Hadmut Danisch

Ansichten eines Informatikers

Merkel in Duldungsstarre von der NSA bestiegen

Hadmut
10.7.2015 18:41

Es wird immer heftiger.

Der SPIEGEL beschreibt, dass die von der NSA sich schon darüber wundern, dass die Deutschen respektive Merkel nicht sauer werden, wenn man sie abhört:

Amerikanische Geheimdienste sind erstaunt über die “zögerlichen Reaktionen” der Deutschen, nachdem der Lauschangriff der US-Behörde NSA auf Angela Merkels Handy bekannt wurde. Das geht aus einem internen Vermerk des Bundesnachrichtendienstes (BND) hervor, der dem SPIEGEL vorliegt.

Demnach hatte die US-Seite eine “harte Reaktion” erwartet und mit einer “kurzzeitigen temporären Einschränkung der Kooperation” oder der “Ausweisung von US-Personal” gerechnet. Im umgekehrten Fall einer deutschen Spionage in den USA würden die Amerikaner anders reagieren, heißt es in dem BND-Papier: Die US-Seite würde “mit harten nachrichtendienstlichen Sanktionen gegen Deutschland vorgehen”.

Sagt eigentlich über beide was.

Die Amerikaner gehen nach dem Motto quod licet iovi, non licet bovi vor, spielen sich als Kolonialherren auf: Sie machen mit anderen selbstverständlich und gewaltsam das, was sie sich selbst nicht gefallen lassen würden. Wieder mal die amerikanische Krankheit, sich und andere stets mit zweierlei Maß zu messen.

Und es zeigt, dass Merkel eigentlich nicht regierungsfähig ist, die bleibt einfach stehen wie die Sau in Duldungsstarre, wenn der Eber zum Besteigen kommt und genug stinkt.

Seltsam. Bundeskanzler leisten nach Art. 64, 56 GG folgenden Amtseid:

“Ich schwöre, daß ich meine Kraft dem Wohle des deutschen Volkes widmen, seinen Nutzen mehren, Schaden von ihm wenden, das Grundgesetz und die Gesetze des Bundes wahren und verteidigen, meine Pflichten gewissenhaft erfüllen und Gerechtigkeit gegen jedermann üben werde. So wahr mir Gott helfe.”

He!

Da steht „Schaden von ihm wenden”. Da kann man nicht einfach rumsitzen, nichts tun und Löcher in die Luft gucken. Als Bundeskanzlerin hat sie einen Eid abgelegt, dass sie etwas tut um Schaden zu verhindern. Einfach so dastehen und sich kommentar- und reaktionslos besteigen lassen geht nicht.

Und wisst Ihr, wer sich jetzt zur Cyber-Kriegern entwickeln will? Ursula von der Leyen. Das ist die, die schon mit ihrer Kinderpornosperre ein untaugliches Gesetz gebaut hat, das Internet nicht verstanden hat, dachte, das Internet besteht nur aus Webseiten, und das DNS für einen Web-Proxy hielt. Die, die da so gar keine Ahnung hat, wovon sie redet. Die meint jetzt, wir könnten mal eben so Cyber-Krieger bei der Bundeswehr zusammenholen, die anderen mal eben das Licht und Internet ausknipsen.

Naja, aus Ihrer Sicht im Prinzip ja nichts anderes als die Kinderpornosperre, nur dass man jetzt einfach vor alle Webseiten ihr STOPP-Schild pappt. Da kann man die alte Kinderpornosperre wieder aus dem Keller holen und als Kriegswaffe dem Islamischen Staat vor die Hütte knallen, damit die kein Internet mehr haben. Vielleicht mit ihrer alten Pornosperrmethode, denen einfach ein schlechtes Provider-DNS-System anzubieten. Wird schon klappen. Da setzt man einfach zwei Staatssekretäre, eine überbezahlte McKinsey-Freundin und noch ein paar schweigende Typen vom Innenministerium hin, und dann wird das schon irgendwie klappen.

Oder sie macht das in ihrer typischen Von-der-Leyen-Methode: Sie geht einfach zum Feind und erklärt, dass das jetzt ihr politischer Wille sei, dass dort das Internet nicht mehr funktioniert. Und wer sich nicht dran hält, wird von ihr gekündigt. So ne Art Combat-Version von Zensursula in tarn-oliv.

Ich stelle mir das gerade so vor, wenn die Russen oder meinetwegen auch IS über Italien irgendwie die EU angreifen, und wir schicken denen Panzer-Uschi als Wirkmaßnahme vorbei. Erinnert mich irgendwie daran, wie die Schweden die Russen abwehren wollten: Die wollten unter Wasser Schwulen-Bildchen aufhängen, damit die Russen wieder umdrehen, wenn die im U-Boot aus dem Fenster gucken und die Bildchen sehen. Das ist nichts gegen das Ansinnen, die Russen oder IS mit Zensursula beeindrucken zu wollen. Naja, wer weiß. Zensursula könnte Putin ja einfach kündigen, und Angie spricht ihm noch ihr vollstes Vertrauen aus, vielleicht klappt’s ja, wenn sie zusammenarbeiten.

Ich frage mich gerade, wer von den beiden eigentlich dämlicher im Umgang mit Informationstechnologie ist, Neuland-Angie oder Zensursula. Den Bundestag bekommen sie nicht sicher, aber meinen, sie können die Cyber-Kampftruppe gründen. Bei der Bundeswehr. Wie groß? Mit 10 Mann? Oder 100? Oh, pardon, von Mann darf man ja nicht mehr sprechen, die haben da ja jetzt Quote. Wir stellen also eine Armee aus Cyberkriegerinnen zusammen. So ne Art Digital-Xena. Und die greifen dann Russland an.

Find ich drollig.

Von den Amerikanern lassen wir uns in Duldungsstarre besteigen und merken es nicht mal, weil die Politik seit Jahrzehnten im galoppierenden Laientum siecht, und schaffen es nicht mal, die (oder wen auch immer) aus dem Bundestag – Leute, aus dem Bundestag! – rauszuwerfen, aber wollen den Russen das Internet abdrehen.


42 Kommentare (RSS-Feed)

Frank
10.7.2015 19:44
Kommentarlink

Die Amerikaner wundern sich also angeblich.
Im Fall deutscher Spionage in den USA würden sie anders reagieren.
Also in dem Fall das der BND die NSA/CIA beauftragt hat amerikanische Unternehmen und Kanada gleich mit auszuspionieren…. hm,klingt plausibel.
Die Papiere liegen dem SPIEGEL vor…
Das Theaterstück heißt heute :Souveränes Deutschland!
Was für eine Verarsche….


EBecker
10.7.2015 19:46
Kommentarlink

Xena, nicht Xenia. Oder meinst du Frau Onatop aus einem der Brosnan Bonds?


Hadmut
10.7.2015 19:52
Kommentarlink

> Xena, nicht Xenia. Oder meinst du Frau Onatop aus einem der Brosnan Bonds?

Äh, ja, natürlich Xena. Danke.


Kai
10.7.2015 20:10
Kommentarlink

@Hadmut:
>Da steht „Schaden von ihm wenden”. Da kann man nicht einfach rumsitzen, nichts tun und Löcher in die Luft gucken.

Es sei denn, dass Merkels Duldungsstarre ihrer Meinung nach der Preis für die relative Unversehrtheit der öffentlichen Ordnung in Deutschland ist.
Regime, die sich als aktiv widerspenstig gegenüber der transatlantischen Allianz betätigt haben, zB Verweigerung der totalen privatisierung staatlicher Funktionen und Ressourcen, wurden und werden ein ums andere mal mit einer plötzlich enorm gut organisierten, finanzierten, trainierten und bewaffneten inneren Opposition konfrontiert.


aga80
10.7.2015 20:59
Kommentarlink

Duldungsstarre kenne ich jetzt nur von Schildkrötinnen … .
Das Bild würde aber auch auf vieles andere Passen oder eher eine Schildkröte die einen Apfel oder eine Tomate frisst.
https://youtu.be/Ytp95piqWno

Es hat wirklich Unterhaltungswert, wenn man der Familienschildkröte bei so was zuschaut, aber ich war noch nie gemein genug so was zu filmen und hochzuladen.


Roland S.
10.7.2015 22:01
Kommentarlink

HadmutsBlogFan
10.7.2015 22:05
Kommentarlink

Amtseid ?? Welcher Amtseid ???

Ist doch nur eine Kommödie: “Nur so Dahingesagt”

http://www.spiegel.de/spiegel/print/d-17704591.html


Torsten
10.7.2015 22:06
Kommentarlink

Danke Hadmut.
Wie verrückt und weltfremd dürfen sich Politiker und Institutionen im vereinigten Deutschland eigentlich noch aufführen, um den “Deutschen Michel” hinterm Ofen hervorzulocken ?
Dieses ganze Polittheater das für uns jeden Tag inszeniert wird, besetzt mit lobbygekauften Darstellern, ist ein einziger Zirkus.


HadmutsBlogFan
10.7.2015 22:09
Kommentarlink

buchstabensalat
10.7.2015 23:24
Kommentarlink

@Hadmut: Hälst du es überhaupt für möglich, die IT des Bundestages abzusichern? Im äußersten Fall kaufen sich Geheimdienste einfach 0days ein und nehmen als Angriffsvektor bspw. die E-Mail Adressen der Abgeordneten.

Ungefähr in dieser Gewichtsklasse: https://www.youtube.com/watch?v=FVBSvjYQgq8

Beim Spiegel habe ich gelesen, dass auch die Kommunen einen Fernzugriff auf die IT des Bundestages haben. Die Angriffsfläche ist so riesig. Ich glaube nicht, dass das machbar ist.

Von daher ist deine Kritik sicherlich gerechtfertigt aber so Seitenhiebe wie “die kriegen ihre IT nicht mal sicher”, kann ich nicht nachvollziehen.


Hadmut
10.7.2015 23:49
Kommentarlink

@buchstabensalat:

> @Hadmut: Hälst du es überhaupt für möglich, die IT des Bundestages abzusichern?

Zwei antworten:

Kurz- bis mittelfristig: Man könnte einiges machen. Insbesondere die Problematik des Recovery scheit auf einige Versäumnisse hinzudeuten.

Langfristig: Ich denke, das kann man ordnetlich hinkriegen, setzt aber mindestens 10-20 Jahre Arbeit voraus, denn dazu müsste man erst mal ordentliche Software produzieren, die wir nicht haben.

Ein enormer Laiendenkfehler ist aber, fatalistisch zu sagen, „100%ige-Sicherheit gibt’s nicht, also kann man es bleiben lassen”. Das ist Blödsinn. Man kann (und muss) trotzdem tun, was verfügbar ist und was Schaden begrenzt. Wir haben ja auch keine völlig Sicherheit vor Verkehrsunfällen, trotzdem Gurt, Airbag, Knautschzonen.

Man darf nicht in den Fehler verfallen, „nicht machbar” als Ausrede für jeden Murks und offene Tore zu halten.

> Beim Spiegel habe ich gelesen, dass auch die Kommunen einen Fernzugriff auf die IT des Bundestages haben.

Und warum haben sie den?

> Von daher ist deine Kritik sicherlich gerechtfertigt aber so Seitenhiebe wie “die kriegen ihre IT nicht mal sicher”, kann ich nicht nachvollziehen.

Du könntest Sie nachvollziehen, wenn Du sie verstehen würdest. Es ging nicht darum, die IT des Bundestags abzusichern. Sondern darum, wie vermessen es ist, in unserer Situation mit ein paar Nasen eine Cyber-Krieg-Truppe aufbauen zu wollen. Es ging darum, wer sich einbildet, Cyber-Krieger einfach so hochziehen zu können.


Krischan
10.7.2015 23:34
Kommentarlink

War ja klar. Jetzt wo der Spiegel selber betroffen ist, feuern sie aus allen Rohren. Vorher war das auch alles nicht so wichtig. Sturmgeschütz der Demokratie my ass.


buchstabensalat
11.7.2015 0:27
Kommentarlink

@Hadmut: Wenn ich das so lese, ist es kurzfristig gesehen ein aussichtsloses Unterfangen. Dass die scheinbar keine brauchbare Recovery-Lösung haben, hattest du bereits in einem anderen Blogeintrag erwähnt und das mag auch stimmen, trägt jedoch nicht zur Verteidigung bei. Was bringt es mir, wenn ich in kurzer Zeit ein Snapshot zurückspiele, meine Maschine aber weiterhin exploitierbar ist? Da helfen nur langfristige Lösungen, welche sicherlich nicht nur die Entwicklung sichererer Soft- sondern auch Hardware umfassen.

Ich meine die haben den Fernzugriff, damit die Mitglieder des Bundestages auch von ihrem kommunalen Arbeitsplatz aus drauf zugreifen können. Da war aber glaube ich noch was mit irgendwelchen Ämtern, ich krieg das nicht mehr zusammen.

Wenn du sagst “Die können nicht einmal A, wollen aber B machen”, dann ergibt diese Argumentation in meinen Augen nur einen Sinn, wenn A überhaupt möglich ist. Die Diskussion dahingehend zu vertiefen ist aber nicht zielführend, es ist nur eine Formulierung. In der Sache teile ich deine Ansicht.


Hadmut
11.7.2015 0:34
Kommentarlink

> @Hadmut: Wenn ich das so lese, ist es kurzfristig gesehen ein aussichtsloses Unterfangen.

Nein. Man kann immer was machen, um die Angriffswahrscheinlichkeit oder den Schaden zu verringern. Fatalismus ist die falsche Denkrichtung.

> trägt jedoch nicht zur Verteidigung bei.

Stimmt nicht, weil man das System schnell und zuverlässig sauber wieder neu aufsetzen kann, und damit dem Angreifer übernommene Rechner entzieht.

> Was bringt es mir, wenn ich in kurzer Zeit ein Snapshot zurückspiele, meine Maschine aber weiterhin exploitierbar ist?

Es geht eben gerade nicht um Snapshots, sondern um automatisierte Neuinstallation.

Ich verstehe aber gerade nicht, was Du eigentlich sagen willst. Es kommt mir vor als wolltest Du sagen, dass man IT Sicherheit eigentlich aufgeben soll und sich gar keine Mühe mehr zu geben braucht.


buchstabensalat
11.7.2015 1:30
Kommentarlink

@Hadmut: Sicherlich kann man auch kurzfristig was machen, aber es wird nicht mehr sein als ein Tropfen auf den heißen Stein.

Man entzieht dem Angreifer den Rechner, aber wenn die Sicherheitslücke nicht geschlossen ist, kann er ihn wieder automatisiert übernehmen. Daher ist das für mich keine Verteidigung sondern nur Trümmer wegräumen.

Ich sagte: “Da helfen nur langfristige Lösungen, welche sicherlich nicht nur die Entwicklung sichererer Soft- sondern auch Hardware umfassen.”

Wieso fragst du dich dann, ob ich meine, dass man IT-Sicherheit aufgeben soll? Mit nichten. Es ist nur ein schwierig zu erreichendes Ziel.

Damit verabschiede ich mich erstmal, gute Nacht. 😉


Hadmut
11.7.2015 9:59
Kommentarlink

@buchstabensalat

> Man entzieht dem Angreifer den Rechner, aber wenn die Sicherheitslücke nicht geschlossen ist, kann er ihn wieder automatisiert übernehmen.

Man hat aber zunächst einen sauberen, definierten Zustand ohne alte Backdoors, und man kann ihn dann beim Übernehmen beobachten.

> Daher ist das für mich keine Verteidigung sondern nur Trümmer wegräumen.

Trümmer wegzuräumen ist ein elementar wichtiger Teil der Verteidigung und Angriffsanalyse. Die Rückkehr zu einem sauberen, wohldefinierten, wiederholbaren Zustand. Zumal es enorm wichtig ist, mit nicht kompromittierten Systemen weiterarbeiten zu können. Denn die meisten Sicherheitslöcher werden durch Updates behoben oder kann man selbst dadurch beheben, dass man einen Fehler nicht wiederholt.

Und das nicht zu haben und nicht zu können ist eben ein deutliches Versäumnis.

Irgendwie kommt mir Dein Standpunkt aber vor wie jemand, der sagt, dass man Medikamente gar nicht erst zu nehmen braucht, weil es kein Medikament gibt, das gegen jede Krankheit wirkt.

> Es ist nur ein schwierig zu erreichendes Ziel.

Und Du meinst, das erreicht man, indem man einfach mal gar nichts macht?


Joe
11.7.2015 2:18
Kommentarlink

Es sei denn, dass Merkels Duldungsstarre ihrer Meinung nach der Preis für die relative Unversehrtheit der öffentlichen Ordnung in Deutschland ist.
Regime, die sich als aktiv widerspenstig gegenüber der transatlantischen Allianz betätigt haben, zB Verweigerung der totalen privatisierung staatlicher Funktionen und Ressourcen, wurden und werden ein ums andere mal mit einer plötzlich enorm gut organisierten, finanzierten, trainierten und bewaffneten inneren Opposition konfrontiert.

Ich greife ja gern auf Gedankenexperimente zurück:

Heute nehmen wir mal hypothetisch an, die Bundesrepublik sei eine knallharte Militärdiktatur und dem Kommando von General Ramstein. Nun sind solche Gewalt-Regime beim Volk nicht gerade beliebt, also bastelt man eine komplette Demokratie-Simulation oben drüber, damit Ruhe im Schiff ist. Man läßt es so ähnlich aussehen wie in den europäischen Nachbarstaaten, aber tut eben nur so als ob.

Schaut man sich dann als Informatiker die Simulation näher an, findet man überall Fehler und Ungereimtheiten. Die Auflösung ist eben begrenzt, man kann nicht beliebig viel Aufwand dabei betreiben, es soll halt oberflächlich plausibel aussehen.

Wenn wir annehmen, daß die Spitzenleute über den Status Quo informiert sind, erklärt das ihr passives Verhalten. Gleichzeitig müssen alle anderen Funktionsträger möglichst geistig beschränkt und inkompetent sein, damit sie den Schwindel nicht bemerken und “mitspielen” können.

Wer nun in so einer virtuellen Maschine gefangen ist, steht natürlich durchgehend unter Beobachtung des Hypervisors. Läuft irgendwas aus dem Ruder, wird von außen in die Simulation eingegriffen und das “Problem” deus ex machina “korrigiert”. Wer das weiß, kann doch nicht mehr überrascht tun.


hhaien
11.7.2015 3:08
Kommentarlink

Also das Merkel ihre Pflichten nicht erfüllt, kann man so nicht sagen. Es kommt halt darauf an, welche Pflichten gegenüber wem und welche vorrangig, also wichtiger sind. In dem Fall lohnt es sich, mal nähere Informationen zum Stichwort: »Kanzlerakte« zu verfolgen…

Beispiele:
http://www.anderweltonline.com/klartext/klartext-2015/nsa-bnd-kanzleramt-der-skandal-geht-viel-tiefer/

http://www.anderweltonline.com/politik/politik-2015/kann-die-kanzlerakte-ignoriert-werden-ja-sie-kann-und-sie-muss/

https://www.compact-online.de/der-schwindel-mit-der-kanzlerakte/

http://www.zeit.de/2009/21/D-Souveraenitaet

http://krisenfrei.de/russischer-staatssender-berichtet-ueber-die-kanzlerakte/

Es wurde zwar 2007 dementiert, das die Merkel so etwas unterschrieben hat und das es so etwas gibt:
http://www.direktzu.de/kanzlerin/messages/mussten-sie-diese-kanzlerakte-unterzeichnen-13569

aber wie es die Regierungen und die Politiker mit der Wahrhait halten weiß man ja. Das die Besatzungsrechte trotz Wiedervereinigung immer noch weiter gelten kam ja auch erst vor paar Monaten ans Licht. Ebenso wie vieles andere.

Da Merkel eigentlich vorrangig ihre Pflicht gegenüber den USA erfüllt, wäre es eigentlich nur logisch wenn diese auch die Kosten übernehmen, also ihr Gehalt, bzw. Sold und auch für den durch sie angerichteten Schaden hier in Deutschland aufkommen…


Leser
11.7.2015 5:54
Kommentarlink

Müsste man langfristig nicht auch die Hardware selber produzieren? Wenn ich daran denke, was da alles an Manipulationen möglich ist, ist die Software wohl nur der erste Schritt.

Ich habe die Tage von einem Paper gelesen, in dem beschrieben wird, wie Schaltungen manipuliert werden könnten, ohne das diese Manipulationen erkennbar sind: Der Nachweis der Manipulation soll ohne Kenntnis derselben gar nicht mehr möglich sein. Hört sich auf jeden Fall ziemlich gruselig an.

Ich reiche den Link noch nach wenn ich ihn finde.


Hadmut
11.7.2015 9:46
Kommentarlink

> Müsste man langfristig nicht auch die Hardware selber produzieren?

Ja. Und das wird man kaum mehr hinkriegen.

Wichtig ist aber etwas, was zwischen Soft- und Hardware liegt, die Firmware. Die könnte man noch mit überschaubarem Aufwand hinkriegen, man versucht es aber nicht.

Wäre mal ein Brüller, das Thema BIOS aufzuräumen.


Christian
11.7.2015 8:52
Kommentarlink

“Wir sind nicht souverän”. (Foschepoth) Insofern sind der Akt der Unterwerfung und das Beine-breit-machen (nebst Schweigen und ggf. Abwiegeln oder Pseudo-Empörung) nur folgerichtig. Alles nur ein Spiel.
http://www.badische-zeitung.de/debatte-um-us-spitzeleien-ein-akt-der-unterwerfung

Und jetzt alle:

“Wir sind nicht souverän, sagt der Schäuble,
https://www.youtube.com/watch?v=3TV2OpCmlJc
wir sind nicht souverän, sagt der Bahr,
https://www.compact-online.de/der-schwindel-mit-der-kanzlerakte/
wir sind DOCH souverän, sagt die Merkel,
https://www.youtube.com/watch?v=qx0BQk5ouTQ&feature=c4-overview&list=UUU_eHs1gsinBp-ntBrKTmzA
wem solln mer nun glauben??? Na, DAS ist doch klar!

Angie – Dir wolln wir vertrauen,
Angie – auf Dich wolln wir bauen,
nimm uns bitte an der Hand
führ uns ins Wirtschaftswunderland!”

Ach nein – das sollte ja ein Pfälzer machen, kein IM – egal.
Hauptsache, wir dürfen vertrauen.
Alles wird gut.


yasar
11.7.2015 9:40
Kommentarlink

Zum Them aBundestag:

Nur weil die Einbrecher es schaffen, das Schloß der Haustür zu überwinden geht man doch nicht her und läßt in ZUkunft die Tür witerhin offen. Kurzfristig besorgt man sich ein neues Schloß und langfristig schaut man daß man bessere Schlösser herstellt.

Zum Thema Cyberkrieger:

Wenn ich das richtig verstanden habe, will Ursel die Reservisten einberufen, die inzwischen in er Wirtschaft in passenden Postitionen sind. Da wäre sicher der ein oder andere dabei, der fähig wäre, aber sich einzubilden, daß die das mit sich machen lassen, zeugt von vezerrter Realitätswahrnehmung, was aber bei dieser Dame nichts außergewöhnliches ist.

Zum Thema USA:

Ich würde einfach die gesammte Botschaft mal für ein Jahre rauswerfen (und die Engländer gleich mit dazu).


Hadmut
11.7.2015 10:26
Kommentarlink

> Wenn ich das richtig verstanden habe, will Ursel die Reservisten einberufen, die inzwischen in er Wirtschaft in passenden Postitionen sind. Da wäre sicher der ein oder andere dabei, der fähig wäre, aber sich einzubilden, daß die das mit sich machen lassen, zeugt von vezerrter Realitätswahrnehmung, was aber bei dieser Dame nichts außergewöhnliches ist.

Man sollte ihr dazu eine Frauenquote vorschlagen.


Bob
11.7.2015 12:41
Kommentarlink

Einfach mal bei Youtube nach Foschepoth suchen, dann erklärt sich das. Der Spiegel wirft Nebelkerzen.
Dann gibts ja immer noch die Existenz der “Kanzlerakte”, zumindest Egon Bahr hat die aber bestätigt.


buchstabensalat
11.7.2015 12:46
Kommentarlink

@Hadmut: Du beziehst dich zu sehr auf IT-Sicherheit im Allgemeinen, die Frage war jedoch, ob es möglich wäre, die IT des Bundestages abzusichern und da seh ich kurzfristig keine Möglichkeit.

Um in deinem Bild zu beiben: Es gibt einige Krankheiten für die wir Medikamente haben und andere, für die wir keine haben. Ich würde sie auch nehmen, bin mir aber bewusst, dass ich irgendwann krank werde.

Wenn man Sicherheit als Aufwand zu Restrisiko vergleicht dann haben wir einfach das Problem, dass das Restrisiko auch bei unendlichem Aufwand nie null wird. Das ist meine Kernaussage zu dem Thema.

PS: Den Einwand, dass man nach dem Zurückspielen des Backups/Snapshots wieder ein unkomprimiertiertes System ohne vom Angreifer hinterlassene Backdoors hat, finde ich gut und zutreffend. Ist für Forschungszwecke auch sicherlich brauchbar, nur beim Absichern der IT des Bundestags dürfte das kaum helfen.


Hadmut
11.7.2015 12:56
Kommentarlink

@buchstabensalat:

Hör doch bitte endlich mal mit dem blöden Kommentar-Ping-Pong auf. Nervt mich gerade ungemein. Du schreibst immer irgendwas, was man geradestellen muss, aber Du sagst nie, worauf Du eigentlich hinauswillst, was Du eigentlich sagen willst.

> Es gibt einige Krankheiten für die wir Medikamente haben und andere, für die wir keine haben. Ich würde sie auch nehmen, bin mir aber bewusst, dass ich irgendwann krank werde.

Ja, verdammt noch mal, was willst Du damit denn jetzt eigentlich sagen?

Soll man sie nun nehmen oder soll man es bleiben lassen?

> dass man nach dem Zurückspielen des Backups/Snapshots wieder ein unkomprimiertiertes System ohne vom Angreifer hinterlassene Backdoors hat

NEIN!

Hör doch mal mit diesem Backup-Snapshot-Scheiß auf!

Damit bringst Du doch nur wieder die alte Schwäche oder sogar eine mitgespeicherte Backdoor rein.

Systeme müssen reproduzierbar sein, damit man sie jederheit auf aktuellem und frischem Stand automatisiert neu aufsetzen kann. Man muss in der Lage sein, das System wegzuschmeißen und neu zu erzeugen, und nicht irgendwelchen alten Mist wieder reinkopieren.

Und das haben sie, soweit man das aus den spärlichen Informationen erahnen konnte, die nach außen drangen, komplett verschnarcht.


Grundgesetz
11.7.2015 13:03
Kommentarlink

Es zeigt mir, das man deutsche Politiker eben nicht in der Hand hat, sonst würden die Amis sich nicht über diese schwache Reaktion wundern.
Es ist einfach vorrauseilender Gehorsam von Feiglingen.
Genau wie im Alltäglichen, wenn man jemanden auffordert ein Problem beim Chef anzusprechen und man hört dann nur “bringt doch eh nichts”.


Jan Lul
11.7.2015 13:24
Kommentarlink

>> Müsste man langfristig nicht auch die Hardware selber produzieren?
> Ja. Und das wird man kaum mehr hinkriegen.

Man sollte das sogar kurzfristig machen.

“hinkriegen” – Warum jetzt eigentlich nicht? Wenn hier in Deutschland die Maschinen gebaut werden, mit welchen Chips gefertigt werden, warum kann man dann hier keine Chips fertigen? Das wurde alles nur fiskal nach Asien gedrängt.

Sind wir zu blöd um CPUs zu entwerfen? Nein, ARM ist in der EU zu Hause.

Die Amis laufen gerade in den gleichen Fehler rein; China/chinesische Firmen hat/haben in den letzten 18 Monaten fast alle namhaften Chip-Entwickler, die in USA an markt- und krisenbedingte Einkommensgrenzen gestossen waren oder gar freigesetzt wurden, neue interessante Stellen angeboten.

Ich erwarte von dort in den nächsten 4…5 Jahren eine PowerPC-ähnliche neue Architektur und den Nachfolger der PC-Plattform.

*Noch* könnten wir hier in Europa technisch mitspielen. Ich habe aber nicht den Eindruck, dass das seitens der Führung Europas überhaupt gewünscht ist!

Es wäre sicher auch einfacher zu realisieren, wenn mit EU-Kohle kleine experimentierfreudige startups venturisiert werden und nicht große griechische Reedereien über acht Ecken subventioniert… ach lassen wir das.


Hadmut
11.7.2015 13:28
Kommentarlink

> Sind wir zu blöd um CPUs zu entwerfen? Nein, ARM ist in der EU zu Hause.

Rate mal, wo…

> Ich erwarte von dort in den nächsten 4…5 Jahren eine PowerPC-ähnliche neue Architektur und den Nachfolger der PC-Plattform.

Vielleicht mit dem „Standort-Vorteil”, dass amerikanische Patente dort nicht gelten.


Jan Lul
11.7.2015 13:34
Kommentarlink

> Systeme müssen reproduzierbar sein, damit man sie jederheit auf
> aktuellem und frischem Stand automatisiert neu aufsetzen kann. Man
> muss in der Lage sein, das System wegzuschmeißen und neu zu erzeugen,
> und nicht irgendwelchen alten Mist wieder reinkopieren.

100% richtig.

Und man sollte wieder anfangen, Daten wie unter einem ordentlichen Betriebssystem (ich meine nicht nur u*ix) früher üblich getrennt zu halten:
lokal remote,
persönlich öffentlich,
kurzfristig&unwichtig langfristig&wichtig(&versioniert)

Nicht so dämlich alles in einem Topf zusammengepantscht wie auf C:\ und seinen Nachfolgern, oder einem Linux-HOME nach freedesktop-Standard.

Dann wäre auch ein Backup sehr einfach.

Es scheitert aber derzeit schon daran, die Ansprüche an so ein System zu definieren. Vielenorts scheint man sich mit dem status quo arrangiert und abgefunden zu haben und jegliche Veränderung (und sei es ein anderes Fensterdesign oder andere Icons) wird heftigst bekämpft.


Hadmut
11.7.2015 13:37
Kommentarlink

Ja. Das ist eigentlich aktueller Stand der Technik. Im Prinzip kann man damit innerhalb von ein paar Stunden die gesamte Infrastruktur neu erzeugen.

Offenbar hatten sie sowas aber nicht.


Jan Lul
11.7.2015 13:42
Kommentarlink

> Rate mal, wo…
UK. ich weiß… Sophie hab ich sogar mal persönlich auf einem Messe getroffen.

Bei MCUs:
AVR wurde in Norwegen entworfen, MSP430 in Freising.

Ein Bekannter aus München hat jetzt 25 Jahre lang CPUs und Chips entworfen. Es würde gehen! Die Leute hier sind nicht blöder oder schlauer als anderswo. Aber irgendwie sitzt hier das Phlegma in der Gesellschaft. Oder in den Kaufleuten…? Hier scheint es zeitverzögert und langsamer die gleiche Entwicklung zu geben wie in England in den 80ern. Alles wofür man Ingenieure braucht raus, alles wofür man Banker und Consultants braucht, rein.

Ein Ex-Arbeitskollege von mir ist Chinese. Wenn der irgendwo in China sagt, dass er Ingenieur ist, kriegen die Frauen feuchte, glänzende Augen. Das ist da noch etwas. Der ist jetzt 28, wohnt jetzt hier und hat das zweite Kind.


Jan Lul
11.7.2015 13:54
Kommentarlink

> Wichtig ist aber etwas, was zwischen Soft- und Hardware liegt, die
> Firmware. Die könnte man noch mit überschaubarem Aufwand hinkriegen,
> man versucht es aber nicht.
Da hilft nur die zwangsweise Offenlegung, EU-weit.

> Wäre mal ein Brüller, das Thema BIOS aufzuräumen.
Dafür gibt es ja coreboot (was übrigens auch Google in seinen Serverräumen auf seine Server setzt – warum wohl?). Das wird jetzt aber via secure boot rausgekeilt.

Zwangsweise Offenlegung, EU-weit! Alles andere greift ins leere.
Wird aber gerade via TTIP/CETA/etc. verunmöglicht.

Was ich auch gut fände ist ein Verbot von Io(o)T bzw. der Internet-Anbindung von (kritischer, systemrelevanter) Infrastruktur. Warum soll man diese ohne Not in die Hände von A…chern und Idioten Weltweit geben? Internet ist gut und schön, aber für manche Sachen ist es ungeeignet.


buchstabensalat
11.7.2015 14:16
Kommentarlink

@Hadmut: Ich bitte um Entschuldigung, wenn du auf meine Kommentare nicht klar kommst. Reden wir aneinander vorbei?

“Ich würde sie auch nehmen, bin mir aber bewusst, dass ich irgendwann krank werde.”
> “Soll man sie nun nehmen oder soll man es bleiben lassen?”

Wie kommst du dazu darauf, mit dieser Frage zu antworten? Ich habe dazu doch eine glasklare Aussage gemacht. Dasselbe hatten wir schon mal in dieser Diskussion.

Meine Position ist doch gar nicht so schwer zu verstehen! IT-Sicherheit ist gut, sollte man anstreben, geht aber nicht mal eben und kann auch nicht erreicht werden. Das klingt möglicherweise paradox, ist es aber nicht. Man sollte sich auch immer weiterbilden obwohl man nie allwissend sein wird.

Wenn wir da irgendwie nicht überein kommen, können wir das auch abbrechen. Ich will deine Zeit nicht verschwenden, immerhin nervt es dich schon.


Hadmut
11.7.2015 16:04
Kommentarlink

@buchstabensalat:

> wenn du auf meine Kommentare nicht klar kommst. Reden wir aneinander vorbei?

Um aneinander vorbeizureden müsste man erst mal einen Inhalt, eine Richtung haben.

> Meine Position ist doch gar nicht so schwer zu verstehen!

Du hast keine.

> IT-Sicherheit ist gut, sollte man anstreben, geht aber nicht mal eben und kann auch nicht erreicht werden.

Das ist keine Position, das ist leeres Geschwafel. So eine so
wohl-als-auch-weiß-auch-nicht-Aussage.

Denn daraus ist nicht ansatzweise erkennbar, was Du sagen willst, und ob sie nun im Bundestag mehr hätten tun sollen oder nicht.

> Man sollte sich auch immer weiterbilden obwohl man nie allwissend sein wird.

Auch so ein leeres sowohl-als-auch-Geschwätz. Ich kann solchen Scheiß nicht ab.

> können wir das auch abbrechen. Ich will deine Zeit nicht verschwenden, immerhin nervt es dich schon.

Danke.


Roy Dick
11.7.2015 20:42
Kommentarlink

@Hadmut

“Da steht „Schaden von ihm wenden”. Da kann man nicht einfach rumsitzen, nichts tun und Löcher in die Luft gucken. Als Bundeskanzlerin hat sie einen Eid abgelegt, dass sie etwas tut um Schaden zu verhindern. Einfach so dastehen und sich kommentar- und reaktionslos besteigen lassen geht nicht.”

Vielleicht ist die Überlegung ja auch: Den größeren Schaden abzuwenden. Denn was genau passiert, sollte eine deutsche Regierung mal nicht sputen wie es die USA? wollen, ist für die Bevölkerung nicht abzusehen.

Mir ist sehr oft aufgefallen, dass Politiker und gehobene Beamte im allgemeinen alles was sie tun sagen durch Gesetzestexte zu begründen, bzw. sich so auszudrücken, dass man ihnen das gesagte nicht als Lüge auslegen kann.

Wenn Obama sagt: “Wir hören (Präsenz!) Merkel nicht ab”, dann sagt das nichts über gestern und schon recht nichts über morgen. Es muss nur für den Moment stimmen.

beste Grüße

Roy Dick


buchstabensalat
11.7.2015 21:10
Kommentarlink

@Hadmut: Du bist natürlich der Experte und wenn jemand eine Meinung hat, die du nicht begreifst, dann hat er keine oder schlicht keine Ahnung? Na wunderbar.

Der Bundestag hätte mehr machen sollen, wäre am Ende aber sowieso gepwnt worden. So einfach ist das.


Hadmut
11.7.2015 22:06
Kommentarlink

@buchstabensalat:

> Du bist natürlich der Experte und wenn jemand eine Meinung hat, die du nicht begreifst, dann hat er keine oder schlicht keine Ahnung?

Weißt Du, die Sache ist halt die: Ich mache sowas hauptberuflich. Leute sind schon aus viel geringerem Anlass “Experten” genannt worden.

> Der Bundestag hätte mehr machen sollen, wäre am Ende aber sowieso gepwnt worden. So einfach ist das.

So ein Schwachsinn. Ich hab Dir doch gesagt, Du sollst mit diesem positionslosen “sowohl-als-auch-ich-leg-mich-auf-nichts-fest” aufhören.


buchstabensalat
12.7.2015 22:43
Kommentarlink

@Hadmut: Das ist einfach die Wahrheit und keine Positionslosigkeit.

Kann ich dann umgekehrt davon ausgehen, dass der Bundestag deiner Meinung nach nicht gehackt worden wäre, wenn man genug getan hätte? Wie viel wäre demnach genug?


desktopadmin
13.7.2015 8:43
Kommentarlink

“Systeme müssen reproduzierbar sein, damit man sie jederheit auf aktuellem und frischem Stand automatisiert neu aufsetzen kann. Man muss in der Lage sein, das System wegzuschmeißen und neu zu erzeugen, und nicht irgendwelchen alten Mist wieder reinkopieren. ”

Das ist genau der Punkt. Hadmut hat Recht. Dafür hat nutzt man in größeren und gut aufgestellten Firmen die Softwareverteilung. Wenn ein System kompromittiert ist, wird es vom Netz getrennt, analysiert und neu betankt. Dieses Vorgehen ist vielleicht allgemein nicht so geläufig.

Grüße vom Desktopadmin


Schänder-Mainstreaming
13.7.2015 21:00
Kommentarlink

Daran sieht man das Deutschland nicht frei und souverän ist.

In einem normalen Land hätte man den Botschafter einbestellt, ihm die Pässe gegeben und ihn aufgefordert innerhalb von 24 Stunden das Land zu verlassen.

Ganz normal!


[…] Sogar die Amerikaner > wundern sich, dass aus Deutschland so wenig Gegenwehr kommt > („Merkel > in Duldungsstarre von der NSA […]