00:02 Einführung
02:12 Cyberkriminalität auf dem Vormarsch
05:59 Wettbewerbsumfeld
10:41 Die bisherige Entwicklung
13:00 9 Kreise der Hölle
14:50 Bedrohungsmodell (Konzepte 1/3)
20:54 Angriffsfläche (Konzepte 2/3)
25:14 Schwarzer Radius (Konzepte 3/3)
30:48 Unsichere Hardware (Sünden 1/3)
38:05 Unsichere Software (Sünden 2/3)
43:42 Supply chain Angriffe (Sünden 3/3)
49:22 Allgemeine Weisheit (Tugenden 1/3)
57:23 Sicherheitsinversion (Tugenden 2/3)
01:03:28 (Un)Sicher durch Design (Tugenden 3/3)
01:09:56 Fazit
01:12:10 Bevorstehende Vorlesung und Fragen des Publikums

Beschreibung

Die Cyberkriminalität nimmt zu. Ransomware ist ein florierendes Geschäft. Aufgrund ihrer physisch verteilten Natur sind supply chains besonders gefährdet. Außerdem ist die allgegenwärtige Komplexität ein fruchtbarer Boden für Probleme der Computersicherheit. Computersicherheit ist von Natur aus kontraintuitiv, da es genau der Ansatz ist, den Angreifer wählen, um Schwachstellen zu finden und auszunutzen. Je nach Art der numerical recipes in der supply chain optimization kann das Risiko erhöht oder verringert werden.

Vollständiges Transkript

Folie 1

Willkommen zu dieser Serie von supply chain Vorlesungen. Ich bin Joannes Vermorel, und heute werde ich “Cybersicherheit for Supply Chain” präsentieren. Moderne supply chains werden maßgeblich durch Software angetrieben und das mit jedem Tag zunehmend. Obwohl Software große Vorteile wie höhere Produktivität oder schnellere Reaktionsfähigkeit mit sich bringt, hat sie auch gravierende Nachteile. Einer dieser Nachteile ist die Computersicherheit, die eine eigene Problemklasse darstellt und sich als äußerst kostspielig erweisen kann. Allerdings gibt es für supply chain kein Zurück in die Ära ohne Software; es ist nicht mehr möglich, einen groß angelegten supply chain profitabel ohne Software zu betreiben. Daher muss die Computersicherheit frontal angegangen werden.

Das erste Ziel dieser Vorlesung wird es sein, das Ausmaß und die Tragweite der Herausforderung der Computersicherheit zu verstehen, insbesondere aus der Perspektive von supply chain, um zu begreifen, was nötig ist, um eine moderne supply chain abzusichern. Das zweite Ziel dieser Vorlesung wird es sein zu verstehen, was die Computersicherheit so einzigartig und herausfordernd macht, weil sie zutiefst kontraintuitiv ist. Insbesondere aus der Perspektive von supply chain wollen wir verstehen, was die Erkenntnisse, die auf Computersicherheit anwendbar sind, so ungünstig erscheinen lässt im Vergleich zur allgemeinen Weisheit, die in den meisten supply chain Kreisen vorherrscht.

Folie 2

Die Cyberkriminalität nimmt seit über einem Jahrzehnt zu. Das FBI liefert sehr interessante Statistiken zur Cyberkriminalität. Im vergangenen Jahr beliefen sich die gemeldeten Verluste in den USA durch Cyberkriminalität auf über 4 Milliarden Dollar. Diese Zahlen unterschätzen wahrscheinlich das Ausmaß des Problems, da Unternehmen aus verschiedenen Gründen dazu neigen, die Probleme nicht vollständig zu melden. Zum einen gibt es kleinere Vorfälle, die besonders schwer einzuschätzen und zu quantifizieren sind. Zum Beispiel, wenn man in einem warehouse aufgrund eines kleinen Computersicherheitsverstoßes einen halben Tag Betrieb verliert, ist dies kaum ein Vorfall, der einen tatsächlichen Bericht und Schadensersatzanspruch rechtfertigen würde, obwohl echter Schaden entstanden ist.

Andererseits werden groß angelegte Vorfälle von großen Unternehmen oft nicht vollständig gemeldet, um eine Marktpanik zu vermeiden, falls das Unternehmen börsennotiert ist. Daher werden große Vorfälle tendenziell verharmlost. Die wichtigsten und interessantesten Zahlen aus diesen Berichten sind jedoch das jährliche Wachstum der gemeldeten Verluste, das etwa 30 Prozent beträgt. Das FBI zeigt, dass diese Zahlen in den letzten fünf Jahren sehr stabil waren. Meiner Einschätzung nach ist es sehr wahrscheinlich, dass dieses Wachstum im Trend der nächsten Dekade stabil bleibt. In der Tat wächst die Bedeutung von Software stetig, und unsere moderne Wirtschaft wird immer abhängiger von Software. Daher vermute ich, dass dieser Trend ungefähr ein Jahrzehnt lang weiter wächst, bevor er ein Plateau erreicht.

Cyberkriminalität ist groß und wird immer größer; allerdings ist sie nicht das Ende der Welt, besonders wenn man sie mit dem Ausmaß anderer Probleme vergleicht. Zum Beispiel, wenn wir von einer Dekade mit konstant 30-prozentigem jährlichem Wachstum ausgehen, würden die gemeldeten Verluste durch Cyberkriminalität in den USA etwa 50 Milliarden Dollar pro Jahr erreichen. Damit wäre das Ausmaß dieses Problems etwa ein Drittel des illegalen Drogenmarktes. Obwohl Cyberkriminalität ein großes Problem darstellt, ist es nicht gerade ein apokalyptisches Problem, zumal diese Zahl im Vergleich zum BIP der USA betrachtet wird. Nichtsdestotrotz ist es ein Problem, das zunehmend ernst genug wird, um besondere Aufmerksamkeit zu rechtfertigen, besonders da der Großteil der Kosten von den Akteuren getragen wird, die am wenigsten darauf achten. Diese Kosten sind nicht gleichmäßig verteilt, und meiner Einschätzung nach tragen supply chains, die besonders exponiert sind, einen größeren Anteil dieser Kosten als der Rest der Wirtschaft. In diesem Zusammenhang unterstützen tatsächlich die Unternehmen, die am wenigsten aufmerksam sind, den Großteil der Kosten.

Folie 3

Um ein Problem in der Computersicherheit zu schaffen, kann man Maschinen, Menschen oder eine Mischung aus beidem kompromittieren. Die Techniken, die Menschen ausnutzen, sind technisch als Social-Engineering-Techniken bekannt, die äußerst effizient darin sein können, Computersicherheitsprobleme auszunutzen. Allerdings würde Social Engineering eine eigene Vorlesung verdienen, und heute ist das Ziel dieser Vorlesung, sich auf den computerbezogenen Teil des Problems zu konzentrieren. supply chains sind per Design sehr exponiert. Zunächst beinhalten supply chains viele Maschinen. Zweitens bestehen supply chains aus geografisch verteilten Abläufen. Drittens sind die Maschinen in supply chains per Design unglaublich miteinander vernetzt und voneinander abhängig. Schließlich sind viele Menschen in supply chains involviert, was bedeutet, dass die applicative landscape sehr komplex ist. Wo Komplexität herrscht, gibt es auch eine erhöhte Fragilität in Bezug auf die Computersicherheit. Insgesamt haben supply chains alle Zutaten, um ideale Zielscheiben für Probleme der Computersicherheit zu sein.

Falls es nicht kompliziert genug wäre, möchte ich sofort darauf hinweisen, dass Computersicherheit typischerweise im Widerspruch zu anderen Sicherheitsformen steht und dass eine Verbesserung der Computersicherheitslage tatsächlich andere Sicherheitsprobleme hervorrufen kann. Um diesen Aspekt zu veranschaulichen, der durchaus kontraintuitiv erscheinen mag, werfen wir einen Blick auf den Fall eines Data Lake. Wenn Sie einen Data Lake einführen, in dem Sie alle Ihre supply chain Daten sammeln, schaffen Sie einen einzigen Ausfallpunkt. Wenn es zu einem Verstoß in diesem Data Lake kommt und ein Eindringling ihn kompromittieren kann, wird dieser eine Angreifer in der Lage sein, alle Daten auf einmal zu exfiltrieren. Das liegt im Design des Data Lake und es gibt keinen Workaround.

Ein Data Lake hat jedoch auch seine Vorteile. Wenn es keinen Data Lake gibt, ist das Unternehmen einer anderen Problemklasse ausgesetzt. Die meisten Unternehmensbetrügereien beruhen darauf, dass in einer großen Organisation typischerweise die rechte Hand nicht weiß, was die linke tut, und dass dieser Mangel an Kommunikation und Synchronisation innerhalb des Unternehmens genutzt werden kann, um verschiedene Arten von Betrug zu begehen. Eine Möglichkeit, diese Probleme abzumildern, besteht darin, alle Daten zusammenzuführen, sodass solche Betrugsfälle viel offensichtlicher werden, einzig weil alle Informationen zusammengebracht wurden. In dieser Hinsicht kann ein Data Lake ein hervorragender Weg sein, um allerlei Betrug zu verringern, der sonst unentdeckt bleiben würde, weil die Daten nicht zusammengeführt werden können. Somit sehen wir, dass das Vorhandensein eines Data Lake ein Computersicherheitsproblem schafft, aber auch Teil der Lösung ist, um verschiedene Arten von Betrug zu vermeiden, die für das Unternehmen sehr kostspielig sein können.

Wir sehen hier, dass es bei der Computersicherheit um Abwägungen geht, nicht nur um die mit den Sicherheitsmechanismen verbundenen Kosten, sondern auch um Abwägungen mit anderen Sicherheitsformen, die über den spezifischen Bereich der Computersicherheit hinausgehen.

Folie 4

Diese Vorlesung ist die siebte Vorlesung dieses vierten Kapitels über supply chain, und dieses vierte Kapitel ist den Hilfswissenschaften der supply chain gewidmet. Hilfswissenschaften stellen Themen dar, die nicht exakt supply chain sind, aber grundlegend für eine moderne Praxis von supply chain.

Seit wir dieses vierte Kapitel begonnen haben, sind wir die Leiter der Abstraktion emporgestiegen. Wir begannen mit der Physik des Rechnens und gingen dann zur Software über, wobei das grundlegendste Element der Software, nämlich Algorithmen, betrachtet wurde. Anschließend beschäftigten wir uns mit zwei spezifischen Arten ziemlich ausgefeilter Algorithmen, der mathematischen Optimierung und des maschinellen Lernens, die für supply chain von zentralem Interesse sind. Insbesondere haben wir gesehen, dass sowohl die mathematische Optimierung als auch das maschinelle Lernen von programming paradigms getrieben werden. Somit haben wir einen Abstecher über die Vorlesung über Sprachen und Compiler gemacht, welches wahrscheinlich eines der am wenigsten geschätzten Themen in supply chain Kreisen ist, was Computerkenntnisse betrifft.

In der letzten Vorlesung tauchten wir in das Software Engineering ein, wobei wir die Maschinen für eine Weile außen vor ließen und uns auf die Menschen konzentrierten, die die Software erstellen, die benötigt wird, um eine supply chain überhaupt zu betreiben. Heute, nachdem wir uns darauf konzentriert haben, was es braucht, um die Software zu erstellen, die von Ihrer supply chain zum Betrieb benötigt wird, werden wir uns darauf konzentrieren, was es braucht, um genau diese Software zu zerstören und außer Betrieb zu setzen.

Folie 5

Der Rest dieser Vorlesung wird in drei Blöcke unterteilt. Zunächst werden wir drei Schlüsselkonzepte durchgehen, die relevant sind, um die Computersicherheit überhaupt zu erfassen. Auch wenn Computersicherheit zutiefst kontraintuitiv ist, bedeutet das nicht, dass sie gegen rationale und logische Analysen immun ist. Als Zweites werden wir eine Reihe sehr häufiger Grundursachen vieler – wenn nicht sogar der meisten – heutigen Computersicherheitsprobleme analysieren und auflisten. Insbesondere werden wir feststellen, dass es schwerfällt, nicht überwältigt zu sein angesichts des schieren Umfangs der Ursachen von Computersicherheitsproblemen. Schließlich werden wir einen Blick darauf werfen, was getan werden kann, um Computersicherheitsrisiken zumindest zu mindern. Wir werden sehen, dass der Großteil des positiven Wissens, beziehungsweise des Wissens darüber, was getan werden kann, negativer Natur ist und vielmehr betont, was vermieden werden sollte, anstatt was getan werden sollte. Ich werde versuchen, all diese Themen aus der Perspektive von supply chain zu behandeln; allerdings gibt es viele Aspekte, die hinsichtlich der Computersicherheit nicht ausschließlich supply chain-spezifisch sind.

Folie 6

Um über eine Lösung nachzudenken, müssen wir zunächst das Problem klar definieren, das wir überhaupt zu lösen versuchen. Dies ist genau die Denkweise, die ich für das dritte Kapitel dieser Serie hatte, das dem supply chain Personal gewidmet ist. Tatsächlich versucht supply chain Personal, die Probleme zu konkretisieren, die wir zu lösen versuchen, und in der Computersicherheit gibt es ein loses Äquivalent in Form des Bedrohungsmodells. Das Bedrohungsmodell ist buchstäblich ein Werkzeug, um die Art des Problems zu konkretisieren, das wir sicherheitstechnisch beheben wollen. Computersicherheit ist ziemlich schwer fassbar, vage und vielfältig; es ist sehr schwierig, logisch über Computersicherheit nachzudenken. Bei einer Diskussion über Sicherheit ist es sehr schwer, nicht unter das Problem zu geraten, die Zielvorgaben während der Diskussion zu verschieben, selbst wenn die beteiligten Personen in gutem Glauben handeln.

Zum Beispiel, wenn wir die Bedrohung diskutieren, dass ein Passwort von einem Mitarbeiter öffentlich gemacht wird – was einfacher ist, als es scheint, selbst wenn der Mitarbeiter nicht im Unrecht ist –, sollte die Diskussion nicht auf andere Arten von Bedrohungen ausufern, wie etwa schwache oder häufig genutzte Passwörter. Klar über eine Bedrohung nachzudenken, ist in der Computersicherheit wesentlich, denn eine schlecht durchdachte Abhilfe für ein gegebenes Problem tendiert dazu, schlimmer zu sein als das ursprüngliche Problem. Würde ein Unternehmen beschließen, um das Problem offengelegter Passwörter einzudämmen, disziplinarische Maßnahmen gegen Mitarbeiter zu ergreifen, die sich strafbar gemacht haben, weil sie ihre Passwörter preisgegeben haben, würde dieser Ansatz höchstwahrscheinlich katastrophal zurückschlagen. Anstatt Unterstützung zu suchen, würden Mitarbeiter damit beginnen, die Probleme, die sie mit ihren Passwörtern haben, zu verschweigen, was das Problem langfristig verschlimmern würde.

Das Interessante an Bedrohungsmodellen ist, dass sie einen zwingen, seine Schlachten sorgfältig auszuwählen, also die Bedrohungen zu bestimmen, denen man entgegenwirken will, und diejenigen, die man nicht angehen wird – selbst wenn die Bedrohung real ist. Zum Beispiel: Was ist mit einem abtrünnigen Mitarbeiter mit hochprivilegiertem Zugang zum Data Lake? Was würde passieren, wenn diese Person Daten exfiltrieren würde, indem sie ihre hohen Privilegien ausnutzt? Dies ist eine Bedrohung, aber entscheiden Sie sich dafür, genau dieser Bedrohung entgegenzuwirken oder nicht? Ihre Ressourcen und Ihre Zeit sind begrenzt. Die Bekämpfung dieser ganz spezifischen Bedrohung kann sich als unglaublich kostspielig erweisen, und daher hilft das Bedrohungsmodell auch dabei zu entscheiden, dass es Punkte gibt, an denen manche Bedrohungen einfach zu kostspielig sind, um sie anzugehen. Ihre Ressourcen und Zeit wären besser investiert in die Bekämpfung anderer Bedrohungstypen, die zwar genauso bedrohlich, aber viel günstiger und leichter zu handhaben sind.

In dieser Hinsicht, sei vorsichtig mit Analogien. Die Art der Bedrohungen, denen du in der Computersicherheit begegnest, ist völlig anders als die Bedrohungen im Hinblick auf industrielle oder physische Risiken. Computersicherheit beinhaltet Gegner – Menschen, die denken und ihre Handlungen an deine Praktiken und Richtlinien anpassen können. Zum Beispiel könnte ein Angreifer, wenn du gut dokumentierte Sicherheitsprozesse hast, diese vorhandene Dokumentation nutzen, um deine blinden Flecken zu identifizieren. Mein Punkt ist nicht, dass du keinerlei Dokumentation in Bezug auf Sicherheit haben solltest; mein Punkt ist, dass, wenn es um Computersicherheit geht, die Gegner schlau sind und alles ausnutzen können, was du ihnen gibst, selbst wenn es deine eigenen Sicherheitsprozesse sind. Daher hilft Bedrohungsmodellierung wirklich dabei, anfänglich über diese Art von Problemen nachzudenken.

Slide 7

In der physischen Welt ist die Angriffsfläche etwas relativ Offensichtliches. Wenn wir an eine mittelalterliche Burg denken, wäre die Angriffsfläche die Mauern und die Zugbrücke. In der Computerwelt ist die Situation jedoch viel komplexer. Im Hinblick auf Computersicherheit können scheinbar unbedeutende Elemente potenziell angegriffen werden. Eine zentrale Intuition bezüglich Angriffsflächen ist, dass sie immer größer sind, als man denkt.

Ein Beispiel aus der realen Welt dafür ist das OMG-Kabel, das wie ein völlig gewöhnliches USB-Kabel aussieht, aber einen Mikrocomputer enthält, der jeden Computer kompromittieren könnte, allein durch das Einstecken des Kabels. Dieses preiswerte Hardwareteil kann für nur 139 Dollar erworben werden und demonstriert, wie zugänglich diese Angriffsflächen sein können.

Was Angriffsflächen betrifft, hat jedes einzelne Hardware- und Softwareteil seine eigene Angriffsfläche, egal wie unbedeutend es erscheinen mag. Darüber hinaus ist es im spezifischen Fall von supply chain sehr schwierig, überhaupt alle Angriffsflächen zu identifizieren. Shadow IT, die in der Welt der supply chain weit verbreitet ist, und von Mitarbeitern mitgebrachte Geräte (Bring-Your-Own-Device-Muster) sind zusätzliche Einstiegspunkte für einen Angreifer in deine supply chain. Es geht nicht nur um das, was vom IT-Team verwaltet wird, sondern auch um all die Dinge, die nicht von deinem IT-Team verwaltet werden, aber in irgendeiner Weise zum Betrieb deiner supply chain beitragen.

Die Idee der Angriffsfläche besteht darin, klarzustellen, was angegriffen werden kann, ohne sich darauf zu fokussieren, wie der Angriff durchgeführt werden kann. Konzeptuell ist das Interessante an der Idee der Angriffsfläche, dass sie dich dazu zwingt, eine Art Abbildung aller Elemente zu erstellen, die auf die eine oder andere Weise kompromittiert werden können. Aus einer spezifischen supply chain-Perspektive hat jede Art von Software mit programmierbaren Fähigkeiten – wie etwa Excel Tabellenkalkulationen oder Python-Skripte – eine absolut massive Angriffsfläche, wenn die Programmierbarkeit oder umfangreiche Kompatibilität mit einer generischen Programmiersprache umgesetzt wird. Daher ist, was die supply chain betrifft, und angesichts der Menge an Konfigurationen, die im Gange sind, die Angriffsfläche typischerweise sehr massiv.

Slide 8

Nun, als drittes Konzept, haben wir den Explosionsradius, der ein Maß für die gesamte potenzielle Auswirkung eines Sicherheitsvorfalls darstellt. Wenn du anfängst, in Bezug auf den Explosionsradius zu denken, fragst du dich nicht, ob dieses Ereignis eintreten wird; du überlegst einfach: “Wenn es passiert, wie groß wird dann der tatsächliche Explosionsradius des Problems sein?” Die Idee ist, dass du über die Konsequenzen nachdenkst, ungeachtet der vorhandenen Abhilfemaßnahmen. Falls und wenn dieses Ereignis eintritt, was wird dann die Wirkung sein?

Wenn wir zur Burg-Analogie zurückkehren, kann der Explosionsradius in der Welt der Computer unglaublich groß sein. Zum Beispiel war im Fall des Colonial Pipeline-Angriffs das kompromittierte System nur ein winziger Teil des Gesamtsystems – lediglich das Abrechnungssystem. Der tatsächliche Explosionsradius, der daraus resultierte, dass das Abrechnungssystem eines einzelnen Unternehmens kompromittiert wurde, betraf den gesamten Staat Texas. Dies gibt dir eine Vorstellung von dem tatsächlichen Explosionsradius von Computersicherheitsproblemen, wenn du beginnst, über supply chains nachzudenken.

Mit dem Aufkommen des Cloud Computing haben sich die Explosionsradien enorm erweitert. Während Cloud Computing als Geschäftsmodell und IT-Betriebsmodell äußerst wettbewerbsfähig ist, geht es mit massiven Explosionsradien einher. Wenn ein Angreifer administrative Kontrolle über deine Cloud-Computing-Ressourcen erlangt, kann er deine gesamte Anwendungslandschaft auf einmal zunichte machen und so einen Single Point of Failure mit weitreichenden Konsequenzen schaffen. Die Tatsache, dass du Apps in die Cloud verlegst, verschärft tendenziell das Problem der Vernetzung, was zu größeren Explosionsradien führt.

Wenn du Apps in die Cloud verlegst, erlangst du die Leichtigkeit, sie untereinander zu verbinden, was echte geschäftliche Vorteile bringt. Allerdings erschaffst du damit, was die Explosionsradien betrifft, massive Abhängigkeiten, die von einem Angreifer genutzt werden können, um einen Explosionsradius von überwältigender Größe zu erzielen.

Hinsichtlich der supply chain ist es eine gute Methode, über den Explosionsradius nachzudenken, um Wege zu finden, diesen zu begrenzen. Wenn wir zu einem weiteren supply chain-Beispiel zurückkehren, nehmen wir an, wie ich in der vorherigen Vorlesung beschrieben habe, dass wir zwei Arten von Softwareelementen im supply chain-Management haben. Es gibt die transaktionalen Elemente, die im Wesentlichen das supply chain-Management selbst darstellen, wie zum Beispiel die Verfolgung von Lagerbeständen. Dann gibt es die analytischen Elemente, die die supply chain-Optimierung umfassen, einschließlich Prognosen, Planung und verschiedene statistische Analysen der Daten.

Wenn wir uns dazu entschließen, alle softwarebasierten analytischen Elemente strikt von der Produktion zu isolieren, sodass der analytische Teil deiner Anwendungslandschaft die Daten aus den transaktionalen Systemen lesen, aber niemals in diese schreiben kann, bedeutet das, dass bei einer Kompromittierung der analytischen Systeme der Explosionsradius auf den analytischen Teil der Anwendungslandschaft beschränkt bleibt. Einfach ausgedrückt: Wenn deine Prognosesoftware kompromittiert wird, gefährdet sie nicht das Softwaremodul, das deine Lagerbestände verfolgt.

Slide 9

Nun, lasst uns die Ursachen und Quellen von Computersicherheitsproblemen überprüfen. Was die Hardware betrifft, ist der Zustand absolut miserabel. Kurz gesagt, das Fass läuft überall über, und die gesamte Community klebt ständig Klebeband auf die Probleme, die ständig auftauchen. Heutzutage ist nahezu alles hardwareseitig defekt.

Zum Beispiel sind alle modernen CPUs praktisch kaputt. Im Jahr 2018 enthüllte ein Team von Sicherheitsforschern zwei neue Klassen von Schwachstellen in modernen CPUs, die unter den Namen Spectre und Meltdown bekannt wurden. Diese Schwachstellen nutzen die Möglichkeiten der Sprungvorhersage aus, die in modernen CPUs zu finden ist. Wie du dich vielleicht an die Vorlesung über modernes Computing für supply chain erinnerst, haben wir gesehen, dass moderne CPUs sehr tiefe Ausführungspipelines besitzen und dass ein Weg, hohe Leistung zu erzielen, über Sprungvorhersage führt. Es stellt sich heraus, dass dieser Sprungvorhersagemechanismus, der in jeder modernen CPU auf dem Markt zu finden ist, ausgenutzt werden kann, um Sicherheitsbarrieren zu durchbrechen. Diese Situation ist schwer zu lösen, da es sich um einen grundlegenden Konstruktionsfehler handelt, der mit der Implementierung der Sprungvorhersage in CPUs von Anfang an verbunden ist.

CPUs haben tonnenweise Probleme, und ich erwähne nicht einmal die, die durch versehentliche Hintertüren infolge von Legacy-Support entstehen. Aber es stellt sich heraus, dass auch der Speicher defekt ist. Es gibt eine Klasse von Angriffen, die als Rowhammer-Angriffe bezeichnet werden und die das physische Layout moderner Speicherzellen in hochdichtem, modernem DRAM ausnutzen. Es ist möglich, Speicherfehler auszulösen und diese Fehler zu nutzen, um Daten von Maschinen zu exfiltrieren. Es gibt keinen wirklichen Workaround, selbst wenn du ECC-DRAM (Error Correction Code) verwendest, der normalerweise in produktionsreifen Rechenzentrumsmaschinen zu finden ist. ECC verlangsamt Rowhammer-Angriffe lediglich; es kann sie nicht verhindern. Alles, was notwendig ist, um einen Rowhammer-Angriff durchzuführen, ist, dass die Maschine eine Webseite mit aktiviertem JavaScript ausführt, woraufhin du direkt Daten aus dem Speicher der Maschine exfiltrieren kannst. Nicht nur CPUs und Speicher sind defekt, sondern auch USB ist fehlerhaft. Was USB betrifft, kann man sicher davon ausgehen, dass jedes USB-Gerät, das du an dein eigenes Gerät anschließt, das angeschlossene Gerät kompromittieren kann. Wir haben ein Beispiel mit dem “Oh My God”-Kabel in einem früheren Slide gesehen, aber grundsätzlich reicht das Problem sehr tief. Die Wurzel des Problems liegt im Grunde in sehr schlechten Entscheidungen, die vor Jahrzehnten in Bezug auf USB getroffen wurden, insbesondere im Bereich Plug-and-Play.

Aus der Perspektive der Benutzererfahrung ist es großartig, dass, wenn du ein Gerät an deinen Computer anschließt, es einfach out of the box funktioniert. Allerdings geschieht unter der Haube, dass sich tonnenweise Intelligenz im USB-Controller verbirgt, um Treiber automatisch zu importieren und allerlei Funktionen automatisch zu aktivieren, die als Einstiegspunkte für einen Angreifer genutzt werden können, um die Kontrolle über deine Maschine zu übernehmen. Daher sind all diese Plug-and-Play-Funktionen aus benutzererfahrungstechnischer Sicht sehr angenehm, aber sie stellen einen kompletten Albtraum aus der Perspektive der Cybersicherheit dar.

Übrigens haben viele, wenn nicht die meisten, Wi-Fi-Chipsätze ebenfalls gravierende Sicherheitsmängel. Forscher zeigten 2017, dass von Broadcom produzierte Chipsätze, die in iPhones und Samsung-Handys weit verbreitet waren, fehlerhaft sind. Alles, was ein Angreifer benötigte, um das Gerät zu kompromittieren, war, in der Wi-Fi-Reichweite zu sein und das Wi-Fi aktiviert zu haben, um das Gerät aus der Ferne zu übernehmen.

Aus supply chain-Perspektive sehen wir, dass nicht nur die konventionelle Hardware in großem Maße defekt ist, sondern auch die geografische Verteilung – was weiter verstärkt wird, wenn in deiner supply chain irgendeine Art von IoT im Einsatz ist – all den Problemen unterliegt, die ich gerade beschrieben habe, und noch mehr. Ein Angreifer kann häufig physischen Zugang zu deiner Hardware erlangen, oder es wird zumindest viel schwieriger, den physischen Zugang zu einem Gerät zu verhindern, das mit deiner supply chain verbunden ist. Daher sind supply chains von Natur aus extrem exponiert, was die Hardware betrifft.

Slide 10

Da wir gesehen haben, dass der Zustand der Hardware-Sicherheit miserabel ist, sollte es auch nicht überraschen, dass der Zustand der Software-Sicherheit miserabel ist. Ich werde nicht alle Schwachstellen aufzählen, die in der Software zu finden sind; die Kernaussage ist, dass jede einzelne Schicht ihre eigenen Probleme in der Computersicherheit mit sich bringt. Wir könnten über Betriebssysteme, virtuelle Maschinen, Hypervisoren, Anwendungsframeworks, Webserver usw. sprechen. All diese Schichten haben mit einer Reihe schwerwiegender Computersicherheitsprobleme zu kämpfen.

Allerdings möchte ich darauf hinweisen, dass selbst die Software, die dazu gedacht ist, dich zu schützen, katastrophal nach hinten losgehen kann. Zum Beispiel stellen Antivirenprogramme eine ganze Klasse von Sicherheitsproblemen dar. Ein Antivirenprogramm ist ein Stück Software, das mit enormen Privilegien auf der Maschine operiert, nur weil es in der Lage sein soll, zu überwachen, was alle anderen Prozesse tun. Notwendigerweise operiert das Antivirenprogramm mit sehr hohen Privilegien, was es zu einem Hauptziel für Angreifer macht. Darüber hinaus ist das Antivirenprogramm, falls vorhanden, auf vielen Maschinen im Unternehmen präsent, sodass es sich um dieselbe Software handelt, die mit sehr hohen Privilegien auf zahlreichen Maschinen läuft. Dies macht es zu einem besonders attraktiven Ziel für Angreifer, und rate mal? Viele Angreifer richten sich heutzutage gezielt gegen Antivirenprogramme. Übrigens zeigt das, was du auf dem Bildschirm siehst: Sicherheitsforscher demonstrieren, wie man ein existierendes Antivirenprogramm auf dem Markt kompromittieren kann, um dieses Antivirenprogramm dazu zu nutzen, Daten aus dem Zielsystem zu extrahieren.

Allerdings gehen die Probleme mit Antivirenprogrammen sehr tief. Ein Antivirenprogramm ist im Grunde eine sehr rechenintensive Anwendung. Infolgedessen bedeutet dies, dass Antivirenprogramme unvermeidlich zahlreiche Low-Level-Programmierungstricks beinhalten, um das gewünschte Leistungsniveau zu erreichen. Leider gilt: Je mehr Low-Level-Scherereien du in deiner Software einsetzt, um hohe Rechenleistung zu erzielen, desto größer wird die Angriffsfläche, weil du dich in Bezug auf Low-Level-Probleme exponierst. Darüber hinaus sind Antivirenprogramme per Design Software, die ständig mit der Außenwelt interagieren muss. Typischerweise ist ein Antivirenprogramm nutzlos, wenn es sich nicht ständig mit dem neuesten Satz an Signaturen und Logik zur Erkennung der frischesten Malware aktualisiert. Somit endet man mit einer Software, die die Angriffsfläche vergrößert, nur weil sie sich mit dem Netzwerk und vielen anderen Dingen verbinden muss.

Meine persönliche Ansicht ist, dass die meisten Antivirenlösungen im heutigen enterprise software Markt mehr Schaden als Nutzen anrichten. Aber die Realität ist, dass man von den meisten Sicherheitslösungen ziemlich dasselbe sagen kann.

Abschließend, aus supply chain-Perspektive, möchte ich darauf hinweisen, dass die Art von Unternehmenssoftware, die in supply chain-Kreisen vorherrscht, aufgrund ihrer schieren internen Komplexität eine katastrophale Sicherheit aufweist. Es ist schon schwierig genug, ein Stück Software zu sichern, das sehr dünn und schlank ist; wenn du es mit einem sehr aufgeblähten Produkt zu tun hast, das über Jahrzehnte hinweg konstant gewachsen ist, wird es zu einer nahezu unlösbar herausfordernden Aufgabe.

Slide 11

Schließlich sind supply chain-Angriffe aus mindestens zwei sehr unterschiedlichen Gründen von Interesse. Erstens sind supply chain-Angriffe interessant, weil sie in den letzten Jahren massiv zugenommen haben. Meine eigene persönliche Prognose ist, dass diese supply chain-Angriffe wahrscheinlich eine der dominierenden Formen von Computer-Sicherheitsangriffen im nächsten Jahrzehnt sein werden. Zweitens kann die Präsenz des Schlüsselworts “supply chain” im Namen der Angriffe viel Verwirrung stiften, insbesondere beim Gespräch mit einem supply chain-Publikum. Ein supply chain-Angriff ist einfach ein Angriff, der eine Ihrer Software-Abhängigkeiten ins Visier nimmt. Zum Beispiel könnte es sich als sehr schwierig erweisen, Amazon direkt anzugreifen, also die von Amazon direkt produzierte Software. Möglicherweise sind die Teams bei Amazon sehr zuversichtlich und kompetent, und ihre Software ist sehr gut entwickelt, mit nicht vielen Sicherheitslücken, die ausgenutzt werden könnten. Aber was ist mit all den Abhängigkeiten oder Softwareteilen, die von Amazon verwendet werden, aber ursprünglich nicht von Amazon erstellt oder entwickelt wurden? All diese Elemente sind zum Beispiel bei Open-Source-Software der Fall. Gegenwärtig nutzt jeder einzelne Anbieter massiv Open-Source-Software. Sie können heutzutage ein beliebiges großes Unternehmen benennen; die Chancen stehen gut, dass sie umfangreich Teile von Open-Source-Software einsetzen.

Wenn wir zum Fall Amazon zurückkehren, was ist dann, wenn man eine der Open-Source-Komponenten kompromittiert, die von Amazon verwendet werden, falls es nicht gelingt, Amazon direkt zu kompromittieren? Das ist genau der Kern eines supply chain-Angriffs. Es stellt sich heraus, dass letzten Freitag wahrscheinlich einer der größten Computer-Sicherheitsverstöße des Jahrzehnts stattfand, als die “katastrophale” Log4j-Sicherheitslücke aufgedeckt wurde. Kurz gesagt, Log4j ist eine Open-Source-Komponente, die zum Protokollieren von Fehlern verwendet wird. Im Wesentlichen, wenn Software auf einen Fehler stößt, möchten Sie in der Lage sein, Fehler im Nachhinein zu verfolgen, und wenn ein Fehler auftritt, möchten Sie diesen Fehler typischerweise protokollieren. Das ist die Hauptfunktion eines Loggers, wie Log4j. Das “j” in Log4j steht für Java, welches in der Unternehmenssoftware-Welt einer der dominierenden Software-Stacks ist. Für alle in Java implementierten Softwareprodukte benötigen die meisten einen Logger, und vermutlich verwenden die meisten zu diesem Zeitpunkt Log4j.

Es stellt sich heraus, dass letzten Freitag eine katastrophale Sicherheitslücke, eingestuft als 10 von 10 auf einer Skala der sicherheitsrelevanten Kritikalität, in Log4j gefunden wurde. Da dieses spezifische Softwareteil einer intensiven Prüfung unterzogen wurde, weil es infolge dieser einen Sicherheitslücke weltweit zu großem Chaos gekommen ist, wurde heute eine zweite kritische Sicherheitslücke gefunden. Dies ist wirklich der Kern eines supply chain-Angriffs: Eine kleine Komponente, scheinbar harmlos, etwas, von dem Sie wahrscheinlich noch nie gehört oder gar nicht realisiert haben, dass Sie davon abhängig sind, befindet sich zufällig im Kern Ihres Systems und kann ein enormes Chaos verursachen, weil sie Sicherheitslücken schafft.

Aus supply chain-Sicht stellt sich heraus, dass supply chains besonders anfällig für supply chain-Angriffe sind. Dies liegt daran, dass moderne supply chains stark miteinander vernetzt sind. Höchstwahrscheinlich ist Ihr Unternehmen, wenn Sie eine moderne supply chain betreiben, sowohl softwareseitig mit Ihren Zulieferern als auch mit Ihren Kunden stark verbunden. Dies kann in Form von EDI erfolgen, aber es kann auch alle möglichen Formen der Computerintegration zwischen Unternehmen annehmen. Im Hinblick auf supply chain-Angriffe bedeutet dies, dass nicht nur die Software-Abhängigkeiten, die Sie haben, um Sie anzugreifen; es genügt wahrscheinlich, eine der Abhängigkeiten eines Ihrer Zulieferer oder eine der Abhängigkeiten eines Ihrer Kunden zu kompromittieren. In Bezug auf die Angriffsfläche sind supply chains per Design sehr anfällig und exponiert.

Slide 12

Bisher haben wir ein ziemlich düsteres Bild der Situation gesehen, und ich glaube, dass dies eine akkurate Darstellung der gegenwärtigen Computersicherheit ist. Wir haben tonnenweise Probleme, und ich fürchte, dass ich in diesem letzten Abschnitt darüber sprechen werde, was dagegen unternommen werden kann. Lassen Sie mich jedoch klarstellen; momentan ist es ein harter Kampf und ein extrem schwieriger, bei dem Sie darauf vorbereitet sein müssen, gelegentlich zu verlieren. Nur weil dies sehr schwierig ist, bedeutet das nicht, dass wir nicht versuchen sollten, in Bezug auf Sicherheit besser zu werden.

Fangen wir mit der allgemeinen Weisheit in Bezug auf Computersicherheit an. Das FBI gibt eine Fünf-Punkte-Empfehlung in Bezug auf Computersicherheit. Lassen Sie uns diese Empfehlungen durchgehen. Die erste Empfehlung ist, Backups zu machen, diese zu testen und Ihre Backups offline zu halten. Insgesamt ist das eine gute Empfehlung. Allerdings ist die Idee, Backups offline zu halten, etwas unrealistisch. Es ist sehr kostspielig und schwierig. Damit ein Backup nützlich ist, müssen Sie es häufig durchführen. Ein Backup, das einen Monat alt ist, ist typischerweise völlig nutzlos. Wenn Sie sehr häufig Backups machen, jeden Tag, jede Stunde oder sogar jede Minute, wird es schwierig, ein wirklich offline gehaltenes Backup zu haben. Mein Vorschlag wäre, Ihre Backups streng isoliert zu halten. Was Backups betrifft, konzentrieren Sie sich auf eine schnelle Wiederherstellung. Wichtig ist nicht, einen Backup-Plan zu haben, sondern einen Wiederherstellungsplan, falls Ihre Anwendungslandschaft kompromittiert wird.

Die zweite Empfehlung ist, Mehrfaktor-Authentifizierung zu verwenden. Auch dies ist eine gute Empfehlung, da Passwörter unsicher sind. Das Problem bei der Mehrfaktor-Authentifizierung ist jedoch, dass Sie sehr häufig nur die Illusion haben, sie tatsächlich zu besitzen. Zum Beispiel, wenn Sie ein Passwort und eine Bestätigung per Telefon haben, könnten Sie sagen, es handle sich um Zwei-Faktor-Authentifizierung. Aber wenn ich das Passwort mit dem Telefon in der Hand zurücksetzen kann, handelt es sich nur um eine Ein-Faktor-Authentifizierung. Bei der Mehrfaktor-Authentifizierung stellen Sie sicher, dass diese Faktoren wirklich isoliert sind und sich nicht zu einer Ein-Faktor-Authentifizierung verflachen, weil ein Faktor die anderen übergeht.

Die dritte Empfehlung ist, Ihre Systeme zu aktualisieren und zu patchen. Das ist eine gute Praxis; jedoch kann zu viel von etwas Gutem zu etwas Schlechtem werden. Eines der schwerwiegendsten Probleme, die wir heutzutage haben, sind supply chain-Angriffe, bei denen wir auf automatische Software-Upgrades angewiesen sind. Wenn ein Angreifer es schafft, einen supply chain-Angriff durchzuführen, indem er ein Stück Open-Source-Software kompromittiert, und es gibt Tausende davon, bedeutet das, dass allein durch das automatische Updaten dieses Malware-Stück in Ihre Systeme gelangt. Das wird immer gefährlicher. Die meisten Probleme mit USB-Hardware stammen aus der Auto-Update-Funktionalität der Firmware. Also, während es wichtig ist, Ihre Systeme zu aktualisieren und zu patchen, sollten Sie stets bedenken, ob Sie nicht ein noch größeres Sicherheitsproblem schaffen.

Die vierte Empfehlung ist, sicherzustellen, dass Ihre Sicherheitslösungen auf dem neuesten Stand sind. Bei dieser Empfehlung bin ich mir nicht ganz sicher, was genau eine Sicherheitslösung ausmacht. Diese Empfehlung scheint direkt das Produkt eines Lobbying-Einsatzes eines Sicherheitsunternehmens zu sein. Das meiste, was heutzutage als Sicherheitslösung beworben wird, macht Ihre supply chain oder Ihr Unternehmen wahrscheinlich nicht sicherer. Nichtsdestotrotz, wenn Sie ein Stück Software haben, ist es in der Regel besser, es auf dem neuesten Stand zu halten, egal ob es sich um eine Sicherheitslösung oder etwas anderes handelt.

Die letzte Empfehlung ist, Ihren Incident-Response-Plan zu überprüfen und regelmäßig zu üben. Diese Empfehlung ist nicht schlecht, aber meiner Meinung nach würde sie es nicht in die Top fünf schaffen. Diese Art des Denkens ist eher angebracht für den Umgang mit Industrieunfällen, wie dem Brandrisiko, aber nicht unbedingt für Probleme der Computersicherheit. Meine eigene Empfehlung Nummer vier in Bezug auf Sicherheit wäre, Ihre Bedrohungsmodelle zu kennen, Ihre Angriffsfläche zu kennen und Ihren Explosionsradius zu kennen. Allein die Tatsache, dass Sie wissen, wie Sie überhaupt exponiert sind und welche Art von Dingen passieren können, hilft erheblich dabei, Probleme zu verhindern. Wissen in Bezug auf Computersicherheit ist der Schlüssel.

Meine eigene Empfehlung Nummer fünf wäre, dass Computersicherheit eine Kultur ist, kein Prozess und keine Lösung. Dies soll nur daran erinnern, dass keine Art von Checkliste langfristig Ihrem Unternehmen etwas nützen wird. Es ist eine Kultur.

Slide 13

Was die Sicherheitsinversion betrifft, so scheint es, dass unsere intuitiven Erwartungen in Bezug auf Vorbilder oder wem wir in Sachen Computersicherheit vertrauen sollten, in der Regel falsch liegen. Organisationen, die von außen oder in ihrem Erscheinungsbild am sichersten wirken, sind typischerweise die schlechtesten, während Organisationen, die sehr grau oder zwielichtig aussehen, oft die besten sind. Das ist der Kern des Paradoxons der Sicherheitsinversion.

Als anekdotischen Beleg möchte ich auf einen Vortrag von 2014 über Flughafensicherheit hinweisen, in dem zwei Sicherheitsforscher zeigten, dass Flughäfen in Bezug auf Computersicherheit wirklich schlecht sind. Die Sicherheit ist so mangelhaft, dass es fast komisch wäre, wenn es nicht so ernst wäre. Man würde erwarten, dass internationale Flughäfen von unglaublich strenger Computersicherheit profitieren, aber die Realität ist genau das Gegenteil. Die Computersicherheit ist buchstäblich ein kompletter Witz, mit einer Enzyklopädie von Sicherheitslücken, die totale Inkompetenz, mangelnde Sorgfalt und Apathie gegenüber dem Problem demonstrieren.

Dieser Vortrag entspricht meiner eigenen beruflichen Erfahrung. Als professionelles Hobby habe ich seit mehr als einem Jahrzehnt technologische Audits im Auftrag von Investmentfirmen durchgeführt. Ich hatte die Gelegenheit, Dutzende von Tech-Unternehmen zu prüfen, und meine Beobachtung ist, dass je sicherer das Erscheinungsbild oder der Kontext des Unternehmens wirkt, desto schlechter scheint deren tatsächliche Computersicherheit zu sein. Unternehmen, die in den Bereichen Verteidigung und Sicherheit tätig sind, haben in der Regel unglaublich schlechte Sicherheit, während Unternehmen in Graubereichen, wie Wett-Websites und Erwachsenen-Websites, eine hervorragende Computersicherheit aufweisen.

Die gleichen Probleme treten sogar innerhalb einer bestimmten Branche auf. Zum Beispiel habe ich im Gesundheitswesen erlebt, dass die Sicherheit der während Operationen von Chirurgen verwendeten Geräte völlig miserabel ist, während die Computersicherheit der Automaten im Krankenhaus recht gut ist. Intuitiv würde man denken, dass die in einem Operationssaal verwendeten Geräte unglaublich sicher sein müssen, aber das Gegenteil ist der Fall. Der Automat ist sicherer als die von den Chirurgen benutzten Geräte.

Diese kontraintuitive Inversion beruht, glaube ich, auf einer einfachen Frage des Darwinismus. Kein internationaler Flughafen ist jemals aufgrund massiver Computersicherheitsprobleme bankrott gegangen. Diese Flughäfen dürfen nicht einmal versagen und können jahrelang mit anhaltenden Computersicherheitsproblemen und einer beeindruckenden Apathie davonkommen. Im Gegensatz dazu, wenn Sie ein Unternehmen betreiben, das eine Online-Wett-App betreibt und es Hackern erlauben, Geld zu exfiltrieren, weil sie die Ergebnisse der Wetten verändern können, werden Sie nicht lange überleben, und niemand wird Ihnen zu Hilfe kommen.

Als anekdotischen Beleg möchte ich auf einen Vortrag von 2014 über Flughafensicherheit hinweisen. In diesem Vortrag zeigten zwei Sicherheitsforscher, dass Flughäfen in Bezug auf Computersicherheit wirklich schlecht sind. Die Sicherheit ist so mangelhaft, dass es fast komisch wäre, wenn es nicht so ernst wäre. Das ist genau das Gegenteil von dem, was man erwarten würde; man würde antizipieren, dass internationale Flughäfen von unglaublich strenger Computersicherheit profitieren. Allerdings ist die Computersicherheit an Flughäfen buchstäblich ein kompletter Witz. Diese Sicherheitsforscher zeigten, dass es nicht nur eine Sicherheitslücke gibt, sondern eine Enzyklopädie von Sicherheitslücken, bei denen viele der Probleme totale Inkompetenz, mangelnde Sorgfalt und Apathie demonstrieren.

Dieser Vortrag entsprach meiner eigenen beruflichen Erfahrung. Als professionelles Hobby habe ich seit mehr als einem Jahrzehnt technologische Audits im Auftrag von Investmentfirmen durchgeführt. Ich hatte die Gelegenheit, Dutzende von Tech-Unternehmen zu prüfen, und meine Beobachtung ist, dass je sicherer das Erscheinungsbild oder der Kontext des Unternehmens wirkt, desto schlechter scheint deren tatsächliche Computersicherheit zu sein. Beispielsweise haben Unternehmen, die in den Bereichen Verteidigung und Sicherheit tätig sind, in der Regel unglaublich schlechte Sicherheit, während Unternehmen, die in Graubereichen wie Wett-Websites oder Erwachsenen-Websites tätig sind, eine hervorragende Computersicherheit aufweisen.

Interessanterweise treten die gleichen Probleme sogar innerhalb einer bestimmten Branche auf. Zum Beispiel ist im Gesundheitswesen die Sicherheit der von einem Chirurgen während einer Operation verwendeten Geräte miserabel, während die Computersicherheit der Automaten in der Hotelle Hall des Krankenhauses ziemlich gut ist. Intuitiv würde man denken, dass alles, was in den Operationssaal gelangt, unglaublich sicher sein muss, weil das Leben des Patienten auf dem Spiel steht, aber das Gegenteil ist der Fall. Der Automat ist sicherer als die von dem Chirurgen verwendeten Geräte.

Diese kontraintuitive Inversion beruht, glaube ich, auf einer einfachen Frage des Darwinismus. Kein internationaler Flughafen ist jemals aufgrund massiver Computersicherheitsprobleme bankrott gegangen, und sie dürfen nicht einmal scheitern. Infolgedessen können sie jahrelang mit anhaltenden Computersicherheitsproblemen und einer beeindruckenden Apathie davonkommen. Im Gegensatz dazu, wenn Sie ein Unternehmen betreiben, das eine Online-Wett-App betreibt und Sie Hackern erlauben, Geld zu exfiltrieren, weil sie die Ergebnisse der Wetten verändern können, werden Sie nicht lange überleben, und niemand wird zu Ihrer Rettung kommen.

Folglich sind diese Menschen im Wesentlichen Überlebende. Sie sind diejenigen, die alles Notwendige getan haben, um ihre Systeme abzusichern. Für supply chain lautet die zentrale Erkenntnis hier, dass wenn Sie auf der Suche nach genuiner Computersicherheitsunterstützung sind, um Ihre supply chain abzusichern, suchen Sie nicht nach ehemaligen Militärbeamten mit tadellosen Referenzen. Suchen Sie stattdessen nach einem Systemadministrator oder jemandem, der bei einer Erwachsenen-Website oder Online-Wetten involviert war — jene Randbereiche, in denen Menschen wirklich Fähigkeiten, Talent und Engagement zeigen mussten, um zu überleben. Andernfalls hätte das Unternehmen unter ihrer Aufsicht aufhören zu existieren.

Slide 14

Als letzten Teil dazu, was in Bezug auf Computersicherheit getan werden kann, möchte ich die Rolle des Designs skizzieren. Wenn es um Computersicherheit geht, würden viele sogenannte Experten Ihnen sagen, dass Sie Ihre Teams schulen müssen. Persönlich bin ich mir da nicht so sicher, in dem Sinne, dass man Menschen nicht darauf trainieren kann, keine Fehler zu machen. Selbst die klügsten Menschen werden müde, krank sein und ab und zu sehr dumme Fehler machen. Sie können sich nicht ausschließlich auf Schulungen verlassen. Computersicherheit ist nicht wie militärische Sicherheit; man kann nicht einfach Menschen durch intensives Training schicken, damit sie instinktiv handeln. Meistens erfordert die Situation wirklich, dass Sie ruhig bleiben und genau darüber nachdenken, was vor sich geht. Andernfalls ist die Behebung höchstwahrscheinlich schlimmer als das Problem, das Sie ursprünglich hatten.

Meine Meinung ist, dass wenn in Ihrer Organisation ein Designproblem in Bezug auf Computersicherheit besteht, keine Menge an Schulung oder Klebeband das Problem beheben wird. Es wird ein Kampf sein, den Sie nicht gewinnen können. Wenn Sie die Dinge aus einer Designperspektive betrachten, suchen Sie nach Entscheidungen oder Aspekten, die massive Auswirkungen auf Bedrohungsmodelle, Angriffsflächen und den Explosionsradius haben können. Sie wollen Designentscheidungen treffen, die so viele Klassen von Bedrohungsmodellen wie möglich eliminieren, ganze Angriffsflächen beseitigen und den potenziellen Explosionsradius einschränken.

Zum Beispiel, wenn man über Angriffsflächen spricht, sollte man die damit verbundenen Designentscheidungen bedenken. Wenn Ihre Organisation Softwareanbieter mittels Requests for Proposals (RFPs) oder Requests for Quotes (RFQs) auswählt, können Sie sicher sein, dass Sie massive Computersicherheitsprobleme durch das Design infolge der RFPs und RFQs haben werden. Warum ist das so? Nun, wenn Sie Unternehmenssoftwareanbieter auf Basis von RFPs oder RFQs auswählen, wählen Sie Anbieter, die alle Kriterien erfüllen können, da es eine Vielzahl von Kriterien zu erfüllen gibt. Ein typisches supply chain RFP wird Hunderte von Kriterien enthalten, die die Fähigkeiten und Eigenschaften der Software betreffen. Wenn Sie die Auswahl von Unternehmenssoftwareanbietern über ein RFP steuern, wählen Sie tatsächlich Anbieter mit massiv aufgeblähten Produkten voller Funktionen und Möglichkeiten aus, was wiederum zu einer massiven Angriffsfläche führt. Je mehr Fähigkeiten und Funktionen vorhanden sind, desto größer ist die Angriffsfläche. Wenn jeder einzelne Softwareanbieter, den Sie auswählen, durch diesen Prozess bestimmt wird, endet man mit einer Anwendungslandschaft, die am Ende des Tages – oder eher am Ende des Jahrzehnts, weil dies langsam voranschreitende Probleme in Bezug auf supply chain sind – eine extrem große Angriffsfläche aufweist.

Die gleichen Designentscheidungen können auch massive Auswirkungen auf den Explosionsradius haben. Zum Beispiel hat die Art und Weise, wie Sie Daten handhaben, ziemlich dramatische Konsequenzen aus supply chain Perspektive. Die meisten personenbezogenen Daten sind einfach völlig nutzlos für irgendeine Art der supply chain Optimierung. Wenn Sie bessere Prognosen und eine bessere Planung erzielen wollen, müssen Sie nicht den Vornamen und Nachnamen Ihrer Kunden kennen. Die Idee – und das ist eine Praxis, die Lokad vor mehr als einem Jahrzehnt übernommen hat – ist, personenbezogene Daten als Verbindlichkeit und nicht als Vermögenswert zu betrachten. In Bezug auf den Explosionsradius bedeutet dies, dass, wenn Systeme jemals kompromittiert werden, der Schaden wesentlich geringer ausfällt, wenn keine personenbezogenen Daten durchgesickert sind. Ja, es ist schlecht, wenn alle Ihre Lagerbestände öffentlich zugänglich sind, aber im Gegensatz zu geleakten personenbezogenen Daten wird dies Ihr Unternehmen nicht allzu stark negativ beeinflussen. Das ist ein Designaspekt bei der Organisation Ihrer supply chain, der massive Konsequenzen in Bezug auf den Explosionsradius haben kann.

Die besten Designentscheidungen sind diejenigen, die ganze Klassen von Problemen eliminieren. Die Rolle einer Computersicherheitskultur in einem Unternehmen besteht darin, der Organisation zu ermöglichen, die richtigen Einsichten darüber zu entwickeln, welche Designentscheidungen getroffen werden sollten, um Ihr Unternehmen zu schützen. Die richtigen Design-Einsichten sind das Ergebnis einer angemessenen Kultur rund um Computersicherheit.

Folie 15

Das führt mich zu dem Schluss, dass Computersicherheit zu wichtig ist, um sie ausschließlich in die Hände von IT-Spezialisten zu legen. Computersicherheit wird am besten als eine Kultur innerhalb des Unternehmens betrachtet und ist eine geteilte Verantwortung, nicht nur die Verantwortung von Personen, die das Stichwort Sicherheit in ihrem Jobtitel tragen. Wie wir in dieser Vorlesung bereits besprochen haben, konkurriert Computersicherheit oft mit anderen Arten von Sicherheit innerhalb eines Unternehmens, weshalb es eine Illusion ist zu glauben, dass ein Computersicherheitsspezialist Sie retten kann. Sie greifen möglicherweise nur eine Facette des Problems auf, weshalb eine Kultur unerlässlich ist, um die Entstehung von Designentscheidungen zu fördern, die Ihrem Unternehmen große Sicherheitsvorteile bringen.

Die richtige Kultur ist auch entscheidend, um instinktiv schlechte Designentscheidungen abzulehnen, die fortwährende Probleme verursachen würden, die später nicht mehr behoben werden können. Eine großartige Sicherheitskultur betrifft nicht nur, was man tun sollte, sondern auch, was man nicht tun sollte. Einer der schwierigsten Aspekte einer gesunden Computersicherheitskultur besteht darin, die Mitarbeiter dazu zu bringen, sich ausreichend um das Problem zu kümmern, sodass sie nicht mit dem bloßen Schein von Sicherheit zufrieden sind. In einer gesunden Computersicherheitskultur streben die Menschen nach echter Sicherheit und nicht nur nach dem Anschein von Sicherheit. Der Schein von Sicherheit ist oft viel schlimmer als ein tatsächlicher Mangel an Sicherheit.

Folie 16

Dies war die letzte Vorlesung des Jahres 2021, und die nächste Vorlesung findet 2022 am selben Wochentag statt. In der nächsten Vorlesung werde ich mit dem fünften Kapitel beginnen, das sich mit Prognosen beschäftigt. Insbesondere glaube ich, dass es eine ziemlich interessante Präsentation wird, da Lokad ein sehr spektakuläres Ergebnis im M5 Prognosewettbewerb erzielt hat. Ich werde dieses Ergebnis vorstellen und auch die Lehren diskutieren, die mit diesem Modell in Bezug auf supply chain verbunden sind.

Nun lassen Sie mich auf die Fragen eingehen.

Frage: Halten supply chain Führungskräfte Computersicherheit im Allgemeinen für irrelevant für sie oder nicht?

Mein Gefühl ist, dass ja, sie tun es in großem Maße, aber es kann noch schlimmer sein. Apathie ist ein großes Problem, aber selbst wenn supply chain Führungskräfte sich kümmern, neigen sie dazu, Computersicherheit aus einer Risikobewertungsperspektive anzugehen, die für industrielle Risiken anwendbar wäre. Dies ist nicht der effizienteste Ansatz, wenn es um Computersicherheit geht. Mein Punkt ist also, dass supply chain Führungskräfte heutzutage absolut nicht genug darauf achten, was ihre supply chains zerstören kann, und sie müssen sich wirklich mit den richtigen Arten der Abhilfe vertraut machen.

Frage: Da die Computersicherheit zunimmt, wachsen die Investitionen von Unternehmen in diese Branche schneller als ihr Budget für andere Software. Besteht die Möglichkeit, dass in Zukunft die Vorteile eines Softwaresystems durch hohe Kosten für Computersicherheit aufgewogen werden und die Menschen wieder zu Stift und Papier zurückkehren?

Ich habe nicht gesagt, dass Computersicherheit zunimmt; ich habe gesagt, dass Cyberkriminalität zunimmt. Ich hoffe, dass Computersicherheit irgendwann zunimmt. Es ist wahr, dass die Investitionen von Unternehmen in diese Branche schneller wachsen als ihre Budgets für andere Software. Die Frage ist, ob in Zukunft die Vorteile eines Softwaresystems durch hohe Kosten für Computersicherheit aufgewogen werden könnten und die Menschen wieder zu Stift und Papier zurückkehren.

Wie bereits gesagt, fühlen die Menschen den Druck wegen der zunehmenden Cyberkriminalität und geben daher Geld für Computersicherheitslösungen aus. In der Tat empfiehlt selbst das FBI, in irgendeine Art von Sicherheitslösung zu investieren. Mein Problem mit diesen Sicherheitslösungen ist, dass Sicherheit nicht nachträglich bedacht werden kann; der Großteil muss von vornherein eingeplant werden. Wenn Ihr Unternehmen Software auf Basis von RFPs auswählt, haben Sie ein Problem im Kern Ihres Unternehmens, da Sie Unternehmenssoftwareanbieter auswählen, die in puncto Sicherheit äußerst schwach sein werden. Daher spielt es keine Rolle, ob Sie sich später entscheiden, in eine ausgefallene Sicherheitslösung zu investieren – es ist zu spät. Von vornherein sind Sie kompromittiert.

Wenn wir zur mittelalterlichen Burg-Analogie zurückkehren, können Sie keinen größeren Wassergraben über einer schwachen Zugbrücke entwerfen oder die Mauern der Burg höher machen, wenn sie nicht hoch genug sind. Im Mittelalter wuchsen die meisten Burgen im Laufe der Zeit und wurden nicht auf einmal gebaut. Die Idee, additive Sicherheitsebenen hinzuzufügen, funktioniert, wenn es um physische Risiken geht, aber in der Softwarewelt funktioniert das nicht. Je mehr Codezeilen Sie hinzufügen, desto größer wird Ihr Sicherheitsproblem.

Ich stimme zu, dass Cyberkriminalität zunimmt und die Ausgaben für Computersicherheit steigen. Wenn man jedoch die Computersicherheit als Verhältnis der gemeldeten Verluste durch Cyberkriminalität zum BIP misst, wird dieses Verhältnis immer schlechter. Wir haben weniger Sicherheit, während wir mehr ausgeben, um dagegen anzukämpfen.

Was die Möglichkeit betrifft, zu Stift und Papier zurückzukehren, glaube ich nicht, dass die Welt in die vor-digitalen Zeiten zurückkehren wird. Die Kosten dafür sind einfach zu hoch. Die durch Software gebotenen Vorteile sind absolut gigantisch, und selbst wenn wir Cyberkriminalität als ein bedeutendes Problem betrachten, ist es letztlich immer noch ein Problem, das in Bezug auf sein Ausmaß nur ein Drittel der illegalen Drogenproblematik ausmacht. Illegale Drogen sind ein erhebliches Problem, aber sie bedeuten nicht das Ende unserer industriellen Zivilisation. Ich glaube nicht, dass die Menschen zu Stift und Papier zurückkehren werden. Allerdings vermute ich, dass viele Softwareanbieter beginnen werden, einfachere technologische Lösungen zu verwenden.

Um diesen Punkt zu veranschaulichen, betrachten wir die Log4j-Sicherheitslücke, die weltweit einschlug und bei großen Unternehmen erheblichen Schaden anrichtete. Diese supply chain Angriff-bezogene Sicherheitslücke wurde durch die Komplexität und die Fähigkeiten der Log4j-Komponente verursacht. Normalerweise sollte es ein kleines Softwarestück sein, das Fehler protokolliert, aber es stellte sich als ein Biest in Bezug auf Softwarefähigkeiten heraus. Die Menschen entdeckten eine Möglichkeit, dieses Biest auszunutzen, um unbeabsichtigte Konsequenzen zu erzielen.

Bei Lokad verwenden wir kein Log4j; unser Stack basiert auf .NET, und wir nutzen NLog, die entsprechende Komponente im .NET-Stack. Angesichts der Probleme in der Java-Community haben mein CTO und ich jedoch beschlossen, NLog auslaufen zu lassen und uns für etwas viel Einfacheres zu entscheiden. Es wird kein besseres NLog sein, sondern etwas mit nur einem Prozent der Komplexität. Diese Logger sind unglaublich leistungsfähig, aber ihre Fähigkeiten werden zu einer großen Belastung.

Das Äquivalent zum Zurückgreifen auf Stift und Papier wäre, sehr leistungsstarke und komplexe Softwarekomponenten durch solche zu ersetzen, die viel kleiner und weniger leistungsfähig sind. Dies kann helfen, die Last der Sicherheitskosten zu mindern. Irgendwann wird klar, dass es günstiger ist, ein kleines Softwarestück neu zu implementieren, das genau das tut, was Sie benötigen, selbst wenn Sie das Rad neu erfinden müssen, anstatt eine kostenlose Open-Source-Komponente zu verwenden, die aufgrund ihrer Größe eine massive zusätzliche Angriffsfläche mit sich bringt.

Bezüglich größerer bekannter Angriffe, die supply chains betreffen, kann es zu Verzerrungen bei den Angriffsberichten in den Nachrichten kommen. Log4j war ein massives weltweites Problem, weil es viele Branchen beeinträchtigte, einschließlich Banken, supply chain, Cloud-Computing-Anbietern und Spielefirmen. Wenn man jedoch den Colonial Pipeline-Angriff betrachtet, handelte es sich um einen Ransomware-Angriff, der ein bestimmtes Abrechnungssystem ins Visier nahm. Was ich sehe, ist, dass die Art von Angriffen, die in den Nachrichten erscheinen, diejenigen sind, die viel Aufmerksamkeit erhalten, was aber nicht bedeutet, dass supply chain-spezifische Angriffe nicht stattfinden. Auch wenn ich keine Details über Lokads Kundenbasis preisgeben kann, habe ich Ransomware-Angriffe bei unseren über 100 Kunden miterlebt. Es ist offensichtlich, wenn wir ein oder zwei Wochen lang keine Daten erhalten, während die Unternehmen darum kämpfen, die Situation zu beheben – typischerweise indem sie ihre Systeme von Grund auf mit Backups wiederherstellen. Manchmal stellt sich heraus, dass Lokad der einzige Backup war, den sie hatten. Schwere Angriffe auf supply chain Systeme passieren ziemlich häufig.

Bei einem relativ kleinen Sample hat Lokad über 100 Unternehmen als Kunden, aber es ist nicht so, als hätten wir eine Million. Selbst damit sehen wir derzeit etwa ein halbes Dutzend größere Vorfälle pro Jahr, was einem annualisierten Risiko von 5% für einen signifikanten Computersicherheitsvorfall entspricht. Das ist in meinen Augen ein ziemlich hohes Risiko.

Frage: Es scheint, dass Computersicherheit zum digitalen Pendant der persönlichen Hygiene wird. Denken Sie, dass Schulen anfangen sollten, Kindern diese Fähigkeiten beizubringen?

Ja, ich verstehe Ihren Punkt in Bezug auf Hygiene. Bei Computersicherheit sind die Angreifer jedoch intelligent. Viren im echten Leben mutieren, und es ist schwierig, Krankheitserreger einzudämmen. Aber es gibt einen wesentlichen Unterschied zwischen einem gedankenlosen Angriff und dem Umgang mit Menschen, die intensiv darüber nachdenken können, wie sie Ihnen und Ihrem Unternehmen den größtmöglichen Schaden zufügen können.

Ich stimme zu, dass es eine Herausforderung ist, Menschen – selbst Kindern – Computersicherheit beizubringen und zu schulen. Mein persönlicher Glaube ist, dass ein 12-jähriges Kind im Wesentlichen so schlau ist wie ein Erwachsener, nur ohne die Erfahrung eines Erwachsenen. Also ja, das sollte angegangen werden, einschließlich Betrug und Social-Engineering-Methoden. Viele Menschen fallen immer noch auf offensichtliche Betrugsmaschen herein, wie zum Beispiel die berüchtigten E-Mails des nigerianischen Prinzen.

Schulen sollten junge Köpfe und jüngere Generationen darauf vorbereiten, einer Welt zu begegnen, die feindselig sein kann. Selbst in relativ friedlichen Zeiten gibt es Menschen, die Ihnen schaden wollen. Der entscheidende Aspekt der Computersicherheit ist, dass jemand, der Ihnen Böses will, tausende Kilometer entfernt sein kann und dennoch in der Lage ist, Ihnen, Ihrer Organisation und Ihren Angehörigen Schaden zuzufügen.

Irgendwann sollten Schulen dieses Thema angehen. Zumindest in Frankreich ist es jedoch immer noch ein Kampf, Lehrer zu finden, die grundlegende Programmierkenntnisse vermitteln können. Dieser andauernde Kampf macht es schwierig, Lehrer zu finden, die Kindern Computersicherheit und digitale Sicherheit beibringen können. Dennoch sollte es wahrscheinlich getan werden, aber ich habe nicht allzu viel Hoffnung für diesen Bereich im nächsten Jahrzehnt.

Da es keine weiteren Fragen gibt, möchte ich Ihnen allen frohe Weihnachten wünschen und wir sehen uns alle im nächsten Jahr.