Percepticon

Podcast über die dunkle Seite der Digitalisierung: Cyber-Sicherheit, cyber-war, Spionage, Hacker, Sabotage, Subversion & Desinformation.

Blog

Kommentar zur Computer-Netzwerk-Attacke auf den Bundestag

matthias

Während der größte Spionageskandal der Geschichte weiter tobt und immer neue Fragwürdigkeiten ans Tageslicht kommen, die Bundesregierung ein weiteres Überwachungsgesetz samt Whistleblowerverfolgung (sie nannten es Vorratsdatenspeicherung) verabschiedet, sieht sich der Bundestag einer Computer-Netzwerk Infiltration ausgesetzt. Verschiedene Zeitungen berichten, dass Rechner von Regierungsmitgliedern gehackt worden sind. Es wurde gezielt ein Trojaner eingesetzt, der Admin-Passwörter abgeschöpft hat. Laut Bericht des Spiegel wurden gezielt Rechner der Opposition angegriffen, also derjenigen, die in der NSA-BND-Merkel Affäre am aktivsten für Aufklärung plädieren. Dass es einen Zusammenhang zur Aufklärung in der NSA-Affäre gibt, glaubt offenbar auch das BSI, da vorsorglich Laufwerke des parlamentarischen Untersuchungsausschuss vom Netz genommen worden sind. Einmal im Bundestagsnetz, konnten sich die Eindringlinge problemlos bewegen und nach weiteren Zielen suchen. Das Ziel war offenbar die Extraktion von Daten über das was der Bundestag gerade so treibt. Es ist also keine ‘Cyberattacke‘ im eigentlichen Sinn, sondern eine Computer-Netzwerk-Inflitration, also das was in der Job-Beschreibung von Geheimdiensten in der Regel steht.

Solche Angriffe kommen vor und es ist notorisch schwierig den Urheber zu bestimmen, aber es gibt Indizien. Im letzten Jahr wurde bekannt, dass Rechner des Bundeskanzleramts mit einer ähnlichen Spionagesoftware mit Namen REGIN infiltriert worden sind. Diese wurde vermutlich von unserem befreundetem und verbündetem Geheimdienst NSA entwickelt. Es gibt also zumindest einen gut dokumentierten Präzedenzfall. Dass Rechner der Opposition scheinbar die Primärziele waren und das BSI entsprechende Netzlaufwerke mit abtrennt, sind interessante Indizien, welche Motivation der Angriff gehabt haben konnte.

Generell ist ganze Sache bezeichnend für den desaströsen Zustand der Deutschen Internetpolitik und im Prinzip nur ein Resultat von “you reap what you sow“, was man sät, das erntet man:

  • Die schwarz-rote Koalition ist weder sonderlich interessiert am Thema Internet noch besonders kompetent im Umgang damit, und das ist das grundlegende Problem. ‘Das Internet ist für uns alle Neuland‘ sagte die Kanzlerin als Reaktion auf Snowden 2013, also knapp 22 Jahre nach der Veröffentlichung des WorldWideWeb und knapp 30 Jahre nach der ersten deutschen Verbindung zum damaligen ‘Internet‘, dem ARPANET. Zu sagen, dass Internet ist Neuland ist so wie wenn man seinem 18 jährigen Kind sagt, dass das alles so neu ist mit dem Eltern sein. Dummerweise raunte das Volk hinterher: „stimmt!“. Die kollektive Ahnungslosigkeit ist folgenschwer.
  • Die Koalition versteht das Thema Internet noch immer mit ‘Datenautobahn‘-Metaphern (das ist sowas von 1990) und denkt es ginge dabei nur um chatten, Facebook und ein bisschen E-Mail. Es wird immer noch gedacht, das Internet sei ‘das Online‘, und das Wichtige, die Realwelt, passiere offline. Dass beides immer mehr miteinander verschmilzt und diese Trennung faktisch nicht mehr existiert, wird nur von wenigen jüngeren Politikern verstanden. Bald wird das Internet biologisches Leben selbst steuern: das Virtuelle wird zum Antrieb des ‘Fleischlichen‘, z.B. in Form von intelligenten Kniegelenken.
  • Aus dieser Fehlperzeption heraus erklärt sich die zaghafte digitale Agenda, die eigentlich den Namen nicht verdient.
  • Eine ahnungslose Politik kann nicht autonom und selbstbestimmt agieren und ist daher natürlich der Expertise von erfahreneren Partnern hilflos ausgeliefert, wie sich an der Partnerbeziehung BND-NSA ablesen lässt. Der BND ist auf NSA-Technologie angewiesen und das Kanzleramt, was eigentlich eine Kontrollfunktion hätte, will und kann bestimmte Prozesse qua mangelnder Expertise nicht nachvollziehen. Die G10 Kommission hat ähnliche Probleme und leidet zudem unter Personalmangel und fehlenden Befugnissen zur Überwachung der Überwacher.  Es entsteht dadurch eine Kette der Verschleierung: die NSA erzählt dem BND, alles geschehe nach Recht und Gesetz. Der BND erzählt das dem Kanzleramt und dieses sagt ‘na dann ist ja alles bestens, case closed!‘ Dass man sich diese ‘computer literacy‘, die für eine effektive Kontrolle notwendig ist, scheinbar bewusst nicht aneignen will, ist verheerend, denn es verhindert einen souveränen Umgang mit zwischenstaatlicher Technologiepolitik.
  • Die Abhängigkeit zeigt sich auch in der nächsten folgenschweren Entwicklung: die IT-Infrastruktur des Bundestages wird vom NSA Partner Verizon verwaltet, wie Snowden Leaks aus dem Jahr 2014 dokumentieren. Es ist also denkbar, dass die NSA oder andere five-eyes Partner über Verizon Zugang zum, oder zumindest sensible Informationen über das deutsche Bundestagsnetz bekommen. Dieses Verfahren ist nicht unüblich. Dies soll erst in naher Zukunft geändert werden, was eine fatale Fehleinschätzung ist.  Die Kontrolle der Bundestags-IT durch fremde Geheimdienste ist ein potenzieller Angriffsvektor der Zukunft. Das Argument war bisher, dass man ja Partner und Verbündete sei. Das mag noch so sein, aber die Stimmung zwischen den USA und Deutschland verschlechtert sich und einst beste Freunde mögen in 10 oder 20 Jahren keine mehr sein, wie die Entfremdung Isreals von den USA eindrucksvoll zeigt. Vor wenigen Jahren war es noch undenkbar, dass die USA von Isreal offen Abstand nehmen, aber solche Dinge passieren nunmal. Wer sagt, dass ähnliches nicht auch mit Deutschland passieren kann? Zumal Abhören unter Freunden ja scheinbar die Norm ist (Österreich klagt z.B. gerade gegen den BND).
  • Eine ahnungslose Politik wird sich natürlich nicht für eine umfassende ‘computer literacy‘ der Bevölkerung starkmachen. Die IT-Ausbildung an den deutschen Schulen wird als mangelhaft bezeichnet. Im europäischen Durchschnitt ist Deutschlands ‘internet literacy‘ nur im Mittelfeld. Die Ahnungslosigkeit wird also an die nächste Generation gleich weitergegeben. Gleichzeitig wird damit auch der Fachkräftemangel verstärkt: Deutschland bildet nicht genug qualifizierte IT-Arbeiter aus.
  • Die Große Koalition vertritt eine destruktive Internetpolitik, die digitale Innovationen in der führenden europäischen Wirtschaftsmacht maßgeblich blockiert, sodass kleine Staaten wie Estland oder Schweden digital mittlerweile Jahre voraus sind. Selbst EU-Nachzügler Tschechien ist laut dem Chef von VW fortschrittlicher. Dienste wie das schwedische Spotify oder das estnische Skype kennt jeder. Relevante deutsche Internetdienste (XING evtl.) gibt es kaum und es sieht auch nicht so aus, dass Deutschland (abseits vom Kopieren erfolgreicher amerikanischer Produkte, StudiVZ anyone?) hier maßgebliche Innovationen liefern wird. Die Zukunft des Internets und der digitalen Technologien wird ohne Deutschland geschrieben. Die traditionellen deutschen Industrien (z.B. die Autoindustrie), werden von Newcomern wie Tesla bedroht.
  • Zu dieser destruktiven Politik hört u.A. das Festhalten am Konzept der Störerhaftung, also dass WLAN Betreiber verantwortlich für illegale Aktivitäten sind, die über ihre Netzwerke laufen. Ein solches Gesetz gibt es in kaum einem anderen Entwicklungsland und zeigt das gestörte Verhältnis der deutschen Politik zum Internet. Freifunknetzwerke, also öffentliche WLAN Netzwerke sind in den meisten europäischen Großstädten bereits Standard und ausländische Gäste wundern sich immer wieder, dass man in Deutschland nirgends freien WLAN Zugang findet. Das gleiche Debakel zeigt sich auch an der WLAN-Infrastruktur in Zügen der Bahn. Die schwedische Bahn hatte schon 2008 WLAN in Regionalbahnen. In Deutschland soll das, evtl., irgendwann in der Zukunft mal stattfinden.
  • Die Große Koalition vertritt zudem  eine cyber-sicherheits-feindliche Politik indem ihr Innenminister wiederholt gefordert hat, dass staatliche Stellen (also der BND, also auch die NSA, der GCHQ und alle anderen 400+ Partner) Zugang zu verschlüsselter Software bekommen sollen. Damit macht man das Internet (also die Technologie die wir alle, einschließlich Bundestage, benutzen) bewusst unsicherer, im Namen der Sicherheit. Ein weiteres Paradebeispiel für das gestörte Verhältnis der deutschen Politik zu Technologie. Wer Verschlüsselung absichtlich schwächt, in dem weitere Zugänge eingebaut werden, die von Akteuren mit größerer Expertise missbraucht werden können, darf sich nicht wundern, dass in seine Netze eingedrungen wird. Der Grund, warum die meisten mittelalterlichen Burgen nur ein stark gesichertes Tor hatten ist, dass zwei oder mehr Tore schwerer zu sichern sind: sprich es ist schwieriger zu bewerkstelligen, dass niemand Ungewolltes eindringt.
  • Die Regierung, wieder vertreten durch den Innenminister, will die gleiche Technologie gegenüber den Bürgern einsetzen, von der sie jetzt selbst betroffen ist: Trojaner zur Infiltration von Computern. Eine staatliche Lizenz zum Einbruch in digitale System wäre das. Das, was eigentlich unter Strafe steht, soll der Staat tun dürfen. Wer staatlichen Trojanereinsatz legitimiert, darf sich nicht beschweren, selbst davon betroffen zu sein.

Nun ist Ahnungslosigkeit kein Verbrechen. Sie wird aber dann zum Problem, wenn man nicht aktiv etwas dagegen macht. Dazu gehört erstmal Aufklärung über das, was momentan geschieht, damit man Prozesse nachvollziehen und davon lernen kann. Genau das verfolgt die Bundesregierung nur bedingt. Das Motto ist bisher, am besten alles verschleiern. Somit erhöht man aber nicht die eigene Sicherheit, denn wenn Fehler und Schwachstellen vertuscht werden, kann man sie nicht beheben. Wenn man dem Arzt gegenüber nicht transparent ist und z.B. zugibt, dass man illegale Drogen konsumiert, kann dieser im Zweifelsfall bei Krankheit keine richtige Diagnose stellen und verschreibt im ‘worst case‘ Medikamente, die in Verbindung mit illegalen Substanzen schädlich sind.

Der zweite Schritt wäre, einen offeneren, progressiveren und demokratischen Umgang mit Technologie zu entwickeln. Die Technikpolitik muss demokratisch begleitet werden und kann nicht von oben herab, über die Bevölkerung hinweg reguliert werden. Da die Bundesregierung das nicht alleine kann, sollte sie auf ihre Zivilgesellschaft hören die in vielen Bereichen schon weitaus fortschrittlicher ist. Es gibt zahlreiche kompetente zivilgesellschaftliche Organisationen die man zum Dialog und zur Konsultation heran ziehen kann, man muss es nur wollen. Die Enquete Kommission ‘Internet und digitale Gesellschaft‘ war eine hervorragende Idee (des damaligen Innenministers, das muss man ja auch mal loben!) und hat gute Arbeit geleistet, wurde aber 2013 nicht fortgesetzt. Statt aber z.B. in Fragen der Internetsicherheit (etwa bei der Frage Verschlüsselung) auf Akteure wie den CCC oder Firmen zu hören, lässt man sich lieber von den Sicherheitsbehörden den Floh ins Ohr setzen, dass man unbedingt geheime Zugänge zur Verschlüsselung braucht. In den USA starten Apple und Google, also die größten IT Firmen der Welt, gerade eine Initiative um den Präsidenten zu überzeugen, genau diese Hintertüren zu verhindern. In Deutschland ist man scheinbar noch nicht so weit.

Beitrag erstellt 145

Verwandte Beiträge

Beginne damit, deinen Suchbegriff oben einzugeben und drücke Enter für die Suche. Drücke ESC, um abzubrechen.

Zurück nach oben