Von Ende Juli bis Anfang August trifft sich jedes Jahr die Sicherheitsszene aus Hackern, Crackern, Machern und Regierungsvertretern im wüstenheißen und künstlich strahlenden Las Vegas für die IT-Konferenzen Black Hat und DefCon. Die beiden Konferenzen zählen zu den größten und wichtigsten Veranstaltungen der internationalen IT-Szene. Die Teilnehmer zeichnen sich durch große Diversität und fachliche Brillanz aus. In den teils hochbrisanten Vorträgen wird deutlich, dass aktuell ein weltweiter Cyberkrieg tobt, der lange nicht wahrgenommen wurde. Das ist jetzt vorbei, aber dazu später mehr.
Nachdem auch das letzte Zwölf-Dollar-Bier getrunken und die letzten Hände geschüttelt wurden, werfen die Teilnehmer und Zuschauer jedes Jahr ihre Macbooks an und schreiben in ihren Blogbeiträgen auf, was aus ihrer Sicht die wichtigsten Erkenntnisse und Informationen der Events sind. Einige Artikel sind absolut lesenswert, andere sollen nur schnelle Clicks generieren. Insgesamt überwiegen aber die nützlichen Zusammenfassungen, die einen guten Überblick über die Konferenztage geben. Das ist natürlich alles kein Ersatz für eine persönliche Teilnahme (mit oder ohne einem der jährlich anzutreffenden Alu-Hüte).
Mein persönliches Fazit ist, dass beide Konferenzen in diesem Jahr außergewöhnlich waren. Zum einen ist es jetzt 25 bzw. 20 Jahre her, dass Jeff Moss (alias @thedarktangent) die erste DefCon- und Black-Hat-Konferenz ins Leben gerufen hat. Für mich bleibt unvergesslich, dass ich zum ersten Mal mit dem renommierten Internetsicherheitsexperten persönlich sprechen konnte. Zugegebenermaßen übertreibe ich damit etwas, denn in Wahrheit hatte ich ihn einfach nach einem Vortrag beim Checken seiner E-Mails angetroffen und mich etwa 15 Minuten mit ihm unterhalten.
Bei den Trends und Kernaussagen der Hackerkonferenzen gab es drei Themengebiete, die herausragen:
1. Malware, Malware, Malware
Aus meiner Sicht wurde das Augenmerk in diesem Jahr auf beiden Konferenzen völlig zurecht auf Malware gelegt. Natürlich war das einerseits eine direkte Folge der Angriffswelle durch die Erpressertrojaner WannaCry und Petya, aber die Sprecherthemen wurden andererseits lange vorher eingereicht – insofern war es auch Zufall. Die Lehre für IT-Betriebsverantwortliche ist, dass alle IT-Systeme stets aktualisiert und der Fokus immer auf den Grundlagen für IT-Sicherheit bleiben muss. Ebenfalls klar ist, dass Zugangswege über Remote-Access-Technologien einer Organisation besser bewacht werden müssen, um Gefahren durch kompromittierte Anwendungen vorzubeugen. Self-Serving-Plattformen funktionieren, aber sie sie müssen in die gesamte Sicherheitsinfrastruktur eingebunden werden.
Nicht zu vergessen ist die Schockernachricht, dass der WannaCry-Held Marcus Hutchins (alias @malwaretech) auf dem Rückweg von der Konferenz unter dem Verdacht verhaftet wurde, er habe die Malware Kronos im Darknet beworben und verkauft. Aktueller Stand ist, dass er seine Unschuld beteuert und die Sicherheits-Community ihn durch Spendensammlung (im Netz) bei der Verteidigung vor Gericht unmittelbar unterstützt. Warten wir also ab, wie sich die Dinge weiterentwickeln.
2. Demokratie in Gefahr
Was die Ängste von Aluhutträgern und Verschwörungstheoretikern angeht, lieferten die Konferenzen reichlich neuen Stoff. So waren auf der diesjährigen DefCon beispielsweise gehackte Wahlcomputer ein großes Thema, das auch schon während der US-Präsidentschaftswahl kontrovers diskutiert wurde. Im „Voting Village“ hatten die Veranstalter auf der Hackerkonferenz 30 Wahlcomputer und Systeme zur elektronischen Wählerregistrierung aufgebaut. Alle Rechner wiesen Schwachstellen auf und wurden von den DefCon-Teilnehmern gehackt — die ersten schon nach 90 Minuten. Schnell gingen Tweets mit Bildern der Geräte um die Welt, die Screenshots der eingesetzten Open-Source-Softwareversionen zeigten.
Zugegeben: Die bei eBay ersteigerten Wahlcomputer setzten veraltete Software mit bekannten Schwachstellen ein, die sich mittlerweile (fast) alle patchen lassen. Deshalb war es natürlich kinderleicht, die alten Rechner zu hacken. Viele Sicherheitsexperten merkten insofern zurecht auf der Konferenz an, dass im modernen IT-Umfeld eingesetzte Unternehmensrechner den Wahlcomputern um Lichtjahre voraus sind. Erschreckend findet Matt Blaze, der Co-Koordinator des Events und Professor an der University of Pennsylvania ist, aber, dass „nur eines der Geräte nicht mehr eingesetzt wird. Der Rest wird in den USA weiterhin verwendet.” Die gute Nachricht dabei ist, dass Angreifer immer einen direkten Zugriff benötigen, was die Erfolgschancen der Hacker mindert. Es ist wohl doch (noch) nicht alles verloren – aber es fehlt eindeutig an durchgehender Informationssicherheit für alle IT-Systeme, die bei Wahlen eingesetzt werden.
3. Sicherheitsbedenken bei industriellen Kontrollsystemen (ICS)
Auch bei industriellen Kontrollsystemen in maschinellen Produktionsanlagen gibt es ernste Sicherheitsbedenken. Zwar räumte Rob Lee, ICS-Forscher und CEO von Dragos, ein, dass es keinen Grund für Panikmache gebe, was Cyberbedrohungen in Industrieanlagen betreffe. Allerdings wird auch niemand wirklich widersprechen, dass die Sicherheit industrieller Kontrollsysteme viel stärker berücksichtigt werden muss. Schließlich kommen sie in allen kritischen Infrastrukturen (Strom, Wasser, Erdöl, Erdgas etc.) zum Einsatz — und hier nimmt die Anzahl der IT-Attacken deutlich zu. So warnten Dragos und eSIT auf der Black-Hat-Konferenz vor einer als CRASHOVERIDE und Industroyer bekannten Schadsoftware, die speziell für Angriffe auf Stromnetze entwickelt wurde. Den Analysen zufolge kam sie im vergangenen Jahr bei Cyber-Angriffen auf das Stromnetz der Ukraine zum Einsatz.
Es gibt aber auch gute Nachrichten, was die Gefahrenlage durch Hackerangriffe betrifft. Die genannte Malware hat noch nicht den Reifegrad erreicht, um besser geschützte Stromnetze oder gar das ganze Versorgungsnetz eines Landes lahmzulegen. Gleichwohl zeigen die Stromausfälle in der Ukraine, dass Attacken durch Advanced Persistent Threats (APT) eine ernstzunehmende Gefahr darstellt. Im modernen Cyberkrieg müssen Regierungen das erkennen und wirksame Maßnahmen gegen Angriffs- und Spionageversuche ergreifen, um APT-Angriffe und deren Folgeschäden zu unterbinden.
Wer mehr über die beiden IT-Events erfahren will, sollte die mediale Berichterstattung nutzen, und auf der Website von Defcon.org gibt es dazu eine gute Übersicht. In der Regel dauert es seine Zeit, bis alle Vorträge nach der Konferenz hochgeladen sind, aber hier findet man eine Unmenge an Informationen, um verpasste Vorträge im Nachklang noch einmal nachzuverfolgen. Ganz persönlich empfehle ich den DefCon-Vortrag des Schachgroßmeisters Garry Kasparov über künstliche Intelligenz und deren Auswirkungen auf den Arbeitsmarkt und die Menschheit insgesamt. Bei allen Erfolgen, die die KI-Forschung in den letzten Jahren feiert, habe man es letztendlich doch einfach nur mit Computern zu tun. Und diese haben in jedem Fall ihre Grenzen, auch wenn diese sich immer wieder verschieben. Mensch und Maschine könnten sich deshalb gut ergänzen, denn der Mensch sei „immer einen Rechenschritt voraus“— und das sei entscheidend.