# Pentaradio vom 25. April 2023
# Titel: "Sichere Informationen zu Informationssicherheit"

Mit Honky, Mole, Simon und Xyrill.

Die Namen sind gewürfelt und der Tisch eingestellt, also kann's losgehen! Auch diesen Monat müssen wir kurz KI und Netzpolitik streifen, bevor wir dann zumindest einen ersten Streifzug durch das weite Feld der Informationssicherheit und dazugehörigen Prozesse wagen. Auf Basis der Live-Sendung am 25. April 2023.

## News

* Erfahrungsbericht zu ✨KI✨: [Notfallarzt testet Diagnosefähigkeiten von ChatGPT gegen reale Patientengeschichten](https://inflecthealth.medium.com/im-an-er-doctor-here-s-what-i-found-when-i-asked-chatgpt-to-diagnose-my-patients-7829c375a9da)
    * Kommentar: ["Viele KI-Enthusiasten sind eingeschnappt darüber, dass Laien auf das Offensichtliche hinweisen: Ein halb funktionierendes System mag für KI-Enthusiasten ungeheuer aufregend sein, aber für die Gesellschaft ist es nicht sehr nützlich."](https://news.ycombinator.com/item?id=35461795) (gekürzte Übersetzung auf Basis von DeepL)
    * Kommentar: ["Er hat nach Diagnosen gefragt, nicht nach Folgefragen. Wir schreiben der Maschine unbewusst menschliche Fähigkeiten zu, weil sie nun menschlicher wirkt. Er behandelte die Maschine instinktiv wie einen Kollegen, der natürlich unaufgefordert Folgefragen stellen würde. Der Maschine hingegen muss man trotzdem die richtigen Anweisungen geben."](https://news.ycombinator.com/item?id=35466878) (gekürzte Übersetzung auf Basis von DeepL)
* Debattenbeitrag zu ✨KI✨: ["There is no A.I."](https://web.archive.org/web/20230420171141/www.newyorker.com/science/annals-of-artificial-intelligence/there-is-no-ai)
    * Der erste Teil ist wieder dieselbe Frage nach dem Wesen von Intelligenz wie in [vergangengen Debattenbeiträgen](https://c3d2.de/news/pentacast-58-ki-news.html). Interessanter ist der zweite Teil zur Regulierung von ✨KI✨.
    * Money Quote 1: "Jahrelang habe ich an der Datenschutzpolitik der EU gearbeitet. Ich habe erkannt, dass wir nicht wissen, was Privatsphäre eigentlich ist. Wir benutzen diesen Begriff jeden Tag, und je nach Kontext ergibt er Sinn. Aber wir können ihn nicht gut genug festnageln, um zu verallgemeinern. Am ehesten heißt Privatsphäre wahrscheinlich 'das Recht, in Ruhe gelassen zu werden'. Aber das ist eine bestenfalls drollige Vorstellung in einer Ära, in der wir ständig auf digitale Dienste angewiesen sind. Im Zusammenhang mit KI ist das Nächstbeste 'das Recht, nicht von Berechnungen manipuliert zu werden'. Aber auch das sagt nicht ganz das aus, was wir gerne hätten." (gekürzte Übersetzung auf Basis von DeepL)
    * Lanier befragt ✨KI✨-Forscher und sucht nach Forderungen, auf die sich alle einigen können. Nur sehr wenige:
        * ✨KI✨-generierte Inhalte (insb. Deep Fakes) sollen verpflichtend als solche gekennzeichnet werden.
        * Wer Daten zum Trainingssatz eines ✨KI✨-Systems beiträgt, solle dafür monetär entlohnt und klar attribuiert werden. Lanier bezeichnet dies als Datenwürde ("data dignity").
    * Money Quote 2: "Manche sind entsetzt angesichts der Idee einer kapitalischen Technologie, aber dies wäre zumindest ein ehrlicherer Kapitalismus."
* apropos Netzpolitik: [Videotipp: Khaleesi zu Chatkontrolle](https://media.ccc.de/v/eh20-29-chatkontrolle-mehr-berwachung-fr-alle)
    * [Pentaradio berichtete](https://c3d2.de/news/pentaradio24-20230124.html)
    * in Deutschland unterdessen [Tauziehen zwischen der Innenministerin und allen anderen](https://netzpolitik.org/2023/ampel-streit-innenministerium-haelt-an-chatkontrolle-fuer-unverschluesselte-inhalte-fest/)
    * aktueller Stand: [Positionspapier](https://netzpolitik.org/2023/bundesregierung-innenministerium-setzt-sich-bei-chatkontrolle-durch/) befürwortet Durchleuchten jeglicher unverschlüsselter Kommunikation, verpflichtende Altersverifikation mit Möglichkeit der Ausführung durch Ausweisvorlage
* apropos Rechtsfragen: [Flickr geht gegen Creative-Commons-Abmahn-Abzocker vor](https://pluralistic.net/2023/04/01/pixsynnussija/)
    * Masche: Abzocker lädt Bilder unter CC-Lizenzen hoch und mahnt dann Nutzer ab, die die Attribution nicht korrekt machen
    * [Ansage von Flickr](https://www.flickr.com/help/guidelines): "Wenn du einem Nutzer, der in guter Absicht gehandelt hat, keine Möglichkeit gibst, Fehler zu beheben, verstößt das gegen den Zweck der Lizenz und entspricht nicht den Werten unserer Community. Das kann dazu führen, dass dein Konto gelöscht wird."
* apropos Exploits: [Alte Nokia-Handys sind wieder wertvoll... zum Autos stehlen](https://www.heise.de/-8976444)
    * [Grundproblem](https://www.heise.de/-8792329): CAN-Bus ist bei den betroffenen Automodellen komplett unverschlüsselt
    * Diebe verstecken die entsprechende Elektronik in Nokia-Handys oder Bluetooth-Lautsprechern, damit sie bei der Polizeikontrolle nicht damit auffallen
* [Praxistipp: Prüft die KDF auf mit LUKS verschlüsselten Festplatten!](https://mjg59.dreamwidth.org/66429.html)
    * LUKS-Headerformat Version 1 unterstützt nur PBKDF2 (bekanntermaßen schwach gegen Brute Forcing mit GPU), Version 2 erlaubt auch Argon2 (am besten in der Form argon2id)
    * kurzer Check: `sudo cryptsetup luksDump $DEVICE` -> wenn da nicht `argon2id` steht, ist ein sorgfältiges Upgrade empfohlen
* ✨KI✨-Empfehlung: [Rechtsbelehrungspodcast #115](https://rechtsbelehrung.com/116-ai-act/) zum "Artificial Intelligence Act" Marcus Richter & Thomas Schwenke mit Gast Prof. Hacker

## Musik

* ["Nudy (Dubfuser remix)", Monopsia (2022)](https://www.clongclongmoo.org/2022/11/20/monopsia-bleupulp-music-makes-friends/)
* ["8-Bit-Laserstrahl", betatronik (2020)](https://www.youtube.com/watch?v=9TIiI2YN81U)

## Thema: IT-Sicherheit nach ISO-27000-Familie

### Warum ist IT-Sicherheit wichtig?

- Kriminelle Ziele
- Ruhm und Ehre
- Spionage und Sabotage
- begrenzte Personal-Ressourcen, hoher Bedarf

#### Beispiele:

- [Coop Hack](https://www.bbc.com/news/technology-57707530) 2021
- [WanaCry](https://de.wikipedia.org/wiki/WannaCry)
- [Emotet](https://de.malwarebytes.com/emotet/)
- [Enercon Hack](https://www.zdf.de/nachrichten/politik/windkraftanlagen-gestoert-russland-ukraine-krieg-100.html) Ukraine Windkraft usw. (2022)
- [Makros](https://www.hackingarticles.in/multiple-ways-to-exploit-windows-systems-using-macros/)
- [Stuxnet](https://en.wikipedia.org/wiki/Stuxnet)

#### Typische Vorgehensweise eines gezielten Angriffs ([Advanced Persistent Threats](https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Empfehlungen-nach-Gefaehrdungen/APT/apt_node.html))

- gut ausgebildeter, typischerweise staatlich gesteuerter, Angreifender zum Zweck der Spionage oder Sabotage über einen längeren Zeitraum hinweg sehr gezielt ein Netz oder System angreift, sich unter Umständen darin bewegt und/oder ausbreitet und so Informationen sammelt oder Manipulationen vornimmt.
- Social Engineering
- SPAM
- 0days
- Informationssammlung
- Laterales Ausbreiten
- Admin Accounts
- Ziel: Erpressung Sabotage Spionage

#### Maßnahmen:

- vielseitigst, abhängig vom System und Kompetenz
- Steuerung von Entsorgungsprozessen
  - Routerconfigs, Festplatten usw. (Google: Juniper-Router)
  - Offline Postfächer
  - lokale Passwort Hashes
- Ganz Praktische Dinge:
  - Zutritt,Zugang, Türen, Räume, Gelände
  - Brand
  - Unbefugte Einsicht (Bildschirmsperren, Dokumentenablage, Clean Desk)
  - Passwort Policy, Default, Mindeslänge, Gruppenaccounts usw.
  - Backup Policy (USB Stick aufm Tisch?)
  - Dokumente im Kopierer
  - Private Geräte
  - Patchmanagement
- ...

wie Strukturierter angehen? (Nachweislich?)

### ISMS

#### Was ist ein ISMS

- Informationssicherheitsmanagementsystem
- Systematischer Ansatz der Entwicklung Implementierung Durchführung Überwachung, Überprüfung, Verbesserung der Informationssicherheit steuert
- Umfassender Einfluss auf Prozesse, Rollen, Strukturen, Technik, Mitarbeitende und Lieferanten
- Besteht aus Richtlinien, Prozessen und Leitfäden
- Im Zentrum "Riskomanagementprozess"
- ISMS ist eine dauerhafte Sache, ein Marathon, kein einmaliger Sprint

#### Generelle Überlegungen

- Einführung heißt Veränderung
- Richtlinien, Rollen, Funktionsträger
- Braucht Geschäftsführung
- Beteiligte Personen müssen abgeholt werden
- "keine Zeit" in den Fachabteilungen
- Gängelung
- Gefahr eines Papiertigers
- Technische Maßnahmen sehr unterschiedlich wirksam
- Größter Schwachpunkt Menschliches Verhalten
- IT != Security
- Auswirkungen von Vorfällen kostenintensiv
- Wirkungsfaktoren: Widerstand,Gewohnheit,Ignoranz,Kosten
- Wird meist nachträglich implementiert, setzt auf Prozessen auf
- Notfallkonzepte
- Personalprozesse (kommend, verlassend, wechselnd) "EVA" Prozess

#### Fragen

- Welche Informationen sind eigentlich wo?
- Welche Technik ist eigentlich wo?
- Was sind kritische Geschäftsprozesse? Was sind deren Verfügbarkeitsanforderungen?
- Welche Räumlichkeiten für schützenswerte Informationen existieren?
- Welche Risiken bestehen beim Betrieb der Systeme?
- Wie könnte ein Patchmanagement aussehen?
- Wie umgehen bei Systemänderungen?
- Wie Führungskräfte einbinden?
- Wie alles dokumentieren?

#### ISO/IEC 27001

"Die Menschen scheinen nicht leben zu können ohne Normen, nach denen sie nicht leben Wollen" Wolfang Mocker (1954-2009 Journalist und Autor)
- Bsp. [offizielles Release 2018](https://www.iso.org/standard/73906.html) (kostet Geld... 150-200€)
- Internationaler annerkannter Standard
- viele Freiheiten, relativ schnell einführbar
- Anwendung mit und ohne Zertifizierung möglich, wird eingefordert durch Kritis, Versicherungen oder Geschäftsführung, gilt dann immer drei Jahre zw. externen Audits, und sollten durch interne Audits unterstützt werden
    - beim ersten Mal wird alles überprüft, dann Stichpunktartig
    - gern vor Ort
- auch für KRITIS geeignet
- wird regelmäßig revisioniert 2017 -> 2022
- Die ISO/IEC 27001:2005 ging aus dem zweiten Teil des britischen Standards BS 7799-2:2002 hervor. Sie wurde als internationale Norm erstmals am 15. Oktober 2005 veröffentlicht. [Source](https://de.wikipedia.org/wiki/ISO/IEC_27001)
- Ein ISMS wahrt die
    - Vertraulichkeit, Availability
    - Integrität, Integrity (beinhalten Authentizität)
    - Verfügbarkeit, Confidentiality
- von Informationen unter Anwendung eines Risikomanagementprozesses und verleiht den interesserten Parteien (Beteiligten) das Vertrauen in die angemessene Steuerung von Risiken

Ein ISMS muss dabei ein Teil der Abläufe der Organisation sein und in deren Steuerungsstruktur eingebunden sein.

##### Schutzziel Vertraulichkeit

- Schutz vor Zugriff und Zugang unberechtigter
- Bsp. Rechte und Rollenkonzepte, Verschlüsselung bei Übertragung oder Speicherung

##### Schutzziel Integrität

- Schutz vor Veränderung, Gewährleistung der Glaubwürdigkeit
- Bsp. Hashing, Firewalls, Verschlüsselung

##### Schutzziel Verfügbarkeit

- Gewährleistung Zugriff Berechtigter
- Bsp. Redundanz, Backup, Schutz gegen Stromausfall oder Brand

##### Bedrohung

- Zustand, der die Schutzziele beeinträchtigen kann

###### Schwachstelle

- technischer oder Organisatorischer Mangel
- wird von Bedrohung genutzt
- können durch Maßnahmen reduziert werden

###### Gefährdung

Gefährdung = Schwachstelle + Bedrohung

- [Quelle](https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/Zertifizierte-Informationssicherheit/IT-Grundschutzschulung/Online-Kurs-Notfallmanagement/4_RisikenAnalysieren/1_Risiken%20identifizieren/RisikenIdentifizieren_node.html): Gefährdungskatalog des BSI
- auch nicht IT Gefährdungen! z.B. elementare Gefährdungen, damit man nichs vergisst.
- Höhere Gewalt wie Personalausfall, Unwetter, Ausfall von Lieferanten, technische Katastrophen
- Organisatorische Mängel wie mangelhafte Kontrollen, unzureichende Dokumentation, Fehlen von Regelungen
- Menschliche Fehlhandlungen wie Fehlbedienungen, Fehlverhalten
- Technisches Versagen wie Ausfall von IT-Systemen, Stromausfall
- Vorsätzliche Handlungen wie Missbrauch, Vandalismus, Diebstahl

###### Risiko

Kombination aus Folgen eines Ereignisses und dessen Eintrittswahrscheinlichkeit

###### Übersicht Normenfamilie

- 27000 - Glossar
- 27001 - Zertifizierungsgegenstand
- 27003 - Praktischerer Handlungsleitfaden
- 27003 - Implementierungsleitfaden
- 27004 - Messmethoden
- 27005 - Risikomanagementprozess
- \[...]
- 27013 - Handlungsleitfaden für eine "integrated Implementation"
- \[...]
- 27035 - Handhabung von Security Incidents ...
(mehr im Laufe des Tages, Überschriften für den Roten Faden)

###### Übersicht wichtigste Inhalte

- 14 Sicherheitsmaßnahmenabschnitte
- 35 Hauptsicherheitskategorien
- 114 Controls (2017)
- 27001 Kapitel 4-10
    - K4 Kontext der Organisation (interne Externe Anforderungen)
        - Rechtskataster, Liste interesssierter Parteien, Schutzbedarfsfeststellung, Scope Document, Netzstruktur
    - K5 Führung (Leitlinie, Ziele)
        - Rollendokumente, Leitlinie
    - K6 Planung (Risikomanagement, Behandlung, SoA, operative Ziele)
        - Risikoliste, -behandlungsplan, SoA-Document (Anwendbarkeitserklärung)
    - K7 Unterstützung (Ressourcen, Kommunikation, Awareness)
        - Budgets, Bestellungen, Schulungen, Wiki, Wissensmanagement, Dokumentenvolagen
    - K8 Betrieb (Umsetzung von Zielen, Betrieb des ISMS-Prozesse, Betrieb Risikomanagement)
        - Ticketsystem für Nachverfolgung von Risiken, Lieferantenaufstellung, - vereinbarunge
    - K9 Bewertung der Leistung (Messen, Bewerten, interne Audits,..)
        - KPI-Liste, Audits, Managementbewertung,
    - K10 Verbesserung (Korrekturmaßnahmen)
        -  Korrekturmaßnahme
- Anhänge A.5-A18 (normativ, "harte" Anforderung, wird wörtlich ausgelegt)
    - A.5 Informationsssicherheitsrichtlinien
    - A.6 Organisation
    - A.7 Personalsicherheit
    - A.8 Verwaltung der Werte
    - A.9 Zugangssteuerung
    - A.10 Kryptografie
    - A.11 Physische und Umgebungsbezogene Sicherheit
    - A.12 Betriebssicherheit
    - A.13 Kommunikationssicherheit
    - A.14 Anschaffung Entwicklung und Instandhalten von Systemen
    - A.15 Lieferantenbeziehungen
    - A.16 Handhabung von Informationssicherheitsvorfällen
    - A.17 Business Continuity Management
    - A.18 Compliance
- 93 Controls seit in 2022
    - klingt nach weniger, ist aber nur zusammengefasst und mehr
    - ein paar neue Controls
        - "Threat Intelligence"
        - Exit-Strategie Cloud
        - Business-Impact-Analysen
        - physische Zutritte durch Alarmierungssysteme
        - sichere Konfiguration von IT Systemen (Härtung) spielt größere Rolle
        - sicheres Löschen
        - Maskierung von Daten (Pseudonymisierung, Anonysierung)
        - Data Leakage Protection
        - Überwachung von Netzwerken auf Anwendungsverhalten (Anomalien, IDS IPS)
        - Webfilter für unsichere Webseiten
        - Sichere Entwicklung, SBOM usw. wichtiger
    - Gliederung leicht anders

:::info
hier müssen wir aufpassen, nicht zu tief einzutauchen :mega:
:::

### Vergleich zum BSI Grundschutz *gern ergänzen*

- verfügbar beim [BSI](https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/it-grundschutz_node.html)
- baut auf ISO27001 auf und ist complient
- viele Parallelitäten, driftet dann aber in Bausteine ab, diese sind unterschiedlich aktuell

### KRITIS

"Kritische Infrastrukturen (KRITIS) sind Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden."[Quelle](https://www.bsi.bund.de/DE/Themen/KRITIS-und-regulierte-Unternehmen/Kritische-Infrastrukturen/Allgemeine-Infos-zu-KRITIS/allgemeine-infos-zu-kritis_node.html)

- Energie
- Informationstechnik und Telekommunikation
- Transport und Verkehr
- Gesundheit
- Medien und Kultur
- Wasser
- Ernährung
- Finanz- und Versicherungswesen
- Siedlungsabfallentsorgung
- Staat und Verwaltung

### NIS2

- [NIS 2](https://www.openkritis.de/it-sicherheitsgesetz/eu-nis-2-direktive-kritis.html)
- [Original](https://eur-lex.europa.eu/eli/dir/2022/2555/oj)
- [Original in DE](https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32022L2555)

EU NIS2 ist der europäische Rahmen für Betreiber Kritischer Infrastrukturen und legt Cyber Security Mindeststandards in der EU fest.

- NIS2 (EU 2022/2555) erweitert die Betroffenheit und Pflichten deutlich
- ab 2024 müssen viele Unternehmen in 18 Sektoren ab 50 Mitarbeitern und 10 Mio. EUR Umsatz Cyber Security umsetzen.
- bringt Mindestanforderungen an CyberSecurity mit sich §20!
- mehr Kritis für ALLE, welches Vorgehen gilt eigentlich bei KRITIS langfristig?
- §8a BSI Sicherheitsirgendwasgesetz

**Sektoren:** Die kritischen Essential Entities erhöhen sich auf elf Sektoren, die Important Entities wachsen auf sieben Sektoren — auf insgesamt achtzehn NIS2 Sektoren.
**Betreiber:** Medium und Large Enterprises ab 50 Mitarbeiter/10 Mio. EUR Umsatz sind betroffen, ohne Anlagen-Schwellenwerte o.ä. Methodik, einige Betreiber sollen unabhängig der Größe reguliert werden – Teile der digitalen Infrastruktur und öffentliche Verwaltung.
**Cyber Security:** Die Anforderungen an Betreiber und Mitglied staaten steigen, Cyber Security muss auch in Lieferketten betrachtet werden.
**Kooperation:** Die Aufsicht und Zusammenarbeit in der EU zwischen Behörden und Betreibern werden vertieft, europäische Jurisdiktion geschärft.
**Sanktionen:** Strafen und Enforcement Actions werden deutlich ausgeweitet – auf Maximalstrafen von mind. 7 oder 10 Mio. EUR, je nach Sektor.

### CRA

Cyber Resilience Act

- gerade [im Proposal Status](https://www.european-cyber-resilience-act.com/Cyber_Resilience_Act_Articles_%28Proposal_15.9.2022%29.html)
- könnte sehr gut werden
    - gibt aber auch Bedenken, siehe [Pentaradio vom Februar](https://c3d2.de/news/pentaradio24-20230228.html)
- machen wir mal eigene Sendung drüber

### Probleme aller Normen und Regelwerke

- der Teufel liegt im Detail
- viel Papier und dieser Haufen Papier sagt: dieses System ist sicher!
    - tatsächliche Maßnahmen zählen
- Industrielle Anlagen, anyone? (OT-Security ein eigenes Thema -> 62443)
- "Über Kosten und Nutzen der Informationssicherheit entscheidet die oberste Leitung"
- Security nervt und kostet Geld
- "no glory in prevention"
- hängt der technischen Entwicklung hinterher

### Fazit

- Strukturierte Herangehensweise hilft
- Geldmaschinerie
- bindet selbst Ressourcen
- macht das Problem bewusst
- ist eh oft verpflichtend demnächst
- kleine Unternehmen müssen sich selbst kümmern