-Mimikama unterstützen -

Gemeinsam gegen Fakes, Fake-News und anderen Unwahrheiten im Internet. Bitte hilf mit!

[Kolumne: Der Volksverpetzer. Eine Mischung aus Politik, Zeitgeschehen und Meinung.]

Anstatt gravierende Sicherheitslücken in Softwares zu schließen, lassen die Geheimdienste sie oft mit Absicht offen, um selbst einen Zugriff darauf zu haben. Doch das kann nach hinten los gehen, wie die Angriffe durch Wannacry gezeigt haben. Führt der Versuch, für mehr Sicherheit zu sorgen also zum Gegenteil?

-Produktempfehlung: Kaspersky lab-

Die elektronische Infrastruktur ist zu einem unverzichtbaren Teil unseres Lebens geworden. In der letzten Woche wurde uns gezeigt, wie schnell sie erschüttert werden kann. Als Kind habe ich, um Computerspiele spielen zu können, noch die DOS-Box benutzen müssen, um das System richtig einzustellen. Die Speichermanager der damaligen Betriebssysteme waren irgendwie seltsam. Doch sie waren vor allem, was Kommandozeilen und Bedienbarkeit angeht, eine ganz andere Welt als heutige Betriebssysteme. Damals musste man viele Kommandos auswendig lernen. Und diese Stück für Stück eingeben. Und dann damit einen vergleichsweise kleinen Programmieraufwand selber übernehmen. User Interfaces sind heutzutage für jeden bedienbar und die technischen Details versteckt hinter einer Haube, die der Nutzer gar nicht sehen oder verstehen muss. Hinter Kacheln, Icons und Apps ist eine extrem komplexe Verschachtelung von Architekturen von Code, die ein normaler Nutzer nicht zu sehen bekommt.

14111889_1826590450909615_604611310_n

Unsere Computer und Smartphones zu benutzen, fühlt sich ganz normal an und wir denken gar nicht darüber nach, wie sie nun im Detail funktionieren. Manchmal gibt es allerdings ein echtes Beben. So wie am Wochenende. Ein Wurm-Programm names Wannacry infizierte hunderttausende Rechner weltweit und verschlüsselte ihre Daten. Ransomware nennt sich sowas. Überweise Geld oder du kriegst deine Daten nicht wieder – Oder auch nicht, auch wenn du überweist. Wer weiß das schon.




Dieses Mal war die Attacke jedoch etwas Besonderes. Ein Sicherheitsexperte bemerkte per Zufall, dass der Wurm eine Internetadresse ansteuerte und sich abschaltete, wenn diese Adresse antwortet. Er registrierte die Adresse fix und stoppte damit einen weltweiten Angriff. Doch der Schaden war bereits angerichtet. Es traf neben Heimcomputern und der deutschen Bahn unter anderem den NHS, den englischen Gesundheitsservice. Krankenhäuser waren außerstande, ihre Patienten aufzunehmen. Die Computer, mit denen MRTs, Röntgengeräte und die Patientenakten bedient, waren nicht mehr funktionsfähig.

Eine einzige Sicherheitslücke könnte unsere ganze Wirtschaft lahmlegen – und unsere Gesellschaft sogar ins Chaos stürzen

Wie verzahnt diese Welt ist, wird einem erst bewusst, wenn Teile ausgeschaltet werden. Ein Beispiel wäre ein Angriff auf das Bankensystem. Sagen wir, jemand bereitet über ein bis zwei Jahre einen Angriff auf die Kommunikation von Banken vor und schafft es, in mehrere Server einzudringen. Die Banken untereinander kommunizieren Geldbewegungen. Es ist absolut notwendig, dass diese Daten erstens verschlüsselt übertragen werden, damit niemand mitliest, und zweitens, dass die Computer einander vertrauen können. Greift man allerdings mehrere an, sodass die Banken untereinander sich nicht mehr trauen können, da die Server unter der Kontrolle von jemand anders sein könnten, bricht das gesamte Bankensystem mit einem Schlag bis zur Lösung des Problems zusammen.

Das mag erstmal nicht so schlimm erscheinen, doch wenn keine EC-Kartenzahlung mehr funktioniert und Supermärkte ihre Verkäufe nicht mehr melden können, wenn Bestellungen nicht mehr rausgehen, kann unsere gesamte Infrastruktur zusammenbrechen. Und dauert es lang genug, gehen die Prügeleien um Essen los, das niemand bezahlen kann, weil niemand Transaktionen leisten kann. Unsere Gesellschaft ist auf just in time ausgelegt und unsere Fähigkeit Transaktionen durchzuführen, ebenfalls. Einen Scheck konnte man noch über Tage hinweg bearbeiten. Wird aber eine Anfrage, der nicht vertraut wird, wird diese ignoriert. Nimmt der bearbeitende Computer keine Anfragen an oder können wir keine Anfrage von unserem Computer an der Kasse stellen, fällt auch diese komplett weg. Und dann haben wir schnell ein reines Chaos. Das Konzept dahinter nennt man auch: „Neun Mahlzeiten bis zur Anarchie.“

Ein oder zwei Tage hungern, das machen Menschen noch mit. Nach neun ausbleibenden Mahlzeiten gibt es Panik. Menschen werden schnell bereit, für Essen zu kämpfen. Das mag ein abgedrehtes Szenario sein, wer allerdings nach Venezuela schaut, sieht, wie schnell es auch heutzutage eintrifft. Allerdings hier aus anderen Gründen. Der Ansatz ist aber der Gleiche: Die Bezahlung der Waren ist nicht mehr möglich, daher werden keine Waren mehr geliefert, daher bleibt die Nahrung aus. Das Resultat: Chaos. Venezuela ist natürlich ein krasses Beispiel. Insbesondere da es kein Cyberangriff war, der das Land in die Knie gezwungen hat. Es waren jahrzehntelanges Mismanagement der eigenen Ressourcen, das Abzweigen von Mitteln aus dem staatseigenen Ölkonzern, fehlende Investitionen in die Erhaltung und Erneuerung der Ölförderung und eine weitere Reihe von komplexe ökonomischen Faktoren, die das Land in seinen jetzigen Zustand gebracht haben. Der Punkt ist jedoch: Legt jemand grundlegende Systeme lahm, wie auch immer, haben wir schnell ähnliche Zustände.

Sicherheitsdienste sollten für Sicherheit sorgen, doch sie entwickeln die Trojaner selbst

Solche Horrorszenarien sind natürlich absolut zu vermeiden. Indem wir unsere Systeme auch so schützen und absichern, dass sie nicht offen sind gegenüber Angriffen von Außen. Und indem Angriffe von Innen schnell eingedämmt werden können. Bekannte Sicherheitslücken sollten so schnell wie möglich kommuniziert werden, damit die Entwickler diese schließen können. Und diese müssen dann auch handeln. Denn selbst wenn diese bekannt sind, kann es je nach Größe des Problems Monate dauern, bis das Problem gelöst ist. Der Finfisher Trojaner, von einer deutschen Firma entwickelt und an Drittstaaten wie Ägypten ausgeliefert, nutzte eine Lücke in iTunes aus. Es dauerte sage und schreibe 1200 Tage, bis die Lücke von Apple aus der Welt geschafft war. Und man möge meinen, dass genau deswegen die Nationalstaaten und ihre Sicherheitskräfte genau diese Problematiken verhindern würden. Und eben mit den Herstellern direkt zusammenarbeiten und diese schnellstmöglich informieren. Sicherheit ist allerdings ein zweischneidiges Schwert.

Nach dem 11. September 2001 waren die Vereinigten Staaten von Amerika geschockt. Viele der danach erlassenen Gesetze ermächtigten die Geheimdienste, nahezu uneingeschränkt zu agieren. Und auch europäische Geheimdienste folgten dem Vorbild. Es ist Russland und China absolut nicht zu verdenken, dass diese ebenso digital massiv aufrüsten. In der heutigen Welt ist eine Auseinandersetzung über Netzwerke genauso entscheidend wie Radarerfassung. Die Kommunikationsstrukturen eines möglichen Aggressors zu stören oder abzuhören kann entscheidend für den militärischen Erfolg sein. Ebenso entscheidend kann es für eine erfolgreiche Verteidigung sein, die eigenen Systeme zu schützen.

Im Namen der Terrorbekämpfung wird Privatsphäre aufgegeben – Sicherheit wird dadurch aber nicht gewonnen

Mit den Enthüllungen von Edward Snowden wird jedoch klar, dass Geheimdienste nicht nur für Sicherheit sorgen. Natürlich ist ihre Aufgabe die Überwachung, das Aufspüren und das Ausschalten von Terroristen. Doch die dafür nötige Infrastruktur schaffen sich die Geheimdienste seit 2001 komplett selbst und ohne jegliche Zurückhaltung. Open-Source-Projekte werden unterwandert, damit Verschlüsselung unsicher wird. Sicherheitslücken in Betriebssystemen werden nicht nur nicht gemeldet, sondern es werden von den Geheimdiensten ganze Architekturen zum Ausnutzen dieser Schwachstellen gebaut.

Das alles im Namen der Sicherheit. Und viele werden sagen, sie haben nichts zu verbergen. Ganz abgesehen davon, dass wir dann auch bitte einen Livestream auf dem Klo bei demjenigen installieren könnten, gefährdet es die Sicherheit eher, als dass es ihr hilft. Der Wannacry-Angriff basiert auf einem Exploit namens EternalBlue. EternalBlue wurde vor einiger Zeit von einer Hacker-Gruppe namens Shadowbrokers der Welt feilgeboten. Sie behaupteten, eine andere Gruppe namens Equation Group gehackt zu haben und wollten nun deren Exploits gewinnbringend verkaufen. Sicherheitsexperten sehen in dieser Gruppe eine der am weitesten fortgeschrittenen und am besten ausgestatteten Cybersecurity-Problematiken weltweit. Sie betonen, dass das Rüstzeug der Equation Group auch den Stuxnet und Flame Entwicklern zur Verfügung stand. Beide galten zuvor als technische Wunderwerke der Cyberangriffe. Und legten Teile das iranischen Nuklearprogramms lahm.




Die Equation Group wird daher als Teil der National Security Agency der USA vermutet, da auch hier Stuxnet und Flame im Ursprung vermutet werden. Andere Hypothesen siedeln die Stuxnet Gruppe beim israelischen Geheimdienst an. Das würde die Einschätzung von Sicherheitsexperten der Equation Group stützen. Diese argumentieren, dass die Group immer als Erste die neusten Tools und Werkzeuge entwickeln. Und sie dann später sozusagen als freundliche Gabe, an die Macher der Stuxnet und Flame Architekturen weitergegeben haben sollen. Das wäre sinnvoll, wenn die NSA Tools entwickelt und diese an Verbündete unter Geheimhaltung weitergibt. Allerdings ist es reine Spekulation, basierend auf dem beobachtbaren Verhalten der Gruppe und ihrer Signaturen. Genaues ist nicht bekannt.

Zum Schutze der Bürger kann es nie eine absolute Privatsphäre geben?

Die EternalBlue Lücke in Windows, insbesondere bei alten Versionen, wurde zwar von Microsoft schnell geschlossen. Doch erst, nachdem sie auch bekannt wurde. Die NSA hat somit lange Zeit von einer absolut kritischen Sicherheitslücke in Computern gewusst und diese nicht nur nicht gemeldet, sondern sie sogar noch gefördert. Und damit kommen wir zum Kernproblem: Sicherheit.

In Zeiten des Terrorismus fordern manche Bürger und Politiker mehr Sicherheit. Mehr Gesetze, mehr Überwachung, mehr Möglichkeiten. Die Ermittlungsbehörden fordern beispielsweise, dass es keine Privatsphäre geben darf, in die nicht eingedrungen werden kann. Der gerade aus dem Amt geworfene ehemalige FBI-Direktor James Comey sagte auf einer Konferenz, dass die USA einen Vertrag zwischen Staat und Bürgern haben. Zum Schutze der Bürger werde es nie eine absolute Privatsphäre geben. Das Datenschutz-Denken in Europa ist anders, vom Empfinden und auch von den Gesetzen her. Doch trotzdem fordern viele Behörden einen besseren Zugang. Meta-Daten Gesetze wie die europäische Fluggast Datenbanken und Vorratsdatenspeicherung werden auch in Europa oftmals thematisiert. Auch, wenn sie hier schlechtere Karten haben.

Das Fatale: Den Geheimdiensten wurden die eigenen Werkzeuge zum Hacken geklaut

Die Lücken in unseren Computersystemen existieren. Und sie müssen geschlossen werden. In den Millionen Zeilen Code finden sich immer Fehler, manche davon fatal. In der schnelllebigen Welt ist es daher unabdingbar, diese schnell zu schließen. Wenn die NSA das Rüstzeug aufbaut, alle Windows-Computer anzugreifen, dann muss ihr klar sein: Jeder andere kann das auch. Dieses Mal wurden ihr sogar ihre eigenen Werkzeuge geklaut.

Es gibt keine Hintertüren, die nur für die Regierung oder Ermittlungsbehörden offen wären. Es gibt keinen sicheren Schlüssel, mit dem eben nur die Polizei, das BKA oder FBI mal eben nachschaut. Diese Türen stehen absolut jedem offen, der sie zu öffnen weiß. So schmerzhaft das ist: Eine Hintertür ist nicht akzeptabel. Stell dir vor, du baust dir deine Haustür mit einem roten Knopf. Der rote Knopf braucht eine Polizeikarte, dann geht die Tür für die Polizei auf, wenn sie den Knopf drückt. Bei hunderttausenden Polizisten, wie hoch ist die Wahrscheinlichkeit dass jemand diese Karte kopiert? Nun, sie ist bei hundert Prozent. Sicherheit im Cyber-Zeitalter ist nicht mehr damit gewährleistet, dass man Ausnahmen für den Staat macht. Es geht einfach technisch nicht. Doch genau das wollen Politiker und Ermittlungsbehörden oft nicht verstehen. Das Argument ist, man müsse „Hintertüren für die Sicherheit offen lassen.“ Das ist allerdings unmöglich. Aber es ist auch nichts Neues.

Es gibt keine Kommunikation, die sicher und gleichzeitig abhörbar ist

In den 90ern gab es bereits ähnliche Debatten um den Clipper Chip. Dieser Chip sollte eine sichere Kommunikation zwischen Telefonen ermöglichen. Man ruft bei jemandem an, die beiden Telefone tauschen Schlüssel aus und es wird sicher miteinander kommuniziert. Doch der Clipper-Chip benutzte einen Standard, bei dem ein zweiter Schlüssel, der bei den Behörden hinterlegt war, die Anrufe wieder entschlüsseln konnte. Eine eingebaute Hintertür. Sicherheitsexperten, unter ihnen der renommierte Bruce Schneier, argumentierten gegen den Clippe-Chip und auch Sicherheitsfirmen wie RSA Security nutzten ihre Lobby, um den Chip zu verhindern. Die Idee war, man könne den Chip in jedes Telefon und jeden Computer einbauen und so sichere, aber abhörbare Kommunikation ermöglichen. Es dauerte jedoch nicht mal ein Jahr, bis das Verfahren gebrochen war. Nicht nur, dass das Verfahren in einer Form gebrochen werden konnte, mit dem die Regierung dann doch nicht mehr zuhören konnte. Es wurden auch Möglichkeiten gefunden, den Clipper-Chip entweder als eine Art kostenloser Verschlüsselungsdienstleister zu nutzen oder aber die Systeme vollständig zu umgehen. Das Projekt war relativ schnell unpopulär und viele der heute gängigen Verschlüsselungssysteme wie PGP wurden als Reaktion entwickelt. Wenn diese Pakete frei verfügbar waren und im Netz angeboten wurden, so dachte man, wäre es einfacher, Projekte wie den Clipper Chip zu verhindern.

Auch heute fordern Politiker manchmal eine Art „goldenen Schlüssel“ zu Systemen wie unseren Smartphones. Nach dem San Bernardino Shooting hatte das FBI ein iPhone beschlagnahmt, dass dem Täter gehörte. Die Daten darauf waren verschlüsselt. Das FBI forderte, dass Apple diese Daten entschlüsseln sollte. Apple weigerte sich. Die Software, die dafür nötig wäre von Apples Seite, war schlichtweg auch nicht vorhanden und hätte geschrieben werden müssen. Der Fall ging vor Gericht, aber das FBI zog seine Anfrage zurück, nachdem sie das Smartphone geknackt hatten. Dass Regierungsbehörden mit einer solchen Forderung dem Missbrauch Tür und Tor öffnen, ist ihnen und vielen Bürgern oft nicht klar. Uns muss als Gesellschaft klar sein, dass jedes System mit einer Tür auch geöffnet werden kann. Es gibt keine absolute Sicherheit in der Cyberwelt. Wenn Apple ein System entwickelt, bei dem das Telefon vom Hersteller entschlüsselt werden kann, kann das System von jeder Person angegriffen werden, die weiß wie das gehen könnte. Und genau das haben die gleichen Autoren des Clipper-Chip-Papers auch 2015 nochmals betont: Wenn wir Hintertüren schaffen, schaffen wir damit gezielt Unsicherheit.

Eigentlich ist Spionage ja nicht einmal legal. Es ist immerhin Spionage

Um Legalität geht es dabei gar nicht mal. Wir tun als Gesellschaft oft so, als wären die Geheimdienste wirklich eine legale Institution. Dabei gilt das nur für das jeweilige Inland. Wir schaffen Geheimdienste, damit sie die Regeln anderer Länder und Organisationen brechen. Nur im Inland sind sie wirklich der Kontrolle unterworfen. Und das ist gar nicht mal das Problem. Geheimdienste sind dafür da, zu spionieren, was überall illegal ist. Ein Schweizer wurde gerade festgenommen, weil der Schweiz der Ankauf von Steuerdaten nicht passt. Der Ankauf von Geschäftsgeheimnissen durch die Finanzämter ist in der Schweiz illegal. Das ist das legitim und es ist ebenso legitim, dass die Schweiz dann diejenigen ausspioniert, die ihre eigenen Gesetze brechen. Das ist die Aufgabe von Geheimdiensten. Auch das Aufspüren von Personen und militärischen Zielen ist legitim. Das ist ihre Aufgabe.

Das Internet und seine Infrastruktur sind allerdings global. Und da wird es dann problematisch. Erfinden wir doch einfach ein paar im Rahmen liegende Fälle. Wenn ein deutscher Geheimdienst wie der BND die Firmware von Netzwerk-Switches oder Routern verändert und hackt, dann sind davon nicht nur die Ziele, sondern theoretisch weltweit alle Switches betroffen. In China, den USA, Russland, Deutschland. Die Lücke ist überall. Wenn die NSA ein Team hat, das Open-Source-Verschlüsselungsalgorithmen schwächt, indem sie Fehler einbauen, dann kann jeder, der diese Fehler kennt, diese Algorithmen brechen. Banken und Websites die diese nutzen, sind weltweit angreifbar. Egal in welchem Land, für welche Regierung oder welche Organisation sie arbeiten. Wenn der GCHQ (Government Communications Headquarters) die Firmware von Überwachungskameras manipuliert, kann ein findiger Hacker diese überall kontrollieren. Egal, für wen derjenige arbeitet. Wenn die NSA und ihre Equation Group ein massives Rüstzeug aufbauen, mit dem sie Unmengen von Windows-Rechnern weltweit angreifen und multiple Schwachstellen angreifen, um jeden Rechner übernehmen zu können und diese Schwachstellen NICHT melden, dann sind fast 1,5 Milliarden weltweit gegenüber diesem Rüstzeug verwundbar. Es kann gar nicht oft genug betont werden, das Schwächen im System nicht national oder regional sind. Sie sind allgegenwärtig.

Offensichtlich sollten Geheimdienste unsere Sicherheit nicht gefährden

Ich habe nichts gegen Geheimdienste. Absolut nicht. Manche Angriffe auf Systeme erfordern das Mitwirken des Benutzers. Wenn also jemand einen USB Stick aufnimmt, auf eine Datei klickt in einem Anhang, wenn also das System nur über einen Benutzerfehler übernommen wird, dann ist das auch noch irgendwie akzeptabel. Es ist keine inhärente Systemschwäche, der Nutzer muss einen Fehler machen. Wenn jemand physisch an den Rechner herangeht und diesen aktiv infiziert, auch dann ist das eine Vorgehensweise, die ich akzeptieren kann. Wenn dafür in Wohnungen eingebrochen wird, beispielsweise, ist das sicherlich etwas erschreckend, aber nur für die einzelne Zielperson. Wenn Geheimdienste solche Schwächen ausnutzen, die ein wenig Finesse oder Handarbeit erfordern, ist das im Rahmen ihrer Aufgaben in Ordnung. Immer noch illegal je nach Land, aber im Rahmen dessen, wofür sie erschaffen wurden. Aber als Gesellschaft müssen wir uns die Frage stellen, ob es in Ordnung ist, wenn Geheimdienste die Sicherheit unser aller Transaktionen, unserer Krankenhäuser, unserer Geschäftsbeziehungen und unserer gesamten elektronischen Infrastruktur gefährden dürfen. Ich denke, das sollten sie nicht. Sie sollten sicherlich ihre Arbeit tun. Aber ihre Aufgabe ist es, FÜR Sicherheit zu sorgen. Und diese nicht zu gefährden.

Frank Taeger, Gastautor Volksverpetzer Taeger, M.Sc. (Merit), ist Autor für Kraft- und Fitnesstraining, Executive Performance Coach und Lehrbeauftragter für Wirtschaftspsychologie. Hier könnt ihr dem Volksverpetzer auf Facebook folgen.