Chaos Communication Congress sieht den Menschen als zukünftiges wichtiges Angriffsziel

Zum Ende eines jeden Jahres fin­det der Kongress des Chaos Computer Clubs statt, auf dem sich über die Themen IT-Security, Netzpolitik und die gesell­schaft­li­che Implikation von Technologien aus­ge­tauscht wird. In die­sem Jahr fand der 35. Chaos Communication Congress in Leipzig mit etwa 16.000 Besuchern statt.

Zum mitt­ler­wei­le 13. Mal gab es dabei den Talk “Security Nightmares” von Frank Rieger und Ron Henrik Fulda, der all­jähr­lich einen Rückblick auf die Security-Alpträume des letz­ten Jahres wirft und einen Ausblick auf die Zukunft wagt. Bei die­sem Ausblick wird in die­sem Jahr ins­be­son­de­re das Angriffsziel Mensch in den Fokus gerückt:

Ron Henrik Fulda: Es gibt tech­ni­sche Fortschritte, die statt­fin­den: Apple arbei­tet hart dar­an, ihr Betriebssystem für PCs här­ter zu machen. Microsoft hat gera­de Sandboxing ein­ge­führt. Das sind im gro­ßen Stil Sachen, die für Smartphone- und Tablet-Betriebssysteme nor­mal sind, weil das dort von Anfang an drin war. [..] Das, womit Menschen direkt inter­agie­ren, das wird schon ste­tig bes­ser, wenn es up to date gehal­ten wird.

Frank Rieger: Die gan­zen zuge­na­gel­ten Endpoint-Produkte, die halt mehr so Tablets mit halb­wegs moder­ner Hardware sind, auf denen man kein eige­nes Betriebssystem mehr instal­lie­ren kann, auf denen es noch so ein paar Apps drauf gibt und bei denen die Sicherheit des Systems auch noch durch Hardware-Chips unter­stützt wird, die­se sind schon etwas schwie­ri­ger anzu­grei­fen. Und daher war für uns die Frage: Was pas­siert denn jetzt eigent­lich? Denn die Evolution geht natür­lich wei­ter. Und bis­her war es nie so, dass sich ins­be­son­de­re die Kriminellen davon auf­hal­ten las­sen haben, dass da irgend­was pas­siert. Die logi­sche Konsequenz ist, dass Sicherheit immer mehr zu so einem Layer 8‑Problem wird. Das Problem sitzt also zwi­schen Bildschirm und Stuhl.

Layer 8 refe­ren­ziert ein Kommunikationsmodell, in dem die Kommunikation von Informationen in unter­schied­li­che Schichten (Layers) auf­ge­teilt wird. Neben sie­ben tech­ni­schen Schichten spricht man ger­ne vom Layer 8, der gleich­be­deu­tend mit dem Menschen ist. Wenn Ihr IT-Admin also beim nächs­ten mal sagt, dass bei Ihnen ein Layer 8‑Problem vor­lag, wis­sen Sie, was Sie davon zu hal­ten haben.

Frank Rieger: Wir haben ja schon so ein paar frü­he­re Vorfahren davon gese­hen. Da gab es vor ein paar Jahren einen inter­es­san­ten Trojaner, der bei einer bestimm­ten Bank über einen Exploit, der, wenn er im Tab neben­an lief und man sein Homebanking auf­ge­macht hat, dem Benutzer etwas sug­ge­rier­te: ‘Hey, Du hast gera­de eine Überweisung über 750 Euro bekom­men. Das war lei­der eine Fehlüberweisung. Und weil Du ein ehr­li­cher Mensch bist, möch­test Du das jetzt bit­te zurück über­wei­sen.’ Das bedeu­tet, das war ein Angriff dar­auf, was in Deinem Kopf pas­siert. Weil man ein ehr­li­cher Mensch sein möch­te, haben die Leute das Geld zurück­über­wie­sen. Da hilft dann kei­ne Sicherheitsmaßnahme, weil der Mensch es woll­te. Und wir den­ken, dass genau da die Zukunft für Angriffe liegt. Dass sich die Angriffe immer mehr gegen das mensch­li­che Gehirn rich­ten wer­den und die tech­ni­schen Angriffe nur Hilfsmittel dazu sein wer­den.

Ron Henrik Fulda: Dieser I‑Love-You-Virus war vor 18 Jahren. Einer aus dem Berliner Club hat mir erzählt, dass er sich extra dafür ein Windows auf­ge­setzt hat, um die E‑Mail auf­ma­chen zu kön­nen, weil die­se von mei­ner Freundin kam. Die Menschen gehen also weit, um die Message zu hören, wenn die Message rich­tig ist.

Der gesam­te Vortrag ist unter https://media.ccc.de/v/35c3-9685-security_nightmares_0x13 unter einer Creative Commons Lizenz ver­öf­fent­licht. Die über­nom­me­nen Textpassagen in die­sem Beitrag wur­den zur bes­se­ren Lesbarkeit leicht ange­passt.

Wenn Sie wis­sen möch­ten, mit wel­chen Risiken Organisationen rech­nen müs­sen, wenn Angriffe gegen das Wissen und das Handeln der Menschen statt­fin­den und wie Menschen für die­se Themen sen­si­bi­li­siert und acht­sam gemacht wer­den kön­nen, dann kontaktieren Sie uns einfach.