28C3: Chaos Computer Club will maschinenlesbare Regierung

Vertreter des Chaos Computer Clubs (CCC) haben sich in ihrem traditionellen Aus- und Rückblick zum Jahresende auf dem 28. Chaos Communication Congress (28C3) für umfassende "Open Data"-Strategien ausgesprochen. Hierzulande gebe es bislang immerhin eine "Absichtserklärung", bis 2013 ein Portal für Verwaltungsdaten einzurichten, sagte der frühere CCC-Sprecher "Ron" am Freitag in Berlin. Er vermisse aber noch einen Anspruch "auf eine maschinenlesbare Regierung". In den USA hätten sich die Vorteile der Plattform data.gov bereits erwiesen: Ihre größten Nutzer seien Behörden selbst, die nun nicht mehr umständlich bei anderen Ressorts Informationen abfragen müssten.

Die Offenheit rund um Open Data will er hierzulande vergrößert sehen: "Ich will auch wissen, von welchen IP-Adressen aus mit welcher Häufigkeit Daten abgefragt werden", betonte Ron. Sein Kollege Frank Rieger wünschte sich obendrein eine Lizenz für die Daten, die sicherstelle, dass die aus ihnen gewonnenen Resultate ebenfalls offengelegt werden müssen.

Ironisch bewerteten es die Sicherheitsexperten als "schweren Rückschritt" für das E-Government, dass sich der Staatstrojaner nach den CCC-Analysen im Oktober nicht richtig einsetzen lasse. Gleichzeitig nannte es Rieger erfreulich, dass sich Bund und Länder mit dem neuen Cybersicherheitsrat "auf die Zombie-Apokalypse" durch Malware einrichte. Derzeit gehe Berlin von einer erfolgreichen Cyberattacke auf Behörden pro Woche aus.

Das von Ron durchgeführte "Internet-Normalitäts-Update" verwies darauf, dass Computerkriminelle derzeit den Hack einer normalen Webseite schon für 9,99 US-Dollar, Kreditkartendaten von 2 Dollar an und einen Einkauf damit über Strohmann für 100 Dollar erstehen könnten. Die vollständige Kontrolle über einen Regierungswebserver werde für 499 Dollar angeboten, während Kontozugangsdaten mit bis zu 700 Dollar noch vergleichsweise teuer seien. Als "schön" bezeichnete es der CCC-Vertreter, dass ein gefälschter Bankomat zum Abfischen von Kundendaten für 35.000 Dollar zu haben sei.

Rieger konnte sich bei der Erinnerung an die schon 2001 in gleicher Runde vorhergesagten Sicherheitsdebakel nicht des Eindrucks erwehren, dass es "immer weiter so geht, aber nicht richtig vorwärts". Mobiltelefone und große Trojanerangriffe darauf seien seit Jahren "der Running Gag dieser Show", meinte der Hacker. Mittlerweile seien Smartphones universelle Sensoren geworden, sodass nur noch die abnehmende Batterielebensdauer eines Handys die Nutzerüberwachung begrenze. Auch andere drahtlose Übertragungstechniken wie NFC gäben "viel Hoffnung". Hier sei aus Hackersicht noch "eine Menge zu holen".

Bemerkenswert fanden die Tüftler, dass der Angriff auf die Sicherheitsfirma RSA "größer angelegt" gewesen sei als zunächst erkennbar. Bis heute habe der Kryptolieferant die Attacke nicht richtig ausgebadet, meinte Rieger. Die Attacken auf die Zertifizierungsstellen DigiNotar, Comodo und GlobalSign hätten zudem endgültig gezeigt, dass die Verschlüsselungstechnik SSL nur eine Sicherheitssimulation gewesen sei. Die Nerds hätten dagegen das alternative Protokoll SSH für sich entwickelt.

Eher gelangweilt sprachen die Hacker die Tatsache an, dass im auslaufenden Jahr wieder "viele Datenbanken weggekommen seien". Man kriege gar nicht mehr mit, was alles für Webshops und Flirtportale aufgemacht würden. "Wir werden alle zu Post-Privacy-Passivisten", unkte Ron, wenn die eigenen Online-Profile ständig an die gesamte Öffentlichkeit gelangten. Die Optimisten, die sich parallel zur ersten Spackeriade unter dem Motto "Datalove und Kontrollverlust" trafen, gingen aber davon aus, dass dies nicht mehr peinlich sei, wenn es jedem passiere.

Schwere "Sicherheits-Albträume" im kommenden Jahr erwarten die Aktivisten unter anderem durch das neue Internetprotokoll IPv6. Auch Cloud-Kriege "mit Blitzen" stünden bevor. Die Datenverarbeitung in den Wolken stelle nichts anderes als ein Botnetz dar, erklärte Rieger. Nur könne man sich ganz bequem, sicher und ohne Abstieg in die Netzabgründe den Service des Anbieters dazukaufen. Einen Vorgeschmack auf derlei Entwicklungen durfte der CCC selbst genießen: Rieger berichtete von einem Denial-of-Service-Angriff auf das Kongressnetz, der von der Amazon-Cloud ausgegangen sei.

Spaß erwarten die Hacker 2012 ferner mit elektronischen Schließsystemen, da sich dort aufgrund der langen Vorlaufzeiten erst jetzt längst geknackte RFID-Chipkarten wie Mifare Classic zur Wohnungssicherung durchsetzten. Mit Vorsicht zu genießen sei es dagegen, wenn plötzlich Züge, Flugzeuge oder Schiffe auf der anderen Seite des Terminals auftauchten. Ron wies deren Betreiber vorsorglich darauf hin, "dass Computernerds abgelenkt sind, solange das WLAN funktioniert".

Schließlich prognostizieren die Experten eine baldige "Tokenkalypse". Viele Banken schickten ihren Kunden bereits "Sicherheitshardware" als "letzte Rettung vor bösen Trojanern", konstatierte Rieger. Meistens stecke darin nur ein Prozessor, auf dem Software laufe. Offenbar seien die immer wieder Schwachstellen produzierenden "PHP-Coder" mittlerweile auch auf dieser Ebene angekommen. Den "neuen Personalausweis" könne man ebenfalls als einen "Single-Sign-on-Token" verstehen. Selbst Mitarbeiter aus Regierungsbehörden zögen aber inzwischen eine krause Stirn und fürchteten Identitätsdiebstähle, wenn alle IDs einer Person auf einem Dokument zusammengezogen würden. (ck)