Transcript CyberCrime, Prism und NSA

CyberCrime,
Prism und NSA
Kann ich mein Unternehmen
schützen?
Inhalt
•
•
•
Aktuelle Trends der Internetkriminalität
Kann man sich vor Geheimdiensten schützen?
Konsequenzen für die IT-Sicherheit im Unternehmen
04.11.2013
© Franz J. Steppe
2
Definition
•
•
Cybercrime
– Der Begriff Cybercrime umfasst alle Straftaten, die unter Ausnutzung der Informations- und
Kommunikationstechnik oder gegen diese begangen wird. Cybercrime im engeren Sinne
bezieht sich auf spezielle Phänomene und Ausprägungen dieser Kriminalitätsform, bei
denen Elemente der elektronischen Datenverarbeitung wesentlich für die tatausführung
sind. (nach BKA)
Cyberwar
– Eine kriegerische Auseinandersetzung im und um den virtuellen Raum mit Mitteln
vorwiegend aus dem Bereich der Informationstechnik, im erweiterten Sinn werden damit
auch die hochtechnisierten Formen des Krieges im Informationszeitalter gemeint, die auf
einer weitgehenden Computerisierung, Elektronisierung und Vernetzung fast aller
(militärischer) Bereiche und belange basiert. (Quelle: Wikipedia)
04.11.2013
© Franz J. Steppe
3
Cyber…
CyberCrime
CyberWar
Cyberspionage
Organisierte
Kriminalität
Staaten
Hackergruppen
Unternehmen
Cybersabotage
Kritische
Infrastruktur
Organisationen
04.11.2013
© Franz J. Steppe
4
Cyberwar?
04.11.2013
© Franz J. Steppe
5
Cyberwar?
04.11.2013
© Franz J. Steppe
6
Cyberwar?
Cyberwar auf Spiegel Online (I/2014)
04.11.2013
© Franz J. Steppe
7
Obamas NSA-Rede: Kleine Reform für den großen Bruder (1/5)
Der US-Präsident will die NSA-Überwachung einschränken. Doch die
Reformen gehen nicht weit genug, der Geheimdienst darf weiter
schnüffeln. Obamas europäische Verbündete sollten sich nicht zu früh
freuen.
04.11.2013
© Franz J. Steppe
8
Obamas NSA-Rede: Kleine Reform für den großen Bruder (2/5)
•
•
•
•
Zwischendurch wirkt es, als sei Barack Obama nicht der Präsident der Vereinigten Staaten von
Amerika. Sondern der Uno-Sondervermittler in den Konflikten zwischen der NSA und dem
amerikanischen Volk sowie der NSA und dem Rest der freundschaftlich gesinnten Welt.
Da wirbt Obama einerseits für die Bedenken der Menschen: "Unser Regierungssystem beruht darauf,
dass die Freiheit nicht von guten Absichten der Mächtigen abhängt; es beruht auf dem Recht, das die
Mächtigen in ihrer Macht einschränkt." Und andererseits wirbt er für die Späher: "Die Leute von der
NSA und anderen Geheimdiensten sind unsere Nachbarn und Freunde." Sie missbrauchten ihre Macht
nicht, und "wenn Fehler gemacht werden, dann korrigieren sie diese". Aufgepumpte Rhetorik,
abgespeckte Reform
So geht es hin und her in Obamas 45-Minuten-Rede zur NSA-Reform, auf die Amerika und die Welt im
Grunde genommen seit den ersten Enthüllungen Edward Snowdens im Juni 2013 gewartet haben. Er
liefert: aufgepumpte Rhetorik, abgespeckte Reform. Obama verspricht bei seiner Rede in Washingtons
Justizministerium alles andere als einen Neuanfang.
Was Obamas Leute im Vorfeld als "ganze Serie spezifischer Reformen" ankündigten, das ist am Ende
nicht mehr als NSA-Kosmetik. Die kleine Reform für Big Brother. Ein paar neue
Sicherheitsvorkehrungen für den Schutz von Persönlichkeitsrechten, ein paar Prüfaufträge, ein paar
Beruhigungspillen fürs Ausland. Fertig.
04.11.2013
© Franz J. Steppe
9
Obamas NSA-Rede: Kleine Reform für den großen Bruder (3/5)
•
•
•
•
"Wir werden die Kommunikationen von Staats- und Regierungschefs unserer engen Freunde und
Alliierten nicht überwachen", verspricht Obama unter anderem an die Adresse der deutschen Kanzlerin
gerichtet. Obwohl er dies Angela Merkel zuvor schon persönlich zugesichert hat, hört sich das in
diesem allgemeinen Rahmen natürlich gut an. Außerdem hatte er zu Beginn seiner Rede schon eine
DDR-Referenz eingeflochten, wohl auch nicht ganz zufällig: "Totalitäre Staaten wie Ostdeutschland
haben gezeigt, was passieren kann, wenn die gewaltige, unkontrollierte Überwachung Bürger zu
Informanten macht und die Menschen für das verfolgt, was sie in ihren eigenen vier Wänden sagen."
Dann aber schränkt Obama gleich zweifach ein: Wenn es die nationale Sicherheit "zwingend" erfordere,
dann könnten auch befreundete Staatschefs abgeschöpft werden. Und: "Unsere Geheimdienste werden
rund um die Welt weiterhin Informationen über die Absichten von Regierungen sammeln, so wie die
Dienste der anderen dies auch tun." Was mag das im Klartext heißen? Merkel als Regierungschefin ist
mehr oder weniger raus - aber für Sigmar Gabriel als Vizekanzler gilt das noch lange nicht?
Schwammig bleibt Obama auch in der Frage des von ihm zugesicherten besseren
Persönlichkeitsschutzes für Ausländer. Er habe Geheimdienstkoordinator James Clapper und
Generalstaatsanwalt Eric Holder angewiesen, Sicherheitsvorkehrungen zu erarbeiten, die die
Speicherzeit personenbezogener Informationen sowohl verkürzen als auch deren Nutzung restriktiver
handhaben sollen. Ein Auftrag, keine Entscheidung.
Keine Abfrage mehr ohne richterliche Genehmigung
04.11.2013
© Franz J. Steppe
10
Obamas NSA-Rede: Kleine Reform für den großen Bruder (4/5)
•
•
•
Den Amerikanern versicherte der Präsident, dass die umstrittene massenhafte Sammlung von TelefonMetadaten zwar fortgesetzt werde ("mächtiges Instrument"), das Verfahren aber solle sich ändern. Die
Daten sollen künftig nicht mehr direkt bei der NSA - also der Exekutive - gespeichert, sondern von einer
"dritten Partei" verwahrt werden. Denkbar sind die Telefongesellschaften selbst oder ein
Zusammenschluss von Providern.
Der Haken: Der Präsident gibt dem Justizministerium und der NSA 60 Tage Zeit, ihm Vorschläge zu
unterbreiten; doch schon jetzt sperren sich die Netzanbieter gegen ein solches Vorhaben. Obama hat
damit eine Reform angekündigt, deren Umsetzung noch längst nicht geklärt ist. Letztlich soll auch der parteipolitisch polarisierte - Kongress mitentscheiden.
Eines ist ab sofort wirksam: Die Dienste dürfen keine Telefondaten mehr aus der Sammlung abfragen,
ohne dass nicht eine richterliche Genehmigung des geheim tagenden Foreign Intelligence Surveillance
Court (Fisc) vorliegt. Bei der NSA wird dieses Verfahren mit Sicherheit für Verärgerung sorgen.
Ansonsten aber haben sich die Späher und Spione nicht zu beklagen. Obama hat unter Rückgriff auf
die US-Geschichte versucht, sie aus ihrem fürs Image nicht unbedingt förderlichen Schattenreich
herauszuholen: Die Geheimdienste, so Obama, hätten den USA immer wieder geholfen, Nation und
Freiheit zu verteidigen. In den Anfangsjahren der Republik gegen die Briten, dann gegen die
rebellischen Südstaaten, später gegen Japaner und Deutsche im Zweiten Weltkrieg, schließlich im
Kalten Krieg gegen die Sowjetunion. Und seit den 9/11-Anschlägen gegen den internationalen
Terrorismus. Aus den NSA-Mitarbeitern macht Obama Freiheitskämpfer.
04.11.2013
© Franz J. Steppe
11
Obamas NSA-Rede: Kleine Reform für den großen Bruder (5/5)
•
Natürlich ist da etwas dran; dennoch wirkt es reichlich überzogen. Obama trat ja einst auch an, um die
Auswüchse des Sicherheitsstaates unter George W. Bush wieder einzuhegen. Damals versprach er
zum Beispiel, das Gefangenenlager von Guantanamo zu schließen. Bis heute ist ihm das nicht
gelungen. Wird es mit seiner kleinen NSA-Reform genauso laufen? Am Ende seiner Amtszeit könnte so
ausgerechnet das bestehen bleiben, was er einst verändern wollte. Dass er an diesem Freitag nur den
kleinen Wurf gewagt hat, wird sein Erbe bestimmen.
04.11.2013
© Franz J. Steppe
12
Computerkriminalität
•
•
•
•
•
•
•
Ausspähen von Daten (§ 202a StGB):
Softwarediebstahl, Ausspähen von Daten, Wirtschaftsverrat, Verschaffen von
Unternehmensgeheimnissen
– “Wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und
die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der
Zugangssicherung verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe
bestraft.”
Abfangen von Daten (§ 202b StGB):
Sniffen, sowohl Kabel als auch WLAN
Vorbereiten des Ausspähens und Abfangens von Daten (202c StGB):
herstellen, verschaffen, verkaufen, überlassen, verbreiten oder zugänglich machen von
Computerprogrammen zur Begehung von Straftaten
Computerbetrug (§ 263a StGB):
Jeder Eingriff in einen Datenverarbeitungsvorgang, der einen Vermögensschaden verursacht
Fälschung beweiserheblicher Daten (§ 269 StGB):
“elektronische Urkundenfälschung”
Datenveränderung (§ 303a StGB):
Veränderung oder Vernichtung von Daten, Viren!
Computersabotage (§303b StGB):
Anschläge auf die Datenverarbeitung durch Verändern oder Vernichten von Computerdaten,
Datenträgern oder Anlagen
04.11.2013
© Franz J. Steppe
13
Vaillant-Heizungen mit Sicherheits-Leck (1/2)
•
•
•
•
Die Vaillant-Heizungsanlagen des Typs ecoPower 1.0 enthalten ein hochkritisches
Sicherheitsloch, durch das ein Angreifer die Anlage über das Internet ausschalten und potenziell
beschädigen kann. In einem Informationsschreiben rät der Hersteller seinen Kunden daher zu
einem drastischen Schritt: Sie sollen den Netzwerkstecker ziehen und auf den Besuch eines
Servicetechnikers warten.
Bei den für Ein- und Zweifamilienhäuser ausgelegten ecoPower-Anlagen handelt es sich um
sogenannte Nano-Blockheizkraftwerke, die aus Gas nicht nur Wärme, sondern gleichzeitig auch
Strom produzieren. Die Anlagen sind mit dem Internet verbunden und über ein Webinterface
fernsteuerbar – sowohl von ihren Besitzern als auch von Service-Technikern. Allerdings
schlummert in diesen Webinterface ein erhebliches Sicherheitsproblem, wodurch man sehr
einfach an die Klartext-Passwörter für den Fernzugriff kommt.
Neben dem Kundenpasswort geben die Anlagen auf Zuruf auch das sogenannte Experten- und
das Entwicklerpasswort aus; man kann also mit höchstmöglichen Rechten auf das System
zugreifen und so etwa die Anlage im Winter ausschalten, wodurch es zu Frostschäden kommen
kann. Durch das Erhöhen der Vorlauftemperatur kann es auch im Sommer zu Schäden kommen,
sofern angeschlossene Flächenheizungen nicht über einen unabhängigen Temperaturbegrenzer
verfügen.
Die Situation wird dadurch verschlimmert, dass sich die ecoPower-Anlagen bei einem DynDNSDienst des Herstellers anmelden. Man kann daher durch simples Herumprobieren sämtliche
laufende Systeme aufspüren.
04.11.2013
© Franz J. Steppe
14
Vaillant-Heizungen mit Sicherheits-Leck (2/2)
•
•
•
Entdeckt hat die Schwachstelle ein Leser der Branchenseite BHKW-Infothek, welche schließlich
heise Security eingeschaltet hat. Gemeinsam mit der BHKW-Infothek konnten wir das Problem
reproduzieren und mit Vaillant schließlich Lösungswege besprechen. Wir haben auch das
Bundesamt für Sicherheit in der Informationstechnik (BSI) eingeschaltet, das sich daraufhin dafür
eingesetzt hat, dass die Lücke geschlossen wird.
Dabei ist herausgekommen, dass zunächst einmal sämtliche betroffene Kunden auf dem Postweg
informiert werden. Das ist im Laufe der vergangenen Tage passiert. Die Kunden wurden
aufgefordert, den Netzwerkstecker aus der Heizung zu ziehen. Im nächsten Schritt wird der
Hersteller Techniker schicken, die die verwundbare Software gegen eine abgesicherte Version
austauschen. Dazu wird die SD-Karte der Heizung ersetzt.
Darüber will hinaus will Vaillant in Kürze eine VPN-Box anbieten, welche die Verbindung zum
Hersteller-Server verschlüsselt und dafür sorgen soll, dass die Anlage nicht mehr direkt über das
Internet erreichbar ist. Für Kunden, die einen Wartungsvertrag abgeschlossen haben, soll auch
diese Leistung kostenlos sein. Alle anderen können die Box für einen bislang nicht genannten
Betrag erwerben. Der Hersteller hat eine Hotline eingerichtet, die werktags von 8 bis 18 Uhr
erreichbar ist: 0800-9999-3000.
04.11.2013
© Franz J. Steppe
15
Vaillant-Heizungen mit Sicherheits-Leck
Klicken Sie auf das Bild, um das Video abzuspielen!
(Internetverbindung notwendig, Format: .webm, Größe: 136MB)
04.11.2013
© Franz J. Steppe
16
Spione kommen aus China, Diebe aus den USA
04.11.2013
© Franz J. Steppe
17
Barack Obama ist verletzt
Breaking: Two Explosions in the White House and Barack Obama is injured
(Zwei Explosionen im Weißen Haus und Barack Obama ist verletzt)
'Syrian hackers' break into Associated Press' Twitter account and 'break news' that explosions at White House have
injured Obama - sending DOW Jones plunging 100 points
•
Phishing Mail an Associated Press
– innerhalb von 60 Minuten eine Fake-Twitter-Meldung über den Hauptaccount von
„Associated Press“
– Dow Jones verliert kurzzeitig knapp 150 Punkte
04.11.2013
© Franz J. Steppe
18
Warnung des BSI: 16 Millionen Online-Konten geknackt
04.11.2013
© Franz J. Steppe
19
Passwort hacken lernen
04.11.2013
© Franz J. Steppe
20
Hacker-Tools für Profis
04.11.2013
© Franz J. Steppe
21
Hacker-Tools für Profis
04.11.2013
© Franz J. Steppe
22
Hack
•
•
•
Ausspähen eines Passwords im Ausland
Login mit ausgespähtem Passwort eines
berechtigten Nutzers
Ausnutzen einer Sicherheitslücke im
Linuxkernel um root-Rechte zu erlangen
Austausch des sshd
–
•
Mit eingebautem Keylogger
Installation eines Command & Controllservers
für ein Botnetz
04.11.2013
© Franz J. Steppe
23
Kritische Infrastruktur
•
Kritische Infrastrukturen im … sind … Einrichtungen, Anlagen oder Teile davon in den
Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr,
Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen, die von hoher
Bedeutung für das Funktionieren des Gemeinwesens sind und durch deren Ausfall oder
Beeinträchtigung nachhaltig wirkende Versorgungsengpässe oder erhebliche Störungen
der öffentlichen Sicherheit eintreten würden.
BSI-Gesetz § 2 Abs. 10 neu
04.11.2013
© Franz J. Steppe
24
Pannen
04.11.2013
© Franz J. Steppe
25
Fazit I
•
•
Cybercrime
– Ist Realität
– Jeder kann persönlich betroffen sein
– Jedes Unternehmen kann betroffen sein
– Grenzüberschreitende Strafverfolgung ist ein Problem
– Wo ist der Tatort?
Cyberwar
– ist ein Hype
– StuxNet und Flame waren staatliche (??) Hackerangriffe
– Das Ziel wird die „kritische Infrastruktur“ sein
– Hoher Schutzbedarf für die „kritische Infrastruktur“
Der Verteidiger muss immer gewinnen, der Angreifer nur einmal
04.11.2013
© Franz J. Steppe
26
Computerkriminalität
Geheimdienste haben
den gesetzlichen
Auftrag zu
spionieren!
04.11.2013
© Franz J. Steppe
27
DE-CIX
•
•
1,45 Tbit/sec ≈ 10,88 TByte/min
Mehr als zwei 4 TByte HDD/min
04.11.2013
© Franz J. Steppe
28
NSA speichert 1 Yottabyte
„NSA speichert 1 Yottabyte“
• WD Se:
– 2m61x14,70x10,16cm, 9,5(8,1 Watt
– 4x1012 Byte
• Yotta Byte 1024 Byte  1024/4x1012=2,5x1011HDDs
– Volumen: 9,75x107 m3 = Cheops Pyramiden
– Stromverbrauch: 1.363 Kraftwerksblöcke ISAR2
• MicroSD-Karten (64 GB):
– 2,58x106 m3 = 1 Cheops Pyramide
• STORAGETEK SL8500
– 5,98x108 m3 = 239 Cheops Pyramiden
04.11.2013
© Franz J. Steppe
29
Deutsches Klimarechenzentrum
• Deutsches Klimarechenzentrum
– 7 Bandbibliotheken
• 8 Roboter je Bibliothek
– mehr als 67 000 Stellplätze für Magnetbandcassetten
– 88 Bandlaufwerke
– Gesamtkapazität mehr als 100 PetaByte
– 500 TeraByte Disk Cache
– Zuwachs 10 Petabyte pro Jahr
• Cleversafe
– 35 Portable Data Center: je 25 PByte mit 3 Tbyte HDD ~ 0,9
ExaByte
04.11.2013
© Franz J. Steppe
30
Prism & Tempora
• Nachrichtendienste hören Verbindungen ab!
– Davor schützt eine verschlüsselte Kommunikation
• VPN (IPsec, SSLvpn)
• SSL-verschlüsselte Verbindungen
– Ist einer der Endpunkte „kompromittiert“, nützt die
Verschlüsselung nichts
• Nachrichtendienste analysieren Verkehrsdaten!
(werten Metadaten aus)!
– Da die Meta-Daten meist nicht verschlüsselt werden …
– Ein Endgerät baut eine VPN-Verbindung ins Unternehmen auf;
der Besitzer des Endgerätes ist bekannt
• Handys haben eine IMEI, SIM-Karte
• Festnetzanschlüsse haben ein Kabel in die Wohnung
– Verschlüsslung allein schützt nicht vor Verkehrsdatenanalysen
04.11.2013
© Franz J. Steppe
31
NSA-Überwachung: Verschlüsselung alleine wird uns nicht retten
04.11.2013
© Franz J. Steppe
32
Hintertür im Programmcode
04.11.2013
© Franz J. Steppe
33
Verschlüsselung
04.11.2013
© Franz J. Steppe
34
Die gute Nachricht: AES (Advanced Encryption Standard) ist
sicher!
04.11.2013
© Franz J. Steppe
35
Angriffe auf Zufallszahlen
•
•
•
•
Bitte an Provider die Schlüssel zu liefern
– Bei einer SSL-Verbindung hat der Server den privaten Schlüssel des Servers; kann an NSA
gegeben werden
Dual_EC_DRBG
– ist ein Zufallszahlengenerator
– Teil der NIST Special Publication 800-90
– Mittlerweile zurück gezogen
Angeblich wurde die Entropie von 128 Bit auf 32 Bit reduziert
Angriffe auf Rechner oder Zufallszahlen, um an Schlüssel zu kommen
– Verschlüsselung Knacken ist schwieriger
04.11.2013
© Franz J. Steppe
36
Kommunikation ohne E-Mail
•
•
Gesicherte Kommunikation nur über gespeicherte Entwürfe (https)
Provider hat Zugriff
04.11.2013
© Franz J. Steppe
37
Truecrypt
•
Bitlocker ist böse wg. Microsoft
•
FileVault 2 ist böse wg. Apple
•
…
•
TrueCrypt ist gut wegen .… Opensource
•
•
Wer hat‘s geschrieben?
– TrueCrypt Foundation. Wer ist das?
– Nicht als Open Source anerkannt
– Mittlerweile erfolgreich compiliert
– Projekt zur Analyse des Quellcodes
04.11.2013
© Franz J. Steppe
38
Kann man Open Source Software trauen?
•
•
•
OpenSSL, OpenSSH
– hatten Probleme mit der Generierung der Zufallszahlen für Schlüssel
Der TrueCrypt Quellcode soll untersucht werden
– Finanzierung ist noch nicht gesichert
Draytek Router
– 15.7.13: Draytek rüstet OpenVPN nach
– 4.11.13: DrayTek zieht überraschend OpenVPN zurück
04.11.2013
© Franz J. Steppe
39
VPN-Provider
•
•
•
•
VPN-Provider kann den gesamten Verkehr
analysieren.
Ist der Provider vertrauenswürdig?
Sitzt der Provider in den USA?
unverschlüsselt
04.11.2013
© Franz J. Steppe
40
Prism & Tempora
•
•
Nachrichtendienste hören Verbindungen ab!
– Davor schützt eine verschlüsselte Kommunikation
• VPN (IPsec, SSLvpn)
• SSL-verschlüsselte Verbindungen
– Ist einer der Endpunkte „kompromittiert“, nützt die Verschlüsselung nichts
Nachrichtendienste analysieren Verkehrsdaten!
(werten Metadaten aus)!
– Da die Meta-Daten meist nicht verschlüsselt werden …
– Ein Endgerät baut eine VPN-Verbindung ins Unternehmen auf; der Besitzer des Endgerätes
ist bekannt
• Handys haben eine IMEI, SIM-Karte
• Festnetzanschlüsse haben ein Kabel in die Wohnung
– Verschlüsslung allein schützt nicht vor Verkehrsdatenanalysen
04.11.2013
© Franz J. Steppe
41
Prism, Tempora und Co.
•
Es werden Metadaten gespeichert (langfristig)
– Damit sind Verkehrsanalysen möglich
• Wer ruft welche Web-Seiten auf
• Wer schickt wem eine E-Mail
• Wer telefoniert mit wen
• Wer überweist wem Geld
– Ein Schutz ist aufwendig bis unmöglich
• Münztelefon
• anonymes Handy
• TOR
04.11.2013
© Franz J. Steppe
42
Migration per E-Mail
"You are where you e-mail: Global migration trends discovered in e-mail data“, Emilio Zagheni
und Ingmar Weber, MPI für Demographische Forschung
–
–
–
–
E-Mails von 43 Millionen Yahoo Accounts von Sep. 2009 bis Jun. 2011
Auswertung der IP-Adresse beim Versand der E-Mail
Zunahme der Migration Anfang 2011 durch die Finanzkrise
Bessere Daten durch Twitter
http://www.demogr.mpg.de/de/news_presse/pressemitteilungen_1916/globale_wanderungstrends_im_e_mail_verkehr_entdeckt_2939.htm
04.11.2013
© Franz J. Steppe
43
Smartphones
•
Ein Smartphone meldet sich mit SIM und IMEI im Netz an.
•
•
Eine anonyme und eine bekannte SIM
Zwei Handys
– Nie gleichzeitig an
– Nie räumlich korreliert
04.11.2013
© Franz J. Steppe
44
Italien Job
(Entführung Imam Abu Omar am 17.2.2003 in Mailand)
•
•
•
Analyse und Visualisierung von Handy-Daten
– eine Reihe von Handys, deren Besitzer nur untereinander kommunizieren
– welches Telefon wann in welcher Funkzelle eingebucht war  Bewegungsprofile
– Telefone lagen eingeschaltet über Nacht mehrere Stunden an einem Ort
– Ein Agent hatte dabei seinen richtigen Namen genutzt
– Die Agenten hatten Kreditkarten mit ähnlichen Nummern
– ein Telefon (IMEI) später mit neuer SIM-Karte für Kontakte zur CIA-Station genutzt
Strafverfahren 2009
Metadaten sind nicht harmlos!!!!
•
http://www.spiegel.de/netzwelt/netzpolitik/telefon-ueberwachung-metadaten-verraten-illegale-cia-operation-a-914470.html
04.11.2013
© Franz J. Steppe
45
Das Telefon der Bundeskanzlerin
•
In jeder Botschaft gibt es eine legal abgedeckte Residentur
– Offiziell als Diplomaten akkreditierte Spione
Richtfunk (unverschlüsselt)
Botschaft
Kanzlerhandy
04.11.2013
© Franz J. Steppe
46
Personal Outsourcing
•
Haben Sie jemals darüber nachgedacht, wo Ihre Daten bleiben?
– Microsoft hat klargestellt, dass sie die Daten an us-amerikanische Behörden herausgeben,
auch wenn die Daten in Europa im RZ sind.
– Alle anderen machen das auch so
• Dropbox, Facebook, Google …
04.11.2013
© Franz J. Steppe
47
Fazit II
•
•
Meta-Daten Analyse ist am einfachsten.
Verschlüsselung auch der Meta-Daten hilft.
–
•
•
•
•
Die NSA hat mit Verschlüsselung Probleme
Inhalte speichern funktioniert nicht flächendeckend.
Ganz zum Schluss muss ein Mensch die Inhalte übersetzen und
sichten und bewerten.
In einen Rechner/ein Smartphone eindringen ist aufwendig.
Sich wirklich zu schützen, ist fast nicht machbar.
04.11.2013
© Franz J. Steppe
48
Abkürzungen
ASP
B2B
BPO
CAPEX
CRM
EDV
ERP
FTP
HTTPS
HW
IDC
ITK
ISP
ISV
IP
IT
KMU
LE
LVS
OPEX
PC
04.11.2013
Application Service Providing
Business to Business
Business Process Outsourcing
Capital Expenditures
Customer Relationship Management
Elektronische Datenverarbeitung
Enterprise-Resource-Planning
File Transfer Protocol
Hypertext Transfer Protocol Secure
Hardware
IDC Central Europe GmbH(ITMarktbeobachtung und Beratung)
Informations-und Kommunikationstechnologie
Internet Service Provider
Independent Software Vendor (unabhängiges
Softwarehaus)
Internet Protocol
Informationstechnologie
Kleine und Mittelständische Unternehmen
Large Enterprises
Lagerverwaltungssysteme
Operational Expense
Personal Computer
RFID Radio Frequency Identification
RfQ
Request for Quotation
ROI
Return on Investment
RZ
Rechenzentrum
SaaS
Software as a Service
SFTP
Secure File Transmission Protocol
SH
Systemhaus
SLA
Service-Level-Agreement
SMTP
Simple Mail Transfer Protocol
SPLA
Service Provider License Agreement
SSL
Secure Socket Layer
SW
Software
TCO
Total Cost of Ownership
UDDI
Universal Description, Discovery and Integration
UrhG
Urheberrechtsgesetz
USP
Unique Selling Proposition
WWS
Warenwirtschaftssysteme
XML
Extensible Markup Language
© Franz J. Steppe
49
Quellen & Weiterführende Informationen
•
•
•
Vaillant-Heizungen mit Sicherheits-Leck
http://www.heise.de/security/meldung/Vaillant-Heizungen-mit-Sicherheits-Leck-1840919.html
Spione kommen aus China, Diebe aus den USA
http://www.spiegel.de/netzwelt/web/verizon-datensicherheitsreport-spione-in-china-a-896051.html
Breaking: Two Explosions in the White House and Barack Obama is injured
http://www.dailymail.co.uk/news/article-2313652/AP-Twitter-hackers-break-news-White-Houseexplosions-injured-Obama.html
Warnung des BSI: 16 Millionen Online-Konten geknackt
http://www.spiegel.de/netzwelt/web/bsi-warnt-vor-identitaetsdiebstahl-16-millionen-nutzerkontenbetroffen-a-944643.html
04.11.2013
© Franz J. Steppe
50
Franz J. Steppe
Interim Manager
Am Blütenanger 47B
80995 München
mobile +49 172 83 05 202
e-mail [email protected]
Internet www.franzsteppe.com
04.11.2013
© Franz J. Steppe
51