Ansichten eines Informatikers

Als sich Thomas im Wald verirrte

Hadmut
2.12.2016 1:26

Wir hatten ja die letzten Tage ne Menge Kommentare zu den Angriffen auf Telekom-Router in der Presse und der Politik.

Es ist schier unglaublich, was für ein Quatsch da dahergefaselt wird.

Am Mittwoch morgen, so kurz nach dem Aufwachen, habe ich mich nach einem Spuckeimer umgesehen. Nicht weil ich am Abend vorher gesoffen hätte (ich saufe nicht…). Nicht, weil es ein Mittwoch war, daran lag’s nicht. Das heißt, schon, indirekt. Ich war auf einer Dienstreise, aber daran lag’s nicht. Das heißt, schon, indirekt. Weil ich in einem Hotelzimmer geschlafen hatte, aber daran lag’s nicht. Das heißt, schon, indirekt. Ich pflege nämlich des Morgens nach dem Aufwachen nicht aus dem Bett zu springen, sondern zunächst zu verweilen und etwas Radio zu hören. In Ermangelung eines solchen in besagtem Hotelzimmer habe ich den Fernseher eingeschaltet, irgendein Frühstücksfernsehen. Die brachten auch irgendwas zu dieser Router-Sache, und das war geeignet, einem den Tag zu versauen. Wie schon in den Abendsendungen haben irgendwelche Standard-Experten irgendwelchen substanzlosen Standard-Scheiß in irgendwelche Standard-Kameras gefaselt, blablabla, alles ganz schlimm und gefährlich, aber solche Nullaussagen, die man immer blubbern kann, auch wenn man gar nichts zum Fall weiß, und die Journalisten freuen sich, dass sie das wieder mal bearbeitet haben, und hinterher passiert wieder mal gar nichts.

Irgendwie war ihr Vorschlag, man solle doch ein Gütesiegel einführen.

Das ist immer so, wenn ihnen gar nichts einfällt. Sie kommen dann entweder mit Haftung oder mit Gütesiegeln daher. Da verdienen wieder irgendwelche Auditoren, es gibt einen Bepper drauf, aber sonst nichts.

Gütesiegel.

Und der Tag wurde nicht besser.

Ein Leser mahnte an, ich möge Angela Merkel bearbeiten. Nicht in Person, sondern den Unsinn, den sie zum Routerfall geäußert habe.

Und sie sprach:

Deutschland muss sich nach Einschätzung von Kanzlerin Angela Merkel (CDU) in Zukunft auf weitere Hacker-Attacken einstellen. “Solche Cyberangriffe, auch solche wie es in der Doktrin ja auch Russlands heißt, hybride Auseinandersetzungen, gehören heute zum Alltag. Wir müssen lernen, damit umzugehen”, sagte die Regierungschefin in Berlin. “Man darf sich davon auch nicht irritieren lassen”, mahnte sie. “Man muss nur wissen, dass es so etwas gibt, und lernen, damit zu leben.”

Heißt auf deutsch: Der Arsch muss breit genug sein, es einfach auszusitzen. Müssen wir halt so hinnehmen, dass es sowas gibt. Man muss es nicht verstanden haben, man muss nichts dagegen tun, es reicht zu wissen, dass es „so etwas gibt”.

Aha. Ist ja ne tolle Regierung.

Nicht irgendwie ein besseres, zuverlässigeres Internet, irgendwelches Ingenieurkönnen. Einfach so ein „Is halt so”, und wir müssen lernen, auch ohne Internet klarzukommen.

Wer wählt sowas?

Dann kam Bundesinnenminister Thomas de Maizière daher. Versucht’s mit dem juristischen Ansatz, nämlich nie etwas selbst zu machen, sondern immer den nächstbesten zu greifen. Haftung der Router-Hersteller erhöhen.

Aha. Und wenn die pleite sind? Oder in China sitzen und sich für deutsches Recht nicht interessieren?

Wie lange sollen die überhaupt haften? Gewährleistungspflicht? 1 Jahr? 2 Jahre? 10 Jahre? ewig?

„Im Internet wollen sich alle frei bewegen, aber keiner für irgendetwas haften. Das geht nicht“, sagte de Maizière. Verantwortung für die digitale Sicherheit trügen Nutzer, Management in Unternehmen und Behörden, Hersteller, Provider und Dienstanbieter gleichermaßen. Dabei gehe es „um eine faire Lastenverteilung“, sagte er.

Aber Politiker haften nicht für ihre Fehlentscheidungen?

„Dies scheint mir im Bereich der Endprodukte beim Anwender nicht immer gegeben“, kritisierte de Maizière. „Verbraucher müssen jedenfalls auf die Sicherheit der auf dem Markt befindlichen IT-Produkte vertrauen können.“

Guter Punkt.

Das hätten wir vor 25 Jahren anpacken müssen. Haben wir aber nicht. Die Politik hat das 25 Jahre ignoriert und verpennt, sabotiert und gestört, und jetzt kommt er an und meint, die Verbraucher müssten auf IT-Produkte vertrauen können.

Ja, Du Nachtwächter von Merkels Gnaden! Es war doch Eure Aufgabe, dafür zu sorgen! Politik und Gesetzgebung hätten dafür sorgen müssen!

Was haben wir falsch gemacht, um von solchen Blödmännern regiert zu werden?

Seit 25 Jahren wird die Sicherheitstechnik, gar die Informatikausbildung an den Universitäten systematisch erwürgt. Mehrere Studenten haben mir von Professuren, ganzen Lehrstühlen berichtet, die mit irgendwelchen komplett unfähigen Gendertussis besetzt wurden, die alle Informatikvorlesungen der Überschrift nach anbieten, aber immer nur irgendeinen Sozioquatsch erzählen. Man zeichnet Firlefanz wie Scala, X-pire, Bingo Voting aus und blubbert von Internet of Things, weil der Begriff gerade in Mode ist, schimpft auf Algorithmen und schwafelt sich so durch, besetzt Expertenkommissionen mit ideologischen Gefälligkeitschwätzern und Hansdampfs in allen Gassen, aber nie ist jemand dabei, der Ahnung hat. Kinderpornosperren von der ultimativ kompetenzlosen Bundeslaiin, eine Design-Strickliesel als Internetbotschafterin. Jede Partei hat ihre „Internet-Experten”, die das nicht durch Sachkunde, sondern durch Parteibeschluss werden. Irgendwelche völlig ahnunglosen feministischen Twitter-Tussis, die Internet nicht vom Web unterscheiden können, werden uns als „Internet-Expertinnen” präsentiert. Man jubelt über Leute, deren Sachkunde sich darin erschöpft, auf die bösen „Algorithmen” zu schimpfen, ohne den Begriff jemals verstanden zu haben.

Alle reden davon, wie wichtig Internet und Digitalisierung seien, aber kein bisschen Sachkunde in der Regierung.

Die reden von Haftung und Verantwortung.

Warum aber nimmt niemand Politiker in Haftung und Verantwortung für das, was sie in den letzten 25 Jahren vermurkst, versäumt, verpennt haben?

Warum ist für Internet mal ein Wirtschaftsminister, mal ein Verkehrsminister, mal ein Verbraucherminister zuständig, mal eine Familienministerin, die sich kraft schlechten Benehmens einmischt, aber nie jemand mit Sachkunde und verbindlicher Zuständigkeit?

Warum haftet eine Angela Merkel nicht dafür, Thomas de Maizière zum Innenminister gemacht zu haben?

Es gab im Bundestag eine Enquete-Kommission Internet und digitale Gesellschaft, die jahrelang für teuer Geld gar nichts zustandegebracht hat, weil die Parteien sie mit Ideologen, Lobbyisten, Schießbudenfiguren, Clowns besetzt haben. Also Vorwand dafür, dass die Politik selbst nichts zustandebrachte, sollten die sich drum kümmern, wir haben doch einen Enquete dafür.

Warum haften die Bundestagsfraktion nicht für die Idioten, die sie sich damals ausgesucht haben?

Ich habe damals schon im Blog kritisiert, dass man das dort mit Clowns und Witzfiguren besetzt hat, und bin böse dafür beschimpft worden. Man bräuchte doch Leute, die die sozialen Aspekte abdecken. Na, toll. Haben die irgendwas sozial abgedeckt? Null, nichts, gar nichts. Aber sonst eben auch nichts.

Ich habe neulich berichtet, dass die Idioten von der SPD jetzt auf Internet of Things machen und 50 Millionen in ein Bundesinternetinstitut stecken wollen, das für die Politik endlich mal herausfindet, was das Internet eigentlich ist. Auch hier.

Die machen seit Jahren nichts anderes als Kindergeburtstag und hauen dafür Millionen raus, und wenn’s dann mal schief geht, blubbern sie irgendwelche Forderungen in die Kamera, und weiter geht’s wie bisher.

Und dann das:

Gleichwohl betonte de Maizière aber auch, dass Deutschland bereits über eine starke IT-Sicherheitsindustrie mit guten Produkten verfüge und Bürger in der Pflicht seien, diese Angebote auch zu nutzen. „Das Zauberwort ist Sensibilisierung. Den Sicherheitsgurt muss ich auch anlegen, sonst schützt er mich nicht.“

Äh, wie bitte!?

Starke IT-Sicherheitsindustrie? Gute Produkte? Was da bitte wären?

ePerso? De-Mail?

Deutsches Google? Deutsches Twitter? Deutschen Browser?

Welche Drogen nimmt der, dass der so haluziniert? (Alternativ: Welche Berater hat der, die ihm so einen Mist erzählen?)

Welchen „Sicherheitsgurt” hätten denn die Telekomkunden hier versäumt anzulegen?

„Das Zauberwort ist Sensibilisierung.”

Hat der noch alle Kirschen auf der Torte?

Wie und worauf hin hätte man denn die betroffenen Telekom-Kunden sensibilisieren sollen?

Und wieso überhaupt? Die Provider sehen die Router doch als ihren Übergabepunkt, warum sollte man dann noch die Benutzer sensibilisieren?

Als Konsequenz aus dem Hackerangriff will das Bundesinnenministerium zudem die Kompetenzen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) stärken.

Der Parlamentarische Innenstaatssekretär Ole Schröder (CDU) sagte den Zeitungen der Funke Mediengruppe, jeder Sicherheitsvorfall eines Telekommunikationsunternehmens müsse direkt an das BSI übermittelt werden.

„Bisher werden solche Vorfälle an die Bundesnetzagentur gemeldet, die gar nicht für Sicherheitsbelange zuständig ist“, bemängelte Schröder. „Es darf nicht zu Verzögerungen kommen. Das BSI hat die richtigen Experten für solche Angriffe.“ Die Funke-Zeitungen zitierten Sicherheitskreise mit der Information, dass die Bundesnetzagentur den Hackerangriff auf die Telekom noch nicht an das BSI gemeldet habe.

Is ja toll.

Und das BSI macht dann … was?

Tut mir leid, wenn ich das mal so sage, aber: Meine Meinung vom BSI ist nicht die beste. Und ich hatte schon diverse Male mit denen zu tun. Und habe mir mehr als nur einmal an den Kopf gefasst, weil’s so schlimm ist.

Das wird auch nie was werden, solange solche Posten nicht nach Sachkunde, sondern nach Parteikarriere und Frauenquote besetzt werden. Siehe mal hier und hier und hier. Und dazu noch die Föderal-Streitigkeiten. Und ne Designerin als Internet-Botschafterin.

Die Funktionsweise von Parteien ist einfach nicht geeignet, irgendwas zum Funktionieren zu bringen. Und hinterher sind alle anderen schuld, wenn es verbockt worden ist. Das müsste man dem de Maizière links und rechts um die Ohren hauen, dass das vor allem die korrupte Politik verbockt hat.

Es ist jetzt aber auch kein reines Politikproblem.

Heise war mal ein seriöser Verlag. Die haben mal gute Beiträge zur IT gemacht.

Als ich dann aber diesen Schrott von einem „Nico Ernst” gelesen habe, wurde das noch schlimmer.

Die Fernwartung von Routern über die TR-Protokolle darf als gescheitert angesehen werden.

Ach, gleich die Fernwartung schlechthin im Großen und Ganzen?

Äh, war das nicht eben noch politische Forderung, dass die Provider sich darum kümmern, dass die Kisten auf aktuellem Stand sind? Wie sollten sie das machen, so ohne Fernwartung?

Kriminelle haben die millionenfach vorhandenen Plastikkästchen als Angriffsziel entdeckt, die Attacken galten nicht allein manchen Speedport-Modellen der Telekom. Vielmehr handelt es sich um einen Schrotschuss auf alles, was über den Port 7547 per Internet erreichbar ist.

Das heißt nicht, dass Fernwartung schlechthin gescheitert ist. Das heißt, dass sie schlecht gemacht war und gescheiter hätte sein sollen.

Beispielsweise ist es ein zentrales Problem, dass DSL-Router, die eben das PPP-Protokoll verwenden, normalerweise keinen separaten Wartungszugang haben, sondern über den normalen Internet-Verkehr gewartet werden. DOCSIS-Kabel-Modems können das besser, die können Internet, Telefon und Fernwartung über (auf Schicht 2) getrennte Netwerke abhandeln, womit man über das Internet gar nicht erst an die Fernwartung oder Telefonie rankommt (sofern man nicht beim Provider einbricht und dort in diese Netze eindringt).

Insofern hätte man sich einfach mal darum kümmern sollen, ähnliches in PPP einzubauen. In Rechenzentren ist es Stand der Technik, dass der Nutzverkehr und die Wartung über getrennte Netze und Netzwerkkarten erfolgt. Das hätte man mal auf DSL-Router übertragen sollen.

Andere Mechanismen, wie eine Vorschaltseite beim ersten Aufruf einer URL mit einem ungepatchtem Router, trauen sich die Provider nicht zu.

Ist ja auch Quatsch. Denn bei vielen Router kann der Benutzer gar nichts patchen, wenn die vom Provider verwaltet werden, und wenn der Benutzer den Router selbst verwaltet, der Provider keinen regulären Weg hat zu erfahren, welche Software der Router eigentlich nutzt.

Zudem darf der Anbieter das gar nicht, sich in irgendwelche Web-Verbindungen einklinken und Vorschaltseiten anzeigen. Ich verstehe nicht, wie sich dieser Unfug in der öffentlichen Meinung etablieren konnte. Das ist nicht nur strafbar und ein Eingriff in das Telekommunikationsgeheimnis, es verursacht auch ne Menge Störungen und Probleme. Das mag vielleicht in Hotels und Cafes noch funktionieren, weil man da keine Infrastruktur aufstellt und manuell surft, aber sobald man irgendwelche heimtypischen Geräte laufen hat, geht das schief.

Stellt Euch vor, die Überwachungskamera oder Alarmanlage geht nicht, oder der Senioren-Notruf oder das Telefon für den Notruf versagen, weil niemand da ist, der zuerst auf die Vorschaltseite klickt.

Manchmal frage ich mich, ob die Leute nur noch Stroh im Kopf haben.

Man fühlt sich an das mittlerweile geflügelte Wort von de Maizière erinnert, dass solche Maßnahmen die Bevölkerung verunsichern könnten. Das ist aber dringend nötig, denn das Bewußstsein darüber, was sich mit dem Plasterouter anrichten läßt, ist kaum vorhanden.

„Plasterouter” – wenn ich den Mist schon höre. Als ob das was mit dem Gehäuse zu tun hätte. Davon abgesehen: Mir fällt gerade auch kein Router für den Home-Bereich ein, der aus was anderem als Plastik gebaut wäre. 19-Zoll-Einbautechnik ist im Heimbereich nicht gerade üblich.

Suggerieren wollen sie damit, dass billig=schlecht und teuer=gut wäre.

Nur mal so als Denkhilfe: Ich habe ganz billige 20-Euro-WLAN-Switche, deren Firmware ich durch OpenWRT ersetzt habe, und die damit famose, aktualisierbare und meines Wissens ziemlich sichere (Heimrouter als Maßstab) Router abgeben, die mehr können, als alle mir bekannten kommerziellen Geräte.

Auf der anderen Seite habe ich noch ein Handy und ein Tablet von Samsung. Die gelten als mit die Teuersten und Samsung als Edel-Hersteller, der als Konkurrent zu Apple gesehen wird. Von Samsung habe ich noch nie ein Update gesehen, es laufen uralte Android-Versionen. Sicherheit auf Trash-Niveau.

Der Ansatz, sich gute und edle Geräte zu kaufen, ist enormer Unsinn. (Es gab neulich mal Sonnencreme-Tests, bei denen die billigen vom Discounter tadellos abgeschnitten haben, die teuren Edelsoßen aber gnadenlos durchgefallen sind und teils gar keinen Lichtschutz bieten.)

Aber solche Bauernregeln wie „wer billig kauft, kauft zweimal” schwätzen sich halt immer leicht daher, auch wenn man gar keine Ahnung hat.

Vielmehr müssen die Hersteller von Routern, die Nutzer, und vor allem die Provider Sicherheitslücken in Routern endlich wirklich ernst nehmen. Das heißt: Bei so gravierenden Fehlern wie dem aktuellen müssen die Nutzer noch vor einem Patch gewarnt werden, und die Reparatur muss schnell erfolgen. Gibt es für ein Gerät über einen längeren Zeitraum – sagen wir bei Routern: sechs Monate – keinerlei Updates, so darf es als veraltet und potenziell gefährlich gelten. Und solche Devices gehören nicht ins Internet.

Ah, ja, toll:

Der Murks-Router, der ständig gepatcht werden muss, gilt als gut, während ein Router, der von vornherein keine Lücke hat und deshalb keinen Patch braucht, ausgesondert werden muss. So ein Schwachsinn! (Man denke mal an das Sicherheits-Disaster Adobe Flash. Mehr Löcher als Code, muss ständig gepatcht werden. Das wäre demnach gut. Es gibt aber auch Software, die fast nie einen Sicherheitspatch benötigt, weil sie sauber geschrieben ist. Und die soll man dann wegwerfen?

Aber warum hat man das überhaupt gerade so mit Routern? Gilt das für andere Geräte nicht? Internet of Things? Fernseher? Soll ich meinen Fernseher wegschmeißen, wenn er ein halbes Jahr keinen Patch erhält? Wozu kaufe ich ihn dann überhaupt?

Und was soll überhaupt diese Patch-Gläubigkeit? Ist das das Laienniveau, auf dem wir jetzt angekommen sind, ständig mit irgendwelchen Patches hinterherlaufen?

  1. Wie wäre es denn mal, nicht ständig hinterherzureparieren, sondern etwas von vorherein richtig zu kontruieren? Das kommt hier gar nicht vor. Immer nur „Pflaster drauf!”
  2. Wie kommen die eigentlich darauf, dass Patche helfen? Dass ein kompromittiertes Gerät durch einen Patch wieder sauber würde?

Kritisches Bewusstsein für Anfälligkeit des Routers

Es muss sich auch bei diesen Geräten, die schon deutlich unter 50 Euro zu haben sind, die Erkenntnis durchsetzen, dass man nicht die Hardware allein kauft, sondern ein System aus Hard- und Software sowie Support. Bei Smartphones ist das längst der Fall, die Kunden bemessen die Qualität eines solchen Geräts auch danach, wie lange es vom Hersteller noch unterstützt wird. Dafür geben sie bereitwillig alle zwei bis drei Jahre mehrere hundert Euro aus. Nur beim Router, der zentralen und oft einzigen Verteidigungslinie gegen alles, was im Internet kreucht und fleucht, wird gnadenlos gespart. Allenfalls mehr WLAN-Reichweite scheint hier meist ein Argument zum Aufrüsten zu sein.

Wie gesagt: Ich habe 20-Euro-Router, die in dieser Hinsicht vortrefflich sind, und ich habe teure Geräte, die keine Updates bekommen.

Und weder gibt das BGB bisher eine Handhabe für Updates, noch ist der Kunde bisher aus dem Routerzwang herausgekommen.

Irgendwo – ich finde es gerde nicht auf Anhieb – regte sich auch einer auf, man müsse doch eigene Router verwenden, das ginge ja seit Abschaffung des Routerzwangs.

  1. Wie soll Tante Erna das können? Wieviel Prozent der Nutzer wären in der Lage, einen Router selbst zu konfigurieren und zu aktualisieren?
  2. Selbst die Abschaffung des Routerzwanges haben sie vermurkst. Wer beispielsweise bei Kabel Deutschland einen eigenen Router anschließen will, muss nicht nur den Zwangsrouter weiterbezahlen, sondern bekommt auch kein IPv6 und nur sehr eingeschränkten Telefondienst. Da hat man die Abschaffung des Routerzwangs so richtig vergurkt.

Ein kritisches Bewußtsein für die Anfälligkeit eines Routers kann dafür sorgen, dass ab Werk unsichere Geräte nicht mehr gekauft werden.

Na, wunderbar.

Ich bin seit 30 Jahren Informatiker, Fachgebiet IT-Sicherheit, und habe fast 10 Jahre lang im Außendienst bei Industriekunden Firewalls und Router installiert und konfiguriert. Und ich bin nicht in der Lage, im Kaufhaus vor dem Regal den Verpackungen anzusehen oder durch Handauflegen zu spüren, ob der Router da drin „ab Werk unsicher” ist oder nicht. Wie soll das dann Tante Erna können?

Mehr Antennen, mehr Gigabit-Ports, NAS-Funktionalität, ausgefallenes Design – das ist alles, was den Anbietern in den letzten Jahren eingefallen ist, um billige wie teure Router zu bewerben. Eine vielleicht von mehreren unabhängigen Stellen auf Basis des Quellcodes zertifizierte Firmware ist spätestens jetzt ein ebenso gutes Marketingargument. Dass die Kunden sich dennoch nicht einen Pflegefall ins Haus holen, müssen die Hersteller zudem sicherstellen – und zwar zusammen mit den Providern.

Und warum genau sollten sie das tun?

Was haben sie davon?

Wieviele Kunden würden dafür mehr Geld auf den Tisch legen?

Irgendwie schüttelt’s mich gerade ob des Schwachsinns, den ich in den letzten Tagen dazu gehört und gelesen habe.

Kaum einer hat Ahnung, aber fast alle schwätzen drauf los, der und der ist schuld, und man muss besser patchen, blablabla fasel fasel fasel. Jeder schwätzt, keiner weiß. Und immer feste patchen. Viel hilft viel.

Wisst Ihr was?

Ich habe weitaus mehr Angst vor all diesen Hohlschwätzern und Leute wie de Maizière als vor russischen Hackern.

Denn wegen Leuten wie de Maizière haben wir die letzten 25 Jahre nutzlos vergurkt und heulen heute über die Folgen. Ausgerechnet die glauben nun, uns mit schälen Ratschlägen zu heilen.

Wer wählt sowas?