Der unabhängige IT- und Tech-Kanal!
internet.board.entertainment.games.hardware
DeepSec (Logo)
Kemp führt mit seiner Firma Xiphos Research Labs unter anderem Penetration Tests, also Tests, bei denen versucht wird, in die Netzwerke einer Firma einzudringen, um deren Sicherheit zu überprüfen, durch. Er leitete seinen Vortrag ein mit der Aussage: "Cyber-Terrorismus ist ein dummer Begriff." Dies begründete er unter anderem damit, dass der Ausdruck unzureichend definiert sei. Er bedeute "für viele Leute viele Dinge", so Kemp. Er sagte weiter: "Die USA können noch nicht einmal definieren, was konventioneller Terrorismus ist", eine Aussage, die er damit untermauerte, dass jede Behörde andere Definitionen für diesen Begriff verwende.
Auch das Wort "Cyber" sieht Kemp negativ. Seine Nutzung "lässt einen zurückgeblieben wirken", sagte Kemp provokant, da "nicht mehr 1992 ist". Er sagte, Behörden würden oftmals Dinge von sich geben, die sich anhören wie "Cyber cyber cyber Krieg cyber cyber Bombe cyber cyber", womit er das wohl erfolgreichste Meme der diesjährigen DeepSec prägte.
Kemp stellte die "Bedrohungspyramide" vor. Bei dieser ist ganz unten der Vandalismus angesiedelt. Darüber finden sich in steigender Gefährlichkeit - und geringerer Verbreitung - Kriminalität, Spionage, Terrorismus und Krieg.
Sein Interesse für Terrorismus begründet Kemp damit, dass er die zur Terrorismusbekämpfung eingeführten Sicherheitsmaßnahmen - insbesondere die in England sehr verbreitete verdachtsunabhängige Überwachung - sehr kritisch sehe und erforschen wolle, ob die von den Autoritäten angeführte Bedrohung real sei. Neben der Einschränkung von Bürgerrechten kritisiert Kemp auch die hohen Kosten für die Terrorismusbekämpfung. Cyber-Sicherheit und Spione bekämen mitten in der Wirtschaftskrise sehr viel Geld, was eine problematische Verwendung von Geldern sei, so Kemp.
Diese Ansichten stoßen offenbar nicht überall auf Gegenliebe: Ihm sei schon einmal gesagt worden, sein Vortrag - selbst in einer "entschärften" Version - sei "gefährlich", so Kemp.
Seiner Natur nach, so Kemp, sei Terrorismus nur effektiv, wenn er mediale Aufmerksamkeit bekomme. Das sage allerdings nichts über das tatsächliche Bedrohungspotential aus. "Medien-Berichterstattung definiert Risiko nicht, aber wir müssen Risiko definieren," betonte der Sicherheitsexperte. Werde die Cyber-Bedrohung übertrieben und gehyped, verzerre das die Risiko-Wahrnehmung der Menschen und mache dadurch einen konstruktiven Dialog schwieriger.
Anhand von Beispielen legte Kemp da, dass staatlich geförderte Hacker oftmals ineffektiv gewesen seien. Sie hätten häufig die Abläufe der angegriffenen Systeme nur wenig gestört und keine "Schäden in der realen Welt" angerichtet, so der Experte.
Kemp beschuldigte Anbieter von Sicherheitssoftware, Bedrohungen absichtlich übertrieben darzustellen, um ihre Produkte besser zu verkaufen.
Michael Kemp während seines Vortrags auf der DeepSec 2012
Kemp untersuchte, was eine Einzelperson, eine "Ein-Mann-Armee", tun könne, um unter Nutzung moderner Technologien Schaden anzurichten. Er berichtete, dass die nötigen Informationen und Programme oftmals frei im Internet verfügbar seien.
Um seine terroristischen Aktivitäten zu finanzieren, könne man sich recht einfach beispielsweise durch Manipulation von Geldautomaten oder Phishing bereichern, sagte Kemp. Teilweise seien auch nutzbare Kreditkarten-Daten im Internet zu finden. Um das auf kriminellem Wege gewonnene Geld zu waschen, biete sich beispielsweise die Nutzung von Gaming-Websites - etwa Online-Poker-Angeboten - an.
Als Angriffsziel nannte Kemp unter anderem die Systeme von Fluglotsen. Diese, so kritisierte der Sicherheitsexperte, "interessieren sich nicht für Sicherheit [gegenüber Angriffen], sie interessieren sich dafür, Flugzeuge in der Luft zu halten". Bei diesen Systemen komme häufig unsichere Software zum Einsatz. Auch könne man unter Benutzung von Amateurfunk-Ausrüstung den Funkverkehr abhören oder gar in diesen eingreifen. Dies sei zwar illegal, aber das "interessiert Terroristen nicht", so Kemp. Er berichtete außerdem von einem Fall, in dem Mitarbeiter eines großen Flug-Kontrollzentrums in Großbritannien gebrauchte Cisco-Switches auf eBay verkauft hätten, auf denen noch Zugangsdaten und Informationen über die Netzwerk-Konfiguration gespeichert gewesen seien. Die verwendeten Passwörter seien noch dazu äußerst schwach gewesen. Hätte man die Konfiguration des Switches leicht verändert und diesen auf irgendeinem Wege wieder im Kontrollzentrum angeschlossen, hätte man das komplette System dort lahmlegen können, so die Einschätzung Kemps. Der Sicherheitsexperte kritisierte in diesem Kontext auch die inkompetente Medienberichterstattung. So hätte eine Website beim Bericht über den Fall den Switch als "technisches Dings" ("gizmo") bezeichnet; Journalisten einer anderen Website hätten versucht, eine Tastatur und einen Bildschirm an den Switch anzuschließen, weil sie diesen für einen Computer gehalten hätten. Allgemein steht Kemp den Medien bei der Technik- und IT-Sicherheits-Berichterstattung sehr skeptisch gegenüber. Er kritisiert, Berichte seien häufig reißerisch und zeugten von wenig Fachkompetenz.
Allgemein ist Kemp der Ansicht, dass die "Cyber-War-Bedrohung" gehyped und übertrieben dargestellt werde. Angriffe und die Bedrohungen seien zwar durchaus im Wachstum begriffen. Dies sei aber vor allem auf den Anstieg günstiger Gelegenheiten zurückzuführen - IT werde immer wichtiger und verbreiteter, während die Sicherheitsmaßnahmen oftmals nicht im selben Tempo effektiver würden. Somit ergäbe sich eine große Anzahl an Sicherheitslücken, die Angreifer ausnutzen könnten. Kemp stellte sich daher die Frage, was die Agenda hinter dieser Art der Darstellung sein könnte. Er nannte in seinem Vortrag mehrere Gründe. Einer sei, dass die Betonung einer Bedrohungssituation eine "exzellente Verkaufsstrategie" sei - Sicherheitssoftware und andere Produkte zum Schutz technischer Infrastrukturen ließen sich damit gut verkaufen. Als weiteren Grund nannte er die Tatsache, dass Antiterror-Gesetze es ermöglichten, die Bürgerrechte der Menschen einzuschränken - etwa in Bezug auf Inhaftierung ohne Prozess, die Kriminalisierung von IT-Sicherheitsforschung und Hacking und Überwachung - woran einige Politiker und Vertreter der Sicherheitsbehörden ein Problem hätten.
"Es wird immer Idioten mit Bomben geben," sagte Kemp im Rahmen seines Fazits. Er habe aber dennoch weitaus mehr Angst vor Überreaktionen der Behörden als vor dem Terrorismus selbst. "Wenn euch Sicherheit wichtig ist, lasst uns das Risiko definieren und die politische und soziologische Manipulation entfernen," sagte der Sicherheitsexperte. Er äußerte die Einschätzung, dass altmodische Terrorattacken, etwa Bombenanschläge, in Bezug auf angerichteten Schaden und mediale Aufmerksamkeit weitaus effektiver seien als die meisten Angriffe, die sich mit Hilfe von IT bewerkstelligen ließen - und zudem sei dabei die Durchführung einfacher. Er zitierte Mahatma Ghandi mit den Worten: "Der wahre Feind ist Angst. Wir glauben, es ist Hass, aber es ist Angst." In diesem Sinne sollten die Anwesenden die Zukunft im Rahmen der Diskussion um Terrorismus und sinnvolle Gegenmaßnahmen mitgestalten.
Annika Kremer (g+) am Sonntag, 02.12.2012 17:31 Uhr
Na, du musst es ja wissen. :rolleyes: Deine Berichte mal außen vorgelassen. :T ...
Tja, was soll man dazu sagen - der Mann hat nicht unrecht. Haufenweise saudumme Leute, die sich in irgendeiner Form profilieren wollen, und die entsprechende Berichterstattung machen es möglich, dass noch mehr Leute Angst bekommen, und dann nach Maßnahmen gegen Bedrohungen schreien, die gar nicht ex ...
Da hat wohl jemand Bruce Schneiers Blog regelmäßig besucht und daraus einen Vortrag gebastelt :) Mir fehlt ein bisschen der Zusammenhang von Inhalt zu Titel des Vortrags, aber trotzdem danke für den Artikel. Schön wär jetzt noch, wenn der Vortrag - z.B. CC-lizensiert - hier verlinkt wäre. Vielleich ...
Na, du musst es ja wissen. :rolleyes: ...
"Berichte seien häufig reißerisch und zeugten von wenig Fachkompetenz" Gulli in a nut shell. :D:D:D ...
Heutzutage ist die Internettelefonie neben Fest- und Mobilnetztelefonie immer gefragter. Per Internet zu kommunizieren ist nicht nur komfortabler und billiger, man ist zudem unabhängig von Tarifen, welche nur eine bestimmte Gesprächszeit günstig ermöglichen. Also wieso nicht auch Internet-Telefonie nutzen?
Lars Sobiraj am 14.05.2013, 13:52 Uhr
Der Petitionsausschuss des Deutschen Bundestags steht seit vielen Jahren den Bürgern und Gruppen für ihre Anliegen offen. Wir haben uns kürzlich mit einem der 80 Mitarbeiter des Hauses unterhalten. Da seit der Gründung nur sehr wenige Gesetzesänderungen durch Petitionen entstanden sind, wollen wir den Sinn dieser Institution hinterfragen. Dies ist vorerst der letzte Teil unserer Interview-Serie.
Lars Sobiraj am 12.05.2013, 12:51 Uhr
Wie ein 73-jährige Japaner beweist, kann man das am häufigsten benutzte Tabellenkalkulationsprogramm Microsoft Excel nicht nur für reguläre Berechnungen einsetzen. Tatsuo Horiuchi erstellt ausnahmslos seine traditionellen Gemälde mit Hilfe dieses Programms. Er arbeitet bereits seit 10 Jahren mit der Software und stellt seine Bilder in diversen Ausstellungen vor.
mehr lesen...
