Transkript IT-S NOW – Sicher im Internet of Things Lisa Baumgartner Herzlich Willkommen bei Neunmalklug! Lisa Baumgartner für Sie am Mikrofon, wünsche Ihnen einen angenehmen und auch einen sicheren Tag. Sicherheit ist in dieser Folge nämlich unser Thema IT-Sicherheit für unseren Alltag. Viele digitale Geräte machen unser Leben einfacher. Also Handy, Navi, über die App gesteuerte Heizung, Smart TV, usw. Aber verraten sie nicht auch viel über die Nutzer*innen? Ich lasse mich da jetzt beraten, und zwar von der Expertin Silvia Schmidt aus dem Kompetenzzentrum für IT-Security an der FH Campus Wien. Beraten können Sie sich, liebe Zuhörende, übrigens auch lassen und auch informieren. Das Kompetenzzentrum lädt Sie nämlich zu einer Konferenz ein: IT-S NOW! Für Fachpublikum ist diese Konferenz und auch für alle User*innen, die ihren digitalen Alltag eben sicherer machen wollen. Auch darüber reden wir. Zunächst, wenn ich jetzt an das Thema Datensicherheit denke und an Gefahren für meine Daten, da bin ich sofort bei einem Schlagwort, nämlich Hacking. Aber auch IT Expertinnen müssen umfassendes Hacking-Wissen haben, um geeignete Sicherheitsmaßnahmen aufzusetzen. Welche Bedeutung hat denn Hacking für Sie, Frau Schmidt? Silvia Schmidt Hacking, also der Begriff Hacking, hat leider einen - geschichtlich bedingt - einen negativen Beigeschmack, ist aber per se nicht negativ. Bei Hacking denkt man sich immer irgendwelche Bösen, die irgendwo sich einhacken, einwählen und dann Schaden verursachen. Tatsächlich sind Hacker Penetration-Tester oder Pen-Tester, kurz gesprochen. Das sind Leute, die beruflich Systeme, Webseiten, Geräte auf die Sicherheit überprüfen - überprüfen, ob es dort Schwachstellen gibt. Man hat versucht, diesen negativen Beigeschmack durch Begriffe wie Ethical Hacking zu minimieren. Heute kann man nur mehr Hacking verwenden. Hacking ist wichtig für die Studierenden, die in Zukunft IT-Security Expert*innen werden. Hacking ist aus dem Grund wichtig: Sie müssen die Hacking-Technologien und -Methoden können und kennen, um diese Schwachstellen zu vermeiden, um vor diesen Gefahren zu schützen. Lisa Baumgartner Sie haben ja gerade vorhin auch über die Schulter geschaut beim Passwort eingeben am Laptop, mit dem ich jetzt unser Interview aufnehme. Und, was meinen Sie: Verbesserungsbedarf? Wahrscheinlich schon, oder? Silvia Schmidt Ja, vor allem in der Länge. Es gibt verschiedenste Richtlinien, die kursieren, die vielleicht einmal vor ein paar Jahren noch aktuell waren, mittlerweile nicht mehr sind. Es kommt in erster Linie auf die Länge an, mindestens zwölf Zeichen sollte es lang sein. Lange Zeit waren acht Zeichen, das ist nicht mehr sicher. Es sollte möglichst zufällig sein, aber auch merkbar. Also, das widerspricht sich ein bisschen. Man kann sich da helfen, mit dem man zum Beispiel von einem Lieblingszitat die Anfangsbuchstaben der Wörter aneinanderreiht, inklusive Satzzeichen oder eine Strophe aus einem Lieblingslied. So etwas in die Richtung. Dann bekommt man eine sehr zufällige Zeichenfolge, die man sich aber gut merken kann. Empfehlen kann ich Password Manager. Da gibt es Open Source Lösungen, die die kostenlos sind, wie KeePass oder auch kostenpflichtige für einen kleinen Beitrag zum Beispiel 1Password. Der managt alle meine Passwörter, kümmert sich darum. Ich muss mir das nicht merken. Ich muss mir nur ein gutes Passwort merken, mit dem ich den Manager öffne. Lisa Baumgartner Das wäre so eine richtige Laien-Frage zum Thema Passwort Sicherheit. Aber ich glaube, genau darum geht es Ihnen ja auch. Sie forschen in vielen Projekten und diese Ergebnisse fließen dann in die Lehre ein, in den Technik-Bachelor- und Masterstudiengängen. Andererseits sollen ja auch alle Interessierten, also jetzt abseits von der FH, davon profitieren. Silvia Schmidt Genau. Ich sehe das als unsere Verantwortung und da meine ich das Kompetenzzentrum für IT-Security, hier ein Bewusstsein zu schaffen. Wir haben sehr viele Workshops bei Veranstaltungen für die breite Öffentlichkeit wie die EU Researchers Night oder die Lange Forschungsarbeit, wo wir die Erfahrung gemacht haben, dass zum Beispiel, bei Schulworkshops nicht nur die Schülerinnen sehr viele Fragen hatten, sondern auch die Eltern und die Lehrer*innen gebeten haben, dabei zu sein, und viele Fragen hatten. Die Idee für dieses Event habe ich ja schon seit drei Jahren und dank der Wiener Wirtschaftsagentur ist es jetzt realisierbar. Und zum Abschluss zu dieser Frage möchte ich noch sagen: Wir wollen keine Angst machen vor Alexa oder sonstigen smarten Geräten, sondern wirklich Bewusstsein schaffen, wie man damit sicher umgeht. Lisa Baumgartner Das kann ich mir auch anschauen bei der IT-S NOW Konferenz. Die findet am 2. und am 3. Juni an der FH Campus Wien statt. Der erste Tag ist, glaube ich, fürs Fachpublikum, also so ein Zusammentreffen von Hackern, Forschenden und Industrie. Und Sie haben da ein paar ganz große Namen auf der Liste der Vortragenden, oder? Silvia Schmidt Ja, also wir haben zwei weltweit anerkannte IT-Security Gurus, sag ich ganz gerne, Dass der Bruce Schneier in Person kommt, das ist eine kleine Sensation. Jeder, der in der IT tätig ist, vor allem IT-Security, kennt ihn. Also, sein Buch über Angewandte Kryptografie war mein Lieblingsbuch im Studium und er ist sehr schwer, in Person zu bekommen. Lisa Baumgartner Das heißt, der reist aus der USA an? Silvia Schmidt Ja, er ist auf der Harvard University tätig und kommt hie und da zu Konferenzen nach Europa. Und diesmal kommt er für die IT-S NOW. Der zweite ist der Peter Gutmann von der University of Auckland in Neuseeland. Mit ihm haben wir schon eine jahrelange Freundschaft, möchte ich fast sagen. Und er war vor Corona regelmäßiger Vortragender bei unseren Campus Lectures IT-Security. Und er ist den Expert*innen bekannt als Entwickler von PGP zum Beispiel. Freue mich sehr, dass auch er kommen kann. Da war es lang fraglich, weil Neuseeland sehr strenge Corona-Regeln hat. Aber er kommt und hat schon zugesagt, hat schon sein Ticket. Ja, an dem Tag steht im Fokus, dass wir uns austauschen mit anderen Kolleg*innen von Firmen, Unternehmen, aber auch natürlich andere Bildungseinrichtungen wie die TU Wien, Uni Wien, Technikum haben sich auch einige angesagt etc. Also wir sind wirklich sehr breit aufgestellt, es dreht sich alles um das IoT und Security und neben den Fachvorträgen gibt es auch einige sehr interessante Workshops. Zum Beispiel hat ein Studierender jetzt ein Pentesting-Tool für Bluetooth-Hacking entwickelt. Dann haben wir auch so einen Capture-The-Flag-Wettbewerb für Bluetooth und ganz interessant auch eine sogenannte Cold Boot Attacke. Den Insidern wird das sagen, die live zu sehen ist sicher ein Highlight der Konferenz. Lisa Baumgartner Was mich interessiert: Smarte Geräte jetzt von der Industrieanlage, die gesteuert wird, bis hin zu meinem privaten Heizsystem. Was ist denn eigentlich das Problem an diesen Systemen? Silvia Schmidt Es gibt mehrere Probleme. Einerseits sind diese Geräte Systeme für eine lange Lebensdauer angelegt und es ist oft schwer, die am neuesten Stand zu halten. Und dieses Updaten, das Aktualisieren ist einer der Grundpfeiler der IT-Security in dem Bereich. Das nächste Problem ist, dass wir im IoT sehr oft mit kleinen Sensoren, kleinen Mikro-Controllern - also, wenn man sich jetzt vorstellt, zum Beispiel der smarte Kühlschrank, dann ist da eine kleine Einheit drinnen, die eben wie ein kleiner Rechner, die eben sorgt für die Verbindung, für die Netzwerkanbindung etc.. Und diese Devices haben einfach nicht die Ressourcen, sei es jetzt vom Speicher her, von der Performance her, wie ein normaler Rechner oder ein Handy. Und Security benötigt halt Ressourcen. Und das ist das Problem. Das große Problem der Security im IoT, im Internet of Things, ist die Anbindung ans Internet. Als der Tim Berners-Lee Ende der 80er, Anfang der 90er Jahre das Internet entwickelt hat, sozusagen, also dieses http und html, usw., so wie wir das Internet heute nutzen, war das per se unsicher. Https, das mit dem kleinen Schloss im Browser, das kam ja erst später. Ja, und das Aktualisieren, was ich angesprochen habe, das ist eines meiner Themen in der Forschung. Das ist das Secure Firmware Update Over The Air, das heißt, dass wir diese Update Prozesse, die müssen über die Luft-Schnittstelle stattfinden und die sicher zu gestalten, das ist einer der kritischen Prozesse im Internet of Things. Lisa Baumgartner Sie haben vorhin die Workshops angesprochen. Es gibt natürlich Live-Hacks, aber gehackt wird er an der FH Campus Wien auch im Rahmen der Forschung. Stichwort Elvis. Elvis hat jetzt natürlich nichts mit Rock'n'Roll und Singen zu tun. Was ist denn Elvis? Silvia Schmidt Im Großen und Ganzen ist Elvis das Embedded Lab Vienna for IoT & Security. Das haben wir in den letzten vier Jahren errichtet. Das ist ein Lab, wo sich Studierende und Lehrende jede Menge Geräte ausborgen können, die einerseits zur Entwicklung im IoT verwendet werden, die die Sicherheit im Smarthome testen können, IoT Pentesting generell, wo man wirklich sich mit den ganzen Technologien, die mit dem IoT zu tun haben, praktisch auseinandersetzen kann und auch diese Geräte auf Sicherheit überprüfen kann. Es gibt ja von Konfuzius dieses Sprichwort: "Was du mir sagst, das vergesse ich. Was du mir zeigst, daran erinnere ich mich. Das, was du mich tun lässt, das verstehe ich." Wir haben 2017 mit dem Projekt begonnen, es ist ein dermaßiger Erfolg! Die Studierenden kommen auch, um sich die Theorie in ihrer Freizeit praktisch anzusehen. Also nicht nur, was sie für den Unterricht brauchen, sondern ja, also, das wird sehr, sehr gut genutzt. Lisa Baumgartner Apropos Studierende, die dann ja zu richtigen Expert*innen werden Wie schaut, wie schaut es denn dann aus am Arbeitsmarkt? Wie gefragt sind die denn dann? Silvia Schmidt Ich kann nur vom Moment sprechen und das ist eigentlich schon die letzten Jahre so, dass die Studierenden bei uns im IT-Security Master eigentlich von der Stelle weg engagiert werden, also noch während dem Studium. Der Beruf Pentester, Pentesterin oder Embedded und IoT Security-Spezialist*innen sind schon nahezu verzweifelt gesucht. Also da besteht ein markanter Fachkräftemangel. Und das Awareness Building für nicht IT-affine Mitarbeiter*innen in Unternehmen wird auch immer wichtiger. Generell auch daran forschen wir nicht nur an technischen Dingen, wir sind großteils technisch, aber auch daran forschen wir. Also Zukunftsaussichten sind sehr gut. Lisa Baumgartner Kommen wir zurück zum 3. Juni, dem Publikums-Tag der IT-S NOW Konferenz. Wenn ich dran teilnehme, lerne ich auch hacken. Silvia Schmidt Naja, zum Beispiel Bluetooth-Hacking. Also, das ist nicht wirklich Hacking - es sind schon die Technologien und Tools, die man verwendet, die Pentester*innen verwenden. Aber zum richtigen Hacking gehört schon ein bisschen mehr. Bei dem Bluetooth-Capture The Flag-Workshop zum Beispiel ist es so, dass man einfach durch diese Hacking-Challenges diese Technologien am besten kennenlernt. Dieses Feedback bekommen wir von Studierenden auch in unserem Campus Cyber Security Team, wo wir gemeinsam Hacking Challenges auf internationaler Basis lösen, bei so Wettbewerben mitmachen, dass die Thematiken aus dem Studium dann besonders gut verständlich sind. Lisa Baumgartner Ich habe mir das Programm ein bisschen genauer angeschaut. Ein Workshop hat den Titel "Radio Hacking für Einbrecher". Ich denke, es geht wahrscheinlich um Alarmanlagen. Aber was hat das mit einem Radio zu tun? Silvia Schmidt Mit Radio, nur im entferntesten Sinne. Es geht um Alarmanlagen. Zwei Studierende haben im Rahmen eines Studierendenprojekts eine smarte Alarmanlage sozusagen gehackt und führen das auf der Konferenz vor. Radio ist das englische Wort für Funk und es ist eigentlich Funk-Pentesting. Es wird da ein Gerät eingesetzt, das Software Defined Radio heißt und deswegen Radio Hacking. Lisa Baumgartner Es gibt ja viele Mythen rund um die Sicherheit von smarten Geräten. Vielleicht können wir manche in einem kurzen Satz aufklären. Off-Stimme: Schnell gefragt - Der Wordrap. Lisa Baumgartner Hört Alexa immer mit? Silvia Schmidt Ja, aber sie sendet die Nachricht nur, wenn sie das Keyword Alexa hört. Lisa Baumgartner Ist mein Handy mit einem digitalen Fingerprint sicherer geschützt? Silvia Schmidt Ja, aber wenn das kompromittiert wird, dann ist es verloren. Ein Passwort kann ich ändern, meinen Fingerabdruck nicht Lisa Baumgartner Was weiß denn eigentlich, wenn Smart TV über mich? Silvia Schmidt Das weiß die sogenannten Metadaten, das heißt, wann ich fernsehe, was ich mir anschaue, welche Kanäle ich bevorzugt schaue, wie lang ich schaue und solche Dinge. Lisa Baumgartner Was heißt, wenn ein*e IT-Expert*in davon spricht, dass das Passwort stinkt? Silvia Schmidt Das heißt, man sollte sich regelmäßig um die Passwörter kümmern. Es gibt Webseiten so wie haveibeenpwned.org, wo man nachschauen kann, ob denn meine E-Mail-Adresse zum Beispiel schon einmal bei einem Hack dabei war, geleakt wurde. Und dann sollte man alle Passwörter, die mit der E-Mail-Adresse in Verbindung sind, ändern etc. aktuelle Richtlinien anschauen. Da empfehle ich wieder Passwort Manager, der erledigt all das für mich. Lisa Baumgartner Ist Bluetooth wirklich gefährlich? Silvia Schmidt Das kommt drauf an, es gibt verschiedene Sicherheitsstufen. Sie kennen das vielleicht, dass man bei manchen Dingen, die sich automatisch verbinden mit Bluetooth, wo man keinen Code oder irgendwas eingeben muss, das ist die niedrigste Sicherheitsstufe. Es ist halt so, es gibt diesen Spruch von einem Bluetooth Experten namens Mark Ryan: "With Low Energy comes Low Security." Ja, aber wenn die Sicherheitsstufe eingestellt ist, sind sie nicht gefährlich. Lisa Baumgartner Wie kann ich den Phishing-Mails leicht identifizieren? Silvia Schmidt Das ist gar nicht so leicht, weil die sind heute schon sehr gut gemacht, schauen sehr offiziell aus. Man sollte sich ganz genau den Absender anschauen. Also genau diese Adresse. Nicht nur das, was da steht jetzt, der Name, sondern wirklich die E-Mail-Adresse selbst. Generell empfehle ich die Bank, Email-Account etc. sich in den Favoriten im Browser abzuspeichern und nur über diese auf die jeweilige Seite zu gehen. Nicht über irgendein E-Mail, dass man bekommt. Lisa Baumgartner Diese Fragen und viele andere beantworten Sie auch bei der ITS NOW Konferenz. Wenn ich jetzt als Laie ganz einfach dran teilnehmen will, was braucht es denn dazu? Silvia Schmidt Eigentlich gar nichts. Bezüglich Covid-Maßnahmen wissen wir noch nicht. Da gibt es dann rechtzeitig Meldung auf der Webseite. Am Publikumstag gibt es keine Anmeldungen, da ist einfach First Come-First Serve-Prinzip. Am ersten Tag ist eine Anmeldung bitte verpflichtend und die Workshops extra, damit wir da auch jedem seinen Platz ermöglichen können. Und, generell gibt es dann mehrere Q&A Sessions, wo wir versuchen, die Fragen aus dem Publikum zu beantworten, wo wir vorher Zettel-Boxen aufstellen, wo man es draufschreiben kann oder live direkt Fragen stellen kann. Lisa Baumgartner Und worauf freuen Sie sich selbst bei der IT-S NOW Konferenz? Silvia Schmidt Am meisten freue ich mich darauf, am ersten Tag Kolleg*innen nach langer Zeit wiederzusehen und uns persönlich austauschen zu können. Und am zweiten Tag wirklich Bewusstsein zu schaffen und viele, viele aus der breiten Öffentlichkeit zu begrüßen, denen wir dann auch das eine oder andere zeigen können, wie zum Beispiel, wie sie selbst sicher die Sicherheit in ihren Smarthome testen können.