ModeratorIn: Wir begrüßen ganz herzlich cert.at-Experte Otmar Lendl, der in der folgende Stunde die Fragen der LeserInnen beantworten wird.
Otmar Lendl: Auch von meiner Seite ein Hallo und willkommen.
UserInnenfrage per Mail: Erwin Bartsch: Was sind gemäß der Erfahrungen der CERT.at die häufigsten Ursachen für "erfolgreiche" Angriffe auf diverse öffentliche Institutionen? Eher in Richtung Geldmangel für die IT oder eher Nachlässigkeit/Unwissenheit? Oder?
Otmar Lendl: IT-Sicherheit braucht Aufmerksamkeit beim Management: es ist nicht spannend, es brauch sorgfältiges arbeiten. Geld isr nicht das Primärproblem, da langfristig Sicherheitsprobleme ja auch Kosten verursachen.
UserInnenfrage per Mail: Investieren Unternehmen und öffentliche Stellen allgemein zu wenig in die Sicherheit ihrer Computersysteme?
Otmar Lendl: Das ist oft keine Frage von Zuwenig, sondern von bestmöglichem Einsatz der Mittel. Und manchmal hängt es einfach daran, dass man bestehende Systeme besser absichern muss, bevor man neue Projekte angehen kann.
UserInnenfrage per Mail: Haben KMUs überhaupt die finanziellen Mitteln um beispielsweise einen Web-Shop mit ausreichender Sicherheit aufbauen - und pflegen - zu können?
Otmar Lendl: Für KMUs ist das nicht trivial: wir hatten in der letzten Zeit etwa viele Vorfälle mit osCommerce, einer freien Shoplösung. Das lässt sich aber meist durch sorgfältiges Operating in den Griff bekommen. Aber ein webshop wird nie ein System sein, das man einfach nur so vor sich hin laufen lassen kann. Das braucht Aufmerksamkeit.
UserInnenfrage per Mail: Strg-Alt-Entf: Finden Sie es richtig, dass die Verantwortlichen bei grob fahrlässigem Umgang mit personenbezogenen Daten derzeit schlimmstenfalls mit einem Griff in die Portokasse davonkommen? Oder stehen GIS, TGKK usw. symptomatisch dafür, dass man
Otmar Lendl: Die Frage der Haftung bei IT Sicherheit ist in der Branche ein lang diskutiertes Thema. Bruce Schneier etwa argumentiert schon lange, dass Softwarehersteller mehr für die Bugs in ihrer Software haften sollten. Ansonsten: Betriebsprüfungen enthalten mitlerweilen Tests auf die Sicherheit der IT einer Firma: Fokus ist dort aber die Business Continuity. Wenn ein CEO das verbockt, hat das Folgen. Das auf Datenlecks auszudehnen, mag Sinn machen. Einfache Antworten gibt es da aber nicht.
fr33k van der Wand: Diverse staatliche, teils staatliche aber auch private Behörden, Organisationen, Vereine etc. erheben Daten über die österreichischen Büger. Diese werden zunehmen miteinander verknüpft und ausgetauscht. Ist es Ihrer Meinung nach, bei einem so riesig
Otmar Lendl: Da gibt es mehrere Aspekte: Die vielzahl der Datenbanken und deren Betreiber macht es sehr wahrscheinlich, dass irgendeiner davon ein Sicheheitsproblem hat. Andererseits: wär alles in einer Hand, würde das Verknüpfungen noch viel einfacher machen. Choose your Poison. Wie wir gerade jetzt sehen, ist das Verbinden verschiedener Datenquellen gefährlich.
UserInnenfrage per Mail: Wenn staatliche Einrichtungen Daten nicht ausreichend sichern können, was bedeutet das für Vorhaben wie die Vorratsdatenspeicherung?
Otmar Lendl: Die Datenlecks der letzten Zeit waren nicht in klassischen staatlichen Stellen. Die VDS betrifft in der aktuellen Form Daten, die bei den privaten Betreibern liegen. Und dort sind diese Daten schon lange vorhanden, da sie für den Betrieb der Netze -- kurzfristig -- gebraucht werden. Die VDS regelt primär die aufhaltedauer und die zugriffsrechte. (Aber ich bin Techniker, nicht Jurist)
UserInnenfrage per Mail: Man hört jetzt viel über Anonymous. Sind Hacks und Datendiebstähle im Auftrag von Staaten (Geheimdienste) nicht eine viel größere Bedrohung?
Otmar Lendl: Ja, aber diese sind nicht so medienwirksam. Ein Spion will lange unerkannt im System sein, und Daten abziehen. Der wird kein Pony auf die Webseite stellen und per Twitter die Medien informieren.
Speyside: SPÖ, FPÖ und Grüne sind ja kürzlich Opfer von Hackerattacken geworden - gibt es Informationen darüber, welche politischen Organisationen besonders häufig angegriffen werden bzw. gibt es Häufungen (in Wahlkämpfen o.ä.)?
Otmar Lendl: Wenn man sich die Chats von Anonymous so anschaut, dann sieht man leicht Präferenzen für die linke Seite, auch aus dem CCC-Umfeld wird eher auf die FPÖ, als auf die Grünen losgegangen. Zusammenhänge mit den Wahlkämpfen wären uns nicht aufgefallen.
Gerwin Winter: Kann man sich im Internet wirklich anonymon bewegen? Mit Vpn-Diensten, Proxies etc.
Otmar Lendl: Ja, das ist möglich, aber nicht einfach. VPN-Dienstleister, Tor & co können IP-Adressen verbergen, das ist aber nur ein Teil des Ganzen. Webbrowser sind über Cookies/Erweiterungen/Fonts ziemlich eindeutig geworden. Das alles richtig zu machen, und sich auch nicht mal im realen Leben zu verplaudern, braucht aber sehr konsistens Vorgehen und das schaffen nur wenige.
tehj4ckass: Gibts es gewisse gesetzliche (minimum) Sicherheitsanforderungen für die Speicherung von personenbezogenen Daten in Österreich? (zB. Kreditkartendaten nicht in Klartext oä.
Otmar Lendl: Wie gesagt, ich bin kein Jurist. Neben dem Datenschutzgesetz spielen bei dieser Frage aber auch die Vorgaben der Kreditkartenunternehmen eine Rolle: Die haben sehr explizit definiert, was eine Onlineshop haben muss, damit er Kreditkartendaten verarbeiten darf (PCI-Compliance).
dottore: Ist es andenkbar öffentliche Behörden über ein Sicherheitsaudit jährlich überprüfen zu lassen, mit Bezug auf Sicherheit, Verwahrung usw.
Otmar Lendl: Ein großer Teil der heiklen System machen das bereits. Eine formale Verpflichtung dazu halte ich nicht für falsch, da das entsprechende Ressourcen ohne jährlichen Streit freigeben würde.
Jo_Sch: Ist die Exikutive wirklich so Machtlos wie es scheint? Bei Anonymous handelt es sich angeblich ja nicht um Profis, dennoch ist bisher keine einzige Festnahme erfolgt. Kann im Internet jeder der Staatsmacht auf der Nase herumtanzen ohne Konsequenzen
Otmar Lendl: Gegenfrage: wollen wir wirklich, dass die Polizei solche Vorfälle immer und schnell aufdecken kann? Was bräuchten wir dann für Überwachungsmaßnahmen? Dagegen wäre die VDS komplett harmlos. Ich seh das wie im realen Leben: dort tracken wir auch nicht jede Bewegung der Bürger, auch wenn das den Job der Polizei viel leichter machen würde. Freiheit hat seinen Preis.
Topiary: Trägt das Veröffentlichen von Angriffen etc. nicht maßgeblich zu einem erhöhten Sicherheitsbewußtsein etc. bei. Und sind diese so insgesamt nicht von Vorteil.
Otmar Lendl: Wie so oft: wenn nie was passiert, dann sinkt die Aufmerksamkeit für das Problem (siehe etwa Stichwort Hochwasser). Eine Medienaufmerksamkeit zu erzeugen hat daher auch positive Effekte. Dabei sollte man aber immer die Pro- und Contra genau abwiegen: welchen Schaden erzeugt der Hack vs. was bringt die Meldung an Sicherheitsgewinn für das Land. (das gleiche Problem haben wir auch immer bei der Publikation von Schwachstellen in Programmen, dort wird auch immer wieder gestritten, was denn jetzt "responsible disclosure" wäre.) CERT.at nimmt Meldungen über Sicherheitsprobleme gerne an und gibt diese (auf Wunsch anonymisiert) an die Betroffenen weiter.
UserInnenfrage per Mail: 2010sdafrika: Herr Otmar Lendl, Anonymous hat gegenüber der südafrikanischen Regierung den Krieg erklärt. Was halten Sie von diesen Drohungen - reine Propaganda oder ernstzunehmende Erklärung?
Otmar Lendl: Das kann ich nicht seriös kommentieren. Generell gilt nur: die Absicherungsmaßnahmen für die eigene IT sollte man unabhängig von irgenwelchen aktuellen Anlässen immer machen. Wenn das ein Argument ist, dafür Ressourcen zu bekommen, dann nutze die Drohungen.
Gerwin Winter: Was halten sie von IPV6 (aus Security-Sicht)
Otmar Lendl: Dazu hab ich hier im Standard letztens bei einem Artikel mitgearbeitet, den will ich jetzt nicht auf die Schnelle zusammenfassen. Hat wer den Link parat?
tehj4ckass: Sehr viele der vergangenen Angriffe haben SQL-Injections als Werkzeug verwenden. Wie kompliziert ist so einen Injection und wie schwer ist es sich gegen diese Art von Angriff zu schützen?
Otmar Lendl: Für die technischen Laien hier: SQL-Injektion basiert darauf, dass man dem Webserver Eingabedaten so kreativ übergibt, dass diese in der Datenbankabfrage falsch interpretiert werden, und dadurch andere Daten ausgelesen/verändert werden, als das der Programmierer vorgesehen hatte. Das lässt sich händisch machen, dazu sind im Netz viele Tipps und auch fertige Programme dafür frei erhältlich. Der Schutz dagegen ist nicht wirklich schwierig, wenn dieser Angriff beim Programmieren der Anwendung berücksichtigt wurde. (Ausschliesslich "prepared statements", input validation, DB-Abstraction Layers, ...) Im Nachhinein ist es immer schwierig, alle heiklen Codestücke zu finden.
Kuldip K.: War heute im BKA meine e-card zur Bürgerkarte freizuschalten. War das ein Fehler?
Otmar Lendl: Damit den Steuerausgleich zu machen, ist sicher harmlos. Ansonsten: die Sicherheit der Bürgerkarte (und vor allem der Handy-Signatur) war bis jetzt kein Thema der CERT-Arbeit. Generell gilt aber: den eigenen PC sauber zu halten ist für alle Online-Aktivitäten sehr wichtig.
el xorxe: nach den öffentlich gewordenen anon-aktionen: wie beurteilen Sie deren fähigkeiten? sind die wirklich gut, oder nur dreist? oder wie stellt sich dieser sachverhalt aus sicht eines spezialisten dar?
Otmar Lendl: Ich bewundere deren Medienarbeit.
suit: Wenn man auf CERT.at die Warnung durchsieht, sieht man sehr häufig Adobe - im Kontext Flash - und Apple. über diese Sicherheitslücken können oft Daten abgegriffen werden - Stichwort Flash Cookies - die nicht für jeden bestimmt sind. Halten Sie Flash
Otmar Lendl: Das Bedrohungsbild für den typischen Windows-PC hat sich in den letzten Jahren stark gewandelt: waren es früher noch Fehler im Betriebssystem, die die Problem waren, ging es dann in Richtung Standardapplikation, dann Browser und deren Erweiterungen. Adobe hat da in den letzten 2 Jahren einiges an Kritik einstecken müssen. Flash Cookies sind, genauso wie normale Cookies, ein Datenschutzproblem aber können nicht zur Installation von Schadsoftware führen.
UserInnenfrage per Mail: Kabelbrand: Welche grundlegenden Sicherheitstipps bzw- empfehlungen würden sie jedem User ans Herz legen, also auch denen, die nur wenig Ahnung von der Materie haben?
Otmar Lendl: Brian Krebs hat das mal so formuliert: 1) Installiere nur das, was du selber aktiv gesucht hast. 2) Halte alles aktuell, was du installiert hast. 3) Deinstalliere alles, was du nicht mehr brauchst.
ModeratorIn: Wir bedanken uns bei Otmar Lendl für seine aufschlussreichen Antworten und natürlich auch bei den LeserInnen für die vielen interessanten Fragen. Wir wünschen noch einen schönen Nachmittag.
Otmar Lendl: Auch von meiner Seite ein Danke für die spannenden Fragen.