Bekanntlich sollten ja Pferde und Kühe nicht über das Eierlegen diskutieren, weil sie einfach nichts davon verstehen. Und so haben unsere Politiker von IT offenbar so gut wie keine Ahnung. Auf EU-Ebene wurde ein Cybersicherheitsgesetz mit Meldepflicht beschlossen (https://www.heise.de/newsticker/meldung/EU-Parlament-beschliesst-Cybersicherheitsgesetz-mit-Meldepflicht-3258129.html).
Gerade nach dem Angriff auf die Telekom wurde gestern den ganzen Tag nur noch von IT-Sicherheit geschwatzt. Jeder hat zu dem eine Meinung und schwatzt in jedes Mikrophon das ihm vor die Nase gehalten wird. Was ging es mir auf den Keks. Ich bin ja jetzt kein Firewallspezialist aber ich habe durch meinen Job naturgemäß einiges damit zu tun, und weiß daher zumindest ansatzweise wovon ich rede.
Auf Basis obiger Richtlinie haben die EU-Mitgliedsstaaten eigene Landesgesetze zu erlassen.
Die Auflagen gelten für Betreiber und Anbieter “essenzieller Dienste” etwa in den Bereichen Energie, Wasserversorgung, Transport, Finanzwesen, Gesundheit und Internet. Im Netz fallen Verkehrsknoten, Domain-Registrierungsstellen, Online-Marktplätze wie eBay oder Amazon sowie andere Plattformen in Form von Suchmaschinen wie Google und Cloud-Anbieter unter das Gesetz. Betreiber sozialer Netzwerke wie Facebook und kleine Digitalfirmen bleiben außen vor.
Die Kommission hatte ursprünglich angestrebt, dass die Meldeauflagen auch für den öffentlichen Sektor gelten sollten, konnte sich damit aber nicht durchsetzen.
Toll, gell? Wäre ich ein Betreiber eines essentiellen Dienstes, dann würde man mir per Gesetz vorschreiben, dass ich sozusagen nur noch mit Kondom vögeln darf. Derjenige aber, der alle persönlichen Daten von uns Bürgern bunkert incl. unserer Finanzdaten – nämlich der Staat selbst – ist von dem Gesetz und vor allem den Meldeauflagen ausgeschlossen.
Jetzt muss man sich das mal vorstellen: Die deutschen Behörden als Hüter unserer sensibelsten Daten maßen sich an professionellen Unternehmen Vorschriften zu machen und diese prüfen zu wollen. Das ist ein schlechter Scherz, bedient sich doch z.B. der Bundestag eben solcher IT-Sicherheitsunternehmen wie gerade der Deutschen Telekom. Soll die sich demnächst selbst prüfen?
Glaubt irgendwer, dass irgendein Unternehmen in Deutschland, ob es mit kritischen Daten arbeitet oder auch nicht, sich wünscht, dass dessen IT ein leichtes Ziel für Angriffe sein soll? Was glauben Sie wie viele Unternehmen in Deutschland mit Fritzboxen surfen? Oder mit Speedports von der Telekom? Und warum besteht ausgerechnet für den öffentlichen Sektor keine Meldepflicht? Jetzt stellen Sie sich mal vor, dass einer Amazon hackt und an Ihre Kontodaten gelangt. Dann wird Geld von Ihrem Konto abgebucht und Sie schauen doof aus der Wäsche. Und wer ist schadenersatzpflichtig? Amazon, das den Vorgang melden musste!
So, und nun stellen wir uns mal vor ein Finanzamt wird gehackt. Wer um die IT-Infrastruktur der öffentlichen Hand weiß, der schlägt beide Hände über dem Kopf zusammen. Wer ITler so schlecht bezahlt, wie dies der öffentliche Dienst tut, der kriegt keine fähigen Leute. Schauen Sie mal was so ein Administrator im öffentlichen Dienst so verdient:
(https://www.gehalt.de/einkommen/suche/systemadministrator-oeffentlicher-dienst-wasserverband)
Und nun die Gehälter von Administratoren in der freien Wirtschaft:
Wer sich also gut verkauft, der kommt an die 60.000 EUR ran. Und ich kenne auch TOP-Leute, die liegen bei 90.000 EUR. Jedenfalls kriegt der öffentliche Dienst – wie z.B. auch bei den Finanzbeamten – mal wieder nur das ab was kein anderer haben will. Insbesondere ist die Sicherheit des Arbeitgebers bei qualifizierten IT-Jobs auch kein Argument für den öffentlichen Dienst, sind diese Jobs doch recht gesucht.
Jetzt ist es ja kein Geheimnis, dass das Smartphone der Kanzlerin abgehört wurde. Ein Smartphone ist nichts anderes als ein Computer. Das BSI (Bundesamt für Sicherheit in der Informationstechnik) ist also nicht einmal in der Lage für höchste Spitzenämter abhörsichere Smartphones zur Verfügung zu stellen. Was nicht weiter verwundert, weil das Betriebssystem entweder von Apple oder von Google kommt, beides US-Unternehmen. Man versteht wirklich nicht, dass es unseren Behörden nicht möglich ist z.B. auf Linux-Basis ein eigenes Betriebssystem für Regierungshandys zu entwickeln. Natürlich muss die alte, hüftkranke Frau damit keine Bilder machen. Und auch SMS sollte sie nicht damit verschicken können. Auch Whatsapp ist selbstverständlich tabu. Aber glauben Sie wirklich, dass Obama auch mit einem Android-Phone von der Stange telephoniert?
Ich hab mir mal den IT-Grundschutzkatalog angeschaut, um zu sehen wie die beim BSI so unsere Steuergelder verschwenden, und natürlich auch, um zu schauen, ob der ähnlich witzig ist wie www.zanzu.de. Das ist die Seite wo Flüchtlingen für zig Millionen mit lustigen Pictogrammen wie dem hier …
… zeigt wie man sich richtig einen runterholt. Bemerkenswert kurz ist übrigens der Araberpimmel in obigem Bild. Oder auch wie man Interracial Sex richtig ausübt:
Nur ein Gangbang wo vier baumlange Neger eine weiße Frau durchnehmen ist nicht dabei. Dabei ist das Rudelbumsen – bzw. die Massenvergewaltigung – doch typisch für Schwarze und Araber.
https://www.youtube.com/watch?v=WA6m2N8yID8
Herrlich wie ich finde. Ich habe jedenfalls köstlich gelacht, zumindest soweit es um Zanzu ging.
Der IT-“Grundschutzkatalog” ist für ITler mit übermäßig viel Zeit auch sehr amüsant. Die Ergänzungslieferung 15/2015 umfasst sagenhafte 5.082 Seiten!!! (https://download.gsb.bund.de/BSI/ITGSK/IT-Grundschutz-Kataloge_2016_EL15_DE.pdf). Schauen Sie einfach mal kurz rein, überzeugen Sie sich von dem unsäglichen Ausmaß der Produktivität gänzlich unnützer Amtsschimmel und schlagen Sie – wie ich – die Hände über dem Kopf zusammen. Das Beste ist das Inhaltsverzeichnis ohne Seitenangaben.
Das Zanzu-Video und das Bildungsniveau der jungen Flüchtlinge sollte uns die drohende Katastrophe aufzeigen, denn diese werden hier niemals in unserem anspruchsvollen Berufsalltag ankommen. Meinen Job z.B. könnte kein einziger von ihnen jemals ausüben. Sie sind – bis auf wenige Ausnahmen – nur für die einfachsten Tätigkeiten geeignet. Dummerweise sind alle Kohlezechen inzwischen geschlossen. Auch Stahlwerke gibt es nicht mehr. Den letzten Straßenkehrer habe ich auch vor Jahrzehnten gesehen. Mehr Dönerverkäufer brauchen wir auch nicht mehr, ist doch schon die Hälfte aller Türken arbeitslos. Was sollen wir mit arabischen Ziegenhirten? Was sollen wir mit Obst- und Gemüseverkäufern, die nicht lesen und schreiben können und ihre Kinder aus dem Fenster werfen, weil ihnen das Essen der Ehefrau nicht schmeckt (http://www.jerkos-welt.com/ohne-worte-das-hat-frau-merkel-zu-uns-kommen-lassen/). Brauchen wir noch mehr Drogenhändler? Ich denke nein. Auch für Gebetsteppichknüpfer und Karrenschieber findet sich einfach keine Arbeit in Europa.
Und wenn der Araber eines nicht ist, dann fleißig. Er wird es sich, wie von die vielen Türken, hier in den sozialen Hängematten bequem machen. Wo er in Syrien noch für seinen Lebensunterhalt hart arbeiten musste, weil es einfach keinen Sozialstaat gab und gibt, bekommt er hier mehr Hartz IV als er in Syrien jemals verdient hätte. Die ersten Fälle von massenhaften Leistungsmissbrauch zeichnen sich schon überdeutlich ab. Siehe Montabaur. Da kassiert ein Syrer mit 4 Frauen und 23 Kindern über 30.000 EUR im Monat! (http://www.deutscherarbeitgeberverband.de/klartextfabrik/2016_10_03_dav_klartextfabrik_frauen-kinder.html). Er kann nach eigener Aussage nicht arbeiten gehen, weil ihn das viele Hin- und Hergereise zwischen seinen vielen Frauen und deren Kindern zeitlich so stark binde. In Syrien habe er eine kleine Spedition gehabt. Sie glauben doch nicht, dass dieser Mann hier in Deutschland jemals auch nur einen einzigen Schlag arbeiten wird.
Bei der Registrierung der Großfamilie in Deutschland machte schon die schiere Anzahl der Frauen und Kinder Probleme. Eine sogenannte Bedarfsgemeinschaft nach Sozialhilferecht sieht keine derartigen Familienmodelle vor. Die Flüchtlinge wurden auf mehrere Kommunen verteilt. Der Mann musste sich entscheiden, mit welcher seiner Frauen er eine Bedarfsgemeinschaft bilden möchte, was innerfamiliäre Konflikte auslöste. Zwei Frauen leben mit ihren Kindern nun in der Nähe von Koblenz. Der Mann, zwei weitere Frauen und etwa die Hälfte der Kinder wurden in der Verbandsgemeinde Montabaur untergebracht. Über den Sommer kam es in den hierfür angemieteten Wohnungen in Ruppach-Goldhausen und Welschneudorf immer wieder zu Konflikten. Wie unsere Zeitung erfuhr, haben männliche Jugendliche mehrmals Einrichtungsgegenstände zerstört. Die beiden Frauen waren zunächst in einer Wohnung untergebracht, sollen sich aber derart häufig gestritten haben, dass sie schließlich getrennt wurden. Zeugen berichten, die Frauen würden gelegentlich im Keller eingesperrt. Die halbwüchsigen Söhne sollen versucht haben, den Schulbesuch der Mädchen zu verhindern.
Da manche Hersteller, sich trotz diverser Hinweise, nicht gewissen Mindestsicherheitsmerkmalen gegenüber offen stehen, scheint mir da eine staatliche Motivation durchaus sinnvoll.
Als Beispiel folgende auf Wikipedia gefundenen offensichtliche Sicherheitsdefizite der AVM Fritzbox:
Zitat:
“keine verschlüsselten DNS Abfragen
per default unverschlüsseltes FTP
keine selbsterklärende Angabe der Mindestlänge und max Länge der Kennwörter für das Webinterface
keine selbsterklärende Angabe der Mindestlänge und max Länge der WLAN Kennwörter (63 Zeichen)
kein eigener DC
keine Nutzerwerwaltung mehr über externen DC mehr möglich
keine per Menü als eingehend und ausgehend als zu sperren auswählbarer ungültiger Nummernbereich “000” auswählbar
keine per Menü als eingehend sperrbare Sonderrufnummern sperrbar (0180, 0190, 0900 usw.), die somit bei Millionen Nutzern über Rückruffunktion mißbrauchbar sind”
Quelle: https://de.wikipedia.org/wiki/Diskussion:Fritz!Box#Sicherheitsdefizite_aktueller_Fritzboxen
Solange die Mehrzahl aller E-Mail-Accounts weltweit noch ohne SSL sendet, solange die Mehrzahl aller Websites weltweit noch ohne https funktionieren (warum sollten sie auch verschlüsselte Daten senden, sofern es doch keine Geheimnisse von dort abzurufen gilt), solange ich noch nie einen meiner Kundenrouter (noch nicht einmal eine Fritzbox) oder einen VPN-Zugang gehackt bekommen habe, warum dann die ganze künstlich erzeugte Aufregung.
Dramatisch war in der Tat anfänglich das Aufkommen der Ransomware. Es hat zwei meiner Kunden akut betroffen. Einen davon sogar zweimal, trotz jeweils DATEV-Virenscanner (McAfee) auf aktuellstem Stand. Der ach so schlaue Herr Dieter Kempf – Ex-Vorstandsvorsitzender der DATEV – war u.a. Mr. BITKOM und ist heute Präsident des BDI und mischt sich u.a. in dieser Funktion ständig in die deutsche IT-Sicherheit ein.
DATEV selbst verwendete übrigens eine halbe Ewigkeit lang die Software der Firma AVM als Internetproxy für DATEVNet. Also im Grunde die Software, welche heute noch modifiziert in den Fritzboxen als Linux-basierte Hardwarelösung weiter arbeitet, wenn auch sie natürlich nicht mehr als Proxy eingesetzt wird, weil sowas inzwischen nicht mehr zeitgemäß ist. Für die angeblich hochsicheren Internetzugänge via DATEVNet pro werden derzeit Router der Fa. LANCOM verwendet (die 18xx Büchsen). In meinen Augen wären solche von z.B. Juniper die bessere Wahl gewesen. Die großen Kisten davon verwendet die DATEV übrigens für sich selbst im standortübergreifenden Business und bei den eingehenden VPN-Strecken von ASP-Kunden.
Aber das bitte nicht weitersagen. Ist mir von einem Lieferanten der DATEV zugetragen worden. 😉