Liebe Leserinnen und Leser,
Wir freuen uns, Ihnen unsere 104. dVNews (13-2024) mit einer Auswahl an Artikeln und Links zukommen zu lassen. Wir haben euch vermisst… wir brauchten auch eine kleine Auszeit und die Olympischen Spiele in Paris haben uns sehr beschäftigt.
Technologie ist bei den US-Wahlen eine der grössten Themen, mit divergierenden Interessen, von einer regulatorischen Tendenz der Demokraten zu einer liberalen seitens der Republikaner. Zu viel oder wenig Regulierung– das ist die Frage! Seit seiner Gründung, hat digiVolution immer wieder auf die Folgen von potenziell systemischen Cyberpannen hingewiesen. Ob absichtlich oder nicht, ist nicht die Frage. Der BSoD (Blue Screen of Death), der durch das fehlgeschlagene CrowdStrike-Update am 19. Juli ausgelöst wurde, und der Ausfall am 30. Juli, als Microsoft bei der Abwehr eines DDoS versagte, sollten uns herausfordern.
Wie kann eine Situation toleriert werden, in der ein kleines Stück Code und ein schlecht geführter Entwicklungsprozess weltweit Bankdienstleistungen lahmlegt, fast 6’000 Flüge am Boden hält, eine unkalkulierbare Anzahl von Informationsdienste offline stellt und Notrufzentralen lahmlegt, um nur einige der Folgen zu nennen? Die 8,5 Millionen Systeme, die als betroffen gelten, sind nur diejenigen, die einen Ausfall an Microsoft gemeldet haben. Wie viele haben es nicht getan, und wie gross sind die Auswirkungen dieser Krise wirklich? Kann sich ein Softwarehersteller hinter einem Artikel in den Allgemeinen Geschäftsbedingungen (wurden sie gelesen?) verstecken, der besagt, «darf nicht in kritischen Prozessen eingesetzt werden»? Kann ein Unternehmen oder eine kritische Infrastruktur dafür verantwortlich gemacht werden für Verluste und Schäden für Menschen oder Organisationen und Unternehmen, weil diese Bedingung nicht beachtet wurde? Können wir akzeptieren, dass wesentliche Dienste in ihrem Kern automatisierte Prozesse dulden, die sie bei einem Ausfall zum Erliegen bringen können? Warum ist das alles so? Weil auf dem Rücken der Sicherheit weiter gespart wird. Wie gross muss die Katastrophe sein, bis Sicherheitsstandards tatsächlich und intelligent umgesetzt werden? Es gibt einen Punkt, an dem der Liberalismus zurücktreten muss und Verantwortungslosigkeit und Nachlässigkeit bestraft werden müssen, wie es das Strafgesetzbuch verlangt (Art. 12 Abs. 3 StGB).
Abgesehen von der Nichtverfügbarkeit der Dienste und der Möglichkeit für Kriminelle, die Gunst der Stunde zu nutzen, muss diese Lage mindestens auch als Hinweis auf eine schwerwiegende Verletzung oder Verlust der Souveränität der Betroffenen betrachtet werden. Sind sie sich ihrer tatsächlichen Abhängigkeit von ihren IT-Anbietern bewusst? Offensichtlich nicht. Was sind die Folgen?
Der Warnschuss muss gehört werden. Eine Analyse dieser Situation ist ZWINGEND erforderlich und hängt vom Gefährdungspotential des Dienstes ab. Es ist zu hoffen, dass das Parlament so bald wie möglich eine Motion verabschiedet, um eine nationale Analyse dieses Risikos zu erzwingen und daraus klare Verantwortlichkeiten und Verpflichtungen für alle Akteure der Wertschöpfungs- und Lieferkette zu bestimmen.
Bitte denken Sie daran, unsere Arbeit zu unterstützen.
BOOKS & REPORTS
Dies ist eine Liste relevanter Bücher und Publikationen, auf die wir bei unseren Recherchen der letzten Wochen gestossen sind. Sie finden sie auf dVPedia unter dVLibrary.
AKTUELL
► PQC oder Post Quantum Cryptography – Seit der Gründung von digiVolution warnen wir immer wieder vor dem Einsatz von Quantencomputern, die bald (in 2, 4 oder 10 Jahren? die Experten sind sich nicht einig) über eine so grosse Rechenkapazität verfügen werden, dass sie alle derzeit angewendeten Verschlüsselungsalgorithmen knacken können. Bedroht sind nicht nur Inhalte / Dateien (auch solche, die gestern und heute gestohlen wurden), sondern auch Netzwerke u.a. das kleine „s“ in „https“. Wer einen Quantencomputer hat, kann sich frei bewegen und in jeder IT-Infrastruktur Schaden anrichten, die nicht mit einer PQC (oder eher einer QRC – quantum resistant crypto-graphy) geschützt ist. In den USA hat das National Institute of Standards and Technology (NIST) gerade drei Standards für Post-Quantum-Chiffrierung veröffentlicht. Am 21. Dezember 2022 hat Präsident Biden das Gesetz zur Vorbereitung auf die Cybersicherheit von Quantencomputern verabschiedet. In den USA beginnt nun die entsprechende Migration. Was ist mit der Schweiz? Haben wir mindestens eine Risikoanalyse? Und wer weiss, dass wir hier bereits ein Unternehmen haben, das die NIST-Anforderungen übertrifft, ohne die Leistung zu beeinträchtigen?
► Desinformation – In unserer Daten- und Kommunikationsgesellschaft hat der Attentatsversuch auf Donald Trump ein Bild hervorgebracht, das bereits mit dem von Ivo Jima während des Pazifikkriegs verglichen wird.
Fast schon als sicherer Sieger im November gefühlt, sieht sich der Kandidat Trump einen Monat später sicherlich verbittert der „weird“ Kampagne der Demokraten gegenüber. Welche Lehren lassen sich daraus ziehen? Die Volatilität von Entscheidungen, die auf immer emotionaleren und populistischen Grundlagen beruhen, ist grösser denn je. Die Zeit vor der Wahl wird turbulent und einige ausländische Akteure haben bereits Aktionen in Richtung USA initiiert. Und wie wir gerade bei den Unruhen in Grossbritannien gesehen haben, ist es leicht, Menschenmassen zu manipulieren, die durch jahrelange Frustration aufgeheizt sind.
► Budget 2025 des BACS – Mit einem Budget von 16,1 Mio. CHF (1,5 Mio. mehr als 2024) wird das Bundesamt für Cybersicherheit 18 Mal weniger Gewicht haben als der Sport mit seinen 303 Mio. CHF. Wir reden hier über die Sicherheit des Landes und all unsere Aktivitäten, die von der Digitalisierung abhängen! Wie werden die Prioritäten gesetzt?
► NIS2 – Network and Information Security – Am 25. Juni hatten wir das Privileg, in Wien bei Die Presse, dem österreichischen Pendant zu unserer NZZ, an einer Debatte über das neue europäische Gesetz über die Sicherheit von Informationssystemen teilzunehmen. Kurz gesagt: Jetzt ist Schluss mit lustig und es ist höchste Zeit, dass sich Schweizer Unternehmen, ob sie wollen oder nicht, mit den neuen Regeln vertraut machen, die auch sie betreffen, wenn sie mit europäischen Partnern und Kunden interagieren.
Das nächste Mal werden wir über die Olympischen Spiele in Paris berichten, zu denen wir einen Beitrag geleistet haben. Ohne Geschäftsgeheimnisse zu verraten, wird es darum gehen, die Lehren aus dieser Mega-Veranstaltung zu ziehen. Wir hätten das auch aus dem Stegreif tun können, aber wir wollen auf der strategischen Ebene bleiben und uns nicht von den medialen Schlagzeilen beeinflussen lassen. Lass uns einen Schritt zurücktreten.
Das war’s für diese 104. Ausgabe. Wir hoffen, dass sie Sie einmal mehr inspiriert hat und wünschen Ihnen viele Erkenntnisse beim Entdecken der ausgewählten Artikel und Links.
Bitte registrieren Sie sich für dVPedia und unterstützen Sie damit seine Entwicklung zum Nutzen aller.