Was war. Was wird. Von bösen Hackern wunderbar umgeben, erwarten wir den neuen Tag

Wie immer möchte die Wochenschau von Hal Faber den Blick für die Details schärfen: Die sonntägliche Wochenschau ist Kommentar, Ausblick und Analyse. Sie ist Rück- wie Vorschau zugleich.

Was war.

*** Frühling ist's, meteorologisch gesehen. Amsel/Drossel, Fink und Star und die ganze Vogelschar, alle sind sie wieder da. Ja, auch die sind wieder da, die komischen Vögel in Zeitungsillustrationen, die am Rechner Kapuzen tragen und von "Sicherheitskreisen" irgendwo in Russland verortet werden. Bilder von Hackern, die zur Illustration des Bundeshack herhalten müssen, obwohl in 99 Prozent aller Fälle das schadhafte VBscript von ganz normalen Programmierern geschrieben wurde, die sich hier und da einen kleinen Scherz erlauben. Auch sie sind wieder da, die Politiker, die sich vor laufenden Kameras heftig empören, nicht "rechtzeitig" darüber informiert worden zu sein, dass das "bislang als sicher geltende Datennetz des Bundes" gehackt worden ist. "Als sicher geltend" ist die geschmeidige Umschreibung der Tatsache, dass der geschlossene Informationsverbund Berlin Bonn (IVBB) nur an zwei Stellen Übergänge ins normale Internet aufweist, die zudem von Spezialsoftware des Bundesamtes für Sicherheit in der Informationstechnik rund um die Uhr überwacht werden. Sie sind wieder da, die Schnellwisser, die meinen, mit dem guten Linux wäre das alles nicht passiert und die nationale Souveränität Deutschland wäre obendrein noch gesichert.

*** Und sowieso nie weg waren die beamteten Holzköpfe des Bundesinnenministeriums, die jetzt der Presse einen Vertrauensbruch vorwerfen. Die davon reden, dass es 100-prozentige Sicherheit eben nicht gibt und dann solche Sätze sagen: "Insofern kann ich Ihnen auf eine Frage 'Geschieht gerade etwas oder geschieht gerade nichts?' nie eine hundertprozentige Antwort mit Ja oder Nein geben." Ein Quäntchen dies, ein Quäntchen das und immer recht freundlich bitte. Nur zur Erinnerung: dieses Ministerium leistet sich nicht nur Erkenntnisphilosophen als Sprecher, sondern auch eine neue Behörde namens ZITiS, die Wege und Verfahren austüfteln soll, wie man von einem unscheinbaren Nebenposten aus wie dem der Bundesakademie für öffentliche Verwaltung ein Netz geduldig auskundschaftet. So lange, bis man weiß, wo die Leckerlis für eine kleine "Online-Durchsuchung" liegen, mit anschließendem unauffälligen Datei-Abtransport – sie nennen es "Ausleitung". Wie schreibt die tageszeitung in einem Kommentar treffend: "Statt konsequent Sicherheitslücken zu stopfen und für starke Infrastrukturen zu sorgen, will die Regierung künftig selbst verstärkt Sicherheitslücken aufkaufen, um besser spionieren zu können. Wer sich daran beteiligt, muss sich nicht über löchrige Netze wundern."

*** ZITiS ist auch für die Entwicklung oder den Einkauf von Trojanern zuständig, wie sie monatelang bei der Bundesakademie geparkt wurden, ehe der "Marschbefehl" von einem Command- & Control-Server kam. Beruhigend zu wissen, dass der Angriff unter Kontrolle ist und man die Bösebubensoftware nur zu Studienzwecken weiter werkeln lässt. Beruhigend ist es irgendwo auch, dass mit der Ukraine ein weiteres Land den Befall mit der Schadsoftware gemeldet hat – wir sind nicht allein. Etwas beunruhigender ist die Nachricht, dass ein "befreundeter" Geheimdienst den Hinweis auf den Angriff gab. Im Umkehrschluss heißt dies, dass unsere Dienste und sonstigen Abwehrzentren nichts registrieren konnten, dass die beiden vom BSI bewachten "Übergangspunkte" eine Schwachstelle haben und die "Turla" programmierenden "Russen" wohl die technisch versierteste Hackertruppe sind wo gibt. Huch, vielleicht sind es sogar Außerirdische (PDF-Datei)! Aber was wollen die dann in unserem Deutschland? Wir haben ja noch nicht einmal ein Heimatministerium.

*** IF Abgastest GO TO Modul NEFZ. Schlagend zeigt diese kleine Programmzeile, wie die Automobilbauer schummelten, wenn der Bordcomputer merkte, dass ein Abgastest nach dem "Neuen Europäischen Fahrzyklus" bevorstand. 50, in Worten fünfzig Jahre ist es nun her, dass Edsger Dijkstra vor den überaus schädlichen GO TO-Statements warnte (PDF-Datei). Dieses andere Erbe der 68er, als man noch daran glaubte, dass es formal verifizierte, absolut korrekte Programme geben könnte, sollte man nicht vergessen. Ob Goto-Statements schädlich sind, gar tödlich sein können oder ob man mit Donald Knuth das strukturierte Programmieren mit GO TO nur als Symptom einer schädlichen Programmiererei begreift, wird bis heute in der Informatik genüsslich diskutiert.

*** Bleibt der stinkende Diesel. Ist ein Leben nach dem Diesel möglich? Das ist die bange Frage nach der Entscheidung des Bundesverwaltungsgerichtes, das Dieselverbote von Städten zulässig sind. Nun heißt es Handeln, nicht Jammern. Aber es heißt auch Zuhören und Nachdenken: Wenn der ehemalige Automobilmanager Edzard Reuter bei Markus Lanz erklärt, das seine Branche "den Anstand beim wirtschaftlichen Handeln verloren" hat, ist das schon eine Hausnummer. Reuter äußerte die Meinung, dass die Käufer von Diesel-Autos sehr wohl einen Wiedergutmachungsanspruch haben. Auf Kosten der Hersteller umrüsten, die das Problem mit voller Absicht und krimineller Energie verursacht haben, das ist eine durchaus verständliche Ansicht. Erschütternd, wie in der Sendung vor Lanz bei Maybritt Illner ein deutscher Wirtschaftsminister (Bernd Althusmann, Niedersachsen, damit Miteigner von VW) sich über ein angebliches "Geschäftsmodell" der Deutschen Umwelthilfe lustig machen kann, ohne ernsthaften Widerspruch zu bekommen. Auch eine Änderung der Straßenverkehrs-Zulassungsordnung zum nachträglichen Einbau von AdBlue-Tanks und damit einhergehend der Neueinstufung von Dieselfahrzeugen wird abgelehnt, obwohl dies vom Verkehrsministerium mit Zustimmung des Bundesrates durchsetzbar wäre. Die Sauerei hat System. Das Tüpfelchen auf dem i-Haufen sind dann die Nationalisten von der AfD, die eine Kampagne für "unseren deutschen Diesel" starten, der so sauber ist wie unsere deutsche Sprache.

Was wird.

Es ist noch nicht ganz sicher, ob die USA unter Präsident Trump einen Handelskrieg um Stahl und Aluminium riskieren werden. Mit den von Trump erwähnten Strafzollaufschlägen tun sich selbst Mitglieder seiner Partei schwer. Sicher ist jedenfalls, dass der TV-Auftritt von US-Handelsminister Wilbur Ross mit Getränkedosen und Cent-Berechnungen die beste Fake-News-Produktion der Regierung Trump gewesen ist, sieht man von den TV-Inszenierungen von 45 ab. Weit abseits der Bierdosen und Campbell-Suppen dürften die Auswirkungen bei Firmen wie ThyssenKrupp erheblich sein, weil die USA den zweitgrößten Absatzmarkt nach Deutschland bilden.

Womit die Wochenschau schon wieder beim Hauptthema dieser Woche sind: wegen mangelhafter IT-Sicherheit wurde ThyssenKrupp Marine Systems und die Lürssen-Werft als Partner vom Vergabeverfahren zum Bau der großen Mehrzweckkampfschiffe MKS 180 ausgeschlossen. Viel Stahl wäre ja da, aber fehlende IT-Sicherheit, das ist ein schwerer wiegendes Argument. Waren die so gern bemühten russischen Hacker unter ihren Hoodies schon dabei, sich in der Bilge breitzumachen? "Die Schutzbedarfsanalyse ist für das Projekt MKS 180 von zentraler Bedeutung, um Schwachstellen der Systemauslegung, des Betriebs und der Betreuung zu begegnen – insbesondere im Zusammenspiel zwischen 'klassischer Informationstechnik' und Plattformtechnik. Ein ganzheitlicher Schutzansatz wird erstmals bei MKS 180 umgesetzt. Er ist Bestandteil des kooperativen Projektaufsatzes", hieß es noch ganz selbstbewusst bei der Koblenzer IT-Tagung im September 2017, als die besondere "Cyberresilienz" von MKS 180 gefeiert wurde. Interessant nicht zuletzt darum, weil der Vortrag zu MKS 180 unter dem Punkt Bedrohungen mit Bildern aus den Snowden-Files zum Verfahren der Tailored Access Operations illustriert wurde. Der neue deutsche IT-Dampfer als Ziel der NSA? Sachen gibt's, da eist der Frühling ein.

Nicht nur der Informationsverbund Berlin Bonn ist kaputt, auch der elektronische Gerichts- und Verwaltungsmailverkehr liegt zu weiten Teilen brach. Schuld daran hat die Client-Software, die Anwälte zum Absenden und Empfangen ihrer Schriftstücke beim besonderen Anwaltspostfach einsetzen sollten. Die Funktionsweise dieser Software wurde vom Darmstädter Erfa-Kreis des CCC analysiert und als besonderer Ausnahmefehler bewertet. Am Montag treffen sich interessierte Anwälte in Berlin und fragen auf einem Symposium, wie ein neues beA+ aussehen könnte. Mit dabei ist nicht nur Markus Drenger vom CCC, sondern auch Leslie Romeo, derzeit Sprecher der Arbeitsgemeinschaft De-Mail. Er wird sich ins Zeug legen, den Anwälten das vor sich her dümpelnde De-Mail-System schmackhaft zu machen, das in vielen Punkten beA ersetzen könnte. Vor vier Jahren, als die Anforderungen an beA bei der Bundesrechtsanwaltskammer formuliert wurden, war De-Mail schon einmal eine Option. Der Vorschlag starb, als die IT-Berater kamen. (mho)