# Pentaradio vom 26. September 2023
# Titel: "Live auf den Datenspuren"

Mit Honky, Mole, Simon und Xyrill.

Einmal im Jahr bittet der C3D2 ins Zentralwerk zu den Datenspuren: ein Wochenende voller Vorträge, Workshops und persönlicher Begegnungen. Diesmal wurde das Programm vom Pentaradio mit einer Podcast-Soiree eröffnet. Neben News zu unserem Lieblingsthema ✨KI✨ sowie zu Systemsicherheit kommen heute alle auf ihre Kosten, die am Pentaradio die chaotischen Momente und Fnords schätzen. [Aufgezeichnet am 15. September 2023.](https://media.ccc.de/v/ds23-282-pentaradio-live-)

## Intro

Wir haben Teile des Intros aus dem [Pentaradio vom Februar 2020](https://c3d2.de/news/pentaradio24-20200225.html) nochmal gespielt, denn der sogenannte Дубна шар ("Dubna Star") ist leider inzwischen auseinandergebrochen und die Aufnahme so nicht mehr möglich.

* Karte: in [OpenStreetMap](https://www.openstreetmap.org/way/437354626) und [Google Maps](https://www.google.com/maps/@56.8335338,37.0949137,13.17z)
* alte, ehemalige Radomkuppel
* ca. 3 cm starkes Glasfasermaterial, 3.5 mm innen und aussen, dazwischen eine bienenwabenartige Struktur
* fand zum Beispiel im Raketenabwehrsystem [A-35](https://en.wikipedia.org/wiki/A-35_anti-ballistic_missile_system) Anwendung
    * [der russische Wikipedia-Artikel hat ein Bild mit Kuppel](https://ru.wikipedia.org/wiki/%D0%9F%D0%A0%D0%9E_%D0%90-35)
    * heute aktiv: Nachfolgesystem [A-135](https://en.wikipedia.org/wiki/A-135_anti-ballistic_missile_system)

Warum diese Kuppel im Wald liegt, weiß man nicht so genau.

## News

* ✨KI✨: [US Copyright Review Office Board verweigert Eintrag für KI-erzeugtes Bild](https://arstechnica.com/information-technology/2023/09/us-rejects-ai-copyright-for-famous-state-fair-winning-midjourney-art/)
    * [Pentaradio berichtete](https://c3d2.de/news/pentaradio24-20220927.html), als dieses Bild einen Kunstwettbewerb gewann
    * Problem: "Der Ausschuss stellt fest, dass das Werk mehr als nur eine minimale Menge an Inhalten enthält, die durch künstliche Intelligenz erzeugt wurden. Diese Inhalte müssen in einem Antrag auf Eintragung ausgeschlossen werden." (Übersetzung mithilfe von DeepL)
    * Autor möchte Copyright auch für den KI-erzeugten Teil aufgrund der erbrachten Leistung im Prompt-Engineering: "mindestens 624 Mal zahlreiche Überarbeitungen und Prompts eingegeben, um zur ursprünglichen Version des Bildes zu gelangen"
* apropos ✨KI✨ und Urheberrecht: [Microsoft übernimmt rechtliche Risiken für Nutzer, die mit Copilot Code erzeugen](https://blogs.microsoft.com/on-the-issues/2023/09/07/copilot-copyright-commitment-ai-legal-concerns/)
    * Vorsicht: "speziell für die kostenpflichtigen Versionen der kommerziellen Copilot-Dienste von Microsoft und Bing Chat Enterprise" (Nutzer eventueller kostenloser Versionen sind weiterhin nicht der Kunde, sondern höchstens das Produkt)
* apropos Datenspuren: [Chrome rollt "Privacy" "Sandbox" aus](https://arstechnica.com/gadgets/2023/09/googles-widely-opposed-ad-platform-the-privacy-sandbox-launches-in-chrome/)
    * Burying: gleichzeitig neues UI-Design veröffentlicht
    * Chrome klassifiziert Interessen der Nutzer basierend auf dem Verlauf besuchter Seiten, und teilt diese Interessen mit Werbeplattformen
    * Argument von Google: Das brauchen wir, um (irgendwann mal später) Third-Party-Cookies auszuschalten.
    * Problem nur: Firefox und Safari blockieren seit Jahren Third-Party-Cookies und funktionieren trotzdem
    * [EFF](https://www.eff.org/deeplinks/2021/03/googles-floc-terrible-idea): Googles Argumente basieren auf "der falschen Annahme, dass wir zwischen 'alter Überwachung' und 'neuer Überwachung' wählen müssen. Es ist kein Entweder-oder. Statt das Tracking-Rad neu zu erfinden, sollten wir uns eine bessere Welt ohne die zahllosen Probleme personalisierter Werbung vorstellen."
* Krieg und Covid haben große Torrentseite vernichtet: [rarbg.to](http://rarbg.to)
    * im Gespräch erwähnt: [Abmahnbeantworter des CCC](https://abmahnbeantworter.ccc.de/) (dies ist keine Rechtsberatung)
* [AVM soll verkauft werden](https://www.spiegel.de/netzwelt/gadgets/fritzbox-hersteller-avm-soll-offenbar-verkauft-werden-a-4b1d1c5e-ca53-40df-9838-13b067c7ecb3)
    * Money Quote: "Dem Handelsblatt erklärte das Unternehmen nur, dass die Gründer auf die 70 Jahre zugehen und sicherstellen wollen, 'dass der Erfolg von AVM weitergeht, auch wenn sie eines Tages nicht mehr im Unternehmen sind.'"

## Musik

* ["Pineapple Laser", Tiruset (2016)](http://freemusicarchive.org/music/Tiruset/Sectioned_v60/Tiruset_-_Sectioned_v60_-_77_Pineapple_Laser)
* ["Smack The Jackpot", Lo-Bat (2010)](http://freemusicarchive.org/music/Lo-Bat/Game_Boy/8bp042-03-lo-bat-smack_the_jackpot)

## Podcast-Empfehlungen

* [Neben der Spur](https://nebenderspur.podigee.io/)
    * gerade neu
    * junger Journalist Mick Klöcker berichtet über weltpolitische Entwicklungen, die es in den Nachrichten nicht über die Kurzmeldungen schaffen
* [Nachschlag](https://dissidenten-fraktion.de/podcast/)
    * "Dissidenten-Fraktion" im Stadtrat berichtet über die Stadtratssitzungen
* [Multicast](https://podcast.agdsn.de/)
    * Podcast der AG Dresdner Studentennetz über technische und politische Herausforderungen in ihrer Arbeit
    * 15 Folgen aus 2017-2021, ebenfalls eingeschlafen
* [Akronymisierbar](https://akronymisier.bar/)
    * zwei Dresdner Programmierer reden über IT-Entwicklungen, Programmiersprachen, etc.
    * gerade wieder aus dem Winterschlaf aufgewacht
* ["Sendung für die Vernetzte Welt"](https://sfdvw.de/)
    * Radio Corax
* [Schlüsseltechnologie](https://xyrillian.de/noises/stp/)
* [Wissenschaft auf die Ohren](https://resonator-podcast.de/wissenschaft-auf-die-ohren/)
    * Meta-Feed: Auswahl besonders hörenswerter Sendungen zum Thema Wissenschaft von verschiedenen Quellen
    * gepflegt von Holger Klein

## Thema: OT-Security

* Stellt euch vor, ihr habt ein Kraftwerk. Wie würdet ihr eine unbekannte Maschine/Fabrik absichern?
    * Assetmanagement
    * Benutzermanagement
    * Netzwerk und Zonierung
    * Data (Backup und Datenflüsse)
    * Monitoring
    * Notfallpläne
    * Risikomanagement
* Safety und Security
    * Schutz des Menschens vor dem System  
    * Schutz des Systems vor dem Menschen 
* IT und OT-Security
    * Informationssicherheit, Laptops, Server, Anwendungen
    * Operational Technology, physikalische Prozesse
    * Unterschiede: 
        * Laufzeiten, 
        * Gesetzliche Regelungen, 
        * Menschenleben,
        * andere Technologien
        * nicht fürs Internet gebaut
        * andere Updatemöglichkeiten
        * Gesperrte Bildschirme, Notfallknöpfe
        * Zugangsbeschränkungen unterschiedlich, Flugzeuge
        * Angreifertypen, staatliche Akteure, 

### Gesetzeslage

Honkhase kann das besser: https://www.openkritis.de/

Sektoren (unvollständig): Energie, Wasser, Ernärung, Gesundheit, Transport und Verkehr, Informationstechnik und Telekommunikation, Finanz und Versicherungswesen, Entsorgung

Wo Behörden? Tja.

* Gesetzeslage - Stichwort Kritis
    * [NIS](https://www.bsi.bund.de/DE/Das-BSI/Auftrag/Gesetze-und-Verordnungen/NIS-Richtlinie/nis-richtlinie_node.html)
        * [BSIG](https://www.gesetze-im-internet.de/bsig_2009/)
        * [IT-Sicherheitsgesetz 2.0](https://www.bsi.bund.de/DE/Das-BSI/Auftrag/Gesetze-und-Verordnungen/IT-SiG/2-0/it_sig-2-0_node.html)
    * EU RCE
        * fordert Ausfallsicherheit, entspricht CER-Richtlinie (Critical Entities Resilience EU 2022/2557)
            * Löst ab: 2008/114/EG des Rates (ABl. L 333 vom 27.12.2022, S. 164; CER-Richtlinie)
            * Gemeinsam mit NIS 2 beschlossen, bis 2024 in nationales Recht umzusetzen -> in Deutschland als Referentenentwurf KRITIS-DachG! (25.07.2023 17:45)
    * [Kritis-DachG](https://www.bmi.bund.de/SharedDocs/gesetzgebungsverfahren/DE/KRITIS-DachG.html)
       * Referentenentwurf
            * Ziel: Erhöhung der Resilienz Betreiber kritischer Anlagen
       * Bemerkenswerte Zitate:
            * "Anwendungsbereich und Regelungsintensität zu Umsetzung geringer als NIS-2" (Zitat S.2)
            * Kann auch Betreiber der Sektoren aus §15 (z.B. Transport) betreffen, die nicht im Gesetzt explizit genannten Schwellenwerte erreichen (Bestimmung durch BBK/BSI?)
            * "[..] werden kritische Anlagen künftig nur noch durch das KRITIS-DachG und die dazugehörige Rechtsverordnung bestimmt." (Zitat S.3)
            * "andere über die Mindestanforderungen [..] hinausgehende Anforderungen an die Betreiber kritischer Anlagen bleiben unberührt" (Zitat S.8) (z.B. höhere Forderungen aus BSIG und Ländergesetze)
       * Zuständige Behörden: BBK (Bevölkerungsschutz und Katastrophenhilfe), BSI, Europäische Kommission
       * Aufgaben für Betreiber:
            * Registrierung §8 (sonst macht es das BBK)
            * Benennung von Kontaktstellen (jederzeit erreichbar §8!)
            * Erarbeitung von Resilienzplänen auf Basis von Risikoabschätzungen, zweijährlich zu aktualisieren
            * Darstellung Maßnahmen zur Erhöhung der Resilienz, ggf Durchsetzung von Maßnahmen durch BBK bzw. zuständige Behörde
            * Meldung von erhebliche Störungen
            * Maßnahmen aus §11, §12, §15...
       * Definitionen:
            * Kritische Infrastrukturen §2 Abs. 2
            * Kritische Anlagen §2 Abs. 3 -> näheres in §4 (Zugehörigkeit §15 +Schwellenwert)
            * Kritische Dienstleistung §2 Abs. 4
            * Betreiber Kritischer Anlagen §2 Abs. 5
            * Resilienz §2 Abs. 6
            * Risiko, Risikoanalyse, Risikobewertungen §2 Abs. 7-9
            * Vorfall  (und impl. Ereignis) §2 Abs. 10
            * Besonders wichtige Einrichtung §2 Abs. 11 -> Großunternehmen, bzw. Betreiber kritischer Anlagen
            * Wichtige Einrichtung §2 Abs. 12
            * Kritische Anlagen von besonderer Bedeutung sind Kritische Anlagen, welche in mind. 6 Mitgliedsstaaten betrieben werden.  §7 und von Europäische Kommission dazu benannt
       * §9 Nationale Risikoanalyse und Risikobewertungen durch Bundesministerien
            * Für Unternehmen nach §15 aller vier Jahre, welche bedeutend für die Wirtschaftsstabilität (Abs 1) sind + §12
            * BBK stellt diese den Betreibern aus §4 zur Verfügung
            * + meldet dies der EU Kommission
       * §10 Risikoanlysen und Risikobwertungen der Betreiber Kritischer Anlagen
            * Erweiterung und Reaktion der Betreiber der §9 Risikoanalyse 9 Monate nach Kenntnis
            * (gilt nicht für Finanz, Versicherungswesen, Informationstechnik und Telekomunikation? -> separat geregelt?)
       * §11 Resilenzmaßnahmen
            * Geeignete und verhältnismäße (Aufwand zu Ausfall bzw. Beeinträchtigung), technische, sicherheitsbezogene und organisatorische Maßnahmen aus Erkenntnissen von §10 und §11
                * Verhindern von Ausfällen, physischer Schutz von Räumlichkeiten -> Schließsystem?
                * Reaktion auf Vorfälle, inkl. Wiederherstellung
                * Sicherheitsmanagement hinsichtlich der Mitarbeiter
                * Bereitstellung von Informationsmaterial und Schulungen
                * Weiteres aus Anhang 1?
                * Branchenspezifische Maßnahmen -> BBK, BSI, EBA usw..
                * Resillienzplan und Mängelbeseitigungsplan (Kann durch unabhängige Dritte überprüft werden! Zuarbeit und Zugänge verpflichtend, Gebühren möglich, BBK (und Aufsichtsbehörde) kann Maßnahmen anordnen!)
       * §12 Störungen
            * Sind unverzüglich (<24h) und vollständig an eine Meldestelle aus BBK und BSI zu melden, ein Monat später ein Ausführlicher Bericht
       * §13 Einsatz kritischer Komponenten, Verordnungsermächtigung
            * Kein Inhalt?
       * §14 Berichtspflichten
            * BBK meldet zur EU Kom §9 Erkenntnisse und Meldungsübersicht aus §12
       * §15 Rechtsverordnungen
            * Das BMI legt fest, was laut Sektoren kritische Anlagen, was besonders wichtige Einrichtungen und was wichtige Einrichtungen sind.
            * Legt branchentypischen Schwellenwert fest
            * Legt Stichtage fest
       * §16 Ausnahmen
            * BMI und Bundeskanzleramt können vom KontraG befreien, sofern geichartige anderweitige Vorgaben bestehen oder "für Behörden, öffentliche Sicherheit, Verteidigung Strafverfolgung.
            * Sicherheit muss dann anderweitig gewährleistet werden
       * §17 personenbezogene Daten
            * KRITIS höher als Datenschutz, falls nötig
       * §18 Evaluierung
            * Soll 5 Jahre nach Inkrafttreten wissenschaftlich evaluiert werden.
       * §19 Bußgelder
            * Bei Nichteinhaltung von Fristen und Pflichen -> ab 2027 Bußgeld, Höhe verhältnismäßig aber unbekannt
    * [NIS2UmsuCG](https://www.openkritis.de/it-sicherheitsgesetz/nis2-umsetzung-gesetz-cybersicherheit.html)
    * [CRA](https://digital-strategy.ec.europa.eu/en/library/cyber-resilience-act)

### Wie nachweisen, was sicher ist?

* ISO 27001
    * internationaler Standard; enthält eine Liste von Anforderungen, die der Betreiber eines IT-Systems erfüllen muss
    * Beispiel für Anforderungen:
        * sensible Bereiche überwachen und nur berechtigten Personen den Zutritt gewähren
        * Daten löschen, wenn man sie nicht mehr braucht
        * Datenlecks aktiv vermeiden (das ist der Teil, wo USB-Sticks verboten und E-Mail-Anhänge weggefiltert werden)
    * Zertifizierung durch Auditoren, die das Einhalten dieser Anforderungen prüfen
    * keine gesetzliche Anforderung, aber viele Kunden verlangen es
    * alle paar Jahre ein Update, zuletzt 2022
    * ISO 27002: Zusatzstandard mit Erklärungen, wie die gelisteten Anforderungen umgesetzt werden können
* BSI 
    * [BSI Grundschutz Praktiker](https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/Zertifizierte-Informationssicherheit/Personenzertifizierung-IT-Grundschutzberater/Schulungen-zum-IT-Grundschutz-Praktiker-und-IT-Grundschutzberater/schulungen-zum-it-grundschutz-praktiker-und-it-grundschutzberater_node.html)
    * [BSI Grundschutz Berater](https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/Zertifizierte-Informationssicherheit/Personenzertifizierung-IT-Grundschutzberater/personenzertifizierung-it-grundschutzberater_node.html)
    * [Digitaler Ersthelfer](https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Cyber-Sicherheitsnetzwerk/Qualifizierung/Digitaler_Ersthelfer/Digitaler_Ersthelfer_node.html)
        * [Basiskurs](https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Cyber-Sicherheitsnetzwerk/Onlinekurs/Onlinekurs_node.html) wird kostenlos vom BSI angeboten
        * [BSI Vorfall Experte](https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/Zertifizierung-und-Anerkennung/Zertifizierung-von-Personen/Vorfall-Experte/Vorfall-Experte_node.html)
    
* IEC 62443 
    * Grundlagennorm, wird gerade auf weitere Bereiche ausgeweitet, z.B. Automotive
    * aus Sicht eines Betreibers
    * Öffentlich Zugänglich (wenn auch zu kaufen)
    * beinhaltet Definitionen für Systeme
    * Risikomanagement-Prozess
    * Grundprinzipien: 
        * Defense in Depth
        * Zones & Conduits
    * besteht aus vielen Teilen
    * Beachtet Reifegrade
    * Security Level Achievable, Target and Current
        * Security Level 0: Keine besondere Anforderung oder Schutz erforderlich.
        * Security Level 1: Schutz vor unbeabsichtigtem oder zufälligem Missbrauch.
        * Security Level 2: Schutz vor vorsätzlichem Missbrauch mit einfachen Mitteln mit geringen Ressourcen, allgemeinen Fähigkeiten und geringer Motivation.
        * Security Level 3: Schutz vor vorsätzlichem Missbrauch mit anspruchsvollen Mitteln mit moderaten Ressourcen, IACS-spezifischen Kenntnissen und moderater Motivation.
        * Security Level 4: Schutz vor vorsätzlichem Missbrauch unter Einsatz anspruchsvoller Mittel mit umfangreichen Ressourcen, IACS-spezifischen Kenntnissen und hoher Motivation.