Kommentar Cyberkrieg: Theoretisch bin ich Bundeskanzlerin

Und noch was:

Frau Seeliger scheint davon auszugehen, dass Sicherheitslücken etwa an AKWs und Industriesteuerungen "gestopft werden können" und die Systeme dann sicher sind.

Diese Begrifflichkeit ist eindeutig falsch. Security ist ein Querschnittsaspekt, den man nicht nachträglich per Update und Bugfix in eine Software einbauen kann wie eine zusätzliche Funktion oder ein Plugin. Entweder die Software ist von Grund auf sicher konzipiert und umfassend überprüft. Oder sie ist grundlegend unsicher und niemals mit vernünftigem Aufwand sicher zu bekommen.

(Ein gutes Beispiel ist das Open Source Projekt Diaspora, das von Sicherheitsexperten vernichtende Kritiken erhielt; Ein älteres Beispiel ist die Server-Software sendmail.).

Ich bin sicher kein Freund von verstärkter staatlicher Überwachung im Netz, die keine Probleme lösen, sondern nur neue schaffen wird. Scheinbar haben nahezu alle Regierungen Angst vor dem Netz, welches Macht über Informationsflüsse auflöst.

Dennoch geht meiner Meinung nach die Argumentation in Julias Kommentar am Problem vorbei. Angriffe auf Industriesteuerungen sind ein erhebliches Sicherheitsrisiko, weil sie direkt Menschenleben vernichten und Millionenwerte zerstören können. Industrielle Steuerungen sind unglaublich schlecht gegen Angriffe geschützt. Beispielsweise laufen auf Steuerungen auch PC-Systeme mit Windows - ohne Virenscanner, denn die würden die Echtzeiteigenschaften des Systems gefährden. Die Fiktion ist nun, dass diese Systeme vom globalen Netz getrennt zu halten sind und dann als sicher gelten können. Doch Stuxnet hat gezeigt, dass diese Fiktion eine verdammte Lüge ist.

Noch schlimmer wird die Sicherheit von Steuerungen dadurch, dass zunehmend Safety-Funktionen auf PC-basierte Steuerungen und offene Feldbusse übertragen werden. Das dürfte eigentlich gar nicht zugelassen werden, weil diese Safety-Funktionen nicht vor einer Manipulation des PC-Systems geschützt werden können. Die "Safety" baut also auf einer nicht vorhandenen "Security" auf. Im Grunde genommen ist es strafbar, solche Anlagen zu betreiben. Praktisch ist es Standard.

Stuxnet hat gezeigt, dass gezielte und destruktive Angriffe gegen industrielle Steuerungen machbar sind. Die weiteren Entwicklungen in diesem Bereich werden nicht von Cyber-Aktivisten wie Anonymous kommen, sondern von organisierten Kriminellen, die damit Gelder erpressen. Da der Ausfall industrieller Fertigungen stündlich Millionenbeträge kosten kann, muss man mit diesem 'Geschäftsmodell' rechnen, Über einen ersten Fall bei einer Lebensmittelproduktion berichtete die ZEIT. Man darf sich auch nicht vormachen, dass es nur wenige sicherheitskritische Bereiche wie AKWs gibt, die angemessen geschützt sind, Gut geschützt sind Steuerungen z.B. im Bereich der Luftfahrt. Aber welcher Autofahrer würde damit rechnen, dass das Lenkgestänge seines Fahrzeugs vielleicht nicht richtig verschweißt ist oder welche Mutter damit, dass die Babynahrung, die sie verfüttert, nicht ausreichend sterilisiert wurde?

Was das ganze Problem noch erheblich scherwiegender macht: Nicht nur hat die Industrie die immer schnellere und flächendeckendere Vernetzung nicht vorhergesehen und selbst auf auf simple Authentifizierungs- und Sicherheitsmaßnahmen, wie sie in jedem Uni-Rechenzentrum Standard sind, weitgehend verzichtet. Dazu kommt, dass Anlagen und damit auch die Steuerungen extrem langfristige Investitionen sind, die oft zwanzig Jahre lang unverändert betrieben werden. Das heißt, dass ein Stück Software das heute eingebaut wird und vielleicht auf Windows XP basiert, nicht selten bis zum Jahr 2031 betrieben wird.

@ Carsten Posingies:

Stuxnet waren keine Scriptkiddies, sicherlich nicht. Was ich mitgekriegt habe, soll der Code von sehr unterschiedlicher Qualität gewesen sein, so daß man sogar vom Zusammenwirken verschiedener Gruppen ausgeht, die jeweils einen Teil geschrieben haben. Vermutet wird in Richtung einer israelisch-amerikanischen Zusammenarbeit. Und, ja, die müssen über Insiderkenntnisse von SIEMENS verfügt haben, weil der Virus speziell auf die iranische Variante der SIEMENS-Software maßgeschneidert war. Eine ganz andere Frage ist, wie SIEMENS-Software überhaupt ins iranische Atom(bomben?)programm kommt. Die muß ja auch jemand warten.

Was die Hacker angeht, hat letztens noch Stallman selber der taz beizubringen versucht, daß er, der er sich als Hacker versteht, keineswegs in fremde Computersysteme einbricht, und daß das keineswegs die Hauptaufgabe eines Hackers ist. Sowas kann unter vielem anderen durchaus auch einmal ein "Hack" sein, aber Hacking steht allgemein für "playfull cleverness" in seiner Diktion, und Linus Torvalds stimmt dem in seiner Autobiografie "Just for fun" auch zu. Ein Hack ist erst einmal eine verblüffend einfache / spielerische / clevere Programmiererlösung für ein zuvor als enorm schwierig geltendes Problem. Hacking als "Systemeinbruch" ist tatsächlich erst mal eine Medienerfindung. Daß Jugendliche diese Bezeichnung heute für sich übernehmen, macht die Verständigung nicht einfacher, weshalb Linus im genannten Buch auch überlegt, künftig auf den Begriff zu verzichten. Insofern ist Seeligers Terminologie ... grenzwertig, aber noch o.k., und verrät zugleich natürlich, aus welcher Ecke sie jedenfalls schon mal nicht kommt (der der Freien Software, also einer politischen Philosophie, in der Freiheit an erster Stelle steht).

@ Seeräuberjens: Ihrem Fazit (keine proprietäre Software in sicherheitsrelevanten Bereichen) stimme ich zu 100% zu. Jedoch ist es, auch wenn keine klaren Daten vorliegen, jedenfalls nicht öffentlich zugänglich, aufgrund der Komplexität des stuxnet-Angriffs eher unwahrscheinlich, dass das eine kleine Gruppe von Scriptkids war. Wenn Sie sich die Vielschichtigkeit der Attacke einmal anschauen, stellen Sie schnell fest, dass dafür Insiderkenntnisse über die angegriffene Anlage notwendig gewesen sind und sehr differenzierte Programmierkenntnisse. Um eine Siemens-SPS auszuhebeln, müssen Sie entweder über vertrauliche Unterlagen des Herstellers verfügen oder so ein Ding in der Garage stehen haben. Die Geldmittel für Variante 2 sind allerdings nicht ganz unerheblich für ein paar Freizeit-Hacker.

@ Andreas H.: Ihre Definition ist falsch. Cracker sind, wenn Sie schon auf ursprünglichen Begriffsverwendungen bestehen, die Leute, die Kopierschutzmaßnahmen umgehen. Die Verwendung der Bezeichnung "Hacker" von Frau Seeliger ist schon ganz richtig, wie man etwa am Wort "Hacktivisten" sehen kann, eines, das in der Szene selbst entstanden ist, nicht in den Medien.

@ Daniel: Militärische und ähnliche Einrichtungen sind nicht erst "in letzter Zeit" Ziele von neugierigen Datenwanderern, sondern gehören zu denen der ersten Stunde. Sofern jedoch unser neues "Cyberabwehrzentrum" (was wehrt das jetzt genau ab?) sich nicht aus VHS-weitergebildeten Streifenpolizisten besetzt wäre, sondern sich die zuständigen Behörden trauen würden, Leute mit Ahnung zu rekrutieren, also eben solche aus "der Szene", mit entsprechender Bezahlung, beschreibt Frau Seeliger die Lage durchaus treffend. Dann nämlich müsste dieses Zentrum sich nicht mit Geheimhaltungsgeschwätz von privaten Unternehmen herumschlagen, sondern könnte seine Tools und Maßnahmen direkt vor die zu schützenden Systeme bauen. Das wäre weitaus effektiver.

Leider ist der Kommentar von Julia Seeliger blauäugig und wirkt sehr ideologisch.

An den gelungen Hackerangriffen auf die Polizei und die Nato kann man erkennen, dass die Forderung sicherheitskritische Infrastruktur in staatlicher Hand nicht das Problem löst.

Den Euphemismus "Aktionen digitalen zivilen Ungehorsams" halte ich für bedenklich angesicht der enormen finanziellen Verluste der Unternehmen und dem Veröffentlichen sensibler persönlicher Daten, die für weiter Straftaten genutzt werden (können).

Man sollte sich auch klar machen, dass wenn Hackergruppen die aus Schülern und Studenten bestehen, Behörden und internationale Unternehmen erfolgreich attackieren können, die Gefahr vor ausländischen Geheimdiensten erheblich ist. Auf diese Gefahr muss angemessen reagiert werden, wobei es keine Denkverbote geben sollte.

Auch die Überlegung, ob proprietäre Software für sicherheitskritische Bereiche geeignet ist.

anonymOus. mit O! englisch!

Danke für die Fürsprache.

Ihnen ist aber schon aufgefallen, dass die letzten Hacks mit Bundespolizei/Zoll und Nato u. a. auch behördliche, also nicht-private Ziele hatten? Die Gleichung staatlich = sicher wäre mir hinsichtlich solcher Angriffe auch vollkommen neu.

Zugegebenermaßen wird von selbsternannten Sicherheitsexperten gerne ein völlig übertriebenes Bild von Gefahren aus und im Internet/Cyberspace/Hyperraum gezeichnet - nur was hat das denn jetzt damit zu tun, von wem unsere Krankenhäuser betrieben werden?

Das ganze noch im Zusammenhang mit einer sehr unaufgeregten und realistischen (wenn auch kontextlosen) Einschätzung von Scott...

Der Sinn dieses Artikels möchte sich mir nicht ganz erschließen.

Und Sie begehen ebenso einen Fehler wie die Politiker: Alle reden von Hackern bei Anonymous und Co. Dabei sind diese Leute keine Hacker, sondern Cracker, zu Deutsch: Systemknacker. Hacker hingegen testen alle Möglichkeiten aus, die eine Technologie mit sich bringt. Gerne entstehen auch neue Ideen (siehe die Kinect-Hacks). Wenn man schon Kritik gegen die Regierung übt, sollte man sich auch dieser Unterscheidung von Hackern und Crackern bewusst sein. Denn das haben auch die Politiker nicht so recht begriffen.

Nebenbei bemerkt: viele Cracks scheinen keine große Komplexität geboten zu haben. Für Scriptkiddies ist es nicht schwer, einfach ein Programm auszuführen, wenn Sie ihr Ziel kennen. Viel wichtiger ist aber, dass man seine Spuren verwischt. Wer sich an Stuxnet erinnert, weiß auch, dass die Suche nur nach der Ursache schon ein Hindernislauf ist. Die Frage nach dem "woher?" ist dann noch ein Zacken schärfer, wenn es um deren Beantwortung geht.

Verbesserte Sicherheit ist dann geboten, wenn man die Zugriffe auf diese Systeme genauer beobachtet und protokolliert. Dafür müssen aber entsprechende Infrastrukturen aufgebaut werden, die gerade bei alten Rechenzentren und Serverfarmen nicht garantiert werden können.

Noch kein Atomkraftwerk sabotiert?

Oh doch! Einfach mal "stuxnet" googlen. Die Lehre übrigens, die aus Stuxnet zu ziehen ist: Proprietäre Software gehört nicht in sicherheitsrelevante Bereiche.