Informationsschutz, Sicherheitsmanagement

Wir sind von der informationstechnischen Leistungsfähigkeit überfordert

Von: Joachim Jakobs

Im Oktober beschäftigten sich 200 Delegierte der SPD auf einem Parteitag mit der Frage, ob Koalitionsverhandlungen mit der Union aufgenommen sollten. Dabei gings streng geheim zu: Nicht einmal Fotografen waren zugelassen. Trotzdem hat es sich der Hannoveraner Juso-Chef Daniel Brunkhorst nicht nehmen lassen, live vom SPD-Konvent zu bloggen.

Zu allem Überfluss hat er auch noch das Passwort auf Facebook veröffentlicht: „Willy“. Prompt stand in der BILD, dass Parteichef Sigmar Gabriel bereits zu diesem Zeitpunkt nicht an Steuererhöhungen mit der Union glaubte. Mit diesem Fauxpas seines jungen Parteifreundes im Kreuz ging Gabriel anschließend in die Verhandlungen mit der CDU.

Unzureichendes Bewusstsein
Der 29-jährige Brunkhorst hat mit seinem Verhalten das Kardinalproblem der Informationsgesellschaft offengelegt: Die Fähigkeiten stehen allzu oft im umgekehrten Verhältnis zu Geld oder Macht und Einfluss des Betroffenen. Brunkhorst war wohl der Ansicht, dass sich nur seine „Freunde“ für sein virtuelles Geschreibsel interessieren würden. Das Passwort „Willy“ lässt zudem den Schluss zu, dass sich nicht alle der 200 Spitzen-Genossen darüber im klaren sind, dass es Passwort-Datenbanken mit zig Millionen Einträgen gibt, die sich in Sekundenschnelle durchprobieren lassen. Selbst wenn Brunkhorst nicht so mitteilungsfreudig gewesen wäre, hätten sich beliebige Interessenten schnell Zugang zu seinem Tagebuch verschaffen können.

Schlimmer noch – die technischen Möglichkeiten der Zauberlehrlinge, Unfug anzustellen, steigen unaufhörlich. Damit nimmt auch ihr Bildungsnotstand zu: So verdoppelt sich die Schaltkreisdichte von Computerchips alle 18 Monate und das bereits seit 50 Jahren. Dieses nach Gordon Moore, dem Gründer des Chipkonzerns Intel benannte Gesetz soll nach Unternehmensangaben noch mindestens bis 2029 erhalten bleiben. Bis dahin soll eine 14-tägige Wetterprognose mit der theoretisch maximalen Genauigkeit möglich sein.

Noch größere Vernetzung
Diese gigantischen technischen Möglichkeiten schaffen Wünsche – zum Beispiel den, sprichwörtlich jede Milchtüte mit einer eigenen IP-Adresse zu versehen: Im kommenden „IPv6“ – dem Internet der nächsten Generation – stehen jedem Bundesbürger 62,5 Trillionen IP-Adressen zur Verfügung. Damit wäre die Voraussetzung geschaffen, Alles mit Allem interagieren zu lassen – die Idee: Im künftigen „Internet der Dinge“ sollen nicht nur die Telefone, sondern auch die Milchtüten, die Gebäude, die Autos und die Stromnetze „Intelligenz“ verpasst bekommen.

Der Bildungsnotstand ist nicht auf die Parteien beschränkt, auch dem Gesetzgeber mangelt es gelegentlich an Verstand: So nutzten Abgeordnete des Europäischen Parlaments die Microsoft-Anwendung „Active Sync“, um Mails, Termine und andere Daten zwischen mobilen und stationären Geräten zu synchronisieren. Ein Unbekannter hatte sich in der Nähe des Straßburger Parlamentssitzes platziert und mit seinem Laptop einen WLAN-Access-Point eingerichtet. Damit belauschte er die Passanten, während die ihre Daten vom Handy mit den Rechnern im Parlament synchronisierten.

Zwar soll die Synchronisation bei dem Verbindungsversuch über den eingerichteten Access Point mit einem Warnhinweis reagieren. Doch die meisten würden diese Warnung mit OK quittieren, ohne den Hinweis jemals gelesen zu haben. „Es war ein Kinderspiel“, soll sich der Angreifer gegenüber einer Internet-Zeitung geäußert haben. Das Ergebnis:  Ein gutes Dutzend Parlamentarier und ihre Mitarbeiter mussten 40.000 E-Mails mit dem Täter teilen. In den Mails – unter anderem an den Bundestag und die EU Kommission – sollen sich unter anderem vertrauliche Diskussionspapiere von Lobbyorganisationen, Protokolle über die Kandidatenauswahl für politische Ämter, Einladungen zu Champions-League-Spielen oder Aufforderungen zum Abstimmungsverhalten von Lobbyisten befunden haben.

Offenbar stellen die Parlamentarier ein Sicherheitsrisiko dar. Die Vorstellung, dass sie Hand anlegen könnten an Telematik-Projekte – wie etwa neue Überwachungsgesetze, der Telemedizin oder der Verkehrstelematik - treibt einem den Angstschweiß auf die Stirn: Wenn die Entscheider nicht wissen, was sie selbst tun, wie sollen sie dann in der Lage sein, sinnvolle Entscheidungen zu fällen, auf deren Basis dann Dritte handeln sollen? Im Frühjahr 2013 kritisierte der promovierte Sicherheitsforscher Karsten Nohl die „Absenkung des Schutzniveaus für Steuer-, Sozial- und Gerichtsdaten“. Woher aber sollten Politiker Sensibilität für den verantwortungsbewussten Umgang mit personenbezogenen Daten von Dritten nehmen, wenn sie nicht einmal in der Lage sind, Verantwortung für die eigenen Griffel zu übernehmen?

Selbst Fachleute überfordert
Jetzt also kommen die ins Spiel, die Software entwickeln, implementieren oder nutzen: Nicht einmal die Informatiker müssen auch nur eine Vorlesung zum Thema „Sicherheit“ gehört haben, bevor sie ihr Abschlusszeugnis ausgehändigt bekommen. Es gibt keine Hinweise darauf, dass dies bei denen besser wäre, die die Software der Informatiker implementieren oder anschließend anwenden, um damit industrielle Anlagen zu steuern oder personenbezogene Daten von Bürgern, Immobilienbesitzern, Kunden, Mandanten, Mietern, Mitarbeitern, Patienten, Steuerpflichtigen und Versicherten zu verarbeiten. Sobald ein Glied in der Prozesskette versagt, ist die gesamte Kette in Gefahr. So haben auch andere ihre Schwierigkeiten mit den Passwörtern – die für Cybersicherheit industrieller Anlagen zuständige US-Behörde etwa ist der Meinung, dass Standardpasswörter unproblematisch seien, solang sie nur gut dokumentiert sind. Besser wäre wohl „unpraktisch“ – zumindest für spitzelnde Geheimdienste – gewesen.

So schwache Empfehlungen führen zu Schwächen bei den Entwicklern – wie zum Beispiel der Turck GmbH, einer der - so die Selbsteinschätzung – „global führenden Unternehmensgruppen auf dem Sektor der industriellen Automation“ aus Mühlheim an der Ruhr: Die Passwörter zweier Steuerungsgeräte sollen nach Erkenntnis der bereits erwähnten US-Behörde so schwach gewesen, dass Angreifer aus der Ferne die Steuerung über die Geräte hätten übernehmen können. Noch dazu sollen die Passwörter fest eingebaut gewesen sein. Damit können die Passwörter nicht geändert werden – die Kunden können die Hardware jetzt als Sondermüll entsorgen.

Passwörter schnell zu knacken
Bei denen, die die Software der Entwickler implementieren und warten, ist es auch nicht besser. Das Forschungsinstitut SANS weist darauf hin, dass die Administratoren Standardpasswörter der Hersteller aus einer Reihe von Gründen nicht änderten: Sie wüssten es teils einfach nicht, dass Standardpasswörter geändert werden sollten oder glaubten, dass das System von der Firewall geschützt sei.

Nach der Analyse von 70 Millionen Passwörtern weltweit kommt die Universität Cambridge zu dem Ergebnis, dass ein mittelmäßig begabter Angreifer etwa zehn Minuten benötigt, um ein durchschnittliches Passwort von sechs Zeichen zu knacken – egal ob es aus China, Kenia oder Honolulu stammt.

Auf diese Weise sollen Millionen Geräte ungeschützt ans Internet geklemmt worden sein; mal handelt es sich um ein Wasserwerk, mal um 780.000 Patientendatensätze, mal werden 280.000 Sozialversicherungsnummern gestohlen, mal werden Banken in Europa, Rußland und der Ukraine um 13 Millionen US-Dollar geprellt, deren Bankautomaten mit Software aus dem Hause Fidelity National Information Services (FIS) laufen. Alles nur wegen unsicherer Passwörter. Die Unternehmensberatung Deloitte schätzt, dass 90 Prozent aller Anwenderpasswörter zu knacken seien.

Angreifer haben Vorsprung
Soweit zum Bildungsniveau der Angegriffenen bezüglich Passwörter. Das Bildungsniveau der Angreifer verhält sich umgekehrt dazu. Mit Hilfe eines Passwortknackers dauert es maximal sechs Stunden, um ein beliebiges achtstelliges Passwort mit Zahlen, Groß- und Kleinbuchstaben sowie Sonderzeichen zu knacken.

Damit gehen die Probleme der Opfer erst richtig los – die Passwörter eröffnen nämlich den Zugang zu Prozessen, die keinen Deut besser gesichert sind wie ihre Zugänge: Im Januar 2013 sollen US-Amerikanische Rechenzentren mit Schadsoftware infiziert worden sein, um mit deren Hilfe dann US-Amerikanische Banken anzugreifen. Normalerweise werden für derartige „Denial of Service“-Angriffe Computer tausender ahnungsloser Anwender infiziert und dann anschließend die Zielobjekte mit soviel Anfragen überhäuft, bis diese schließlich den Dienst quittieren. Dass in diesem Fall Rechenzentren statt Anwender PC benutzt wurden, sei so, als würde der Angreifer nicht mehr mit einer Pistole, sondern einer Kanone schießen, so ein Sicherheitsexperte. Anschließend bettelte eine Handvoll großer US-Banken bei der NSA um Hilfe – in Pressemeldungen wurden auch die Bank of America, die  Citigroup und die HSBC damit in Verbindung gebracht. Kurz zuvor hatte der IDG News Service darauf hingewiesen, dass „einige Anbieter von Cloud-Diensten“ daran scheiterten, „schädlichen Verkehr“ zu erkennen, der von ihren Netzen ausginge.

Schädlich könnte sich auch die Verwendung des Clouddienstes CloudCracker auswirken – nicht für die Verwender, sondern die von der Verwendung Betroffenen: Heise Online zu Folge behauptete der Verschlüsselungsexperte Moxie Marlinspike vor einem Jahr, dass man mit seinem Webdienst CloudCracker innerhalb von 24 Stunden beliebig in kabellose Heimnetze (WLAN) oder angeblich sichere „Virtuelle Private Netze“ (VPN) eindringen kann, sofern diese per 'MS-CHAPv2' gesichert sind. „Kostenpunkt: rund 200 US-Dollar“. MS-CHAPv2 werde – so Heise - trotz seiner seit längerem bekannten, prinzipiellen Schwächen noch häufig eingesetzt, vor allem im Firmenumfeld.

Snowden warnt
Der frühere NSA-Mitarbeiter Edward Snowden ist – laut dem ,Guardian’ – davon überzeugt: „Gut implementierte, starke Verschlüsselung ist eines der wenigen Dinge, auf die man sich verlassen kann.“ Seine steile Behauptung knüpft der Ex-Geheimdienstler an zwei Voraussetzungen: Er verlangt nach einer „gut implementierten“ und „starken“ Verschlüsselung. Da wäre es interessant, zu wissen, wie viele Informatiker nicht nur von vermeintlich sicheren Protokollen und Verfahren wie „Twofish“ oder dem „Datagram Transport Layer Security (DTLS) Extension to Establish Keys for the Secure Real-time Transport Protocol (SRTP)“ (DTLS-SRTC) gehört haben, sondern auch noch deren Implementierung „sicher“ beherrschen.

Und wenn sie die Implementierung der Technik beherrschen, wäre die damit garantierte Sicherheit noch immer nur eine Momentaufnahme, denn worauf heute Verlass ,ist’, kann morgen schon Schnee von gestern sein, wie der Sicherheitsexperte Jarved Samuel kürzlich bei einer Sicherheitsmesse erläuterte: Bislang gäbe es kein mathematisches Verfahren, mit dessen Hilfe Algorithmen wie „RSA“ oder „Diffie-Hellman“ in akzeptabler Zeit berechnet werden könnten. In dem Augenblick, in dem ein solches mathematisches Verfahren gefunden würde, würde sich die Situation schlagartig ändern. Seit 25 Jahren habe es kaum Fortschritte auf diesem Gebiet gegeben. Die Forschungsergebnisse die der Wissenschaftler Antoine Joux zu Jahresbeginn präsentiert habe, würden aber darauf hindeuten, dass sich hier in absehbarer Zeit etwas ändern könnte. Sobald hier ein Durchbruch gelinge, ginge diese Erkenntnis sofort auf die Sicherheits-Mailinglisten und ihre praktische Implementierung würde dann lediglich noch ein, zwei Tage benötigen, bestätigt Alex Stamos, Chief Technology Officer der Sicherheitsfirma „Artemis“ – somit seien dann das Bankwesen, der Onlinehandel, die eMail und die Aktualisierungsfunktion gängiger Betriebssysteme in Gefahr. Jeder Pennäler könnte dann auf NSA-Niveau in Systeme eindringen. Die Folge nach Stamos' Meinung: „Ein vollständiger Zusammenbruch des Vertrauens ins Internet.“

Zunehmende IT-Abhängigkeit birgt Gefahren
Womöglich wird dieser Zustand zu einem Zeitpunkt erreicht, in dem wir den „Dingen“ allesamt „Intelligenz“ verpasst haben. Dann könnten die Bremsen in den Autos versagen, Heizungen verrückt spielen oder der Strom ausfallen. Aktuell warnt die Gesellschaft für Informatik bereits vor einer „akuten Gefahr für Leib und Leben der Bürgerinnen und Bürger“ – so besteht z.B. die Manipulationsmöglichkeit der Steuerungsdaten in Kernkraftwerken.

Das bedeutet: Wenn wir das Dreibein aus technischen Möglichkeiten, den daraus abgeleiteten Wünschen und unseren Fähigkeiten nicht stabilisieren können, könnten uns Kriminelle diese Informationsgesellschaft zertrümmern. Und uns damit regelrecht in die Steinzeit zurück befördern. Um Verantwortung für sein Handeln übernehmen zu können, sollte Jeder über ein Minimum an Bildung verfügen, der in irgendeiner Form an der Informationsgesellschaft teilnehmen möchte.

 

Der Autor Joachim Jakobs will Menschen, die Software entwickeln, implementieren oder nutzen für das Thema „Datensicherheit“ begeistern und plant eine Bildungsinitiative; dabei will er mit einem „Datenschutzmobil“ medienträchtig durchs Land fahren und 240 Vorträge zwischen Kiel und Garmisch, Dresden und Aachen halten. Das Ziel: Die Unternehmen sollen

  • ein Sicherheits- und ein Notfallkonzept für ihr Unternehmen erstellen,
  • den betrieblichen Aufbau und seine Abläufe überprüfen,
  • in sichere Technik investieren und
  • alle Mitarbeiter einen “Computerführerschein“ erwerben lassen. Dabei handelt es sich um ein internationales Zertifikat, das sich insbesondere auch mit der IT-Sicherheit beschäftigt.

Zur Finanzierung hofft er auf Investitionen von Unternehmen, die von der Digitalisierung profitieren: Etwa denjenigen, die Sicherheitsberatung  bzw. -software anbieten oder Technik zum Einbruchsschutz liefern. Weitere Informationen – unter anderem zum wissenschaftlichen Beirat des Projekts – gibt’s auf privatsphaere.org.

21.11.2013

© Alle Rechte vorbehalten.
consulting plus
Beratung GmbH
Girardetstraße 1-5
45131 Essen
Tel.: +49 201 27 90 40