SymbOS — ein Verriss

Ausnahmsweise nicht Heise Online sondern diesmal das Portal Golem hat die aktuelle Vintage Computer Festival Ausstellung besucht https://video.golem.de/internet/19783/vintage-computing-festival-berlin-bericht.html in der Beschreibung unter dem 2 Minuten Clip wurde auf ein bemerkenswertes Projekt verwiesen: SymbOS. Es handelt sich dabei um ein Betriebssystem für den MSX Heimcomputer was ähnlich wie MenuetOS komplett in Assembler geschrieben wurde. Auf der Projektseite http://www.symbos.de/download.htm kann man im Bereich „System library“ einen Blick in den Assembly-Sourcecode werfen. Ebenfalls gibt es dort eine umfangreiche Doku. Vielleicht mögen jetzt Einsteiger sagen: Das ist aber mal ein cooles Projekt, doch ich betrachte das ganze etwas kritischer. Es gibt relativ viele solcher Hobbyprojekte wo Programmierer mit zuviel Zeit auf die Idee kommen, doch endlich mal Software für Computer-Oldies zu entwickeln. Mit Symbos gibt es jedoch mehrere Probleme. Zum einen fehlt es an einem C Compiler. Das heißt, will man für dieses System eigene Programme schreiben muss man wie das Betriebssystem selber alles in Assembler schreiben. Und zweitens ist die Hardware (MSX) inzwischen nur noch auf Flohmärkten oder als Emulator erhältlich. Das treibt die Projektkosten in astronomischen Höhen. Rein technisch kann man unter SymbOS vermutlich Texte schreiben, im Internet surfen und vielleicht programmiert noch jemand eine ERP-Software wie SAP R/3 für das System. Rein praktisch jedoch wird genau das nicht passieren. Weil wie gesagt, technisch ist das System extrem hochentwickeln, aber die Projektkosten … Hilfe. Es hat schon seine guten Gründen warum die Homecomputer aus den 1980’er heute in Musueen stehen und nicht mehr in Firmen verwendet werden. Rein funktional sind es natürlich vollausgestatte turing-mächtige Supercomputer, auf denen sich mit geschickter Programmierung jedes Problem lösen lässt. Insbesondere Probleme der Robotik und Künstlichen Intelligenz. Ich wage mal die These dass man sogar ROS auf 1 MB RAM bequem laufen lassen könnte, wenn man es vorher nach Assembly portiert und auf das nötigste reduziert. Das Problem ist ein anderes: Software wird von Menschen programmiert, und die sind teuer und arbeiten langsam. SymbOS ist vermutlich das teuerste Betriebssystem was jemals entwickelt wurde. Das heißt, der Aufwand und der Nutzen gehen massiv auseinander. Insofern ist es auch nicht minimalistisch wie man angesichts eines MSX Computer vielleicht denken mag, sondern ich wage mal die These dass SymbOS selbst für einen Großkonzern wie Microsoft den Kostenrahmen sprengen würde. Indem Sinne dass wenn man Microsoft sich entschließt auf diese Plattform zu wechseln, es binnen 12 Monate pleite wäre.

Das ganze ist kein Betriebssystem sondern es ist ein Kostengrab. Es wird lediglich von Systemen getoppt die noch aufwendiger sind. Immerhin ist Assembly Languge für den Z80 noch halbwegs weit verbreitet, Wer es noch aufwendiger mag der ist dem Hive Projekt gut bedient, https://hive-project.de/content/category/software/forth Diesmal wird die Hardware komplett selbst entwickelt und als Programmiersprache läuft ontop dann ein Forth System. Wie man vielleicht schon ahnt, erhöht das die Kosten weiter, weil man auf einer Stackmachine garantiert keinen C-Compiler laufen lassen kann. Anders gesagt, ich würde mal grob schätzen dass selbst ein Apple MacPro mit 12 Terabyte RAM billiger kommt, als wenn man den obigen Hive Computer baut.

Advertisements

Richard Stallman hat keine Ahnung von Bitcoins

In dem obigen Video erläutert Richard Stallman die Vorteile von Bitcoin, so führt er an, dass man damit Geld überweisen könnte und man sich unabhängig machen könnte von großen Konzernen. Diese Pro-Bitcoin Attitüde lässt darauf schließen, dass Stallman das Prinzip noch nicht wirklich verstanden hat, und nur das nachplappert was auf seinem Teleprompter steht. Die Wahrheit ist, dass Bitcoin keine Vorteile hat. Es handelt sich um Teufelswerk, was erfunden wurde, um die Menschen zu versklaven. Man kann damit auch kein Geld überweisen, sondern man kann lediglich Betrügern auf den Leim gehen, die sowas in Aussicht stellen. Bitcoin ist darüberhinaus verantwortlich für schwere Wirtschaftskrisen wie sie derzeit in Venezuela passieren. Dort hat Bitcoin dafür gesorgt, dass die Inflationsrate des Landes extrem gestiegen ist und es zu Arbeitslosigkeit und Massenarmut gekommen ist. Bitcoin ist ein Krisenphänomen das immer dort Fuß fassen kann, wo die Menschen kein Vertrauen mehr haben und wo ein Krieg unmittelbar bevorsteht. Bitcoin zu loben ist so ähnlich als würde man die Pest loben.

Hier http://t3n.de/news/bitcoin-gefahrlichste-open-source-projekt-aller-zeiten-310035/ findet sich ein sehr viel sachlicher Bericht über Bitcoin. Darin wird das P2P-Geld als das gefährlichste Projekt seit langem bezeichnet, was dazu führt, dass komplette Staaten ruiniert werden. Die beste Methode wie man mit Bitcoin umgehen kann ist es, die Teilnehmer zu kriminalisieren und jeder der auch nur einen Satoshi über die Blockchain sendet für Jahre in den Knast zu stecken. Auch Pro-Bitcoin Propaganda sollte man als Hate-Speech werten. Wichtig ist vor allem, dass man Unternehmen fertigmacht die Bitcoin heute schon einsetzen. Der Lebensmittelhändler REWE bietet beispielsweise Bitcoin als Zahlungsmittel an. Das wäre ein guter Grund wenn man da mal die Steuerprüfung vorbeischickt.

Generell gilt es zu unterscheiden zwischen nützlicher Technologie wie Paypall, was seriöse Online-Händler nutzen um den Zahlungsverkehr abzuwickeln und illegalem Geld wie Bitcoin, was ausschließlich von Kriminellen verwendet wird um Geld zu waschen. Bei Paypall wie auch beim Online-Banking was immer mehr Banken ihren Kunden anbieten handelt es sich um eine sichere Technologie die aus rechtlicher Sicht ohne Beanstandung ist und für den Verbraucher Vorteile bringt. Auch für Unternehmen bieten Paypall und SEPA Überweisungen einen bedeutenden Effizienzgewinn weil das Geld erstens sehr schnell übertragen wird und zweitens das Abtippen von Einzahlungsbelegen entfällt. Bitcoin jedoch ist kein weiterentwickeltes Paypal oder eine neue Art zu bezahlen sondern Bitcoin ist illegal. Dass es heute im Darknet eingesetzt wird, ist schlimm genug, im normalen Geschäftsverkehr hat es nichts verloren. Wenn in einer Stadt wie Wien ein Bitcoin Automat aufgestellt wird, so handelt es sich nicht etwa um die moderne Form des Geldverkehrs sondern es handelt sich um Staatsversagen. Die Wiener Polizei ist entweder schlecht ausgebildet, hat zuwenig Personal oder hat die Gefahr nicht erkannt, die von Kriminellen ausgeht.

Die neueste Entwicklung in Sachen seriöses aber innovatives Zahlungsmittel ist Paypall Cash. Es handelt sich um eine Smartphone App mit der man im Supermarkt bezahlen kann. Dort wird ein QR Code verwendet um die Transaktion auszuführen. Sowohl für Unternehmen als auch für Verbraucher ist das eine nützliche Technologie, die man benkenlos empfehlen kann. Es ist eine weitere Zahlungsmöglichkeit unter vielen.

Was jedoch ein No-go ist, dass sind Bitcoin Apps die auf einem Smartphone installiert werden um ebenfalls via QR Code zu bezahlen. Auf den ersten Blick ist der vorgang derselbe, doch Bitcoin ist eben kein Geld sondern es ist illegal. Jedes Unternehmen das sowas anbietet sollte man ins Gefängnis stecken und Verbraucher sollte man aufklären, über die Nachteile.

Auch bei Paypall tummeln sich schwarze Schafe. Beispielsweise wenn ein Händler bei ebay eine bereits geöffnete Verpackung versendet oder überhaupt nicht verschickt, das Geld aber einbehält. Das sind dann Fälle für das Beschwerdemanagement. Grundsätzlich ist Paypal jedoch der richtige Weg. Bei Bitcoin hingegen ist jede Transaktion ein Fail. Das heißt, Bitcoin an sich ist falsch, mit Bitcoin kann man keine seriösen Geschäfte ausführen.

Gegen Bitcoin vorgehen aber wie?

Grundsätzlich ist Bitcoin illegal. Damit ist gemeint, dass es anders als Paypall oder Online-Banking kein reguläres Geld ist sondern automatisch ein Fall für den Staatsanwalt darstellt. Paypall ist grundsätzlich legal, man kann jedoch mit Paypal auch illegales machen. Bitcoin ist immer illegal ohne Ausnahme. Die Frage ist jetzt wie Staaten gegen Bitcoin effektiv vorgehen können. Pro-Bitcoin Reden als Hatespeech einzustufen wäre eine Möglichkeit. Das heißt, Anleitungen in denen dazu aufgerufen wird Bitcoin zu verwenden, können als staatsgefährdende Indoktrination interpretiert werden. Das Problem besteht darin, dass bei den hohen Internationalen Standards und insbesondere weil Bitcoin auch in wissenschaftlichen Veröffentlichungen thematisiert wird, es so einfach nicht geht. Auch ist es schwer jemanden zu bestrafen, weil er sich einen Bitcoin Client auf sein Handy herunterlädt, weil das an sich noch nicht illegal ist. Dennoch gibt es eine Methode wie man gegen Bitcoin vorgehen kann, und zwar verurteilt man die Leute nicht direkt weil sie Bitcoin einsetzen sondern verurteilt sie wegen Taten, die damit in Zusammenhang stehen. Das heißt, den Lebensmittelkonzern REWE wird man nicht deswegen vor ein Gericht stellen können, weil sie Bitcoin als Zahlungsmittel akzeptieren sondern man muss nach etwas anderem suchen. Also nicht abgeführte Steuern, nicht ausgezahlte Sozialleistungen, abgelaufenes Haltbarkeitsdatum bei Frischeprodukten oder ähnliches. Die Stoßrichtung sollte jeodch unmissverständlich sein, und zwar dass jeder der sich mit Bitcoin einlässt sich einem Verfolgungsdruck aussetzt. Nur so wird man das Problem gelöst bekommen.

Die einzige Nachricht die erstrebenswert lautet, wenn irgendwo auf der Welt Bitcoin-Betrüger festgenommen wurden. Bitcoin-Kriminielle unschädlich gemacht wurden, oder ein Bitcoin-Ring aufgeflogen ist. Dann hat die Polizei hervorragende Arbeit geleistet und die Sicherheit im Land wiederhergestellt.

Hier das Pressestatement des Bundesverband digtale Wirtschaft in dem eindringlich von Bitcoin abgeraten wird:
http://www.bvdw.org/medien/bvdw-warnt-verbraucher-und-haendler-vor-bitcoins-als-zahlungsmittel?media=3006

Volle Zustimmung auch für folgendes Statement:

„Auch in Zukunft werden einzelne, zersetzende Kräfte immer wieder ihr Interesse bekunden, eine eigene neue Währung losgelöst von staatlicher Kontrolle zu schaffen.“

Damit wurde die Sachlage ganz gut beschrieben und die Notwendigkeit zum staatlichen Handeln herausgearbeitet. Bitcoin ist eine zersetzende Kraft, gegen die man mit rechtsstaatlichen Mitteln vorgehen muss.

Yubikey, was ist das?

Yubikey ist nach meiner Recherche ein kommerzielles Produkt was die Passwortsicherheit erhöhen soll. Wenn ich das Prinzip richtig verstanden habe, handelt es sich um Public-Key-Kryptographie die in Hardware one-time-passworte erzeugt. Das Prinzip ist vergleichbar wie bei SSH wo man den privaten Schlüssel auf seinem Rechner speichert, und den öffentlichen Schlüssel auf der Gegenseite hinterlegt. Wenn jetzt der öffentliche Schlüssel entwendet wird, bleibt das System trotzdem noch sicher. Beim Yubikey wurde das ganze zusätzlich noch in Hardware realisiert.

Wenn man dem Hersteller glauben schenken will, wird hier am ganz großen Rad gedreht. Im Grunde sollen alle Dienste auf Yubikey umgestellt werden. Das betrifft:

– Anmeldung bei Linux
– SSH Verbindungen
– E-Mail Passworte
– Verschlüsselung wie PGP
– Anmeldung bei Online-Diensten wie dropbox und github
– VPN Verbindungen

Eine Demo gibt es auf https://demo.yubico.com/php-yubico/ Dort wird unterschieden zwischen two factor und one-factor Authentifzierung. Bei der Two factor Authentifizierung wird Yubikey als Ergänzung zu einem vorhandenen Passwort genutzt, beim One-Factor kommt nur der Yubikey zum Einsatz und sonst gar nichts. Ist das grundsätzlich eine gute Idee? Meiner Meinung nach ja. Aktuell ist der Sicherheitsstandard für die meisten Nutzer so, dass sie halbwegs lange Passworte nutzen. Beim Yubikey ist das Passwort sehr viel länger und es wird ein öffentliches + privates Passwort verwendet. Dadurch steigt die Sicherheit signifikant an.

Natürlich kann man auch den Yubikey knacken. So ähnlich wie man heute auch SSH Anmeldungen hacken kann. Auch Public Key Kryptographie ist kein ultimativer Schutz. Aber, gegenüber einem simplen Passwort ist die Verwendung von Yubikey eine Sicherheitsverbesserung. Hinzu kommt, dass es den Anwender entlastet. Man könnte sich Passwortlisten schenken und stattdessen alles mit dem Key machen.

Am leichtesten lässt sich das Prinzip anhand der „Single-factor authentication“, das ist ein Verfahren was zwar nicht empfohlen wird, es macht jedoch deutlich wie es funktioniert. Bei Single Factor Authentification steckt man den Yubikey in den USB Port und fertig. Darüber meldet man sich beim jeweiligen Dienst an. Spannend wird es, wenn der Yubikey verloren geht oder ihn jemand klaut. Dann kann der andere sich damit ebenfalls einloggen, bzw. wenn er verloren geht kann man sich selber nicht mehr einloggen. soweit zur „Single Factor Autentification“. Um das Problem mit dem gestohlenen / verlorenen Stick zu entschärften gibt es jetzt allerhand erweiterungen. Diese werden als Two Factor authentification bezeichnet. Meist geht es darum, dass selbst bei Diebststahl der Angreifer sich noch nicht einloggen kann. Ebenfalls wichtig ist die Frage, wie man sein Passwort zurücksetzt, wenn der Yubikey verloren ging oder kaputt ist.

KRITIK
Bisher wurde weitestgehend ein Loblied auf den Yubikey eingestimmt. Es gibt jedoch eine Reihe von Kritikpunkten. Zunächst einmal kostet das gute Stück 50 US$, bei Amazon wird es derzeit mit 100 EUR angegeben. Das ist ziemlich teuer, nur um damit irgendwelche Accounts abzusichern. Zum Zweiten gibt es das Problem, dass die großen Anbieter wie Google, Amazon und github zwar Yubikey unterstützen aber nur in Kombination mit two factor Authentification. Das heißt konkret: der Anwender muss zunächst einmal seine Telefon-Nummer angeben, dann auf den Bestätigungscode warten und erst dann kann er den Yubikey einschieben. Im täglichen Betrieb muss der Anwender um in seinen Account zu gelangen dann folgendes tun:

1. Eingabe E-Mail Adresse
2. Eingabe Passwort
3. Bestätigung per SMS
4. Yubikey einstecken

Das heißt, die Dinge werden komplizierter als sie es ohnehin schon sind. Aber das größte Problem ist wohl, dass für die wirklich wichtigen Dinge der Yubikey nicht genutzt werden kann. Man kann damit weder Bitcoin absichern, noch seinen Bankaccount sichern. Weil dafür das gute Stück immernoch zu wenig Sicherheit besitzt. Ein wenig zynisch gesagt, ist der Yubikey einfach nur ein Zifferngenerator, so als wenn man auf der Tastatur irgendwelchen Unsinn eintippt. Es gaukelt Sicherheit vor wo keine da ist. Das heißt, der Endverbraucher gibt sich alle Mühe seinen Account zu sichern, wählt supersichere Passwörter und nutzt den Yubikey und auf der Gegenseite bei github hat der Root-Admin ein simples Passwort was die Hacker erraten und dann mit dem kompletten Datenbestand aus 10 Mio Accounts abhauen.

Schauen wir uns die Kosten dochmal etwas genauer an. Laut https://www.youtube.com/yt/press/de/statistics.html besitzt Youtube derzeit 1 Milliarde Nutzer, wenn sich jeder einen Yubikey für 50 US$ kauft um die Sicherheit zu erhöhen, wären das 50 Mrd US$. Wirklich sicherer wird dadurch gar nichts, weil das oben genannte Szenario das ein Angreifer bei Youtube die Server hackt ja trotzdem besteht. Dann dürfen die User trotzdem ihre Passwörter ändern, selbst wenn sie einen schicken USB Key besitzen. Ich will damit andeuten, dass das Konzept Yubikey sehr viel mit Marketing zu tun hat, jedoch keine technische Antworten gibt, wie man die Sicherheit erhöht.

Two-factor authentication

Heute soll es mal um ein unbeliebtes Thema gehen: die Zwei Faktor Authentifizierung. Laut der letzten Statistik sind weniger als 5% der User bereit, dieses Feature für ihre Apple, Google oder sonstigen Accounts zu aktivieren. Trotz massiver Indoktrination durch die Konzerne. Auf der anderen Seite stehen eben diese Konzerne unter Erfolgsdruck, weil im Wochenrythmus Millionen an Zugangsdaten geklaut werden und dann die Nutzer aufgefordert werden, ihre Passwörter zu ändern, obwohl sie gar keine Schuld haben. Das Problem lässt sich einfach beschreiben: derzeit hat niemand einen Plan, wie man Sicherheit im Internet realisieren soll. Die Kombination aus login plus Passwort ist die älteste Methode, gleichzeitig wissen aber alle, dass sie nicht wirklich sicher ist. Vor allem taugt sie nichts wenn man Bankdaten und Geldüberweisungen sichern möchte. Das Problem bei diesen Anwendungen ist, dass die Motivation für den Angreifer vorhanden ist, eine Brute-Force Attacke zu fahren. Was also tun? Wie gesagt, selbst die Informatik-Experten tappen im Dunkeln. Was man derzeit beobachten kann ist, dass die Firmen mit allerhand Verfahren herumexperimentieren. Das bekannteste wird als Two-factor authentication bezeichnet und bezeichnet überlicherweise die Verwendung eines Handys um einen Account zu sichern.

Ein weiteres Verfahren ist der Fingerabdruckscannner der von Apple in die neuen iPhones verbaut wurde. Wiederum schon länger auf dem Markt ist die Smartcard und ganz neu der U2F USB Key. Letzterer ist meiner Meinung nach die Zukunft in Sachen Authentifizierung, ob sich das Konzept jedoch durchsetzt steht in den Sternen. Fakt ist folgendes: solange das Internet eine reine Hobby-Veranstaltung war, galt das Motto dass es egal ist ob die Daten sicher sind. In den 1980’er gab es sogar Hacker, welche die Erfindung des Passwortes als den falschen Weg ansahen, weil Informationen immer frei sein müssen. In den letzten Jahren hat jedoch eine zunehmende Kommerzielisierung stattgefunden, und wenn im Fall von Amazon oder Apple mit einem Account auch Umsätze in realen Währungen getätigt werden, würde der Verzicht auf Passwörter keine gute Idee sein.

Generell kann man sagen, dass es die Notwendigkeit gibt, über Sicherheit neu nachzudenken. Also neue Verfahren zu entwickeln und diese in den Markt zu pushen. Die Kombination aus Login plus eines Passwortes wie „geheim“ ist jedenfalls nicht zukunftsfähig.

Die wohl neueste Innovation in Sachen 2-Faktor Authentifizierung heißt „Ledger Nano S“. Wirklich unterstützt wird das derzeit noch von niemandem und Youtube-Erklärvideos gibt es auch keine. Aber in der Theorie geht es um folgendes: der Stick ist eine Mischung aus 2 Faktor Authentifizierung plus Bitcoin Wallet. Man kann sich damit bei einem Dienst einerseits einloggen ohne Passwörter nur mit dem Stick und man kann damit auch gleich bezahlen und zwar in Bitcoin. Es ist noch nicht ganz geklärt, ob das jetzt die Revolution in Sachen Sicherheit oder der Albtraum ist, weil Bitcoin ja keinen guten Ruf besitzt.

Fragt man einmal Youtube nach Beispielen wo so ein Stick Verwendung findet, so sehen die Leute die es demonstrieren nicht besonders vertrauenserweckend aus. Üblicherweise haben sie dunkle Sonnenbrillen auf und sehen aus wie Gauner. Und wenn man den Stick in Aktion sieht, fühlt man sich an die Szene aus Terminator II erinnert wo der Junge mit einem selbstgebastelten Gerät den Bankautomaten knackt.

Die Frage die sich stellt lautet: was hat Bitcoin mit 2-Factor-Authentifizierung zu tun? Die Antwort lautet, dass üblicherweise Account geknackt werden, die etwas mit Payment zu tun haben. Wo also echtes Geld im Spiel ist. Folglich haben die Anbieter ein Interesse solche Accounts besser zu sichern. Auf der anderen Seite ist Bitcoin als Internet-Währung dazu entwickelt worden, um im Internet zu bezahlen. Also liegt es eigentlich gar nicht mal so fern, beides miteinander zu mischen. Schauen wir uns einmal die Ist-Situation.

Der Ist-Stand ist leider, dass die meisten User in ihren Online Konten Bankdaten hinterlegen oder Kreditkartennummern und den Account mit einem schwachen Passwort sichern. Irgendein Hacker klaut den Account und geht damit dann einkaufen. Die nächst bessere Lösung ist es, wenn man die User zu starken Passwörtern erzieht. Also dass der User 14 und mehr Buchstaben Zahlen Kombinationen eingibt. Jetzt wird es für Hacker schwerer aber nicht unmöglich den Account zu hacken. Die nächste Steigerungsform im „Arms Race“ sind 2 Faktor Authentifzierungen. Dort muss der User neben dem Passwort noch über sein Smartphone bestätigen dass er wirklich der Eigentümer ist. Aber auch das wird gerne und viel gehackt.

Ein weitere Methode die in der Gegenwart angewendet wird um Hacker abzuschrecken ist, wenn man im Online-Account nicht die kompletten Bankdaten speichert sondern das Konto mit Gutscheinen auflädt. Das wird vor allem im Umfeld von Android Konten gemacht. Gutscheincodes kann man über Tankstellen und neuerdings auch Supermärkte erwerben. Auf dem Konto befinden sich so maximal 20 EUR und selbst wenn das Konto gehackt wird, ist der Schaden minimal. Der oben erwähnte „Ledger Nano S“ Stick verbindet jetzt zwei Dinge: einmal wird das Bitcoin Konto als Gutschein betrachtet, wo im Worstcase nur ein kleiner Geldbetrag weg ist, gleichzeitig wird das Konto über ein Hardware-Generiertes One-Time-Passwort über den USB Stick gesichert.

Soweit die Theorie. Ob das die Kunden haben wollen und ob das die Gegenseite technisch unterstützt muss sich noch zeigen.

BITID
Noch einen Schritt weiter als den „Ledger Nano S“ geht das Bitid Verfahren. Das ist ein Ersatz zum heute verbreiteten „Login with your Google Account“. Bei Bitid gibt es überhaupt keinen Usernamen mehr, sondern man loggt sich ein mit seinem Bitcoin-Konto.

Cybersecurity Märkte

Nach wie vor wird Cybersecurity fälschlich als IT-Problem interpretiert. Wo man dann folgerichtig die IT-Abteilung mit der Lösung beauftragt, die beispielsweise Sicherheitsupdates einspielen. Und wenn die IT-Abteilung den Diskurs bestimmt kommen darin Themen vor wie „Linux vs. Windows“, Firewalls, sichere Netze und Malware. Aber, Cybersecurity ist eben kein IT-Problem, sondern zunächst einmal handelt es sich um einen weltweiten Markt. Hier ein kleiner Bericht aus den USA wie dort Cybersecurity-relevante Dienstleistungen an sechs große Contracter ausgelagert werden, https://www.cyberscoop.com/six-big-vendors-dominate-a-fragmented-federal-cybersecurity-market-numbers-show/

Das interessante an diesem Markt ist, dass er eben nicht wie häufig behauptet wird ausschließlich im Deepweb und in der Schattenwirtschaft existiert wo dann Exploits getauscht werden, sondern zu einem sehr großen Teil befindet sich der Markt oberhalb der Wasseroberfläche. Und zwar konkret wenn die US-Regierung an IBM einen Auftrag vergibt, doch bitte mal auf Malware zu scannen. Der Vorteil der Betrachtungsweise als Markt bzw. als Contract besteht darin, dass es herzlich egal ist, ob die Malware durch einen Exploit im Linux-Kernel eingedrungen ist und dabei die Firmware vom Cisco Router umgangen hat, sondern worum es stattdessen geht sind:
– ausführendes Unternehmen
– Beschreibung des Tenders
– Laufzeit
– Kosten

die IBM dann gegenüber der US-Regierung abrechnet. Natürlich wird an irgendeiner Stelle ganz im Detail dann doch jemand sich Sourcecode anschauen, Netze nach Malware scannen und Exploits stopfen, doch das findet dann sehr weit unten in der Hierarchie statt, dort wo es den Managern und Geldgebern egal ist. Auch das Paper „Cyber Security Export Markets“ in dem die USA den weltweiten Markt ausloten für Cybersecurity https://papers.ssrn.com/sol3/papers.cfm?abstract_id=2490014 ist weniger an technischen Dingen orientiert sondern geht sehr viel abstrakter an die Herausforderung heran. Natürlich hat man irgendwo weiter unten auch soetwas wie Hacker Challanges, wo also Leute ausgebildet werden in Rechner reinzuhacken und Lücken zu stopfen, doch darüber gibt es noch eine weitere Ebene die gesetzlich und ökonomisch reguliert ist. Die Idee ist es, die Dinge schön auseinanderzuhalten. Das man also auf der einen Seite die IT-Experten hat, die C Sourcecode im Schlaf lesen können und auf der anderen Seite dann die Politik und Experten für öffentliche Auftragsvergabe, die von Technik null Ahnung haben, dafür aber wissen wer den Zuschlag bekommen soll.

Früher war Computersicherheit einmal ein reines Technikthema. Fred Cohen hat in den 1980’er im Rahmen seiner universitären Forschung den ersten Computervirus programmiert, später wurden dann Würmer entwickelt die sich von allein verbreiten konnten. Inzwischen ist Cybersecurity jedoch zu einem gesellschaftlichen Thema geworden weil die Anzahl der Computer und die Abhängigkeit von ihnen ist gestiegen . Und deshalb besteht auch die Notwendigkeit von den technischen Fragen zu abstrahieren. Das heißt, man holt sich eben keine Hilfe von IT-Security Experten, sondern ganz im Gegenteil. Man ignoriert ihren Ratschlag und macht sich unabhängig davon. Stattdessen betrachtet man das ganze unter ökonomischen / rechtlichen Aspekten. Interessiert sich also für die möglichen Kosten, Auflagen des Gesetzgebers und Unternehmen an die man die Dinge auslagern kann. Machen wir uns nichts vor: Politiker und hochrangige Manager sind keine Experten für Cybersicherheit und sie werden es auch nie werden. Sie können sich nochsehr in die Materie einlesen, aber wie die Backdoor des letzten Supervirus funktioniert, werden sie niemals verstehen. Zu glauben, dass sie umdenken müssen oder mit der Zeit gehen müssen ist grundverkehrt. Vielmehr sollten Manager das tun, was sie am besten können: Märkte schaffen und nutzen.

Rückblick auf die Potsdamer Konferenz für Nationale CyberSicherheit (2017)

Die jährlich stattfindene Cyberkonferenz am Hasso-Plattner Insitut ist wiedereinmal zuende gegegangen und die Vorträge stehen zum Download bereit. [1] Inhaltlich gab es nur wenig neues zu hören. Fast hatte man den Eindruck, dass sich die Akteuere durch ihre Vorträge gemogelt haben, immer peinlich darauf bedacht ja nicht zugeben zu müssen eigentlich von Cybersicherheit keine Ahnung zu haben. Aber kann man dem BSI oder dem Gesetzgeber daraus einen Vorwurf machen, wenn er nicht darüber Bescheid weiß, wie ein Botnetz funktioniert oder was ein APT (=fortgeschrittener Angriff) ist? Eher nicht, laut Definition kümmert sich die Politik vor allem um gesetzliche Rahmenbedingungen, das heißt man ist gut darin, Gesetze zu erlassen und Steuergelder bereitzustellen aber schlecht darin zu sagen, wie man konkret Cybersicherheit umsetzt.

Was jedoch in einigen Vorträgen zur Sprache kam das war die mangelnde Zusammenarbeit zwischen der Politik auf der einen Seite und den Universitäten auf der anderen. Und genau hier liegt auch die Antwort verborgen wie man Cybersicherheit herstellen kann. Um es vielleicht einmal konkret zu machen: wenn internationale Staaten wie die USA oder Kroatien ihre Cyberinfrastruktur sichern wollen, so verwenden sie dazu keineswegs Linux, Firewalls und speziell gehärtetete Router sondern was Regierungen als Mittel einsetzen sind öffentliche Aufträge, besser bekannt als Tender. Das sind keine technischen Maßnahmen die aus der Hackerszene kommen sondern es sind Instrumente der öffentlichen Verwaltung. Wenn man in einer SearchEngine für Tender einmal nach Malware sucht, findet man folgendes: [2]

Man kann darin sehen, dass eine spanische Behörde gerade Bedarf hat, mit Malware infizierte Dateien zu entschlüsseln, und der Staat Australien wünscht sich ein E-Mail System was nach Malware suchen kann. Solche öffentliche Aufträge sind der Königsweg in Sachen Cybersecurity, weil einmal im System sich dann Aktuere die mit den technischen Details vertraut sind, sich auf derartige Aufgaben bewerben können. Darüber bekommt man Universitäten wie auch privatwirtschaftliche Unternehmen dazu, mit dem Staat zusammenzuarbeiten.

Leider war das Thema „Tender“ und Auftragsvergabe bei der Cybersicherheitskonferenz kein großes Thema. Obwohl es das Thema wäre, was in die Sphäre der Politik hineinfällt. Weil man es schön in Gesetzesform packen kann. Im Grunde sind Tender ein bürokratisches Vehikel nicht mehr. Anstatt also darüber zu reden, wie man seine IT-Infrastruktur gegen Schädlinge absichern kann, sollte man zunächst einmal sehr viel allgemeiner Diskutieren und zwar darüber wie man Verträge aufsetzt, Aufträge vergibt und lauter solche Dinge.