"Sicherheit im Jahr der Ziege"
Aleksandra SOWA
Denn wer das Schwert nimmt, der soll durchs Schwert umkommen (Matthäus 26, 52)
.Der peinlichste Hackerangriff des Jahres 2015 war vermutlich der Datendiebstahl (Doxing) bei AshleyMadison, einem Internetportal, das seinen Kunden diskrete Alibis für private Abenteuer verschafft. Die Betrüger von AshleyMadison wurden um ihre Privatsphäre betrogen, kommentierte zynisch das Wired Magazine[1]. Die Kundendaten wurden nicht nur gestohlen, sondern auch veröffentlicht. Das Ende einiger Ehen und Partnerschaften, der Ruin der ein oder anderen Familie und vermutlich auch so mancher Karriere steht am vorläufigen Ende dieser Geschichte.
Der dreiste Angriff: erfolgreicher Einbruch und Datendiebstahl bei Hacking Team – einer auf Überwachungstechnologien, Spionagesoftware und Hackeraufträge spezialisierten italienischen Firma, die zu ihren Kunden auch die Regierungen kontemporärer Regime zählt. Hacking Team geriet in der Vergangenheit häufig in die Kritik der Hackerszene wegen seiner unethischen Arbeitsmethoden und Zusammenarbeit mit repressiven Regimen. Dem widersprach die Firma vehement. Hacking Team, das Schwachstellen in Systemen ausnutzte, um den Regierungen beispielsweise das Abhören und die Überwachung von Dissidenten zu ermöglichen, setzte bei seinen eigenen internen Systemen offenbar einen ziemlich laschen Schutz ein und wurde gehackt. Die entwendeten Kundendaten, Namen und Vertragsdetails der Auftraggeber, zu denen Staaten wie Aserbaidschan, Bahrain, Ägypten, Äthiopien, Kasachstan, Marokko, Nigeria, Oman, Saudi Arabien, Sudan sowie einige US-Behörden gehören, wurden von den Hackern veröffentlicht. Der Unterschied: Zu den verärgerten Kunden der Firma gehören die über eigene Killerkommandos verfügenden Regimes. Die Firma dürfte den Angriff nicht überleben, kommentierte der US-Sicherheitsguru Bruce Schneier. Und meinte es wörtlich.
Es gab auch den unspektakulärsten Hackerangriff des Jahres 2015: den Bundestags-Hack[2]. Noch nie wurde über einen Hackerangriff, bei welchem die internen Daten und die Kommunikation der Abgeordneten eines Landes ausgespäht und entwendet wurden, so wenig berichtet. Möglicherweise deswegen, weil sich der für den reibungslosen Arbeitsablauf im Bundestag – also auch für die IT-Infrastruktur – zuständige Ältestenrat über das Ausmaß und die Folgen des Hackerangriffs noch nicht im Klaren ist und deswegen die Öffentlichkeit sowie die Mitglieder des Bundestages nur spärlich informierte. Möglicherweise aber auch deswegen, weil sich die Hacker offenbar dagegen entschieden haben, die ausgespähten Informationen publik zu machen. Auch möglich: Bei den gestohlenen Daten der deutschen Abgeordneten gab es nichts, was eine Veröffentlichung lohnte.
.Anhand der seit Sommer 2015 herrschenden Informationslage bleibt jedenfalls sehr viel Raum für Mutmaßungen und Verschwörungstheorien. Doch wie schon der berühmte Detektiv Sherlock Holmes riet: „Wenn man das Unmögliche ausgeschlossen hat, muss das, was übrig bleibt, die Wahrheit sein, so unwahrscheinlich sie auch klingen mag.“
Der Bundestags-Hack erfolgte den bisherigen Berichten zufolge durch eine als E-Mail der Vereinigten Nationen (un.org) getarnte Phishing-Mail[3]. Der Betreiber der IT-Infrastruktur des Bundestages wurde nach dem Bekanntwerden des Angriffs ausgetauscht. Informationen darüber, was, wann und durch wen gestohlen wurde, sind rar. Nicht nur die Öffentlichkeit wird spärlich informiert; auch Abgeordnete mehrerer Fraktionen zeigten sich darüber verärgert, nicht bzw. nicht rechtzeitig über die Vorfälle und Ergebnisse der Angriffsanalyse informiert worden zu sein.
Im Bericht über die Lage der IT-Sicherheit in Deutschland 2015 des mit der Untersuchung des Bundestags-Hacks betrauten Bundesamtes für Sicherheit in der Informationstechnik (BSI) nimmt der Vorfall lediglich eine halbe Seite (von insgesamt 52) in Anspruch[4]. In etwa so viel Platz war dem BSI auch eine Nachricht über den Cyber-Angriff auf den französischen Fernsehsender TV5MONDE wert. Aus dem Lagebericht erfährt man, dass der Bundestags-Hack ein „klassischer“ APT-Angriff gewesen sei.
Zuerst wurden einzelne Arbeitsplatzrechner mit Schadsoftware infiziert, die das Hochladen weiterer Tools in das System des Bundestags ermöglichte, „darunter auch öffentlich verfügbare und von vielen Tätergruppen genutzte Werkzeuge“, schreibt das BSI im Lagebericht. Damit wiederum konnten die Zugangsdaten zu einem Systemkonto für die Softwareverteilung geknackt werden. Dieser Vorgang wird vom BSI als „Lateral Movement“ bezeichnet.
.Der Weg zur Ausbreitung der Malware im gesamten internen Netz des Bundestages stand nun offen. In einigen Systemen sollte so ein Backdoor-Schadprogramm installiert worden sein, das den Angreifern erlaubte, jederzeit auf das System zuzugreifen und weitere „Angriffstools und Schadprogramme, wie Keylogger, die Tastatureingaben mitschneiden und Bildschirmfotos
erstellen“ einzuschleusen. Es wurden ebenfalls „selbst geschriebene Skripte zum Sammeln von Dokumenten bestimmter Dateitypen gefunden“. Den Analytikern vom BSI ist es gelungen festzustellen, „dass es die Täter unter anderem auf ausgewählte E-Mail-Postfächer abgesehen hatten“. Auf welche? Darüber schweigt der Bericht.
So viel zu den Gerüchten, wer sich hinter dem mysteriösen Angriff versteckt: Das BSI begründet die Schwierigkeiten bei der Zuordnung des Angriffs mit der Tatsache, dass teilweise öffentlich zugängliche Malware und gängige Methoden verwendet werden, die gleichermaßen von weniger erfahrenen Hackern und professionellen Angreifern (zur Verschleierung ihrer Identität) für die APT-Attacken verwendet werden.
Glücklicherweise haben die Angreifer auch Fehler begangen und es so dem BSI ermöglicht, „ihre Aktivitäten im Netz nachzuvollziehen und zu detektieren“. Der entscheidende Hinweis über den Bundestags-Hack kam im Mai 2015 vom Bundesamt für Verfassungsschutz (BfV). Zu diesem Zeitpunkt waren die zentralen Systeme des Netzes im Deutschen Bundestag offenbar bereits kompromittiert.
Auch wenn die deutsche Regierung offenbar noch nicht mit Sicherheit feststellen konnte, von wem und/oder welche Gefahr ihr droht, so scheint die deutsche Politik recht überzeugt davon zu sein, was die richtigen Gegenmaßnahmen gegen die aus dem Netz drohende Kriminalität, Spionage und Terrorismus sein sollen. Nämlich die Abschaffung – oder wenigstens Abschwächung – der bisher als unantastbar geltenden Rechte und Freiheiten. Sogar das „rüde Beschimpfen“ im Internet soll sich nach Auffassung der ehemaligen Bundesministerin, Renate Künast, auf diese Weise bekämpfen lassen.[5]
.Beispielsweise die Anonymität im Internet. Sie sei zwar eine „heilige Kuh für viele Nerds“, zitiert Stefan Krempl auf heise.de den Göttinger Medienrechtler Gerald Spindler, der laut Referenteninformation unter anderem 2006 von der EU-Kommission mandatiert wurde, den europaweiten Review der E-Commerce-Richtlinie durchzuführen, und der als Experte „zu zahlreichen Anhörungen im Bundestag zu Fragen des Urheberrechts ebenso wie Datenschutzrecht geladen“[6] war und diese Worte auf der Konferenz „Die Zukunft des Urheberrechts“ im Dezember in Berlin von sich gab. Doch „[s]ie gehört für mich aber auch mal geschlachtet“. Der Medienanwalt sei der Auffassung, dass es sich bei der Anonymität nicht um ein Grundrecht handele, „er habe ein solches zumindest weder im Grundgesetz noch in einschlägigen Urteilen des Bundesverfassungsgerichts gefunden“.
Eine ähnliche Tendenz zeigt das von Vizekanzler Sigmar Gabriel und dem SPD-Präsidium vorgelegte Papier, Starke Ideen für Deutschland 2025, das als Diskussionsgrundlage für ein Zukunftsprogramm innerhalb der deutschen Sozialdemokraten dienen soll. Dort wird Sicherheit zum „Bürgerrecht“ erklärt. Dass der Begriff „Sicherheit“ im Papier „auffallend häufig“ vorkomme, dagegen selten nur der sozialdemokratische Grundwert der Gerechtigkeit, ist den Medien sofort aufgefallen. Die Grundwerte, so Kritiker aus eigenen Reihen, „nehmen in dem Papier neben Kriminalität, Terrorismus und Krieg […] eher eine randständige Rolle ein“[7].
In der aktuellen Ausgabe des Magazins Stern schlägt der SPD-Fraktionsvorsitzende, Thomas Oppermann, überraschenderweise ganz andere Töne an: „Die Idee der Freiheit ist stärker als jeder Terror“, sagt er. „Absolute Sicherheit kann es in einem freien Land nicht geben. Das wissen die Menschen auch.“ Und er erinnert an die Benjamin Franklins Worte: „Wer die Freiheit zugunsten der Sicherheit aufgibt, verliert am Ende beides.“[8]
.Demnach dürfte die vielleicht spannendste Sicherheitsfrage in Deutschland im nächsten Jahr die Frage nach dem Kanzlerkandidaten der SPD sein. Im Jahr 2017 finden die nächsten Bundestagswahlen statt. Doch dazwischen liegt noch das Jahr des wilden und selbstbewussten Affen, der uns einen spannenden Wahlkampf verspricht.
Aleksandra Sowa
[1] Zetter, K. 2015. „Security‘s Biggest Winners and Losers in 2015“, in: Wired Magazine, 28.12.2015, http://www.wired.com/2015/12/securitys-biggest-winners-and-losers-in-2015/ (6.1.2016).
[2] http://www.heise.de/thema/Bundestags_Hack (6.1.2016).
[3] Heise Online. 2015. „Bundestag-Hack war ein Phishing-Angriff über un.org“, 12.9.2015, http://www.heise.de/newsticker/meldung/Bundestag-Hack-war-ein-Phishing-Angriff-ueber-un-org-2811847.html (6.1.2016).
[4] BSI. 2015. Die Lage der IT-Sicherheit in Deutschland 2015. https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Lageberichte/Lagebericht2015.html (6.1.2016).
[5] Sowa, A. 2015. „Anonymität im Internet. Heilige Kuh der Demokratie schlachten“, in The European, http://www.theeuropean.de/aleksandra-sowa–2/10596-anonymitaet-im-internet, 14.12.2015 (6.1.2016).
[6] http://www.zukunftskonferenz-urheberrecht.de/de/referenten/prof-dr-gerald-spindler (6.1.2016).
[7] Von Olberg, R. 2015. „Wer Sicherheit will, darf von Gerechtigkeit und Solidarität nicht schweigen“, Neue Gesellschaft – Frankfurter Hefte (12/2015), S. 48-51.
[8] Stern. 2016. „Jetzt nur keine Hysterie“, ein Interview mit Thomas Oppermann in Stern 2/2016, S. 97-98.
"Paris. The European version of 9/11"
