Nüchterne Sicherheitslösungen hinter aufgeheizter Debatte
von Georg Lutz
Als wir im Frühjahr den folgenden Sicherheitsschwerpunkt planten, ging es eher um eine betriebswirtschaftliche und technische Aufarbeitung von Sicherheitslücken in kleineren Unternehmen. Im Zuge der aktuellen Enthüllungen über staatlich organisierte und flächendeckende Bespitzelungsprogramme ist daraus ein politischer Krimi geworden. Trotzdem stehen auf den folgenden Seiten analytische Aufarbeitungen und praktische Schlussfolgerungen im Vordergrund. Wir freuen uns über die umfangreiche Teilnahme von Sicherheitsanbietern, die es uns ermöglicht, das Thema von unterschiedlichsten Seiten zu beleuchten.
Wie schnell sich Diskussionen und Diskurse verändern können, belegt die Fachtagung des Sicherheitsanbieters Infoguard, der Infoguards Security Lounge am 19. Juni 2013 zum Thema Cyber Crime & Cyber War. Der Titel ist zwar immer noch aktuell, allerdings hat sich der Aktionsrahmen erweitert. Es geht nicht mehr nur um kriminelle Netzwerke, zum Beispiel aus China, sondern auch um staatliche Geheimdienste aus demokratischen Staaten mit ihren vielen Helfern, auch aus der Wirtschaft.
Unterschiedliche Angriffsstrategien
Als erster Gastredner an der Security Lounge trat der Berliner Technologieforscher Sandro Gaycken, der auch verschiedene Ministerien und Geheimdienste der deutschen Bundesregierung berät, auf. Er thematisierte die strategischen Gefahren des Cyber Wars und die Schwierigkeiten bei seiner Bekämpfung. Er blieb beim Thema Cyber War aber sehr im Allgemeinen stecken. Es ginge darum, die Reputation der betroffenen Unternehmen zu schädigen. Diese würden entweder darauf abzielen, der Reputation des Opfers zu treffen, oder Falschinformationen zu strategischen Zwecken zu streuen. Ebenso gefährlich sind Gaycken zufolge aber auch stille Erosionsstrategien. Bei diesen würden Infrastrukturen über grosse Zeiträume hinweg praktisch unbemerkt angegriffen.
Gerne hätte man aus heutiger Sicht gefragt, ob er damit die üblichen Verdächtigen wie russische Netzwerke oder chinesische Firmen unter staatlichen Einfluss meint, oder nicht auch die amerikanische Datenkrake NSA. Vielleicht hätte man dann auch noch fragen können, was europäische Geheimdienste davon wissen und ob sie vielleicht sogar kooperieren. Aber auch da hätte es vermutlich ausweichende Antworten gegeben.
Indirekt gab aber Gayken schon Hinweise, die darauf abzielten, dass Wirtschaft und Politik von den Bedrohungsdimensionen kaum eine Ahnung hätten. So interessiere sich der Markt zu wenig dafür, weil sich Investitionen scheinbar nur im Falle eines konkreten Angriffs rentieren würden. In der Politik seien Entscheider hingegen oftmals zu wenig sachverständig. Das dürfte sich im Zeichen der aktuellen Enthüllungen aber ändern. Inzwischen ist das Thema von den zuständigen Fachausschüssen in der Politik ganz oben auf die Agenda gerückt. Und in der Unternehmenswelt thematisiert fast jeder Sicherheitsanbieter Möglichkeiten, wie mit den Bedrohungen von PRISM und anderen staatlichen Schnüffelprogrammen umgegangen werden kann.
Aus dem Blickwinkel der Schweiz
Eine Schweizer Perspektive zum Thema bot Pascal Lamia, Leiter der Melde- und Analysestelle Informationssicherung (MELANI), mit seiner Keynote zur Strategie des Bundes im Bereich der Cyberrisiken. Seine Organisation ist auch in unserem folgenden Themenschwerpunkt vertreten. Lamia zufolge kennt auch die Schweiz immer mehr Fälle von Cyber-Kriminalität. Aus diesem Grund habe der Bundesrat Mitte Mai auch den Umsetzungsplan zum Schutz der Schweiz vor Cyber-Risiken gut geheissen. Das klang aber noch immer sehr defensiv. In anderen europäischen Ländern gibt es bereits Organisationen die mindestens direkt in ein zuständiges Ministerium angebunden sind und operative Befugnisse haben.
Hacking vor Publikum
Fast eine Slapstick-Einlage an der Security Lounge war das Live Smartphone Hacking von Oliver Münchov, Senior Security Consultant bei Infoguard. Münchov erklärte im Vorfeld seiner Hacking-Demonstration, dass immer mehr Malware für Android-Smartphones entwickelt werde. Viele dieser Apps hätten es zeitweilig in den Google Play Store geschafft und seien dort von ahnungslosen Smartphone-Nutzern heruntergeladen worden.
Um die Tragweite des Risikos zu veranschaulichen, liess Münchov in China für rund 2000 Franken die Grundlage für ein «Malicous App» entwickeln. Diese baute er anschliessend zu einer vermeintlichen «Android Anti Theft»-App aus zur Ortung und Sperrung des eigenen Smartphones. Tatsächlich handelt es sich dabei aber um eine Spy App, die jedes Smartphone in ein hilfloses Stupidphone verwandelt. In einer Live-Hacking-Session demonstrierte Münchov schliesslich, wie sich mit seiner App problemlos SMS und Telefonate mitschneiden lassen oder ein gehacktes Telefon ferngesteuert werden kann. Er hatte die Lacher auf seiner Seite. Angesichts heutiger Entwicklungen bleibt aber einem das Lachen im Halse stecken.
Gefährdung der Grundrechte
Inzwischen gehen die Bedrohungsszenarien weit über den betrieblichen Tellerrand hinaus. Unsere Grundrechte sind gefährdet, die ein Staat eigentlich schützen sollte. Der Hinweis, dies diene unserer Sicherheit, ist inzwischen eine billige Ausrede. Das schlimme dabei ist die Tatsache, dass wir oft selbst zum stillen Kooperationspartner der Datensammler geworden sind. Diesen geht es um die Vorhersage des Verhaltens. Wir kennen das von Amazon: «Dieses Buch könnte Sie auch interessieren». Das finden wir noch einen netten Dienstleistungshinweis. Jetzt steht aber eine neue Qualität vor der Türschwelle. Bislang wurden Menschen nach ihrem Handeln bewertet, doch in Zukunft wird die Vorhersage die Oberhand gewinnen.
Was heisst das konkret? Heute lässt sich scheinbar immer genauer berechnen, ob ein Mensch womöglich kurz davor steht, eine kriminelle Handlung zu begehen, oder ein noch gesunder Patient eine erhöhte Wahrscheinlichkeit aufweist, an Krebs zu erkranken. Dem Missbrauch solcher Informationen sind Tür und Tor geöffnet.
Die jüngsten Enthüllungen liefern immer mehr Einblicke in das unsichtbare, allgegenwärtige, unergründliche Informationspanoptikum des Internet. Noch vor wenigen Jahren war es ein Hort der Freiheit und vieler neuer Geschäftsmöglichkeiten. Heute ist es mindestens auch eine Maschine mit riesigem Hunger nach unseren Daten. Selbst wenn wir einräumen, dass es nachvollziehbare Gründe für das Datenabschöpfen gibt, zum Beispiel die gerne angeführten Sicherheitsgründe, so lassen die jüngsten Pressemeldungen den Schluss zu, dass die NSA und andere Geheimdienste völlig ohne demokratische Kontrolle agieren. Das können wir nicht hinnehmen.
Es geht bei der nächsten Metadatenrunde auch um Reibung und Verlangsamung. Transparenz und eine Demokratisierung der Prozesse muss auf die Agenda. Verschleierungs- und Verschlüsselungstechnologien, die auch von Laien problemlos einsetzbar sind, sind das Gebot der Stunde. Auf den nächsten Seiten können Sie dazu einiges in Erfahrung bringen.