CCC-Kongress in Hamburg: Die Schwäche im System

Kurz nach der Veröffentlichung der neuen Windows-Version gab die französische IT-Firma Vupen in //twitter.com/cBekrar/status/263286109398773762:einem Tweet bekannt, eine bislang unbekannte Schwachstelle gefunden zu haben. Schwachstellen in Software zu finden, gehört zum Geschäftsmodell von Vupen. Doch statt sie an die Hersteller zu melden, damit die Software sicherer wird, verkauft Vupen sie an zahlende Kunden, die diese Schwachstellen für Angriffe in Computersystemen ausnutzen können. Und die Käufer sind in der Regel nicht Kriminelle, sondern Staaten.

„Es gibt zur Zeit einen großen Hype um das Schlagwort 'Cyberwar'“ sagt Sylvia Johnigk, Sprecherin des Forums InformatikerInnen für den Frieden (Fiff) in einem Vortrag auf dem Chaos Communications Congress. Cyberwar, das heißt für das Bundesverteidigungsministerium „Angriffe staatlicher Institutionen auf Computersysteme und IT-Netzwerke eines oder mehrerer anderer Staaten, die substanzielle Auswirkungen auf die Handlungsfähigkeit dieser Staaten haben“.

Die Vorstellung, einen Feind über Computersysteme anzugreifen sei attraktiv, so Johnigk: Eigene Soldaten kämen nicht in Gefahr und es sei oft schwierig zurückzuverfolgen, wer verantwortlich war. Und sie macht Staaten zu Interessenten derselben Schwachstellen, die auch gewöhnliche Kriminelle ausnutzen.

Dass mit Schadsoftware nicht nur Passwörter geklaut sondern auch Infrastruktur angegriffen werden kann, zeigte vor wenigen Jahren „Stuxnet“, als der Computervirus Zentrifugen im iranischen Atomprogramm zerstörte. Der Virus wurde geschrieben um Siemens-Industriesoftware anzugreifen und inzwischen wird angenommen, dass er durch Staaten, oder zumindest mit staatlicher Hilfe erstellt worden sein muss. Nach unbestätigten Berichten: die USA und Israel.

Kurze Zeit darauf berichtete die iranische Regierung, sie baue nun eine eigene Militärabteilung auf, die solche Angriffe abwehren, aber auch selbst angreifen können soll. Auch in anderen Ländern bereiten sich Militärs auf Auseinandersetzungen in Computernetzwerken vor. In Deutschland wird schon seit fünf Jahren die Abteilung „Computernetzwerkoperationen“ aufgebaut, vor wenigen Monaten hieß es in einem Bericht an den Verteidigungsausschuss im Bundestag: „Eine Anfangsbefähigung zum Wirken in gegnerischen Netzwerken wurde erreicht“. Heißt: Es geht nicht mehr nur um Abwehr.

Rüsten gegen die Sicherheit

Es ist genau dieses Wettrüsten zwischen Staaten, dass Sylvia Johnigk und das Fiff kritisieren. Egal ob zur Kriminalität, zur Spionage oder für militärische Angriffe, Viren haben gemein, dass sie Schwachstellen in Computersystemen ausnutzen, um zu wirken: um Passwörter zu klauen, um Daten zu kopieren oder um Kraftwerke lahmzulegen. „Die Energie, die für Angriffswerkzeuge aufgewendet wird, fehlt bei der Entwicklung von Schutzmechanismen“, kritisierte Fiff-Sprecherin Sylvia Johnigk.

Mehr noch: Wer aktiv solche Werkzeuge entwickele, habe kein Interesse daran die Schwachstellen in den Systemen zu beseitigen. Wer eine Schwachstelle kennt, nutze sie aus, statt sie zu melden und zu schließen. Im Umkehrschluss heißt das: Wer Schwachstellen schließt, macht nicht nur militärische Angriffe unwahrscheinlicher, sondern schützt Nutzer auch vor Viren, die Kontodaten auslesen oder Daten ausspähen sollen. Vor gewöhnlichen Cyberkriminellen also.

Als Alternative fordert Fiff, eine globale Verpflichtung von Staaten ihre IT-Entwicklung nur defensiv zu nutzen und eine Offenlegungspflicht für Software-Schwachstellen einzuführen. Das Geschäftsmodell von VUPEN wäre damit illegal. Hier müssten außerdem alle Staaten miteinbezogen werden, denn: „Wenn wir Chips von den Chinesen benutzen, können wir sie nicht bei einer solchen Initiative ausschließen“, sagt Johnigk.