:20:45
wo ich die eingereicht habe, aber wenn sie dann mit mir danach hätten schreiben müssen oder sowas,
0:20:45–0:20:51
hätten sie das auch verschlüsselt machen können. "Hätten" heißt, okay. Die Infrastruktur war nicht
0:20:51–0:20:59
da. Okay, ja. Aber ja, ich habe das Konzept für alle Sachen, die ich so habe, irgendwo bei einem
0:20:59–0:21:03
Bestelldienst oder was, Elektronikbestelldienst oder so, habe ich dann immer eine eigenen Mail-Alias
0:21:03–0:21:10
und da habe ich tatsächlich dann auch immer direkt mit einem Open PGP Key quasi immer mit dabei. Ja.
0:21:10–0:21:16
Heißt, ich könnte immer, wenn ich wollte und wenn die Gegenstelle das quasi auch die Möglichkeit hat,
0:21:16–0:21:25
nutzen. Der BFDI hat das ja für alle ihr seine Mail-Adressen. Referat so und so @bfdi.grund.de. Für
0:21:25–0:21:32
alle die gibt es jetzt tatsächlich PGP-Dateien komplett. Das ist manchmal bei den Behörden auch
0:21:32–0:21:37
ein bisschen traurig, weil die Schlüsse sind nicht immer gepflegt. Beim BFDI aber tatsächlich
0:21:37–0:21:42
sind die da hinterher, dass das gepflegt wird. Es gibt Bundesämter, die tun das nicht konsequent und
0:21:42–0:21:49
nachhaltig. Generell ist aber dieses Thema E-Mail-Verschlüsselung, das ist von Nerd für Nerd.
0:21:49–0:21:54
Das sieht man, also sag mal in the wild, siehst du das nicht mehr. Wir haben leider das Thema
0:21:54–0:22:00
Passwortmanager relativ kurz behandelt. Ja. Genau, also wenn es um persönliche Sicherheit geht,
0:22:00–0:22:05
ich glaube, das ist so einer der niederschwerlichsten und besten Empfehlungen, die man machen kann,
0:22:05–0:22:13
ist dieses Verrennen von Passwortmanagern, die einfach auch im Mobilgerät und im Browser
0:22:13–0:22:18
installiert sind. Da kriegen jetzt viele auch ein Kontextkongress, ein bisschen Plug. Aber auch das
0:22:18–0:22:23
ist wieder so eine Interessen- und Zielabwägung, die man da treffen muss. Weißt du, hat Android
0:22:23–0:22:29
da was out of the box? Ich kenne das jetzt nur für iOS, dass es da diesen Passwort irgendwie gibt.
0:22:29–0:22:33
Genau, das hat Apple aber dediziert gemacht und auch erst mit der letzten Version released. Es
0:22:33–0:22:39
gibt kommerzielle Varianten, es gibt Open-Source-Varianten. Die kommerziellen Varianten
0:22:39–0:22:43
zeichnen sich in der Regel dadurch aus, dass sie synchronisieren über mehrere Geräte hinweg,
0:22:43–0:22:49
ohne dass man selber was machen muss. Ich habe da Meinung zu verschiedenen Anmietern,
0:22:49–0:22:55
werde ich jetzt hier nicht äußern. Aber auch da gibt es, wenn man gucken möchte, gibt es welche,
0:22:55–0:23:01
die sind für ein Individuell, die funktionieren im Familienkontext oder im Gruppenkontext,
0:23:01–0:23:05
wenn man das teilen muss und möchte. Da gibt es ganz verschiedene Anmeldungsfelder. Was könnte
0:23:05–0:23:10
ich denn jetzt jemandem empfehlen, der sagt, ich kenne mich nicht mit IT aus, aber ich würde gerne
0:23:10–0:23:16
was machen, installiere den Passwort-Manager. Aber würde man jetzt achten bei der Auswahl des
0:23:16–0:23:26
Managers? Kann man sagen, bezahlt ist besser als kostenlos? Es hängt davon ab und es kommt drauf an.
0:23:26–0:23:31
Das ist ja auch ganz schwierig zu beantworten. Das ist ja eine individuelle Erwägung. Nein,
0:23:31–0:23:35
man muss natürlich gucken, möchte man das für eine Familie benutzen, für eine Gruppe, möchte
0:23:35–0:23:41
man das für sich alleine benutzen? Für Oma und Opa oder Mama und Papa, die sollen das ja benutzen.
0:23:41–0:23:45
Die sollen das benutzen, genau. Da musst du halt gucken, dass die Dinge eine gute Usability haben.
0:23:45–0:23:50
Das ist jetzt keine völlig absurde Empfehlung, zu sagen, Leute solltet ihr ein iPhone kaufen,
0:23:50–0:23:56
weil es wird gepatcht, das ist einigermaßen up to date, ist aber eine Budgetfrage. Kannst
0:23:56–0:23:59
natürlich auch deine abgelegten Geräte runtergehen, aber wir sind hier immer dabei,
0:23:59–0:24:03
dass es ein Geldbild ist. Wenn du es dir leisten kannst, eine kommerzielle Variante von irgendwas
0:24:03–0:24:09
zu kaufen, guck, dass du mit der Usability klarkommst. Guck vielleicht in den Wikipedia-Artikel,
0:24:09–0:24:13
ob die Sicherheitslücken hatten in der Vergangenheit, wie die damit umgegangen sind
0:24:13–0:24:20
vor allem, wie Sicherheitsprobleme passieren. Das lässt sich natürlich vermeiden, aber wie
0:24:20–0:24:25
sind die damit umgegangen, haben die das gefixt? Was für mich eine total rote Flagge ist, ist,
0:24:25–0:24:31
dass es verschiedene, dass es eine Vielzahl an Eigentümerwechseln gab über die letzten Jahre zum
0:24:31–0:24:39
Beispiel. Da du da anfängst, Interessen durcheinander zu werfen. Aber es gibt jetzt
0:24:39–0:24:46
nicht das Hütesiegel-Stiftung, Passwortmanager-Tests, die 20 Passwortmanager getestet hat und zu einem
0:24:46–0:24:50
Ergebnis kommt, vielleicht auch, weiß nicht, vom BSI der Grundschutz oder so was hier.
0:24:50–0:24:57
Die machen leider keine Produktempfehlung. Schade. Privat würde ich dir eine machen,
0:24:57–0:25:03
aber nicht aufgezeichnet. Ich habe da Meinungen zu. Tatsächlich ist es aber,
0:25:03–0:25:13
googeln hilft. Wenn man technisch versiert ist, es gibt Anbieter, die haben Whitepaper dazu,
0:25:13–0:25:18
warum sie ihre Lösung wie implementiert haben, welche Angriffsmodelle sie haben. Aber das ist
0:25:18–0:25:25
natürlich für 99,9% der Bevölkerung, ist das erweiterte Esoterik von Nords für Nords. Selbst
0:25:25–0:25:29
da noch mal für eine spezielle Geschmackrichtung. Zumal es kann ja wirklich auch sein, du sagst das
0:25:29–0:25:33
ja gerade, eventuell hast du ja Sachen, wo du mit dem Team das zahlen möchtest. Da wäre dann ja
0:25:33–0:25:41
irgendeine Art Server-Lösung möglich, notwendig oder so. Wenn ich das jetzt privat so nutze oder
0:25:41–0:25:45
so was, reicht vielleicht auch nur einfach eine Datei von den Passwortmanager, dass es halt
0:25:45–0:25:50
dateibasiert ist mit einem Passwort und einem zweiten Faktor oder so. Würde mir ja erst mal
0:25:50–0:25:54
reichen, wenn es auf dem einen Gerät ist, wobei ich weiß auch nicht, wenn man es dann verliert,
0:25:54–0:26:01
auch nicht so gut. Vielleicht. Genau. Tatsächlich, es klingt immer so albern. Früher haben wir über
0:26:01–0:26:09
so was gelacht. Wenn Mutti oder Opa es nicht dazu zu kriegen sind, irgendeine Software zu benutzen,
0:26:09–0:26:14
was ja nachvollziehbar ist, dann sollen die sich das aufschreiben. In ein kleines schwarzes Büchlein,
0:26:14–0:26:18
was sie am Schreibtisch liegen haben. Früher haben wir gesagt, Passwörter nicht aufschreiben. Aber
0:26:18–0:26:24
für Opa oder Oma zu Hause ist das Bedrohungsmodell halt nicht, dass irgendjemand an dem Schreibtisch
0:26:24–0:26:29
vorbeiläuft und in ihrem Passwortbüchlein blättert, sondern für die ist tatsächlich das
0:26:29–0:26:34
Problem, dass sie, weil die 1, 2, 3 als Passwort haben und dadurch dann halt ihre Accounts gehackt
0:26:34–0:26:39
werden und damit sind die halt auch schlimm überfordert in der Regel. Nachvollziehbarer Weise. Also,
0:26:39–0:26:45
wenn nichts anderes geht, schreibt die die Dinge auf. Aber das ist doch ein guter, konkreter Tipp. Das finde ich tatsächlich ein guter konkreter Tipp.
0:26:45–0:26:51
Und sagt dafür, also 8 Zeichen ist in der Regel zu wenig, mehr Zeichen sind besser. Es gibt diese
0:26:51–0:27:00
Empfehlungen mit den Merk-Sätzen und dabei wirklich dann gucken, dass man verschiedene Passwörter für
0:27:00–0:27:08
unterschiedliche Seiten hat. Tatsächlich gibt es mobilsicher.de, kennen vielleicht einige das
0:27:08–0:27:13
Verbraucherschutzportal, was jetzt mittlerweile eingestellt wurde leider. Das BSI hat auch eine
0:27:13–0:27:19
ähnliche Webseite. BSI für Bürger ist das. Genau und mobilsicher hat tatsächlich den einen oder
0:27:19–0:27:25
anderen Passwortbüchlein vorgestellt kurz und vor allem nicht groß technisch, sondern wirklich,
0:27:25–0:27:30
dass es auch jemand, der jetzt nicht so groß in der Technik ist, das nachvollziehen kann. Das können wir
0:27:30–0:27:36
die schauen aus auf jeden Fall. Da steckt eine Behörde hinter oder? Ne, das ist ein eingetragener
0:27:36–0:27:42
Verein. Das ist das Institut für Technik und Journalismus ist das. Und die werden vom Ministerium
0:27:42–0:27:52
für Umwelt, Naturschutz, Nuklearer Sicherheit und Verbraucherschutz gefördert. Okay, genau. Die
0:27:52–0:27:57
machen das jetzt mehrere Jahre und die werden halt von dem Verbraucherschutzteil quasi gefördert.
0:27:57–0:28:06
Und machen da verschiedenste Sachen, App-Checks und so. Und das ist tatsächlich sehr einfach, was du gerade
0:28:06–0:28:16
sprachst, nach einer Übersicht quasi. Ja, genau. Wie stehst du zum Thema Virenschutzprogramm? Das
0:28:16–0:28:22
ist ja immer so ein Punkt für oder wieder. Soll man eins installieren? Ja oder nein? Aus Ausbildung
0:28:22–0:28:28
kenne ich, unser Lehrer für Erziehungssicherheit quasi, den wir da hatten, der sagte, Defender,
0:28:28–0:28:41
Mindestdefender reicht. Heiße Eisner, du lässt heute nichts aus. Da kann ich jetzt auch nur verlieren,
0:28:41–0:28:50
also springe ich mit beiden Füßen rein. Es kommt natürlich drauf an, wenn du eine Behörde bist,
0:28:50–0:28:55
eine große Organisation, willst du einen Virenschutz haben, weil aus Compliancegründen
0:28:55–0:29:00
brauchst du das. Das ist keine richtig gute Begründung technisch, aber aus Compliancegründen
0:29:00–0:29:07
brauchst du den. Du hast damit zu tun, dass du eine Vielzahl von Anwendern hast, die nicht besonders
0:29:07–0:29:11
versiert sind, die auf viele Sachen klicken. Virenschutz schützt dich nur vor bekannten Sachen.
0:29:11–0:29:21
Es ist eine zusätzliche Software, die läuft, die damit auch wieder unter Umständen angreifbar ist.
0:29:21–0:29:26
Also man wird gleichzeitig verwundbarer. Andererseits schützt man sich vor Problemen,
0:29:26–0:29:33
die schon in der Welt sind und kann vielleicht verhindern, dass man damit drauf muss. In der
0:29:33–0:29:41
Regel ist es so, das ist ein Benefit, aber es ist nicht diese berühmte Silver Bullet. Das ist nicht
0:29:41–0:29:47
der heilige Gral in der IT-Sicherheit. Der löst nicht alle deine Probleme, der wird nicht jeden
0:29:47–0:29:53
Virus für immer abhalten, sondern es ist ein Baustein. Ob das ein guter Baustein ist,
0:29:53–0:29:59
das kommt immer so ein bisschen drauf an. Aber als Normalanwender willst du halt eine
0:29:59–0:30:05
Anti-Viren-Lösung haben in der Regel, gerade auf einer Plattform wie Windows, die halt den
0:30:05–0:30:16
meisten Angriffen ausgesetzt ist. Die Linus-Anwender kommen wahrscheinlich ohne aus. Im Konzern wirst
0:30:16–0:30:21
du dann eine Anti-Viren-Lösung drauf haben. Auch im Apple-Konzern? Weißt du das? Das weiß
0:30:21–0:30:27
ich nicht. Aber die werden gleich compliance-richtig unterlegen werden auch. Ob du jetzt privat eine
0:30:27–0:30:30
Anti-Viren-Lösung auf dem Mac installierst, weiß ich nicht. Es liegt auch immer so ein bisschen
0:30:30–0:30:35
daran, was machst du eigentlich die ganze Zeit im Internet? Wo man sagen muss, also Angriffe auf
0:30:35–0:30:42
Linux oder Mac sind ja nicht null, aber sie sind im Verhältnis zu den Angriffen auf Windows
0:30:42–0:30:52
pro-personal viel, viel weniger. Ja und nein. Im Desktop-Bereich. Genau. Weil es einfach viel,
0:30:52–0:30:59
viel weniger Linus-Anwender auf dem Desktop gibt. Ja. Leider. Muss das so sehen, wenn es viel mehr
0:30:59–0:31:04
Bedienungs-Anwender auf dem Desktop gäbe, gäbe es da auch mehr Angriffe. Und dann wären wir nicht mehr
0:31:04–0:31:09
in unserer bequemen Situation, wo wir hier großkotzig sitzen können und sagen können,
0:31:09–0:31:15
du dumm Windows-Anwender mit dem Behäbschutz-Programm. Ja. Da wäre unsere Welt anders.
0:31:15–0:31:23
Sicherlich. Aber ich glaube, hier auf dem Kongress ist es jetzt eher so, hörst du für
0:31:23–0:31:29
alles jeden irgendwie. Du hast irgendein Problem. Du hast auf jeden vermutlich jemanden, der dir das
0:31:29–0:31:36
Problem beheben kann. Ja. Und naja, so könnte ich mir das auch vorstellen bei einer Distro. Da
0:31:36–0:31:41
hast du dann irgendjemanden, einen Geek, der dann quasi in der Distro da irgendwie mitwirkt
0:31:41–0:31:48
oder sowas und dann vielleicht auch da Hilfestellung gibt, Dokumentationen macht. Ja, nein. Also
0:31:48–0:31:54
funktioniert das nicht. Gerade Dokumentationen, da muss die da sein, da muss jemand schreiben und da
0:31:54–0:32:00
muss die jemand lesen und dann auch verstehen und anwenden. Dadurch wird das halt sehr, sehr viel
0:32:00–0:32:05
komplexer. Und du bist jetzt in der Lage, komplexe Probleme und Fragestellungen im IT-Bereich zu
0:32:05–0:32:12
verstehen. Das ist aber für alle Leute außerhalb von dem Gebäude wird das wesentlich schwieriger.
0:32:12–0:32:19
Wie willst du, ich würde jetzt in den nächsten Blog quasi gehen. Gerne. Und zwar zum Thema Umgang,
0:32:19–0:32:26
Shard Software, Ransomware, was ist da so, was kann man präventiv tun? Was sollte man tun,
0:32:26–0:32:31
wenn es dazu kommt, man hat eine Ransomware auf seinem Rechner und was wäre so quasi das,
0:32:31–0:32:38
was man, was die lesson learned daraus ist? Vielleicht was man, gibt es da was, wo du sagen
0:32:38–0:32:47
würdest, das könnte man tun? Als Individuum oder als? Ich würde erst mal sagen als Individuum.
0:32:47–0:32:56
Also gibt es, die meisten Angreifer machen sich für dich als normaler Nenne nicht viel Mühe in der
0:32:56–0:33:02
Regel. Das heißt, die versuchen Standardprobleme und Standardlücken auszunutzen, die schon länger
0:33:02–0:33:08
bekannt sind. Das heißt, das einfachste, was du machen kannst, ist regelmäßig eine Software-Update.
0:33:08–0:33:15
Und sobald sie da sind. Vermutlich auch Betriebssystem-Updates oder nicht? Würde jetzt
0:33:15–0:33:21
für mich unter Software fallen, ja. Aber auch da wieder, das ist irgendwie lästig. Das erfordert,
0:33:21–0:33:27
dass ich mein Gerät irgendwie neu starten muss. Das ist doof. Und deswegen haben ja zum Beispiel
0:33:27–0:33:32
Hersteller wie Google und Apple angefangen, neue Emojis in die Betriebssystem und Sicherheits-Updates
0:33:32–0:33:39
mit reinzupacken, damit die - kannst du mal den Release ausgucken - damit die User eine Incentive
0:33:39–0:33:43
haben, ihre Software zu aktualisieren. Und sie machen auch dann irgendwann ein Zwangs-Update. Nach
0:33:43–0:33:47
sieben, vierzehn oder was weiß ich viele Tagen wird das dann automatisch installiert und neu
0:33:47–0:33:52
gestartet. Allein, um das durchzusetzen. Sonst würden die Leute nie die Updates machen. Die
0:33:52–0:33:57
Standardempfehlung darüber hinaus ist, man sollte seine Dateien irgendwo sichern, dass man die
0:33:57–0:34:04
wieder herstellen kann. Dann muss man gucken, als Normalanwender, wenn man eine Ransomware hat,
0:34:04–0:34:08
dann sind erstmal die Dateien verschlüsselt. Wenn das Backup mitverschlüsselt ist, ist es
0:34:08–0:34:13
natürlich sehr, sehr bitter. Vor allem nicht nur die Backups anlegen, sondern auch regelmäßig
0:34:13–0:34:17
prüfen, ob man im Falle des Falles das zurückspielen kann. Ja, ich meine, das ist für die meisten
0:34:17–0:34:21
Anwender ist ihr Backup. Sie schieben das irgendwie aufs Google Drive oder nach Dropbox oder ähnliches.
0:34:21–0:34:29
Dedizierte Backup-Software sieht man im privaten Bereich sehr, sehr selten. Das wissen aber auch
0:34:29–0:34:34
die Angreifer beispielsweise und gucken dann, dass sie die Daten löschen können. Da hat natürlich
0:34:34–0:34:41
dann, wenn da eine Versionshistorie drauf ist, hat Dropbox, glaube ich, standardmäßig, kann man da
0:34:41–0:34:44
gucken, dass man Sachen, da kann ich auch falsch liegen, da lasse ich mich gerne korrigieren. Ich
0:34:44–0:34:48
meine, Dropbox hatte das mal, dass man Dateien wiederherstellen konnte, die man gelöscht hatte.
0:34:48–0:34:57
Das wäre natürlich eine Lösung am Ende. Also bei SharePoint weiß ich, dass das geht. 90 Tage,
0:34:57–0:35:02
glaube ich, sind das quasi. Ja, die haben den Papierkorb und auch den endgültigen Papierkorb.
0:35:02–0:35:08
Da kann man dann noch mal später etwas rekonstruieren, was schon mal gelöscht oder
0:35:08–0:35:12
nach dem Papierkorb lehren, landet das dann im endgültigen Papierkorb. Ich habe das, als ich
0:35:12–0:35:19
damals in der Ausbildung war, nachdem wir quasi fertig waren, bevor der Abschluss und alles war,
0:35:19–0:35:26
habe ich das SharePoint noch komplett leergezogen. Ja, das ist jetzt aber dann, da bist du schon
0:35:26–0:35:30
wieder im Enterprise-Bereich in der Regel oder im Unternehmen. Und auch im Desktop-Bereich. Also
0:35:30–0:35:33
bei Smartphones sieht Backup ja, glaube ich, noch mal komplexer aus. Genau, da kannst du natürlich,
0:35:33–0:35:38
Apple bietet dir die Backup-Lösung an, Google mittlerweile auch. Dann hast du verschiedene
0:35:38–0:35:42
Anwendungen, die bieten ihre Backups an. Das ist dann WhatsApp und so weiter. Die haben eigene
0:35:42–0:35:48
Backup-Lösungen. Da ist es ja auch ein bisschen besser geworden, wenn man nur Mobilgeräte hat,
0:35:48–0:35:53
weil da noch mal ganz andere Berechtigungskonzepte greifen als auf dem Desktop. Du bist halt in der
0:35:53–0:35:57
Regel nicht der Admin. Anwendungen laufen mit unterschiedlichen Berechtigungen, können sich
0:35:57–0:36:05
nicht gegenseitig die Speicherbereiche und den Speicher auf den Geräten vollschreiben oder
0:36:05–0:36:08
löschen. Das ist dann schon ein bisschen komplexer. Da brauchst du dann auch andere,
0:36:08–0:36:12
andere Arten von Sicherheitslöten. Aber auch das ist ja wieder aus der Kategorie, das ist jetzt
0:36:12–0:36:18
nichts, was irgendwer in die Welt gemacht hat. Sondern das ist halt von oben aufgezwungen worden,
0:36:18–0:36:23
dadurch, dass halt iOS und Android bestimmte Implementierungsphilosophien verfolgt haben.
0:36:23–0:36:28
Das ist halt, das ist uns passiert. Da haben wir nichts aktiv für getan als Anwender.
0:36:28–0:36:35
Ja, danke. Ich würde jetzt gucken, dass wir vielleicht sogar in den großen Block quasi
0:36:35–0:36:47
springen. Denn IT-Sicherheit und kritische Infrastruktur, also Kritis, ist etwas,
0:36:47–0:36:53
was quasi allgegenwärtig ist. Es werden zum Beispiel das Energieversorger angegriffen,
0:36:53–0:36:59
und naja, die gehören zur Kritis. Und da ist IT-Sicherheit besonders wichtig, nicht?
0:36:59–0:37:04
Also ich fange mal vorab damit an, ich komme nicht aus dem Kritis-Bereich. Ich bin da
0:37:04–0:37:13
interessierter Laie. Und Kritis generell ist es halt das, was für viele Leute das tägliche Leben
0:37:13–0:37:16
einflößt. Das sind die Wasserversorger, das sind die Stromversorger, aber das kann auch ein
0:37:16–0:37:21
Zentrallager vom Supermarkt sein, weil da auch eine bestimmte Grenze von Personen dranhängt,
0:37:21–0:37:26
die da ernährt werden. Und da muss halt dafür gesorgt werden, dass deren Systeme funktionieren.
0:37:26–0:37:29
Das bezieht sich nicht nur auf die IT-Informationssicherheit, sondern natürlich
0:37:29–0:37:36
auf die allgemeine Verfügbarkeit von Denkungsleistung. Ich würde daran anknüpfen, naja, wie würde denn
0:37:36–0:37:41
Wikipedia kritische Infrastruktur beschreiben? Wenn man kritische Kritis sucht oder kritische
0:37:41–0:37:46
Infrastruktur, dann heißt es auf der Seite, Zitat, "Kritische Infrastrukturen, Kritis,
0:37:46–0:37:49
sind Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen,
0:37:49–0:37:54
bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe,
0:37:54–0:37:58
erhebliche Störungen der öffentlichen Sicherheit oder anderer dramatischer Folgen eintreten." Und
0:37:58–0:38:04
das ist genau das, was du sagst. Genau. Wenn da irgendwie ein Lager von... Nimmst du eine große
0:38:04–0:38:10
Supermarktkette und dann stell dir vor, nächste Woche sind die Regale leer. Wenn das nur eine
0:38:10–0:38:14
Supermarktkette betrifft, ist das sehr ärgerlich und ein bisschen unangenehm. Wenn das jetzt zwei
0:38:14–0:38:21
Dreier betrifft, dann fangen wir an, LKWs mit Lebensmittel in die Stadt zu schicken. Vermutlich.
0:38:21–0:38:32
Genau. In dem Kontext wichtig jetzt tatsächlich ist die NIS II Richtlinie. Der offizielle Name
0:38:32–0:38:43
ist ein über zwei Zeilen gehender Name quasi, aber es ist die Richtlinie 40222555. Und die ist
0:38:43–0:38:51
tatsächlich wichtig, denn das betrifft 30.000 deutsche Institutionen und Unternehmen. Ja, das
0:38:51–0:38:56
geht ja weit überall kritisch dann hinaus. Es betrifft auch Firmen, die einen bestimmten
0:38:56–0:39:02
Anzahl von Nutzern haben, Marktplätze wie kleinanzeigen.de. Ist immer schön, wenn man andere
0:39:02–0:39:08
Leute mit reinreißen kann, da ist das Wichtigste. Kleinanzeigen, eBay und solche Konzerne betrifft
0:39:08–0:39:11
das automatisch auch, obwohl das eigentlich keine kritische Infrastruktur ist und niemand stirbt,
0:39:11–0:39:15
wenn die eine Woche nicht verfügbar sind. Genau. Aber sie sind halt Teil des öffentlichen Lebens.
0:39:15–0:39:21
Genau. Und diese Richtlinie hätte in diesem Jahr in nationales Recht umgesetzt werden müssen,
0:39:21–0:39:28
denn im Dezember 2022, am 14. Dezember, ist die beschlossen worden und man hätte bis zum
0:39:28–0:39:33
18. Oktober diesen Jahres es in nationales Recht umsetzen müssen. Ja, hätte man. Also auch in
0:39:33–0:39:40
Deutschland. Und dazu kommen wir jetzt. Nämlich in Deutschland hat man die Umsetzungsfrist nicht
0:39:40–0:39:48
einhalten können. Ab was? Oh, Wunder. Genau. Es war geplant, die Umsetzung im Ende des ersten
0:39:48–0:39:58
Quartals 2025 auf den Weg zu bringen quasi, dass das dann auch gesetzt wird. Naja, es ist weder der
0:39:58–0:40:06
Zeitplan für die Rechtsverordnung noch zu dem Umsetzungsgesetz quasi ist unklar, auch wegen
0:40:06–0:40:11
dem Diskriminitätsprinzip. Ich weiß nicht. Sagt dir das was? Das sagt mir was. Und zwar kann jetzt der
0:40:11–0:40:16
existierende Bundestag keine Gesetzesvorlagen behalten für den kommenden Bundestag. Das heißt,
0:40:16–0:40:21
alles, was an Gesetzesvorlagen und ähnlichem da ist, das ist tot. Genau. Bis auf ein paar Ausnahmen.
0:40:21–0:40:25
Der Petitionsausschuss ist beispielsweise eine Ausnahme. Das geht über Legislaturen unter Umständen
0:40:25–0:40:32
rüber hinweg. Aber man hat das jetzt angefangen. Darauf komme ich gleich nochmal. Naja, das wird
0:40:32–0:40:36
jetzt verworfen, weil der Bundestag wird vorgezogen. Und das heißt, man müsste das komplett neu
0:40:36–0:40:42
aufrollen. Warum das spannend wird, sehen wir gleich. Denn erst einmal ein Einschub. Am 23. Februar
0:40:42–0:40:49
sind Bundestagswahlen. Wählen gehen ist wichtig. Das ist in einem Rechtsstaat möglich. Und wenn
0:40:49–0:40:56
ihr die Möglichkeit habt, im Wahllokal oder per Briefwahl zu wählen. Genau, das wollte ich nur
0:40:56–0:41:01
einmal einschieben in dem Zusammenhang noch. Und jetzt kommen wir zum Ablauf, wie das quasi hier in
0:41:01–0:41:07
Deutschland gelaufen ist. Konkret. Ich würde gerne noch einschieben, wir sind jetzt inhaltlich
0:41:07–0:41:11
komplett weg vom privaten Normalanwender. Wir sind jetzt hier im Bereich, was Industrie,
0:41:11–0:41:20
Konzerne und die Wirtschaft betrifft. Genau. Guter Einwand. Jetzt zum konkreten Ablauf in
0:41:20–0:41:29
Deutschland. Also im Dezember 2022 hat der Rat das beschlossen auf EU-Ebene und im Mitte letzten
0:41:29–0:41:36
Jahres im Juni 2023 gab es einen Referentenentwurf aus dem Bundesministerium von Nancy Faeser,
0:41:36–0:41:47
aus dem BMI, zu der Umsetzung quasi. Und dann verstrich etwas Zeit. Es gab ein Werkstattgespräch
0:41:47–0:41:56
quasi. Und im Mai 2024 gab es dann einen neuen Referentenentwurf. Dann ist wieder ein paar Monate
0:41:56–0:42:06
vergangen. Und am 2. Oktober gab es auf der Bundestagsdrucksache 20/13184 den
0:42:06–0:42:13
Gesetzesentwurf durch die Bundesregierung zu der Umsetzung dieser NISZ-2-Richtlinie im nationalen
0:42:13–0:42:24
Recht. Dann, ja, neun Tage später hat der Deutsche Bundestag in seiner 192. Sitzung in erster Lesung
0:42:24–0:42:32
darüber gesprochen und das Ergebnis war Überweisung in die Ausschüsse. Und alleine das zeigt schon,
0:42:32–0:42:39
wenn man Anfang Oktober einen Gesetzesentwurf einbringt für die Umsetzung eines Gesetzes,
0:42:39–0:42:46
das am 18. Oktober hätte umgesetzt sein muss, das ist dann etwas sehr, sehr eng,
0:42:46–0:42:54
was man irgendwie nicht so ganz versteht. Das wird ja noch spannender. Denn de facto ist das halt,
0:42:54–0:43:02
wenn man das halbwegs ernst nimmt als Betroffener, als betroffene Konzern, dann weiß man das kommt.
0:43:02–0:43:06
Das ist völlig egal, ob das der Bundestag jetzt beschließt, ob der es nächste Woche beschließen
0:43:06–0:43:10
und so weiter und so fort. Das ist vielleicht noch relevant für die Übergangsfristen, die
0:43:10–0:43:15
passieren. Aber de facto wissen wir alle, dass das kommen wird und dass wir das umsetzen müssen.
0:43:15–0:43:22
Ja. Das heißt, viel relevanter für uns gerade, also auch in der Firma, wo ich bin, ist weniger
0:43:22–0:43:26
der Gesetzesentwurf. Also der ist natürlich relevant, weil wir uns daran halten müssen,
0:43:26–0:43:30
weil die Übergangsfristen drinstehen und so weiter und so fort. Was uns aber tatsächlich
0:43:30–0:43:36
auch interessiert sind, die sind die konkreten Umsetzungshinweise, die beispielsweise von der
0:43:36–0:43:43
INISA, das ist diese IT-Sicherheitsbehörde von der EU, die Empfehlungen gibt, die White Paper
0:43:43–0:43:49
rausgibt. Die haben jetzt ihre ersten Diskussionsvorschläge und Drafts dazu veröffentlicht,
0:43:49–0:43:52
wie das umgesetzt werden muss und was die Anforderungen sind, was konkrete technische
0:43:52–0:43:57
Anforderungen sind. Und das ist tatsächlich, wenn man mit der Implementierung betroffen ist,
0:43:57–0:44:04
ist das gerade für uns in der Praxis erst mal relevanter als jetzt der genaue Termin, wann
0:44:04–0:44:10
dieses Gesetz kommt, weil wir sehr, sehr fest davon ausgehen, dass das kommt, weil das schlicht und
0:44:10–0:44:16
einfach auf EU-Ebene schon geregelt ist. Ja. Genau. Nur, das muss halt neu aufgerollt werden.
0:44:16–0:44:21
Das muss neu aufgerollt werden, aber das ist jetzt nicht so, dass das nicht kommt. Sondern wir reden
0:44:21–0:44:27
jetzt über den konkreten Termin. De facto wird da aber jetzt inhaltlich nichts Bahnbrechendes drin
0:44:27–0:44:32
stehen, was einen jetzt in der Implementierung aufhalten sollte. Was jetzt die geneigte
0:44:32–0:44:38
Rechtsabteilung nicht davon abhält, das ist genau so zu argumentieren. Ja. Bei der Überweisung in die
0:44:38–0:44:41
verschiedenen Ausschüsse, das waren ein paar mehr, und der, der jetzt hier relevant wird, ist der
0:44:41–0:44:47
Ausschuss für Inneres und Heimat. Ja. Denn nach dem 11. Oktober, nachdem das quasi in die Ausschüsse
0:44:47–0:44:54
überwiesen wurde, gab es Ende Oktober eine Einladung zur neunzigeren Sitzung des Ausschusses
0:44:54–0:45:04
für Inneres und Heimat am 4. November. Und naja, da gab es dann unter anderem, es gab eine Anhörung
0:45:04–0:45:10
quasi zu diesem Gesetzesentwurf. Das war der einzige Punkt. Und es gab dazu 14 Stellungnahmen,
0:45:10–0:45:16
14 Stellungnahmen von Unternehmen, die dort betroffen sind. Und ich habe mir mal drei Stück
0:45:16–0:45:21
rausgesucht, die ganz interessant sind. Ich bin gespannt. Die erste ist die des Bundesamtes für
0:45:21–0:45:30
Sicherheit in der Informationstechnik, USPSI, und auf Ausschuss, Drucksache 20/4/523c. Die werden wir
0:45:30–0:45:35
in den Show notes auf jeden Fall verlinken. Und ich habe mir mal drei Punkte rausgesucht, die,
0:45:35–0:45:41
sozusagen ein paar mehr, aber drei Punkte, die da zentral sind. Denn das BSI soll erstens eine
0:45:41–0:45:46
zentralere Rolle einnehmen, konkret. Der Chief Information Security Officer der Bundesverwaltung
0:45:46–0:45:57
soll beim BSI angesiedelt werden. Dann soll zweitens das BSI zu einer selbstständigen
0:45:57–0:46:04
Bundesoberbehörde, sogenannte obere Bundesbehörden genannt, im Geschäftsbereich des BMI werden.
0:46:04–0:46:10
Beispiele für so obere Bundesbehörden sind das Bundesamt für Familie und Zivilgesellschaftliche
0:46:10–0:46:18
Aufgaben, das BAFZA im Bundesministerium für Familie, Senioren, Frauen und Jugend oder das
0:46:18–0:46:22
Bundesamt für Migration und Flüchtlinge im Bundesministerium des Innern und für Heimat.
0:46:22–0:46:28
Das Zweite ist, Doppelzuständigkeiten von Bundesnetzagentur und BSI sollen klar
0:46:28–0:46:35
definiert werden, weil es gibt im Energiebereich, konkret in dem Gesetz über die Elektrizitäts- und
0:46:35–0:46:43
Gasversorgung Doppelzuständigkeiten quasi von BNetzA und BSI quasi. Und hier schlägt das BSI
0:46:43–0:46:54
vor zu sagen, streicht Nummer 12 in Paragraph 5c Absatz 3 Satz 3 bis ENWGE. Der Drillpunkt ist,
0:46:54–0:47:04
die Unabhängigkeit des BSI stärken durch Änderungen im BSI-Gesetz quasi. Und zwei zentrale
0:47:04–0:47:08
Sachen, die ich mir da raus geschrieben habe, war zum einen, es sind zwei Anzüge quasi in
0:47:08–0:47:16
das bestehende Gesetz. Erstens, es soll drinstehen künftig in Paragraph 5 Absatz 1,
0:47:16–0:47:21
das Bundesamt wirkt unverzüglich auf die Behebung von Schwachstellen hin. Und zweitens,
0:47:21–0:47:27
in Absatz 5 des gleichen Paragraphen, soll stehen demnächst, Zitat, "Weisungen an das
0:47:27–0:47:31
Bundesamt, die die Weitergabe von Informationen über Sicherheitslücken und Produkten an den
0:47:31–0:47:35
Hersteller dieser Produkte untersagen, sind unzulässig." Was sagt ihr dazu?
0:47:35–0:47:44
Marco. Ich war ein bisschen jetzt durch die ganzen Zahlen und Abkürzungen überwältigt. Und auch die
0:47:44–0:47:51
Textformulierung, was war das? "Weisungen an das Bundesamt, die eine Weitergabe untersagen,
0:47:51–0:47:59
sind unzulässig." Und bisher ist das also scheinbar in Ordnung, dass das Bundesamt anweisen kann,
0:47:59–0:48:03
diese Informationen bitte nicht weitergeben oder diese Informationen nicht veröffentlichen?
0:48:03–0:48:07
Das kann die Anweisung bekommen, dass sie das nicht weitergeben an den Hersteller. Also dieses
0:48:07–0:48:13
Horten von Sicherheitslücken durch andere Sicherheitsbehörden. Das ist eine politische
0:48:13–0:48:16
Diskussion. Zumindest glaube ich ein Vorwurf, der jetzt länger irgendwie auch schon im Raum
0:48:16–0:48:23
stand, dass man damit ja zumindest irgendwie auch ja offene Schwachstellen offenlässt,
0:48:23–0:48:30
quasi von denen man weiß. Und für mich als Privatperson würde das natürlich jetzt entgegenkommen,
0:48:30–0:48:36
wenn diese Schwachstellen geschlossen würden. Also ich sehe jetzt im Moment noch nicht so,
0:48:36–0:48:42
dass die höhere Sicherheit, dass das geheim gehalten wird, außer eben, dass der Staat sie
0:48:42–0:48:47
dann ausnutzen kann. Genau. Das war länger Diskussion und jetzt könntest du sozusagen das BMI sagen,
0:48:47–0:48:55
das dürfte nicht weitergehen, weil das BMI quasi das Weisungsrecht hat. Und das soll damit quasi
0:48:55–0:49:02
dann jetzt nicht mehr möglich sein, richtig? Ich glaube, dass das eine Diskussion ist, wo wir die
0:49:02–0:49:08
Komplexität hier nicht abbilden können. Denn auch als Konsequenz kann es auch einfach sein, dass das
0:49:08–0:49:13
BSI dann keine Informationen mehr über Schwachstellen kriegt, sondern das landet dann halt bei den
0:49:13–0:49:19
Polizeien, bei den Geheimdiensten und die reden einfach nicht mehr mit dem BSI. Natürlich steigert
0:49:19–0:49:22
das BSI dadurch seine Vertrauenswürdigkeit gegenüber Third Parties, dass sie da in
0:49:22–0:49:28
Sicherheitslücken berichten und man dann davon ausgehen kann, dass die nicht missbraucht werden
0:49:28–0:49:32
oder gebraucht. Das ist jetzt dann wieder auch so eine politische Frage, wie man das sieht und wie
0:49:32–0:49:41
man dazu steht. Aber insgesamt sind das gerade die Einleistungen des BSI hochpolitisch. Wie möchte
0:49:41–0:49:47
man so eine Bundesbehörde strukturieren? Und das ist schon an der Grenze meines Kompetenzbereichs,
0:49:47–0:49:51
da mich fachlich zu äußern. Ich meine, das war jetzt ein Referentenentwurf? Nee, das war eine
0:49:51–0:49:59
Stellungnahme erst mal. Genau. Zu dem, nicht zum Referentenentwurf, sondern zu dem Gesetzesentwurf,
0:49:59–0:50:05
der aus dem Referentenentwurf... Aber da gibt es dann noch erste, zweite, dritte Lesung und so? Genau,
0:50:05–0:50:09
die erste Lesung war ja schon quasi... Nee, jetzt nicht mehr. Der Bundesrat wird ja aufgehört. Okay,
0:50:09–0:50:15
also wo dieser Text am Ende landet und ob er irgendwo landet, ist sehr fraglich. Ja, also
0:50:15–0:50:23
dafür müsste quasi jetzt bis zum 23. Februar zweite Lesung durch und das Gesetz müsste quasi
0:50:23–0:50:27
in Kraft treten und alle Ausschüsse müssten... Also es müsste eine zweite Lesung quasi in den
0:50:27–0:50:35
Bundestag. Ja, da muss man wollen, ne? Naja, genau. Unter Umständen wird auch der gleiche Text dann am
0:50:35–0:50:42
24. Februar nochmal auf den Tisch gelegt und dann das so beschlossen. Wir können ja jetzt beliebig
0:50:42–0:50:45
tief reinsteigen. Ich werde mich dann nicht qualifiziert zu äußern können über das,
0:50:45–0:50:50
was ich gesagt habe, denn das ist auch weit außerhalb meiner Expertise. Also ich habe mit
0:50:50–0:50:53
die schönen Damen, als ich die durchgelesen habe und gesehen habe, okay, das Bundesrat möchte da jetzt
0:50:53–0:50:58
ganz explizit reinschreiben, dass sie da unverzüglich darauf hinwirken sollen, dass die Behebung der
0:50:58–0:51:04
Schwachstellen in die Wege leitet. Die möchten vor allem eine Doppelrolleauflösung. Einerseits
0:51:04–0:51:09
kriegen sie Sicherheitslücken berichtet. Andererseits sollen sie die vielleicht ans BKA oder
0:51:09–0:51:14
andere Behörden weitergeben, damit die ausgenutzt werden können. Und damit schwächen sie halt ihre
0:51:14–0:51:23
Position gegenüber der, ja, ihrer Kundschaft, der Anwender, der Industrie, wo sie ja auch für
0:51:23–0:51:27
verantwortlich sind. Das haben wir ja geschrieben. Sie sind für KITES-Unternehmen zuständig, sind im
0:51:27–0:51:32
Rahmen von NES2, kriegen sie Probleme und Schwachstellen berichtet. Und um da die eigene
0:51:32–0:51:36
Glaubwürdigkeit zu erhöhen, wäre es natürlich gut, wenn man dann auch weiß, dass Schwachstellen nicht
0:51:36–0:51:41
nuss braucht werden. Richtig. Das ist die Idee, die dahinter steht. Du hast ja auch gesagt, sie machen
0:51:41–0:51:45
keine produktspezifischen Empfehlungen. Genau. Das kann sich natürlich auch ein bisschen ausschließen,
0:51:45–0:51:51
wenn ich über Sicherheitslücken weiß, aber nicht darüber informieren darf. Richtig. Deswegen
0:51:51–0:51:56
habe ich das so rausgeschrieben. Das war, das stach wirklich heraus, warum man das, es gab doch
0:51:56–0:52:04
noch ein paar andere Empfehlungen, die Sachen zu ändern, auch im BSIGE. Genau. Aber im Kern würde
0:52:04–0:52:07
ich sagen, eine starke Stellungnahme. Die zweite, die ich mir rausgesucht habe, war die der
0:52:07–0:52:12
Bundesbeauftragten für den Datenschutz und die Formationsfreiheit, kurz BFDI, auf der Ausschuss
0:52:12–0:52:27
Drucksache 204529. Die war recht umfangreich, die Stellungnahme. Und im Kern hat sie darauf
0:52:27–0:52:33
gezeigt, okay, hier, da und da könnte man nachbessern und das ist unsere Einschätzung. Und die
0:52:33–0:52:42
Kernaussage ist Grundrechte schützen. Das heißt vor allem BDSG und DSGVO und Co. und Grundgesetz
0:52:42–0:52:46
und Co. einhalten. Und die dritte, die ich mir rausgesucht habe, ist von der Arbeitsgruppe
0:52:46–0:52:54
Kritische Infrastruktur, AG Kritis, auf der Ausschuss Drucksache 204528. Und die tatsächlich
0:52:54–0:53:01
zeichnet ein sehr, sehr düsteres Bild und fasst, würde ich sagen, das alles ganz, ganz gut zusammen.
0:53:01–0:53:08
Hier heißt es nämlich, Zitat, mit dem neuen Referentenentwurf vom 2.10.2024 werden aus
0:53:08–0:53:12
unserer Sicht keine wesentlichen Verbesserungen zu den bisherigen Referentenentwürfen erreicht
0:53:12–0:53:25
und lediglich Defizite aufrecht gehalten. Hier heißt es zum Beispiel, dass, ja, das würde ich
0:53:25–0:53:31
sagen, mit Kritischste, neben den Sachen, die hier so noch stehen, also Einschränkungen auf
0:53:31–0:53:36
bekannte Schwachstellen für Schwachstellungsgenere des BSI, wäre ein Punkt, den Sie hier anmarken.
0:53:36–0:53:40
Und jetzt, und ein weiterer ist hier, die Berücksichtigung der Zivilgesellschaft
0:53:40–0:53:48
vor dem Erlassen von Rechtsverordnungen fällt komplett weg, was Sie hier scharf kritisieren.
0:53:48–0:53:52
Ich meine, man hat es ja schon bei dem einen oder anderen gesehen, dass wenn man die Zivilgesellschaft
0:53:52–0:53:56
nicht abholt oder mit einbezieht, dass das nach hinten losgehen könnte, nicht?
0:53:56–0:54:02
Vor allem lässt es die Komplexität von gesellschaftlichen Prozessen außer Acht,
0:54:02–0:54:05
ne? Als Behörde hat man natürlich einen bestimmten Blick auf die Welt, als Ministerium hat man
0:54:05–0:54:09
einen bestimmten Blick auf die Welt, man wird von bestimmten Notwendigkeiten getrieben und eine
0:54:09–0:54:13
Konsultation der Zivilgesellschaft erweitert halt schlicht und einfach auch das Blickfeld für die
0:54:13–0:54:18
Probleme und Komplexitäten und Fragestellungen, die berücksichtigt werden müssen. Das würde halt
0:54:18–0:54:23
dazu führen, dass es schlechte Gesetze gibt, schlechte Rechtsverordnungen. Das lässt sich sicherlich sagen.
0:54:23–0:54:36
Und im Kern würde ich sagen, also es sind sich alle einig, dieses Gesetz, dieses Umsetzungsgesetz muss
0:54:36–0:54:42
kommen, es wird auch kommen, davon auch im neuen Deutschen Bundestag wird es den beschäftigen,
0:54:42–0:54:48
offensichtlich. Auch wenn du schon sagst, das EU-Ding gilt und auf Basis dessen könnte man auch
0:54:48–0:54:54
schon das ein oder andere machen. Man muss ja dazu sagen, NES2 betrifft jetzt nicht nur das BSI und
0:54:54–0:54:59
dass es schwach stellen geht, sondern es adressiert auch die Unternehmen im Bereich IT und Information,
0:54:59–0:55:06
sich halt sich aufstellen müssen, ne? Und das erzwingt auch gerade in so mittelgroßen Unternehmen,
0:55:06–0:55:15
die hoffentlich besser werden. Zum Beispiel, es wäre ein Risikomanagement erfordert,
0:55:15–0:55:21
es läuft darauf hinaus, dass es das Erfordernis ist, dass Bedrohungsmodellierung stattfindet. Welche
0:55:21–0:55:27
Probleme erwarte ich? Wie gestalte ich meine Sicherheitsmaßnahmen? Das ist alles Teil von NES2.
0:55:27–0:55:35
Also es geht darum, dass mehr Intention dahinter steht, wie Unternehmen Sicherheit gestalten. Und
0:55:35–0:55:43
was auch drin ist, sind Bußgelder. Das kennen wir schon von der DSGVO, dass Obergrenzen aufgehoben
0:55:43–0:55:48
worden sind und ersetzt worden sind durch so und so viel Prozent des Konzernmutterjahresumsatzes
0:55:48–0:55:55
global. Also das ist auch eine Verordnung, die DSGVO, die durchaus auch Zähne hatte. Und genauso haben
0:55:55–0:56:00
die das bei NES2 auch ausgestaltet, dass da auch entsprechende Bußgelder und Maßnahmen hintendran
0:56:00–0:56:04
hängen. Wobei man hier zumindest anmerken muss bei der DSGVO, wenn jetzt beispielsweise Behörden
0:56:04–0:56:11
so was haben, dass da kein Bußgeld erteilt werden kann, sondern nur von den jeweiligen
0:56:11–0:56:19
Aussichtsbehörden. Ja, aber NES2 richtet sich auch erstmal anderen Firmen und Konzerne. Ja,
0:56:19–0:56:26
ich würde jetzt sozusagen auf die Zielgerade abbiegen und sagen, ok, was ist so 2025 der Ausblick
0:56:26–0:56:33
und was das generelle Fazit dazu zur IT-Sicherheit. Naja, beim Ausblick würde ich sagen, die Umsetzung
0:56:33–0:56:42
der NES2-Richtlinie wird vielleicht in 2025 kommen, vielleicht auch erst in 26. Und naja,
0:56:42–0:56:47
ansonsten IT-Sicherheit relevant, würde ich sagen, kommt noch die elektronische Patientenakte. Hier
0:56:47–0:56:54
sei gesagt, es gab hier einen Talk auf dem 38C3, der ist sehr empfehlenswert von Bianca Kaste und
0:56:54–0:57:02
einen zweiten Menschen, der ist sehr zu empfehlen, den gibt es die Slides und den Talk selber dürfte
0:57:02–0:57:06
es wahrscheinlich schon auf media.ccc.de geben, würde ich vermuten. Ja, der illustriert auch schön,
0:57:06–0:57:12
warum Komplexität immer so ein Problem ist und so schwierig ist. Genau. Die Zeit hat, glaube ich,
0:57:12–0:57:18
auch schon Artikel verfasst. Das hat, glaube ich, ziemlich wellen geschlagen, ja, auch in der allgemeinen
0:57:18–0:57:28
Presse. Ja, sicherlich auch die Geschichte mit dem Volkswagen-Konzern, der es jetzt hier war,
0:57:28–0:57:34
sicherlich auch im Hinblick auf IT-Sicherheit ganz interessant, wie Unternehmen handeln werden.
0:57:34–0:57:42
Das ist auch wieder so ein Beispiel. Ich nehme jetzt die Sekunden dafür. Da geht es wieder um
0:57:42–0:57:44
Komplexität, da geht es nicht nur um die IT-Sicherheit, da geht es tatsächlich auch
0:57:44–0:57:51
um die Informationssicherheit. Wie ist so eine Architektur gebaut? Wie ist das strukturiert? Welche
0:57:51–0:57:54
Daten werden eigentlich, warum gespeichert? Darf man die überhaupt speichern? Sollten die überhaupt
0:57:54–0:57:59
gespeichert werden? Hat man sich da um den Informationssicherheitsaspekt ausreichend
0:57:59–0:58:04
Gedanken gemacht im Vorfeld? Die Antwort ist offensichtlich nein. Aber das ist auch wieder
0:58:04–0:58:09
so ein super komplexes Problemfeld, weil da auch Produkte dranhängen, die man in Zukunft anbieten
0:58:09–0:58:15
wollte. Also auch hier hat man wieder diese widerstreitenden Incentives und Anreize dafür.
0:58:15–0:58:20
Ja, auch hier gab es auf dem 38.3 einen Talk zu, den müsste man wahrscheinlich auch auf
0:58:20–0:58:25
media.ccc schon zu sehen sein. Auch hier eine Empfehlung. Sehr guter Talk, der auch nochmal
0:58:25–0:58:33
illustriert, warum IT-Sicherheit und eben Informationssicherheit so relevant ist. Naja,
0:58:33–0:58:40
was ziehen wir für ein Fazit von der Lage der IT-Sicherheit in Deutschland und generell in Europa?
0:58:40–0:58:47
Was würdet ihr sagen? Fazit ist immer so schwierig, weil das so schwierig in einem
0:58:47–0:58:53
Satz zusammenfassen lässt. Ich denke immer so an diesen Begriff auch, dass IT-Sicherheit nichts mit
0:58:53–0:58:57
einem Zustand, sondern stärker mit einem Prozess zu tun hat, der Klassiker Hendrik Schmunzelt schon.
0:58:57–0:59:02
Und genauso ist es wahrscheinlich mit dem zusätzlichen Problem, dass immer wenn es um
0:59:02–0:59:06
behördliche Prozesse geht, das alles nochmal ein bisschen langsamer und behäbiger funktioniert
0:59:06–0:59:12
und das nicht unbedingt so korrespondiert mit, wie schnell man auf sowas eigentlich reagieren
0:59:12–0:59:16
müsste. Und vielleicht ist das nochmal ein ganz anderes Thema irgendwie, wie schnell kann
0:59:16–0:59:22
man eigentlich als Staat auf sich ändernde Lagen reagieren. Oder vielleicht ist das auch gerade ein
0:59:22–0:59:26
Feature, dass das einfach alles so langsam passiert, weil man damit auch extremistische
0:59:26–0:59:31
Strömungen natürlich verlangsamt an der Stelle. Aber das ist gerade in so einem Fall jetzt dann
0:59:31–0:59:38
tatsächlich eher ein Problem. Aber ich bin ja grundsätzlich immer wieder optimistisch und wir
0:59:38–0:59:43
haben ja auch ein paar optimistische Beispiele gehört mit Passwortmanagern oder eben auch mit
0:59:43–0:59:49
einer wahrscheinlich erst mal gestiegenen Sicherheit insgesamt so für die Privatbevölkerung durch
0:59:49–0:59:54
Multifaktor oder was immer mehr auch irgendwie kommt und dass man nicht mehr die Tarnlisten zu
0:59:54–0:59:58
Hause liegen hat, sondern jetzt irgendwie auf andere Weise sich authentifiziert. Deswegen ist
0:59:58–1:00:05
meine Hoffnung, dass es weiterhin besser wird. Also ganz optimistisch. Würdest du das sehen?
1:00:05–1:00:16
Es kommt drauf an, glaube ich, der meistgesagte Satz heute. Tatsächlich, es kommt drauf an. Auch
1:00:16–1:00:20
als normaler Männer ist man nicht schutzlos. Es gibt Maßnahmen, die man greifen kann. Sei es der
1:00:20–1:00:26
Passwortmanager, sei es Passkeys zu benutzen, wo sie angeboten werden. Das ist ein signifikanter
1:00:26–1:00:31
Sicherheitsgewinn. Also man ist nicht machtlos. Es gibt Möglichkeiten, die eigene Position zu
1:00:31–1:00:37
verbessern. Und es ist auch wichtig, die wahrzunehmen. Und da ist auch für Leute, die jetzt hier auf dem
1:00:37–1:00:42
Kongress sind, vielleicht so eine Botschafterrolle wichtig, dass sie die Leute dafür sensibilisieren
1:00:42–1:00:52
und mitnehmen. Das ist das eine. Dann haben wir mit NES2, werden vielen Unternehmen Sicherheitsmaßnahmen
1:00:52–1:00:59
aufgezwungen. Es wird ihnen aufgezwungen, sich bewusster mit dem Thema auseinanderzusetzen. Die
1:00:59–1:01:05
empfinden das auch als Zwang. Da hat keiner Spaß dran. Aber auch da ist so ein bisschen ein Weg nach
1:01:05–1:01:11
vorne zu sehen. Der ist lang, der ist steinig, der ist sehr steil und der tut auch sehr, sehr weh. Und
1:01:11–1:01:14
wir werden das nicht heute gewinnen. Wir werden das auch nicht morgen gewinnen. Aber es ist zumindest
1:01:14–1:01:23
die Möglichkeit da, dass es besser wird. Gleichzeitig leben wir in einer Welt, wo organisierte
1:01:23–1:01:29
Kriminalitäten, organisiertes Verbrechen dabei ist, Schwachstellen auszunutzen, sei es jetzt
1:01:29–1:01:37
technisch oder menschlich. Gab es auch Talks dazu. Das muss man sich sehr, sehr bewusst sein. Der
1:01:37–1:01:41
dicke Junge, der irgendwo im Keller sitzt, das ist nicht das Angreifermodell, was man im Auge haben
1:01:41–1:01:47
sollte, sondern das ist organisiertes Verbrechen. Das sind Kriminelle, die regelrechte Sklavenlager
1:01:47–1:01:54
betreiben mit Leuten, die andere dann ausnutzen, ausbeuten müssen. Und so sollte man auch damit
1:01:54–1:01:58
umgehen. Das ist ein sehr ernstes Thema. Das ist ähnlich, wie wir unseren Kindern Verkehrssicherheit
1:01:58–1:02:01
beibringen, sollten wir uns darüber Gedanken machen, wie wir unsere IT-Informationssicherheit im
1:02:01–1:02:09
Griff haben. Aber da gibt es Werkzeuge und da kann man auch als Normalanwender schon viele
1:02:09–1:02:14
Maßnahmen ergreifen, um besser dazustehen als das von einem Jahr zum Beispiel oder als der
1:02:14–1:02:23
Durchschnitt. Ja, also ich finde der Lagebericht des BSI zur IT-Sicherheit in Deutschland fasst
1:02:23–1:02:27
das ganz gut zusammen. Hier heißt es nämlich, Zitat, die Lage der IT-Sicherheit in Deutschland
1:02:27–1:02:32
war und ist besorgniserregend. Dabei unterliegt die Bedrohungslage weiterhin einer rasanten
1:02:32–1:02:38
Entwicklung. Die digitale Angriffsfläche nimmt stetig zu. Schwachstellen bieten allzu oft gravierende
1:02:38–1:02:44
Eingriffsmöglichkeiten und Angreifer finden immer schneller und geschickter Wege diese auszunutzen.
1:02:44–1:02:53
Also es ist schon, es war, vieles hat sich natürlich verbessert in den über die letzten Jahre,
1:02:53–1:03:09
zeichnet sich natürlich hier ab, aber man sollte nie sozusagen, ja, es zeichnet sich quasi immer
1:03:09–1:03:15
Verbesserungen ab. Weiter nämlich heißt es hier in dem Fazit quasi, Zitat, doch niemand ist dem
1:03:15–1:03:21
Schutzlos ausgeliefert. Dem ist nämlich so. Denn das Gebot der Stunde ist, Deutschlands Resilienz
1:03:21–1:03:25
gegenüber Cyberbedrohung und Vorfällen drastisch zu erhöhen. Das tut man jetzt, das versucht man
1:03:25–1:03:34
jetzt immer weiter. Und das hat man ja mit der NIS 2 auch vorangezogen auf europäischer Ebene,
1:03:34–1:03:43
damit das einen einheitlichen Standard in Europa gibt. Dann würde ich sagen, vielen Dank Marco,
1:03:43–1:03:47
vielen Dank Henrik. Sehr gerne. Danke für die Einladung. Sehr gerne. Und vielen Dank an
1:03:47–1:03:55
das Sendezentrum, dass ich hier auf dem 38C3 wieder eine Podcast-Folge machen konnte.
