Ich habe mir letzte Woche einen neuen PC gekauft. Den habe ich gleich nach der Inbetriebnahme sicherheitszertifizieren lassen. Es war gar nicht so schlimm. Und Du? Ist Dein PC auch schon sicherheitszertifiziert? Hast Du den Internetführerschein auch schon?
Das könnte in naher Zukunft Umgangssprache sein. Ganz abwägig ist es nicht. Es gibt Anlass dazu. Zum Einen verlassen wir uns immer stärker beim Geschäfte machen auf das Internet, zum Anderen benötigen wir zwecks dieser Aufgabe starke Authentifizierung und digitale Signaturen. Sicherheit ist ein Markt wie kein anderer. Wird die Kriminaltität stärker, wird die Nachfrage nach Sicherheit stärker. Die Kriminalität wächst wie nie zuvor auf Erden. Die globalen Milliardenumsätze durch Käufe im Internet steigen permanent. Der stark gebeutelte Security-Markt wird immer härter. Unternehmen suchen Absatzmärkte wie nie zuvor. Bei Firmen geht noch ein bißchen was, aber lange nicht mehr so viel wie vor 10 Jahren. Also was bleibt? Der Privatanwendermarkt. Eine immens große Zielgruppe. Was die Mobilfunkindustrie kann, das versucht die Sicherheitsindustrie nun nach zu machen. Ganz vorne mit dabei die Firma, die sowieso schon fast in jedem Haushalt vertreten ist. Microsoft. Um was geht es?
IRBI heißt das Zauberwort. Internet Risk Behaviour Index. Der IRBI ist ein Online-Test. Unter http://www.irbi.de/ kann man seine Sicherheitsfähigkeiten im Umgang mit Gefahren aus dem Internet austesten. Anmelden oder Passwort eingeben und schon kann es losgehen. Erstens ist man dann bei IRBI registriert, wenn man noch nicht registiert war, und zweitens dient man darüber hinaus noch einem weiteren Ziel, nämlich der Wissenschaft, und letztendlich dem höheren Ziel, der Sicherheit. Die Maximilian Universität in Bayern hat nunmehr Lunte gerochen? IRBI, das sind Microsoft und die Uni München. Microsoft hat so viel Geld, da kann man wieder einmal ein paar Jahre Forschung finanzieren. Warum man das mit einem Partner macht, der in der Vergangenheit eigentlich einen schlechten Ruf für Sicherheit hatte, und nicht mit innovativen kleinen interlektuellen Fummlern, die schon große Dinge hervorgebracht haben, das kann nur daran liegen, dass sie nichts drauf haben die kleinen, ich meine finanziell.
Der Online-Test simuliert den Umgang mit den Gefahren aus der Wolke, die den Internetalltag darstellen. Angriffe von Hackern, absichern von WLANs bis hin zu Phishing-Angriffen, werden simuliert. Wie reagiert der Anwender darauf? Alles mit Unterstützung der Psychologie entwickelte realistische Szenarien? Testen Sie es.
IRBI stellt sozusagen ein Security Awareness-Programm für den Mittelstand und Privatanwender dar. Fein. Dazu lernen die Wissenschaftler der LMU München das Verhalten der Tester kennen. Und der Tester lernt seine Schwachstellen kennen. Nun denkt sich jeder,” fein”…alle haben etwas davon, alles kostenlos.
Ich zweifle stark daran, ob sich IRBI zur Open Source Plattform entwickeln wird für den Austausch von Verhaltensweisen von Usern gegenüber Gefahren aus dem Netz, und ob Microsoft sein Helfersyndrom ausspielt und sich nichts davon erhofft, sowie viele andere, die an der Idee mitgewirkt haben. Der Securitymarkt ist ein Milliardenmarkt. Im Privatbereich sind bisher in jedem Haushalt ein Virenscanner und eine Firewall, evt. auch Router mit FW-Funktionalität. Mehr nicht. Was hier noch alles verkauft werden kann? Dass man aber etwas ganz kostenlos anbietet, Forschung UND Hersteller, um zu erfahren, wie sich Heimanwender verhalten, wo sie ihre Schwächen haben, was sie immer wieder falsch machen, worauf sie immer wieder reinfallen, das dient nur einer Sache, und die wird einmal ganz schön teuer für den Anwender.
Man möchte wissen, wie man Produkte sicherer macht. Der Anwender speißt die Forschung, die Forschung die Industrie, und die Industrie den Anwender, letzteres aber nur gegen Cash. Und die Forschung verdient mit. Patente, Studien, Pilotprojekte, alleine die ganzen Forschungsstühle, wie können die sich noch finanzieren? Die Kassen sind leer, an den Studenten wird gespart, die Studiengebühren werden immer höher. Das ist wie schon lange zuvor in den USA. Forschung und Industrie arbeiten Hand in Hand.
So war das nie, doch so wird es immer bleiben. Anwender liefern Ergebnisse, die man dringend benötigt. Auf der einen Seite gut, auf der anderen Seite ein wenig verlogen, meiner Ansicht nach. Man kann doch gleich reinen Wein einschenken, und muss nicht mit “hier gibt es etwas kostenlos” ködern?! Ich würde mich nicht registrieren und meine Schwachstellen bekannt geben, anonymisiert oder nicht, das mache ich in den anderen Gebieten meines Lebens auch nicht? Wenn ich die Software herunterladen könnte, es auf meinem PC ablaufen lassen könnte, auch wenn ich keine Internetverbindung erstellt habe, und nur wenn ich wollte, meine Ergebnisse senden kann, das bedeutet für mich kostenlos.
Man beachte: Auf Computer-intern.de gefunden.
Hessen fördert Forschungszentrum für IT-Sicherheit
25.06.2008 – Das Fraunhofer-Institut SIT gründet zusammen mit der TU Darmstadt das IT-Sicherheitsforschungszentrum CASED (Center for Advanced Security Research Darmstadt). Der gemeinsame Förderantrag wurde jetzt im Rahmen des hessischen Forschungsförderprogramms LOEWE (Entwicklung wissenschaftlich-ökonomischer Exzellenz) bewilligt. “Die Entwicklung von innovativen Sicherheitslösungen für das Internet der Zukunft wird hier ebenso Thema sein wie die Manipulationssicherheit von sicherheitskritischen Software und Hardware-Komponenten. Derartige Komponenten kommen heutzutage nahezu überall zum Einsatz, in Autos oder Flugzeugen ebenso wie in Produktionsanlagen oder medizinischen Geräten. Auch die Wahrung der Privatsphäre wird ein zentrales Thema von CASED sein. Ein wichtiges Anwendungsfeld unserer Forschung wird hierbei der Gesundheitsbereich sein,”, sagt Institutsleiterin und Koordinatorin des CASED-Antrags Prof. Claudia Eckert….Und wie man weiß, sitzt Frau Prof. Eckert nun in München an der Universität, denn sie hat Darmstadt verlassen. Aber hört sich das nicht irgendwie ähnlich an? Beim Fraunhofer ist Frau Prof. Eckert auch. Und dass das Frauenhofer für die Industrie entwickelt, das muss man seit MP3 nicht mehr näher ausführen.
Ich möchte das nicht schlecht machen, IRBI, Darmstadt, CASED, München, Microsoft oder Fr. Prof Eckert. Nein, im Gegenteil. Gute Idee. Ich ärgere mich schwarz sie nicht selbst gehabt zu haben. Aber man sollte allen reinen Wein einschenken, und nicht so tun, als wäre man die heiligen drei Könige, die völlig unnütze Geschenke zur Geburt eines Kindes mitbringen. Dieses Ding, IRBI, es erinnert mich irgendwie an einen Film mit einem Käfer… nutzt letztendlich der Industrie mehr als dem Privatanwender, darauf würde ich wetten. Aber das liest man nicht. Wenn man mal die Nutzungsbedingungen von IRBI genauer liest, wird man von einem Regelwerk erschlagen. Also das alleine würde mich schon mißtrauig stimmen.
Und nun schauen Sie mal hier: http://www.webroot.de/De_DE/about-press-room-press-releases-4321.html und hier: http://www.honeytech.com/#/services
und dort: http://www.fotointern.ch/archiv/2010/03/08/swisssecurityday-2010-%C2%ABbist-du-sicher-augen-auf%C2%BB/ und dort: http://www.securitymanager.de/magazin/artikel_thema_sec_culture.html und ich könnte noch etliche aufführen.
Weshalb reitet gerade jeder auf diesem Hype herum? Umsonst, kostenlos…es gibt nichts kostenlos. Meine Frau ist Sozialpädagogin. Sie steckt in den tiefsten Analen des Sozialsystems. Auch sie sagt, es gäbe nichts kostenlos. Alles was bisher für Sie als Sicherheit entwickelt wurde, kostet. Bestes Beispiel Flughafen. Die Kosten des Check-ins zahlen Sie schon lange im Ticket mit. Alles Schmarn, wie man in München zu sagen pflegt. Das ist momentan kostenlos, ein Kredit, Sie bezahlen das in Zukunft noch ziemlich teuer. Die Rechnung kommt noch.
Im Buch „The Art of Deception“ von Kevin Mitnick kann man lesen, dass es Wurst ist, teure Kartenlesersysteme in Firmen vor Türen anzubringen, wenn ein Mitarbeiter einem voll beladen Menschen ohne Zutirttskarte die Tür aufhält. Single-Sign-On-Lösungen nutzen Unternehmen auch nichts, wenn man den Passwort-Post-it am Bildschirm klebend vorfindet, im Gegenteil. Social Engineering heißt das Zauberwort. Das und nur das. Ich hacke doch keine Verschlüsselung mehr, das führt zu nichts, ist viel zu kompliziert, zu teuer und aufwendig. Nein, ich gehe lieber mit gefälschten Bankkarten an Bankautomaten, die zur Wartung und zwecks Sicherung vom Bankennetz abgehängt werden, und immer schön 400 Euro ausgeben, bei jeder authentisierten Karte. Das ist viel einfacher. Ich muss nur herausfinden, wann sie gerade nicht am Netz hängen. Dazu lade ich mir die nette Mitarbeiterin zum Essen ein und flirte ein wenig, und muss mir ein Bankkärtchen klauen und einige basteln. Ok, das war einmal, heute funktioniert das nicht mehr mit den Bankautomaten. Aber es gibt andere Sachen, die heute immer noch funktionieren.
Deshalb ist es ungemein wichtig, Anwender in entsprechender Weise zu informieren, zu warnen und zu motivieren, sich am Arbeitsplatz (und natürlich auch privat) sicher zu verhalten. Communitainment heißt das Zauberwort. Diesen Teil von IRBI finde ich gelungen. Doch im Allgemeinen verwendet die IT-Industrie darauf viel zu wenig Mittel. Man versucht lieber, den Unternehmen und den Privatanwendern noch mehr Security-Lösungen zu verkaufen. Dies gaukelt den Anschein von noch mehr Sicherheit vor, die auf diese Weise allein niemals erreichbar ist. Das ist wie LSD nehmen oder Yoga machen. Beides führt zu einem höheren Wesen, aber nur der Yogi kommt wirklich an. Mehr Aufklärung und Handlungsanleitung wäre hier notwendig. Die für IRBI verwendeten Szenarien, sind psychologisch schon mittels Social Engineering entwickelt, sie können jedoch nicht wirklich die Realität von Social Engineering widerspiegeln. Und was man heute über die Absicherung von WLAN-Routern lernt ist in 2 Jahren kalter Kaffee.
Und noch etwas, die Ergebnisse von solchen Tests können sehr böse für alle enden. Stellen Sie sich vor, die Studie ergibt, dass ein drittel der Bevölkerung nicht fähig ist sicher mit dem Internet umzugehen, was wir heute schon wissen. Das wäre der beste Beweis für eine neue Gesetzesgrundlage, nach dem nun alle noch einen Führerschein machen dürfen, bevor sie online gehen dürfen, bevor man im Ebay Käufe tätigen oder mit Paypal zahlen kann und mehr. Kinderführerschein, Hundeführerschein, Autoführerschein, Flugzeugführerschein, Bootsführerschein, Panzerführerschein, Internetführerschein. Wow, was für ein Land und Leben, genau so habe ich mir das vor meiner Geburt immer vorgestellt?! Das ist die Profitgier von Firmen, die uns kontrolliert und einengt, Vorschriften macht und uns in letzter Konsequenz immer mehr unsere Freiheit raubt.
Sie glauben mir nicht? Dazu folgende Geschichte. Ich fliege seit 1988 Motorflugzeuge. Ich habe einen PPL-A und das AZF. Das AZF ist das höchste Flugfunksprechzeugnis, das sie in Deutschland erwerben können. Alle Airline-Piloten in Deutschland haben es. Es erlaubt das Funken beim Fliegen nach Sicht- und Instrumentenflug in deutscher und englischer Sprache, Voraussetzung dafür sind ein BZF II und I, zwei weitere Funksprechzeugnisse, die das Funken nach Sichtflugregeln in D II und UK I erlauben. Dann erst kann man das AZF machen. Ende diesen Jahres muss ich und alle anderen Privat- und auch Airlinepiloten nach bei mir 22 Jahren der Fliegerei zum Englischtest. Ich muss im einem Test beweisen, dass ich der englischen Sprache mächtig bin um in heilige Sphären des Luftraums an internationalen Verkehrsflughäfen einzudringen, und Berufspiloten auch. Ich mache das seit nunmehr seit 22 Jahren. Diesen Wahnsinn hat sich ein Ahnungsloser Einfallspinsel in Brüssel einfallen lassen, weil ihm irgend ein Lobbyist mitgeteilt hat, dass es ziemlich überfüllte Lufträume gibt, aus denen man die kleinen Flieger draußen haben will, aus keinem anderen Grund. Dann wurden Daemonen konstruiert bei denen legastenische Privatpiloten mangels Unterernährung in Englisch Airbusse und Boeings zum Absturz gebracht hätten. Mehr Sicherheit. Den Test, den ich als Probe schon durchgegangen bin,der ist soooooooo dämlich, dass man sich fragt, ob die Typen von der EASA jemals bei einer Prüfung zur Erlangung eines AZF beigewohnt haben, oder sich überhaupt in der Fliegerei auskennen? Apropos Englisch. Haben Sie mal eine Alitalia auf der frankfurter Frequenz anfliegen gehört? Das sind Airliner-Piloten. Ich denke die haben das wirklich nötig. Nun denn, in 2011 wird es weniger alte Flieger geben, aber es kommen Gott sei Dank immer mehr neue dazu.
Das was vorgegeben wird der Zweck zu sein, und im Vordergrund steht, das muss nicht wirklich der Zweck sein. Die FDP versprach vor Amtsantritt Steuersenkungen. Sie wurde gewählt. Und nun? Weit hergeholt denken Sie? Ich denke das im Falle von IRBI nicht! Reiner Eigennutz.
Bitte gehen Sie sehr vorsichtig in der Bereitstellung von Informationen für Zwecke, die Ihnen dienlich sein sollen und kostenlos sind, um. Das gibt es normalerweise nicht.
Ich hoffe ich konnte Sie ein wenig dazu anregen darüber nachzudenken, ob Sie Ihre Schwachstellen wirklich kostenlos vermarkten sollten? Ich denke das geht keinen etwas an. Bruce Schneider sagt, dass wir vergeblich an der Sicherheit drehen, da es keine sicheren Produkte gibt. Warum also gehen die Maximilian Uni und Microsoft nicht erst einmal zu den Security Herstellern und führen dort eine Hirnwäsche bei den Entwicklern durch? Bitte entwickeln Sie einen WLAN-Router, der sich ganz automatisch ganz sicher konfiguriert, bitte nur verbinden und einschalten. Ganz einfach. Weil man damit in absehbarer Zukunft kein Geld verdienen kann, und sich von den Herstellern nur Ärger einhandelt
Alexander Tsolkas
