Monat: Juni 2011

Raoul Chiesa begann sein Hackerleben als 13jähriger auf einem C64. Heute hat er eine Beratungsfirma für IT-Sicherheit und betreibt das “Hacker’s Profiling Project“. Chiesa erklärt, anhand welcher Spuren er Wesen und Motivation von Cyber-Angreifern auf die Schliche kommt – und warum Hacker für die allermeisten von ihnen der falsche Begriff ist.

Habe fürs Deutschlandradio Kultur gestern einen kleinen Kommentar zum Cyber-Abwehrzentrum rein gehackt. Liest sich so:

Auf der einen Seite ist das Cyberabwehrzentrum ist eine Pflichtübung. Deutsche Behörden überwachen mit bescheidenem Personalaufwand ihre Netze und sollen warnen, wenn etwas nicht stimmt. Doch bald sitzen dort Politik, Polizei und Geheimdienste an einem Tisch. Ein Nationaler Cyber-Sicherheitsrat und eine IT-Taskforce im Wirtschaftsministerium sollen zudem den Informationsaustausch zwischen Staat und Wirtschaft fördern. Und damit werden auch in Deutschland Tendenzen sichtbar, wie sie die Diskussion um einen vermeintlichen „Cyberwar“ weltweit prägen: Überall gelten Partnerschaften zwischen Politik, Polizei und Wirtschaft als ein probates Mittel für einen besseren Schutz gegen Angriffe aus dem Netz. Ermittlungsbehörden und Geheimdienste, so das Credo, müssen sich besser austauschen mit der Wirtschaft, also mit Telefonunternehmen, Internetanbietern und Stromversorgern. In Amerika verlangt der Abhörgeheimdienst NSA unverhohlen mehr Kontrolle über zivile Netzte, nur so seien Cyberattacken rechtzeitig zu erkennen, abzuwehren und aufzuklären. Im Kampf gegen die Gefahren aus dem Cyberspace rücken Staat, Geheimdienste und Wirtschaft immer näher zusammen – was uns viel Geld und Freiheit kosten könnte. Ob wir diesen Preis zu zahlen bereit sind, hängt von der tatsächlichen Bedrohung ab. Deswegen lohnt ein genauer Blick auf diese “Gefahr aus dem Cyberspace”. Und fällt auf: Sony, Internationaler Währungsfond, Google-Mail und jetzt Citi Bank – nahezu alle bekannten Angriffe auf Firmen fallen entweder in die Kategorie Kriminalität oder Spionage – keine erfreulichen Phänomene, aber seit Jahrhunderten Alltag. Von einem Cyberwar kann keine Rede sein. Und bisher gibt es auch keine Belege, dass so genannte kritische Infrastrukturen wie Stromnetze oder Finanzmärkte erfolgreich angegriffen wurden. Aber natürlich sind solche Angriffe technisch möglich, Stuxnet hat das gezeigt. Es sieht jedoch alles danach aus, als müssten erstmal wir alle unsere und vor allem die Unternehmen ihre Hausaufgaben machen, bevor wir Geheimdienste unsere Netze überwachen lassen und Unternehmen unkontrolliert Daten an den Staat weiter geben. Die Einbrüche in die Sony-Server etwa, von dem über 100 Millionen Menschen betroffen sind, ist offenbar auf völlig veraltete Software zurück zu führen. Dieser Daten-GAU hätte demnach mit relativ geringem Aufwand vermieden werden können. Aber auch wir alle müssen dazu lernen: Hätten die US-Politiker gewusst: Man klickt nicht auf Links Emails, dann wären die Angreifer kaum an ihre Google-Mails gekommen. Und auch wenn wir unsere kritischen Infrastrukturen schützen wollen, brauchen wir dafür mitunter kein bisschen Freiheit aufgeben: Das GSM-Mobilfunknetz etwa erfüllt nicht einmal mehr minimale Sicherheitsanforderungen. Jeder kann mit einem Notebook und etwas KnowHow SMS mitlesen und Telefonate abhören. Sicherheitsforscher haben längst gezeigt, dass modifizierte Telefone ganze Handynetze lahm legen können. Was braucht es, um die Sicherheit des Mobilfunknetzes um Größenordnungen verbessern? Vodafone und Co. müsse aktuelle Software einspielen. Wenn die Cyberabwehrzentren und Cybersicherheitsräte der Republik das erreichen, war es die Mühe schon wert gewesen.