Es gibt zwar schon genügend Berichte im Netz über den 33. Chaos Communication Congress, trotzdem will ich unbedingt auch noch einen schreiben. Ich war wie jedes Jahr dabei und habe versucht, Security-Know-How aus erster Hand zu erhalten. Ich habe Mate getrunken und mich über die vielen schönen blinkenden Dinge gefreut.
works for me
Schon das Congress-Motto „works for me“ begeisterte mich. Vordergründig steht hinter dem Spruch das Abwimmeln von Bugs bei Open-Source-Software. Der Entwickler sagt, dass es bei ihm doch funktioniert, also wird die Schuld beim Anwender liegen – der wie immer zu doof ist. Logisch:)
Das Motto kann aber noch viel tiefer interpretiert werden. Die IT wird meist so betrieben, dass es gerade so funktioniert. Für eine nachhaltige Entwicklung fehlen Zeit und Geld. Ein Produkt ist fertig, wenn der Auslieferungstermin ansteht. Das Ganze nennt sich dann „Agil“. So werden Apps zum Online-Banking mal schnell zusammengeklickt, was soll da schon passieren – works for me. Nachdem Vincent Haupert letztes Jahr die Sparkassen-App auseinandergenommen hatte, ging es diesmal um N26: Shut Up an Take My Money.
Ich liebe den Congress, weil dort jedes Jahr die Trends der nächsten Jahre vorweggenommen werden. Beim 29C3 war das Motto „not my department“. Dieser Wernher von Braun zugeschriebene Spruch soll uns als Techniker und Spezialisten dafür sensibilisieren, auch an die Folgen unseres Tuns zu denken. Wir dürfen nicht einfach nur etwas aufbauen, weil wir es können, sondern wir müssen immer auch an die Folgen denken. Wenn wir unsichere Systeme aufbauen, werden die uns eines Tages um die Ohren fliegen.
Netzpolitik
Der 31C3 „a new dawn“ brachte als Post-Snowden-Congress den Ruf nach Verschlüsselung und Verhinderung der Totalüberwachung. Technisch haben wir das inzwischen erreicht, ohne TLS gibt es keine E-Mails mehr und fast alle Webseiten sind auch dank „Let’s encrypt“ verschlüsselt erreichbar. Aber politisch lief 2016 in die völlig falsche Richtung. Der NSA-Untersuchungsausschuss sollte für den Gesetzgeber die Lehren aus den Snowden-Enthüllungen ziehen (Ein Geheimdienst als Zeuge. Szenen aus dem NSA-Untersuchungsausschuss). Aber dessen Ergebnisse wurden nicht abgewartet. Die Gesetzgebung hat inzwischen die Überwachung legalisiert, der Whitleblower-Schutz wurde geschwächt (Demokratiefeindliches Strafrecht: Die Datenhehlerei gem. § 202d StGB), die Aufarbeitung ist nahezu gescheitert: 3 Years After Snowden: Is Germany fighting State Surveillance?
Security-Trends
Und welche technischen Trends erwarten uns in den nächsten Jahren? Da sehe ich insbesondere die immer weitere Durchdringung des Alltags mit Informationstechnik (Marketing-Blabla: Digitalisierung). Das fängt in der Industrie an, geht über die traditionelle Internet-Nutzung mit PC-Browser oder Smartphone bis zum Internet der Dinge.
Industrie 4.0
Fangen wir mal mit der Industrie an: Der Vortrag „Stealth Modification of Programmable Logic Controllers I/O by Pin Control Attack“ zeigte, dass man Controller durch Software so modifizieren kann, dass sie fehlerhafte Ausgaben (I/O-Pins) erzeugen, ohne dass das Steuerprogramm davon etwas merkt. Ich stelle mir gerade jemanden am Bedienpult einer Chemieanlage vor, bei dem alles grün leuchtet, obwohl es am anderen Ende des Geländes schon knallt und stinkt. Aber wer soll schon in eine Industriesteuerung eindringen, die ist doch nicht ans Internet angeschlossen. Wie war das doch gleich mit Industrie 4.0? Ach, das wird schon funktionieren – works for me.
Leider war der Mensch noch nie gut in Technikfolgenabschätzung. Und so basiert unser Leben inzwischen auf einer riesigen Menge Quellcode, die gerade so funktioniert. Die Komplexität moderner Systeme ist nicht mehr überschaubar, aber die Hersteller werden das schon im Griff haben – works for me. Die derzeit komplexeste Software fährt in unseren Autos spazieren. Und da sind nette Funktionen versteckt, die einen „Stinker“ auf dem Prüfstand die Euro-6-Norm schaffen lassen. VW hat dafür Prügel abbekommen (Dieselgate – A year later), aber die anderen Hersteller tricksen genauso (Software Defined Emissions).
Big Data
Zum Surfen: Die Datenmenge, die wir mit unserem Browser im Internet hinterlassen, ist inzwischen gigantisch. Welche Auswertungen und damit Schlussfolgerungen über einen Menschen daraus gezogen werden können, wird im Vortrag „Build your own NSA“ klar. Aber auch die im Internet frei verfügbaren Daten können durch „Big Data“-Analysen ausgewertet werden, um ganz neue Erkenntnisse zu gewinnen, wie David Kriesel (der mit dem Xerox-Bug) zeigt: SpiegelMining – Reverse Engineering von Spiegel-Online Wer hat bis jetzt gedacht, dass Vorratsdatenspeicherung und „Big Data“ harmlos ist? Wollen wir, dass unsere Gesellschaft künftig so funktioniert? Nein, da kann ich wirklich nicht sagen „works for me“.
Internet of Shitty Things
Und was wird mit dem Internet der Dinge? Es geht um diese kleinen Computer, die für unter 10 € genau so sicher gemacht werden müssen wie ein PC. Wer soll das bezahlen? Das Mirai-Botnetz zeigt die Gefährlichkeit dieser Mini-Zombies. Die Plaste-Router-Apokalypse ist im November nur knapp an den Telekom-Kunden vorbeigeschrammt. Da haben wir nochmal Glück gehabt, dass nur 2 Tage lang das Internet für 900.000 Kunden gestört war. Einen Blick in die Zukunft wagt Ruedi: Technologien für und wider Digitale Souveränität.
Und nun?
Das Thema Informationssicherheit wird uns wohl nicht so schnell verlassen. Deshalb haben wir dieses Jahr auch einen eigenen Security-Track auf der SoftEd NetNight.
Und wer noch ein paar andere Vorträge sehen will, kann seinen Fernseher die nächsten Abende ausgeschaltet lassen und hier klicken: 33C3: works for me
