4W

Was war. Was wird.

Warum wir Airbusse schon, aber banale Betriebssysteme nicht sicher machen können, wundert sich Hal Faber angesichts des jüngsten Cyber-Circus und lobt den exklusiven Toilettenwagen des BKA.

In Pocket speichern vorlesen Druckansicht 33 Kommentare lesen
Lesezeit: 9 Min.
Von
  • Hal Faber

Wie immer möchte die Wochenschau von Hal Faber den Blick für die Details schärfen: Die sonntägliche Wochenschau ist Kommentar, Ausblick und Analyse. Sie ist Rück- wie Vorschau zugleich.

Was war.

*** Glückliches Deutschland! Seit letzter Woche haben wir offiziell eine "zentrale regierungsnahe Informationsstelle über Software-Schwachstellen, Dienstablehnungsangriffe und sonstigen Netzfug". Weil Zereinüsoschdieusone nicht eben einfach zu memorieren ist, ist daraus fesch das nationale Cyber-Abwehrzentrum geworden. NCAZ, mit leichten Anklängen an Alcatraz und den schwer schuftenden nationalen Cyber-Sicherheitsrat. Auch das Gemeinsame Internetzentrum lässt grüßen und spendet Beifall. Jubel? Jubel!. "Im BSI in Bonn-Mehlem hat die Kernmannschaft von 10 Mitarbeitern ihr Domizil. Gemeinsam mit weiteren Verbindungsbeamten der assoziierten Behörden analysieren die Spezialisten IT-Vorfälle, tauschen Informationen aus, spielen Szenarien durch und geben Handlungsempfehlungen heraus." Der erste Erfolg ist schon sichtbar. Während die Lageberichte des BSI zur IT-Sicherheit bisher alle zwei Jahre erschienen sind, sollen sie künftig cyberschnell jährlich veröffentlicht werden. Wie wäre es denn mit der Schlagzahl des Bundes-CERT und entsprechender Aufstockung der Abwehrkräfte?

*** Lieber nicht. Punkt 16:00 am Freitag ist Schluss mit den Empfehlungen. Dann werden die speziell trainierten Cyber-Hunde der Hundestaffel Gassi geführt und müssen nicht mehr erschnüffeln, wer ein Hund ist oder eine lesbische Bloggerin in Syrien. Dann gehen die 10 Super-Cyber ins Wochenende und überlassen die Beobachtung des Cyberraums dem Gemeinsamen Melde- und Lagezentrum (GMLZ) und dem Gemeinsamen Terrorismus-Abwehrzentrum (GTAZ), das seit Jahren Erfolge über Erfolge anhäuft.

*** Alle, alle kamen sie nach Bonn in die ehemalige Zentrale für Chiffrierwesen zur Eröffnung des neuen Arbeitsplatzes von "Friedrichs Zehn" auf der Mission Impossible. Mächtige Generäle und Katastrophenschutzvorsitzende, aber auch einfache Bittsteller wie Jörg Ziercke vom BKA, das tags darauf ebenfalls in Bonn offiziell seinen Geburtstag in einem Spannungsfeld feierte. Seine Wiesbadener Organisation ist derzeit ja praktisch blind, so ohne Vorratsdaten und Gefriertrocknung derselben. Für alle, die kamen, stand auf dem Parkplatz ein exklusiver Toilettenwagen voll Marmor- und Mahagoni-Imitaten bereit. Wer ihn betrat, wurde mit Musik und Düften besäuselt.

*** Eine derart stilgerechte Kotztüte für diesen ganzen Cyber-Circus macht Sinn. Man denke nur an die Milliarden von DM und Euro, die Deutschland nicht erst seit Clementgate in US-amerikanische Software investiert hat, ohne ein Fünkchen von Überlegung, ob selbst entwickelte, nationale Alternativen nicht vielleicht der bessere Weg sind. Die Milliarden, die in Deutschland von Staats wegen in den Kauf eines Dauerpatch namens Microsoft Windows in seinen verschiedenen Varianten gesteckt wurden, hätten locker gereicht, ein eigenes, von Grund auf sicheres Betriebssystem für staatliche Rechner zu entwickeln. Das völlige Versagen der Informatik in dieser Frage ist eklatant und kann nicht allein damit erklärt werden, dass Deutschland einstmals das führende Land war, gemessen an den OS/2-Installationen einer Firma, die in diesen Tagen den großen Trallafitti macht. Ein Land, das mit SAP bei Software für die Buchführung, das Controlling, die Lagerhaltung und das Personalwesen den Markt beherrscht, ein Land, in dem Steuerberater mit ihrer Genossenschaft das weltweit größte Data-Mining betreiben und über Google lachen, hat es nicht geschafft, Sicherheit auf einem ganz banalen Alltagsniveau gegen den Schrott aus Amerika durchzusetzen. Natürlich kann die gelehrte Informatik auf Sprösslinge wie Eumel, L3 und schließlich L4 verweisen, doch bleibt das Rätsel bestehen, warum ein Airbus damit sicher gemacht werden kann, ein simpler PC aber nicht.

*** Das Elend setzt sich mit einer anderen amerikanischen Firma namens Adobe fort. Während die Bildpresse das Cyber-Abwehrzentrum in allen Stellungen ablichtete, plauderte der BSI-Mitarbeiter Hartmut Isselhorst über die Angriffe, mit denen sich das Abwehrzentrum beschäftigt. Er zeigte Webseiten, wo 0-Day-Exploits gehandelt werden, demonstrierte, wie ein Angriff mit dem Pinch 2 Pro Builder zusammengefrickelt und in ein hübsches PDF namens "Kongressunterlagen" gepackt wird, ehe es als Mail-Attachment auf die Reise geht. Dabei geht die E-Mail gezielt an einen Behördenmitarbeiter und selbst der Verteiler im cc: ist bis ins Detail "echt". Wird das PDF trotz Firewall und AV-Programm ausgepackt, macht es sich an die Arbeit und schickt seine Ergebnisse an eine von über 200 Dropzonen, die das BSI allein in Deutschland kennt. 1.107.431 "Datensätze" sollen so im Jahre 2010 aus dem Regierungsnetz geflossen sein, was zu der Frage führt, warum es keinen selbst entwickelten sicheren, besonders gehärteten PDF-Viewer gibt. Der Wert der entwendeten Daten wird mit dem Wert eines Kampfhubschraubers verglichen. Muss erst ein Daten-GAU im Wert eines Flugzeugträgers passieren? Ach, dann ist es ja Cyber-War, der echte Krieg und andere sehen hin.

*** Überhaupt ist der Cyber-War ein Wort, das im Cyber-Abwehrzentrum wie der leibhaftige Gottseibeiuns gemieden wird. Man will um jeden Preis die Abwehr ohne den Gegenangriff. Die Fieberkurve eines DDOS auf ein deutsches Ministerium wurde gezeigt, das 24 Stunden lang nur schwer erreichbar war. Ein harmloser Online-Protest, Herrschaften, bitte weiter gehen. Ab sechs dieser DDOS-Attacken wird der Vorfall als systemische Blockade gewertet. Sollte aber ein komplettes Netz wie der Informationsverbund Bonn-Berlin angegriffen werden, greift die Analogie zur Seeblockade und das Ganze ist ein kriegerischer Akt, auf den gesamtkybernetisch geantwortet werden muss, mit Vergeltungsanschlägen, wie dies der Bündnispartner USA formuliert. Wie schön, dass dort eine Defense Industrial Base und ein virtuelles Testgelände namens National Cyber Range hochgezogen wird, auf dem unsere Bundeswehr mitüben darf, wie man so kämpft im Cyberwar.

*** Sowohl BSI-Mitarbeiter Isselhorst wie BSI-Chef Hange und Innenminister Friedrich erwähnten in ihren Festreden zur Eröffnung das arme Handelsblatt, das im Februar 2010 unfreiwillig für einen Drive-By-Exploit über den Browser instrumentalisiert wurde. Auch hier muss die Frage erlaubt sein, was eigentlich bei der Entwicklung von Browsern passiert ist, dass aus harmlosen Dokumentenbetrachtern aktiv im lokalen System herumpfuschende Angriffsvektoren wurden. Für Puritaner liegt der Sündenfall weit zurück, als Marc Andreessen bei Netscape die Cookies einführte. Oder begann es schon früher mit den ersten kybernetisch inspirierten Tools?

*** Disclaimer: Diese kleine Wochenschau ist von dem Blogbeitrag von Hadmut Danisch inspiriert worden, der die Fragen etwas anders zuspitzt. In einem Punkte ist ihm unbedingt zuzustimmen: Die Dramatik des 'Cyber-War' beruht keineswegs darauf, daß wir nun von so vielen bösen Chinesen und Russen angegriffen werden. Sie beruht darauf, daß wir selbst etwa 20 Jahre lang in Ignoranz und Dummheit einen so großen Haufen schlechter IT-Technik aufgetürmt haben, der so voller Sicherheitslöcher ist, daß wir sie nicht mehr in den Griff bekommen – die schiere Quantität, aber auch das Fehlen einer eigenen Industrie in diesem Bereich machen das unmöglich. Alle Welt redet von der Problematik der Atomendlager, wo wir die Sünden der letzten Jahre hinpacken. Daß aber der Cyber-War und unsere Verletzlichkeit tatsächlich nur die Folge von über 20 Jahre politischer und wissenschaftlicher Ignoranz ist, und unser Sicherheitsproblem der in dieser Zeit als Infrastruktur aufgehäufte unsichere Mist, also nicht die bösen Hacker, sondern unser Management und unsere Politik die Täter sind, wird verschwiegen. Die Unsicherheit, die Verletzlichkeit im Cyber-War ist nicht systemimmanent. Sie ist eine spezifische Eigenschaft des IT-Mistes, aus dem wir in den letzten 20 Jahren unsere Infrastruktur kritiklos gebaut haben. Nun haben wir den Salat, aber keine Exit-Strategie.

Was wird.

Wird es besser, wenn am Dienstag der Sommer anfängt? Salattechnisch gesehen gibt es keine Besserung und auch sonst sind die Themen im Frankfurter Raum eher trist, wie die Agenda der Innenminister-Konferenz (PDF-Datei!) zeigt. Das nationale Waffenregister, die Evaluierung und mögliche Verlängerung der Sicherheitsgesetze, der bald anstehende Wirkbetrieb des "Nachrichtendienstlichen Informationssystems/Wissensnetz" (NADIS WN) und der Dauerbrenner Vorratsdatenspeicherung stehen unter anderem auf dem Programm. Ob wieder in hübscher Überschreitung aller Zuständigkeiten an einer "Formulierungshilfe" gewerkelt wird, die uneinsichtige Bundesjustizministerin von ihrem ach so paralogischen "Quick Freeze" zu bringen?

Was wäre ein Ausblick in den anstehenden Sommer ohne die wöchentliche Ration Cyberwar? "Wettrüsten in Cyberspace" diskutiert ein Workshop des FONAS und der Hamburger Friedensforscher das Thema des Sommerloches schlechthin. Ob die Abrüstung des ganzen "IT-Mistes" in Hamburg zur Debatte steht, ist nicht bekannt. Mit Viola ab in den Sommer. (ps)