Forensic Investigations / Fi Blog

Fi Blog

Eine neue Studie (PDF /Kurzfassung PDF )der Messaging Anti-Abuse Working Group (MAAWG) zum Anwenderverhalten bei Spam-Emails belegt einmal mehr, dass die Risiken von Spam-Emails von Anwendern nach wie vor unterschätzt werden.

43% gaben laut der Studie an, Emails zu öffnen, die sie für Spam hielten, 11% klickten enthaltene Links an, 8% öffneten die enthaltenen Anhänge, 4% antworteten auf die Emails. Die Zahlen nahmen mit dem Alter der Befragten jeweils minimal ab.

Alle oben angegebenen Verhaltensweisen sind jedoch falsch. Bereits das Öffnen einer solchen Spam-Nachricht kann zur Infektion des Rechners führen, wenn Sicherheitslücken in der verwendeten Email-Software vorhanden sind.

Die Anhänge zu öffnen ist besonders gefährlich, selbst vermeintlich harmlose PDFs können zu Infektionen führen. Das Anklicken von Links öffnet sehr häufig Webseiten die Schadcode (sog. Exploits ) ausführen und den Rechner infizieren.

Besonders beliebt ist immer noch das Anklicken von "Unsubscribe"-Links zum angeblichen Austragen aus Listen. Aber Spammer sind Spammer und bleiben Spammer, sie nutzen diese "Unsubscribe" Funktion lediglich, um sich bestätigen zu lassen, dass die Email-Adresse des Anwenders existiert und gelesen wird, um die Adresse mit höherem Erlös weiterverkaufen zu können oder/und Infizieren sie auf dieser Seite mit Schadcode.

Das Gleiche passiert durch antworten auf die Email. Hier wüste Beschimpfungen reinzuschreiben, mag zwar innerlich befriedigend sein, ist aber dennoch nicht wirksam, da auf solchen Konten eh nur automatisierte Systeme laufen, und ist zudem wie schon gesagt sogar kontraproduktiv.

Als Gründe für ihr Verhalten gaben 57% an, sich nicht sicher gewesen zu sein, ob die Nachricht Spam ist, 33% klickten aus Versehen auf die Nachricht, aber immerhin noch 46% öffneten Spam-Nachrichten mit Absicht (25% um sich von der Liste abzumelden oder sich zu beschweren , 18% um zu sehen was passiert, und 15% aus Interesse an den angebotenen Produkten).

Zu große Neugier kann nicht selten ins Auge gehen. Öffnen Sie nur Nachrichten, die in jeder Hinsicht unverdächtig erscheinen, löschen Sie Spams direkt oder verschieben Sie in Ihren Spam-Ordner, und ignorieren Sie sie ansonsten vollständig.

Als in der Verantwortung stehend nannten 65% ihren Internet Service Provider, der i.d.R. gar nichts tut, Anti-Virus-Hersteller mit 54%, die der Bedrohungslage wohl ebenfalls nicht mehr gewachsen sind , und erst auf Platz 3 mit 48% sich selbst.

Während in Spanien und Kanada noch 69% bzw. 68% Angaben, Opfer von Virenbefall geworden zu sein, steht Deutschland hier mit 45% am hintersten Platz der untersuchten Länder. Weniger als ein Drittel der Deutschen (30%) hielten eine Infektion mit einem Bot für wahrscheinlich und bildet damit auch hier zusammen mit dem Vereinigten Köngreich (29%) das Schlusslicht in puncto Awareness. Angeführt wird die Liste von den Deutschen jedoch, dass sich hier mit 83% die meisten Anwender für wenigstens einigermaßen erfahren halten.

Die Praxis spricht jedoch eine andere Sprache, mit den tatsächlichen Infektionen liegt Deutschland selbst bevölkerungsbereinigt weit vor Kanada, Spanien und dem Vereinigten Königreich. Die Deutschen scheinen Infektionen also lediglich weniger zu bemerken. Dies ist auch kein Wunder, waren die genannten Methoden, wie Anwender Viren oder Botnetze erkennen, allesamt höchstens für zufällige Entdeckung in Einzelfällen geeignet. Die Ausnahme stellte die Benachrichtigung von Dritten wie der Kredikartenfirma/Bank (in diesem Fall ist dann wohl bereits Schaden entstanden) bzw. dem installierten Antivirusprogramm dar, auf das aber auch kein wirklicher Verlass ist. Es ist wohl an der Zeit, besonders die Deutschen Anwender einmal mehr an die Hacker-Regel Nummer 1 zu erinnern:

"Don't think you are smart, you are NOT"

(Glaube nicht, dass Du pfiffig bist, Du bist es NICHT)


Nach dem Bericht von TheRegister, dass die Ende letzten Jahres unter dem Namen "Aurora" gelaufenen Angriffe auf Google, Adobe und andere von den getesteten Antivirusprodukten noch immer nicht erkannt werden , kann man diese Frage ernsthaft stellen. TheRegister bezieht sich dabei auf Informationen von NSS Labs , die festgestellt hätten, das lediglich McAfee Internet Security 2010 die Bedrohung erkannte, und die anderen getesteten Produkte AVG Internet Security 9.0, ESET Smart Security 4, Kaspersky Internet Security 2010, Norton Internet Security 2010, Sophos Endpoint Protection for Enterprise 9.0 und Trend Micro Internet Security 2010 allesamt nicht.

TrendMicro räumte ein, das vermehrt auf heuristische Untersuchungsverfahren gesetzt werden müsse, was auch den Einlassungen von Stefan Müller (Symantec) auf dem Workshop "Forensik & Computerkriminalität" des C.A.S.T. e.V. entspricht, der dort ebenfalls sagte, man werde der Flut an neuer Malware und dem "Hase & Igel" Spiel sonst nicht mehr Herr.

Ein weiteres Indiz dafür ist das von Kaspersky Labs gestartete Experiment, absolut virenfreie Dateien durch Ihren Scanner als Virus anzeigen zu lassen (absichtlich erzeugter sog. "false positive"), und die Dateien über VirusTotal anderen AV-Herstellern zugänglich zu machen. Binnen 10 Tagen hätten bis zu 14 AV-Produkte anderer Hersteller die unschädliche Datei auch als Virus erkannt, ein deutliches Indiz, dass einige Hersteller einfach vom Nachbarn "klauen", ohne ein Minimum an eigenen Untersuchungen durchzuführen.

Schuld an der Misere seien teilweise auch die Testmethoden der Journalisten, deren Testberichte sehr wichtig für den wirtschaftlichen Erfolg der AV-Hersteller seien, diese würden nicht verstehen was "false positives" wären. Die AV-Hersteller hätten hier zu viel Angst, neben dem Mitbewerb vermeintlich schlecht auszusehen, wenn ihr Produkt einen angeblichen Virus nicht erkenne.

Das der Flut nicht mehr Herr zu werden ist, implizieren auch die Zahlen der ShadowServer Foundation, die allein im Februar 2010 über 1,5 Millionen neue Binärdateien-Unikate über verschiedene Quellen gesammelt hat , polymorphe Varianten sind dabei so weit wie möglich bereits herausgerechnet. Die Zahlen für Februar sind dabei noch vergleichsweise moderat, Spitzenmonate lagen gar über 4 Millionen Dateien. Es dürfte zwar klar sein, das ein grosser Anteil hiervon auf "Nebelgranaten" entfällt, die absichtlich von Malware-Gangs in entdeckte Honeypots eingespeist werden, um den Sicherheitsherstellern ein paar mehr Hausaufgaben zu geben, dennoch erfordern auch diese eine Untersuchung.

Das Konzept, in ausreichender Geschwindigkeit Pattern-Updates zur Verfügung zu stellen ist dadurch meiner Meinung nach gescheitert, der Mythos der 100%-Erkennung, wie von so mancher Marketing-Abteilung noch bis in die Neuzeit gepredigt wird, ist tot. Tatsächlich wurde bei Untersuchungen in der Praxis festgestellt, das 32% der untersuchten Rechner trotz aktuellem Virenschutz infiziert waren , gegenüber 46% Infektionen bei den Kandidaten ohne oder ohne aktuellen Schutz. Heuristik kann etwas Linderung verschaffen, jedoch ist die Analyse von Malware-Techniken und Entwicklung von Abwehrmechanismen aufwändiger, als einfach per statischer Analyse vom Mitbewerb zu "klauen", außerdem ist das Konzept, ständig Updates zu verkaufen, wirtschaftlich einfach zu reizvoll, solange die Kunden daran glauben. Fehlende unabhängige Testmethoden tragen ihr Übriges dazu bei.

Bereits anlässlich der it-sa Nürnberg im Oktober 2009 hatte ich die Marketing-Praktiken vieler Hersteller kritisiert und im Blog-Eintrag über Botnetz-Bekämpfung über die mangelnden Desinfektionsfähigkeiten der Produkte nach einer Infektion verwiesen.

Ich will hier jedoch nicht nur einseitig auf den AV-Herstellern herumtrampeln, die zum Teil den Umständen entsprechend noch relativ gute Arbeit machen. Schuld an der exorbitanten Verbreitung von Malware ist sicher auch die Tatsache, das es einfach zu gut und leicht funktioniert. Ein Großteil der Verbreitung geht auf Sicherheitslücken in Betriebssystemen und Netzwerksoftware zurück, allen voran Email-Clients, Web-Browser, Flash und Adobe Reader . Hier ist den Herstellern die Sicherheit ihrer Kunden einfach immer noch viel zu wenig wert . H.D. Moore, der Initiator des Metasploit Projekts wird bei Heise Online zitiert , dass "Softwarehersteller einen Fix für die vom Forscher entdeckte Lücke nie in der Zeit fertig stellen, die sie ursprünglich veranschlagen. Ganz egal, ob 30, 60, 90 oder 120 Tage, die Termine werden nie gehalten". Wenn aber ein öffentlicher Exploit zur Verfügung stünde, ginge es plötzlich auch innerhalb von 10 Tagen. Auch deshalb standen die Hersteller auch schon vielfach in der Kritik .


Die Bundesregierung unterstütze die Botnetz-Bekämpfung der "Anti-Botnet-Initiative" des eco-Verbands der deutschen Internetwirtschaft e.V. mit 2 Millionen Euro, berichtet Heise Online. Man wolle dazu "in der ersten Jahreshälfte 2010" eine "Beratungsstelle einrichten, die Anwender dabei unterstützen soll, ihren Rechner von Viren und Bots zu befreien".

Dafür, dass das ganze bereits seit Ende 2009 am Laufen ist, gibt die Suche auf der eco-Website noch erstaunlich wenig Substanz her. Es bleibt abzuwarten, ob dieses Geld einen Nutzen bringt, oder sinnlos in den Rachen eines Lobbyisten-Verbandes geworfen wird.

Ich persönlich halte das Unterfangen Rechner von Viren oder Bots zu befreien für nahezu aussichtslos, da erhältliche Anti-Viren-Produkte kaum in der Lage sein dürften, die im Umlauf befindlichen hochresistenten Schädlinge automatisch zu desinfizieren. Man hat ja schon Glück, wenn die Schädlinge überhaupt erkannt werden (siehe z.B. Erkennungsquote hier unter "AV detection" oder mal akutuelle Bedrohungen aus einschlägigen Researchblogs auf VirusTotal mitverfolgen). Technisch ist es auch kein Problem, unerkennbare, polymorphe und hochresistente Schädlinge in beliebigen Mengen herzustellen. Underground-Dienste wie hxxp://virtest.com/ erlauben es zudem, die Erkennungsquote der im Handel befindlichen Anti-Viren-Produkte abzufragen und die Erkennungsquote auf Null herunterzutreiben. VirTest funktioniert analog zu VirusTotal, leitet die hochgeladenen Dateien aber im Gegensatz zu diesem nicht an Sicherheitshersteller weiter, wie u.a. hier berichtet wurde.

Es ist geplant, per Call-Center telefonische Hilfestellung zu geben, wenn die automatische Desinfektion scheitert. Es dürfte selbst für die besten Experten eine große Herausforderung und eine tagfüllende Angelegenheit werden, dies mit einem Laien am anderen Ende der Leitung zu bewerkstelligen. Wird lediglich ein einzelner kleiner Registrierungseintrag oder irgendwo eine infizierte EXE- oder PDF-Datei (unter tausenden von Einträgen und Dateien) vergessen, installieren die meisten aktuellen Schadprogramme ihren ganzen Plunder wieder von Neuem.

Einem so einmal kompromitierten Windows-System kann man zudem nie wieder vertrauen. Bei jedem Aufruf des Online-Banking kommt das ungute Gefühl auf, es versteckt sich doch noch irgendwo etwas, das berühmte "Restrisiko", dass einem wie bekannt leicht den Rest geben kann.

Aber die Problematik geht schon vor der Bekämpfung los, nämlich mit der Erkennung. Die verwendete passive Erkennung über Honeypots , Spamtraps und die Auswertung von Denial-of-Service -Attacken und externe Beschwerden zusammengetragen werden. Während man sich an anderer Stelle nicht scheut, tiefe Grundrechtseingriffe mit zweifelhaftem Nutzen zu tätigen , die Millionen Kosten und von Menschen mit entsprechenden bösartigen Absichten in weniger als einer Minute umgangen werden können , wird ausgerechnet hier, wo es dem Schutz der Bürger vor einer echten Bedrohung dient, nicht aktiv eingegriffen. Nicht einmal eine Gesetzesänderung wäre hierfür nötig, §100 TKG erlaubt den Eingriff in Verbindungs- und Verkehrsdaten und sogar die Speicherung dieser Daten unter bestimmten Auflagen, wenn "tatsächliche Anhaltspunkte den Verdacht der rechtswidrigen Inanspruchnahme von Telekommunikationsnetzen und -diensten begründen", was ich für solche Fälle klar bejahen würde. Aus der Speicherung könnte man ebenfalls wertvolle Erkenntnisse für die Aufklärung von Straftaten gewinnen, die Speicherung ist schon jetzt auf die "bösen" Verbindungen beschränkt und sieht bereits die pseudonymisierte Speicherung von Bestandsdaten des Betroffenen vor, die für die Kriminalitätsbekämpfung auch ohnehin nicht gebraucht werden. Eine so perfekte Symbiose aus effizienter Kriminalitätsbekämpfung und vorbildlichem Datenschutz habe ich persönlich selten gesehen.

Ein aktiver Eingriff erlaubt zudem die sofortige Eliminierung der Gefahr. Immerhin "begehen" kompromitierte Rechner i.d.R. direkt Straftaten nach §202c "Vorbereiten des Ausspähens und Abfangens von Daten" und §303b "Computersabotage" StGB an Dritten, was ihre Besitzer u.U. schnell in Erklärungsnot bringt. Auch ein Opt-In oder -meiner Meinung nach besser- ein Opt-Out Verfahren wären hier sicherlich leicht möglich, wenn mir dies auch allenfalls für uns Sicherheitsforscher sinnvoll erscheint.

Mit der genannten passiven Methode, die eco dagegen plant, wird lediglich darauf gehofft, das eine kompromitierte Maschine irgendwann mal hoffentlich zufällig an einen dieser Honeypots gerät. Das "Prinzip Hoffnung" ist mir an dieser Stelle jedoch etwas zu wenig, zumal auch Cyberkriminelle wohl mitgekriegt haben, dass es Honeypots gibt. Es gibt auch diverse Methoden zuverlässig festzustellen, ob es sich bei dem vermeintlichen Opfer um einen Honeypot handelt, auf die ich hier jedoch nicht eingehen möchte.

Sobald die Millionen vom BMI eingetroffen sind, werden wir das mal nachhaltig regeln ;)

UPDATE 05.03.2010: Auch andere Spezialisten sehen die Honeypots deshalb bereits vor dem Aus oder zumindest bedroht .


Hier mein Bericht vom Workshop "Forensik und Internetkriminalität " des CAST e.V. (Competence Center for Applied Security Technology), der heute am Fraunhofer Institut für Graphische Datenverarbeitung in Darmstadt abgehalten wurde, Forensic Investigations war natürlich dabei.

Prof. Dr. Harald Baier von der Hochschule Darmstadt und Prof. Dr. Felix Freiling von der Universität Mannheim führten durch die Veranstaltung und sorgten und für eine sehr gelöste Atmosphäre. Alles in Allem fand ich die Veranstaltung sehr gelungen, die überwiegende Zahl der Vorträge hatte ein gutes bis sehr gutes Niveau. Die Teller beim Mittagessen waren nicht so optimal sauber gespült, das ist wohl schon fast das Negativste, dass ich anmerken könnte.

Alexander Geschonnek referierte über die forensische Praxis bei der KPMG, insbesondere über Aspekte des Datenschutzes sowie organisatorische und rechtliche Probleme und Risiken, die sich bei der Arbeit ergäben. Hier waren insbesondere die Probleme rund um die informelle Selbstbestimmung und des Schutzes des Persönlichkeitsrechts der Mitarbeiter eines Unternehmens Thema, die bei fehlendem Verbot der privaten Internetnutzung am Arbeitsplatz greift. Auch in unserer Praxis führt dies regelmäßig zu Beweisverwertungsverboten vor Gericht oder wir dürfen erst gar nicht alle vorhandenen Daten in die forensische Akquise und Untersuchung einbeziehen. Dadurch geht ggf. belastendes Material verloren, falls der Mitarbeiter einer Untersuchung nicht zustimmt, was zu Recht Beschuldigte in der Regel nicht tun werden. Ich kann deshalb allen Unternehmen als vorbeugende Maßnahme nur dringend anraten, jegliche private Nutzung der Unternehmens-PCs, insbesondere Nutzung des Internets und Versenden privater E-Mails vertraglich zu untersagen.

Im semi-interessanten Vortrag von Stefan Müller von Symantec Deutschland wurde der "Threat Report 2009 " vorgestellt. Jedoch berichteten andere Referenten und Besucher, dass die Bedrohungslage technologisch weiter fortgeschritten sei, als der Report wiedergäbe. Stefan Müller erläuterte unter anderem, dass die AntiViren-Hersteller dem "Hase & Igel"-Spiel per Pattern-Updates kaum mehr folgen könnten und hier neue, intelligente(re) Techniken zur Erkennung entwickelten, die zumindest in den Consumer-Produkten des Hauses bereits eingesetzt würden. Warum man jedoch die neue Technologie ausgerechnet bei den Consumer-Produkten zuerst einsetze, blieb offen.

Dr. Thorsten Holz von der TU Wien zeigte Teile aus seinen Forschungsarbeiten, in denen er bekannte Botnetze analysierte. Er konnte hier Erkenntnisse über Botnetze, Anzahl der infizierten Rechner und eingesetzte Technologien wie Fast Flux und Double Fast Flux vorstellen. Aus diesen Daten hat er u.a. mittels der bekannten Preise für eBay-Accounts, gestohlene Kreditkartennummern und Identitäten u.ä. mögliche Umsätze der Schattenwirtschaft hochgerechnet. Auch Techniken der modernsten Trojaner aus dem Banking-Bereich stellte er in seinem sehr interessanten und gelungenem Beitrag vor. Phishing -Emails mit der Aufforderung zur TAN -Eingabe auf gefälschten Seiten mit ähnlichen lautenden Adressen dürften inzwischen allgemein bekannt sein. Neueste Banking-Trojaner sind jedoch in der Lage, Transaktionen mittels "Man-in-the-middle" Attacke beim Online-Banking auf den Original-Seiten der Bank so zu manipulieren, dass es selbst dem aufmerksamen Benutzer nicht auffallen kann. Sogar die sonst an dieser Stelle angeratene Überprüfung des Sicherheitszertifikats der Internet-Seite greift hier nicht. Auch Systeme mit Smartcard -Unterstützung (HBCI ) sind für solche Attacken anfällig. Hier bleibt nur der Rat, neben den üblichen Vorkehrungsmaßnahmen wie aktuelle Virenschutzsoftware zu verwenden, Sicherheitsupdates von Internet-Browsern und Betriebssystem zeitnah durchzuführen vor allem die Kontoauszüge regelmäßig zu überprüfen (am Kontoauszugdrucker, NICHT online!) bzw. gar ganz auf Online-Banking zu verzichten. Selbst beim Starten eines Browsers von einem nicht-beschreibaren Medium wie z.B. einer Knoppix-CD gibt es keine vollkommene Sicherheit.

Der Beitrag von Holger Morgenstern zum Thema "Forensik auf Smart-Phones - Möglichkeiten und Probleme", an dem ich eigentlich auch sehr interessiert war, fiel leider aufgrund Erkrankung des Referenten aus. Gute Besserung an dieser Stelle.

Etwas kompensiert wurde dieser Verlust dadruch, das ein Vetreter von Cellebrite , einem Hersteller forensicher Systeme für mobile Geräte, direkt neben mir saß und mir über die neuesten Entwicklungen in diesem Bereich berichtete und mir die Geräte kurz demonstrierte. Danke & Grüße von hier aus Patrick!

Dietmar Breitling von der SEB AG berichtete über IuK-Kriminalität aus Sicht eines Bankers. Durch diesen Beitrag konnte ich erstmals ansatzweise nachvollziehen, welche Gründe hinter der m.E. schneckenlangsamen sicherheitstechnischen IT-Entwicklung im Bankensektor stecken, und warum hier noch Technologien aus der "IT-Steinzeit" wie Magnetstreifen eingesetzt werden, die bekanntermaßen sicherheitstechnisch extrem anfällig sind (mit 10€ Einsatz im Elektronik-Bastlerladen ohne großes Know-How zu knacken). Man will wohl primär die Kunden nicht verunsichern und Schwierigkeiten mit der Bafin vermeiden, gewisse "Streuverluste" durch Betrugsfälle sind offensichtlich einkalkuliert und preisgünstiger als der flächendeckende Einsatz neuer Systeme. Aus betriebswirtschaftlicher Sicht ist Kapital in der Zukunft natürlich billiger als Kapital in der Gegenwart, weshalb sich die Situation ohne regulatorische Auflagen sicher nicht so schnell maßgeblich bessern wird, zudem man ja auch immer bequem argumentieren kann, das alles sei so "branchenüblich". Bleibt der Fairness halber noch anzumerken, das Dietmar Breitling dies in dieser Form und Deutlichkeit nicht oder allenfalls sehr verklausuliert berichtete, dies ist lediglich meine (subjektive) Interpretation.

Herr D. (Name bek.) von einem deutschen Landeskriminalamt brachte äußerst interessante Fakten und die m.E. verlässlichsten Zahlen über die Schattenwirtschaft zutage. Dies ging jedoch derart in die Tiefe der organisatorischen Strukturen und Methoden, dass ich hier nur die dort gegebene Warnung wiederholen möchte: dem LKA lägen Informationen vor, dass die noch nicht geschlossene Sicherheitslücke in Adobe Acrobat 9.2 und Adobe Reader 9.2 bereits von bekannten Botnetzen eingesetzt würde, um weitere Rechner unter Kontrolle der Täter zu bringen. Auch andere Quellen hatten zwischenzeitlich berichtet, das bereits ein Exploit für das Metasploit Framework vorliegt, sodaß von praktischen Angriffen gegen diese Sicherheitslücke auf breiter Front auszugehen war. Ich kann deshalb nur dringend anraten, JavaScript in Adobe Acrobat und Reader auszuschalten , bzw. unter Windows ein Registry-File einzuspielen, dass die betroffene JavaScript-Funktion deaktiviert. Ein offizieller Patch für diese Sicherheitslücke soll lt. Hersteller erst am 12. Janauar 2010 erscheinen. Dies wird den Internetkriminellen sicher ein "frohes Fest" bescheren.

RA Niels Hoffmann (VBB Rechtsanwälte, Düsseldorf ) vertiefte die auch schon von Alexander Geschonnek angeschnittenen Risiken privater forensischer Ermittlungen aus juristischer Sicht sehr praxiskompetent unter dem Thema "Strafbarkeitsrisiken von computerforensischen Dienstleistungsanbietern und Beweisverwertungsprobleme im Zusammenhang mit computerforensischen Datenerhebungen".

Er beklagte u.a., dass die Rechtssprechung in weiten Teilen Interpretationssache und somit, auch aufgrund des technischen Informationsstands der Justiz, eine Art Glücksspiel sei und auch viele Bestimmungen im Strafrecht nicht den praktischen Anforderungen genügen würden. Insbesondere das Urteil des Bundesverfassungsgerichts zum Thema "Dual Use" Software (BVerfG, 2 BvR 2233/07 vom 18.5.2009) sei nicht so glücklich ausgefallen, da auch hier schwammige Begrifflichkeiten wie "Schadprogramme, deren objektiver Zweck in der Begehung von Computerstraftaten liegt" oder "bestimmungsgemäße Wartung und Pflege" vorkämen.

Eine Differenzierung zwischen "Dual Use" Sicherheitsprogrammen und "Malware" ist auch m.E. wenn überhaupt nur in Einzelfällen möglich, da letztendlich auch jede Malware geeignet ist, die Anfälligkeit -oder im Umkehrschluss Sicherheit- von Systemen zu testen, womit sich meist automatisch ein möglicher "Dual Use" ergibt, sei es nur um die Erkennung einer Malware durch AntiViren-Software zu verifizieren. Lediglich das schwer zu belegende Motiv des Einsatzes bliebt als Unterscheidungskriterium übrig, was m.E. auch das Urteil so wiedergibt. Der Verkauf von Software wie Passwort-Crackern bleibt damit aber nach wie vor ein gewisses Risiko, wenn dieser auch an Personen erfolgt "von deren Vertrauenswürdigkeit nicht ausgegangen werden kann". Überspitzt gesehen müßten analog auch Baumärkte angehalten werden, Schaufeln auch nur an "vertrauenswürdige Personen" zu verkaufen, damit möglichst niemand damit erschlagen wird.


Natürlich freuete ich mich, als ich hörte, dass die it-sa 2009, die in diesem Jahr erstmals als eigenständige Messe und nicht im Rahmen der Systems in München abgehalten wurde, Nürnberg als Messestandort ausgewählt hatte. Nachdem auch die Eintrittskarte wie immer gratis war, dachte ich, warum nicht mal vorbeischauen, zumal ich auch einige langjährige Geschäftspartner besuchen wollte.

Ausser recht hübschen Engelchen & Teufelchen, die auf der Messe zur Promotion unterwegs waren, war nicht so überragend viel geboten. Gar internationales Flair, wie es etwa bei der "Embedded World " der Fall war, kam jedoch kaum auf. Alles in allem war die sich über gerade mal 2 kleine Hallen erstreckende Messe sehr überschaubar und von daher auch irgendwie gemütlich. Als Aushängeschild diente die Keynote von Dr. Taher Elgamal , mit dessen Arbeiten ich auch im Rahmen eines unserer letzten Projekte im Bereich Kryptographie zu tun hatte.

Schockierend war die niedrige Kompetenz an vielen Ständen auch sehr grosser Anbieter, ohne jetzt Namen nennen zu wollen. Viel mehr als "Blabla" und die üblichen Hype-Argumente, die man auch entsprechenden Hochglanzprospekten entnehmen kann, wurde da nicht vermittelt. Technische Fakten leider komplett Fehlanzeige. Es scheint so eine verbreitete Unart der Sicherheitshersteller zu sein, hier nur mit Vertrieblern aufzulaufen, statt auch kompetente Fachleute mitzunehmen, aber nicht die erste Messe, auf der ich Fachansprechpartner häufig vermisst habe. Alles so nach dem Motto "die Leute verstehen ja sowieso nichts vom Thema Sicherheit, die wollen sich ja hauptsächlich sicher fühlen, und dieses Gefühl vermittelt die Größe unseres Standes/die Höhe unserer Umsätze/die Bekanntheit unseres Names [nichtzutreffendes bitte streichen]".

Die angebotenen thematischen Messerundgänge waren auch nicht gerade üppig besucht, teilweise wie beim Thema "Web Application Security" rückte nicht ein einziger Teilnehmer an. So schlecht fand ich das Thema nicht, erstaunlich dass so gar keine Resonanz folgte. Diese schlechte Resonanz hätte höchstens das miserable örtliche Catering verdient gehabt. Die Highlights waren eher in manchen Vorträgen zu finden, allen voran im offenen Forum.

Fazit: Wirkliche brandheiße Themen im Bereich IT-Sicherheit fehlten, die Messe muß wohl auch noch einiges tun, um ein internationales Pflaster für die IT-Security-Welt zu werden. Dennoch gute Ansätze sind da und ich konnte doch noch einige gute Gespräche führen, z.B. mit einigen Rechtsanwälten und großen Versicherungen und ein paar alte Kontakte auffrischen, sodass die Messe die paar km Anfahrt dann doch wert war.



Hier finden Sie aktuelle Themen und Hintergründe rund um Sicherheit, Internet und Recht, das Sachverständigenwesen und die Computer-Forensik.

Mon Di Mi Do Fr Sa So
  1 2 3 4 5 6
7 8 9 10 11 12 13
14 15 16 17 18 19 20
21 22 23 24 25 26 27
28 29 30 31