Linus Neumann 1:09:23
Entzieht sich dann da vollständig deiner Kontrolle, ne? Das ist dann so der der negative Effekt von zu hoher IT-Sicherheit. Und der Bundestag scheint beide Probleme zu haben. Ähm.Andererseits aber prinzipiell kannst du das kann man das nur,schwer einfach sich in so einem Bericht jetzt hinstellen, sagen, das ist ein Problem. Weil wenn man ein Problem ankreidet, dann sollte man ja auch eine Lösung dafür benennen. Ähm das andere, was sie großkritisieren und als als Problempunkt und da da läuft's mir ja immer kalt den Rücken runter. Ist ja ähm,da sind die Leute dürfen USB benutzen, ne. Das ist jetzt auch also spätestens seit Bad USB ähm demDem Angriff über USB den ähm Jakob Lell und Carsten Nohl, meine ehemaligen Arbeitskollegen demonstriert haben ähmDas große Thema, ne, dass man die USB-Ports überall zukleben sollUnd da würde ich jetzt zum Beispiel sagen, na ja, also in der OK kann man sagen, ne? Aber das im Bundestag sind viele tausend Leute, die da an vielen tausend Geräten arbeiten, denen die USB-Sticks zu verbieten. Das wird einfach nur dazu führen, dass sie den Miss bei Dropbox hochladen oderoder bei mega Share oder so was, ne? Also das ist keine das ist keine Lösung eines Problemes. Die wollen USBGeräte benutzen, die müssen die in ihrem Alltag benutzen, das ja, das ist ein Problem, aber denen wirst du nicht beikommen. Insofern fand ich das ein bisschen unsinnig.Ähm oder fand ich das dem Schutzniveau,Oder äh war mir das ein zu paranoides Schutzniveau, wenn du ohnehin schon darunter leidest, dass die Leute die Bundestags IT nämlich gar nicht nutzen.Ähm aber dann kommen wir mal zu den zu den wirklich spannenden Sachen, was dann der Stand ist, dass sie im Prinzip kein Application Whitelisting benutzen. Ähm oder oder Codesining oder sonst was. Das heißt, auf all diesen Geräten, die da stehen,Auf diesen Bundestagsrechnern lässt sich jedes beliebige ähm Executible ausführen.Und der Computer beschwert sich nicht, ähm dass er da jetzt irgendetwas ausführt. Warum ist das,so dramatisch. Nun, zweitausendfünfzehn war es, dass sie ihren ersten Trojaner Angriff hatten,der erfolgreich war, wo mehrere Gigabyte-Daten aus dem Bundestagsnetz rausgepult wurdenUnd wir bis heute wissen wir nicht, welche Daten das waren, wo die hin sind, ähm wer sie hat, von wem dieser Angriff ausging. Es gibt Spekulationen, dass das irgendwie,von einer russischen Hackergruppe kam, aber es gibt keine Aufklärung darüber, was da rausgeholt wurde. So, wenn du, wenn dein, wenn du schon mal dieses Problem hattest,Spätestens dann solltest du aber relativ klar dafür sorgen, dass deine Computer, die da stehen, nichtbeliebigen Mist ausführen, wie es nämlich bei einem Trojaner der Fall ist. Natürlich kann der Trojaner über ein Word Marko kommennatürlich kann der IBA eine Ivane, eine Mevetising-Kampagne kommen, der kann auch von einem USB-Stick kommen, weshalb ja die,Kollegen da meinen, sie müssen jetzt irgendwie die ganzen USB-Pots abkleben oder sowas, ja? Oder USB vollständig in Bayers, die aktivieren oder was auch immer, die sich dann da vorstellen, was ja eben auch nicht so einfach ist, weil die Tastatur da ja auch noch dran stecktÄhm natürlich kann man das alles machen, aber am Ende wird dieser Trojaner.Persistenz auf dem Betriebssystem erlangen wollen und das tut er, indem er ein Executible,ist, was entweder regelmäßig äh neu ausgeführt wird oder beim Start irgendwie gestartet wird. Und wenn ich meinem Computer beibringe, dass er nur Software ausführt,die von mir vorher ähm erlaubt wurde,und dann eine lange Liste hat, ähm entweder eine lange Liste an Prüfsummen für welche Sachen er ausführen darf oder man sagt die Software, die du ausführen darfst, wird mit einem Zertifikat nochmal signiert. Dann bin ich dieses Problem.Größtenteils los. Natürlich kann jede einzelne Sicherheitsmaßnahme wieder umgangen werden und es gibt immer mal wieder einen Schwachsteller.Aber in einem dann doch ähm was die Informationssicherheit angeht, höchstkritischen Bereich,wo man schon mal genau dieses Szenario hatte, nämlich eine Schadsoftware Infektion auf den Rechnern.Ähm nicht damit äh zu arbeiten, halte ich für fahrlässig,Wir haben das dann auch ähm geprüft, der Thorsten Schröder hatte ähm hat dann irgendwie mal schnell ausm Arm geschüttelt, einfach mal beliebige Beine riesig. Es ging uns einfach darum, Programme zu haben, die.Ging einfach ein Fenster auf, ne? Also ein wir brauchten einfach ein unbekanntes Programmdass noch niemand auf dieser Welt kennt, ja? Und diese, das wurde dann mal auf zum Bundestagsrechner ausgeführt und es ging problemlos. Mit anderen Worten hätten wir einen klugen Trojaner gebaut, dann wäre das ähm auch der Fall gewesen.Und ähm da wäre natürlich unschön gewesen. Ähm das heißt, seit zweitausendfünfzehn nicht dienicht dieses relevante Maßnahme gezogen, da mal ähm dass das promiskultive Ausführungsverhalten der Computer äh in den Griff zu kriegen, ja?