LNP331 Kritische Infrastruktur

Ein LNP-Spezial zu Kritischer Infrastruktur, die AG Kritis und das Cyber-Hilfswerk

Im Nachgang zur DefensiveCon, einer auf die Probleme der Sicherung von Kritischer Infrastruktur im digitalen Zeitalter fokussierten Konferenz der AG Kritis, spricht Tim heute mit den Leitern des Projekts, Ijon und Honkhase über ihre Themen. Dabei definieren wir zunächst den Begriff Kritis und diskutieren, welche realen Bedrohungen kritische Infrastruktur heutzutage und künftig ausgesetzt ist und sein wird. Abschließend stellen die beiden ihre Idee eines Cyber-Hilfswerks vor, das inspiriert vom Gedanken des Technischen Hilfswerks (THW) eine zivile Organisation zur Abmilderung digitaler Katastrophenfälle postuliert.

Dauer: 2:04:43

On Air
avatar Tim Pritlove Paypal Icon Bitcoin Icon Liberapay Icon Amazon Wishlist Icon
avatar Ijon
avatar Honkhase

Kritische Infrastruktur

22 Gedanken zu „LNP331 Kritische Infrastruktur

  1. Kein Feedback zur LNP331 (danke für die Folge, hatte drauf gehofft, daß ihr die Initative beleuchtet), sondern nur ein Hinweis auf eine zweiteilige Doku zum Fall Kashoggi, die noch bis 18.3.20 in der arte-Mediathek zu sehen ist. Inkl. Verstrickungen MBS mit Twitter, Hacking Team, NSO, Wirtschaft, Trump, Geheimdiensten und überhaupt. Lohnt sich!
    https://www.arte.tv/de/videos/088467-000-A/mord-im-konsulat-1-2/
    https://www.arte.tv/de/videos/088468-000-A/mord-im-konsulat-2-2/

  2. Hallo Tim, Ijon und Honkhase,
    vielen Dank für die informative Sendung!
    Auf ein Detail seid ihr leider, nachdem es kurz angerissen wurde, nicht mehr weiter eingegangen: Welche Bereiche, die in den entsprechenden Gesetzen und Verordnungen nicht berücksichtigt sind, zählen euerer Einschätzung nach noch zur kritischen Infrastruktur? Chemische Industrie, Abfallentsorgung und Wetterdienst wurden genannt – gibt es noch mehr?

  3. Oh wow, ich bin noch nicht ganz durch, aber will schon mal sagen: danke für diese Sendung!! (und auch viele andere, kommentiere oft nur in meinem Kopf)

    Gefühlt seit immer vertrete ich die Auffassung, größtmögliche Einfachheit ist ein sehr hohes (und demokratisches!) Gut. Besonders wenn es um die Dinge geht von denen wir (physisch) abhängig sind.

    In meinem Bild einer wünschenswerten Zukunft ist darum die Gesellschaft viel stärker dezentral und lokal organisiert, unabhängiger und resilient [1]. Und mündig mit ihren Fähigkeiten ihre deutlich weniger komplexe und anfällige kritische Infrastruktur zu warten und zu erhalten. Eine gute Vernetzung und globaler Austausch von Wissen und Erfahrung sind eine große Stärkung dieses Modells, aber kaum mit physischer Abhängigkeit verknüpft.

    Das bedeutet nicht, Komplexität müsse (könne) man aus der Welt schaffen. Unnötige und anfällige Komplexität kann man gerne zu hauf einbauen und staunend die spannenden Dinge beobachten, die sich daraus entwickeln: in Kunst, Spiel, als pädagogisches Experimentierfeld.

    Unmündigkeit und Abhängigkeit haben natürlich große Vorteile für Autoritäten. Ups, Verschwörungstheorie. Nein, ist garnicht so gemeint. Ich will damit sagen, wenn Komplexität und Abhängigkeiten entstehen (auch ohne Verschwörung), sind sie eine Schwäche für eine Gesellschaft und potentiell missbrauchsanfällig. Die Fähigkeit zur Selbstversorgung hingegen macht unabhängig. [2]

    [1] schöne Grafik dazu in: Atlas der Globalisierung 2015, Postwachstumsatlas S.120 Le Monde Diplomatique/taz Verlags- und Vertriebs GmbH, Berlin 2015 online unter https://www.yumpu.com/de/document/read/62100258/atlas-2015-07-2865126-1 oder https://docplayer.org/52452654-Weniger-wird-mehr-der-postwachstumsatlas.html

    [2] z.B. das Konzept Transition Town https://de.wikipedia.org/wiki/Transition_Town

  4. Wirklich sehr interessantes Thema, leider aber nicht sehr gehaltvoll.

    Das Gespräch hatte keinen wirklichen roten Faden, ihr springt von der Definition, zu Beispielen mit Legacy Systemen dazu das die Definition doch nicht so so richtig ist zur Abgrenzung zu anderen Bereichen und wieder zurück.
    Dann ist der Scale mal ganz klein, dann wieder ganz groß.
    Für mich war es schwer zu folgen was jetzt für was gilt und wo jetzt genau die AG KRITIS arbeitet und was das eigentliche Kernthema ist.

    Ich muss auch ehrlich sagen das sich Honkhase schon eingangs mit seinem Kommentar über alte COBOL Systeme selbst disqualifiziert hat.
    Allen Menschen die solche Systeme ablösen möchten global die Intelligenz abzusprechen find ich nicht gerecht und man sollte alle anderen Aussagen von Honkhase in diesem Licht bewerten.
    Warum irgendwas ändern oder umbauen wenn es doch funktioniert?
    Warum legacy Systeme ablösen die unwartbar, nicht veränderbar, (vielleicht) nicht recoverbar sind und die nur noch eine Handvoll von Experten versteht?

    Gefühlt trifft das auf die meisten Systeme zu über die ihr gesprochen habt.

    Vielleicht polemisch von mir, aber mich fuchst so eine Aussage einfach. Auch ihr macht das nicht aus Spaß sondern weil da für euch Druck hinter ist.
    Wir sollten eher froh sein wenn Menschen sowas angehen, so wie es auch wichtig ist wenn ihr euch als Experten mit dem KRITIS Thema auseinander setzt.

    Was ich aber wirklich vermisst habe sind konkrete Bedrohungsszenarien. Ihr erwähnt Dinge wie “Ausfall” oder “Viren”, aber viele Beispiele haben dann entweder doch nichts mit IT Systemen zu tun oder sind vom Scale ganz unterschiedelich.
    Da hätte ich mir wirklich ein paar Beispiele gewünscht um mal ein Scenario zu haben an dem man sich abarbeiten kann.
    Vielleicht hab ich auch da etwas missverstanden um was sich die AG KRITIS jetzt wirklich kümmert, aber gefühlt habt ihr da ein paar Sachen in den gleichen Topf geworfen.

    Die Idee mit dem CHW finde ich wirklich sehr gut, aber auch hier wenig Worte darüber wie das überhaupt funktionieren soll.
    Wenn ich als Freiwilliger in die erwähnte eine Arztpaxis komme, was soll dann passieren? “Viren löschen und Backups einspielen” ist da etwas sehr vage.
    Gibt es da irgendeinen einheitlichem Mechanismus oder frag ich dann die Sprechstundenhilfe was auf dem Rechner installiert werden muss und wo die Backups liegen?
    Die meisten Menschen bekommen nichtmal ihre eigenen Systeme recovert.
    Habt ihr irgendwas das über “wenn wir 1000 freiwillige haben wird das schon” hinausgeht?
    Gefühlt fehlt da komplett die Machbarkeitsanalyse und auch die Bedrohungsszenarien. Mir hätte auch die einfache Aussage gereicht das “best effort” gilt, also irgendwas wie das dann umgesetzt werden soll.

    Natürlich kann ich mir die Dokumente des AG KRITIS runterladen und durchlesen, und das sollte ich auch tun, aber ihr hattet jetzt 2 Stunden Zeit und erklärt gefühlt die wichtigsten Eckpunkte ausgesparrt.

    Ich würde mir wirklich nochmal ein followup zu dem Thema wünschen, am besten wenn das ganze Thema mehr gereift ist.
    Alleine schon um meinen Glauben in die Community zu erhalten. Wir beschweren uns immer das Politik Dinge nicht ordentlich durchdenkt und das beste was wir können ist einen Arbeitskreis gründen der dann eine Organisation definiert die das dann schon irgendwie macht?
    Ich verstehe gerade nicht wo da der unterschied ist und ich denke wir müssen uns unserer eigenen Kritik stellen, zumindest wäre es nett gewesen das am Abschluss zu thematisieren.

    Ansonsten waren ein paar sehr interessante Anekdoten dabei die zumindestens helfen die gesamt Gemengelage etwas klarer zu sehen.

    Viele Grüße

  5. Sehr gute Sendung! Dank an Euch Dreien und toi toi toi für das Cyber Hilfswerk auch wenn ich eher glaube zu denen auf dem Berg zu gehören, die irgendwann auf die brennende Stadt schauen und sagen “wir haben’s Euch schon immer gesagt”.

    Einen Gedanken möchte ich aber loswerden, was ich meine zu beobachten. Immer wenn ich Angebote und Offerten von Behörden aber auch Unternehmen sehe, muß ich den Kopf schütteln. Die suchen junge, naive und in erster Linie formbare und anlernbare Menschen, die sich innerhalb existierender Strukturen unter ordnen. Sorry das wirkt auf mich mit meinen 45 Lenzen, der seit 25 Jahren selbständig in der Softwareentwicklung und seit ca. 10 Jahren in der IT Security unterwegs ist nicht nur nicht attraktiv sondern komplett realitätsfremd. Wie soll ein Jaust mit seinem Docker und Node.js Wissen jemals wissen, warum er in seinem Windoof keine Textdateien mit dem Namen CON.TXT kopieren kann wenn er das Konzept dahinter aus CP/M bzw. DOS-Zeiten kennen gelernt hat? Nur als ein Beispiel, ich könnte etliche weitere nennen.

    So erzieht man sich keine Fachleute, so erzieht man sich Ja-Sager und genau die Sorte von IT Experten, die Ihre Excel-Tabellen abarbeiten und in den Safe lagen und anschliessend behaupten, alles sei sicher.

  6. Leute … danke! Ich dachte, ich sei mit meinen Gedanken alleine. Ich bin kein hochspezialisierter super Experte, aber seit mittlerweile acht Jahren im Bereich Telco Operations tätig. Die Leute denken immer ich spinne, wenn ich meine „layer1 vulnerability“ worst-case Szenarien auspacke. Da sollte man was tun. Ich wohne in Frankfurt, habe Familie, kann nicht mal eben so nach Berlin düsen Mittwoch Abend oder so. Gäbe es die Möglichkeit sich lokal zu engagieren … count me in. Wo kann ich mich melden?

    • Kritische Infrastruktur und Corona … bei mir kam gestern Abend der Passierschein vom BSI, der mich im Falle eines Lockdowns bis zur Arbeit durchkommen lässt. Wie läuft die Krise bei euch? Was treibt ihr so?

  7. Man man, wie war das Thema doch ist.

    Tolle Ansätze und Vorschläge für eine Freiwillige oder auch Unfreiwillige Cyberfeuerwehr oder ein Cyber-Hilfswerk.

    Ich finde es großartig so etwas vor dem GAU zumindest schon mal ausgearbeitet zu haben, damit dann vielleicht darauf zugriffen werden kann.

    Meines Erachtens nach sollte das mal ein Thema der Bundeswehr sprich:
    Kommando Cyber- und Informationsraum mal angehen.

    Einige Staaten in denen es sehr warm ist, haben so etwas ja wohl, wie ich mal gehört habe.

    Mal sehen wie es weiter geht.

    Toller Podcast.

Schreibe einen Kommentar zu timm Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.