Hadmut Danisch

Ansichten eines Informatikers

Digitaler Rettungsschuss oder Rohrkrepierer?

Hadmut
20.4.2017 21:11

Kann das sein, dass die uns und sich selbst etwas vormachen?

Im Zusammenhang mit den Cyber-Kriegern der Bundeswehr haben mich in letzter Zeit einige Leser angeschrieben, die da deutliche Parallelen zur atomaren Abschreckung im kalten Krieg sehen: Eigentlich kann man sich nicht verteidigen, aber wehe, Du greifst an, dann kriegst Du zurück, weil Du Dich auch nicht verteidigen kannst.

Hat ja anscheinend funktioniert, auch wenn’s ein paarmal echt knapp war.

Allerdings hat’s nur deshalb funktioniert, weil die Fronten klar waren. Es gab die Amerikaner bzw. den Westen/Nato und die Sowjetunion bzw. den Warschauer Pakt. Damit war die Sache einfach, man konnte die Raketen schon mit festen Zielen programmieren und wusste, dass wenn die gegnerischen Raketen angeflogen kommen, man zwar gleich tot ist, aber gerade noch genug Zeit bleibt, auf den roten Knopf zu drücken. Es gab ja mal so den Spruch „Wer zuerst schießt, stirbt als zweiter“. (Hat man im Film War Games hübsch thematisiert.) Aber eben nur, weil der Gegner von vornherein klar war und kein anderer in Frage kam.

Aber wie soll sowas in der IT gehen?

Das Daten-Abschnorcheln aus dem Bundestag ist rund 2 Jahre her und sie wissen bis heute nicht so greifbar, wer es war. Und selbst wenn man dann irgendwann zu der Überzeugung kommt „die Russen warn’s“, oder vielleicht auch eine bestimmte Hackergruppe (oder genauer gesagt: eine personell völlig unbekannte Gruppe mit bestimmtem Namen) war, was genau will man da angreifen?

Deren Notebooks?

Will man Hacker erschrecken mit „Buh, ich habe Dein Notebook gelöscht!“ ?

Die Ost-West-Abschreckung funktionierte, weil sie beide viel zu verlieren hatten. Was aber will man Hackern wegschießen?

Der Gedanke einer Hacker-Abschreckung durch Gegen-IT-Angriffe kommt mir vor, als würde ein Bank-Direktor sagen, dass sie zwar keinen Tresor haben und das Geld bei ihnen so herumliegt, aber „Wehe Du klaust bei uns, dann kommen wir bei Dir vorbei und klauen Dir auch was!“ droht. Der erste Punkt ist halt, dass man den Dieb erst mal kennen muss, und der zweite, dass beim typischen Bankräuber auch nicht viel zu holen ist, die Drohung also verpufft.

Erstaunlicherweise aber haben sie genau das vor. Denn Golem schreibt dazu,

Die Bundesregierung will einem Medienbericht zufolge die Voraussetzungen schaffen, um im Fall eines IT-Angriffs zurückschlagen zu können. Dazu gehöre auch die Möglichkeit, “notfalls feindliche Server zu zerstören”, berichteten die Süddeutsche Zeitung sowie die ARD-Sender NDR und WDR. Der Bundessicherheitsrat unter Vorsitz von Kanzlerin Angela Merkel (CDU) habe Ende März beschlossen, die für diesen Zweck benötigten technischen Fähigkeiten analysieren zu lassen.

Zudem sollen der Regierung Vorschläge für notwendige gesetzliche Änderungen vorgelegt werden, hieß es weiter. Im Sommer sollen die Ergebnisse dem geheim tagenden Bundessicherheitsrat präsentiert werden. Dem Gremium gehören neben Merkel und Kanzleramtschef Peter Altmaier (CDU) noch sieben weitere Minister an.

Oh. Alles Experten.

Sie meinen wahrscheinlich diesen und diesen Artikel in der Süddeutschen von Georg Mascolo.

Die Bundesregierung will die Voraussetzungen schaffen, um im Fall eines Cyberangriffs zurückschlagen zu können und um darüber hinaus auch in der Lage zu sein, notfalls feindliche Server zu zerstören. Der Bundessicherheitsrat unter Vorsitz von Kanzlerin Angela Merkel beschloss nach Informationen von Süddeutscher Zeitung, NDR und WDR Ende März, eine Analyse der hierfür benötigten technischen Fähigkeiten vornehmen zu lassen. Zudem sollen der Regierung Vorschläge für notwendige gesetzliche Änderungen vorgelegt werden. Im Sommer sollen die Ergebnisse dem stets geheim tagenden Bundessicherheitsrat präsentiert werden.

Server zerstören.

Fragt sich, wie sie das meinen. Soft- oder Hardware.

Nun ist Hardware nicht ganz abwegig, mir sind in den letzten 30 Jahren schon öfters mal Methoden untergekommen, Hardware durch kaputtzukriegen. Mal durch Überhitzung, mal durch mechanisches Beschädigen (Laufwerke gezielt falsch ansteuern), Flash-Speicher systematisch runternudeln, Rechner immer wieder ein- und ausschalten, und sowas. Man kann auch einfach Firmware demolieren und Geräte so erst mal unbrauchbar machen (brick). Sie müssen ja nicht mal irreparabel sein, es reicht, wenn der Reparaturaufwand im Bereich des Neuwertes liegt (wirtschaftlicher Totalschaden). Oder einfach überhaupt nur genug Schaden anrichten. Irgendwo habe ich auch mal gehört, das man Prozessoren kaputtmachen kann, indem man das BIOS hackt und denen einen fehlerhaften Microcode unterjubelt, was zu durchbrennen usw. führen kann. Gerüchteweise haben manche Prozessoren ja sogar Selbstzerstörungsanlagen, um die Sabotage zu erleichtern.

Und die Uranzentrifugen im Iran haben sie ja auch allein mit Software kaputt gemacht. Das ist überhaupt interessant, wenn man nicht die IT, sondern mit der IT das kaputt macht, was sie steuern. Mal so richtig Kurzschlüsse im Kraftwerk oder mal zwei Eisenbahnen gegeneinander fahren lassen, oder alle Ampeln auf Grün schalten. Also da geht schon einiges.

Nur sehe ich Hacker da als Angriffsziel gerade am wenigsten erfolgversprechend. Zumal die zum Hacken normalerweise ohnehin nie ihre eigenen, wichtigen Rechner verwenden. Den (Spitzen-)Hacker will ich sehen, der sich von Gegenangriffen schaden oder erschrecken lässt.

Unter Experten sind solche Maßnahmen als “Computer Network Operations” oder “Hack Back” bekannt. Während eines laufenden Angriffs wird der Angreifer identifiziert, Cyberkräfte blocken die Attacke ab oder zerstören die Server, über die der Angriff läuft, zum Beispiel durch Schadsoftware.

Tolle Sache. Und wenn das die Server eines Krankenhauses oder eines Kernkraftwerkes sind?

„Wird der Angreifer identifiziert“. Sagt sich so dahin. Wir haben ja nicht mal einen einheitlichen Begriff von Identität. (Mal zynisch gesprochen: Sie schaffen es ja nicht mal, Migranten zu identifizieren, die sich 20 Mal für Sozialhilfe anmelden.)

Der Bundessicherheitsrat will eine Regelung für so etwas wie einen digitalen finalen Rettungsschuss: eine Regelung, mit der man Server im Ausland, von denen aus etwa das Stromnetz in Deutschland attackiert wird oder Hacker erneut in die Datensysteme des Bundestages eindringen, zerstören darf. Nur als Ultima Ratio natürlich.

Ich glaube, dass wer auf so eine Idee kommt, das Problem nicht verstanden hat.

Neulich gab es ja mal einen DDoS-Angriff über WebCams mit Internet-of-Things-Schwäche. Will man die in den Wohnungen alle abschießen? (War da nicht mal was mit Unverletzlichkeit der Wohnung?)

Ich habe den starken Eindruck, dass das alles fauler Hokus-Pokus ist, um davon abzulenken, dass wir faktisch hilf- und verteidigungslos dastehen. Und dass wir von Leuten regiert wurden und werden, die nicht entfernt verstehen, was da passiert.

Mit so einer Nummer daherzukommen ist im Ergebnis nichts anderes als die Kapitulation, das Eingeständnis, mit runtergelassenen Hosen dazustehen.

Ich habe das ja so oft beschrieben, dass man in den 90er Jahren die IT-Sicherheitsforschung sabotiert und kaltgestellt hat.

Jetzt hat man den Salat und eine Neuland-Kanzlerin obendrauf.

Ich habe mich in den letzten Tagen beruflich mit einigen elementaren Sicherheitsverfahren und -produkten, unter anderem zur „sicheren“ Authentifikation, beschäftigt, und es war eigentlich alles zum Heulen. Ich habe manchmal sogar das Gefühl, dass wir bei IT-Sicherheit im Rückschritt sind, dass wir da schon mal besser waren.

Und wenn ich dann sowas lese, dass unsere IT-Abwehr auf „Zurückschießen“ beruhen soll…

(Irgendwie muss ich da an eine schräge James-Bond-Nummer denken, wenn da irgendeine Verbrecherorganisation zwei Staaten angreift, es so aussehen lässt, als wäre es der jeweils andere gewesen, und dann zuschaut, wie sie sich eskalierend bekriegen.)