Herr Friedli, in Filmen konsumieren Hacker tonnenweise Koffein und Fast Food. Mit
welchem anderen Vorurteil können Sie bei dieser Gelegenheit aufräumen?
Stefan Friedli: Der Ehrlichkeit halber müssen wir die Sache mit dem Koffein wohl
bestätigen. Spass beiseite: Die meisten Klischees haben einen Funken
Wahrheit in sich. Aber man muss schon sehen, dass die Industrie mittlerweile so gross ist, dass der stereotypische Nerd immer weniger repräsentativ ist. Viele unserer Teilnehmer sind
zwar mit viel Enthusiasmus im Themenfeld der Sicherheit aktiv, aber
die meisten von ihnen leben ein ziemlich normales Leben.
Warum heisst die Konferenz Area41? Hat das etwas mit UFOs zu tun?
Der Name hat tatsächlich eine gewisse Ähnlichkeit mit der Area 51 in
Nevada, die stört uns auch nicht im Hinblick auf die
vielen Verschwörungstheorien, die sich darum ranken. Der Ursprung des
Namens ist aber ein anderer: Der Verein, der Area41 ausrichtet, ist
eine sogenannte DEFCON Group, die Gleichgesinnte sammelt und ihnen den
Erfahrungsaustausch ermöglicht. In den USA tragen diese Gruppen den
Prefix DC und anschliessend die Vorwahl des Gebietes, das sie
abdecken. Internationale Gruppen, wie wir eine sind, nutzen bevorzugt den
Ländercode und die Vorwahl der Landeshauptstadt, also DC4131. Der Name
Area41 leitet sich davon ab, dass wir eine Sicherheitskonferenz in der
Schweiz für die Schweiz machen.
Täuscht der Eindruck, oder sind Sicherheitsexperten wie Ärzte, was
die häufige Teilnahme an Fachkongressen betrifft?
(lacht) Ich weiss nicht, ob es dazu statistische Erhebungen gibt und ob die
Ärzte damit einverstanden wären. Aber es ist schon so, dass es mittlerweile enorm viele Konferenzen zum Thema Informationssicherheit
gibt, die auch rege genutzt werden.
Warum sind solche Treffen im
Always-Online-Zeitalter wichtig?
Ich denke, dass
der persönliche Kontakt sehr geschätzt wird. Area41 zum
Beispiel hat eine Kapazität von knapp 500 Besuchern, die Vortragenden
bewegen sich frei als Teilnehmer
durch die Konferenz. Wenn ich in einer Präsentation eine interessante
Technik sehe, die ich aber nicht ganz verstehe, kann ich den
Referenten ansprechen und bei einem Bier darüber
diskutieren. Via Skype ist das deutlich witzloser.
Soll man die Teilnehmer als Hacker bezeichnen?
Über
das Wort «Hacker» streitet man sich immer mal wieder. Für die einen
sind es die Guten, für die anderen die Bösen, für nochmals andere sind
Hacker einfach Menschen, die sich auf neugierige Art und Weise mit
Technik auseinandersetzen. Wir erheben keine genauen Statistiken zu
unseren Teilnehmern, aber unsere Inhalte richten sich primär an Leute, die verstehen wollen, wie Angriffe funktionieren, aber auch
wie man eine Umgebung dagegen verteidigen kann.
Die Keynote wird von Halvar Flake gehalten. Ein Wikinger in Zürich?
Halvar Flake ist in dem Falle ein Online-Handle, Halvar ist aber auch
unter seinem zivilen Namen Thomas Dullien bekannt und respektiert. Er
wird in seiner Keynote über ein unglaublich wichtiges Thema
referieren: Wie kann man überhaupt mit absoluter Sicherheit
feststellen, ob man gehackt wurde, in einer Zeit, wo man nur noch einen
Teil seiner eigenen Infrastruktur wirklich auch selber besitzt. Eine
Keynote soll ja ein Denkanstoss für den Rest der Konferenz geben – ich
bin sicher, dass wir hier eine gute Wahl dafür getroffen haben.
Sometimes I look at the internet and think: "Mommy, mommy, they bulldozed my playground and built a ... mall ... on it."
— halvarflake (@halvarflake) 17. April 2014
Was sind aus Ihrer Sicht die weiteren Höhepunkte der zweitägigen
Veranstaltung?
Das ist natürlich subjektiv, aber ich freue mich sehr auf die Vorträge
von Dave Kennedy und Chris Nickerson. Beides sind alte Freunde, die
ich aus professioneller Sicht enorm schätze. Dave Kennedy hatte vor
einigen Monaten noch das Privileg, vor dem US-Kongress zum Thema
healthcare.gov auszusagen. Gleichzeitig freue ich mich auch wahnsinnig
darüber, dass wir auch dieses Jahr wieder einige Schweizer Referenten
haben, die Arbeiten präsentieren, die sich im internationalen Wettbewerb
ganz und gar nicht zu verstecken brauchen.
Will talk at Area41 in Zurich about bug bounty programs and the known unknowns in cyber http://t.co/zsaRwASGDB
— Stefan Frei (@stefan_frei) 27. Mai 2014
Die Referate sind das eine, die informellen Gespräche das andere.
Nehmen auch Geheimdienstler und Polizisten an der Konferenz teil?
Davon ist auszugehen, aber auch dazu erheben wir keine genaueren
Daten. Wir haben auch keinen «Spot the Fed»-Contest, wie das zum
Beispiel an der DEFCON in Las Vegas jeweils der Fall ist. Und
grundsätzlich stehen unsere Tore so oder so allen offen. Wir haben
auch Nationalrat Balthasar Glättli eingeladen, nachdem er in einem
kontrollierten Experiment der «SonntagsZeitung» gehackt wurde.
Zu den wertvollsten Informationen der Branche gehören
Sicherheitslücken, die noch niemand kennt. Werden an der Area41 sogenannte Zero Day Exploits gehandelt?
Tendenziell denke ich eher nicht. Es kann sein, dass eine solche Lücke «disclosed» wird, sprich, dass sie in einem Vortrag zum ersten Mal
gezeigt und demonstriert wird. Das passiert oft an Konferenzen. Das
ist aber ein normaler Prozess, der dann meistens direkt zur
Information des Herstellers und der Entwicklung eines Patches führt.
Der Markt, wo Schwachstellen gegen Bares gehandelt und getauscht
werden, ist woanders.
Zu den Sponsoren von Area41 gehört Google. Das Unternehmen finanziert auch die Teilnahme von drei
Computer-Forscherinnen. Warum ist das weibliche Geschlecht massiv
untervertreten?
Da gibt es viele Faktoren, die für viele technische Felder gleich
sind: Gender Bias, Stereotypen, das Klima an technisch orientierten
Hochschulen und anderen Institutionen. Es gibt auch umfassende Studien
zu dem Thema, deren Zusammenfassung auf ein paar Zeilen ich mir hier
nicht zutraue. Dass Google gezielt Frauen fördert, ist aus meiner
Sicht eine gute Sache. Generell hat sich die Frauenquote in den
letzten Jahren erhöht, sowohl auf Seiten der Teilnehmer wie auch auf
Seiten der Referenten.
Kürzlich wurde berichtet, dass die ETH sogenannte Penetration Tester
ausbildet, also «gute» Hacker, die nach Schwachstellen in
Computersystemen suchen. Wie beurteilen Sie dies?
Als unsere Firma 2002 gegründet wurde, gab es noch kaum bis gar keine
strukturierten Ausbildungen in dem Bereich. Gute Penetration Tester
sind in der Schweiz auch heute noch schwer zu finden. Wenn die ETH
hier einen Ausbildungsauftrag verfolgt, um die Situation zu verbessern,
dann ist das keine schlechte Sache. «Penetration Tester» ist aber ein Berufsprofil,
bei dem die Ausbildung der Erfahrung deutlich unterzuordnen ist.
Dementsprechend gilt es abzuwarten, wie sich die Absolventen im
freien Markt schlagen. Ich bin aber zuversichtlich.
Sie gehören selber zum Red Team der Firma Scip AG und dringen im
Auftrag von Firmen und staatlichen Stellen in Computersysteme ein.
Warum heisst es Red Team?
Ich muss klarstellen, dass wir im Auftrag des
Kunden in seine eigenen Systeme eindringen, nicht etwa in die von
Dritten. Der Name Red Team stammt aus dem Militärumfeld, wo es eine
Einheit beschreibt, die den Auftrag hat, die eigenen Truppen aus den
Augen des Feindes zu betrachten. Und das ist ziemlich genau, was wir
tun: Wir simulieren den Angreifer, modellieren Bedrohungen und
Angriffsszenarien. Dann sitzen wir mit den Kunden zusammen und
empfehlen Gegenmassnahmen.
Sie setzen sich für Qualitätsstandards beim Penetration Testing ein.
Was sind dabei die Knackpunkte?
Penetration Testing ist relativ komplex. Man muss ein technisches
Verständnis mitbringen, aber auch fähig sein, Risiken einzuschätzen und
den Bezug zu den geschäftlichen Prozessen des Kunden herzustellen. Es
reicht nicht, eine Software herunterzuladen, zu installieren und auf
ein Ziel zu richten. Sie haben vorher einen Vergleich zu Ärzten
gemacht: Nur
weil ein Laie zwei Stunden lang mit einem Stethoskop an Ihrem Arm
herumdrückt, heisst das noch lange nicht, dass Sie gesund sind. Darum
sind Qualitätsstandards, wie wir sie mit dem PTES verfolgen, ein
wichtiger Schritt zur weiteren Professionalisierung der Branche.
Grossbanken und andere Finanzkonzerne setzen seit Jahren auf
unabhängige Experten, um die eigenen Sicherheitsmassnahmen zu prüfen.
Bei welchen Branchen besteht Nachholbedarf?
Meine Firma arbeitet international und allgemein kann man sagen, dass
unsere Schweizer Kunden ein ziemlich gutes Gespür für die Risiken im
Technologiebereich besitzen. Aber es ist schon so, dass Firmen, die
nicht so exponiert sind wie etwa Banken, eher nachlässiger sind. Vor allem bei KMUs fehlt oft das Bewusstsein und
vor allem die Manpower.
Könnten Sie mit der geballten Kraft der in Zürich versammelten
Sicherheitsexperten jedes System knacken?
Ich bin sicher, dass an der Area41 enorm viel an Erfahrung und
technischer Fähigkeit auf engem Raum zusammenkommt. In der Regel sind
unsere Teilnehmer aber darauf bedacht, in Vorträgen dazuzulernen und
abends gemütlich bei einem Bier mit alten und neuen Freunden aus aller Welt
zusammenzusitzen und vielleicht ein paar Geschichten auszutauschen.
Gehackt wird dann vermutlich am Mittwoch wieder, zurück am
Arbeitsplatz oder zuhause.