IT Sicherheit 2.0/17

it-sa-2017-1

Sie ist Geschichte, die it-sa 2017! Und wieder ist sie größer geworden was die Zahl der Aussteller (Plus 28%), die verkaufte Fläche (Plus 46%) und die Zahl der Besucher (Plus 25%) anbetrifft. Wenn man wie ich – die Messe vom ersten Tag an in Nürnberg begleitet hat – dann beeindruckt diese Entwicklung ganz besonders. Damals als es los ging, verströmte die Messe den Charme der Improvisation. Viele Foren und Diskussionen, dazwischen einige einfache Messestände das war es. Und heute ist es eine „richtige“ Messe geworden – dieses Jahr der Umzug in die Hallen 9 und 10 – samt Negativentwicklungen. Die Stände deutlich größer, professioneller und beeindruckender. Die üblichen Versuche den Besucher mit Einladungen zu Kaffee, Eis, Popcorn & Co. an den eigenen Stand zu locken. Vortragsreihen mit 15-Minuten-Slots, die oftmals immer noch zu lang und in einigen wenigen Fällen leider zu kurz sind. Und gestritten wird auf Podien leider viel zu selten, eher gar nicht, da es die Podien auch nicht mehr gibt.

Aber eines ist die Messe heute auf jeden Fall, die Leitmesse zum Thema IT-Security. Und betrachtet man die steigenden Besucherzahlen, dann trifft sie auch den Nerv der Zeit. IT-Security gewinnt eben, auch aufgrund zusätzlicher Vorschriften und Gesetzesverschärfungen, endlich die Bedeutung, die ihr schon seit langem zusteht. Begeistert – „tolle Messe“, „wir sind sehr zufrieden“, „wenn jetzt der Donnerstag noch genauso verläuft dann war es super“ – waren auf jeden Fall alle Austeller, die ich gesprochen habe. Zumindest sofern diese noch reden konnten, denn bei einigen war die Stimme entweder schon stark angegriffen oder hatte bereits kapituliert.

Zu den Themen zählten Cloud Security, die von den meisten Ausstellern bedient wurde, und natürlich die im Mai 2018 umzusetzende DSGVO. Trend- oder Mussthemen halt, die auf die ein oder andere Weise wohl bei allen Unternehmen Beachtung finden. Verständlich, denn als Aussteller verfolgt man eben nicht caritative Ziele! Was mir persönlich jedoch viel zu kurz kam, war das Feld der IoT-Security. Im vergangenen Jahr noch war IoT, ob des Mirai-Botnetzes ein wichtiges, da brandaktuelles Thema. Schaut man in die Prognosen, dann gehen die Experten mittlerweile von mindestens 25 Milliarden smarten Geräten / Dingen in 2020 aus. Und dennoch waren viel zu wenige Aussteller auf das Thema fokussiert. Wenn dann war es oftmals lediglich ein Randthema und auf den Ständen in die Ecke gedrängt. Hier hätte ich mir einen stärkeren Schwerpunkt gewünscht, auch und gerade im Vorgriff auf die Zukunft und die damit verbundenen großen Risiken und Gefahren! Ärgerlich war auch der Messestand der Startups. Selbst wenn es keine ausreichende Anzahl an Interessenten gegeben haben sollte, auf einen Anbieter, der seit fast anderthalb Jahrzehnten mit Erfolg auf dem Markt agiert, trifft jedenfalls die Bezeichnung Startup längst nicht mehr zu! Aber das kann sich ja in 2018 dann auch ändern. Überprüfen werde ich das mit Sicherheit, denn der Oktober ist auch in 2018 bei mir wieder der itsa-Monat!

Advertisements

Meine CeBIT-Highlights

Logo Stackfield

Okay, die CeBIT besuche ich zuerst aus beruflichen Gründen, aber dennoch gönne ich mir in den Tagen in Hannover immer auch eine Auszeit und schlendere durch einige Hallen, um mich ganz persönlich über Produkte zu informieren oder im Messe-Gewusel kleine Perlen zu entdecken. In diesem Jahr habe ich dabei insgesamt drei subjektive Highlights gefunden, ein Vortrag und zwei Startups:

Der Vortrag der mediaTest digital GmbH beschäftigte sich mit dem Thema ”Gefährliche Apps”. Nun fallen einem dabei in der Regel direkt die üblichen Verdächtigen ein wie etwa Whatsapp & Co., aber diese standen gar nicht im Fokus des Vortrages. Vielmehr ging es um die Beurteilung beliebter oder nützlicher Apps. Am Beispiel von Shazam, Quizduell, Eurosport, Wall Street Journal oder Hotel.de wurden die Gefahren / Risiken für Unternehmen verdeutlicht. So werden etwa von Shazam, getestet in der iOS-Version, Geräte-IDs wie die Seriennummer der Netzwerkkarte (IMEI) und die MAC-Adresse an Dritte übertragen. Zudem wird der Standort des Gerätes teilweise im 3-Sekunden-Rhtyhmus an Shazam übermittelt. Vielleicht hat ja jemand eine Idee, warum eine Musikerkennungssoftware den Zugriff auf Geodaten benötigt, mir jedenfalls fällt dazu keine zitierfähige Erklärung ein! Aber auch Quizduell, getestet in der Android-Version, überträgt munter Hashwerte, eine verschleierte Form der IMEI-Adresse und weitere eindeutige IDs inklusive Benutzernamen unverschlüsselt an ein Werbe-Netzwerk. Die eindeutige Identifizierung des Anwenders ist damit ein Kinderspiel. Und wer bei Eurosport Kommentare abgeben möchte, steht vor der schönen Erfahrung, dass Benutzernamen und Passwörter unverschlüsselt übermittelt werden – ein gefundenes Fressen für Angreifer. Hotel.de (iOS-Version) überträgt hingegen unverschlüsselt alle Buchungsdetails. Vom Einsatz der Wall Street Journal App (Test der Android-Version) kann nur abgeraten werden, denn hier erfolgt die unverschlüsselte Weitergabe von IMEI und die Android ID an ein Werbe-Netzwerk! Leichter kann es Angreifern nicht gemacht werden! Und der Wettbewerb ist sicher interessiert, wenn beispielsweise Vertriebsmitarbeiter eindeutig erkannt und deren Bewegungsprotokolle verfolgt werden können.

Zu den Unternehmens-Perlen gehörte das Münchener Unternehmen Stackfield GmbH. Stackfield ermöglicht die Verwaltung von Aufgaben und Projekten im Browser, unter einer übersichtlichen und schnellen Oberfläche. Aus Sicht der IT-Security ist dabei die Ende-zu-Ende-Verschlüsselung von besonderer Bedeutung. Denn alle Informationen werden direkt auf dem Gerät des Nutzers ver- und erst beim Empfänger wieder entschlüsselt. Die Server stehen in Deutschland, an ein weiteres Rechenzentrum zur zusätzlichen Sicherung ist nach Aussage des Geschäftsführers gedacht. Besonders hat mir der modulare Aufbau der Software gefallen. So kann jedes Unternehmen sich genau die Teile aus einem Pool heraussuchen die es benötigt. Statt teurer Gesamtpakete exakt den eigenen Bedarf abdecken – sicher, individuell und auch noch kostengünstig, charmanter geht es für KMU kaum! Und die E-Mail-Flut wird auch reduziert, denn ein Projekt ist gleichzeitig ein Kommunikationsraum!

Mein zweites Unternehmens-Highlight ist die Kölner pixolus GmbH, deren Gründer Mitarbeiter des Fraunhofer Institutes waren. Pixolus stellte eine Software zur mobilen visuellen Erfassung von Daten via Smartphone vor, eine einfache und geniale Lösung. Einsatzmöglichkeiten wurden am Stand demonstriert etwa beim Ablesen von Strom-, Gas- oder Wasserzählern. Dabei können die erhobenen Daten sofern ein Netz zur Übertragung vorhanden ist direkt, zeitversetzt bei der Einwahl in ein Netz oder gesammelt zu einem festgelegten Zeitpunkt übermittelt werden. Das Fehler-behaftete und aufwändige Abtippen von Daten entfällt. Die Installation auf gängigen Smartphone und Tablets oder branchenspezifischen MDE-Geräten genügt und schon kann der mobile Scanner eingesetzt werden.

Zwei Lösungen, die durch ihre Einfachheit bestechen und die Arbeit von Unternehmen vereinfachen. Ich bin gespannt darauf, wie sich Stackfield und pixolus in der nächsten Zeit schlagen werden und was sie im nächsten Jahr auf der CeBIT zu berichten haben!

Die CeBIT und die Welt der Traktoren

CeBIT 2014-Claas-2

100 % Business – so lautete die Formel für Hannover in 2014 und ob es eine erfolgreiche Messe gewesen ist, das zeigt wohl erst die Zukunft. Spätestens bei den Anmeldungen für 2015 ist nämlich erkennbar, ob die Aussteller dem Konzept auch weiterhin folgen wollen. Gut, die Messeleitung veröffentlichte natürlich bereits heute, am letzten Messetag, die üblichen (Erfolgs-) Zahlen: So sollen 25 Mrd. Euro (Bestwert für Hannover) konkrete IT-Investitionen von den 92 % Fachbesuchern angeschoben worden sein. Mit 210.000 Besuchern, davon ein Viertel aus dem Ausland, habe man das angestrebte Ziel zu 90 % erreicht. Wie bereits früher angemerkt – Business as usual in der Messebranche.

Aber so rosig war zumindest nicht alles. Weniger Aussteller, weniger Besucher, Gänge in Straßenbreite und Hallenplatzierungen, deren Logik nicht nachvollziehbar war. So bekam ich bei meinem ersten Besuch in Halle 12, Thema IT-Security, einen echten Schock und kontrollierte zuerst, ob ich versehentlich die falsche Messe aufgesucht hatte. Ich stand nämlich vor mehreren riesigen Maschinen des Herstellers von Landtechnik Claas. Zugegeben, ein imposanter Anblick und technisch sicherlich interessant. Doch welcher Grund – außer dem die leere Halle zu füllen – spricht eigentlich dafür Traktoren & Co. den Fachbesuchern einer IT-Messe zu präsentieren? Dass Aussteller dies gar nicht lustig fanden und sich verar… vorkamen nicht ernst genommen sahen, habe ich dann in Gesprächen feststellen dürfen. Wenn Oliver Frese nächstes Jahr einen weiteren Rückgang bei den Ausstellerzahlen in Halle 12 zu verzeichnen haben sollte, könnte es daran liegen, dass diese Aussteller ein Langzeitgedächtnis haben!

Und was die Besucher angeht, so fiel auch in diesem Jahr die große Zahl an Fachbesuchern auf, die zwischen 16 und 18 Jahren alt war. Dagegen ist nichts einzuwenden, denn das sind die Fachkräfte der Zukunft und in Zeiten von BYOD ist der Einfluss des Anwenders auf die betriebliche IT auch enorm. Aber geplant und gewollt ist das eben auch nicht und damit schönen sie eigentlich nur die Bilanz. Denn zieht man sie von der Zahl der Gesamtbesucher ab, dann haben nur rund 194.000 Fachbesucher die Messe besucht und statt 90 Prozent stehen dann 84 Prozent bei der angestrebten Zahl an Fachbesuchern. Aber wie bereits gesagt, einen Erfolg verzeichnet die Messe ja eigentlich in jedem Jahr!

Oracles Verständnis von Sicherheit

Die allgemein gültige Weisheit, man solle nicht den Ast absägen auf dem man sitzt gilt offensichtlich nicht unbedingt für jeden. Dies ist die Quintessenz des aktuellen Editorials der iX 3/2013 von Christian Kirsch. In „Write once, bugs everywhere“ wird auf das zentrale Argument für den Einsatz kommerzieller, proprieträrer Software verwiesen – Wartung (und die Realität).

Oracle scheint es mit der Wartung insofern nur ernst zu nehmen, als der Kunde pünktlich und regelmäßig zahlt. Der Rest ist egal dann gelaufen. Beispiele gefällig? Seit vier Jahren existiere so Christian Kirsch „in Oracles namensgebender Datenbank (vulgo Database) eine Lücke die Man-in-the-Middle-Angriffe ermögliche“. Kunden der Version 11g sollen zwar bezahlen, eine Korrektur aber nicht mehr erhalten. Oder aber der Umgang mit MySQL. Die Bezeichnung kein Ruhmesblatt für Oracle ist in diesem Zusammenhang eine echte Untertreibung. Exploits für die Zero-Day-Lücken sind seit Dezember bekannt und Oracle tue nichts für seine Kunden mit Wartungsvertrag

Interessiert man sich in Redwood Shores nicht dafür? Kann man die Bugs nicht beheben, fehlt es vielleicht an einer Lösung? Das kann es wohl nicht sein, denn der Clone MariaDB habe die meisten bereits beseitigt. Es wird aber noch besser. Christian Kirsch führt aus: „Die allgemein zum Herunterladen verfügbaren MySQL-Quellen und -Binaries der Community-Version enthalten zwar bereits einige Korrekturen, doch wer zahlt, soll darauf noch warten.“ Ähm, ja, verstehe ich das jetzt richtig? Wer zahlt ist der Dumme, weil er etwas nicht erhält was derjenige der nichts zahlt bereits hat?

Setzt sich dieses Geschäftsgebaren durch, dann gehen den Unternehmen die Wartungsverträge anbieten langsam aber sicher die Argumente für solche Verträge aus. Und es ist Wasser auf die Mühlen derjenigen, die grundsätzlich für den Einsatz von Open Source Software plädieren. Aus Sicht von Oracle und Co. sicherlich nicht die beste Lösung!

PS: Erneut ist dieses Editorial der Beleg dafür, dass sich die regelmäßige Lektüre der iX lohnt. Bei mir jedenfalls ist es das erste was ich lese, wenn ich die iX aus dem Briefkasten geangelt habe. Daher an dieser Stelle ein Dankeschön an Christian Kirsch und alle seine Kollegen die Monat für Monat ein tolles Editorial auf die Beine stellen – und der Rest des Heftes ist wie immer auch noch einen Blick wert. 🙂