Verwaltung.modern

Was passiert in der öffentlichen Verwaltung?

Michael George: “Geh@ckt” (Rezension)

Voraussichtlich in der kommenden Woche wird US-Präsident Obama neue Beschränkungen von Spähangriffen auf ausländische Regierungschefs bekanntgeben. Das ist eine der Reaktionen auf die PRISM/NSA-Affäre samt angezapftem Merkel-Handy. „PRISM zeigte erstmalig auf, auf welchen Pulverfässern wir hinsichtlich unsicherer Computer sitzen. Das erste Fass in Bezug auf den Schutz personenbezogener Daten wurde schon in die Luft gejagt. Die Fässer Verfügbarkeit von Systemen oder gar kritischer Infrastruktur ruhen noch in unserer Mitte.“ Das meint Michael George in seinem mit drei Grafiken, Anmerkungsapparat, Literaturverzeichnis und Glossar versehenen, schön schauderlichen, schauderlich schönen Sachbuch mit dem Titel Geh@ckt, Untertitel: wie Angriffe aus dem Netz uns alle bedrohen, Zusatz zum Untertitel: ein Agent berichtet. „Dieses Buch ist weder wissenschaftlich noch technisch, noch beteiligt es sich an der Diskussion, ob wir uns aktuell vielleicht schon in einem Cyber-Krieg befinden. Es richtet sich nicht an Experten, sondern an Interessierte und bietet einen Blick hinter die Kulissen, einen Einblick in die Welt der Nachrichtendienste sowie einen Überblick dessen, was ich während meiner Tätigkeit für die Spionageabwehr aufseiten der Betroffenen immer wieder erlebt habe“, so George. „Die Themen sind nicht streng hierarchisch gegliedert, man kann die Kapitel auch einzeln lesen. Wer  etwas überspringen möchte, kann das gefahrlos tun.“ Dieses Prinzip hat zur Folge, dass es in dem Buch einige Redundanzen gibt, die aber nicht weiter stören. Jedenfalls stören sie mich weniger als diejenigen Zeitgenossen, die man in Georges Diktion als Cyber-„Angreifer“ bezeichnen könnte und die die Vorteile ihrer Profession mutmaßlich sehr schätzen: Hacken „geschieht gewaltfrei, von irgendeinem Fleck der Erde aus und ohne großes Aufsehen. Ohne Waffen, ohne die Angst in den Augen der Opfer und ohne die Szenerie oder den Tatort real betreten zu müssen.“ Wer aber gehört zu denjenigen, die „Computer anzapfen, uns bestehlen und bedrohen, wie es noch nie der Fall war“? Natürlich gehören Staaten dazu, siehe NSA-Affäre. „Clarke stellte in seinem Buch World Wide War die These auf, dass sich Staaten niemals vertraglich binden lassen werden, nachrichtendienstliche Cyber-Aktionen zu unterlassen. Die Vorteile solcher Aktivitäten seien einfach zu groß.“ Für Nachrichtendienste nämlich „hat die Vorgehensweise ’Cyber‘ einen besonderen Charme, denn einer der wichtigsten Bestandteile nachrichtendienstlicher Operationen ist […] die Möglichkeit, glaubhaft alles abstreiten zu können. […] Das Gegenteil ist schwer zu beweisen.“ Noch schwerer ist der Beweis zu führen bei outgesourcten, aber wohl in staatlichem Auftrag agierenden Gruppen wie APT1. Womit wir schon bei der zweiten Sorte „Angreifer“ wären: Hackergruppen (z.B. die Hacktivisten-Gruppe Anonymous oder die „der ’Spaßguerilla‘ zurechenbare Gruppe LulzSec“) bzw. einzelne Hacker (z.B. jugendliche Skriptkiddies). Die dritte mögliche Gruppe sind technisch versierte Terroristen, die vierte Ganoven und kriminelle Organisationen, organisiert z.B. über die einstige kriminelle Internetplattform Carderplanet, die mit Kreditkartendaten Geschäfte machte. George weist darauf hin, dass die Kriminalstatistik im Bereich Cyber-Kriminalität „für das Jahr 2012 einen bundesweiten Anstieg im Bereich Cyber-Kriminalität um 7,5 Prozent registriert“ habe, aber auch, dass unerkannte Angriffe dabei ebensowenig erfasst würden wie Angriffe, die ihren Ursprung nicht in Deutschland haben.

„Durch die mehr und mehr geforderte Funktionalität und die sich daraus ergebende Komplexität sind Systeme heute vielfältiger angreifbar als noch vor wenigen Jahren. Angesichts der ständig weitergehenden Durchdringung aller Lebenssituationen mit IT werden auch die Angriffsmöglichkeiten stets vielfältiger“, so George. „Die Masse der täglich neuen Schadprogramme wirkt beinahe surreal. Antivirenhersteller nennen Zahlen von um die 80 000 neue Programme jeden Tag. […] Die unglaubliche Summe von 80 000 Viren, Würmern und Trojanern entsteht durch verschiedene Derivate bereits bekannter Viren oder Würmer – zum Glück können sie meist maschinell ausgelesen werden. Tatsächlich aber kommen jeden Tag drei bis fünf völlig neue, bisher unbekannte Schädlinge hinzu, die, solange sie nicht analysiert sind, die Zahl der infizierten Computer weiter nach oben treiben.“ Bis hin zum durch Hacking zum Spion mutierten Smart-TV reicht das Waffenrepertoire der Angreifer, wogegen ein von George aufgeführter Spionagevirus wie GhostNet fast profan wirkt und ebenso die diversen Würmer wie I love you, Nimda, Slammer, Stuxnet, Storm samt des Storm Botnets. Botnetze existieren übrigens „in unvorstellbaren Größen“ (das Conficker-Netz z.B. bestünde aus etwa 1,5 Millionen Rechnern) und würden inzwischen „je nach Einsatzzweck gegen Geld weitervermietet.“ Mit der Vermietung werde „gegenwärtig schon mehr Geld umgesetzt als mit Drogen. Geschätzt sollen das im Jahr 2011 immerhin 320 Milliarden gewesen sein.“ Nicht vermehrungsfähig, aber potentiell nicht minder gefährlich: logische Bomben wie sie „die US-Behörden innerhalb des Gasversorgungsnetzes gefunden hatten. Also […] Programme, die hinterlegt wurden, um zu einem bestimmten Zeitpunkt initiativ zu werden. Ein schauderhaftes Szenario und eine perfekte Waffe.“ Doch nicht nur Gasversorgungsnetze setzen auf Vernetzung und IT und würden dadurch verletzlicher. Sondern viele andere Infrastrukturbereiche ebenfalls. „Bei schon vorhandenen Entwicklungen wie der einer vernetzten Energielandschaft wird in wenigen Jahren IT-Sicherheit von essenzieller Bedeutung sein und die Sicherheitspolitik bestimmen“, meint George auch im Hinblick auf die Tendenz zum Smart Grid: „Dann geht es bei ’gehackt‘ […] um gesellschaftliche Grundversorgung“, so George weiter. „Es klingt nach phantastischem Fortschritt, wenn man ein Wasserwerk über das Internet fernwarten oder gar fernsteuern kann. Dumm nur, wenn dies ein Hacker tut.“
Bisher spielten beim Angriff auf Staaten wie Estland (oder multistaatliche Organisationen wie die EU-Kommission oder den IWF) solche Dinge allerdings noch keine Rolle. Denn bisher ging es v.a. nur darum, deren Websites lahmzulegen oder Informationen zu erlangen: Laut George „werden im Bundesbehördennetz pro Tag circa fünf Angriffe festgestellt, die als Angriffe mit geheimdienstlichem Hintergrund eingestuft werden.“ Auch im Wirtschaftsbereich muss George feststellen, „dass es heute kaum mehr Sicherheitsvorfälle in Firmen gibt, die ohne IT-Bezug stattfinden.“ Know-How, „Innovationskraft und die damit verbundene rasche Umsetzung in marktfähige Lösungen“ würden vom Angreifer abgeschöpft, der dadurch den eigenen „Entwicklungsprozess abzukürzen und die Daten einfach zu kopieren“ anstrebt. Teilweise seien Unternehmen an gelungenen gezielten Angriffen ins Innerste von Firmennetzen aber selbst schuld, meint George. „Sicherheit wird auch deshalb kleingeschrieben, weil sie in erster Linie einen Kostenfaktor darstellt. Sie ist nicht unmittelbarer Bestandteil der Wertschöpfungskette.“ Die Folge: „Unternehmen setzen sowohl bei Zulieferern als auch bei Computerausstattern häufig auf den günstigsten Anbieter. So entstehen zum Teil erhebliche Sicherheitslücken. Bei manchen Unternehmen, insbesondere bei staatlichen Stellen, gibt es sogar Richtlinien, die eine Vergabe an den günstigsten Anbieter zwingend vorschreiben.“

„Menschen machen im Umgang mit Technik Fehler, sie setzen sich über Sicherheitsvorschriften hinweg, gehen häufig sorglos mit Daten und Geräten um, verraten Passwörter oder wählen sie schlecht aus. Sie verlieren Geräte, sprechen an öffentlichen Orten über vertrauliche Dinge und verbinden Geräte mit dem Internet, die nie dafür bestimmt waren.“ Kurz: Sie sind gleichzeitig ein Risiko, das perfekte Werkzeug und das perfekte Opfer. Zum Thema Identitätsdiebstahl meint George: „Man stelle sich vor, dass vom eigenen PC eine beleidigende E-Mail an den Chef geschickt wird, obwohl man diese nie geschrieben hat. Oder ein Angreifer hinterlässt Bilder auf dem Computer, die eine Nähe zum Kindesmissbrauch nahelegen. Oder es kommt eine Bombendrohung am Münchner Flughafen an. Ein Angreifer, der im Namen des Opfers handelt – genau das bedeutet Identitätsdiebstahl. Und Opfer können kaum beweisen, dass sie nicht Täter sind.“ Ausgenutzt werde das beispielsweise bei der Erpressung z.B. durch den sogenannten Kinderporno-Trojaner. Und besonders schräg: der Fall einer PC-losen Rentnerin, die wegen Raubkopierens angeklagt war. George hält dergleichen für eine „zu wenig diskutierte Entwicklung, nämlich eine Beweislastumkehr zulasten der Opfer. Denn es wird immer schwieriger, die eigene Unschuld zu belegen.“ Ebenfalls in die Kategorie Identitätsdiebstahl gehört es, „sich über eine unsichere WLAN-Verbindung eines Nachbarn in das Internet einzuwählen. Schon ist man der Nachbar. […] Es muss aber nicht unbedingt der Nachbar sein. Seit vielen Jahren existieren digitale Karten, auf denen sämtliche unsicheren WLAN-Netze einer Stadt eingezeichnet sind […], mit einiger Geduld ist schnell ein offenes Netz gefunden.“ Oder aber, man wird Opfer von Call ID Spoofing. „Das Opfer sieht auf seinem Display ’Ein Anruf in Abwesenheit‘. Die betreffende Person klickt auf Rückruf – und die Nummer wird gewählt. Leider nicht die des angezeigten Anrufers, sondern die des Angreifers, hinter der sich beispielsweise eine […] 0190-Nummer […] verbergen kann. […] In Anbetracht solcher Manipulationsmöglichkeiten erscheint der eine oder andere Vorwurf von Sexhotline-Nutzung einer Person öffentlichen Interesses in ganz anderem Licht. Vielleicht wussten die Opfer tatsächlich nichts davon, dass sie angeblich solche Nummern angerufen haben sollen. Mobbing ist das eine, aber wie soll man ein solches Vorgehen erkennen, geschweige denn beweisen?“ Auch einen Mord könnte man übrigens durch Hacking begehen. „Ein digitaler Mord über einen Herzschrittmacher hört sich skurril an, ist aber keine Fiktion. Über eine Sicherheitslücke in dem Transmitter, der zur Einstellung und Wartung per Funk mit dem Herzschrittmacher kommuniziert, könnte bei einer Demonstration ein tödlicher Defibrillator-Stoß abgesetzt werden.“ Oder aber, das Auto des Mordopfers wird gehackt: Hacker konnten bereits 2011 „nicht nur Türen öffnen, den Tacho manipulieren, sondern sogar Bremsen funktionsuntüchtig machen.“ Vielleicht werden wir uns bald nach Zeiten zurücksehnen, in denen es nur um gestohlene Kundendaten wie bei Best Western ging. „Daten sind das neue Öl und damit Gold wert. Menschen sind erstmalig Nutzer und Ware zugleich.“

„Gegen die Datensammelwut hilft in erster Linie Datensparsamkeit. Daten, die nur ausgewählt aus der Hand gegeben werden, unterliegen naturgemäß einem geringeren Risiko, massenhaft verarbeitet zu werden. Wird man zur Eingabe einer E-Mail-Anschrift aufgefordert, um sich beispielsweise kurzfristig für einen Internetdienst zu registrieren, reicht es, eine Einweg- oder Wegwerfadresse zu benutzen“, empfiehlt George. „Neben der Datensparsamkeit kann man sich auch durch die Verwendung alternativer Dienste schützen. DuckDuckGo ist eine alternative Suchmaschine, die damit wirbt, das Surfverhalten des Nutzers nicht auszuspähen. Der Suchservice liefert nahezu identische Treffer wie Google“. Man könne ferner „Tools, um anonym im Internet surfen zu können“, benutzen. „Außerdem sollte das verschlüsselte Internetprotokoll HTTPS verwendet werden, denn damit ist die Datenübertragung zur gewünschten Internetadresse von Unbefugten nicht mitzulesen. Für die meisten Browser gibt es Erweiterungen wie HTTPS Everywhere, die diese Verschlüsselung sogar erzwingen.“ Neben etwas originelleren und regelmäßig zu ändernden Passwörtern (wie wär’s z.B. mit V3RWALTUN6mo&ern? J) sowie dem Einspielen aktueller Sicherheitsupdates, Firewalls, Virenscanner und einem regelmäßig aktualisierten Webbrowser empfiehlt George, sensible Daten verschlüsselt auf der Festplatte abzulegen, „denn selbst wenn sie gestohlen werden, bleiben sie für den Angreifer wertlos. […] Ähnliches gilt für den E-Mail-Verkehr.“ Zudem könne „die Auswahl des Betriebssystems die Sicherheit erhöhen, denn unter Linux und Mac OS gibt es zwar ebenfalls Sicherheitslücken, aber die Schädlinge haben einen viel geringeren Verbreitungsgrad. Das liegt daran, dass sich mit Masse Geld verdienen lässt. Einen Schädling für ein Betriebssystem zu programmieren, das weltweit nur rund acht Prozent der Internetnutzer verwenden, ist weniger lukrativ“. Doch nicht nur der Einzelne könne bzw. müsse etwas tun – George fordert analog zur Energiewende eine „IT-Sicherheitswende, und zwar vor einem IT-Fukushima“. Hersteller beispielsweise sollten Security by design bieten. „Hinter der Formel verbirgt sich ein der Gegenwart diametral entgegenlaufender Prozess. Security by design bedeutet, Sicherheit als Ziel zu betrachten und sie der Funktionalität gleichbedeutend an die Seite zu stellen.“ Das bedeutet auch, „bereits eingeschlagene Wege zu verlassen und das zwar noch funktionierende, aber in sich wackelige Haus der IT, an das in den letzten Jahren ein neuer Balkon nach dem anderen angebaut wurde, von Grund auf neu zu bauen. Dafür werden staatliche Rahmenbedingungen benötigt, die diesen Aufbau ermöglichen: Fördergelder, Infrastruktur, rechtliche Vorgaben.“ Doch das ist nicht die einzige staatliche Aufgabe. Der Staat müsse sich mit Wirtschaftsunternehmen über erfolgte Angriffe besser austauschen, die Wirtschaftsunternehmen untereinander ebenso, und für die Staaten untereinander gilt das natürlich erst recht. „Der Umstand, dass Informationen über erfolgte Angriffe nicht miteinander in Beziehung gesetzt werden, erschwert enorm eine erfolgreiche Abwehr“, meint George. „Dringend nötig wären hier internationale Abkommen, denn leider sind die Täter […] nicht an den Landesgrenzen dingfest zu machen.“ Zu den staatlichen Aufgaben gehöre auch die Entwicklung von „Strategien, die grundsätzlich zu einer Erhöhung der IT-Kompetenz führen. Das betrifft bereits ausgebildete Arbeitskräfte, die Ausbildung selbst, aber auch Konzepte im Fall einer IT-Katastrophe.“ Man benötige ferner mehr Geld z.B. in der öffentlichen Verwaltung: Behörden „tun sich schwer, IT-Spezialisten zu finden. Die Gehälter des öffentlichen Dienstes sind wenig verlockend.“ Und man benötige eine Teilentmachtung der Chefetage. „Noch nie war der Altersunterschied zwischen Wissens- und Entscheidungsträgern größer als heute. Denn die aktuelle Situation ist, dass die Unwissenden entscheiden.“ Das gälte ebenso für Politik und Firmen. Von den Entscheidungsträgern fordert George folglich den „Mut, loszulassen und die Verantwortung an die Kompetenten unserer Gesellschaft zu übertragen, auch wenn sie vielleicht noch gar nicht an der Reihe sind.“ Nämlich den Jüngeren. Mit Blick auf die Geschichte bin ich persönlich da allerdings skeptisch: Dass Kompetenz und Macht Hand in Hand gingen, war schon immer eher selten…

ISBN 978-3-498-02437-6; EUR 19,95

1 Kommentar

  1. Torsten Haß
    geschrieben am 27. März 2015 um 14:06 Uhr | Permalink

    Aufbereitete Version im November 2014 veröffentlicht in „Blackout“, Sonderausgabe KES in Kooperation mit a+s, ISSN 1611-440X, S. 6-9 (https://www.kes.info/archiv/specials/special-blackout/)


Einen Kommentar schreiben

Ihre Daten werden niemals an Andere weiter gegeben.
Die Email-Adresse wird nicht angezeigt.
Sie können diese Tags verwenden: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>
Notwendige Felder sind so markiert: *

*
*

Böser Kommentar hier? Kommentar melden.