Ansichten eines Informatikers

IT-Sicherheits-Voodoo-Land Deutschland

Hadmut
28.3.2017 23:40

Das ist so richtig schlecht, was hier läuft. [Update!]

Ich hatte das ja in den letzten Tagen schon erwähnt, die Possen um die Cyber-Krieger-Truppen und das Helmholtz-Zentrum.

Auch sonst haben wir ja jede Menge Fehlschläge zu verkraften. Die Morgenpost schrieb heute, dass das Bundesverwaltungsamt den ePerso jetzt offiziell für eine Flop hält.

Was bedauerlich ist, denn im Prinzip war es eine gute Idee, der der ePerso selbst (ich habe mich nicht näher damit beschäftigt) sei, wie mir Kollegen aus dem Sicherheitsumfeld sagten, nicht schlecht gebaut. Aber das ganze Drumherum war einfach Murks, und eigentlich hat man da ja auch nie wieder etwas gehört. Am Anfang sollte man sowas um die 100 Megabyte Software installieren um sich authentisch irgendwo anzumelden, dann hatten sie da irgendeinen Bug drin, und irgendwie kam dann nicht mehr so richtig was. Jedenfalls nicht im Bewusstsein der Öffentlichkeit an.

De-Mail. Nutzt jemand von Euch De-Mail?

Oder die Kinderpornosperre.

Ein ums andere Ding wird da frontal in den Sand gesetzt, weil da nie eine ernstliche technische oder politische Absicht dahintersteckt und es immer nur darum geht, dass sich irgendein Politiker oder irgendeine Partei ohne Sachkunde profilieren und in die Presse spielen will. Genau so lange hält das Interesse an. Nach gewisser Zeit wird die Presse nicht mehr berichten, und dann interessiert das Projekt auch keinen mehr.

Heute ging eine Meldung herum (siehe hier und hier), wonach sie das Abnehmen der Fingerabdrücke bei Flüchtlingen nachhaltig vermurkst hätten. Ein Drittel der registrierten Fingerabdrücke soll wegen technischer Probleme unbrauchbar sein. Und der Terrorexperte Shams Ul-Haq sei hier als Flüchtling getarnt durch einige Aufnamestellen spaziert, ohne dabei überprüft bzw. durch Fingerabdrücke identifiziert zu werden.

Muss man sich klarmachen: Wir haben enorme Probleme mit Betrügern und Terroristen, und die schaffen es noch nicht mal, die Fingerabdrücke zu registrieren.

Heute morgen bekam ich den Newsletter des Bundesinnenministeriums, in dem sie auf ihre Aktion Di­gi­ta­li­sie­rung – Chan­cen si­cher nut­zen! IT-Sicherheit im Fokus des BMI auf der CeBIT

Das BMI will sensibilisieren, und der Bundes-CIO ist ja Informatiker, das wäre ja schon mal ein Riesen-Pfund. Und sie sagen ja auch schon, dass da allerhand wichtig wäre, von wegen Verletzlichkeit von Strom- und Wasserversorgung.

Nur: Was nutzt die Erkenntnis, wenn nichts passiert und wir schon 25 Jahre zu spät dran sind?

So skizzierte Staatssekretär Klaus Vitt, als “Bundes-CIO” zuständig für alle IT- und Digitalisierungsaufgaben im Verantwortungsbereich des BMI, seine Aufgaben. Dazu gehört auch, die Bevölkerung mit verschiedensten Maßnahmen und mithilfe von Kooperationspartnern für die erhöhte “digitale Verwundbarkeit” der zunehmend vernetzten Welt zu sensibilisieren.

Besonders wichtig dabei sind umfassende und verständliche Informationen zur Vorbeugung sowie zum Schutz vor Risiken wie Datendiebstahl und Erpresser-Software, aber auch zu den Gefahren beim allzu sorglosen Umgang mit sozialen Medien.

Geht’s denen noch gut?

Freilich sind Sensiblisierungen gut und wichtig. Mache ich auch monatlich. Aber erstens für sich betrachtet völlig nutzlos, weil man Millionen von Laien gar nicht so sensibiliseren kann (Wärt Ihr von denen schon mal sensiblisiert worden? Wenn ja: Was hat es gebracht?). Zweitens nutzt sie selbst dann, wenn sie funktioniert, nicht viel, denn auch die vollsensibilisierte Oma kann ja ihren Browser oder Google nicht umstricken. Und drittens ist das nicht Aufgabe eines CIO.

Ein CIO hat sich knallhart um die Informationsinfrastruktur zu kümmern und nicht um die PR und die Sensibiliserungsarbeit. Dessen Aufgabe wäre es, mal ein Sicherheitskonzept zu erarbeiten und die Ziele vorzugeben. Hätte ich noch nie gehört, dass da etwas von denen gekommen wäre.

Auch da passiert wieder nichts. Riecht verdammt nach Pappfigur und Operetten-CIO. Warme Worte verteilen, sonst tut sich da nichts.

Taugen wenigstens die Sensibilisierungen was?

Schaut Euch mal dieses alberne BMI-Video einer „Bürgerreporterin“ an.

Ich sag’s mal ganz direkt:

Was Klaus Vitt, der Bundes-CIO, und Arne Schönbohm, der BSI-Chef, dort erzählen, ist schlichtweg falsch. Die reden da von Datenschutz, nicht von IT-Sicherheit. Und damit wird man BSI-Chef und Bundes-CIO?

IT-Sicherheit kommt in dem, was die da erzählen, effektiv nicht vor.

Und auch das Video selbst dreht sich um die Frage: „Was ist wo über mich gespeichert?“

Das ist Datenschutz, nicht IT-Sicherheit.

Was tischen die uns da für einen Quatsch auf?

Und dann die Ratschläge von „Deutschland sicher im Netz e.V.“, wie man sicher wird:

  • Auf jeden Fall regelmäßig die Sicherheitseinstellungen in sozialen Netzwerken noch einmal überprüfen.
  • Bei jedem Post nochmal prüfen, ob es öffentlich oder privat ist und wer es sehen kann?
  • Und der wichtigste Tipp überhaupt lautet: Passwörter, Passwörter, Passwörter. Sichere Passwörter.

Ich glaub, ich steh im Wald.

Sicherheit ist Schutz gegen Angreifer. Der erste und der zweite Punkt sind Schutz gegen eigene Blödheit bzw. Fehlbedienung. Das mit den Passwörtern ist dann schon IT-Sicherheit, aber wirklich nur das allerunterste Dinge. Hätten die ihre Aufgaben gemacht, würden wir uns schon lange nicht mehr mit Passworten anmelden.

Man muss sich hier aber klarmachen, was für eine Sauerei da abläuft:

Die tun so, als wäre „IT-Sicherheit“ allein eine Sache des Anwenders und allein auf die Nutzung von Social Media beschränkt. Sucht Euch ein schönes Passwort für Facebook und setzt die richtigen Haken, und dann ist alles gut.

Dass wir sichere Infrastrukturen, Hardware, Betriebssysteme, Anwendungsprogramme, Speicher brauchen, wird da gar nicht erwähnt. Klick mal brav mit der Maus rum, und dann ist das alles gut, dann hast Du das fein gemacht.

Die tun gerade so, als gäbe es das Thema IT-Sicherheit gar nicht. Der Bürger soll ein bisschen sorgfältig klicken und sich gute Passworte suchen.

Ich glaub, ich steh im Wald.

Was wird uns da für ein Müll aufgetischt?

Es drängt sich geradezu auf, dass da irgendwer die Fäden zieht und mit allen Mitteln verhindern will, dass hier irgendetwas sicher würde. Was die da treiben ist reine Bürgerverarschung.

Der Bürger bekommt ein paar warme Worte und Beruhigungspillen.

IT-Sicherheit kriegt er nicht.

Das alte Thema. IT-Sicherheit wird systematisch vereitelt und sabotiert, und die politische Ebene der IT-Sicherheitsbranche mit Windbeuteln besetzt.

Und hier haben wir das direkt aus dem Bundesinnenministerium.

Update: Na, das hat ja nicht lange gedauert. Gerade ging die Meldung herum, dass es wieder Angriffsversuche auf den Bundestag gab, im Radio kam mehr dazu (es soll über eine israelische Nachrichtenseite gelaufen sein, die aber selbst wahrscheinlich nicht dahinterstecken, sondern nur ihren Laden nicht dicht hatten).

Genau das meine ich!

Solange wir keine Anwendungsprogramme und Betriebssysteme haben, mit denen es völlig egal ist, welche Seiten man besucht, und es den Begriff „Schadseiten“ überhaupt noch gibt, kann man von IT-Sicherheit erst gar nicht reden. Da haben die Polit- und Forschungsschwätzer ihre Aufgabe nicht gemacht.

Wir haben da inzwischen satte 30 Jahre verpennt. Das berühmte Paper With Microscope and Tweezers: An Analysis of the Internet Virus of November 1988 stammt von 1988, und wir sind heute nicht nennenswert weiter gekommen.