IT-Sicherheit in Malawi ist auch Kampf gegen Häftlinge

Inhaltsverzeichnis

Malawi ist eines der am wenigsten entwickelten Länder der Welt. Erst seit 2016 hat es ein Gesetz für IT-Sicherheit, den Electronic Transactions and Cyber Security Act. Im Jahr darauf begann mit Unterstützung der Internationalen Fernmeldeunion ITU der Aufbau eines Computer Emergency Response Teams (CERT). Dessen Chef, Dr. Christopher Banda, hat heise online im Rahmen der FIRST Conference 2023 (Forum of Incident Response and Security Teams) zum Gespräch getroffen. "Niemand (in Malawi) konnte verstehen, was ein CERT ist", beschrieb er die Situation in den Anfangsjahren.

Nach Verzögerungen durch die COVID-19-Pandemie entwickelt sich das Malawi Computer Emergency Response Team (mwCERT) heute zum Fokus der IT-Sicherheit in dem agrarisch geprägten Binnenland. "Die Digitalisierung in Malawi ist derzeit noch gering", bestätigte Banda, "Aber die Regierung drückt bei Digitalisierung auf die Tube. Jeder weiß, dass das zu mehr Angriffen auf IT-Systeme führen wird."

Diplomatischer Datenkorridor

Zeitgleich zur FIRST Conference in Montreal fand in Ägypten ein Globales Symposium für Regulierer der ITU statt. Malawis Digitalisierungsminister Moses Kunkuyu forderte dabei wohlhabende Länder auf, mehr für die Digitalisierung in armen Ländern zu geben. Seine Regierung setzt besonders auf den Bildungsbereich und hat bereits 7.000 Schulen ans Internet anbinden können. Leider sind die Kosten für Datenübertragung hoch, weil Malawi als Binnenland keinen direkten Zugang zu Unterseekabeln hat. Kunkuyu möchte diesem Problem durch "diplomatische Datenkorridore" begegnen: Staatliche Glasfaser, die durch Drittländer zu Kabellandestellen am Meer führt. Bis es dazu kommt, werden wohl noch Jahre vergehen, aber eine grundsätzliche Absichtserklärung möchte Malawi bald mit Mosambik, Namibia, Sambia und Tansania unterzeichnen.

Das mwCERT ist als Unterabteilung der Telekom-Regulierungsbehörde eingerichtet, was auf der FIRST Conference für Stirnrunzeln sorgte; eine Ausgliederung zeichnet sich aber ab. Sechs Personen arbeiten bei der Einrichtung, weitere zwei sind von anderen Regierungseinrichtungen beigeordnet; dazu kommen Studierende, die ein Praktikum absolvieren.

Eigenbau fehlt

Solche Studenten seien für Malawi, das mehr als 20 Millionen Einwohner hat, besonders wichtig, betonte Banda, denn einschlägige Fachkräfte sind ausnehmend rar. Sie werden derzeit generell im Ausland ausgebildet, was sehr teuer ist. "IT-Sicherheit wird noch nicht als eigenes Gebiet gesehen", erklärte der Sicherheitsexperte, "sondern oft als Teil von IT (im Allgemeinen)." Daher versuche das mwCERT die Universitäten Malawis dafür zu gewinnen, IT-Studiengänge auch über Bachelor-Studiengänge hinaus sowie solche mit Spezialisierung auf IT-Sicherheit einzuführen.

Afrika sei bei digitaler Technik generell viel zu abhängig von anderen Kontinenten, beklagte Banda, was zum Teil auch an einem Outside Dependency Syndrom liege: "Wir müssen unsere eigene Innovation hinbringen, um Dinge selbst zu machen." Dazu gehöre auch, "für unsere eigenen Sprachen in Software zu kämpfen". Wenn die Interfaces immer nur Englisch oder Französisch seien, helfe das nicht beim sicheren Einsatz. Nicht zuletzt seien Einschulungen aufwändiger.

Der Import von Software aus dem Ausland sei zudem teuer, womit die Beschaffung wichtiger Software oft entfallen müsse; selbst für fortlaufende Updates fehle Anwendern oft das Geld. All das unterminierte ebenfalls die IT-Sicherheit. Selbst für das mwCERT sei es schwierig, geeignetes Personal zu finden, erzählte der Manager. Die Bewerbungen, die er bekomme, kämen von IT-Leuten ohne Spezialisierung auf Sicherheit, bedauerte der Mann.

Betrug um Mobile Money floriert

Während in westlichen Ländern Investmentbetrug mit Kryptowährungen sowie Ransomware für große Schäden und Schlagzeilen sorgen, sind diese Dinge beim mwCERT kaum Thema. Warum, kann Banda nicht genau sagen. Nahe liegt die Erklärung, dass die einschlägigen Täter in Malawi nur wenig Geld holen könnten und sich daher auf reichere Opfer konzentrieren.

Das größte Sicherheitsproblem mit IT-Bezug in Malawi ist laut Banda eindeutig Betrug rund um Mobile Money. Während klassische Bankkonten nicht weit verbreitet sind, hat fast jeder malawische Handynutzer ein Mobiltelefon mit Guthaben, das von einem Handy zum anderen überwiesen und auch wieder abgehoben werden kann. Auf diese winzigen Vermögen haben es Angreifer abgesehen-

Sie operieren meist aus dem Inland und versuchen entweder, ihre Opfer unter Vorspiegelungen zu Überweisungen zu bewegen, oder sie übernehmen gleich das ganze Konto, häufig durch sogenanntes SIM-Swapping. Dabei gibt sich der Täter gegenüber dem Netzbetreiber als rechtmäßiger Inhaber des Mobilfunkanschlusses aus, der seine SIM-Karte verloren habe, und lässt sich eine neue ausstellen, mit der er dann das fremde Mobile-Money-Konto abräumt.

Betrugsmaschen gibt es sonder Zahl; nicht selten gehen die Täter auch mehrstufig vor und rufen das Opfer wiederholt an, wobei sie sich beispielsweise als Netzbetreiber, Finanzinstitut oder Behörde ausgeben. Unter falschen Behauptungen werden stückchenweise Daten wie Name, Geburtsdatum oder PIN herausgelockt, bis schließlich genügend Daten gesammelt sind, um das Konto übernehmen zu können. Klassisches Social Engineering also, das dadurch erleichtert wird, dass das durchschnittliche Bildungsniveau niedrig ist. Ein gutes Drittel der Malawier kann nicht lesen und schreiben.