Deutsch 
English
Français
Español
Italiano
Português
日本語
한국어
Русский
Fehlinformationen, MFA-Zweifel und KI: Alles, was wir auf der RSAC 2023 gesehen haben
Die letzten Livestreams sind vorbei und in San Francisco hat eine weitere RSA-Konferenz stattgefunden. In diesem Jahr sahen wir Sitzungen über die Auswirkungen von KI, die anhaltende Verbreitung von Fehlinformationen, die Misserfolge und die Zukunft der Multi-Faktor-Authentifizierung, die Sicherheit von Ladestationen für Elektrofahrzeuge und vieles mehr. Hier ist ein Überblick über alles, was wir auf der RSAC 2023 gesehen haben.
Zu den schlagzeilenträchtigen Teilnehmern des RSAC in dieser Woche gehörte Yoel Roth, ehemaliger Leiter für Vertrauen und Sicherheit bei Twitter. Er diskutierte mit einigen anderen Cybersicherheitsexperten darüber, wie die Branche dazu beitragen könnte, die Verbreitung von Desinformation und Fehlinformationen im Internet einzudämmen. Wie Kim Key schreibt, ging es bei der Sitzung mit dem Titel „Fehlinformationen sind die neue Malware“ weniger um eine Diskussion darüber, ob die Branche dies tun könnte, sondern um die Frage, wer es tun sollte.
Catherine Gellis, Rechtsanwältin und politische Verfechterin, stellte fest, dass, wenn man das Thema aus rechtlicher Sicht betrachtet, der erste Zusatzartikel der US-Verfassung einige Formen von Desinformation oder Fehlinformationen schützt. „Manchmal liegen die Leute falsch“, erklärte Gellis. „Unrecht passiert, und wenn es ein Gesetz gäbe, das Unrecht anspricht und es verbietet, hätte das eine abschreckende Wirkung auf Menschen, die Dinge sagen, mit denen sie Recht haben.“
Laut Gellis sollte die Regierung nicht der alleinige Schiedsrichter für die Wahrheit in Bezug auf Online-Äußerungen sein. Er wies darauf hin, dass der Erste Verfassungszusatz auch das Recht privater Unternehmen schütze, die Äußerungen auf ihren Plattformen einzuschränken.
In seiner Grundsatzrede erkannte Rohit Ghai, CEO von RSA Security, eine unbequeme Wahrheit an: KI wird große Auswirkungen auf die Sicherheitsbranche haben. „Wir müssen akzeptieren, dass viele Arbeitsplätze verschwinden, viele sich verändern und einige neu geschaffen werden“, sagte Ghai. (Die RSA-Konferenz ist von RSA-Sicherheit getrennt.)
Laut Ghai werden möglicherweise Aufgaben verschwinden, die KI schneller und besser erledigen kann als Menschen, etwa die Bewältigung einer Flut von Phishing-Angriffen, die durch „schlechte KI“ verursacht werden. Zu den neuen Aufgaben in der Cybersicherheit könnte es gehören, die von der KI genutzten Daten vor Angriffen zu schützen und sicherzustellen, dass KI-Tools ethisch einwandfrei funktionieren.
Sorgfältige Vorbereitung, schnelle und effektive Kommunikation und ein gesundes Maß an Flexibilität sind laut einem Gremium aus erfahrenen Kommunikations- und Sicherheitsleitern die Hauptmerkmale eines erfolgreichen Unternehmensplans für die Reaktion auf Cybersicherheitsvorfälle. Die Moderatoren tauschten auf der Bühne Horrorgeschichten über die Reaktion auf Cybersicherheitsvorfälle aus und gaben anderen Branchenexperten Ratschläge, die mit der Bewältigung der Folgen eines Online-Angriffs betraut sind.
Brad Maiorino, Chief Information Security Officer bei Raytheon Technologies, stellte fest, dass Verbraucher seiner Erfahrung nach Unternehmensleitern, die auf Cybervorfälle mit einer entschuldigenden, sachlichen und prompten Stellungnahme reagieren, schneller verzeihen. „Ich habe damals gesagt: ‚Du bist verrückt, das kannst du nicht!‘ aber am Ende hat es sich als vorteilhaft erwiesen“, erklärte Maiorino. „Die Kunden kamen zurück und belohnten das Unternehmen dafür.“
Sehen Sie sich den Leitfaden von PCMag an, um Ihr Unternehmen auf einen Ransomware-Angriff oder einen anderen Cyber-Vorfall vorzubereiten.
Eine ungewöhnliche Sitzung bewegte sich an der Grenze zwischen Sicherheit und Rechtsprechung. Darin wurde ein Scheinprozess vorgestellt, bei dem es um die Frage ging, ob das Versenden von Fallendateien zur Ergreifung von Hackern eine attraktive Belästigung darstellen könnte, wenn man bedenkt, dass ein unschuldiger Dritter die Falle auslösen könnte. Dieser Prozess kam zu einem logischen Ergebnis, aber wir werden sicherlich Situationen in der realen Welt sehen, die schwieriger zu analysieren sind.
Bei PCMag empfehlen wir Ihnen dringend, die Multi-Faktor-Authentifizierung (MFA) zu nutzen, wann immer sie verfügbar ist. Dennoch kommt es häufig zu Datenschutzverletzungen, an denen MFA beteiligt ist. Hat MFA den Hai übersprungen? In einem Vortrag über MFA wurden mehrere Verstöße analysiert und festgestellt, dass sie durch einen Angriff auf die MFA-Konfiguration, den MFA-Anbieter oder den MFA-Benutzer und nicht auf MFA selbst erfolgreich waren. MFA regiert immer noch!
Passwörter sind ein Problem und die Lösung, so heißt es, liegt in der Verwendung von Passkeys oder kryptografischen Anmeldeinformationen, die Personen ohne Benutzernamen oder Passwörter sicher authentifizieren und über eine integrierte Multi-Faktor-Authentifizierung (MFA) verfügen. Mehrere Sitzungen bei RSAC konzentrierten sich auf die Vorteile von Passkeys und warfen gleichzeitig einen Blick auf die noch bevorstehenden Herausforderungen.
Die gute Nachricht ist, dass die Entwickler von Passkeys viele dieser Herausforderungen bereits gelöst haben. Google-Produktmanager Christiaan Brand zeigte, wie Passkeys einfach erstellt und nahtlos zwischen Geräten innerhalb desselben Ökosystems (z. B. Android-zu-Android) synchronisiert werden können. Müssen Sie Ihren Passkey von Ihrem Pixel-Telefon auf Ihren Dell XPS-Laptop übertragen? Scannen Sie einfach einen QR-Code und eine Bluetooth-Verbindung autorisiert Dell, Sie anzumelden.
Das größte Problem ist bisher die Akzeptanz. Apple, Google und Microsoft haben sich stark für Passkeys eingesetzt und sie in alle ihre Plattformen integriert, aber nur sehr wenige Websites und Dienste akzeptieren sie. Es gibt jedoch noch heiklere Herausforderungen. Da Passkeys beispielsweise nur innerhalb eines Ökosystems synchronisiert werden, werden die meisten Menschen wahrscheinlich am Ende mehrere gültige Passkeys für dieselbe Site haben – einen für Apple, einen für Microsoft und so weiter. Das könnte für Benutzer verwirrend werden. „Vieles davon steckt noch in den Kinderschuhen. Das ist irgendwie hässlich. Wir haben das als Branche noch nicht ganz verstanden“, sagte Brand.
Fans von Hardware-Sicherheitsschlüsseln müssen sich jedoch keine Sorgen machen. In seiner RSAC-Sitzung erklärte Derek Hanson, Vizepräsident für Standards und Allianzen bei Yubico, dass Yubikeys und ähnliche Geräte Passkeys erstellen und speichern können, diese jedoch nur auf den Schlüsseln gespeichert und nicht zwischen Geräten synchronisiert würden.
Die Menschen betrachten die NSA als isolierte, geheimnisvolle Organisation, tatsächlich arbeitet die NSA jedoch mit vielen anderen Behörden und Branchen zusammen. Sein Cybersicherheitsdirektor teilte Sicherheitsbereiche mit, die die NSA als höchste Priorität ansieht, darunter Russland, China und künstliche Intelligenz. Zum Abschluss erhielt er eine Einladung, dem NSA-Sicherheitsteam am NSA-Einstellungsstand in der Expo-Halle beizutreten. Er schaffte es, der Aussage zu widerstehen: „Komm auf die dunkle Seite – wir haben Kekse!“
Das Cryptographers' Panel war von Anfang an Teil des RSAC. Historisch gesehen bestand es aus Whitfield Diffie und Martin Hellman, die für das Diffie-Hellman-Schlüsselaustauschsystem bekannt sind, das öffentliche Schlüsselverschlüsselung ermöglicht, sowie aus Ron Rivest, Adi Shamir und Leonard Adleman, den R, S und A der wesentlichen RSA-Verschlüsselung Algorithmus.
Diffie und Shamir nahmen an der diesjährigen Podiumsdiskussion teil, zusammen mit der IBM Distinguished Engineer Ann Dames, Radia Perlman von Dell und Clifford Cocks – einem Kryptografen, der Jahre vor der Veröffentlichung von RSA einen RSA-ähnlichen Verschlüsselungsalgorithmus für das geheime britische GCHQ entwickelte.
Die lebhafte Diskussion des Panels deckte viele Themen ab, darunter Quantencomputing, KI und Blockchain. Shamir wies darauf hin, dass das Quantencomputing letztendlich die Public-Key-Kryptotechnik besiegen wird, und erklärte: „Wenn Sie sich Sorgen um die Sicherheit von 50 oder 100 Jahren machen, verwenden Sie keine Public-Key-Kryptografie.“ Nutzen Sie ein klassisches Kryptosystem und ersparen Sie sich den Aufwand des manuellen Schlüsselaustauschs.“
Shamir sagte auch, er habe seine Meinung über KI geändert, da er davon ausgegangen sei, dass sie für Menschen, die sich gegen Cyberangriffe verteidigen, am nützlichsten sei. Jetzt sieht er darin eine potenziell grenzenlose Quelle für Phishing-Angriffe. „Die Fähigkeit von ChatGPT, perfektes Englisch zu sprechen und mit Menschen zu interagieren, wird in großem Umfang missbraucht.“
Perlman sorgte für Lacher mit Ratschlägen für Programmierer, deren ahnungslose Manager die Blockchain Kool-Aid tranken: „Wenn Ihr Manager auf Blockchain besteht, entwickeln Sie die bestmögliche Lösung und sagen Sie ihm dann, dass Sie es mit Blockchain geschafft haben.“ Er wird den Unterschied nie merken.“
Die stellvertretende US-Generalstaatsanwältin Lisa Monaco skizzierte in ihrem Gespräch mit dem ehemaligen Leiter der Cybersecurity and Infrastructure Security Agency, Chris Krebs, einen überraschenden neuen Ansatz für das Justizministerium. Wenn es um Cyberangriffe geht, so Monaco, sei es für das Justizministerium wichtiger, bestehende Angriffe zu unterbinden und neue zu verhindern, als für Verhaftungen und Gerichtssiege zu sorgen.
„Früher wäre das vielleicht Ketzerei gewesen“, sagte Monaco und bezog sich dabei auf die gemeinsame Operation, mit der die Hive-Ransomware-Gruppe ausgeschaltet wurde, die Entschlüsselungsschlüssel für Hive-Opfer lieferte, aber keine Verhaftungen zur Folge hatte.
Im Roman „Ender's Game“ trainiert die Regierung den jungen Andrew (Ender) Wiggin darin, mithilfe eines Videospiels Außerirdische aus der realen Welt zu töten. Können wir die nächste Generation furchtloser Malware-Killer auf die gleiche Weise trainieren? In mehreren Sitzungen des RSAC wurde dieses Thema aus unterschiedlichen Blickwinkeln beleuchtet. Einer konzentrierte sich darauf, die Sicherheitsschulung für Mitarbeiter durch Unterhaltung zu verbessern und ging sogar so weit, die Schulung in einen Cybersicherheitszirkus zu verwandeln. Ein anderer präsentierte ein tatsächliches, vollständig entwickeltes Cybersicherheitsspiel, das die Fähigkeiten von Sicherheitsteams verbessern soll, zusammen mit Ratschlägen für CISOs und Teamleiter zur Integration von Gamification. Und ein dritter ging auf die Gründe für die Gamifizierung der Sicherheit sowie auf eine Reihe von Ressourcen für die Erkundung dieses Fachgebiets ein.
Das Hacken vernetzter Autos ist ein häufiger Trick auf der Black Hat-Konferenz, aber Thomas Caldwell, CTO von Techniche, wollte sich ein weiteres wichtiges Element der Automobilinfrastruktur ansehen: die Ladestation für Elektrofahrzeuge.
Seine Überprüfung der verfügbaren Forschungsergebnisse ergab zahlreiche Fälle, in denen Sicherheitsexperten Möglichkeiten gefunden hatten, auf den Quellcode von Ladestationen zuzugreifen, von Anbietern erstellte Hintertüren auszunutzen und möglicherweise Brände zu entfachen. Da Ladestationen in den USA und im Rest der Welt immer allgegenwärtiger werden, werden wir bei künftigen Konferenzen möglicherweise mehr Angriffe erleben.
Wir wissen, dass moderne generative KI-Systeme wie ChatGPT und Bard Aufgaben wie das Schreiben einer Geschichte über Elon Musk im Stil von Edgar Allen Poe oder die Erstellung eines funktionierenden Codeausschnitts im Handumdrehen erledigen können. Aber diese Macht kann auch zur Täuschung genutzt werden. Auf der Suche nach Liebe online? Ein KI-gestützter Bot könnte Ihnen vorgaukeln, Sie hätten Ihren Seelenverwandten gefunden.
In einer RSAC-Sitzung wurde ausführlich erläutert, welche wenig hilfreichen und bösartigen Aufgaben KI ausführen kann. Ausgehend von einer Geschichte von Turings Imitation Game und dem „Therapeuten“-Programm ELIZA ging der Vortrag bis hin zu völlig modernen Möglichkeiten, komplett mit seitenweisem Code. Achtung; Spammer und Betrüger werden immer überzeugender.
Den meisten Menschen ist die NSA als Spionageagentur oder als Schreckgespenst der Privatsphäre bekannt, aber die Agentur spielt noch eine zweite Rolle bei der Entwicklung von Technologien zum Schutz vor Spionage. In ihrer RSAC-Sitzung gingen die Co-Leiter des Center for Cybersecurity Standards der NSA, Mike Boyle und Jessica Fitzgerald-McKay, auf den geheimnisvollen Prozess zur Entwicklung von Technologiestandards ein. Diese erfordern oft zahlreiche Treffen mit Ausschussorganisationen und werden selbst von den erfahrensten Cybersicherheitsexperten nicht gut verstanden. Und wie die Redner erklärten, können sie auch Schlachtfelder sein, auf denen Nationalstaaten ihre eigenen Ziele verfolgen.
Die Redner wiesen darauf hin, dass die USA und andere Demokratien bei ihrer Beteiligung an der Entwicklung von Standards hinterherhinken und forderten Unternehmen und Einzelpersonen auf, sich stärker in den Prozess einzubinden.
Es gibt klare Standards für Eigentum und Vererbung von physischem Eigentum und sogar geistigem Eigentum, aber keine vergleichbaren Standards für das riesige digitale Leben, das jeder von uns ansammelt. Marcu Preuss und Dan Demeter vom Global Research and Analysis Team (GReAT) von Kaspersky gingen ausführlich auf die Fallstricke und Herausforderungen beim Schutz Ihres digitalen Erbes ein und präsentierten den RSAC-Teilnehmern einen klaren und präzisen Weg, um sicherzustellen, dass Ihr digitales Erbe nicht im digitalen Bereich stecken bleibt Nachlass.
RSAC gibt gerne an, indem es bekannte Entertainer zu Vorträgen auf der Konferenz einlädt und so den Teilnehmern eine Pause vom Messegelände und der bei Sicherheitskonferenzen üblichen Untergangsstimmung verschafft. Dieses Jahr waren wir überrascht, Monty-Python-Mitglied Eric Idle sowie Christopher Lloyd von „Zurück in die Zukunft“ zu sehen.
Und obwohl wir aufgrund technischer Schwierigkeiten die Eröffnungs-Keynotes verpassten, waren wir überrascht, als wir den Livestream zum Laufen brachten, als der Komiker Fred Armisen eine Soloversion von „All You Need is Love“ der Beatles spielte.
Als Reaktion auf die COVID-19-Pandemie bietet RSAC seit 2021 eine Online-Komponente für seine Konferenz an. In diesem Jahr verfolgten die meisten von uns die Vorgänge aus der Ferne von unseren Heimbüros aus, obwohl der unerschrockene PCMag-Reporter Michael Kan den Menschenmassen trotzte.
Wir waren manchmal frustriert über die lange Verzögerung zwischen dem Abschluss einer Sitzung auf der Konferenz und der Verfügbarkeit des Videos, aber insgesamt freuen wir uns, dass mehr Sicherheitskonferenzen ein hybrides Erlebnis bieten. Es ist vielleicht nicht dasselbe wie eine Präsenz vor Ort, aber es macht RSAC weitaus zugänglicher als je zuvor. Wir hoffen, dass das so bleibt.
Melden Sie sich bei SecurityWatch anNewsletter mit unseren Top-Geschichten zum Thema Datenschutz und Sicherheit direkt in Ihren Posteingang.
Dieser Newsletter kann Werbung, Angebote oder Affiliate-Links enthalten. Wenn Sie einen Newsletter abonnieren, erklären Sie sich mit unseren Nutzungsbedingungen und Datenschutzrichtlinien einverstanden. Sie können den Newsletter jederzeit abbestellen.
Ihr Abonnement wurde bestätigt. Behalten Sie Ihren Posteingang im Auge!
SecurityWatch