Wie Philipp und Ulf schon mehrmals richtig ausführen, brauchen wir mehr Digitalisierung.
Sehe ich aber sowas wie obige Fälle, frage ich mich, können wir Digitalisierung? Als auch die Gewährleistung der nötigen Sicherheit?
Sind wir da auch zu naiv und sorglos?
Wenn man sich wie mein Schwiegersohn (frischgebackener Vater) grad ein familientaugliches Auto gekauft hat, es bis auf weiteres nicht zulassen kann („es kann Wochen bis Monate dauern, bis alles wieder funktioniert“, so die Aussage heute), würde man sich schon über flexible Lösungen freuen.
Wenn Leistungen wie Bürgergeld oder ähnliches nicht bereitgestellt werden können, ist das schon schwerwiegender…
Da ich mich beruflich mit Sicherheit in der IT auseinandersetzen darf, kann man nur hoffen, dass endlich die ständige Erzählung vom „Hackerangriff“ mal in Frage gestellt wird.
Die meisten dieser sogenannten Angriffe sind einfach massenweise eingesetzte Trojaner, die per E-Mails oder andere Kommunikationswege von den internen Mitarbeitern ausgelöst werden. Hier von „Hackerangriff“ zu reden ist einfach irreführend und falsch. Es wird immer so getan, als wenn ein „bad actor“ es auf genau diese IT abgesehen hat. Dabei ist das allermeiste einfach nur Beifang eines riesigen ausgeworfenen Netzes.
Und weswegen funktioniert das auf einer so breiten Basis? Weil wir überall Software einsetzen, die eben unsicher ist. So von Grund auf. Weil Sicherheit Geld kostet (auch bei der Entwicklung) und nur in ganz gewissen Produkten auch wieder Geld bringt (klassische Sicherheitsprodukte wie Firewalls etc, die eben genau mit Sicherheit Geld einspielen). Und weil in den allermeisten Firmen eine Monokultur vorherrscht, die dann eben auch leicht angreifbar ist.
Was ich mich frage: Wie sieht das in den Ländern aus, die bei er Digitalisierung weiter sind? Hören wir da nur nie von denselben Vorfällen (weil sie uns eben nicht betreffen)? Oder wenn sie dort seltener oder nicht vorkommen, was machen die anders?
Ein Problem des Föderalismus? Wie auch im Lagebuch erwähnt, wären da ausgefeilte zentrale Anwendungen von Fachleuten, die mit hohen Sicherheitsstandards arbeiten, nicht besser als dieses Gefrickel, wenn der Oberförster der Kommune, der zufällig nebenbei die IT macht, nach gut klingender und günstiger Software goggelt?
Und ja, meist ist es der Fehler 77. Also der Fehler sitzt 77 cm vorm Bildschirm (ausser bei Druckern. Drucker hassen Menschen).
Wäre da nicht auch eine bessere IT Bildung aus den Schulen heraus nötig? Um verantwortungsvoller und sicherheitssensibler reagieren zu können? Manche Naivität im Umgang mit IT finde ich erschreckend für ein angebliches Hochtechnologie-Land.
Das mag schon sein, aber in diesem verlinkten Fall war ja ein größerer IT Dienstleister betroffen, und damit ja direkt wieder mehrere Kommunen. Und bei mehr Zentralisierung muss man natürlich auch größere Trägheit in Kauf nehmen.
Das würde natürlich auch helfen, aber ohne eine Art „Geprüfte Sicherheit“ für Software kommen wir, so glaube ich, auf Dauer nicht weiter. Niemand darf Produkte in Deutschland und überall sonst in Umlauf bringen, die z.B. unser Stromnetz gefährden würden. Die werden geprüft und zugelassen. Bei Software ist uns das offensichtlich total egal.
Naja, die Frage ist, wer bzw. wessen Software ist da angegriffen worden. Bei dem großen „Cyber-Notstand“ in Anhalt-Bitterfeld konnte man zwischen den Zeilen recht gut raus lesen, dass es eine Sicherheitslücke in dem Microsoft-Produkt gab, was aber scheinbar niemand so richtig sagen wollte. Fairerweise muss man sagen, dass dann noch On top Fehler vor Ort, wie eine zu großzügige Vergabe von Admisistrator-Rechte an einfache Anwender-PCs, hinzu kamen.
Wenn aber schon die Software von Tech-Riesen wie Microsoft einfach immer Mist ist, aber trotzdem stur weiter verwendet wird, dann kann das mit der Digitalisierung nichts werden.
Ich denke, Software können wir in Deutschland doch sicher auch?
Gehen wir innerlich immer noch davon aus, daß mit dem Internet geht wieder vorüber? Oder haben wir schon gegenüber der Marktmacht der USA und China resigniert? Oder sind unsere Kompetenzen da doch nicht so konkurrenzfähig? Wie teils ja der Rückstand unserer Autoindustrie befürchten lässt beim Thema Software…
Ich arbeite bei einem IT-Dienstleister.
Auch im IT Betrieb werden Firmen „geprüft und zugelassen“. Das BSI gibt dazu Anforderungen heraus, es gibt Audits etc. Da hier Behörden betrofen sind, gelten auch die noch strengeren Anforderungen für kritische Infrastruktur (KRITIS). Wie in den meisten Branchen ist das aber meiner Erfahrung nach nur Compliance-Hokuspokus.
In meinem Betrieb fallen wir auch darunter. Als Informatiker habe ich Fälle gesehen, wo Leute einfach alles auf dem Fragebogen abhaken, der Auditor macht auch sein Häkchen dran und prüft nix davon. Denn die Prüfung erfolgt nicht durchs BSI selbst, sondern über externe Prüfungsfirmen die natürlich ein Interesse an Folgeaufträgen haben. Gleiches Problem wie bei Ratingagenturen an der Börse.
Beispiel: Ich muss nur angeben, dass ich mich gegen das Risiko „veraltete Software“ absichere, indem ich regelmäßig updates einspiele.
Wie oft ich das mache? Ob ich das auf allen Systemen mache? Spielt für die Zertifizierung keine Rolle.
Das ist immerhin mehr als manche andere IT Dienstleister tun müssen. Ist es perfekt? Sicherlich nicht.
Was ich aber meinte sind die Hersteller von Software. Microsoft, Google, Apple, Oracle, etc. Die Liste lässt sich beliebig weiter führen. Diese machen immer so weiter wie bisher, Sicherheit ist nur bedingt wichtig, gibt es einen Schaden zahlt den der Kunde, entweder mit Geld oder seinem guten Namen. Das akzeptieren wir sonst in keinem industriellen Bereich.
Wenn sich dort nichts grundlegend ändert, werden wir immer weiter diese Vorfälle haben.
Ich arbeite als Entwickler im Daten- und KI-Umfeld in der deutschen IT Abteilung eines Konzerns mit über 10.000 Mitarbeitern. Ich arbeite nun seit 3 Jahren dort und kann mir gut erklären woher diese regelmäßigen „Hacks“ (@WilliWuff hat ja schon erklärt, dass Hack eigentlich nicht richtig ist) kommen.
Problem: Software Entwicklung ist teuer und der Kunde mag es gern billig. Das ist bei unseren In-House Auftraggebern nicht anders und so beginnt ein Projekt meist mit einem hemdsärmligen PoC. Darin spielt IT Sec nur eine untergeordnete Rolle. Irgendwann verfügt das Produkt dann über alle essentiellen Komponenten und es wäre Zeit sich um die Sicherheit zu kümmern. Aber genau hier beendet der Kunde das Projekt oft, schließlich funktioniert ja alles. Wir müssen dann schon in der zentralen IT Security eskalieren, damit die den unsicheren Betrieb des PoCs notfalls untersagen.
Langsame und starre IT Prozesse führen zu Lücken. Wer hat nicht schon einmal eine spezifische Software benötigt, deren Rollout die IT aber entweder untersagt (zuviel Wildwuchs) oder erst in Monaten (aufwendige Paketierung und Testen) in Aussicht stellt. Da greift man doch gern zur portable Anwendung auf einer dubiosen Plattform im Internet.
Und natürlich trifft ERROR 77 wie von Willi beschrieben in besonderem Maße zu. Herauszufinden wer den gefundenen USB STICK verloren hat, ist viel zu verlockend. Und warum verschickt der externe Geschäftspartner plötzlich so kryptische Links oder ein Angebot zu einem gar nicht angefragten Produkt? Egal, mal schauen was da los ist.
Das ist leider viel zu wenig. Einmal gelerntes hat sich in der IT oft nach 5 Jahren überholt oder zumindest stark gewandelt. IT ist lebenslanges lernen. Dazu sind m. E. viele außerhalb der Branche aber bisher nicht bereit.
Diese Monokultur lässt sich einfach zusammenfassen: Microsoft Active Directory, Microsoft Windows, Microsoft Outlook, Microsoft Office.
Über 90% aller Malware ist auf diese spezifische Infrastruktur ausgerichtet und auch nur darin lauffähig. Und diese Infrastruktur ist nicht nur in den allermeisten Firmen zu finden, sondern auch in fast allen Behörden. Entsprechend werden die, wie du schon schreibst, halt als „Beifang“ von denselben Ransomware-Trojanern erwischt wie die Firmen.
Leider wurde eines der wenigen ernstzunehmenden, groß angelegten Vorhaben, sich von der Abhängigkeit dieser spezifischen Infrastruktur zu lösen, aus weitgehend politischen Gründen abgeschossen - LiMux in München. Halte ich nach wie vor für einen katastrophalen Fehler, diese Entscheidung. Man hätte diesen Ansatz ganz im Gegenteil durch massives personelles und monetäres Investment verbreitern und im großen Stil ausbauen müssen, um mehr Kommunen und womöglich irgendwann auch Bundesbehörden auf dieser Infrastruktur laufen lassen zu können.
was mir zugegebenermassen Sorge macht:
wir sehen das es im Ausland (Dänemark,…) offenbar gut klappt mit der Online-Bürokratie, wollen es also auch so haben.
Aber mal eben schnell. Da bremsen die einen (Datenschùtzer, IT-Sicherheit,…) zu Recht, die anderen schaffen mal eben fix was an fùr ihre kleine Welt.
Das kann doch nur schiefgehen…?
Bei jedem gesellschaftlichen Problem wird immer nach gleich nach den Schulen gerufen.
Hass-Postings auf Facebook, IT-Kompetenz, Probleme mit Finanzen, …
Ganz ehrlich: Das können Schulen nicht alles leisten. Schulen müssen „mündige Bürger“ machen, die sich dann die notwendigen Kompetenzen selbst draufschaffen.
Ohja, da kann ich ein Lied von singen.
Mein Arbeitsrechner wurde gerade von der IT zwangsweise neu aufgesetzt. Ich bin seit Tagen damit beschäftigt, die notwendigen Berechtigungen und „Spezial-Software“ (wir reden hier immernoch von einem Microsoft-Produkt von der Stange) wieder zu kriegen.
darum geht es ja. aber eine grundlegende IT Kompetenz gehört heute genauso dazu wie Lesen und rechnen.
die Feinheiten kommen später.
Bei Themen wie Digitalisierung, die unser Land ja Wettbewerbsfähig halten sollen (wie bei einigen anderen Themen ja auch), würde ich mir idealtypisch das wie folgt vorstellen:
Die Politik setzt sich mit Fachleuten und Praktikern zusammen, und entwickelt die grundlegende Infrastruktur Mit den Ländern kommt der Feinschliff, und unter ständiger Evaluation entwickelt man das stetig weiter.
aktuell kommt es mir eher anders vor.
da hat jemand aus der Politik eine grobe Idee, die auf Halbwissen beruht, aber sich wahlwirksam schmissig verkaufen lässt, dann sagt man der Industrie, macht mal, Geld spielt keine Rolle. wenn es dann nicht rund läuft, sind die Länder oder Endanwender halt zu doof.
Update: quasi halb Südwestfalen ist digital offline, die Websiten von Stadtverwaltungen und kommunalen Ämtern nicht aufrufbar. Laut dem Anbieter der per Ransomware betroffen ist kann es bis zu 6 Wochen dauern, bis man wieder arbeitsfähig ist.
Zur Digitalisierung gehört Sicherheit schon irgendwie dazu.
Das grundlegende Problem ist hat die Verwendung von Microsoft. Man kann es nicht oft genug wiederholen. Sobald man sich davon unabhängig macht, ist das größte Einfallstor schon mal weg.
Ransomware ist ja nur deshalb lukrativ, weil überall auf der Welt Windows verwendet wird und eine Schwachstelle darin sofort Millionen potenzielle Opfer bedeutet. Außerdem wurde Benutzerfreundlichkeit schon immer der Vorzug von Sicherheit gegeben.
Gleichzeitig hat Microsoft ja schon vor längerer Zeit quasi davor kapituliert, Test- und QA-Personal reduziert und behebt nur noch die dringendsten Probleme, wie man bei fefe, heise und golem andauernd nachlesen kann.
Ohne massiven politischen Willen wird sich da aber wohl nichts tun und den bekommt man nur wohl nur, wenn die Ausfälle, wie jetzt in Südwestfalen noch viel häufiger werden.
Ich vermute eher, dass das grundlegende Problem für mangelnde IT-Sicherheit an dem Umgang damit liegt. D.h.: kein rechtzeitiges Einspielen von Patches, Sicherheits-Architektur, Konfiguration von Firewalls, Awareness, Anlegen von Back-Ups, das Üben von Einspielen von Backups, …
Für Nicht-Microsoft-Produkte können genauso Schwachstellen gefunden werden und diese können und werden auch ausgenutzt. Dass Open-Source nicht frei von Schwachstellen ist (und es Jahre dauern kann, bis diese gefunden werden), haben die letzten Jahre leider gezeigt. Für diese müssen Patches, sobald es sie gibt, auch erst einmal eingespielt werden. Vermutlich wird es ingesamt mehr generische Microsoft-Trojaner geben, aber das ist eben nicht das grundlegende Problem…
Das ist korrekt, das ist nicht das grundlegende Problem. Nur ist Microsoft eben in vielen Bereichen quasi Monopolist (ich möchte gar nicht wissen wie viele Firmen/Organisationen nicht auf zentrale Benutzerverwaltung per Microsoft setzen, wird vermutlich im einstelligen Prozentbereich liegen). Und dann hat man eben auch größere Verantwortung was Sicherheit seiner Software angeht. Und da versagt Microsoft leider seit Jahrzehnten.
Damit will ich die anderen Hersteller von Software aber nicht aus derselben Verpflichtung entlassen. Die haben das natürlich auch zu erfüllen. Nur hätten wir mit einem pluralistischem Ökosystem in der Software wenigstens keinen so massiven Ausfall, wenn es eben zur Ausnutzung der Lücken kommt.
Mal einen Schritt zurueck getreten.
Wie funktioneirt denn das in den EU Nachbarlaendern? Fahren die einfach die „Digitalisierung first, bedenken second.“ Schiene? Oder gibt es dort Aehnliche Bedenkentraeger wie hier?
Auf der einen Seite hoert man von aussen wie rueckstaendig Deutschland ist bei der Digitalisierung aber auf der anderen Seite haben wir Stimmen (Der CCC kommt mir hier in den Sinn) die immernoch einen extra analogen weg fordern und opt-out etc.
Angesichts des Digitalisierungs- und IT track records in Deutschland auch verstaendlich.
IMHO fuehrt das aber zu falschen Anreizen. Wenns eh analog geht und keiner mitmachen muss, dann machen wirs halt weiter analog und lassen alle digitalen vorteile liegen.
Oder ist es wirklich einfach nur ein Geld/Personal Problem und unsere Nachbarlaender investieren da einfach mehr? Ist wohl ein grosser Anteil.
Ich denke, das hat auch mit den Erfahrungen aus zwei Diktaturen auf deutschem Boden zu tun und dem daraus resultierenden mangelnden Vertrauen in den Staat zu tun. Nicht umsonst sind Dänemark und Finnland bei der Digitalisierung ganz weit vorne, beide Staaten sind auch für hohes Vertrauen der Bürger in den Staat bekannt.
Vertrauen darin, dass der Staat mit den Daten kompetent umgeht und die Daten nicht über Leaks in die falschen Hände geraten.
Beides ist in Deutschland wohl nicht sehr stark ausgeprägt, weshalb die Zivilgesellschaft (z.B. der CCC) erheblichen Missbrauchsschutz anmahnt. Ich würde mir auch mehr Mut zur Digitalisierung wünschen, aktuell denke ich auch, dass wir einfach zu viele Bedenken haben.