{"id":14383,"date":"2017-08-09T14:12:00","date_gmt":"2017-08-09T12:12:00","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=14383"},"modified":"2017-09-27T14:52:37","modified_gmt":"2017-09-27T12:52:37","slug":"stamos-on-security","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/stamos-on-security\/14383\/","title":{"rendered":"Facebook&#8217;s CSO: Sicherheitsspezialisten m\u00fcssen damit anfangen, echte Sicherheitsprobleme zu l\u00f6sen und ausgefallenere vermeiden"},"content":{"rendered":"<p>Beim Er\u00f6ffnungsvortrag auf der Konferenz <a href=\"https:\/\/www.kaspersky.de\/blog\/tag\/black-hat\/\" target=\"_blank\" rel=\"noopener\">Black Hat 2017<\/a> sprach Alex Stamos, Facebook\u2019s Chief Security Officer, \u00fcber die Vermeidung aktueller Sch\u00e4den und die Bereitschaft Kompromisse einzugehen \u2013 Dinge, die f\u00fcr einen Spezialisten der Informationssicherheit eigentlich selbstverst\u00e4ndlich sein sollten. Und dieser CSO bei Facebook hat es drauf: Sein Team hat ein sehr komplexes IT-System und die Daten von 2 Billionen Usern gesch\u00fctzt.<\/p>\n<p><a href=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/92\/2017\/08\/08063920\/alex-stamos-keynote-featured.jpg\"><img loading=\"lazy\" decoding=\"async\" class=\"aligncenter size-large wp-image-17938\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/92\/2017\/08\/08063920\/alex-stamos-keynote-featured-1024x673.jpg\" alt=\"\" width=\"1024\" height=\"673\"><\/a><\/p>\n<p>Stamos zufolge, leidet die Sicherheitsindustrie unter einer Vielzahl pubert\u00e4rer Probleme, und der Nihilismus ist eines der Gr\u00f6\u00dften. In anderen Worten: Spezialisten bevorzugen es sich auf ausgefallene und technisch komplexere Sicherheitsprobleme und Schwachstellen zu konzentrieren, anstatt auf die Probleme, die richtige Sch\u00e4den verursachen und eine Vielzahl von Personen gef\u00e4hrden k\u00f6nnten. Diese Spezialisten wollen tendenziell lieber keine Kompromisse eingehen und machen die Informationssicherheit zu ihrem einzigen Ziel. Gleichzeitig gehen sie das Risiko ein, dass jeder zum Opfer gef\u00e4hrlicher Attacken werden kann.<\/p>\n<p>Eines der bemerkenswertesten Beispiele, das uns Stamos geliefert hat, war das der angeblichen Hintert\u00fcr des Instant-Messaging-Dienst WhatsApp, die eigentlich gar keine Hintert\u00fcr war. Um die sichere Verschl\u00fcsselung f\u00fcr 1 Billionen WhatsApp User verf\u00fcgbar zu machen, hat das Entwicklerteam eine vern\u00fcnftige Entscheidung dar\u00fcber getroffen, wie Chatpartner informiert werden, dass einer der beiden gerade einen neuen Kodierungsschl\u00fcssel erhalten hat. Im Chat erscheint eine zus\u00e4tzliche Benachrichtigung und es ist keine weitere Handlung seitens der Chatpartner n\u00f6tig, um die Unterhaltung fortzusetzen.<\/p>\n<blockquote class=\"twitter-pullquote\"><p>#Facebook Chief Security Officer: Echte Probleme l\u00f6sen und ausgefallene vermeiden<\/p><a href=\"https:\/\/twitter.com\/share?url=https%3A%2F%2Fkas.pr%2FSUV4&amp;text=%23Facebook+Chief+Security+Officer%3A+Echte+Probleme+l%C3%B6sen+und+ausgefallene+vermeiden\" class=\"btn btn-twhite\" data-lang=\"en\" data-count=\"0\" target=\"_blank\" rel=\"noopener nofollow\">Tweet<\/a><\/blockquote>\n<p>Informationssicherheitsnihilisten gingen davon aus, dass es sich hierbei um eine Hintert\u00fcr handelte, die f\u00fcr Spezialdienste entworfen wurde, um den Chat anzugreifen und Zugang zum Gespr\u00e4chsverlauf zu erhalten. Das Ziel ist allerdings das genaue Gegenteil, indem erlaubt wird Unterhaltungen weiterzuf\u00fchren, nachdem einer der Gespr\u00e4chspartner sein Smartphone gewechselt oder WhatsApp neu installiert hat.<\/p>\n<p>Das Beispiel WhatsApp vereint all diese nihilistischen Aspekte: davon auszugehen, dass alle User das Verschl\u00fcsselungssystem genau unter die Lupe nehmen sollten, dass Kodierungsschl\u00fcssel der Gespr\u00e4chspartner verglichen werden sollten und das jeder User von einem Spezialdienst beobachtet wird, der den Internetverkehr der User mit einer komplexen Variation einer <a href=\"https:\/\/www.kaspersky.de\/blog\/was-ist-eine-man-in-the-middle-attacke\/905\/\" target=\"_blank\" rel=\"noopener\">Man-In-The-Middel<\/a>-Attacke angreifen wird \u2013 damit wird das Ma\u00df an Paranoia zweifellos \u00fcberschritten!<\/p>\n<p>Die Aufmerksamkeit, die Spezialisten den komplexesten Attacken und arbeitsaufwendigsten Sicherheitsma\u00dfnahmen schenken, lenkt sie von Problemen ab, die wirklichen Schaden anrichten. Stamos pr\u00e4sentierte das Diagramm einer \u201eBedrohungspyramide\u201c mit einem kaum wahrnehmbaren Punkt an der Spitze, der die Zero-Day-Schwachstellen und komplexe, staatlich gef\u00f6rderte Attacken darstellt. Der Rest der Pyramide besteht aus \u201eallt\u00e4glichen\u201c Problemen, die mit dem Diebstahl von Passw\u00f6rtern und pers\u00f6nlichen Daten (Bankdaten eingeschlossen), Phishing, finanziellen Bedrohungen und Social Engineering zu tun haben.<\/p>\n<p>Stamos empfiehlt nicht vor Kompromissen zur\u00fcckzuschrecken, wenn es darum geht, diese Probleme zu l\u00f6sen. Wenn eine L\u00f6sung nicht perfekt oder nur teilweise effektiv ist, aber von 10-mal mehr Leuten genutzt wird, ist sie immer noch besser als eine L\u00f6sung, die ausschlie\u00dflich den fortgeschrittensten Usern Schutz bietet und den Rest komplett au\u00dfen vor l\u00e4sst.<\/p>\n<p>Kluge K\u00f6pfe denken \u00e4hnlich; deshalb haben wir diese Ratschl\u00e4ge bereits vor Stamos Vortrag befolgt. Mit unserer kostenlosen Version von <a href=\"https:\/\/play.google.com\/store\/apps\/details?id=com.kms.free&amp;referrer=af_tranid%3DaEM6VLTkLq4gJjnjKdfLgQ%26pid%3Dsmm%26c%3Dww_kdaily\" target=\"_blank\" rel=\"noopener nofollow\">Kaspersky Internet Security f\u00fcr Android<\/a> zum Beispiel, sch\u00fctzen wir Billionen von Usern, die im n\u00e4chsten Jahrzehnt Teil der Internetbev\u00f6lkerung sein werden und haupts\u00e4chlich mobile Ger\u00e4te nutzen werden.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Alex Stamos von Facebook erkl\u00e4rt, warum die Informationssicherheitsindustrie falsche Priorit\u00e4ten setzt und was dagegen getan werden sollte.<\/p>\n","protected":false},"author":32,"featured_media":14384,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2711,6,2712],"tags":[2637,2661,608,2640,37,1653,896],"class_list":{"0":"post-14383","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-news","9":"category-special-projects","10":"tag-bhusa","11":"tag-klbh17","12":"tag-black-hat","13":"tag-black-hat-2017","14":"tag-facebook","15":"tag-security","16":"tag-whatsapp"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/stamos-on-security\/14383\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/stamos-on-security\/12312\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/stamos-on-security\/11595\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/stamos-on-security\/11161\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/stamos-on-security\/14072\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/stamos-on-security\/14073\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/stamos-on-security\/18210\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/stamos-on-security\/17935\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/stamos-on-security\/9367\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/stamos-on-security\/9569\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/stamos-on-security\/7214\/"},{"hreflang":"zh","url":"https:\/\/www.kaspersky.com.cn\/blog\/stamos-on-security\/8261\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/stamos-on-security\/17491\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/stamos-on-security\/17677\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/stamos-on-security\/17624\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/black-hat\/","name":"Black Hat"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/14383","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/32"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=14383"}],"version-history":[{"count":5,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/14383\/revisions"}],"predecessor-version":[{"id":14403,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/14383\/revisions\/14403"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/14384"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=14383"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=14383"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=14383"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}