1. Foren
  2. Kommentare
  3. Security-Forum
  4. Alle Kommentare zum Artikel
  5. › Bundestags-Hack: Laut Lammert…

#Neuland

  1. Thema

Neues Thema


  1. #Neuland

    Autor: hayabusa 12.06.15 - 07:57

    Diejenigen die das getan haben waren wohl sicherlich keine Vollpfosten sondern vermutlich ein ausländischer Geheimdienst. Für meine Begriffe kann auch die Hardware respektive z.B. Maindboard, Festplatte usw. als nicht mehr sicher gelten. Es gibt genügend Proof of Concepts welche Angriffsvektoren auf Bios oder Firmware darstellen. An einer solch sensiblen Stelle hilft nur noch der Rasenmäher. Selbst die Adminpasswörter sind abhanden gekommen. Dh. es betrifft für meine Begriffe auch alle Drucker, Router, Switches usw.

    Typische Beschwichtigung um Geld zu sparen. Dies löst aber nicht den Kern des Problems. Ich frage mich auch warum es an solch sensibler Stelle keine Authentifizierung und Verschlüsselung der persönlichen Daten mit Smartcard gibt.

  2. Re: #Neuland

    Autor: chefin 12.06.15 - 08:29

    weil Abgeordnete keine ITler sind. Aber auch nicht wollen, das ihnen fremde Personen in den Rechner schauen können. Und noch weniger wollen sie sich vorschreiben lassen, welche Geräte und Software sie nutzen müssen. Aber das müsstest du vorschreiben, wenn du eine passend abgesicherte IT haben wolltest.

    Und was Smartcard angeht: das nutzt wenig, wenn du Zero-Day exploids benutzt. Das war wohl hier der Fall, den zum einen sind die Eingänge abgesichert mit Virenscanner, aber ebenso die Maschinen. Bekannte Viren kommen nicht durch.

    Unbekannte Viren(also für diesen Zweck neu geschriebene) sowie Exploids und Rechteausweitung, da helfen keine Smartcards. Man umgeht das einfach. Es spielt keine Rolle ob man ein einfaches Bartschloss oder eine Panzerstahltüre mit Sprengfallen und Codeschlösser benutzt, wenn das Fenster daneben offen steht. In einem solchen Fall ist 1234 ein genauso sicheres Passwort wie eine Smartcard.

    Hier handelt es sich also um einen Spearattack(also ein gezielt auf diesen Zweck hin gestalteten Angriff), der wüsste das er Smartcards umgehen muss. Und es gibt nunmal kein sicheres Betriebssystem. Auch Linux ist am Ende genauso löchrig wie Windows. Sieht man an der Masse an Bugs die jeden Monat gefixed werden. Man kommt leicht in Versuchung zu glauben, das mit 100 gefixeten Bugs wieder mal alles was man an Bugs kennt bereinigt wäre. Aber viele Bugs existieren lange, bevor sie public gemacht werden. So wie Bughunter diese Bugs an die Hersteller verkaufen, gibt es auch welche die es an Hacker verkaufen oder an den der am meisten bietet. Ein Chromebug an Hacker vertickern bringt 20.000 Dollar. Ihn dann in 8 Wochen nochmal an Google geben weitere 10.000. Meinst du das die ihn zuerst an Google liefern?

    Ja, theoretisch könnten wir das Absichern. Praktisch scheitert es an dem Punkt, wo die Absicherung den Nutzen massiv einschränkt. Wenn du dich noch erinnerst, die haben es auch geschafft ins Weisse Haus einzudringen via IT.

  3. Re: #Neuland

    Autor: hayabusa 12.06.15 - 12:04

    Zuerst einmal ist es mit einer Smartcard nicht möglich Passwörter ab zugreifen da dies schlicht und ergreifend entfällt und diese nicht manuell eingegeben werden müssen. Die Kommunikation zwischen Tastatur und PC fällt an dieser Stelle weg. Man kann das soweit drehen das es sogar an manchen Stellen eine mehrstufige Authentifizierung erforderlich ist.

    Dh. sie benötigen physischen Zugriff auf die Karte. Desweiteren kann der PC zwar infiziert werden, das ist insofern korrekt da man sich gegen solche gezielte Angriffe nicht schützen kann, jedoch benötigt man für die Entschlüsselung der Daten auf diesem PC ebenfalls die entsprechend dem Nutzer zugeordnete Smartcard.

    Ich erwarte hier schlicht und ergreifend einen Maximalschutz! Das der BSI nur beratende Funktion hat spricht schon Bände. Für mich gehört das in die Hand eines eigenständigen Behörde ggf. sogar dem Verteidigungsministerum unterstellt die entsprechende Ressourcen und die Spezialisten hat. Gerne auch das BSI. Diese Fragmentierung der Verantwortlichkeiten ist ein Witz!

  4. Re: #Neuland

    Autor: derKlaus 12.06.15 - 15:03

    hayabusa schrieb:
    --------------------------------------------------------------------------------
    > Ich erwarte hier schlicht und ergreifend einen Maximalschutz! Das der BSI
    > nur beratende Funktion hat spricht schon Bände.
    Das ist aber utopisch. Der BSI Grundschutz ist schon mal ziemlich umfangreich und aufwändig. da wird es sehr schwierig die Nutzerakzeptanz nach der Implementation zu schaffen. Auch wenn ich Dir von einer persönlichen Warte aus vollkommen Recht gebe, dass es notwendig wäre, die Ausführung wird scheitern.
    > Für mich gehört das in die
    > Hand eines eigenständigen Behörde ggf. sogar dem Verteidigungsministerum
    > unterstellt die entsprechende Ressourcen und die Spezialisten hat. Gerne
    > auch das BSI. Diese Fragmentierung der Verantwortlichkeiten ist ein Witz!
    Das wird mit den Resourcen ein Thema. Das würde ordentlich ins Geld gehen.

  1. Thema

Neues Thema


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Anwendungsbetreuer*in Campus Management System (m/w/d)
    Humboldt-Universität zu Berlin, Berlin
  2. Spezialist*in (w/m/d) im Messwesen
    Bundesnetzagentur, Mainz
  3. Entwicklungsingenieur Bildverarbeitung Python/C/C++ (m/w/d)
    pro-beam GmbH & Co. KGaA, Gilching (bei München),
  4. SAP Integration Architect (m/w/d)
    sonnen GmbH, Berlin, Wildpoldsried

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote


Haben wir etwas übersehen?

E-Mail an news@golem.de


  1. Stromautobahn: Bahnstromnetz soll bei Energiewende helfen
    Stromautobahn
    Bahnstromnetz soll bei Energiewende helfen

    Der Ausbau der Übertragungsnetze in den Süden hängt dem Aufbau von Windkraft im Norden hinterher. Entlastung soll das Bahnstromnetz liefern.

  2. Windows 11: Microsoft testet Copilot im Autostart
    Windows 11
    Microsoft testet Copilot im Autostart

    Die KI-App könnte künftig automatisch starten, wenn Windows 11 lädt. Standardmäßig ist das Feature aktiviert, kann aber abgewählt werden.

  3. Astronomie: Die Lavalandschaft eines doppelgesichtigen Exoplaneten
    Astronomie
    Die Lavalandschaft eines doppelgesichtigen Exoplaneten

    Auf der einen Seite eine Lavawelt, auf der anderen tiefe Finsternis - so soll ein kürzlich entdeckter Exoplanet aussehen. Zudem ist HD 63433 d relativ jung - im Vergleich zur Erde.


  1. 16:20

  2. 16:02

  3. 15:45

  4. 15:15

  5. 15:00

  6. 14:23

  7. 14:08

  8. 13:28