Information icon.svg Erinnere Dich an die Movember Wohltätigkeitsveranstaltungen im November. Movember - Moustache.jpg
Aktueller Spendeneingang: !!! Spenden Sie für neue redaktionelle Inhalte im Jahr 2022 !!! Donate Button.gif
4,1 % 410,00 € Spendenziel: 10.000 €
Die Bericht­erstattung WikiMANNias über Vorgänge des Zeitgeschehens dient der staats­bürgerlichen Aufklärung. Spenden Sie für eine einzig­artige Webpräsenz, die in Deutschland vom Frauen­ministerium als "jugend­gefährdend" indiziert wurde.
Logo - MSI.png
Besser klug vorsorgen, als teuer draufzahlen. - MSI
Die "Indizierung"[ext] der Domain "de.wikimannia.org" durch die Bundes­prüf­stelle für jugend­gefährdende Medien am 9. Januar 2020 ist illegal und deswegen rechtlich nichtig/unwirksam[wp]. Der Staatsfeminismus versucht alle Bürger zu kriminalisieren, die auf "wikimannia.org" verlinken, wobei massiv mit Einschüchterung und Angst gearbeitet wird. Bis zu dem heutigen Tag (Stand: 25. September 2022) wurde WikiMANNia weder ein Rechtliches Gehör gewährt noch wurden die Namen der Ankläger und Richter genannt. Ein Beschluss ohne Namens­nennung und Unterschrift ist Geheimjustiz und das ist in einem Rechtsstaat illegal und rechtlich unwirksam. Dieser Vorgang deutet auf einen (femi-)faschistoiden Missbrauch staatlicher Institutionen hin. Judge confirms the mothers right of possession and justifies it with the childs welfare.jpg
Rolle des Staates in der Familie
WikiMANNia schützt die Jugend vor familien­zerstörender Familienpolitik und staatlicher Indoktrination. All die Dinge, wovor Jugendliche geschützt werden müssen - Hass, Hetze, Aufruf zur Gewalt und Pornographie - gibt es hier nicht. WikiMANNia dokumentiert lediglich die Wirklichkeit, ohne sich mit dem Abgebildeten, Zitierten gemein zu machen, ohne sich das Dargestellte zu eigen zu machen. In WikiMANNia erfahren Sie all das, was Sie aus Gründen der Staatsräson nicht erfahren sollen.
Feminismus basiert auf der Verschwörungstheorie, Männer auf der gesamten Welt hätten sich kollektiv gegen die Weiber verschworen, um sie zu unter­drücken, zu benachteiligen, zu schlagen, zu ver­gewaltigen und aus­zu­beuten. Feministinnen bekämpfen Ehe und Familie, weil die bürgerliche Familie das Feindbild ist. Frauen werden kollektiv als Opfer inszeniert und Männer als Täter denunziert. So manifestiert sich ein Ressentiment gegen alles Männliche bis hin zum offenen Männerhass. Dies bewirkt eine tief­greifende Spaltung der Gesellschaft, die es zu überwinden gilt.

IT-Sicherheit

Aus WikiMANNia
Zur Navigation springenZur Suche springen
Hauptseite » Technik » Informatik » IT-Sicherheit
Mit "hosts"-Datei gegen Lügen­presse und Staatspropaganda

Der Artikel IT-Sicherheit behandelt die Themen Informatik, Internet und damit verknüpfte Sicherheits­fragen unter dem Einfluss von Politik, Wissenschaft, akademischen Umfeld und Feminismus.

Einführung ins Thema

Zitat: «Vor fast 30 Jahren (irgendwann vor 1990), habe ich angefangen, mich mit Kryptographie und IT-Sicherheit zu befassen. Nur mal so drei wichtige Daten, die mir in Erinnerung geblieben sind und die mich damals beeinflusst haben:
  • Das Buch Das Kuckucksei[wp] von Clifford Stoll[wp], erschienen 1989, das den KGB-Hack[wp] aus amerikanischer Seite beschreibt.
  • Das Paper With Microscope and Tweezers[ext] von 1988,
  • Pretty Good Privacy[wp] von 1991

(die ja alle drei Reaktionen auf davor liegende Vorgänge waren, die Bedrohung also nicht erst 1988 angefangen hat).

Und wenn man sich mal anschaut, wovon die so handeln und was darin steht, muss man leider sagen, dass wir heute, 30 Jahre später, kein Stück weitergekommen sind. Effektiv geht's immer noch um die gleichen Probleme.

Und da kommen die mit Helmholtz-Zentrum, Cyber-Kriegern, BSI, Bundes-CIO und werfen massig Nebelkerzen. Aber die Realität ist, dass man die IT-Sicherheits­forschung in den 1990er Jahren systematisch erwürgt hat, und die Bundesregierung, der Bundesnachrichtendienst[wp] und die NSA hatten da die Finger drin.» - Hadmut Danisch[1]

Nach 30 Jahren haupt­beruflicher IT-Sicherheit habe ich die Schnauze auch gestrichen voll davon, weil wir eigentlich nicht vorankommen und die Sicherheits­löcher heute eigentlich immer noch dieselben wie vor 30, 40 Jahren ganz zu Anfang waren, das aber alles zunehmend verblödet, auch durch politischen Druck. IT-Sicherheit ist längst in vielen Bereichen zum Formalismus und Bürokratismus verkommen und wird mit immer dümmeren Leuten zwangsbetankt. Ich habe nicht die geringste Lust, mit irgendwelchen dummen Tussen gleichbezahlt zu werden, für die IT-Sicherheit bedeutet, sich das als Frau "zuzutrauen" und dann dümmlichste Falsch­aussagen loszulassen, Ratespiele zu veranstalten oder Fortbildungen mit Wachsmal­kreiden zu veranstalten. Den Schwachsinn hatte ich gerade, sowas brauche ich nicht nochmal. Ich habe gerade miterlebt, wie ein Betrieb im Allgemeinen und dessen IT-Sicherheit im Besonderen durch political correctness, Frauen­verquotung und die Reinigung des Betriebs von alten weißen Männern den Bach runterging, und IT-Sicherheit, Compliance, Datenschutz sich komplett und völlig darin auflösten, ab sofort einfach alles in der Azure-Cloud einzukaufen, damit dann andere dafür verantwortlich sind. Man will immer unbedingt Verantwortung und Wichtigkeit haben, aber wenn man sie dann hat, ist das erste Ansinnen, sie loswerden zu wollen und an irgendwen zu delegieren.

Und wenn ich dann sehe, wie man immer öfter Leute ohne Ahnung, dafür aber "Codes of Conduct"[wp] in die Branche drückt, und dann solche IT-Sicherheits­groß­zusammen­brüche wie gerade vor ein paar Tagen log4shell in log4j entstehen, was eigentlich nicht mal ein Bug, sondern durch pure Dummheit vorsätzlich gebauter und nie bemerkter Supermist war, und zum IT-Sicherheits­großschadens­ereignis wurde, dann verstärkt und verhärtet das meine Ansicht, die sich seit einigen Jahren habe, dass sich das mit der IT-Sicherheit erledigt hat, weil immer mehr Dumme, Inkompetente, Laien, "Entscheider", Förder- und Quoten­tussi mitrühren, und das alles nur noch ein großer unkontrollierbarer Haufen Mist und Sondermüll ist.

Ich habe keine Lust, für den Microsoft-Scheiß, bei dem man dann sowieso ziemlich blind ist und nur sehr wenig machen kann, verantwortlich zu sein. Wenn ich schon so einen Mist lese, wie dass es einerseits um das Bundes­kanzler­amt geht, dann aber da drin steht

Zitat: «Sie zeichnen sich durch Ihre Erfahrung im Umgang mit innovativen Kommunikations­techniken sowie Ihren routinierten Umgang mit den gängigen MS Office-Anwendungen aus.»

Mein "routinierter Umgang mit den gängigen MS Office-Anwendungen" ist, sie in hoch sicherheits­kritischen Umgebungen erst gar nicht zuzulassen. Der ganze Microsoft-Schrott hat da überhaupt nichts verloren. Und dann wundern die sich, wenn die Amis der Kanzlerin das Handy abhören.

Da weiß man dann von vornherein, dass die Entscheidungen auch alle woanders getroffen werden, die politisch oder in den oberen Etagen gemacht werden, und man dann der kleine Depp ist, der den eingekauften Mist irgendwie "sicher" machen soll oder dran schuld ist, wenn's schief geht.

Ich habe auch keine Lust, mich mit den Charakter­krüppeln des Polit­betriebs aus­einander­zusetzen. Als Blogger vielleicht schon, draufhauen. Aber nicht als deren Untergebener.

Oder ständig auf dem Schleudersitz zu sitzen, weil man irgendwo was sagt, was irgendeiner Ministerin nicht passt, und man dann abgesägt wird. Das Spiel habe ich schon mal mit Ursula von der Leyen (CDU) mitgemacht, wird aber bei SPD und Grünen garantiert nicht besser sein, eher noch schlimmer mit deren Political Correctness-Wahn.

– Hadmut Danisch[2]

[Zur "Digitalen Souveränität" beziehungsweise "IT-Sicherheit" schreibt der Tagesspiegel:]

Zitat: «In ganz Europa, von Finnland bis Portugal, von Irland bis Griechenland, basiert die Informations­technik (IT) der staatlichen Verwaltungen auf Programmen des US-Software­konzerns. Weil aber die digitalen Systeme ständig wachsen und immer wichtiger werden, geraten die Staaten damit immer tiefer in die Abhängigkeit von diesem einen Konzern. Die EU-Kommission räumte sogar ein, sie befinde sich "in effektiver Gefangenschaft bei Microsoft".»[3]

[N-TV greift das Thema auf und titelt]: "Digitale Souveränität in Gefahr? IT-Profis warnen vor Microsoft"

Äh... ja. Genau das tun ich und ganz viele andere IT-Profis seit 25 Jahren.

Aber es hört niemand auf uns. Es ist in der Politik nicht üblich und im Journalismus sehr selten, auf Leute zu hören, die Ahnung vom Fach haben. Beide, Politik und Journalismus, sind so einem Inkompetenz-Fetisch verfallen. Lieber setzt man Gaukler, Lobbyisten und Clowns in Berater­kommissionen als Leute mit Ahnung.

Und jetzt merkt dann doch mal der eine oder andere, dass das irgendwas faul ist.

Zitat: «Personaldaten, Dossiers, brisante Zahlen: Auf vielen Rechnern in Ministerien und Ämtern läuft Software aus den USA. Der frühere IT-Chef der Bundesregierung schlägt Alarm. Europa, heißt es, laufe Gefahr, "die Kontrolle über die IT-Infra­struktur zu verlieren".»[4]

So'n Quatsch.

Europa hatte nie eine Kontrolle über seine IT-Infrastruktur.

Der letzte Europäer, der seine IT voll unter Kontrolle hatte, war Konrad Zuse[wp] mit seiner Z3. Und die würde ich nicht als "Infrastruktur" einstufen.

Zitat: «Die öffentlichen Verwaltungen in Europa nutzen auf ihren Computern fast ausschließlich Software des US-Konzerns Microsoft. Diese Abhängigkeit birgt nach Ansicht internationaler Experten große Risiken und gefährdet die europäische Souveränität, wie das Journalisten-Team "Investigate Europe" und der Berliner "Tagesspiegel" berichten.»[4]

Ja, aber genau das hat man ja unbedingt gewollt und alle Kritiker abgesägt.

Ich habe gerade mal nachgeschaut. Unmittelbar, bevor sie mich damals an der Uni durch den BND abgesägt haben, habe ich ein Gutachten für den Bundestag zur Sicherheit in der IT und im Medizinwesen geschrieben. In meiner Version vom 28.1.1998, in der ich das Ding zur ersten Vorlage fertiggestellt hatte, kommt Microsoft 16 Mal vor, mit deutlichen Warnungen vor der Monopol­stellung von Microsoft und dem amerikanischen Einfluss auf unsere IT, im Anhang Literatur­verweise auf kritische Artikel über das Gebaren von Microsoft.

Dann musste das überarbeitet werden, weil Professor Beth das ja als seines ausgeben und wenigstens mal reingucken und was rum­meckern wollte, und wir deshalb den Abgabetermin verpasst haben. Dann kam der Bundestag an und meinte, leider, leider hätten wir jetzt die Frist verpasst und müssten die im Auftrag angegebene Vertragsstrafe zahlen bzw. Honorar­kürzungen hinnehmen, die nach wenigen Tagen schon so hoch ist, das vom Honorar (von dem ich sowieso nichts gesehen habe, das hat Beth eingesackt) nicht viel übrig bliebe, aber es gäbe da einen Ausweg. Wenn wir nämlich das Gutachten nach den Wünschen des Bundestags änderten, dann träte diese Kürzung nicht ein, weil es dann ja als Änderung im Interesse des Bundestags gälte und nicht mehr unsere Schuld sei. Motto: Du kriegst Geld, wenn Du schreibst, was wir haben wollen.

Und zu den "Änderungs­wünschen" gehörten einige Streichungen, unter anderem die Microsoft-Kritik. Die musste fast ganz raus. In der Abgabe­version vom 20.2.1998 kommt Microsoft nur noch dreimal und nicht als Kritik vor (Microsoft bietet einen Sicherheits­patch gegen Angreifer, Microsoft und Siemens erweitern die Zusammenarbeit, das Gutachten hätte als Microsoft Word 97 abgegeben werden sollen - ich bin aber bei TeX geblieben.)

Damit der Leser auch mal eine Vorstellung hat, wie die Gutachten für den Bundestag, die die dann als Beleg hernehmen, zustandekommen.

Kritik an Microsoft und den USA war nicht erlaubt. Sechs Wochen vorher gab es einen Vorfall, bei dem jemand heimlich versucht hatte, einen Backup meines Arbeits­platz­rechners zu ziehen (es hieß nachher, es sei um das Gutachten gegangen), und drei Monate später war meine Promotion totgeschlagen worden. In der Dissertation hatte ich beschrieben, wie man sich gegen amerikanische Krypto­kontrolle wehren kann.

Merkt Ihr was?

Zitat: «Nach Ansicht des früheren IT-Chefs der Bundesregierung, Martin Schallbruch, sind viele staatliche Verwaltungen so abhängig von Microsoft, "dass sie nicht mehr die Wahl haben, welche Software sie nutzen wollen". Schallbruch zufolge laufen die Staaten Europas "Gefahr, die Kontrolle über ihre eigene IT-Infrastruktur zu verlieren".

Der Jurist und Diplom-Informatiker Schallbruch war bis Februar 2016 Leiter der Abteilung Informations­technik, Digitale Gesellschaft und Cybersicherheit im Bundes­innen­ministerium. Der 50-Jährige war damals ohne Angaben von Gründen überraschend in den Ruhestand versetzt worden, was in Fachkreisen einiges Aufsehen ausgelöst hatte.»[4]

Wer's Maul aufmacht, dessen Karriere ist vorbei. (Nur ist es halt ein Unterschied, ob man mit 30 totgeschlagen wird oder mit 50 weich in den Ruhestand versetzt wird, es gibt wahrlich schlimmeres als mit 50 in den Ruhestand zu gehen und ausgesorgt zu haben.) Das Thema war beidesmal das gleiche.

Zitat: «Mit seiner Einschätzung zur Lage bleibt Schallbruch nicht alleine. Michael Waidner, Direktor des Fraunhofer-Instituts für sichere Informations­technik und einer der führenden europäischen Experten für Cyber-Sicherheit, beklagte im Gespräch mit dem Recherche­team den Verlust der "digitalen Souveränität" Europas.»[4]

Haben wir am E.I.S.S. schon vor 20 Jahren gesagt. Und wurden dafür erledigt.

Zitat: «Staaten und die Europäische Union müssten "in der Lage sein, zu testen ob Hardware und Software ihrer Informations­technik nur das tun, was sie sollen und nichts sonst". Darum sollten alle Staaten darauf bestehen, dass "ihre Experten alle nötigen Informationen haben, um die Software in sicherheits­empfindlichen Sektoren zu testen".

Das sei aber mit den Produkten von Microsoft bisher nicht möglich, heißt es weiter. Das US-Unternehmen hält grundsätzlich den so genannten Quellcode für seine Programme geheim. Bekannt ist, dass US-Software­unternehmen von den verschiedenen Washingtoner Geheimdiensten bedrängt werden, ihre Produkte für staatliche IT-Experten zu öffnen.

Dass Microsoft Kunden in Europa diesen Zugang verwehrt, sehen Fachleute kritisch.»[4]

Die Sache ist noch wüster.

Als ich da in dem Promotionsstreit war, habe ich ja versucht, mich da im außer­universitären Bereich zu etablieren und RMX gebracht (siehe Anhang in Adele und die Fledermaus[ext]). Da haben sie mich dann auch umgelegt, das Ding nämlich einfach übernommen und Microsoft hat mein Verfahren für sich patentiert (und dabei die Dreistigkeit besessen, mich im Patentantrag noch als Quelle anzugeben).

Deshalb war ich aber im Zeitraum von 2002 bis 2004 auf diversen Konferenzen in den USA, hauptsächlich IETF, und dort natürlich in den Fachbereichen für IT-Sicherheit. Und da ist etwas erstaunliches passiert. Dort nämlich waren Firmen wie Google, Microsoft und so weiter, und versuchten (neben den offiziellen Rekrutierungs­ständen) so unauffällig im persönlichen Gespräch mit ausgesuchten Sicherheits­fachleuten da welche für Spezial­aufgaben zu rekrutieren. Sie würden nämlich von US-Geheim­diensten unterwandert, die ihnen in ihre Produkte Backdoors einbauten, von denen sie selbst nichts wissen. Es ist also ein Unterschied, ob einem beispielsweise Microsoft böse will oder ob sie Backdoors drin haben. Die großen US-Firmen wussten damals, dass sie Backdoors drin haben, von denen sie nichts wissen, weil sie Agenten unter den Mitarbeitern haben. Und sie suchten nun unauffällig Leute, deren Aufgabe es war, diese Agenten und Backdoors ausfindig zu machen.

Hat für mich leider nicht geklappt, obwohl sie mich auch angesprochen hatten. Über die offiziellen Rekrutierungs­wege bin ich da nicht reingekommen, weil die Promotion versaut war. Und in diese Spezial­aufgaben kam ich nicht, weil sie da nur Amerikaner nehmen wollten und ich als Ausländer da zu auffällig war und mir das Gefühl fehlte, wer sich nach amerikanischem Schema ungewöhnlich verhält. Einige Tagen nach einer solchen Konferenz bekam ich dann (wieder in Deutschland) nachts um drei einen Anruf von Microsoft, wo sie dann doch fragten, ob ich für sie arbeiten wollte, und habe dann spontan eine Art Bewerbungs­gespräch mit ihnen geführt, ihnen aber auch klargemacht, dass ich mich mit Windows nur eingeschränkt auskenne und Unix mein Ding sei und die Sache mit dem Promotions­verfahren erläutert, weil sie eben nach Lebenslauf gefragt hatten. Zwar sagten sie, dass sie ja eigentlich genau solche Leute suchten, die faule Dinger und staatliche Manipulationen im Bereich Krypto aufdecken, ich habe dann aber trotzdem nie wieder was von denen gehört. Unix war bei denen damals nicht beliebt, heute sehen sie das anders.

Zitat: «Das technische Risiko gehe einher mit einer politischen Gefahr, sagte der grüne Europa-Abgeordnete Jan Philipp Albrecht[wp], der als Vater des EU-Daten­schutz­gesetzes gilt, dem "Tagesspiegel". Microsoft unterliege US-amerikanischem Recht. Damit könne Washington das Unternehmen jederzeit zwingen, US-Behörden dabei zu helfen, Zugang zu den Daten ausländischer Behörden oder Bürger zu bekommen. Darum sei der Einsatz der Microsoft-Produkte in staatlichen Behörden "mit dem Rechtsstaat nicht mehr vereinbar", meint Albrecht.»[4]

Auch das sagen wir seit 25 Jahren.

Zitat: «Das Europäische Parlament hatte bereits 2015 gefordert, dass die EU und ihre Mitglieds­länder bei Software für die staatliche Verwaltung die Offenlegung des Quellcodes von den Anbietern verlangen. Doch sowohl die EU-Kommission als auch die Regierungen verweigern die Umsetzung des Parlaments­beschlusses. Microsoft verfügt in vielen EU-Staaten über hochrangige Kontakte in die Regierungs­apparate, ergaben die Recherchen von Investigate Europe. Für Software-Anbieter ist die Ausstattung von Behörden mit so genannten Office-Programmen ein Riesen­geschäft. In Deutschland zum Beispiel gibt der Bund derzeit etwa drei Milliarden Euro für die IT-Ausstattung aus.»[4]

Auch das habe ich schon im Zusammenhang mit der Bundestags­anhörung zum Kryptoverbot von 1997 gesagt, dass es für Deutschland nicht nur besser, sondern vor allem auch billiger wäre, die Software selbst zu schreiben als sie in den USA zu kaufen.

Das aber wollte man überhaupt nicht hören.

Und es zieht sich wie ein roter Faden durch die Sache, dass jeder, der daran rührt, seine Karriere verliert.

– Hadmut Danisch[5]

Der Feminismus hat den Bereich der IT-Sicherheit erfasst. Als eine der letzten Männerdomänen.

Um ehrlich zu sein, habe ich mich in den letzten zwei, drei Jahren da schon sehr geschüttelt, als ich in der Industrie feststellte, dass Frauen­förder­politik aus der IT-Sicherheit machte. Lustige Ratespiele veranstalteten sie, so knapp über Grundschul­niveau. Nicht irgendwie so Krypto der Netzwerk­sicherheit, starke Authentifikation oder sowas, was wir halt alles so im Werkzeugkasten rumfliegen haben, sondern: Gesellschafts­tänze. Alberne Spielchen. Quotenfrauen auf Projektposten, die andere von oben herab abkanzeln und falsche Anweisungen geben, weil sie nicht einmal die Grundlagen, nicht mal ihre Dienst­hand­bücher verstanden haben. Die Frauenförderung in der IT-Sicherheit führt, wie schon vor 20 Jahren an den Universitäten, über eine Infantilisierung, über einen völligen Niveauverlust. Es wird alles zum Sozialakt runtergestuft. Früher verwendete man Verschlüsselung, heute Wachsmal­kreiden.

Und das mit den Wachsmalkreiden meine ich wörtlich. Ich war - unfreiwillig, jeder musste - bei einer allgemeinen Unternehmens­schulung (nicht spezifisch IT-Sicherheit), bei der alle zusammen mit Wachsmal­stiften naive Malerei betreiben sollten, damit man die Papp­kärtchen nachher zu einem großen Bild zusammen­setzen kann. Und andere Spiele mit Anfassen und rumturnen, von denen ich jetzt nicht behaupten könnte, dass ich sowas nie machen würde. Ich habe solche Spiele schon gemacht und kann mich gut dran erinnern - meine Kinder­geburts­tage, so mit 7 und 8 Jahren, so die Kategorie Topfschlagen und Blinde Kuh.

Wenn aber ein Unternehmen jemanden mit 30 Jahren Berufs­erfahrung in sowas zur Zugehörigkeits­schulung schickt, weil man Frauen fördert und reinquotet, und die sich dann eben aufführen wie die Kinder­garten­mutti, dann fühle ich mich verarscht.

Und ich meine das nicht nur auf der Ebene des sich Veralbert-Fühlens: Ich habe richtig ernsthafte Sicherheits- und Datenschutz­probleme gesehen, die entstanden, weil man partout leitende Stellen mit Frauen besetzte, und dann halt welche ohne Sachkunde nahm, weil man keine mit Sachkunde fand. Wo es überhaupt nicht mehr um IT-Sicherheit oder Datenschutz geht, sondern um "Teilhabe", "Diversität" und entsprechende Quoten­besetzung aller Gehaltsstufen.

Eine Schweizer Webseite namens switch (irgendwas mit deren Netzwerk oder dem der Universitäten) hat einen Artikel A woman's dream job: IT security specialist[6], schreibt aber dazu, dass er zunächst auf deutsch erschienen sei, #Security: Traumberuf IT-Security-Expertin.[7]

Traumberuf?

Sagen wir es so: Ich habe die Schnauze inzwischen gestrichen voll davon. Man kämpft endlos gegen Windmühlen, wird oft nur als der Spiel­verderber angesehen, der, zu dem man sich in die Schulung setzen muss, oder wie man in derselben Publikationen­gruppe schrieb: Sicherheit ist ein unerträglich langweiliges Hindernis.[8] Alle schreien sie, dass die Bedrohung immer höher steige, kritische Infra­strukturen und sowas, und gleichzeitig bewegt sich die Firmen­mentalität oft in Richtung "Scheiß drauf!". Weil man immer mehr Schwätzer und Windbeutel in den Führungs­etagen hat, und weil der Wettbewerb und Zeit- und Kosten­druck immer härter wird, und IT-Sicherheit als ungeliebte Pflicht, nicht als Umsatzbringer aufgefasst wird.

Ich kann mich noch erinnern, an eines der ersten Papers, mit denen ich mich damals befasst hatte: With Microscope and Tweezers: An Analysis of the Internet Virus of November 1988.. 1988. Das war vor 33 Jahren. Und immer noch haben wir dieselben Probleme, immer noch kommen solche Angriffe wie Puffer­überläufe und so weiter vor.

Die Politik legt den - von mir schon so oft beschriebenen - Schweine­zyklus hin, in dem sich die Fragestellungen alle 10 Jahre und im Großen nochmal alle 20 Jahre wiederholen. Man kann den Leuten erklären, so viel man will, kapieren werden sie es sowieso nicht, aber irgendwann halten sie die Klappe, wenn sie merken, dass sie da kein politisches oder pekuniäres Kapital draus schlagen können, aber kaum ist die nächste Generation von Politikern da, geht der ganze Schwachsinn von vorne los. Die informieren sich nicht, was schon gelaufen ist. Man bekommt ständig frische Idioten und Schwätzer.

Dazu kommt, dass die IT-Sicherheit primär schon lange nichts mehr mit dem Abwehren von Angreifern zu tun hat, sondern zum drögen Sach­bearbeiter-Job geworden ist. Man schreibt endlose Dokus, die nie jemand liest außer den Auditoren, muss ständig irgendwelche Frameworks, Normen, Grund­schutz­handbuch erfüllen, Audits und Zertifizierungen über sich ergehene lassen und rennt in einer riesigen Bürokratie­maschine im Kreis, in der unzählige Unternehmens­beratungen, Behörden, Sessel­furzer, Beamte, Ministerial­monster ihr Auskommen gefunden haben und sich gegenseitig mit unglaublichen Mengen von Papierkram (meist digital) zuwerfen, es aber längst keine Bedeutung in Bezug auf IT-Sicherheit mehr hat. Kann schon sein, dass man dem Auditor für die Zertifizierung mal eine 1000-seitige Doku übergibt, weil die Software für die Dokumentation so viel Blubber erzeugt. Muss ja jede Türklinke erfasst werden, und jeder Zugang dokumentiert. Während die Presse jodelt, dass die Russen und Chinesen alles angreifen, manipulieren, ausspionieren.

IT-Sicherheit dient schon lange nicht mehr der Abwehr von Angreifern, sondern fast nur noch dafür, dem Vorstand den Rücken freizuhalten - wenn etwas anbrennt, muss der vorweisen können, dass alle bestehenden Kataloge mit grünen Häkchen abgehakt sind und ihm nichts anzulasten ist.

Faktisch steht die IT-Sicherheit auf verlorenem Posten, der nicht mehr zu halten ist.

Einmal, weil man kaum noch qualifiziertes IT-Personal bekommt. IT ist heute ein Sammel­becken für Luftikusse, Schwätzer, Tunnel­blicker jeder Art, denen es auch um gar nichts anderes mehr geht, als fristgerecht irgendwas abzuliefern - und abzurechnen. Die Sachkunde geht immer weiter runter. Ich habe in den letzten 10 Jahren eine rapide Zunahme der Leute in der IT-Branche bemerkt, denen ich erklären musse, was eine ssh[wp] ist. Ich hatte über Jahre hinweg in den Schulungen eine Verständnis-Falle drin. Ich habe gesagt, dass man sich System A auf System B per ssh einloggt, und aus Sicherheits- und Datenschutz­gründen dazwischen im Netz ein System C hängt, das alle Befehle mit­protokolliert, damit man nachvollziehen kann, was man getan hat, weil die Zertifizierung das braucht. Nicht nur die Zahl der Leute, die da (sollten sie ja als Aufmerksamkeits­test, C hatte in dem Fall Kopien der Schlüssel und spielte MITM[wp], was ich als Aha-Effekt eingebaut hatte) protestierten, weil das doch gar nicht gehen könne, ist doch verschlüsselt, nahm rapide ab. Ich habe auch immer öfter erlebt, dass die Leute die Pointe nicht mal mehr begriffen, wenn ich das erklärt habe. Leute, die einen nur noch verständnislos anglotzen und bei denen gar nichts mehr Klick macht, wenn man ihnen sagt, dass das doch so eigentlich nicht gehen kann, dass C die Kommunikation zwischen A und B protokolliert (wenn man noch nicht gesagt hat, dass C Schlüssel­kopien hat), weil es doch verschlüsselt ist. Die Leute kapieren nicht mehr, dass "verschlüsselt" bedeutet, dass ein Dritter nicht mitlesen kann.

Und dann kapieren die auch andere grundlegende Dinge nicht mehr - von denen man eigentlich erwarten müsste, dass sie sie schon wissen und man sie ihnen nicht erst noch erklären müsste.

Gleichzeitig verlieren wir immer mehr die Kontrolle über unsere Software, weil der Stand der Software­technik ist, sich einfach irgendwelche Libraries und Tools von irgendwo aus dem Internet runterzuladen und zusammen­zu­nageln, ohne noch zu wissen, woher sie kommen und wer die geschrieben hat. Die dann noch dazu ihre Dependencies haben und iterativ, rekursiv ihrerseits noch allen möglichen Krempel von irgendwo runterladen. Einen Haufen Mist unbekannter Herkunft nagelt man zusammen, nennt das dann "Software­technik" und wundert sich, wenn es Sicherheits­löcher hat.

Und dann soll man da als der IT-Sicherheits­heini sitzen, das alles irgendwie sicher machen und dran schuld sein, wenn's nicht dicht ist.

Ich weiß nicht (mehr), was da schon unabhängig von der Achse Mann-Frau noch "Traumberuf" sein soll.

Es war sowieso noch nie ein "Traumberuf", aber es war mal ein hoch interessanter, wichtiger und elitärer Beruf, der nur von wenigen überhaupt ausgeübt werden konnte. Heute ist alles Geschwätz, weil man das Gefühl hat, dass es nur noch vier Berufe gibt: Supermarkt­verkäuferin, Kita-Tante, Kranken­schwester und "irgendwas mit IT".

Und die wollen nun die IT-Sicherheit noch für Frauen kapern.

Zitat: «Laut einer Studie liegt der Frauenanteil unter IT-Security-Expertinnen und Experten bei 25 %. Das ist zu wenig, um dem drohenden Fachkräftemangel und der immer komplexeren Bedrohungslage mit der nötigen Diversität entgegen­zu­wirken.»[7]

Ja.

Frauenförderung heißt, einen Fachkräftemangel auszunutzen, indem man die Gelegenheit nutzt, Unqualifizierte unterzubringen.

Zitat: «Aber wie wird man IT-Security-Expertin? Darja-Anna Yurovsky, Babara Flaad und Katja Dörlemann arbeiten im Computer Emergency Response Team von Switch (SWITCH-CERT) und sind Expertinnen für Incident Responding sowie IT-Security Awareness. Sie erzählen uns, wie sie zum Berufsfeld IT-Security gekommen sind und was sie dort hält.»[7]

Jo. Als ob die Telefon­zentrale der Feuerwehr erklärt, wie Chirurgie funktioniert.

Zitat: «Darja: Ursprünglich habe ich Politik­wissen­schaften studiert und mich auf internationale Beziehungen spezialisiert. Da ich mehrere Fremdsprachen spreche, schien das naheliegend. Nach meiner Zeit im Militär habe ich jedoch festgestellt, dass mir der Umgang mit IT noch mehr Freude macht. Zurück an der Universität, entdeckte ich zusätzlich die Begeisterung für Datenanalysen, Statistik und die interessanten Erkenntnisse, die so gewonnen werden. So landete ich nach dem Studium als Daten­analystin bei der Polizei und entwickelte mich dort weiter zur IT-Ermittlerin. Nun bin ich als Incident Responderin bei Switch und mache nebenberuflich ein Zweitstudium in der digitalen Forensik.»[7]

Von der Politikwissenschaft in ein Beruf gewechselt, in dem man Gehalt bekommt. Hat nur eben nicht viel mit IT-Sicherheit zu tun.

Typische Frauenförder­karriere: Ausbildung und berufliche Tätigkeit kommen nicht oder kaum vor, aber hochtrabende Job-Beschreibungen. Nicht "Ich kann, ich habe gelernt", sondern "Ich bin Incident Responderin". (Wenn man schon deutsche Endungen an englische Bezeichnungen wie bei Speakerin hängt, ist das für mich immer ein untrügliches Indiz, dass sowieso nur Geschwätz kommt.) Das ist das, was ich schon oft beschrieben habe: Frauen agieren nicht nach Wissen und Können, sondern nach sozialer Stellung. Die wollen und müssen das nicht können, sondern die Bezeichnung haben. Professorin. Responderin. Und sowas.

Zitat: «Katja: Bei mir lief es auch eher ungeplant. Für ein Projekt zum Thema IT-Security-Awareness suchte das Horst-Görtz-Institut der Ruhr-Universität Bochum nach Studierenden mit Kommunikations­expertise. Das Thema hat mich sofort begeistert! IT-Security Awareness bedeutet Brücken bauen zwischen zwei Welten - als Übersetzerin, Vermittlerin und Trainerin zu gleichen Teilen. Es geht wie in den Literatur­wissen­schaften um Kommunikation, Interpretation und Übersetzung. Ich musste und muss viel Neues lernen, aber von da an hat mich das Thema nicht mehr losgelassen und so bin ich nach einigen Jahren als Consultant bei Switch gelandet.»[7]

Genau das, was ich eingangs beschrieben habe. Eigentlich keine Ahnung, aber Workshops mit Wachsmalkreiden und alberne Ratespiele abhalten.

Zitat: «Barbara: Nach einem Informatik-Studium arbeitete ich an einer Fachhochschule in der zentralen IT als Teamleiterin. Als 2012 die Rolle der IT-Sicherheits­beauftragten besetzt werden musste, fiel die Wahl auf mich. In einigen Weiter­bildungen konnte ich mich in diesem Fachgebiet vertiefen und erkannte bald die spannenden und vielfältigen Aufgaben, die mich bis heute faszinieren.»[7]

Auch so eine Frauenkarriere. Immerhin mal ein Informatik-Studium, aber Team­leiterin und nicht technisch. Dann musste ein "Rolle besetzt" werden und Frau wird ernannt. Nicht gelernt, nicht erarbeitet, sondern Stellung in der Rudel-Rang­ordnung erklommen. Und dann ein paar "Weiter­bildungen".

Zitat: «Was genau macht ihr im SWITCH-CERT?

Barbara: Ich bin Projektleiterin und Awareness-Spezialistin.»[7]

Wenn ich so einen Scheiß schon lese: Awareness-Spezialistin. Auf deutsch: Labertante und Spezialistin für gar nichts. Wachsmalkreiden und sowas.

Zitat: «Hauptsächlich arbeite ich mit der Community und den Themen des Bereichs Registry und Internet­sicherheit. Das beinhaltet die verschiedensten Tätigkeiten: von der Entwicklung von Webseiten über die Organisation von Veranstaltungen bis hin zur Begleitung der Umsetzung technischer Sicherheits­maßnahmen.»[7]

Ach, so IT-Sicherheit schon mal aus der Entfernung gesehen...

Zitat: «Katja: Obwohl Barbara und ich beide als Awareness-Spezialistinnen arbeiten, ist unser Aufgabenbereich doch nicht derselbe. Ich konzentriere mich auf die Community-Arbeit mit den Schweizer Hochschulen, unseren Game-Design-Ansatz und das Engagement in nationalen Initiativen zur Sensibilisierung der Schweizer Bevölkerung, wie zum Beispiel iBarry. Es gibt in der IT-Security-Awareness eben auch verschiedene Bereiche und Ansätze, die wiederum verschiedene Fähigkeiten benötigen.»[7]

Auch nur Blabla und Soziales.

Zitat: «Darja: Im SWITCH-CERT bin ich als Incident Responderin tätig und pflege die Beziehungen zu verschiedenen Behörden aus der IT-Security-Perspektive. [...]»[7]

Beziehungspflege...

Zitat: «Darja: Der Faktor Mensch spielt eine immer grössere Rolle für IT-Security-Prozesse. IT-Security darf nicht mehr nur technologisch gedacht, sondern muss ganzheitlich angegangen werden. Schließlich ist es so: Alle technischen Sicherheits­maßnahmen der Welt nützen nicht viel, wenn Nutzerinnen und Nutzer Passwörter wie "12345" wählen, um den Zugang zu ihren Daten zu schützen.»[7]

Ganzheitlich. Wie ganzheitliche Medizin.

Zitat: «Katja: Da kommt IT-Security Awareness ins Spiel. Die größte Herausforderung hierbei ist, mit der fortschreitenden Digitalisierung Schritt zu halten. Das Sichern der eigenen Daten wird stetig komplexer - immer längere Passwörter, Multi-Faktor-Authentifizierung, unverständliche AGBs, Phishing[wp]-Mails erkennen etc. Es braucht in Zukunft mehr Aufklärung und mehr Informationen.»[7]

Wenn man das so liest, dann machen die Damen eigentlich gar nichts mit IT-Sicherheit selbst, sondern nur so Soziologen­akrobatik rund um das Erleben der IT. Phishing-Mails erkennen. Nicht etwa, wie man Phishing technisch verhindert. Das Drama der immer längeren Passwörter.

Pathologischer Befund

Was wir hier sehen ist symptomatisch.

Es reduziert sich alles nur noch auf Geschwätz­praktiken und so eine Art Erlebens­prozess der Digitalisierung. Eigentlich mehr so, wie man aus sozialer Sicht mit unsicheren Systemen umzugehen, anstatt Systeme sicher zu machen.

Die Infantilisierung und Zerschwätzung der IT geht Hand in Hand mit der frauen­fördernen Frauen­einpumpung, weil sich das gegenseitig bedingt und hochschaukelt. Auf der einen Seite muss das Ding "frauen­gängig" gemacht werden, und deshalb von der Technik zum Sozial-Event umgebaut werden, in dem sich die Hauptsache darum dreht, mit Menschen zu interagieren. Auf der anderen Seite pumpt man der Quote, Diversität und Gleichstellung wegen jede Menge Frauen - Stichwort: "Quer­einsteiger" - ohne adäquate Ausbildung und Berufs­erfahrung in die IT-Sicherheit, die ihrerseits das dann alles wieder runterziehen und zu Blubbe­revent machen. Es geht eigentlich nicht mehr darum, irgendetwas sicher zu machen, sondern das Erleben unsicherer System zum sozialen Event zu machen - und Arien darüber zu schreiben, wen sie benachteiligen.

Die - öffentliche - IT-Sicherheit ist tot und die Frauenförderung einer ihrer größten Sargnägel.

Das war mir spätestens klar, als die Wachsmal­stifte und die Ratespiele kamen.

– Hadmut Danisch[9]

Politisierung der IT-Sicherheit

Ein Puzzlesteinchen, warum ich die Schnauze so gestrichen voll von dem Job und dem Arbeiten in der IT-Sicherheit habe.

Ich habe das ja in den letzten Jahren schon so ausgiebig beschrieben, dass einem selbst in einem brisanten und hoch­technischen Thema wie der IT-Sicherheit, in dem es wirklich darauf ankommt, die Dinge sachlich und kritisch zu betrachten, und dem angrenzenden Thema Compliance[wp], wo es eben auch auf Gesetze und sowas ankommt, immer mehr solcher Political-Correctness-Zombies und Quoten­monstren entgegenkommen, und dass die fachliche Kompetenz und die Beschäftigung mit dem Thema immer mehr durch Wokeness und Political Correctness ersetzt wird. Ich habe gerade einem großen Konzern dabei zugesehen, wie eine ehemals sehr gute IT-Sicherheits­struktur und -mannschaft mit dem großen Hammer durch Quotenfrauen und Black-Lives-Matter-Aktivisten ersetzt wurde, und dann in Sachen Datenschutz, Compliance, IT-Sicherheit immer weniger lief, immer mehr grobe und schwere Fehler passierten, und das immer mehr auf Ebene von Befehls­empfängern, Ratespielen, Wachsmal­kreiden und Auslieferung der internen Kommunikation an amerikanische Cloud-Dienst­leister ablief, die IT-Sicherheit rapide zum Sachbearbeiter-, Versorgungs- und Quotenjob degradiert wurde.

Nun hatte ich doch gerade was zu dem Vorgang geschrieben, bei dem die Polizei in einer Todesfall­ermittlung auf Kontaktdaten aus der Luca-App zugegriffen hatte, dabei aber einen anderen Standpunkt als die breite Medien­öffentlichkeit eingenommen.[10] Während alle mir bekannten Äußerungen zu dem Thema darauf hinausliefen, dass die Polizei unrechtmäßig auf die Daten zugegriffen hätte, die Polizei also die Bösen seien, war ich zu einem anderen Ergebnis gekommen, nämlich dass nicht die Polizei, sondern eher das Gesundheitsamt gegen geltendes Recht verstoßen hat, weil das anzuwendende Recht sich dem Wortlaut nach nur auf das Gesundheitsamt und nicht die Polizei bezieht, und für Polizei und Staatsanwaltschaft dann erst mal deren allgemeine Ermittlungs­befugnisse gelten. Ich also den Verstoß, wenn überhaupt einer vorliegt, bei dem der gibt sehe, und nicht bei dem, der nimmt. Vor allem aber sehe ich das Hauptproblem darin, dass die Gesetzes­texte und Verordnungen einfach Murks sind, und das in meinen Augen daran liegt, dass immer mehr Ungebildete und Bildungs­versager in den Parlamenten sitzen und als Gesetzgeber fungieren. Vereinfacht gesagt: Wer so wenig Sprach­kenntnisse und Sprach­verständnis hat, dass er für das Gendern ist, der ist auch nicht in der Lage, verständliche Gesetzestexte zu formulieren. Man kann nicht einerseits Leute in ein Parlament wählen, die ständig Sprache umbauen und Begriffe umdefinieren oder die Bedeutung von Sprache verschieben, wie es ihnen tagesaktuell gerade passt, und dann erwarten, dass dabei klare und verbindliche Normentexte herauskommen.

Ein Leser schickt mir dazu einen Screenshot aus dem mir bis dato nicht bekannten "Kuketz-Forum IT-Sicherheit - Datenschutz - Hacking": [...]

Postings landeten im "Papierkorb", weil mein Blog "bekannt kontrovers" sei.

Das war bisher eigentlich so, dass "Kontroversen" ein elementarer und unverzichtbarer Grundbaustein der IT-Sicherheit waren. IT-Sicherheit hat schon immer darauf beruht, dass wenn 99 glauben, etwas wäre sicher oder gut, der Hunderste kommt und zeigt, dass es anders ist, anstatt sich der Gruppen­meinung anzuschließen. Weil das in der IT-Sicherheit fast immer so ist, dass Lücken und Fehler immer nur von einer kleinen Minderheit entdeckt werden, weil sie sonst normalerweise nicht gemacht würden, wenn sie zu offensichtlich wären.

Der Leser meint, es wäre sinnvoll, sich dazu mal deren Forenregeln anzuschauen, auf deren Abschnitt 2.2 man sich da bezieht.

Zitat: «2.2 Eingriff in Beiträge
[F]: Ein Moderator hat in meinen Beitrag eingegriffen. Warum tut er das?
[A]: In speziellen Fällen kann ein Moderator einen Beitrag anpassen bzw. verändern:
  • Korrektur bzw. Entfernung von Links (URL-Shortener-Links, URLs zu Verschwörungs­theorien, Änderung von Galerie- in Bild-Direktlinks)
  • Kürzung von Zitaten
  • Zusammenlegung von Beiträgen
  • Entfernung von Beiträgen, die wahrscheinlich gegen geltendes Recht verstoßen (Urheberrecht, Datenschutz etc.)

Hinweis: Der Eingriff in Beiträge ist nicht mit Zensur zu verwechseln. Als Foren­betreiber ist es mein gutes Recht, wenn ich bspw. Links zu Seiten, die Verschwörungstheorien verbreiten bzw. diese befeuern, zu unterbinden. Zensur wird in der Regel vom Staat oder dem Staat zurechenbare Stellen ausgeübt. Es gilt: Nicht jeder "Bullshit" wird hier toleriert.»[11]

Man sieht sofort, dass Begründung und Regeln schon nicht zusammenpassen. Da passte wohl einfach die Auffassung politisch nicht, dass nicht die Polizei hier die Böse ist, sondern das Gesundheitsamt, und der Gesetzgeber zu blöd.

Interessant ist deshalb auch

Zitat: «I. Regeln

Das Kuketz-Forum legt großen Wert auf eine angemessene Diskussions­kultur. Ein freundlicher und respektvoller Umgang mit anderen Teilnehmern sollte eine Selbst­verständlichkeit sein. Dazu zählt ebenfalls, andere Meinungen zu respektieren und die Würde eines jeden Einzelnen zu achten. Halte dich beim Verfassen oder Beantworten von Beiträgen daher bitte an die nachfolgenden Grundsätze bzw. Regeln.»

So, so. Ein respektvoller Umgang, andere Meinungen zu respektieren. Die Würde jedes Einzelnen zu achten.

Aber nur dann, wenn die Meinungen in den linken Mainstream passen. Ob etwas richtig ist, interessiert nicht. "Kontrovers", also schon die bloße Abweichung vom Mainstream, reicht bereits zur Löschung.

Drollig deshalb auch die Selbstbeschreibung:

Zitat: «Der Kuketz-Blog und das begleitende Forum sind eine Informations- bzw. Austauschs- Plattform für Menschen, die sich kritisch mit den Themen "IT-Sicherheit" und "Datenschutz" befassen möchten.

Das Ziel: Sicherheits- und datenschutz­relevante Themen leichter verständlich und für jedermann zugänglich zu machen.»[12]

Eine Plattform für Menschen, die sich "kritisch" mit IT-Sicherheit und Datenschutz befassen. Aber sofort gelöscht werden, wenn sie "kontrovers" sind, da Fehler bei Gesundheitsamt oder Gesetzgeber sehen und nicht dem linken Mainstream folgen, die Polizei als Allein­schuldigen anzusehen.

In seiner Gesamtheit ist das absurd. Aber genau solche Effekte, die Unterwanderung einer ganzen Branche, eines Aufgaben­bereichs durch Political Correctness-Geschwätz und Cancel-Culture, die dann dazu führen, dass man Sicherheits- und Datenschutz­probleme nicht mehr ansprechen kann und darf, weil man gefälligst der verordneten Mainstream-Meinung zu gehorchen hat, sind der Grund, warum mir die Branche, die Tätigkeit nach 30 Jahren inzwischen so zum Hals raushängen, ich da nicht mehr arbeiten will. Ist mir neulich so gegangen. Ich hatte darauf hingewiesen, dass es hochkritisch ist, seine gesamte Unternehmens­kommunikation in amerikanische Cloud-Dienste zu verlagern, dazu Kommunikations­dienste auf den Rechnern zwangs­zu­installieren, die eine völlige Überwachung ermöglichen, dazu noch das Eindringen auch in die privaten Netzwerke der Mitarbeiter im Home-Office, oder Dienste einzusetzen, die von den deutschen Datenschutz­beauftragten - zu Recht - als unzulässig eingestuft werden.

Ergebnis: Wie kannst Du es nur wagen, vom Mainstream abzuweichen. Das macht man heute eben so, das ist so beschlossen.

In dem Moment, in dem man als IT-Sicherheits­berater oder -verantwortlicher kein Gehör mehr findet und auf die Erwartungs­haltung trifft, das Maul zu halten und sich Kritik zu verkneifen, ist die Sache eigentlich gelaufen. Dann kann man einpacken und gehen.

Und genau das beobachte ich seit gewisser Zeit in der IT-Sicherheit.

Ursprünglich, damals an der Uni die Sache mit dem BND, in technischer Hinsicht, nämlich Verschlüsselungen.

Inzwischen auch sehr stark in Sachen Political Correctness, Wokeness, oder einfach Gehorsam gegenüber der diktierten Meinung[wp]. [...]

Die IT-Sicherheit hat fertig.

– Hadmut Danisch[13]

Rekrutierung für die IT-Sicherheit

Ein Leser verweist auf diese Meldung bei MMNews[ext]: "Deutsche Bank holt ihre russischen IT-Experten nach Deutschland", bezieht sich auf diesen Handelsblatt-Artikel[ext] hinter Paywall, in dem aber zumindest die wesentliche Aussage noch zu lesen ist:

Zitat: «Die Deutsche Bank hat mehrere Hundert ihrer russischen IT-Experten nach Berlin übersiedeln lassen. Eine mittlere dreistellige Zahl der insgesamt rund 1500 Programmierer des russischen Technologie­zentrums sei nach Deutschland gekommen, sagten Insider dem Handelsblatt. Die Bank habe allen Beschäftigten des russischen Tech-Zentrums eine Stelle in Deutschland angeboten. Das Institut wollte sich nicht dazu äußern.

Die Zahl der russischen Mitarbeiter, die in ein neues Technologie­zentrum der Bank nach Berlin wechseln, könnte noch steigen: Insgesamt habe eine hohe dreistellige Zahl der russischen Mitarbeiterinnen und Mitarbeiter, auf jeden Fall mehr als die Hälfte, an dem Angebot Interesse gezeigt, sagten mit dem Sachverhalt vertraute Personen dem Handelsblatt.»

Dazu stellt der Leser eine Frage, oder nein, er übernimmt eine Frage aus diesem Forum[ext]:

Zitat: «Allein die Deutsche Bank hat 1500 "Programmierer" in Russland?

Das wirft natürlich jetzt ein ganz anderes Licht auf Sätze, die mit "Russische Hacker haben..." beginnen! TB [...]»

Weiß ich nicht, was die Deutsche Bank sich dazu denkt.

Allerdings halte ich 1.500 Programmierer auch nicht für zuviel, denn wenn ich mir die Software-Qualität der Deutschen Bank und ihrer Töchter so anschaue, dann brauchen die noch viel mehr als 1.500 Programmierer. Oder mal 50 richtig fähige. [...]

Die Russen sind traditionell nicht nur exzellente Mathematiker und Ingenieure, sondern auch in der IT ziemlich gut, sagen wir mal vom Können her, nicht unbedingt immer in der Qualität. Das ist so ähnlich wie in der Luftfahrt. Flugzeuge und Hubschrauber konstruieren, das können sie wirklich gut. Aber die Dinger hinterher zu warten und instand zu halten, und nicht irgendwelchen gefälschten oder unpassenden Mist einzubauen oder in Korruption abzusaufen, das wird dann schwierig.

Allerdings geht damit dann eben auch eine Gefährdungslage einher, vor allem dann, wenn man die Leute nicht mehr einzeln und persönlich kennt. Wir haben durchaus eine Bedrohung durch die russische Regierung und den russischen Geheimdienst, und um es mal klar zu sagen: Wir sind im Krieg.

Ich hatte - auch schon oft erwähnt - so kurz nach dem Jahr 2000 mal so ein Erlebnis auf einer der amerikanischen Sicherheits­konferenzen, als ich im Zuge meines Krypto-Promotions­streites (denn ich persönlich übrigens auch unter IT-Sabotage durch Geheimdienste einordne, aber eben BND und CIA/NSA) verdichtet zu Konferenzen in die USA gefahren bin, um da irgendwie Kontakte aufzubauen oder nach Jobs zu suchen. Tatsächlich hatten da Firmen wie Google und Microsoft auf diesen Konferenzen, die in Tagungs­hotels stattfanden, kleine Räume angemietet und baten da Leute, die ihnen interessant erschienen, zum Bewerbungs­gespräch. Ich wurde da auch gebeten, aber in praktisch allen Fällen machte mir da der Promotions­streit einen Strich durch die Rechnung. In einem Falle war das anders, da hätte mir das sogar zum Vorteil gereichen können, weil sie sagten, was ich damals auch nur über einen direkten mündlichen Kontakt erfahren habe, dass die amerikanischen Firmen unauffällig und am Rande so kleine krypto­erfahrene Widerborsts suchten, weil sie wussten, dass ihnen die amerikanischen Geheimdienste getarnte Agenten in die Firmen eingeschleust hätten, die da (vgl. die Crypto AG und Omnisec in der Schweiz) als Programmierer wohl unbemerkt Hintertüren einbauten, ohne dass die Firmen selbst davon wüssten oder damit einverstanden seien. Sie suchten deshalb Leute, die sowas unauffällig und getarnt aufspüren könnten. Allerdings falle ich da völlig aus dem Raster, weil ich persönlich zwar gepasst hätte, sie aber dafür keine Ausländer nehmen können, man US-Amerikaner sein und außerdem mutter­sprachlich und kulturell dort voll verankert sein müsse, um die Nuancen und Unregel­mäßigkeiten erkennen zu können, und um selbst nicht aufzufallen.

Wenn die Amerikaner sowas machen, habe ich wenig Zweifel daran, dass die Russen es auch machen. Warum? Weil ich weiß, dass die Chinesen es machen.

Es ist also durchaus kritisch.

Aber was sollen sie machen? Wo will man hier in Genderland noch 1.500 Programmierer herbekommen, die wenigstens in der Lage wären, zu ihrem Arbeitsplatz zu finden?

Wer wäre da vertrauenswürdiger?

Deutschland? Die Frage stellt sich nicht, weil man hier keinen Haufen von 1.500 befähigten Leuten mehr findet.

USA? Siehe oben.

Indien? Oh, nee, bitte nicht. Das ist mitunter sehr wüst und qualitativ höchstens fiktiv.

Das Problem ist deshalb nicht so sehr, dass die Deutsche Bank da 1.500 Russen angestellt hat.

Das Problem ist, dass wir keine Alternative dazu haben.

Von der Gefahr einer Unterwanderung durch russische Geheimdienste mal abgesehen halte ich es aber für sinnvoll, russische Programmierer abzuwerben. Denn deutlich besser als die reingequotete Genderfront sind sie.

– Hadmut Danisch[14]

Scheingeschäfte mit IT-Sicherheit

Ein Leser schreibt mir zu den Vorgängen im Bundesland Kärnten:

Zitat: «Hallo Herr Danisch,

wahrscheinlich in Deutschland gänzlich unbemerkt, ist vor Wochen schon das österreichische Bundesland Kärnten von technical dept collectors besucht worden, die das ganz klassisch geransomed[wp] haben, Geld wollen und dann, weil keiner zahlte, ein paar Daten geleakt haben.

So normal, so unspannend.

Heute gab es dazu allerdings eine Pressekonferenz, die sich kein Satiriker besser ausdenken hätte können.

Der Standard berichtet, aber lässt die Highlights weg:

https://www.derstandard.at/story/2000136331154/erneute-hackerangriffe-auf-land-kaernten-laut-landeshauptmann-kaiser-abgewehrt

Das ganze Video gibt es hier:

https://www.facebook.com/peter.kaiser.kaernten/videos/1116094258974575/

Ein paar Highlights:

Kein einziger IT-Mensch da. Der Cybersecurity-Experte hat Politikwissenschaften studiert, der IT-Leiter Jus (Jura). Bei 12:50 hält der IT-Leiter tatsächlich ihre eingerahmten ISO 9001 und ISO 27001 Zertifikate in die Kamera, um zu erklären, dass sie eh super sicher sind. Danach liest er stichpunktartig die TOMs vor.

Bei 21:45 wird lang und breit erklärt, dass die Russen schuld sind, und Diktator Putin das Umfeld dafür schafft. Bei 24:48 wird gefragt, wie oft es Backups gibt, und der IT-Chef des ganzen Bundeslandes erklärt dann, Microsoft bringt jedes Monat Backups heraus, die dann eingespielt werden. Er kennt offensichtlich den Unterschied zwischen Backups und Updates nicht.

Jetzt kann man da sicher lachen und sagen, jaja, haha, Ösis in Kärnten. Aber jeder, der mal in einer größeren Firma (die nicht IT-Dinge als Hauptaufgabe macht) oder gar der öffentlichen Verwaltung war, sollte sich mal überlegen, wie viel besser das dort ablaufen würde...

Das ist die westliche IT-Welt, die unsere Politik und Universitäten in den letzten Jahren geschaffen haben!»

Die Stelle mit den von Microsoft herausgegebenen Backups, die monatlich eingespielt werden, habe ich mir jetzt schon angehört. Und das soll der "IT-Chef" sein.

Das ist ein Effekt, den ich schon lange beobachte und beschreibe, in den auch die ganzen Quotenfrauen gehören: Man hat eine große Menge von geisteswissenschaftlich totstudierten Menschen, für die auf dem Arbeitsmarkt keinerlei Bedarf ist, und die zu alt sind, um in ihrem Leben noch irgendwas zu lernen, aber dafür parteinah. Dann sieht man, dass in Informatik ordentlich gezahlt wird und "Fachkräftemangel" herrsche, also denkt man sich, dass man die Leute da einfach reindrückt, weil es doch sowieso keine Befähigung gibt und da alles nur ansozialisierte Gruppentänze sind. Quality is a myth und man ist nur das, wofür andere einen halten.

Passt dazu, dass ich mich 2008 ja schon mal mit dem damaligen BSI-Chef auf einer Konferenz vor Publikum angelegt habe, weil der die Auffassung der Bundesregierung verkündete, dass IT-Sicherheit eben sei, wenn eine IT-Sicherheits­branche melde, dass sie steigende Umsätze habe, ganz egal, was IT-Sicherheit überhaupt ist.

Und so wird auch die IT in den Führungs­positionen mit unfähigen Leuten vollgepumpt und im Ergebnis dann eben sowas wie Kärnten zerschossen.

Und das mit den ISO 9001 und ISO 27001-Zertifikaten ist auch ein ziemlicher Mist. Dieser ganze Zertifizierungs­kram ist zwar recht hübsch, einen an vieles zu erinnern, woran man vielleicht nicht denken würde. Aber wenn man daraus keine Konsequenzen zieht, wird es eben nicht sicher. Diese Zertifizierungs­kram heißt vor allem, dass man sich das Problem X angeschaut und was dazu entschieden und geschrieben hat, aber nicht, dass es sicher ist. Man kann da auch reinschreiben, dass man extra einen eingestellt hat, dessen alleinige Aufgabe es ist, die Risiken erkannt zu haben und in Kauf zu nehmen.

Die Zertifizierungen erfüllen in der Praxis damit vorrangig einen bestimmten Zweck: Die Geschäfts­leitung mit einem Katalog jährlich aufgefrischter grüner Haken zu versorgen, mit dem sie im Katastrophenfall nachweisen können, dass sie es nicht verpennt haben. Das dient nur dazu, dass nicht der Kopf der Geschäfts­leitung, sondern der irgendeines Mitarbeiters rollt.

Ich hatte mich vor noch gar nicht allzulanger Zeit mit der IT-Sicherheits­abteilung eines Konzernbereichs gefetzt. Ich hatte festgestellt, dass etwas unsicher ist und man das so nicht machen kann. Die IT-Sicherheits­abteilung sagte mir aber, dass sie sich nicht in das operative Geschäft einmischen und nur im Hintergrund dokumentieren. Was das für ein Blödsinn sei, hatte ich gefragt. Wenn man sich nicht ins Operative einmische, würde ja überhaupt nichts sicher.

Sie betrachteten es auch nicht als ihre Aufgabe oder auch nur ihre Fähigkeit oder ihr Ziel, etwas sicher zu machen oder Angriffe zu verhindern, antworteten sie mir. Ziel und Zweck ihres riesigen Verwaltungs­aufwandes und der Erfassung aller Vorgänge sei es, dann, wenn etwas schief geht, der Geschäfts­leitung sofort sagen zu können, wer dran schuld ist.

Man macht also nicht Sicherheit im technischen Sinne, nicht in dem Sinne, dass man irgendwas verhindert, sondern in dem Sinne, dass die Konzernleitung in der Sicherheit leben kann, dass sie im Schadensfall einen Schuldigen parat haben, den sie feuern können, und dann selbst nicht dran schuld sind.

Und je unfähiger die Leute sind, desto steiler machen sie Karriere, weil die Geschäftsleitung das gar nicht will, dass die IT-Sicherheit machen, sondern nur so tun als ob und viel Papier produzieren.

Das ist alles nur noch Witz und Hohn.

Ich habe vor 20 Jahren mal als Bewerber ein Bewerbungs­gespräch abgebrochen und bin gegangen. Ein Headhunter hatte mich zu einer Firma gefahren, so als Überraschung, ich wusste vorher nicht, zu welcher Firma wir fahren, sollte aber da der Datenschutz­beauftragte werden. In einer Firma, in der das eine ziemlich kritische Sache wäre. Als ich diskutieren wollte, was da wie zu machen wäre, sagte man mir direkt und unverhohlen, dass ich mich rauszuhalten hätte. Ich würde nicht dafür bezahlt, dass ich was tue, sondern dafür, dass ich nichts tue und mich darauf beschränke, ein Türschild mit "Datenschutz" drauf zu haben. Ich würde gut bezahlt, bräuchte nichts zu arbeiten, und es wäre in Ordnung, wenn ich den größten Teil meiner Arbeitszeit auf dem Golfplatz verbrächte. Dafür wäre ich dann der, der rausfliegen muss, wenn was anbrennt.

Ich hatte mich auch schon auf solche Stellen als Daten­schützer oder IT-Sicherheits­leiter beworben, nur um dann vorne- oder hintenrum herauszufinden, dass die Ausschreibungen nicht echt waren und man gar niemanden einstellen wollte, aber nach außen hin den Anschein erwecken wollte, dass man sich schon darum gekümmert hätte, aber leider, leider - schlimmer Fachkräftemangel - niemanden gefunden habe. Oder auch nur so tun will, als prosperiere man, während man in Wirklichkeit hart sparen muss.

Große Teile der IT-Sicherheitsbranche sind heute reiner Schwindel.

Ich habe Leute erlebt, die als CISO (Chief Information Security Officer) für einen großen Konzern tätig sind, aber sich nicht vorstellen konnten, wie man im Falle eines malware-kontaminierten PCs überhaupt herausfinden könnte, in welchem Kontinent (weltweit operierendes Unternehmen) der steht, weil er den Unterschied zwischen Switching[wp] und Routing[wp] nicht verstehen konnte und auch nicht verstand, was in einem Switch vor sich geht und wie man abfragt, an welchem Port ein Rechner hängt.

IT-Sicherheit ist heute vor allem: Hohn.

Und der ganze Zertifizierungskram hat es nur noch schlimmer gemacht, weil man die Zertifizierungen heute braucht, um keinen Ärger zu kriegen. IT-Sicherheit ist heute, der Firmenleitung die Zertifizierungen zu beschaffen. Mit tatsächlicher Sicherheit hat das höchstens noch zufällig was zu tun.

– Hadmut Danisch[15]

Romantische Vorstellungen zur IT-Sicherheit

Es ist zum Davonlaufen, auf welchem Niveau sich die Bundesregierung bewegt.

Heise schreibt gerade über die Visionen der Nancy Faeser: Cybersicherheitsagenda: BKA & Co. sollen Angriffsserver runterfahren können

Zitat: «Bundesinnenministerin Nancy Faeser hat am Dienstag in Berlin ihre Cyber­sicherheits­agenda vorgestellt. Kernpunkte des 14-seitigen Plans sind neue Befugnisse für die Sicherheits­behörden, um massive IT-Angriffe aktiv abwehren zu können, eine neu organisierte Cyber­sicherheits­architektur mit einer führenden Rolle des Bundes, ein verschärfter Kampf gegen Cyber­kriminalität sowie die Stärkung der Resilienz des Staates und kritischer Infra­strukturen. [...]

Ein besonders umstrittener Punkt ist die "aktive Cyberabwehr". Die aktuelle, von Ex-Innen­minister Horst Seehofer (CSU) vorangetriebene Cyber­sicherheits­strategie der Bundesregierung sieht dafür noch Hackbacks vor, also ein Zurückschlagen im Cyberspace. Die Ampel-Koalition lehnt dieses Mittel aber ab. Faeser peilt trotzdem nun auch Maßnahmen an, die über eine bloße Aufklärung einer Attacke hinausgehen: "Wir müssen auf IT-Infra­strukturen einwirken können, die für einen Angriff genutzt werden. So können die Sicherheits­behörden schwerwiegende Cyberangriffe verhindern, stoppen oder zumindest abschwächen." [...]

Es gehe etwa um die Fähigkeit, eine Attacke "umzuleiten", führte die Ministerin aus. Der Bund werde vor allem dem Bundeskriminalamt (BKA) - gegebenenfalls auch mehreren Behörden - einschlägige Zuständigkeiten geben müssen. Nicht geplant sei, mit staatlichen Mitteln ausländische Server mit aggressiven Gegenschlägen zu bekämpfen. Ein Angriff könne aber so schwer sein, dass der Staat sich gezwungen sehe, ihn abzustellen.

Es gelte herauszukommen aus der "Opfersphäre", ergänzte der IT-Beauftragte der Bundesregierung, Markus Richter. Die Sicherheits­behörden sollten auch Server in den Blick nehmen, von denen ein Angriff erfolge, um diese "gezielt runterzufahren". Dieses breite Reaktions­spektrum stehe derzeit noch nicht zur Verfügung.»[16]

Zu wenig Ahnung. Zu viel Kino geguckt.

Irgendwie stellen die sich das so vor wie in den Hollywood-Filmen: Irgendein Nerd mit Nerdbrille, der keine Frau abbgekommt, aber alle Passworte erraten kann, weil alle Passworte nach dem Geburtsdatum der Ex-Freundin, der verstorbenen Mutter oder dem Mädchennamen des geliebten Meerschweinchens benannt sind, und zwar auch dann erraten, wenn nebendran die Uhr steht und tickt, und man sich eingeloggt haben muss, bevor die Zeit bei 00:00:00 angekommen ist, weiß in schlimmster Bedrohung einen coolen Trick, mit dem er den Server des finsteren Angreifers runterfahren kann, der sich dann ärgert wie Sauron, dem man den Ring zum Dreieck gekloppt hat.

Mal abgesehen davon, dass man da erst mal wissen müsste, wo der Server ist, und sich sicher sein müsste, dass es nicht 100.000 gehackte Server sind, die über die Welt verteilt sind, und man mit dem "Runterfahren" nicht auch die Energie­versorgung oder die Herz-Lungen-Maschine lahmlegt: Wieso glauben die eigentlich, jeder dahergelaufene Hinz und Kunz könne dem Hacker mal eben den Server "runterfahren", nur weil er sich für wichtig hält?

Dazu müsste es erst einmal einen exponierten Angriffspunkt geben. Und so doof sind die in der Regel nicht. Schon gar nicht, wenn es "staatliche Hacker" sind, wie man behauptet.

Und wenn man ihn "runterfährt"?

Das ist nur bei deutschen Behörden und Universitäten so, dass die dann 6 Monate brauchen, um wieder hochzukommen. In virtuellen Umgebungen lassen sich Server auch in unter einer Sekunde, ganz sicher unter 6 Sekunden, wieder starten.

Irgendwie haben die da ganz komische, ganz seltsam romantische Vorstellungen.

Wie im Kino.

Wie James Bond auf Bundesangestelltentarif.

– Hadmut Danisch[17]

Artikel

Einzelnachweise

  1. Hadmut Danisch: 30 satte Jahre IT-Sicherheitsversagen, Ansichten eines Informatikers am 29. März 2017
  2. Hadmut Danisch: Das Bundeskanzleramt und die IT-Sicherheit, Ansichten eines Informatikers am 4. Januar 2022
  3. IT in der öffentlichen Verwaltung: Europas fatale Abhängigkeit von Microsoft, Tagesspiegel am 10. April 2017
    Alle europäischen Staaten nutzen Software von Microsoft für ihre Verwaltungen - und geraten immer tiefer in die Abhängigkeit des US-Konzerns. Warum das technisch und politisch höchst riskant ist.
  4. 4,0 4,1 4,2 4,3 4,4 4,5 4,6 Digitale Souveränität in Gefahr? IT-Profis warnen vor Microsoft, n-tv am 9. April 2017
  5. Hadmut Danisch: Verlust der Digitalen Souveränität durch Microsoft und die USA, Ansichten eines Informatikers am 9. April 2017
  6. A woman's dream job: IT security specialist, Switch am 1. Juli 2021
    Anreißer: Women are still heavily underrepresented in cybersecurity. Three female IT security experts discuss their daily work and what they love about their profession.
  7. 7,00 7,01 7,02 7,03 7,04 7,05 7,06 7,07 7,08 7,09 7,10 7,11 Kolumne von: Switch - #Security: Traumberuf IT-Security-Expertin, Switch am 22. Juni 2021
    Anreißer: Frauen sind im Berufsfeld Cyber­security immer noch stark unter­repräsentiert. In der heutigen Kolumne von Switch berichten drei IT-Security-Expertinnen aus ihrem Arbeitsalltag und erzählen, was sie an ihrem Beruf begeistert.
  8. Marcel Gamma: Sicherheit ist ein unerträglich langweiliges Hindernis, 10. Dezember 2020
  9. Hadmut Danisch: Frauenförderung und der Tod der IT-Sicherheit, Ansichten eines Informatikers am 25. September 2021
  10. Hadmut Danisch: Die Polizei und ihr Zugriff auf die Luca-App-Daten, Ansichten eines Informatikers am 9. Januar 2022
  11. Forum des Kuketz-Blogs: Regeln FAQ
  12. kuketz-blog.de
  13. Hadmut Danisch: Die Politisierung der IT-Sicherheit, Ansichten eines Informatikers am 11. Januar 2022
  14. Hadmut Danisch: "Russische Hacker haben...", Ansichten eines Informatikers am 7. Juni 2022
  15. Hadmut Danisch: "Microsoft bringt jeden Monat Backups heraus, die dann eingespielt werden", Ansichten eines Informatikers am 7. Juni 2022
  16. Cybersicherheitsagenda: BKA & Co. sollen Angriffsserver runterfahren können, Heise/Telepolis am 12. Juli 2022
  17. Hadmut Danisch: Bundesregierungshackerromantik: IT-Sicherheit wie im Kino, Ansichten eines Informatikers am 12. Juli 2022

Querverweise

Netzverweise

  • Hadmut Danisch - Ansichten eines Informatikers:
    • Von der Zerstörung der IT-Sicherheitsforschung, 16. Juli 2022
      Ein zentrales - oder das zentrale - Thema dieses Blogs, dieser Webseite ist es seit 20 Jahren, aufzuzeigen, wie man die Universitäten, die Forschung, die Informatik, insbesondere aber die IT-Sicherheits­forschung systematisch sabotiert und lahmgelegt hat. [...]
      Wir hatten in den 1990er-Jahren eine Generation wissenschaftlicher Mitarbeiter, die da weitaus besser war, aber die hat man systematisch kaltgestellt. Heute findet da solches soziol-orientierte Laien­geschwätz statt. Und der Steuerzahler zahlt's. Einmal drin in der Mühle, wird man verbeamtet und hat ausgesorgt bis ins Grab. Kann den Rest seines Lebens mit belanglosem Geschwätz und dessen Akzeptanz auf Gegenseitigkeit verbringen und finanzieren.
      In meiner Jugend und Aduleszenz, noch während des kalten Krieges, gab es für sowas ein geflügeltes Wort, eine ständige Redewendung: Und mit denen sollen wir den Krieg gewinnen, wenn die Russen kommen!?
      Damals war das nur eine Metapher, weil man eigentlich nicht erwartet hat, dass die Russen tatsächlich kommen könnten.
      Heute wollen die Russe kommen, wir sind im IT-Krieg, und wir haben die Universitäten mit solchen Leuten vollgepumpt.
      Der Plan des Bundesnachrichten­dienstes, die IT-Sicherheits­forschung zu verhindern, ist aufgegangen. Und nun haben wir den Salat.
    • Aktuelles zur IT-Sicherheit, 5. April 2022
      Der Cyber-Krieg und das "IT-Projekt zum Cyber-Lagezentrum".
    • Wie kommunziert man "sicher"?, 5. Dezember 2020
    • Professionelle IT bei British Airways, 27. Mai 2017