Digitalisierung – Cybersicherheit ist ein zentraler Bestandteil von Innovation – MIT-GROUP

Digitalisierung – Cybersicherheit ist ein zentraler Bestandteil von Innovation – MIT-GROUP   


Cybersicherheit ist nicht nur Risikoreduktion, sondern ein zentrales Element, damit disruptive digitale Geschäftsmodelle gefunden, eingeführt und betrieben werden können.“

Interview: Fridel Rickenbacher, Mitglied Redaktion swissICT, Mitbegründer und Partner MIT-GROUP

Cybersicherheit ist es nicht nur ein Technologiethema, sondern ein wichtiges Traktandum für die Geschäftsleitung und den VR.“

Link zum Interview welches publiziert wurde bei swissICT und Swiss IT Magazine.

Ueberwachung total – big brother / Big Data is watching or doesn’t care ?

big-brother-ueberwachung-staatstrojaner Bedarf_Lupe_PC_Monitor_Untersuchung

Maßnahmen der Überwachung können der Erhöhung der Sicherheit des menschlichen Lebens dienen, der Beobachtung von Naturerscheinungen, militärisch-nachrichtendienstlichen Zwecken, oder dem Werterhalt von Bauwerken und Investitionen
Ach ja?!

So lange es sich um „reines“ Monitoring von z.B. Naturgefahren oder technischen Anlagen handelt haben wenige was dagegen. Hinsichtlich den durch diese Messungen und Auswertungen realisierbaren Vorhersagen oder Trendauswertungen  für die Verhinderung oder wenigstens Frühalarmierung von Ereignissen wie z.B. Brand, Einbruch, Flugverkehrsproblemen, Verkehrstaus oder dann in extremis Atom-Ereignis, Tsunami, Angriffen entstehen echte, nutzbare „Mehrwerte“. Oder: ein Monitoring oder Trend-Auffälligkeiten welche via einer sicherlich bald verfügbaren aktiven „Health-Card“ Menschenleben retten oder verlängern kann wird – mit noch offenen Sicherheits-Themen, Interessen- und Ethik-Konflikten – ein Mehrwert darstellen wenn diese sinnvoll eingesetzt würde.

Mehrwerte – für wen?
Diese Mehrwerte sind immer relativ zum Auswertenden. Früher waren diese dann laufend erweiterten Mehrwerte, Ueberwachungen und Inhalte für halt dann leider auch z.B. Fichen-Akten, Stasi und auch Wirtschafts-Spionage und letztlich die Staaten.
Trotzdem profitieren wir heute auch von diesen Mehrwerten. z.B. Videoaufzeichnungen zur Steigerung der Sicherheit von Tiefgaragen / Wertobjekten / öffentlichen Plätzen, Kreditkarten-Bezugs-/Sperren aufgrund von neuartigen Mechanismen wie z.B. Geo-Location / Einkaufs-Verhalten schützen uns von Kontenplünderungen oder Shop-Einkäufen ab fremden oder ungewohnten Standorten oder Identitäten. Oder: Was sagen die Ermittlungsbehörden heutzutage an den Angehörigen oder Eltern auf die Frage hin ob das allenfalls „mitentführte“ Smartphone geortet werden konnte bzw. wieso „um Gottes Willen“ nicht ??

Handy und GPS – Segen und Fluch
Zum Höhepunkt der Telefonüberwachung – mit damals noch einfachen und teilweise halt auch „hörbaren“ Abhörmethoden – gesellten sich neue Zielobjekte wie die kofferraumgrossen Natels dazu, begleitet mit weiteren tragbaren Sensoren wie GPS-Empfänger.
Der Start der totalen Mobilität und dadurch auch der totalen Ueberwachung verdanken wir unteranderem auch der laufenden Weiterentwicklung von den überall integrierten Sensoren.
Fortan war jeder mittels seinem Handy oder GPS-Empfänger relativ einfach auffindbar innerhalb der jeweiligen Sende-Zelle des Mobilfunkanbieters (damals noch relativ gross-maschig) oder der GPS-Koordinaten. Auch entstanden neue bequem per Webbrowser aufrufbare Funktionen wie z.B. das Auffinden des Smartphones auf einer Google-Karte mit einer Genauigkeit je nach Mobil-Funk-Zellen-Dichte von einzelnen hundert Metern (Dumm nur wenn jemand das macht für nicht nur sein eigenes Smartphone …)

Maschinen sandten dumme Signale / Roh-Daten – Menschen senden fixfertig auswertbare Informationen
Die fortschreitende rasche Weiterentwicklung des Internets, Smartphones, Social Media komprimierten die Informationsdichte und Informationskadenz der Teilnehmer und die Ueberwachenden musste nichts mehr gross auswerten … „Hallo Welt! Ich bin gerade im Kino Maxx in der Reihe 8 und später im Club X-Tra …“ Das Privatleben wurde zum Publicleben. Big Brother ursprünglich im Fernsehen – und später selbstverschudelt im Privatleben / Social Media … – wurde normal und akzeptiert. Und ploetzlich erachteten wir diese Art von Überwachung toll!

Generation XY – Ueberwachung ja (gerne sogar …) – Streetview? Nein!!
Diese Art von Exhibitionismus eröffneten nicht nur an den „bösen“ Ueberwacher ungeahnte Möglichkeiten … Die „guten“ Datensammler und Auswerter wie z.B. Google, Facebook, Twitter, Blogs, Xing, Amazon bekamen zunehmend gratis Informationen zugespielt zu Surf- und Einkaufs-Verhalten und offenbar hat niemand so  richtig was dagegen bzw. nimmt das stillschweigend hin. Die allgemeinen Geschäftsbedingungen werden ja eh nicht gelassen oder nicht vollständig verstanden – also mal einfach toleriert.
Umso mehr befremdend ist es wenn dann der Volksmund oder teilweise die gleichen Informations-Lieferanten (noch) Vorbehalte hegen gegen z.B. Google Streetview wo sie allenfalls sogar noch (ach wie schrecklich…) erkannt werden könnten auf einer Strassen-Aufnahme … Wie war das noch genau mit den hunderten von Privat-Fotos, Selfies auf Facebook etc. ?! Google mag ein „Daten-Kracke“ sein, aber die Online-Menschen sind regelrechte „Daten-Schleudern“

Wir ziehen uns schließlich auch keine schusssichere Weste an, bevor wir das Haus verlassen!
Also schützen wir uns (leider) auch meist nicht sonderlich speziell gegen Datenmissbräuchen im Internet oder Social Media Kanälen. Wir schützen unsere Daten nicht, wir schleudern diese in die ganze Welt!

„Oeffentliche“ No-Spy-Abkommen zwischen den Staaten mussten her – bei gleichzeitigem dadurch nötigem Rückzug in die „geheimen“ Dunkelkammern.
Fortan war die Ueberwachung und Spionage von Staaten, Firmen nicht mehr öffentlich (nur noch eben in den Dunkelkammern) erlaubt. Die Ueberwachung des Privatlebens – der Mensch und seine Intimsphäre – mussten nicht mehr geregelt werden: Dieses Privatleben war schon lange seitens der Menschen selber halb-öffentlich einsehbar und abonnierbar verfügbar auf mehreren Social Media Kanälen.

Böser BigBrother! Lieber Mitarbeiter!
Das Controlling in den Firmen in Bereichen wie Finanzen, Risiken, Prozessen wurde bald mal im Interesse der Organisation erweitert auf den Mitarbeiter.
Es bestanden jedoch noch viele Lücken und fehlende Gesetze, Vorschriften und letztlich nicht existente Arbeitsvertrags-Bestandteile welche diese Art von Mitarbeiter-Ueberwachung und Mitarbeiter-Controlling erschwerten und mitunter zu stümperhaften Massnahmen wie z.B. illegale Videoüberwachung an den verrücktesten Arbeitsbereichen, ebenfalls gesetzwidrige Anwender- und System-Aufzeichnungen oder Mail- und Internet-Verhaltens-Auswertungen führten. Sogenannte ICT-Security Policies für Mitarbeiter mit der klaren Kommunikation und technischen Hinweisen zu möglichen Auswertungen bei Verdachtsmomenten oder zum Schutze der Firmendaten / Firmennetzwerk sind bei weitem noch nicht verbreitet. Die bedarfsgerechte Entwicklung und Definition muss auch sauber begleitet sein von parallel laufenden Massnahmen wie z.B. Mitarbeiterinformation, Mitarbeiterschulung, Sensibilierungen oder gar entsprechenden Sicherheits-Tests. Das unverändert grösste Risiko in einer Organisation ist und bleibt der Mensch. Schon lange richten sich professionelle Attacken, Spionageversuche zielgerichtet und ausgeklügelt an die Mitarbeiter selber (sogenanntes „Social Engineering“). Es gibt diverse haarsträubende aber halt menschliche Erfolgs-Beispiele wie z.B. „Ich bin von der IT-Abteilung / von der Bank. Könnte ich kurz Ihr Zugangs-Kennwort haben?“, „Darf ich kurz auf Ihrem Bildschirm zugreifen per Fernsupport“, „bitte klicken Sie in diesem Mail auf den Link und geben Sie Ihre Daten ein“. Die andere dunklere und letztlich sicherheitstechnisch ausnutzbare Seite des Sicherheits-Faktors Mensch sind unteranderem auch Bestechlichkeit, Unzufriedenheit, Rache, Mobbing welche dann auch zu ungefragten Datenherausgaben / Sicherheitslücken führen können.

Rasterfahndung / Profiling / Auffallen (um jeden Preis?)
Wer die „Fenster-Rolladen“ die ganze Zeit unten hat ist auch im alltäglichen Leben auffallend und wird näher kontrolliert … Rasterfahndung-artige Ueberwachungen von Telefonaten / Emails / Internet-Verkehr nach Schlüsselwörtern wie „Bombe“, „Angriff“ waren natürlich speziell ein Thema nach dem Weltereignis 9/11. Eine neue und erweiterte Art von Profiling aufgrund von Datenerhebungen / Datenauswertungen im grossen Stil (Big Data, Data Mining) fand Einzug in der Staats-Ueberwachung. Viele Organisationen und Gruppierungen suchten dann entsprechend andere Wege in ebenfalls „Dunkelkammern“ und im Verborgenen. Diese vermeintliche Unauffälligkeit war in sich wieder auffällig. Die Frage stellt sich auch mal in die entgegengesetzte Richtung: Besteht eine „Art“ Sicherheit durch „taktische“ Offenheit.

Staats-Trojaner, Daten-Vorratsspeicherung – wieso auch: NSA machte das ohne Gesetz
Es scheint, dass ein gesundes Mass an sinnvoll vertretbarer Ueberwachung akzeptiert oder gar erwünscht ist aus genannten Gründen, Beispielen und gar Mehrwerten je nach der Art und Weise der Ueberwachung und Auswertung. Das ganze wird dann jedoch problematisch wenn dann gewisse Aktivitäten auf Vorrat und ohne erhärtete Verdachtsmomente erfolgen – der sogenannten „Vorrats-Datenspeicherung“ (ein Art von laufender Ueberwachung ohne Grund).
Auch ich kann davon mit einem Beispiel berichten als wir als Internet-Provider gegenüber des Bundes die Mailüberwachung aktivieren mussten. Diese Mailüberwachung zeichnete KEINEN laufenden Emailverkehr auf, konnte dann jedoch bei Bedarf und gemäss richterlichem Beschluss initiiert werden mit einem offiziellen Ablauf und vordefiniertem Prozess.
Es scheint jedoch – im nachhinein betrachtet – dass alle diese verabschiedeten und auferlegten Massnahmen im Verhältnis zur effektiven Eintrittswahrscheinlichkeit in einem unertragbaren Missverhältnis zum Aufwand und Administration stand.
Der Fall der Staats-Spionage seitens z.B. NSA (die werden nicht die einzigen sein …) hat einem aufgezeigt, dass eine vermeintliche oder staatlich vorgegebene Ueberwachungs-Massnahme absolut lächerlich erscheint im Vergleich zu den bereits seit Jahren laufenden anderen Aktivitäten in der globalisierte und total vernetzten Welt …

Cyberwar und Staats- / Firmen-Spionagen auf Befehl!
Es gibt viele Berichte und Hinweise (unteranderem vom CCC Chaos Computer Club und der Fachpresse), dass nachverfolgbar aus militärischen Einrichtungen / Geländen / Gebäuden riesengrosser Datenverkehr und gezielte Anfragen oder Angriffs-Versuche erfolgen mit einer minutiös geplanten und sehr systematischen (offenbar hoch-standardisierten) Vorgehensweise … und dies ja nachvollziehbar auf Befehl hin vom Staat oder Militärs / Firmen.
Auch sehr erfolgreich geführte und gewonnene Kriege mittels internetbasierten „Social Media Revolutionen“ oder „Shit Storms gegen Personen und Firmen“ sind ernstzunehmende Angriffs-Gefahren für alle.

Wettrüsten? Welche Mittel für den neuen, künftigen Krieg?
Man muss kein Militär-Experte sein um feststellen zu können, dass der „Gripen-Kauf“ in der Schweiz in Anbetracht der Eintrittswahrscheinlichkeit eines solchen kriegerischen Ereignisses THEORETISCH alle paar Jahrzente passieren kann… die Angriffe jedoch im Cyberwar von Staatstrojanern / Hackern / Internet-Spionage passieren PRAKTISCH TAEGLICH – und dies Tag und Nacht. Es stellt sich die Frage für was wir den als Beispiel eben unseren Luftraum schützen mit neuen „Gripen“ und aber die viele nähere – und bereits in unseren Privaträumen und Firmen eingeschleuste – Gefahr aus dem Internet und ebenso aus unseren eigenen Reihen (Staat, Bundespolizei) offenbar noch nicht adäquat bekämpfen?

Echte Gefahren und auch Staats-Uebungen müssen jedem Bürger zu denken geben!
Es kommt entsprechend nicht von ungefähr wenn der Bund in einem gross angelegten Uebungs-Szenario von folgenden Umständen ausgeht in deren Uebungs-Umgebung: „Ein Cyber-Angriff legt die Stromversorgung lahm und führt auch zu massiven Störungen und gar radioaktiven Austritten in Atom-Kraftwerken nach entsprechenden weiteren System-Ausfällen auf der Zeitachse“ … Was macht nun das Militär? Wo sind oder was nützen dann die neuen „Gripen“-Flugzeuge? Weiteres Beispiel: Was würde passieren wenn jemand die Wasserversorgung von Gross-Städten hinsichtlich der Sensoren, Hygiene auf technischer Ebene manipulieren würde (selbstverständlich auch die Ausfall-Sicherungen und Zusatz-Ueberwachungs-Mechanismen und auch simplen physikalischen / chemischen Systeme) mit dem Ziel das Wasser kontaminieren?

Neue Bundesstellen und Experten-Gruppen: Unterstützung oder nicht für das hoffentlich schon vorhandene Risk-Management und durchdachten Notfall-Szenarien?
Es gibt schon länger seitens Bund ins Leben gerufene Bundesstellen und auch neu einer speziellen Experten-Gruppen die sich mit den entsprechenden Risiken und Gegenmassnahmen befassen. Ich hoffe, dass diese Experten-Gruppen auch was hinterfragen bezüglich der landes-inneren Sicherheit oder Ueberwachungs-Gelüsten von manchen Politikern, Bund und Firmen selber. Experten-Gruppen sind immer so gut wie umfassend und möglichst breitgefächert diese aufgestellt ist und möglichst viele Querinputs aus den unterschiedlichsten Fragestellungen, Disziplinen und Gesamt-Risk-Management einbringen kann. Aus Interesse wurde auch ich vorstellig und wurde kontaktiert von 2 Personen von Bundesbern (übrigens auch andere Unternehmer-Kollegen) und informiert über das Interesse und die nächsten denkbaren Schritte der Experten-Gruppen-Bildung. Weder meine Unternehmer-Kollegen noch ich hörten wieder was – trotz auch höflichem Nachfragen … Wie wollen solche Bundes-Stellen die Landesgrenzen oder das Land schützen wenn nicht mal die x-tausenden von Firmen und Privat-Personen über adäquate Sicherheits-Technologien und Sicherheits-Prozesse verfügen und so die innere Sicherheit oder Einstiegs-Schleusen (Backdoors) jenseits der theoretisch geschützten Grenzen eröffnen und anbieten??!

Das Wettrüsten geht weiter nach der Schaffung von neuen Staats-Stellen, Experten-Gruppen („Menschen“) und Prozess-Definitionen mit neuen Technologien und „Maschinen“
Ein regelrechter Ueberwachungs- und Spionage-Boom floriert und Staats-Behörden wie halt auch die amerikanische NSA lässt die Muskeln spielen mit einer Riesen-Maschinerie von leistungsfähigsten Rechnern, Netzwerken, Analyse-Algorithmen.
Die staatlich geprüften und beauftragten Daten-Sammler, Daten-Schnüffler und Hackers entwickeln die Systeme weiter und verlangen / brauchen immer leistungsfähigere Systeme und Gross-Rechner. Das „Quanten-Computing“ ist schon längstens Realität in den Dunkelkammern und die entsprechende auswertbare Datenmenge (Stichworte: Big Data, Data Mining) ist gigantisch und die Auswertbarkeiten und Trefferquoten von Algorithmen erschreckend.

Schreckensgespenst Big Data aus der Dunkelkammer ?! Gutes Big Data, böses Big Data?
Für jedes durchaus positive Beispiel und Riesenpotential von Big Data / Data Mining im öffentlichen Leben / Privatsphäre fallen mir ebenso halt auch Horrorszenarien ein leider … aber: wir werden in gewissen Bereichen wie z.B. Forschung, Medizin, Umweltvorhersagen, Welternährung, , Kryptografie, Sicherheit, Innovationen nicht um das „gute“ Big Data drumherum kommen für nächste nötige echte (R)Evolutions-Stufen

Innovationen durch Big Data? Welt-Macht!?
Das automatisch fahrende GOOGLE-Auto welches – ausgestattet mit z.B. 64 Lasern – die Umgebung in Echtzeit erfasst und auswertet und zusammen mit vorhandenem Datenmaterial wie Google Maps, Google Streetview kombiniert und das Auto „automatisch“ fahren lässt wird schon länger erprobt und hat bereits eine Zulassung erhalten in der USA in Nevada.
Google scheint ja wirklich nett zu sein ?! Dass dabei jedoch gleichzeitig die Fahrzeuge aktuelle Echtzeit-Daten direkt zurückspeisen zum „Daten-Kracke“ Google liegt auf der Hand und stärkt die Daten-Macht und Markt-Position weiter… Wird mal aus solchen Daten-Machten eine Welt-Macht wie die USA oder Russland?

Schutz in Mega-Datacenters oder Mega-Clouds? Die Nadel im Heuhaufen finden
In Anbetracht von Themen wie Big Data und gezielten Personen- und Firmen-Spionagen muss man ja beinahe darüber nachdenken ob künftig der „beste“ Schutz gegeben ist bei möglichst den grössten Anbietern mit den grössten Datenmengen welche dann schwerer auszuwerten wären aufgrund der Datenmengen (Datenmenge pro Zeiteinheit versus Auswertbarkeit durch Daten-Schnüffler – oder einfachere Analogie: Die Nadel im Heuhaufen finden) Auch hier geht es letztlich nicht mehr um Technologie-Fragen sondern um das persönliche oder firmen-relevante Risk-Management. Das Risiko ist allgegenwärtig und muss richtig klassifiziert / bewertet zu den richtigen Schlüssen / Vorkehrungen und Gegenmassnahmen führen. Und dies muss nicht immer zwingend auf technischer Ebene erfolgen.

Zitate:
«Voltaire sagte vor 200 Jahren, die Gedanken sind frei. Nun gilt scheinbar: ‚Die Gedanken sind frei zugänglich»

Weiterlesen