Shownotes
Kontakt zu Marcel Roth und Stephan Schulz: digitalleben@mdr.de
Sprachnachrichten bei Anchor
Oder im Messenger Threema. Unsere ID dort: 9A9KUTFA.
Für eure Sprachnachrichten könnt ihr auch die kostenlosen Messenger Signal und Wire nutzen. Dort sind wir mit der Nummer 01578 76 43 202 registriert.
(Whatsapp und Telegram haben wir auch runtergeladen, eine Sprachnachricht dort ginge also auch, wenn es unbedingt sein muss.)
Unser Thema: Cybersecurity und kritische Infrastrukturen – Müssen auch wir in Sachsen-Anhalts uns Sorgen machen?
00:01:40 Unsere Gäste:
- Gerhard Oppenhorst von ESC aus Halle bietet IT-Sicherheitslösungen u.a. für Krankenhäuser an.
- Marian Kogler von Syret aus Halle bietet auch IT-Sicherheit an, macht u.a. Penetration Tests und untersucht Sicherheitsvorfälle.
00:04:40 Marian kommt eigentlich aus Wien und hat in Halle studiert
00:05:30 Gerhard hat das Internet in Sachsen-Anhalt mit aufgebaut
00:07:50 Nur einige Sicherheitsvorfälle:
Stuxnet hat die iranische Atomaufbereitung gestört und geht wohl auf die USA und Israel zurück.
Der SolarWinds Hack betraf US-Unternehmen und auch US-Ministerien.
Das geheime Treffen der EU Verteidigungsminister im November 2020 per Videokonferenz, in das sich ein niederländischer Journalist quasi mit dazu gesetzt hat, weil die niederländische Verteidigungsministerin aus Versehen ein Foto mit einem Teil des Zugangscodes getwittert hat.
BSI, Bundesverfassungsschutz und BND warnen Versorger vor russischen Angriffen.
Der Datenabfluss aus dem Bundestag.
Ein Bericht, dass die Berliner Wasserbetriebe ungenügend geschützt seien.
Ein Bericht über einen nur knapp verhinderten Hacker-Angriff auf die Trinkwasserversorgung in Florida.
Der BSI-Lagebericht aus dem Oktober 2020, der die IT Sicherheitslage als „angespannt“ bezeichnet. (PDF)
Ein Bericht über den Angriffsversuch auf die Europäische Arzneimittel-Agentur.
00:09:38 Im Jahr 2019 hat es europaweit 450 Angriffe auf kritische Infrastrukturen gegeben, berichtet die EU.
Gerhard sagt, lieber noch zwei Nullen dran hängen. Marian sagt, schlimme Vorfälle hat es bereits gegeben. Wir sehen nur die Spitze des Eisbergs.
00:11:40 Oft geht es auch um den Ruf der Firma. Man will nicht zeigen, dass man nicht vorbereitet war. Marian sagt, wenn man immer darüber berichten würde, wäre kein Platz für andere Nachrichten.
00:12:25 Unternehmen der kritische Infrastruktur (KRITIS) kommen aus den Sektoren Strom, Energie, Wasser, Abwasser, Lebensmittel, Banken, Telekommunikation und Behörden.
00:15:01 Zulieferer der KRITIS gehören nicht dazu – so wie die ESC von Gerhard oder Syret von Marian.
00:16:30 Krankenhäuser sind wohl das größte Problem. In den Sektoren Energie und Wasserversorgung ist vieles nicht ans Internet angeschlossen. Trotzdem gibt es Schwachstellen: Updates und Social Engineering.
00:20:02 Selbst übertragene Konfigurationsdaten können Geräte schädigen, wenn dadurch Maschinen beeinflusst werden können.
00:20:40 Forscher des Projekts Esys (Energiesysteme der Zukunft) haben v.a. großflächige Stromausfälle als besonders kritisch eingestuft. Esys wurde auch von der Nationalen Akademie der Wissenschaften, der Leopoldina in Halle, mit ins Leben gerufen wurde.
00:23:18 Marian: Für Geräte im Internet of Things gibt es oft keine Updates für die gesamte Lebensdauer. TCP/IP Stack oder SSH Server können Einfallstor bei IoT-Geräten sein.
00:24:40 Kleine Kraftwerke und Elektroautos können die Sicherheit der Stromnetze bedrohen. Digitale Energiesicherheit - Mathematiker: Stromnetz kann Digitalisierung und Energiewende stemmen (deutschlandfunk.de)
00:26:20 Gerhard sagt, es sei wichtig zu unterscheiden: IoT-Geräte in deutscher KRITIS seien zertifiziert. IoT Geräte, die wir Zuhause haben, nicht.
00:27:48 Marian sagt, Zertifizierung sei immer nur eine Momentaufnahme.
00:28:24 Viele Geräte in Krankenhäusern sind zwar zertifiziert, dürfen aber keine neue Software bekommen, weil dann das Zertifikat ungültig sei. Das hat auch Henning Steiner im HR-Podcast "Cybercrime" herausgefunden
00:38:40 Gerhard sagt, die Gefahr in Krankenhäusern sei extrem hoch. Eine Lösung kann sein, dass jedes Gerät eine eigene Verteidigungslinie im Umfeld bekommt. Aber klar: Jede Schwachstelle findet man nie.
00:40:50 Marian geht auch echt in Krankenhäuser, um seine Penetration-Tests zu machen und wird dabei auch von Menschen in Gebäude gelassen.
00:42:30 Gerhard sagt, eigentlich wüssten alle, dass sie ein paar Leichen im Keller hätten.
00:43:30 Marian meint, Angriffe seien immer eine Mischung aus digitalem und analogem Vorgehen: Der nicht gesperrte Rechner in der Mittagspause sei zum Beispiel auch ein Ziel. Gerhard meint, wenn der Rechner nicht mit einem Passwort geschützt ist, ist das Angreifen vielleicht gar keine Straftat.
00:44:50 Marian kennt auch Fälle wie die an der Uniklinik Düsseldorf.
Der Angriff galt eigentlich der Uni Düsseldorf. Es war eine Lösegeld-Erpressung. Die Hintertür wurde Monate zuvor eingeschleust und dann wurde ausspioniert, wie viel Lösegeld man fordern kann.
00:46:25 Dagegen lassen sich Bots einsetzen, die genau erkennen, dass eine Einheit eine Verbindung nach außen aufbaut, die das eigentlich nicht tun sollte.
00:48:05 Marian sagt, der SolarWinds-Fall ist bei keiner Firewall aufgefallen. SolarWinds kam mit dem Update des Herstellers. Gerhard sagt, andere Schutzsteine aus einem Baukasten seien möglich. Aber: Erhalten IT-Leute zu viele Security-Meldungen, können einige auch untergehen.
00:50:10 Staatstrojaner. Gerhard sagt, der Staat muss nicht hacken können.
00:53:20 Marian sagt, es gebe keine Hintertür nur für die eigenen Leute und die NSA hätte bereits zugeben müssen, dass ihre Hintertür auch von anderen Staaten genutzt wurde.
00:54:30 Staatstrojaner für "normale" Kriminalität
00:54:30 Emotet-Struktur zerschlagen. Das ist kein Hackback, sagen Gerhard und Marian, es waren physische Hausdurchsuchungen. Militär darf dazu nicht eingesetzt werden.
00:56:10 Wenn Polizei oder Militär eine Schwachstelle haben, haben sie auch andere Akteure. Besser sei es, zu Updates aufzufordern und einiges differenzierter zu betrachten. Man kann häufig nicht genau auf die Angreifer zielen. Einfacher ist es, quasi eine "dicke Metallwand" hochzuziehen.
00:59:10 Die Pandemie hat die Lage verschärft wegen der Heimarbeitsplätze, sagt Gerhard. Marian vermutet auch, dass kompetente IT-ler auf die dunkle Seite wechseln.
01:01:30 EU rüstet für den Krieg im Netz, schreibt ein Bericht. Ob Staaten im Netz gegeneinander antreten – darüber kann man spekulieren. Aber politisch motivierte Beispiele gibt es auf jeden Fall.
01:03:50 Deutschland kann sich nie ausreichend im Cyberraum verteidigen. Aber: Das kann auch nicht das ganze Land machen, sondern die Infrastrukturen müssen sich selbst verteidigen. Und das ist eine Frage, wie viel Geld Unternehmen dafür in die Hand nehmen.
01:05:55 Klein- und Mittelständler sehen die Gefahr oft nicht.
01:07:55 Manuel Atug von der AG KRITIS schlägt ein Cyberhilfswerk (CHW) vor, das bei Großschadensereignissen ähnlich wie das Technische Hilfswerk (THW) unterstützen könnte.
01:13:30 Das CHW-Konzept. (PDF)
Manuel hat auch einen Vortrag beim CCC gehalten: "Wie Nerds überleben, wenn pizza.de down ist. Prepping, hamstern, einen Vorrat haben oder nur aufs Beste hoffen?"
01:20:00 In Sachsen-Anhalt sei akuter Handlungsbedarf bei der IT-Sicherheit in Krankenhäusern. Dort wo IT-Sicherheit am wenigsten zum Unternehmensziel gehört, gebe es die größte Angriffsfläche. Angriffe sind dort am wahrscheinlichsten, wo sie am spektakulärsten sind. Außerdem haben Stadtwerke oft nur zwei oder drei IT-Mitarbeiter.
01:22:05 Krankenhaus-Direktoren sollten mehr mit Experten sprechen und sich informieren, sagt Gerhard. Sicherheit ist Chef-Thema!
01:23:45 Die Größe einer Firma spielt für Cyberkriminelle, die Lösegeld erpressen wollen, keine Rolle und es kann auch kleine Stadtwerke treffen. Das zu lösen ist für kleine Stadtwerke vielleicht sogar schwerer zu bewerkstelligen als für große.
01:25:00 Wie ESC auf Ausfall von KRITIS-Strukturen vorbereitet ist: ESC hat verschiedene Notstromaggregate und auch Geräte, die Strom aus Gas herstellen. ESC ist auch an der Schnittstelle von zwei Strom-Versorgungsbereichen. Notfallpläne auf vier Notebooks würden stündlich reproduziert. Man muss sich vorher Gedanken machen, sonst ist man hoffnungslos verloren. Denn: Nichts funktioniert heute mehr ohne Strom.
01:28:30 Langer Stromausfall gefährdet Trinkwasser- uns Abwasserversorgung und das Wieder-Hochfahren ist extrem kompliziert
01:30:50 Gerhards und Marians IT-Sicherheits-Tipps für Zuhause: regelmäßig Updates durchführen, Passwort-Sicherheit sicherstellen, am besten einen Passwort-Manager nutzen. Auch mal entspannen, Fachleute sagen, der Virenschutz von Windows ist gut.
01:34:15 Marcel meint, vielleicht sollten wir anders formulieren: "Unsicherheit senken" statt "Sicherheit erhöhen".
01:36:10 Sigrid hat ihre Schulen bei uns eingelöst.
OVGU - Autonome Fahrräder per App bestellen an der Uni Magdeburg
Kontakt zu Marcel Roth und Stephan Schulz: digitalleben@mdr.de
Sprachnachrichten bei Anchor
Oder im Messenger Threema. Unsere ID dort: 9A9KUTFA.
Für eure Sprachnachrichten könnt ihr auch die kostenlosen Messenger Signal und Wire nutzen.
Dort sind wir mit der Nummer 01578 76 43 202 registriert.
(Whatsapp und Telegram haben wir auch runtergeladen, eine Sprachnachricht dort ginge also auch, wenn es unbedingt sein muss.)