Marcel Waldvogel

IT-Sicherheit ≠ Bürostuhl

Der Bund hat am 17. Juli 2023 einen Brief an seine Informatikdienstleister verschickt. Die Forderungen reichen von selbstverständlich bis fragwürdig. Wir haben sie aus IT-Sicherheitssicht analysiert und mit Hinweisen für alle IT-Verantwortlichen versehen, egal ob öffentliche Hand oder Privatwirtschaft.

Dies ist eine Kompaktversion meines DNIP-Artikels zum Thema.

IT-Sicherheit geht alle an

Die allermeisten heutigen Unternehmen sind von einer funktionierenden Informatikinfrastruktur abhängig. Manche sind sich das sehr bewusst; andere merken es erst, wenn Teile ihrer IT crasht, gehackt wurde, Geschäfts- und Personaldaten im Darknet auftauchen oder wenn ein Wassereinbruch bzw. Feuer die Rechner und Festplatten zerstört hat.

Für IT-Sicherheit gibt es keine 0815-Lösung

Deshalb muss sie immer auf die spezifischen Bedürfnisse der Organisation zugeschnitten sein. Sie kann auch nicht isoliert betrachtet werden, sondern muss von allen gelebt werden, wenn sie wirkungsvoll sein soll. Sicherheit ist auch hier nur so stark wie das schwächste Glied; und das ist jenes, das man nicht in die Betrachtungen einbezogen hat.

Entsprechend kann es die Putzfrau sein, die wie üblich alle Türen zuzieht, auch wenn dies die Kühlung des temporären Servers stört. Oder die Brüstung, die vor allen Fenstern durchläuft und so das Türschloss im Obergeschoss aushebelt. Oder…

Der Brief des Bundes berücksichtigt dies zu wenig

Er verallgemeinert Anforderungen und impliziert veraltete Sicherheitsmassnahmen. Oder bleibt unklar, was gewisse Forderungen jetzt eigentlich bedeuten.

Schluss­folge­rungen

Der Brief scheint als plötzliche Reaktion geschrieben worden zu sein und nicht in einer wohl überlegten Aktion geplant. Der Brief wirkt so, als ob kein Feedback von BIT oder NCSC eingeholt wurde.

Als Grund für den Brief bieten sich insbesondere drei Optionen an:

  1. Der Bund hat keine Ahnung, wie es um seine Dienstleister bestellt ist.
  2. Der Bund ist wirklich besorgt um die Qualität seiner Dienstleister und hat das erst jetzt bemerkt.
  3. Der Bund ist wirklich besorgt um die Qualität seiner Dienstleister und weiss das schon seit Jahren.

Alle drei Optionen sind nicht wirklich beruhigend. In allen drei Fällen muss die öffentliche Hand sich aber auf die Fahne schreiben, die externen Dienstleister enger kompetent zu begleiten.

Handlungs­freiheit erhalten

Einer der Sorgenpunkte des Bundes ist, laut Pressemitteilungs-PDF, die «Wartung und Weiterentwicklung dieser [von Xplain erstellten] essentiellen Softwarekomponenten sicherzustellen».

Egal, wie die aktuelle Geschichte ausgeht: Fälle, in denen ein Dienstleister Probleme hat oder man sich von einem Dienstleister trennen will, wird es immer wieder geben. Entsprechend sollte der Bund zukünftig auch besser darauf vorbereitet sein, einen solchen Schritt möglichst schmerzlos gehen zu können.

Dabei könnte er sich beispielsweise an einigen klassischen Werkzeuge zur Reduktion von Lock-In orientieren:

  1. Modularisierung bei den Projekten (einfach und eigenständig, Mut zur Lücke),
  2. Nutzung von offenen, standardisierten APIs, [Neu 2023-08-02, danke an Stephan Neuhaus]
  3. eine Two-Vendor-Strategie, auch wenn das im IT-Bereich nicht immer einfach ist und
  4. Verpflichtung der IT-Dienstleister, den im Rahmen des Projekts erstellten Quellcode als Open Source zu veröffentlichen (Public Money, Public Code). Diesen Schritt halte ich für den Vielversprechendsten.

Weiter­führende Infor­mationen

Aktuelles zu IT-Sicherheit

  • Bild der Firefox-Werbeeinstellungen, die zu deaktivieren sind. Erklärung im Text
    Auch du, mein Sohn Firefox
    Ich habe bisher immer Firefox empfohlen, weil seine Standardeinstellungen aus Sicht der Privatsphäre sehr gut waren, im Vergleich zu den anderen „grossen Browsern“. Das hat sich geändert. Leider. Was wir jetzt tun sollten.
  • «Voting Village»-Transkript
    Letzten August fand an der Hackerkonferenz DEFCON eine Veranstaltung der Election Integrity Foundation statt. Sie fasste mit einem hochkarätigen Podium wesentliche Kritikpunkte rund um eVoting zusammen.
  • Ausschnitt einer Buchseite aus dem Vorspann mit folgendem Text: Technischer Hinweis: Dieses Buch kann sich nicht mit dem Internet verbinden. Trotzdem kannst du Kommentare darin hinterlassen. Diese wird aber sehr wahrscheinlich keiner lesen. Du kannst dieses Buch teilen. Allerdings nicht mit all deinen Freunden auf einmal. Wenn du das Buch teilst, besteht natürlich auch die Chance, dass jemand deine Kommentare liest. Vielleicht kommentiert sogar jemand deine Kommentare. Um den Inhalt dieses Buchs zu verändern, müsste der Verlag Leute anheuern, sie heimlich nachts bei dir einbrechen, sich an dein Bücherregal schleichen und Sacgdb mit Filzstiften durchstreichen oder mit Kugelschreiber ergänzen. Dies ist möglich, aber unwahrscheinlich. Dieses Buch zu kopieren würde dich in eibem Copyshop 7,20 € kosten, und die Kopie entspräche nicht eins zu eins dem Original.
    «QualityLand» sagt die Gegenwart voraus und erklärt sie
    Ich habe vor Kurzem das Buch «QualityLand» von Marc-Uwe Kling von 2017 in meinem Büchergestell gefunden. Und war erstaunt, wie akkurat es die Gegenwart erklärt. Eine Leseempfehlung.
  • 50 Jahre «unentdeckbare Sicherheitslücke»
    Vor 50 Jahren erfand Ken Thompson die «unentdeckbare Sicherheitslücke». Vor gut 40 Jahren präsentierte er sie als Vortrag unter dem Titel «Reflections on Trusting Trust» anlässlich der Verleihung des Turing-Awards, des «Nobelpreises der Informatik». Hier ein kleiner Überblick, was es damit auf sich hat. Ausführlich im Artikel von Patrick Seemann.
  • Stimmbeteiligung erhöhen ohne eVoting
    Eines der Argumente für eVoting ist die Erhöhung der Stimmbeteiligung. Stimmbeteiligung—nur für sich alleine gesehen—ist keine ausreichende Metrik für die Beurteilung der Funktionsfähigkeit einer Demokratie, trotzdem spielt sie eine wichtige Rolle. Die «Vote électronique», wie eVoting in der Schweiz offiziell heisst, bringt aber auch neue Risiken, wie die Gefahr von Intransparenz und gezielter Abstimmungsmanipulation sowie… Stimmbeteiligung erhöhen ohne eVoting weiterlesen
  • 🧑‍🏫 «eVoting: Rettung der Demokratie oder Todesstoss?»
    Die Demokratie ist unter Beschuss, neuerdings auch durch Fake News, Trollfabriken und KI. «Vote éléctronique», so heisst die elektronische Abstimmung im Bundesjargon, ist angetreten, um die Demokratie zu retten. Am Mittwochabend geht Marcel Waldvogel der Frage nach, wie eVoting eigentlich funktioniert und welche Auswirkungen es auf unsere Gesellschaft haben könnte. Und wieso er glaubt, dass… 🧑‍🏫 «eVoting: Rettung der Demokratie oder Todesstoss?» weiterlesen
  • Mutmassungen über «Jia Tan»: Spuren eines Hackers
    Ich habe versucht, dem mutmasslich grössten Hack der Geschichte etwas auf den Grund zu gehen. Daraus ist eine spannende Spurensuche geworden, die ich gerne mit euch teilen möchte.
  • Wie erkenne ich betrügerische Webseiten — am Beispiel einer aktuellen Spamwelle
    Aktuell laufen wieder Spamwellen durchs Land. Eine bot einen angeblichen Schweizer Bitcoin-ETF an, mit zuverlässiger Firma und offizieller Zulassung dahinter. Doch schon nach wenigen Klicks war klar: Da stimmt ganz vieles nicht.
  • Superhero OSS protecting computers on Easter again
    Wie die Open-Source-Community an Ostern die (IT-)Welt rettete
    Huch, waren das spannende Ostern, aus IT-Sicht! Es wurde die potenziell schlimmste IT-Sicherheitskatastrophe durch puren Zufall noch rechtzeitig abgewendet. Ansonsten hätte ein Angreifer Millionen von Servern weltweit im Nu unter seine Kontrolle bringen können.
  • Endet die Zeit im Jahr 2038?
    Heute in 14 Jahren endet die Zeit, so wie sie noch viele Computer kennen. Vor allem Computer, die in anderen Geräten eingebaut sind (vom Backofen bis zur Heizungssteuerung) dürften davon betroffen sein.
  • Wie zählt ein Computer?
    Computer sind geprägt von Limiten: Maximale Textlängen, maximale Zahlengrössen. Nicht erstaunlich, wenn man ihre Vorfahren kennt, die Kästchenfelder und Milchbüchlein mit einer eigenen Spalte für jede Ziffer.
  • Spamwelle zu Weihnachten?
    Wenige Tage bevor alle Systemadministratoren sich zu ihren Familien in die verdienten Weihnachtsferien zurückziehen, lässt SEC Consult die Bombe platzen: Die Antispam-Massnahmen der weitverbreitesten Mailserver können ausgehebelt werden. Sogar die Vortragsreise dazu ist schon geplant. Nur: Der weitverbreiteste Mailserver weiss davon nichts, seine User sind ungeschützt.

Marcel Waldvogel

,

Bleibe auf dem Laufenden!

Erhalte eine Mail bei jedem neuen Artikel von mir.

Ca. 1-2 Mails pro Monat, kein Spam.

Folge mir im Fediverse

Dossiers

Cloud+Sicherheit

Dossier Cloud, Sicherheit und Privatsphäre

Blockchain

Dossier Blockchain mit Kryptowährungen, Smart Contracts, NFTs

KI

Dossier Künstliche Intelligenz, Maschinelles Lernen, ChatGPT und Grafik-KI

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

Webapps