IT-Sicherheit in Malawi ist auch Kampf gegen Häftlinge

Inhaltsverzeichnis

Malawi ist eines der am wenigsten entwickelten Länder der Welt. Erst seit 2016 hat es ein Gesetz für IT-Sicherheit, den Electronic Transactions and Cyber Security Act. Im Jahr darauf begann mit Unterstützung der Internationalen Fernmeldeunion ITU der Aufbau eines Computer Emergency Response Teams (CERT). Dessen Chef, Dr. Christopher Banda, hat heise online im Rahmen der FIRST Conference 2023 (Forum of Incident Response and Security Teams) zum Gespräch getroffen. "Niemand (in Malawi) konnte verstehen, was ein CERT ist", beschrieb er die Situation in den Anfangsjahren.

Nach Verzögerungen durch die COVID-19-Pandemie entwickelt sich das Malawi Computer Emergency Response Team (mwCERT) heute zum Fokus der IT-Sicherheit in dem agrarisch geprägten Binnenland. "Die Digitalisierung in Malawi ist derzeit noch gering", bestätigte Banda, "Aber die Regierung drückt bei Digitalisierung auf die Tube. Jeder weiß, dass das zu mehr Angriffen auf IT-Systeme führen wird."

Diplomatischer Datenkorridor

Zeitgleich zur FIRST Conference in Montreal fand in Ägypten ein Globales Symposium für Regulierer der ITU statt. Malawis Digitalisierungsminister Moses Kunkuyu forderte dabei wohlhabende Länder auf, mehr für die Digitalisierung in armen Ländern zu geben. Seine Regierung setzt besonders auf den Bildungsbereich und hat bereits 7.000 Schulen ans Internet anbinden können. Leider sind die Kosten für Datenübertragung hoch, weil Malawi als Binnenland keinen direkten Zugang zu Unterseekabeln hat. Kunkuyu möchte diesem Problem durch "diplomatische Datenkorridore" begegnen: Staatliche Glasfaser, die durch Drittländer zu Kabellandestellen am Meer führt. Bis es dazu kommt, werden wohl noch Jahre vergehen, aber eine grundsätzliche Absichtserklärung möchte Malawi bald mit Mosambik, Namibia, Sambia und Tansania unterzeichnen.

Das mwCERT ist als Unterabteilung der Telekom-Regulierungsbehörde eingerichtet, was auf der FIRST Conference für Stirnrunzeln sorgte; eine Ausgliederung zeichnet sich aber ab. Sechs Personen arbeiten bei der Einrichtung, weitere zwei sind von anderen Regierungseinrichtungen beigeordnet; dazu kommen Studierende, die ein Praktikum absolvieren.

Eigenbau fehlt

Solche Studenten seien für Malawi, das mehr als 20 Millionen Einwohner hat, besonders wichtig, betonte Banda, denn einschlägige Fachkräfte sind ausnehmend rar. Sie werden derzeit generell im Ausland ausgebildet, was sehr teuer ist. "IT-Sicherheit wird noch nicht als eigenes Gebiet gesehen", erklärte der Sicherheitsexperte, "sondern oft als Teil von IT (im Allgemeinen)." Daher versuche das mwCERT die Universitäten Malawis dafür zu gewinnen, IT-Studiengänge auch über Bachelor-Studiengänge hinaus sowie solche mit Spezialisierung auf IT-Sicherheit einzuführen.

Afrika sei bei digitaler Technik generell viel zu abhängig von anderen Kontinenten, beklagte Banda, was zum Teil auch an einem Outside Dependency Syndrom liege: "Wir müssen unsere eigene Innovation hinbringen, um Dinge selbst zu machen." Dazu gehöre auch, "für unsere eigenen Sprachen in Software zu kämpfen". Wenn die Interfaces immer nur Englisch oder Französisch seien, helfe das nicht beim sicheren Einsatz. Nicht zuletzt seien Einschulungen aufwändiger.

Der Import von Software aus dem Ausland sei zudem teuer, womit die Beschaffung wichtiger Software oft entfallen müsse; selbst für fortlaufende Updates fehle Anwendern oft das Geld. All das unterminierte ebenfalls die IT-Sicherheit. Selbst für das mwCERT sei es schwierig, geeignetes Personal zu finden, erzählte der Manager. Die Bewerbungen, die er bekomme, kämen von IT-Leuten ohne Spezialisierung auf Sicherheit, bedauerte der Mann.

Betrug um Mobile Money floriert

Während in westlichen Ländern Investmentbetrug mit Kryptowährungen sowie Ransomware für große Schäden und Schlagzeilen sorgen, sind diese Dinge beim mwCERT kaum Thema. Warum, kann Banda nicht genau sagen. Nahe liegt die Erklärung, dass die einschlägigen Täter in Malawi nur wenig Geld holen könnten und sich daher auf reichere Opfer konzentrieren.

Das größte Sicherheitsproblem mit IT-Bezug in Malawi ist laut Banda eindeutig Betrug rund um Mobile Money. Während klassische Bankkonten nicht weit verbreitet sind, hat fast jeder malawische Handynutzer ein Mobiltelefon mit Guthaben, das von einem Handy zum anderen überwiesen und auch wieder abgehoben werden kann. Auf diese winzigen Vermögen haben es Angreifer abgesehen-

Sie operieren meist aus dem Inland und versuchen entweder, ihre Opfer unter Vorspiegelungen zu Überweisungen zu bewegen, oder sie übernehmen gleich das ganze Konto, häufig durch sogenanntes SIM-Swapping. Dabei gibt sich der Täter gegenüber dem Netzbetreiber als rechtmäßiger Inhaber des Mobilfunkanschlusses aus, der seine SIM-Karte verloren habe, und lässt sich eine neue ausstellen, mit der er dann das fremde Mobile-Money-Konto abräumt.

Betrugsmaschen gibt es sonder Zahl; nicht selten gehen die Täter auch mehrstufig vor und rufen das Opfer wiederholt an, wobei sie sich beispielsweise als Netzbetreiber, Finanzinstitut oder Behörde ausgeben. Unter falschen Behauptungen werden stückchenweise Daten wie Name, Geburtsdatum oder PIN herausgelockt, bis schließlich genügend Daten gesammelt sind, um das Konto übernehmen zu können. Klassisches Social Engineering also, das dadurch erleichtert wird, dass das durchschnittliche Bildungsniveau niedrig ist. Ein gutes Drittel der Malawier kann nicht lesen und schreiben.

Häftlinge als Täter

Hinter dem Betrug steckt in der Regel organisierte Kriminalität, weiß Banda. Und die bediene sich dazu häufig Telefonisten, die bereits in Gefängnissen einsitzen. Sie haben schließlich viel Tagesfreizeit, keine legalen Verdienstmöglichkeiten, und schlimmer kann ihre Lage auch kaum werden. Also werden SIM-Karten und Handys in Gefängnisse geschmuggelt.

Zudem sind die Haftanstalten heillos überbelegt, wie Bilder in The Guardian 2016 gezeigt haben. Selbst die Gefängniswärter seien so schlecht versorgt, dass sie ebenfalls auf Hilfe durch Ärzte ohne Grenzen angewiesen sind, hat The Guardian damals berichtet.

Aus Platzmangel müsse ein Großteil der Gefangenen im Sitzen schlafen, hat die örtliche The Times Group 2019 berichtet. Nur wenige, schon lange in einer Massenzelle Inhaftierte, hätten sich einen Platz zum Anlehnen an der Wand verschaffen können. Damals gab die Gefängnisverwaltung in einer Aufstellung für das Parlament an, dass in einem Gefängnis fast die zehnfache Anzahl der Häftlinge festgehalten werde. Insgesamt hatte das Haftsystem demnach damals fast dreimal so viele Insassen wie vorgesehen. Duschen sind seltener Luxus, Seife gibt es keine. Verbunden mit der absurden Überbelegung lässt das Seuchen wie HIV, Krätze und Tuberkulose grassieren.

Keine Anwälte, keine Nahrung

Also haben es die Banden nicht schwer, in Gefängnissen Telefonisten zu rekrutieren. Für Manche mag solcher Telefonbetrug auch der einzige Weg aus dem Gefängnis sein: Ausländische Häftlinge in Malawi bleiben auch nach Verbüßung ihrer Strafe unbefristet in Haft, bis sie das Geld für Ausweisung und Rücktransport in ihr Heimatland aufbringen. Weil Anwälte rar und teuer sind, hatten die allerwenigsten Häftlinge in ihrem Gerichtsverfahren einen Rechtsbeistand.

Die Digitalisierungskampagne der Regierung hat ihre Schwierigkeiten. 2021 hat sie mit Unterstützung der Weltbank, Südkoreas und der Afrikanischen Entwicklungsbank ein Integrated Financial Management Information System (IFMIS) für Malawis Behörden installiert. Dieses IFMIS soll die Kontrolle über Ausgaben sowie die Transparenz der Finanzgebahrung verbessern. Die Gefängnisverwaltung hat es bis heute aber nicht geschafft, dieses System zu nutzen, wie die Behörde der Zeitung The Nation bestätigt hat. Rechnungen für Strom, Wasser und die sowieso unter jeder Kritik gelieferte "Nahrung" bleiben seither unbezahlt; inzwischen gibt es in den meisten Haftanstalten Malawis überhaupt kein Essen mehr.

SIM-Registrierung, Bewusstseinsbildung

Das winzige CERT eines armen Landes kann die Haftbedingungen natürlich nicht verbessern. Es versucht, durch eine nationale Task Force dem grassierenden Mobile-Money-Betrug entgegenzuwirken. Der Task Force gehören neben der Polizei auch die Gefängnisverwaltung, die Mobilfunk-Netzbetreiber, Geldinstitute und die malawische Regulierungsbehörde an.

Letztere hat im Mai strenge Regulierung für die Ausgabe von SIM-Karten ausgearbeitet: Jeder Bürger, der eine SIM-Karte haben möchte, soll sich persönlich und biometrisch ausweisen müssen; die Zahl der SIM-Karten pro Bürger und Netz soll beschränkt werden; wer bereits mehr SIM-Karten hat, soll die überzähligen aufgeben müssen; und die Netzbetreiber sollen dazu verpflichtet werden, ihre Kundendatenbanken für das National Registration Bureau zu öffnen. Damit sollen Malawis Behörden immer sofort sehen können, wem eine bestimmte Telefonnummer gehört.

Das alleine wird nicht reichen. Daher laufen in Radio und Fernsehen Kampagnen, die auf die Gefahren des Social Engineering aufmerksam machen. Gleichzeitig setzt sich Banda dafür ein, dass in Malawi zusätzlich zum mwCERT noch branchenspezifische CERT entstehend, beispielsweise für den Finanzsektor und den Bildungsbereich. Auch beim Gesetzgeber lobbyiert das mwCERT immer wieder, um neue oder veränderte Gesetze zu bewirken.

Neuerdings organisiert Bandas Organisation selbst Fortbildungen, um grundlegendes Verständnis für IT-Straftaten zu verbessern. Im Dezember richtete das mwCERT das erste Training für Polizisten aus, im Februar gab es eine Veranstaltung für die wenigen Richter, Staatsanwälte und Anwälte, die Malawi hat. Das Interesse sei da, auch der höchste Richter des Landes habe teilgenommen, erzählte Banda im Gespräch mit heise online.

Fake News im Kleinen und Großen

Neben dem Betrug mit Mobile Money kämpft Malawi mit Lügen in Sozialen Netzwerken. Einerseits werden klassische Fake News verbreitet, andererseits werden Unwahrheiten über einzelne Personen verbreitet. Für Betroffene kann das dramatische Folgen haben, sowohl im sozialen Umfeld, am Arbeitsplatz als auch der bei der eigenen mentalen Gesundheit. Solche Postings hätten in Malawi bereits zu Suiziden geführt, klagt Banda.

Malawier nutzten hauptsächlich Soziale Netzwerke von Meta Platforms, nämlich Facebook, Instagram und Whatsapp. Twitter werde hingegen kaum genutzt, merkte Banda an. Whatsapp sieht er als besondere Herausforderung, weil Unwahrheiten nicht in Foren gepostet sondern durch Weiterleitung von Mitteilungen verbreitet würden. Deren Ursprung sei dann oft schwer zu eruieren.

Mit Facebook hat das mwCERT eine Partnerschaft geschlossen, um problematische Inhalte melden zu können. Diese würden in letzter Zeit aber nur noch langsam bearbeitet, beklagt der mwCERT-Chef. Facebook setze dafür Personen in in Südafrika und Kenia ein, aber "niemand dort spricht Chichewa", die größte von zahlreichen einheimischen Sprachen Malawis

So macht Meta es sich selbst unmöglich, aktiv gegen gefährliche Inhalte vorzugehen. Schon Facebook-Whistleblowerin Frances Haugen hat angeprangert, dass Facebook für die meisten Sprachen der Welt gar keine Systeme für Civic Integrity und Sicherheit installiert hat.

ITU Cyberdrill

Die ITU führt regelmäßig sogenannte Cyberdrills durch. Sie sollen die Vorbereitung, Abwehr und Antwort auf IT-Attacken unterstützen und bestehen aus einem Konferenzteil sowie praktischen Übungen für CERTs. Im Mai hat erstmals ein ITU Cyberdrill in Malawi stattgefunden, auch CERTs anderer afrikanischer Länder haben daran teilgenommen.

Es war der 39. Cyberdrill insgesamt seit dem Auftakt im Jahr 2011, und der achte in Afrika. Dass die ITU dafür Malawis Hauptstadt Lilongwe ausgewählt hat, ist auch Bestätigung für den Weg, den das 2017 gegründete mwCERT geht. (Zum Vergleich: Österreich hat sein CERT gerade einmal neun Jaher vorher gegründet.)

Banda präsentierte auf der FIRST Conference in Montreal die Lehren aus den ersten Jahren: Wichtig seien gute rechtliche Grundlagen, die Einbeziehung aller "Stakeholder" und Kooperationen, nationale wie internationale. Seine Empfehlungen an andere Länder, die mit bescheidenen Mitteln ein CERT betreibern möchten: Klein Anfangen, auf Open-Source-Lösungen setzen und schrittweise Fähigkeiten aufbauen.

Typische Aufgaben eines CERT

Ein Computer Emergency Response Team dient typischerweise vor allem als Informationsdrehscheibe zu sicherheitsrelevanten Ereignissen im Internet. Internationale Vernetzung einerseits und Kommunikation mit nationalen Unternehmen, Behörden und der Öffentlichkeit andererseits, sind dabei wichtig. Zu den Aufgaben gehört die Analyse von Vorfällen, das Ergreifen, Vorschlagen oder Veranlassen von Maßnahmen, die Koordinierung deren Durchführung sowie die Nachbereitung, wozu auch eine Wirksamkeitskontrolle gehört. Strafverfolgung gehört ebenso wenig zum Tätigkeitsbereich von CERTs, wie Endusersupport.

FIRST (Forum of Incident Response and Security Teams) hat sich zur Aufgabe gestellt, Sicherheitsteams und Incident-Response-Einrichtungen aller Länder zusammenzubringen, im Streben nach einem sicheren Internet für alle. Die Organisation wurde 1990 gegründet. Heute gehören ihr CERTs von über 600 Firmen, Behörden, Universitäten und anderen Einrichtungen aus hundert Ländern aller besiedelten Kontinente an. Die 35. FIRST Conference fand vergangene Woche in Montréal, Kanada, statt.

(ds)