Wie die Security-Branche Vertrauen schaffen will
Die diesjährige Ausgabe der Konferenz Swiss Cyber Storm hat über 400 Besucher nach Bern gelockt. Leitthema war die Frage des Vertrauens in der digitalen Welt. Sicherheitsexperten und Entscheider tauschten sich freimütig aus, während Nachwuchstalente um die Wette hackten.
Security-Tagungen drehen sich vielfach um Bedrohungen und Produkte. Die Swiss Cyber Storm hingegen will einen Rahmen schaffen, um Cyber-Talente zu fördern und über Trends, Forschungs- und Grundsatzfragen zu diskutieren. So tauschen sich Sicherheitsexperten und Entscheider offen aus, während Nachwuchs-Entwickler um die Wette hacken.
"Die meisten Sicherheitsprobleme drehen sich im Kern um Vertrauen", sagte Programmleiter Christian Folini, als er die über 400 Gäste gestern im Berner Kursaal begrüsste. Deswegen drehte sich die diesjährige Ausgabe der Fachtagung um die Frage, was es braucht, um Vertrauen in der digitalen Welt zu schaffen.
Weniger Alchemie, mehr Wissenschaft
Vertrauen bedingt verantwortungsvolle Kritik, wie Cory Doctorow in der Eröffnungskeynote sagte. Der kanadische Journalist, Netzaktivist und Science-Fiction-Autor erklärte, wie das geltende Urheberrecht Monopole begünstigt und Innovationen hemmt.
Cory Doctorow, Journalist, Netzaktivist und Science-Fiction-Autor. (Source: Netzmedien)
Als Beispiel nannte Doctorow etwa HP Inc. Der Hersteller habe im März 2016 ein "Fake-Security-Update" auf seine Drucker eingespielt, das nur ein Ziel verfolgt habe: verhindern, dass die Drucker auch mit Tinte von Drittanbietern funktionieren. Nach demselben Prinzip verfahre auch Apple mit seinen Produkten: keine Software, die nicht aus dem eigenen Hause stammt. Solche Unternehmen würden das Urheberrecht zweckentfremden, es als eine "Lizenz zum Geld drucken" einsetzen. "Das ist genau das Gegenteil dessen, was Datenschutz und Urheberrecht eigentlich bewirken sollten", sagte er.
Doctorow machte sich stark für freie Software. Die Hersteller sollten aufhören, ihre Produkte abzuschirmen und Entwickler zu büssen, die Reverse Engineering betreiben. "Weniger Alchemie, mehr Wissenschaft – das heisst, die Anbieter sollten sich öffnen für Kritik und Verbesserungen", sagte er. Schliesslich funktioniere der Wettbewerb in der Sicherheitsbranche nur dann, wenn die Systeme interoperabel seien.
E-Voting auf dem Prüfstand
Vertrauen bedingt Offenheit. Dies erklärte Oliver Spycher, stellvertretender Projektleiter Vote éléctronique der Schweizerischen Bundeskanzlei, als er den Stand der Dinge in puncto E-Voting darlegte.
Oliver Spycher, stellvertretender Projektleiter Vote éléctronique der Schweizerischen Bundeskanzlei. (Source: Netzmedien)
Die Schweizerische Post werde den Quellcode des von ihr betriebenen E-Voting-Systems im ersten Quartal 2019 offenlegen, sagte Spycher. Dann solle das System einem öffentlichen Sicherheitstest unterzogen werden.
Offener Quellcode sei jedoch keine hinreichende Bedingung für ein vertrauenswürdiges E-Voting. "Vertrauen braucht Sicherheit und Transparenz – beides ermöglichen wir durch die Verifizierbarkeit der Stimmabgaben", sagte Spycher. Die vollständige Verifizierbarkeit solle den gesamten Prozess mittels kryptographischen Methoden kontrollieren. Zu diesem Zweck kämen vier verschiedene Instanzen, sogenannte Trustees, zum Einsatz. Diese würden auf verschiedenen Betriebssystemen arbeiten und so unabhängig voneinander prüfen, ob die Stimmresultate manipulationsfrei zustande kamen. "Diese Methode ermöglicht es, die Stimmen zu überprüfen, ohne das Wahlgeheimnis zu verletzen", sagte er. Doch auch die kryptographischen Protokolle seien letztendlich auf Vertrauen seitens der Bevölkerung angewiesen. Deswegen brauche es einen laufenden, offenen Austausch zwischen Experten, Wissenschaftlern und Kritikern.
Dem Hype nicht auf den Leim gehen
Zwei Referentinnen nahmen Technologien unter die Lupe, die zu den grossen Hype-Themen der IT-Branche zählen. Lilly Ryan, Senior Pentester bei Assurance, bezeichnet sich als "ethische Hackerin", wie sie sagte. Sie befasst sich mit Gesichtserkennung und plädiert dafür, "wachsam zu bleiben, auch wenn die EU-DSGVO einen gewissen Schutz vor dem Missbrauch solcher Techniken verspricht".
Lilly Ryan, Senior Pentester bei Assurance. (Source: Netzmedien)
Die meisten kommerziellen Anwendungen würden Gesichtserkennung zu Marketingzwecken verwenden und dabei drastisch in die Privatsphäre der Nutzer eingreifen. Die gute Nachricht: Es gebe bereits viele Möglichkeiten, um solche Systeme auszutricksen. Mit bestimmten Kleidungsstücken oder Stickern könnten Nutzer zumindest manche Gesichtserkennungstechnologien täuschen. "Es gibt zwar sinnvolle Anwendungen solcher Techniken, doch wir sollten stets die Statistiken über ihre Genauigkeit hinterfragen", sagte Ryan.
Blinde Flecken in der Forschung
Dass die Forschung im Bereich des maschinellen Lernens blinde Flecken hat, erklärte auch Katharine Jarmul, Gründerin von Kjamistan, einem datenwissenschaftlichen Beratungsunternehmen mit Sitz in Berlin.
Katharine Jarmul, Gründerin von Kjamistan. (Source: Netzmedien)
Jarmul zeigte anhand von aktuellen Beispielen aus der Forschung auf, dass in Machine-Learning-Modellen erhebliche Sicherheitsprobleme bestehen. So liesse sich die Bilderkennung von solchen Modellen mit manipulierten Gegenständen oder Bildern in die Irre führen. Forscher sprechen in diesem Zusammenhang von "Adversarial Effects". In einem Beispiel werde eine Plastikschildkröte von einem neuronalen Netzwerk als Gewehr erkannt. "Wenn es ums autonome Fahren geht, kann solch eine Fehleinschätzung fatal sein", sagte Jarmul.
Eine Möglichkeit, um neuronale Netzwerke gegen solche Inkonsistenzen zu wappnen, sei die Bereinigung der Daten - bevor sie ins Netz gespeist würden. Die Nutzerdaten liessen sich zudem mit bestimmten kryptographischen Methoden schützen, sagte Jarmul. Sie selbst tut dies mittels homomorpher Pseudonymisierung, wie sie sagte. Auf die Publikumsfrage, wie dies genau funktioniere, verwies die Rednerin auf einen Artikel, in dem sie das Verfahren beschreibt. Die API eines solchen Pseudonymisierungs-Verfahrens, das sie selbst mitaufgebaut habe, ist derzeit als Beta-Version online.
Dies sind die Gewinner des Hacking Challenge
Am Ende der Konferenz kürten die Veranstalter die Gewinner des Hacking-Wettbewerbs. Beide Sieger studieren derzeit an der ETH-Zürich, wie die Organisatoren mitteilen. Dies sind die Top-Drei der beiden Teams:
Seniors:
1. Moritz Schneider - bazumo. Punktzahl: 70
2. Mathias Scherer - mathew. Punktzahl: 50
3. Anthony Schneiter - MuffinX. Punktzahl: 40
Juniors:
1. Raphael Husistein - pyth0n33. Punktzahl: 65
2. Jannis Kirschner - Kiwi.wolf. Punktzahl: 32
3. Timo Kübler - thsv. Punktzahl: 30