206. Newsletter - sicherheitskultur.at - 31.03.2024

von Philipp Schaumann

Zum Archiv-Überblick

 

Hier die aktuellen Meldungen:

 

1. Abenteuer-Reisen mit Boeing Flugzeugen

Die Pannenserie bei Boeing will nicht abreißen: Im März verliert eine 25 Jahre alte Boeing 737-800 ein riesiges Rumpfteil, die Boeing 737 Max wird seit vielen Jahren von Problemen geplagt. Im verlinkten Artikel gehe ich ausführlich auf die vielen Fehler in der Sicherheitskultur bei der Entwicklung der 737 Max ein. Kurze Zusammenfassung: Die Finanzmanger haben nach dem Merger Boeing mit McDonnell Douglas die Managementkultur von McDonnell Douglas konsequent gegen die Kultur der Techniker von Boeing durchsetzen können. Auch die Wartung scheint mittlerweile grottenschlecht zu sein: im Januar war eine Tür im Flug rausgefallen, es haben Bolzen gefehlt.

Bei Sicherheitsprüfungen der US-Luftfahrtbehörde FAA hat Boeing nur 33 von 89 Tests bestanden. Hier ein Artikel zum Hintergrund des Technikprobleme bei Boeing: The Real Problem With the Boeing 737 Max.

Im März ging nun ein 787 Dreamliner wegen einem Schalter zum Verstellen der Pilotensitze in einen Sturzflug über, 50 Menschen wurden verletzt, 13 von ihnen mussten ins Krankenhaus gebracht werden (bei einem Sturzflug herrscht weitgehend Schwerelosigkeit - viele von denen, die nicht angeschnallt sind, bewegen sich in Richtung Decke und stürzen später schmerzhaft ab, z.B. auf die Mittellehnen - autsch).

Wer eine gute Zusammenfassung sucht - hier eine 45 Min. WDR Doku: Flugzeugabsturz - Boeings tödliches System. Oder, wenn man amerikanischen Sarkasmus mag: Boeing: Last Week Tonight with John Oliver - in den 30 Min. werden eigentlich alle Boeing-Problem, die technischen und vor allem die Management-Probleme, die die technischen verursacht haben, sehr gut aufgezählt. Viel Sarkasmus hat er auch übrig für die traurige Rolle der US-Aufsichtsbehörde FAA.

Ganz aktuell Ende März: Boeing-Chef und weitere Manager treten nach Pannenserie zurück. Das ist neu - typischerweise gab es auch nach sehr schlechten Meldungen für das Unternehmen großzügige Bonuszahlungen für das Management - als Belohnung dafür, dass sie es z.B. durch Aktienrückkäufe geschafft haben, trotz Desaster-Meldungen den Aktienkurs steigen zu lassen.

Hier mein umfassender Überblick über die Boeing-Probleme.

 

2. Leicht gruselig oder gewöhnungsbedürftig: Einstellungsgespräch mit einem AI-System

Ein Bericht im englischen Guardian: Job applicants shut out by AI: 'The interviewer sounded like Siri'. Die Zeitung berichtet von Erst-Interviews per Telefon, die recht eigenartig ablaufen und dann oft zur automatischen Ablehnung führen. No humans involved. :-(

Nach dem Bericht ist das kein Einzelfall: Ein Umfrage ergab, dass 4 von 10 Firmen entweder AI-Systeme bereits für den Einstellungsprozess bereits einsetzen oder für 2024 planen. 15% davon haben nicht mehr vor, Ablehnungen von Menschen prüfen zu lassen. Das können sich aber nur Branchen leisten, die ein Überangebot von Bewerbern haben.

In der EU wird sich so ein Telefon-Bot in Zukunft als AI-System vorstellen müssen und ziemlich sicher muss es eine Einspruchsmöglicheit bei 'echten Menschen' statt AI-System geben.

Auch das Thema AI-girlfriends (und viel seltener boyfriends) wird uns noch lange erhalten bleiben. Es gibt Ergänzungen im im früheren Newsletter.

Hier mehr AI-Gruseleien in früheren Newslettern. Und das Thema wird natürlich fortgesetzt.

 

3. Was geht weiter bei EU-Regulierungen

Anonyme Kryptozahlungen verboten

Ein schwieriges Thema: Die EU verbietet anonyme Kryptozahlungen im Rahmen des überarbeiteten Geldwäsche-Gesetzes. Das neue Geldwäsche-Gesetz ist eine Ergänzung zu MiCA (Markets in Crypto-Assets), das Ende 2024 in Kraft tritt. Bereits vorher tritt als AML-Regelung (Geldwäsche, anti-money laundering) ein Verbot anonymer Kryptozahlungen in Kraft. Verboten sind nach dem Geldwäsche-Gesetz anonyme Zahlungen von mehr als 3000 € und jegliche Bargeldzahlung über 10 000 €. Das wird nun auf anonyme Kryptozahlungen erweitert.

Es geht um sog. 'hosted wallets', die bei einem entsprechenden Unternehmen ohne Identitätsüberprüfung (KYC-Check, Know-your-Customer) angelegt wurden. Nicht betroffen sind P2P Kryptozahlungen (Person to Person) zwischen Hardware-Wallets oder Self-hosted Software-Wallets.

Patrick Breyer von der Piraten-Partei kritisiert die Regelung aus grundsätzlichen Erwägungen. Er hält die Anonymität der Kryptozahlungen für essentiell und nimmt dafür notfalls auch Geldwäsche in Kauf. Das ist eine ähnliche Problematik wie das Verschlüsselungsnetzwerk TOR, das für Dissidenten wichtig ist, aber auch für den illegalen Drogenhandel.

Hier mein voriger Beitrag zur Bargeldobergrenze.

 

AI Act

Der AI-Act ist verabschiedet, aber der Text ist noch nicht finalisiert und das kann wohl auch noch dauern. Wenn der Gesetzestext steht, wird es noch viele Diskussionen um die Details geben, z.B. die Standards und Kriterien, nach denen das Risikopotential der jeweiligen Anwendungen beurteilt werden kann und die konkreten Durchführungsbestimmungen.

Da wird noch viel Lobbying der betroffenen Firmen stattfinden, fast alle versuchen irgendwie, noch möglichst viele Schlupflöcher einzubauen. Das sind natürlich die großen amerikanischen IT-Konzerne, aber auch z.B. auch der deutsche Digitalverband Bitkom.

Dann müssen die jeweiligen nationalen Regulierungsbehörden (+ die zentrale Behörde) etabliert werden (die Stellenausschreibungen sind bereits online). Und dann beginnt die Wartezeit bis das Gesetz wirklich in Kraft ist, und dann haben die Firmen noch mal bis zu 3 Jahre Zeit, um die geforderten Änderungen umzusetzen.

Die Signifikanz des AI-Acts liegt darin, dass es die erste solche Regelung weltweit ist, die nicht nur Empfehlungen ausspricht, sondern bindend ist und mit recht hohen Strafen bei Nicht-Einhaltung geahndet werden kann. Wie beim Datenschutzgesetz, dem DSA und DMA geht man davon aus, dass die Regelungen auch über die EU hinaus ausstrahlen - entweder weil Firmen es sich einfach machen und keine separate Version ihrer Systeme für die EU pflegen oder weil, wie beim Datenschutzgesetz, die Texte von vielen anderen Ländern übernommen werden und es damit für die Länder immer attraktiver wird, nur 1 Version zu pflegen.

Aktualsierung Mai 2024:
Nun ist der AI Act wirklich entgültig verabschiedet worden und es gibt Hilfestellungen bei der Implementierung. Die ist z.B. der AI Act Explorer, der beim Navigieren durch das Gesetz helfen soll. Da gibt es die Möglichkeit von Zusammenfassungen, einen Compliance Checker, der helfen soll zu klären, welche Teile für eine spezifische AI-Software relevant sind, und vieles anderes.

Außerdem gibt es einen AI Pact. Das ist eine EU-Initiative, bei der Firmen die vom AI Act betroffen sind an Arbeitsgruppen teilnehmen können. Ziel ist, bei der späteren Gültigkeit des Gesetzes nicht unvorbereitet vor einem riesigen Berg von Arbeit zu stehen (so wie es vielen Firmen bzgl. der DSGVO gegangen ist - viele Firmen haben die Vorbereitungszeit ignoriert und in den letzten Monaten ist dann Hektik ausgebrochen).

Hier mein voriger Artikel zum AI Act.

 

EU-Gesetz zu Plattformarbeit

Über dieses Gesetz berichte ich hier zum ersten Mal. Es geht um sog. "digitale Arbeitsplattformen", d.h. wenn Dienstleistungen auf Verlangen eines Auftraggebers durch Einzelpersonen zumindest teilweise mittels Telekommunikation erbracht werden. Zusätzlich müssen dabei "automatisierte Überwachungs- oder Entscheidungssysteme" eingesetzt werden, um die Definition zu erfüllen. Zielrichtung dieses Gesetzes sind zum Beispiel Lieferdienste. Arbeitsrecht: EU-Staaten einigen sich auf erste Algorithmus-Regulierung.Die deutsche Regierung hat sich enthalten müssen, die FDP blockiert eine Zustimmung: Auf letzten Metern abgespeckt: EU beschließt doch noch Gesetz zu Plattformarbeit.

Durch das Gesetz sollen Scheinselbständigkeit und Datenbeschaffung bekämpft werden - aber es ist keine wirkliche EU-weite Vereinheitlichung zustande gekommen. Speziell bei Steuerfragen, Strafsachen oder Sozialversicherungsfragen werden weiter nationale Gesetze gelten.

Vereinheitlicht wurde, dass bei der Frage, ob eine Selbständigkeit vorliegt, die zwischen Plattform und Jobber geschlossene Vereinbarung nun unerheblich ist. Es zählen nur Faktoren wie Rechtsnormen, die Rechtsprechung des EuGH, Kollektivverträge, Tarifverträge, und "Gepflogenheiten der jeweiligen Mitgliedsstaaten".

Verboten werden auch automatisierte Entscheidungen über Beschränkungen des Vertragsverhältnisses oder des Kontos von Plattform-Jobbern. Solche nachteiligen Entscheidungen können nur durch Menschen entschieden werden.

 

Cyber Resilience Act

Ich hatte im Dezember über den geplanten Cyber Resilience Act der EU berichtet. Der wurde im März 2024 vom EU-Parlament angenommen und im Okt. 2024 vom Rat der Europäischen Union beschlossen. Ich finde das sehr gut.

Hersteller müssen dafür sorgen, dass "alle Produkte mit digitalen Elementen" sowie einer "logischen oder physischen Datenverbindung" im Einklang mit den in der Verordnung formulierten "grundlegenden Cybersicherheitsanforderungen konzipiert und entwickelt werden". Das betrifft eine breite Palette von Haushaltsgeräten, Computer-Hardware, Unterhaltungselektronik, Software und Cloud-Lösungen.

Spätestens ab November 2027 müssen also alle auf dem Markt vertriebenen Produkte die neuen Cybersicherheitsanforderungen erfüllen und dies mit einem CE-Kennzeichen dokumentieren. Sie müssen gegen IT-Angriffe gesichert sein. Außerdem müssen Hersteller bereits in 21 Monaten IT-Schwachstellen und -vorfälle einer zentralen Meldestelle berichten und regelmäßig Sicherheitsupdates anbieten.

Aktualisierung Okt. 2024:
Das Gesetz ist nun entgültig beschlossen, der Ecovacs-Saugroboter zeigt auf, warum das Gesetz so wichtig ist.

Ebenfalls im Frühjahr 2024 hat in den USA die FCC ganz vorsichtig 'nachgezogen' und mit sehr ähnlichen Zielen eine freiwillige Zertifizierung der Cybersecurity für Online-Produkte eingeführt, die zur Verleihung einer US Cyber Trust Mark für das jeweilige Produkt führt. Das ist zwar kein Vergleich zur kommenden Pflicht in der EU - ich finde das aber trotzdem gut. So bringt die Einhaltung der EU-Vorschriften automatisch im großen US-Markt die Möglichkeit, den Aufwand auch dort zu verwerten.

 

EU Lieferkettengesetz

Die EU-Staaten einigten sich endlich auf das heftig umkämpfte Lieferkettengesetz - in einer sehr verwässerten Version. Zuletzt haben sich 10 Staaten enthalten damit es angenommen werden konnte (z.B. Deutschland und Österreich). Jetzt muss das Gesetz aber noch durch das EU-Parlament. Es geht z.B. darum, dass die Produkte, die wir kaufen, ohne Kinderarbeit hergestellt werden müssen. Die Firmen in Deutschland und Österreich fürchten sich vor dem Aufwand, wenn sie als Firma solchen Vorwürfen nachgehen müssen.

Hier mein voriger Beitrag zum Lieferkettengesetz.

Aktualisierung April 2024:
Ein stark verwässerte Version des Gesetzes wurde nun verabschiedet.

 

EU Digital Markets Act - DMA

Es geht beim DMA darum, die Macht der großen (US-)Konzerne einzubremsen. Das 'Einbremsen' ist im Detail dann aber gar nicht so einfach. App-Stores und Bezahlmodelle: EU leitet Verfahren gegen Apple, Google, Amazon und Meta ein. Hier übrigens die 6 sog. 'Gatekeeper'.

Apple wird gezwungen, alternative App-Stores zu erlauben. Aber das geht Apple nun so kompliziert an, dass nichts dabei herauskommen wird - die EU wird einschreiten müssen: Apples gefeierte "Öffnung" des App Store grenzt an Verhöhnung.

Google hat nun seine Such-Algorithmen angepasst, so dass Google-eigene Angebote nicht vor allen anderen gereiht werden. Das Ergebnis sorgt aber bei einigen Firmen, die ihre Kunden über Google-Suche bekommen, für Ärger: Von EU erzwungene Änderungen bei Google-Suche sorgen für Ärger bei Usern und Firmen. Es ergeben sich z.B. Verschiebungen von Hotels oder Fluggesellschaften hin zu Buchungsplattformen wie Booking oder Expedia. D.h. der Versuch der (relativen) Entmachtung der ganz großen Gatekeeper stärkt (erst mal) andere Zwischenhändler. Ich denke, da kann noch optimiert werden.

Hier mein voriger Beitrag zum DMA und hier mein nächster.

 

EU Digital Services Act - DSA

Eine Ergänzung zu meinem vorigen Bericht zum DSA. Die EU-Kommission wird aktiv und hat Fragen an LinkedIn, wie ihre Implementierung mit dem Verbot personenbezogener Werbung unter Verwendung besonders sensibler personenbezogener Daten zu vereinbaren ist.

Tiktok muss erklären, wie sie sich an die Regeln zu Jugendschutz, Datenschutz und persönlicher Werbung halten. Auch gegen X läuft ein solches Verfahren. Hier möchte die EU wissen, ob genug gegen die Verbreitung illegaler Inhalte getan wurde. AliExpress muss erläutern, wie sie ihren Pflichten zu Risikobewertungen und zum Verbraucherschutz auf DSA-Basis nachkommen. Dabei geht es vor allem um die Verbreitung illegaler Produkte, wie z.B. gefälschter Arzneimittel.

Es geht was weiter! :-) Nächstes Beispiel hier.

 

4. Ransomware-Updates

Ich habe auf der Sicherheitskultur einen immer stärker wachsendenden Artikel zur Ransomware-Problematik, einer erheblichen Bedrohung für alle Firmen und öffentliche Einrichtungen.

Ermöglicht wurde diese Monetarisierung von Verwundbarkeiten der IT-Infrastruktur (und den Köpfen der Mitarbeitern) vor allem durch die Kryptowährungen, die eine einfache (fast) anonyme Zahlung ermöglichen. (Hier mehr Details zum fast anonymisiert.)

Meine früheren Beiträge hatten auch bereits von der ausgefeilten Arbeitsteilung im Bereich der Internet-Kriminalität berichtet. Der Artikel Ransomware as a Service and the Strange Economics of the Dark Web berichtet über die sich mittlerweile daraus und aus den immer mal wieder recht erfolgreichen Störungsaktivitäten der Polizeibehörden ergebenden Dynamik. (Mehr Details, z.B. zu den Übernahmen der Infrastruktur im verlinkten Artikel.)

Die primäre Arbeitsteilung besteht darin, dass sehr professionelle Ransomware Groups wie LockBit oder BlackCat, meist in Russland und damit für die Polizei unerreichbar, eine Ransomware-Software und Infrastruktur entwickeln und für sog. Associates zur Verfügung stellen - Ransomware-as-a-Service (RaaS).

Die Associates führen die Angriffe typischerweise selbständig durch. Oft kaufen sie dafür die Zugänge zu Unternehmen von sog. Initial Access Brokern (IAB). Die IABs sind die Personen, die z.B. mittels Phishing Attacken den initialen Zugriff in ein Unternehmens- oder Behördennetz finden. Die Associates dringen dann in das Unternehmen ein, versuchen die Daten nach außen zu übertragen (zwecks Erpressung mit Veröffentlichung) und Verschlüsseln dann die Daten. Dann übergeben sie wieder an die Ransomware Group von der sie die Software haben. Die Profis verhandeln dann über die Zahlung, die Affiliates bekommen einen Anteil.

Es besteht aber ein erheblicher Wettbewerb zwischen den Ransomware Gruppen um die besten Affiliates. Erfolgreiche Affiliates können einen höheren Anteil verlangen. LockBit und BlackCat haben sich in der letzten Zeit beide ihre Infrastruktur von der Polizei abnehmen lassen. Das ist nicht gut für die Reputation und Reputation ist unter Kriminellen eine ganz wichtige 'Währung'. Die Details und die daraus entstehende Dynamik finden sich im verlinkten Artikel.

Schützen können sich Unternehmen und Behörden durch Konzepte, wie z.B. Zero Trust. Das ist eine Ergänzung zum herkömmlichen Sicherheitskonzept der Sicherheitszonen im internen Netz. Ohne Zero Trust kann jeder, der Zugang zu einer Zone hat, alle Systeme in dieser Zone erreichen - das gleiche gilt für alle Systeme in dieser Zone - jeder Server erreicht jeden anderen.

Bei Zero Trust werden diese Zonen ergänzt durch die Idee, dass niemandem vertraut werden darf, solange die Person oder dieses Gerät sich nicht spezifisch authentisiert hat, bei Menschen optimalerweise durch 2-Faktoren. Der vorige Link erklärt mehr Details.

 

5. Aktualisierungen früherer Beiträge