Chaos Communication Congress sieht den Menschen als zukünftiges wichtiges Angriffsziel
Zum Ende eines jeden Jahres findet der Kongress des Chaos Computer Clubs statt, auf dem sich über die Themen IT-Security, Netzpolitik und die gesellschaftliche Implikation von Technologien ausgetauscht wird. In diesem Jahr fand der 35. Chaos Communication Congress in Leipzig mit etwa 16.000 Besuchern statt.
Zum mittlerweile 13. Mal gab es dabei den Talk “Security Nightmares” von Frank Rieger und Ron Henrik Fulda, der alljährlich einen Rückblick auf die Security-Alpträume des letzten Jahres wirft und einen Ausblick auf die Zukunft wagt. Bei diesem Ausblick wird in diesem Jahr insbesondere das Angriffsziel Mensch in den Fokus gerückt:
Ron Henrik Fulda: Es gibt technische Fortschritte, die stattfinden: Apple arbeitet hart daran, ihr Betriebssystem für PCs härter zu machen. Microsoft hat gerade Sandboxing eingeführt. Das sind im großen Stil Sachen, die für Smartphone- und Tablet-Betriebssysteme normal sind, weil das dort von Anfang an drin war. [..] Das, womit Menschen direkt interagieren, das wird schon stetig besser, wenn es up to date gehalten wird.
Frank Rieger: Die ganzen zugenagelten Endpoint-Produkte, die halt mehr so Tablets mit halbwegs moderner Hardware sind, auf denen man kein eigenes Betriebssystem mehr installieren kann, auf denen es noch so ein paar Apps drauf gibt und bei denen die Sicherheit des Systems auch noch durch Hardware-Chips unterstützt wird, diese sind schon etwas schwieriger anzugreifen. Und daher war für uns die Frage: Was passiert denn jetzt eigentlich? Denn die Evolution geht natürlich weiter. Und bisher war es nie so, dass sich insbesondere die Kriminellen davon aufhalten lassen haben, dass da irgendwas passiert. Die logische Konsequenz ist, dass Sicherheit immer mehr zu so einem Layer 8‑Problem wird. Das Problem sitzt also zwischen Bildschirm und Stuhl.
Layer 8 referenziert ein Kommunikationsmodell, in dem die Kommunikation von Informationen in unterschiedliche Schichten (Layers) aufgeteilt wird. Neben sieben technischen Schichten spricht man gerne vom Layer 8, der gleichbedeutend mit dem Menschen ist. Wenn Ihr IT-Admin also beim nächsten mal sagt, dass bei Ihnen ein Layer 8‑Problem vorlag, wissen Sie, was Sie davon zu halten haben.
Frank Rieger: Wir haben ja schon so ein paar frühere Vorfahren davon gesehen. Da gab es vor ein paar Jahren einen interessanten Trojaner, der bei einer bestimmten Bank über einen Exploit, der, wenn er im Tab nebenan lief und man sein Homebanking aufgemacht hat, dem Benutzer etwas suggerierte: ‘Hey, Du hast gerade eine Überweisung über 750 Euro bekommen. Das war leider eine Fehlüberweisung. Und weil Du ein ehrlicher Mensch bist, möchtest Du das jetzt bitte zurück überweisen.’ Das bedeutet, das war ein Angriff darauf, was in Deinem Kopf passiert. Weil man ein ehrlicher Mensch sein möchte, haben die Leute das Geld zurücküberwiesen. Da hilft dann keine Sicherheitsmaßnahme, weil der Mensch es wollte. Und wir denken, dass genau da die Zukunft für Angriffe liegt. Dass sich die Angriffe immer mehr gegen das menschliche Gehirn richten werden und die technischen Angriffe nur Hilfsmittel dazu sein werden.
Ron Henrik Fulda: Dieser I‑Love-You-Virus war vor 18 Jahren. Einer aus dem Berliner Club hat mir erzählt, dass er sich extra dafür ein Windows aufgesetzt hat, um die E‑Mail aufmachen zu können, weil diese von meiner Freundin kam. Die Menschen gehen also weit, um die Message zu hören, wenn die Message richtig ist.
Der gesamte Vortrag ist unter https://media.ccc.de/v/35c3-9685-security_nightmares_0x13 unter einer Creative Commons Lizenz veröffentlicht. Die übernommenen Textpassagen in diesem Beitrag wurden zur besseren Lesbarkeit leicht angepasst.
Wenn Sie wissen möchten, mit welchen Risiken Organisationen rechnen müssen, wenn Angriffe gegen das Wissen und das Handeln der Menschen stattfinden und wie Menschen für diese Themen sensibilisiert und achtsam gemacht werden können, dann kontaktieren Sie uns einfach.