Über die Mechanismen, die für den beklagenswerten Zustand der IT-Sicherheit mitverantwortlich sind, wird aktuell wieder grundsätzlicher diskutiert: Denn werden weiterhin von Geheimdiensten und Militärs Sicherheitslücken gesucht oder eingekauft, absichtlich offengehalten und darauf basierende Schadsoftware entwickelt, verwandelt man Computer und Mobiltelefone, aber auch Haustechnik, Autos oder öffentliche Infrastruktur in ferngesteuerte potentielle Waffen. Sie werden zugleich verwundbar für Angriffe durch Kriminelle, wie gerade anhand der Ransomware WannaCry und ihren Nachfolgern zu verfolgen ist.
Wie würde ein sogenannter „Cyberwar“ eigentlich vonstattengehen? Dieser Frage widmet sich ein Film, den das FIfF (Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung) auf der re:publica gemeinsam mit dem Animationsfilmduo Motion Ensemble als Premiere vorstellte. Der etwa fünfminütige Film „Cyberpeace statt Cyberwar“ erklärt, wie ein solcher Krieg ablaufen würde, und warnt eindringlich vor den Gefahren der weiteren Aufrüstung mit digitalen Angriffswaffen.
Die deutsche „offensive Cyberstrategie“
Das Video ist Teil einer Kampagne des FifF, die schon mehrere Jahre läuft und sich statt immer mehr digitaler Bewaffnung das Konzept „Cyberpeace“ auf die Fahnen geschrieben hat. Stefan Hügel, Vorsitzender des FIfF-Vorstands, erklärt zu den Gefahren einer Aufrüstungsspirale und zur Rolle Deutschlands darin:
Auch deutsche Behörden sind an diesem Spiel beteiligt. Dem Militär und Geheimdiensten werden erhebliche Steuermittel zur Verfügung gestellt, um Schwachstellen auf dem Markt zu kaufen. Anstatt für die Sicherheit der Bevölkerung zu sorgen, indem diese Schwachstellen beseitigt werden, nutzt man sie für spätere Angriffe. Das ist unverantwortlich und gefährlich.
Nach Bekanntwerden des Erpressungstrojaners fordert das FIfF, dass digitale Waffen weder hergestellt noch gehandelt noch für offensive Zwecke eingesetzt werden dürfen. WannaCry wird als ein Kollateralschaden des „Cyberwar“ bezeichnet. Deutschland müsse auf eine offensive Cyberstrategie verzichten und sich verpflichten, keine offensiven Waffen zu entwickeln und zu verwenden. Außerdem müssten internationale Abkommen zu einem weltweiten Bann dieser digitalen Waffen angestrebt und gefördert werden.
Mit dieser Forderung ist das FifF nicht allein: Auch Access Now hat sich im Nachgang der Diskussionen um Wannacry deutlich positioniert. Die Forderung lautet auch hier nach mehr Verteidigung gegen digitale Angriffe statt offensiver Aufrüstung: „We need more cybersecurity defense, not offense.“ Schließlich betrifft das Wettrüsten uns alle, wir können uns dem nicht entziehen.
„Cyberwar“ erklärt
Der Film „Cyberpeace statt Cyberwar“ steht unter CC-BY-Lizenz und darf gern weiterverbreitet werden. Mehr Informationen zur FifF-Kampagne Cyberpeace findet man unter cyberpeace.fiff.de.
WanaCry hat zu 98% Win7 Systeme erwischt. So ungefähr 6,5% waren offenbar home-edition. Um 90% der betroffenen Systeme scheinen professionelle Administratoren gehabt zu haben, die dachten, dass ein moderner Trojaner von einer Firewall geblockt oder von einem Virenschutz in Quarantäne geschickt wird. Das war schon nach dem Auftauchen des Regin-Trojaners einfach naiv. Interessant ist, dass es nur sehr wenige WinXP erwischt hat, anteilig ungefähr ebensowenig wie Win10. Win 10 hat 26% Marktanteil, knapp 0,3% wurden infiziert. WinXP hat noch 7% Marktanteil, weniger als 0,1 % der befallenen Systeme liefen unter XP. Nach Intel wurden knapp 360000 Systeme infiziert. Jetzt wurde EternalRocks in einem Honigtopf gefangen, das scheint ein starker Spion zu sein. Das erst mal zu den freizügigen Geschenken der NSA an die Kriminellen. Die CIA steuert dann noch ein Paket namens „Athena“ für die Kompromittierung aller Windows-Systeme bei. Aber gemessen an den 2 Mrd. Facebooc-Accounts oder um 1,5 Mrd. PC-Systemen scheint das trotz des erstaunlichen Erfolges der Schadprogramme doch recht übersichtlich zu sein,
Cyberkrieg ist ein Kunstbegriff. Wenn jemand einen echten Krieg führen will, macht es vielleicht Sinn kritische Infrastrukturen anzugreifen. Genau diese sind allerdings durch konventionelle Waffen viel einfacher lahmzulegen. Wenn man z.B. durch das Verrieseln von Graphitfäden Umspannwerke lahmlegt, haben die Normalbürger der betroffenen Region sofort keinen Strom mehr. Die Cyberei endet dann auch für den Teil, der nicht noch über irgendwelche Notstromnetze läuft. Mobilfunk, Radio und Fernsehen hätten sich mit elektromagnetischen Impulsen ziemlich schnell erledigt. Zu glauben, dass es einen Cyberkrieg gäbe, ist ein Irrtum. Es gibt seit jeher unterschiedlich gestrickte Computerkriminelle und zu allem Elend jetzt auch noch Hacker in staatlichem Auftrag.
Was die Staatshacker anbetrifft, die benehmen sich nicht anders als gewöhnliche Computerkriminelle. Ein Computerfreak, der was drauf hat, findet mit Sicherheit attraktivere Stellen. Deutschland ist sowieso nicht mehr wichtig, nachdem die Computerindustrie vor ein paar Jahren geschleift wurde. Auch so eine Großtat der Globalisierer im Dienste maximaler Profite. Der Staat bezahlt ja das Sozialsystem. Fragt sich nur wie lange er das bei derartigem Mißmanagement leisten kann.
Wie darf ich mir den „militärischen Nutzen“ einer solchen „Waffe“ vorstellen?
Steht dann da: „Dein System ist jetzt verschlüsselt! Ergib dich und es wird wieder entschlüsselt. Stell dich dazu mit erhobenen Händen vor den Rechner!“
Hat dann jemand gewonnen?
@horst
In kriegerischen Ausseinandersetzungen wird üblicherweise zuerst die Infrastruktur zerstört: Telekommunikation, Energieversorgung, Transportwesen. Heute macht man das mit Raketen und Bomben. Wie man das macht, wenn man die IT-Systeme infiltriert hat, die das alles steuern, überlasse ich deiner Fantasie. – Wenn ich vor diesem Hintergrund betrachte, dass z.B. Die Bahn ihre IT komplett in die Amazon-Cloud legen will, also ausserhalb des deutschen (europäischen) Hoheitsbereichs, wird mir schlecht.
Allerdings wird es zukünftig wohl eher subtiler ablaufen. Durch (System-)Manipulationen und Desinformation. Vor allem verdeckt und nicht offen, was das Video ja schön zeigt. Man kann Währungen, Börsen, etc. manipulieren. Mit gezielten Angriffen lassen sich ganze Volkswirtschaften in den Ruin treiben. Wahlen lassen sich manipulieren, Staaten können durch gezielte Angriffe „bestraft“ werden. Säße ich an entsprechender Stelle, würde mir da viele Gemeinheiten einfallen mit denen ich meinen Gegnern schaden und damit meine Position verbessern könnte.
Für mich aktuell eines der wichtigsten IT-Themen, was wir viel mehr in die Öffentlichkeit bringen müssen. Wenn selbst dem SPIEGEL im aktuellen Titel nicht mehr einfällt, als dass ungepatchte Betriebssystem und mangelhafte IT-Security das größte Problem darstellen, wird das aber wohl noch ein langer Weg sein.
Moin Palinka!
Dank für deine Antwort.
Frage 1: Warum überhaupt „kriegerische Auseinandersetzung“?!!!
Frage 2: Was hab ich seit Erfindung der Redundanz verpasst?
Frage 3: Wann wird der leichtfertige Umgang mit sicherheitsrelevanter Infrastruktur strafbar?
Antwort zu 1-3: Dummheit ist scheinbar erstes Menschenrecht. Zumindest wird von keinem sonst so reger Gebrauch gemacht.
Ich kenne jemanden, der bei der Bahn „irgendwas (Wichtiges) mit Daten“ macht. Da wundert mich gar nichts. Das ist ein sozialistischer Großbetrieb und es zählt hauptsächlich, dem Chef zu gefallen und nicht negativ aufzufallen. Wenn ein Hirnhumpel die Parole „Cloud“ ausgibt, dann wird eben das gemacht. Genauso, wenn die Parole „Nasebohren“ lautet.
Das Gezeiber kommt mir eher wie Giftgaskrieg vor. Jemand zündet was und keiner kann sagen, wer es abbekommt. Wenn der Kollateralschaden nicht schon erfunden wäre, dann damit ganz bestimmt.
Achso, Nachsatz zur „kriegerischen Auseinandersetzung“:
Ich hab ja sicher nichts dagegen, daß sich Regierungschefs, Präsidenten oder Kanzler (gern auch Aktionäre) untereinander nicht leiden können.
Warum meinen die aber in feigster Art immer andere vors Loch schieben zu wollen?
Ich hätte nichts dagegen, wenn sie sich ganz gepflegt höchstpersönlich die Fresse polieren oder die Rübe einschlagen würden. Auf RTL II wär das bestimmt der Renner.
Was jemanden dazu bringen kann, sich für andere als Täter und/oder Opfer zur Verfügung zu stellen, wird mir eh immer ein Rätsel bleiben. Der (hoffentlich) pickelige Zeibernerd darf sich bitte ausdrücklich angesprochen fühlen. Im Ernstfall sinds keine Pixel sondern Menschen und meist völlig unschuldige und unbeteiligte! Cheats und Healthitems gibts da nicht.
Nicht zu vergessen das schlechte-Witze-Niveau, auf dem sich das, was dir als Sicherheit in Windows und AV-Software verkauft wird, befindet.
Nicht zu vergessen das schlechte-Witze-Niveau, auf dem sich das, was dir als Sicherheit in Windows und AV-Software verkauft wird, befindet.
Das gilt leider auch für andere teure Soft- und Hardware.
Schaut euch Patchlisten und, öffentliche, Bugreports von diesen Produkten an.
Wenn sündhaft teure Router(z.B. CISCO…..(-:) und Firewalls vor aus der Ferne ausnutzbaren Fehlern nur so wimmeln.
Sich die Patchlisten wie besonders gute schlechte IT-Witze lesen.