Hier folgen nun ein paar Kommentare zum aktuell laufenden IT-Sicherheitskongresses des BSI: https://www.bsi.bund.de/DE/Service-Navi/Veranstaltungen/Deutscher-IT-Sicherheitskongress/21-Dt-IT-Sicherheitskongress/21-dt-IT-Sicherheitskongress_node.html
Das sind Dinge, die mir live kommen, also definitiv nicht sonderlich durchdacht sind.
Saal 1, Psychologie der Sicherheit, Teil 1
Wenn Phishing eine Frage von Emotionen ist, man in der Emotion lieber schnell auf irgendwelche Links klickt statt sich erst einen Kaffee zu holen und kurz über die Emotion hinaus nachzudenken... warum sorgt man dann nicht dafür, daß Links in E-Mail clientseitig grundsätzlich erst nach 90 Sekunden klickbar werden?
Besser noch: wenn User Links gar nicht mehr klicken können und diese (wie zu den guten Zeiten der reinen Text-E-Mails) manuell per Copy&Paste in einen Browser übertragen müssen, dann haben durchschnittliche User die Emotion aus der E-Mail mit sehr hoher Wahrscheinlichkeit durch eine andere Emotion überschrieben: Haß, daß Computer so doof sind.
Aber das macht dann hoffentlich den Phishing-Versuch kaputt.
Andererseits... wenn User auch auf "Klicke hier, drücke Win-R, Strg-V, Enter" hereinfallen... aber das ist ja nicht mehr das Problem von Emotionen, hier kommt dann doch Wissen ins Spiel.
Ich will mehr fertige Rollenspiele für IT- und InfSec-Security-Awareness.
Ein geniales Modell. Schade nur, daß hier gerade mein Hacker-Herz losrennt und sich denkt: "Das brauche ich nicht kaufen, das kann ich selbst entwickeln." Die Karten des Rollenspiels sahen gut aus, ich würde das gerne einmal spielen.
Dabei fällt mir ein: ich habe mir vor einiger Zeit ein originalverpacktes Android: Netrunner (inkl. der Erweiterungen) gekauft. Ich bin immer noch hin- und hergerissen, ob ich das auspacken und spielen möchte oder lieber auf Wertzuwachs warte. Mint Condition und so... 🫠
LOL.
Gerade im Moment habe ich noch an anderer Stelle Diskussionen darüber, daß gewisse Bundesministerien anscheinen immer noch mMn komische Ansichten über "sichere Paßwörter" haben, mache Werbung für https://laengeristbesser.de - da wird das auch im Livestream erwähnt und zerrissen (also veraltete Paßwortregeln).
Spannenderweise wird auch das widerlegte "ändert euer Paßwort regelmäßig" zerrissen. Das ist gerade eine explizite Forderung aus der NIS-2-Umsetzungsverordnung (EU) 2024/2690. Ich versuche noch, das bei uns im Laden wegzuargumentieren - trotz der gesetzlichen Vorgabe.
Hui, und auch den Cyber Security Awareness Month anzugehen. Top.
Und auch die Idee, bei Schulungen etc. _zuerst_ den Test zu machen, wo Leute stehen, und dann gezielt auf Wissenslücken einzugehen.... eigentlich sehr logisch.
Diese Tests am Ende fühlten sich schon immer nach preußischem Schulsystem an. ^^
Also: angehen vom CyberSec A. Month = den Elephanten im Raum anzusprechen: man braucht nicht einen Monat mit Awareness. Das muß kontiniuerlich und "normal" werden. Ähnlich wie DevOps DevOps bleiben soll und das Sec grundsätzlich integriert haben soll (im Gegensatz zu DevSecOps).
Hm. Cyberawareness als Teil der Prozesse, damit man nicht immer grundlegend aus dem aktuellen Tun herausgerissen wird. Spanennde Idee... wenn das System also bemerkt, daß ich ein Paßwort ändern möchte, bekomme ich noch einmal kurz die Slides zum Thema Paßwortsicherheit bzw. -anforderungen. Oder so?
Ui. UI!
"In wie weit wird die Cybersicherheit zu sehr auf die Endnutzer abgewälzt? Sollte das nicht eher durch die IT abgefedert werden, so daß das gar nicht beim Endanwender ankommt?"
Da sagte mal jemand zu: "Klickt auf alle Links, öffnet alle Attachments. Macht solange Mist, bis die IT ihren Job und die Systeme sicher macht!"
Ich glaube, das war von @HonkHase ...
Hach, das war auch Bilderbuch: Frage vergessen, Faden verloren. "Sagst Du das bitte noch einmal ein bisserl spezifischer?!"
Ein Stichwort wird genannt.
Und direkt wieder den Faden gefunden und souverän weitergemacht.
Ich sollte mir das angewöhnen, statt zu sagen, daß ich den Faden verloren habe und diesen gerade suche, genau so nachzufragen. Ich habe das schon in zig Rhetorik-Büchern/-Talks/-Seminaren, aber das wirklich einmal live so mitzubekommen, hat mir gerade wirklich geholfen. Danke.
Waaaas? Wir können gar nicht die ganze Bevölkerung in IT-Sicherheitsexperten verwandeln? 😱
Dennoch nehme ich auch die Idee mit, Begriffe lieber auf deutsch statt auf englisch für - sorry - Awarenesskommunikation einzusetzen. Auch wenn ich seit schon immer gegen deutsch in IT-Sprech bin, eben weil es da keine passenden Standards gibt (vgl. auch Übersetzungsfehler in der NIS-2-Durchführungsverordnung oder DORA).
Die Idee, andere Sicherheitsexperten (also Arbeitssicherheit) zur Kommunikation mindestens zu befragen... I like.
Sooo. Weiter geht es nun nach der Pause in Saal 2 mit der NIS-2.
Äh. Zur Frage, warum wir eigentlich NIS-2 machen, war kurz eingeblendet eine Umfrage/Studie mit ungefähr dem folgenden Text drunter: "Cybersicherheitsniveau wird trotz steigender Angriffszahlen überschätzt".....
Wenn das nicht eine unglückliche Verkürzung war, habe ich ganz grundsätzliche Fragen. Fragen der Art "was hat die Frage, wie oft ich (automatisiert?) angegriffen werde, mit dem Cybersicherheitsniveau zu tun?"
An dieser Stelle möchte ich noch einmal ganz dringend singen: Correlation does not imply causation. Leider finde ich das Lied dazu gerade nicht...
Die Folie, wer eigentlich "die deutsche Wirtschaft" ist, hätte ich gerne einmal anders dargestellt: statt Anzahl der kleinst, kleinen, mittleren und großen Unternehmen dargestellt zu sehen, interessiert mich gerade, wie viel Arbeitskraft in Form von Kostenfaktore....äh Menschen auf die jeweiligen Unternehmensarten verteilt sind.
Aber das tut bei dem Vortrag nix zur Sache. :)
"Unternehmen möchten nicht gerne mit der Realität konfrontiert werden (wenn es um Dinge wie Cybersicherheit geht)."
❤️
Spannend an dieser Stelle der Hinweis aus dem gleichen Vortrag, daß nur 11% die NIS-2 als Treiber für Resilienz sehen. Schade eigentlich.
Aber inhaltlich ist das mMn ähnlich gelagert wie beim BFSG. $Damals(TM) haben wir Dinge wie Tabstop-Indizes und Navigierbarkeit via Tastatur ganz ohne Gesetz gemacht. Heutzutage braucht es für Grundlagen (egal ob im Webdesign oder IT-Sicherheit) dann leider Gesetze.
Schade.
Oh.
<werbung>
Den CyberRisikoCheck nach DIN SPEC 27076 kann ich übrigens anbieten. Falls den also jemand haben möchte, meldet euch bei mir.
</werbung>
Jap, erst Basics umsetzen. Der CyberRiskCheck hilft dabei.
Oder ein Buch, das ich schon länger nicht mehr empfohlen habe: Project Phoenix. Dort wird dann erst einmal klar, wie wichtig zu Beginn die Schaffung von Change Management ist.
Das Buch hat damals bei mir dazu geführt, daß ich meinen Job gekündigt habe, weil ich mit der Idiotie nicht mehr klargekommen bin.
Ha! Wie schon geschrieben: DevSecOps stand mal heftig in der Kritik, eben weil das "Sec" grundlegender, integraler Bestandteil sein sollte, damit reicht DevOps. :D
🤭
"Das ist oft schon veraltet, gleich in dem Moment, in dem die Dokumentation fertiggestellt wurde."
You guys have documentation? 🤪
Die Technical Measures der ENISA gibt es unter https://www.enisa.europa.eu/publications/nis2-technical-implementation-guidance
Uh, ZTNA.
Geht mal in Diskussionen mit eurer IT, was die unter ZTNA verstehen. Fragt auch nach der Geschichte, was durch ZTNA geregelt werden soll.
Ich habe mich da mal länger mit beschäftigt, eben weil mir niemand eine Erklärung geben konnte, was das ist, was das bringt, was "Protect Surface" ist, wieso das "besser und moderner als VPN" sein soll...
Zufällig bin ich in einem Podcast auf den Menschen gestoßen, der "Zero Trust" erstmalig so benannt hat. Es geht da um (sehr?) alte Netzwerkstrukturen, die grundsätzlich ein Zugreifen vom übergeordneten Netzwerk auf die untergeordneten Netzwerke erlauben. Diese Netze waren in Trust Level 1-100 eingeteilt, 100 durfte auf alles zugreifen.
Und diese idiotische Idee loszuwerden, war initial die Idee von "Zero Trust". Jetzt mit sehr vielen Tool-Herstellern und deren Verkaufspitches konkurrieren zu müssen, wenn man "Zero Trust" einführen möchte, ist schon spannend.
Auch hier kommt dann wieder: Leute da abholen, wo sie stehen, aufklären, Ziele klären, Wege dorthin abstimmen - und nicht nur Werbekisten wiederholen. Eine gänzlich andere Diskussion als die, die ich viel zu oft führen mußte.
Ich versuche nachher noch, den Podcast wiederzufinden, verspreche aber nix.
Vermutlich war es der hier:
Error Code: EP 61: Applying Zero Trust to OT systems
Episode webpage: https://errorcode.podbean.com/e/ep-61-applying-zero-trust-to-ot-systems/
Media file: https://mcdn.podbean.com/mf/web/c6533j962cyskqda/EP61FINAL1.mp3
Zero Trust is a security model based on default-deny policies and fine-grained access control governed by identity, authentication, and contextual signals. For RSAC 2025, John Kindervag, Chief Evangelist of Illumio and the creator of Zero Trust, talks about introducing a "protect surface" into legacy OT systems —isolating critical data, applications, assets, or services into secure zones for targeted Zero Trust implementation.
Nun ja. IaC alleine reicht aber wohl nicht. Wenn in der yml steht, daß irgendetwas aktiv sein soll, der Dienst aber grundlegend kaputt war....
Aber ja, das macht einiges deutlich einfacher.
Das Excel-Tool gibt es unter https://www.hvs-consulting.de/blog/nis-2-kmu-herausforderungen
Es gibt echt GFs, die mit "besser mal nicht registrieren, sonst müssen wir noch NIS-2 erfüllen" argumentieren? 😳
Aber andererseits hatte ich ja auch immer vermutet, daß mindestens Großkonzerne bei Risikomanagement Dinge wie Corona und Klimawandel derart auf dem Schirm haben und logisch und mit Blick in die Zukunft handeln..... 😬
Protokollsicherheit. \o/
Ich muß mich echt dringend noch einmal mit Protokollanalyse beschäftigen. "Nur" noch Regulatorik und Gesetze in den letzten ... inzwischen Jahren, da mangelt es dem Nerd in mir an Input.
Danke für den Beitrag, Tim.
Ich glaube, ich werde die Publikationen unter https://www.sec.uni-stuttgart.de/institute/team/Wuertele/ in den nächsten Tagen/Wochen einmal durcharbeiten. Und doch noch einmal schauen, ob ich meine Promotion* noch nachhole... dieser Beitrag hat mir viel gegeben, auch wenn ich nicht viel dazu geschrieben habe.
* gerne im Bereich Physik, IT-Sec, Statistik oder Schnittmengen davon, gerne berufsbegleitend. Sollte jemand hier Kontakte oder Ideen haben, schreibt mich sehr gerne an.
LOL.
Mehr Sexyness in die Cybersicherheit bringen.
Ich habe bereits eine Terminserie, um unser ISMS sexy zu machen. Das scheint also irgendwie neues Buzzword zu werden. 😁
Ich bin noch einmal bei "Zero Trust", was heutzutage als quasi unerreichbares Buzzword, für das Millionen in Lizenzen fließen müssen, dargestellt wird.
Das kommt mir ein bisserl so vor, als stellte man aktuelles IAM (rbac, rubac und weitere *bacs) einem Bell-LaPadula, einem Clark-Wilson, einem Biba oder so gegenüber.
Wer dazu mehr lesen mag: https://de.wikipedia.org/wiki/Bell-LaPadula-Sicherheitsmodell bietet einen Einstieg.
Einfach mal mit der IT-Sicherheit anfangen. Ein guter Schritt. Eine gute Idee.
Ich helfe da interessierten Unternehmen gerne bei den ersten Schritten. Schreibt mich an. Je kleiner, desto lieber.
Ach, das BSI darf erst in ein paar Jahren und dann auch erst nur bei besonders wichtigen Einrichtungen kontrollieren kommen?
Dann kann ich mich an dieser Stelle ja wieder schlafenlegen. :D
(Und nein, natürlich mache ich das nicht, ich hatte Prüfrechte bislang tatsächlich nicht weiter hinterfragt. Die sind da, ich will einen guten Job machen und IT-Sicherheit verankern - da ist mir doch egal, wer wann prüfen kommt.)
vgl. https://www.gesetze-im-internet.de/bsig_2025/__61.html Abs. 3:
"Das Bundesamt kann auch gegenüber anderen besonders wichtigen Einrichtungen frühestens drei Jahre nach Inkrafttreten dieses Gesetzes die Vorlage von Nachweisen über die Erfüllung einzelner oder aller der in Absatz 1 genannten Verpflichtungen anordnen."
https://www.gesetze-im-internet.de/bsig_2025/__62.html aber nimmt bei erstem Überfliegen die Einschränkung von drei Jahren für "nur" wichtige Einrichtungen wieder weg. Kann aber in meiner Interpretation falsch sein.
Ignoriert bitte die Prüfmöglichkeiten, macht die IT-Sicherheit einfach so, ganz ohne Angst vor Strafe.
Danke.
LOL.
Nicht-abelsche Gruppen in einem Vortrag hatte ich heute nicht auf der Bingo-Karte. Ich muß echt wieder in die Forschung und Wissenschaft.
Nachtrag zu oben meiner Promotionsidee: Quanten wären auch eine Idee. Erneut: wer Ideen und besonders Kontakte hat (berufsbegleitend), gerne schreiben. 🤗
Och menno!!!
Da wird hier über symmetrische, asymmetrische Verschlüsselung diskutiert, darüber, daß etwas "okayer" ist als das andere...
Da kann ich nicht zuhören, weil ich ans Telefon gehen mußte.
Hat jemand mitbekommen, was für ein Paper da gemeint war, das 3 Punkte mit aufnimmt, so rund um Quantencomputer, Handbücher von Niederländern, etc?
Hm. Quantencomputer 2030 (oder jetzt 2029) mit allgemeiner Verfügbarkeit....
Irgendwie klingt das ein klein wenig nach "Kernfusion ab dem Jahr 2000".
So oder so: Leute, erstellt eure Kryptoprozesse: Verzeichnis, Verwaltung, Rückruf, ...! Schaut euch die BSI TR 02102 an. Setzt auf PQC. Lernt PKI, wenn ihr so etwas hausintern machen müßt. (Oh, bei PKI muss ich an @syt und @christopherkunz und den Podcast "P@sswort" denken, den ich erneut sehr empfehlen kann).
Und vor allem: macht keine Krypto selbst!
"Kryptoagilität".
Ich sollte echt für die Beiträge morgen noch ein paar Bingo-Karten designen. Heute waren diverse Dinge drauf, die ich im Leben nicht erwartet hätte.
Aber die Problematik bleibt: macht ein Krypto-Asset, baut SBOMs, habt Ahnung von eurer Landschaft.
Cyberdome. Alleine der Begriff erinnert mich an rein nationale Lösungen, statt hier europaweit zusammenzuarbeiten. Und da werden dann bei mir direkt Assoziationen wie "Great Firewall of China" und Massenüberwachung geweckt (auch wegen QWACs durch eIDAS).
Und dann in der heutigen Zeit Israel als Partner hinzustellen... da denke ich dann an Pegasus und co. Auch nicht gut.
Und erneut Vorratsdatenspeicherung. 🙄
@vger Da stimme ich zu. Und die Registrierungszahlen beim BSI anscheinend auch. :D
Allerdings kenne ich auch das ein oder andere kleine Lädchen mit Milliardenumsätzen, die sich auch immer noch nicht damit beschäftigt haben.
Kann man so machen.
@vger "Normal".
Man will ja nicht der erste sein und direkt auf dem Radar stehen.
Und ja, mir ist klar, daß das eine... fragwürdige Argumentation ist. ^^
@jesterchen die Zusammenfassung des Zero Trust Workshops war leider nicht so gut, selbiges gilt leider auch für das graphic recording.
Mit etwas Glück war das ein Auftakt für eine intensivere Bearbeitung des Themas beim BSI.
@jesterchen Das ist nur die Spitze des Eisbergs.
@jesterchen "Erfüllen" ist relativ
Wir hatten halt vorher seitens einer anderen Behörde bereits fast alle dieser Auflagen und aufgrund dessen vergangenes Jahr auch ein ISMS eingeführt und zertifiziert. Aber Verbesserungspotential gibt es ja immer 
jesterchen42
Dr. Christopher Kunz
V'ger
Dr. Karoline Busse
Kevin Karhan