Hadmut Danisch

Ansichten eines Informatikers

IT-Sicherheit: Glaubt er das, was er da schreibt?

Hadmut
16.10.2021 17:54

Leser fragen – Danisch weiß es auch nicht.

Ein Leser fragt, ob Fefe das ernst meine, was er da über IT-Sicherheit schreibe.

Der Leser schreibt dazu:

*** Deutschland war ja mal führend in Sachen IT-Sicherheit. *** Selten so gelacht!

Und Du warst ja nicht der erste, der dieses üble Zeug, was an Unis so passiert, aufgeschrieben hat. Allerdings hast Du nicht nur rumgelabert, sondern Deine Berichte haben Hand und Fuß.

Warum wohl gibt es bis heute keine Verschlüsselung (PGP/GPG) in Mailprogrammen? Das Zeug gibt es doch seit Ewigkeiten. Bei Outlook und Lotus Notes gibt es das doch auch schon immer. Warum nicht bei allen anderen Mailprogrammen? Warum wurde das zwar entwickelt, aber nie in großem Stil realisiert? Warum war das immer nur was für Insider? Seit ich gelesen habe, was Dir passiert ist, weiß ich es. Und ich weiß, dass das nicht die CDU war!

Aber das der fefe das noch nie gehört hat, kann ich nicht glauben. Also labert er wirklich einen Scheiß zusammen, um von der Realität abzulenken.

Weiß ich nicht.

Ich kenne Fefe nicht. Keine Ahnung, ob der das meint.

Aber ja, Deutschland war mal führend in der IT-Sicherheit. Und zwar bis 1939.

Enigma und Lorenz-Schlüsselmaschine waren damals weltweit führende Produkte der Informationssicherheit. Dann kamen Alan Turing und der oft übergangene Marian Rejewski, brachen das, und seither ist hier nichts mehr mit der Informationssicherheit.

Wie schon oft beschrieben, halte ich das für den Startschuss der modernen Computertechnik.

Eigentlich zog die Telekommunikation schon mit dem ersten Weltkrieg in die Kriegstechnik ein, man kann hier in Berlin im Postmuseum, aber auch im Internet Bilder der ersten Fernsprechgeräte sehen, dazu kamen die ersten Funkgeräte und Übertragungen, und natürlich das Flugzeug, das es erforderlich machte, über weite Strecken zu kommunizieren. Es gibt Berichte, dass die Amerikaner schon ab etwa 1900 alle Telegrafenverbindungen in Nordamerika mithörten, und im ersten Weltkrieg war das noch so eine Sache mit der Verschlüsselung. Technisch gab es meines Wissens noch keine, aber dann die Handchiffren, die parallel zur Funkkommunikation entwickelt wurden. Würfen, Doppelwürfel und sowas.

Vorher gab es sowas auch schon, weil man das im diplomatischen Verkehr brauchte, vgl. das Jefferson Wheel von etwa 1790, Maria Stuart im 16. Jahrhundert, selbst aus dem alten Griechenland und noch davor sind Verschlüsselungen bekannt, aber alle eher simpel, Handbetrieb. Und was gebrochen wurde, wurde auch von Hand gebrochen.

Mit dem zweiten Weltkrieg und eben der Enigma und dem Brechen derselben (manche sagen, die Lorenz sei noch wichtiger gewesen) war klar, dass die Zeit der Handchiffren vorbei war, weil zu langsam, zu fehleranfällig und zu wenig komplex. Die Chiffren wurden automatisiert und deren Brechen musste mit der gestiegenen Komplexität auch gebrochen werden.

Während die Enigma rein elektrisch-mechanisch (nicht mal elektromechanisch, weil noch von Hand bewegt) arbeitete, war die „Bombe“, das Gerät, womit man sie brach, schon elektromechanisch, weil mit Elektromotor angetrieben und automatischem Anhalten bei Erfolgsdetektion. Und danach kamen die auch gleich mit dem ersten richtigen elektronischen Rechner, der Colossus, einem Röhrenrechner. Steht im Bletchley Park.

Und dazu muss man sagen, dass Deutschland seither keinen Fuß mehr auf den Boden bekam, was IT-Sicherheit angeht.

Was vor allem damit zusammenhängt oder -hing, dass Deutschland seither Besatzungszone war und formal keine Kriegstechnik mehr haben, entwickeln oder bauen durfte, und die Amerikaner das eben als Kriegstechnik einstuften und jedem außer sich selbst im Prinzip verboten.

Ich will da jetzt nicht alle alten Blog-Artikel zusammensuchen und wiederholen, aber ich habe schon viele dazu geschrieben.

In den 50er und 60er Jahren lief da erst mal noch nicht so viel, weil man die Computertechnik erst mal entwickeln musste. Da war man noch voll auf Analog-Technik, und der ganze Spionage- und Verschlüsselungskram lief noch so ungefähr wie in den alten James-Bond-Filmen und -Romanen, die ja nicht von ungefähr in den 50er und 60er Jahren geschrieben wurden.

In den 70er Jahren gab es dann einen enormen Schub. Man bekam die ersten brauchbaren Mikrochip-basierten frei programmierbaren Computer, und entwickelte die Kryptographie für die moderne Elektronik komplett neu. Man erfand Chiffren, die nur noch mit moderner Elektronik auszuführen waren, damals vor allem DES, und die algebraische, asymmetrische Kryptographie, namentlich Diffie-Hellman-Schlüsseltausch und RSA.

Gleichzeitig kamen damit auch die großen Fälle von Computerspionage auf, siehe etwa Clifford Stoll Kuckucksei oder den Film 23. Es drehen sich ja auch unzälige Filme der 80er und 90er Jahre um das Thema, wie Sneakers, die Lautlosen, diverse James-Bond-Filme und so weiter.

Und spätestens da war den Amerikanern klar, von welcher enormen Bedeutung es ist, die Hoheit über die IT-Sicherheit zu haben.

Und die haben sie sonst schon niemandem gestattet, warum also sollten sie dies uns, ihrem ehemaligen Feind und Besatzungsgebiet, nun gestatten?

Siehe beispielsweise die Vorgänge um die Crypto AG und Omnisec in der Schweiz oder die vielen Abhörfälle, die ich beschrieben habe. Etwa die Sache mit den ganzen geschwächten analog verschlüsselnden Telefonen. Den Ärger, den ich damals bekam, als ich ein digital verschlüsselndes Telefon entwickelt hatte. Es gab ja auch mal Berichte eines amerikanischen Kryptologen, ich glaube, es war Matt Blaze, darüber, welchen Krampf es bedeutete, ein verschlüsselndes Telefon aus den USA herauszutragen.

Wir hatten ja damals die Kryptokriege, die vor allem Anfang der 1990er anfingen und darin kulminierten, dass es zwei Webbrowservarianten geben musste, nämlich die für die USA, die HTTPS/SSL mit 128 Bit-Chiffren betreiben konnten, und die für den Rest der Welt mit 40-Bit-Chiffren und das Thema Clipper-Chip.

Ursprung des Kryptokrieges war ein Gesetz der Amerikaner, wonach so ungefähr alles für sie abhörbar sein muss. Eingereicht von einem gewissen Joe Biden.

Und wie sie mich damals abgesägt habe, habe ich ja nun ausführlich beschrieben.

Wie man die DDR-Kryptologen einfing.

Wie man die Kryptoprofessuren systematisch mit unfähigen harmlosen Leuten besetzte, und die fähigen Leute aus den Universitäten drückte.

Es ist uns nicht gestattet, gut in IT-Sicherheit zu sein. Es wird systematisch verhindert. Und zwar seit dem zweiten Weltkrieg.

Schreibt Fefe:

Deutschland war ja mal führend in Sachen IT-Sicherheit. Nicht zuletzt deshalb, weil bei uns das Studium keine Studiengebühren hatte und man keinen Stress bekam, wenn man ein paar Semester länger studierte, weil einen noch etwas interessierte, und man da noch ein bisschen Zeit mit verbringen wollte. Deutschland hatte einige der besten Security-Leute auf dem Planeten!

Dann hat die CDU der Reihe nach alles kaputtgealtmaiert.

Das ist so nicht ganz falsch, aber nur sehr, sehr grob und aus großer Entfernung betrachtet entfernt richtig.

Das dauert alles schon viel länger an, als es Altmeier gibt.

Dazu muss man eigentlich schon bis 1944 zurückgehen, ich hatte das ja schon durchgeknetet, Villa Octogon, Reinhard Gehlen, NSDAP-Geld und so weiter. Die CDU-Finanzierung und die eigentlich verbotene, aber wegen der kommunistischen Bedrohung sofort wieder durchgeführte Bewaffung Deutschlands sind ja eng verwoben. Altmeier ist viel zu jung und vor allem viel zu doof, um da eine nennenswerte Rolle zu spielen. Der ist höchstens dick genug um zu rollen. Die zentralen Figuren sehe ich da in Otto Leiberich und Wolfgang Schäuble, beide Produkte des Kalten Krieges und der Stellung BRD gegen DDR.

CDU ist an sich schon richtig. Ich habe das ja damals im Streit mit der Uni Karlsruhe gemerkt, wie ich da vom CDU-geführten (Klaus von Trotha und Peter Frankenberg) und dienstvorgesetzten Wissenschaftsministerium Baden-Württemberg am langen Arm verhungern gelassen wurde. Da hat man so richtig gemerkt, wie hochgradig korrupt und verlogen die waren.

Und eine ganz wesentliche Ursache dafür war sicherlich und ohne Frage die Korruptionswirtschaft von Helmut Kohl. Der ist aber zu früh abgegangen, um für die heutigen Probleme noch verantwortlich zu sein.

Die meines Erachtens größte, aber nicht einzige Katastrophe für die IT-Sicherheit heißt Angela Merkel. Die stellen sie immer als Wissenschaftlerin hin, aber die und ihre Schwesterin im Geiste, das Antiwissenschaftsmonstrum Annette Schavan, Freundin und wissenschaftlich völlig unbefähigt, hat als Wissenschaftsministerin enormen und irreparablen Flurschaden hinterlassen. Auch korrupt bis zum Anschlag.

Und dass Merkel das nicht entfernt kapiert, merkt man ja auch überall. Ich hatte mich ja 2008 mal auf einer Konferenz mit dem damaligen BSI-Chef gefetzt, weil der – merklich widerwillig – per politischer Vorgabe an die Regierungsauffassung gebunden war, dass „IT-Sicherheit“ sei und stattfände, wenn die IT-Sicherheitsindustrie steigende Umsätze melde und zufrieden sei. Kein inhaltlicher Unterschied zwischen IT-Sicherheit und Hundefutter. X ist, wenn die X-Industrie sich nicht beschwert. Merkel-Logik. Doof wie … wie … na, wie Merkel eben. Ist ja auch alles so „Neuland“ für uns. Darf ja auch nicht mehr, ist in Deutschland nicht erlaubt.

Das hat aber nicht unbedingt oder spezifisch Kryptogründe, weil die das ja in allen Bereichen gemacht hat. Ein zentraler Hebel daran war die gesamte geisteswissenschaftliche Verblödung und Frauenförderung in den Universitäten. Man hat wirklich alles auf Korruption und Gefälligkeitsgutachten, auf Quotenfrauen und Frauengangbarkeit gezogen. Ich hatte ja damals in meinem Promotionsstreit auch mit zwei IT-Sicherheitsprofessorinnen zu tun, die schon an elementarsten Fragen scheiterten und vor Gericht zugeben mussten, dass sie Fragen zur Kryptographie nicht beantworten konnten. Beide doof wie ein Eimer Sägemehl, aber: Professoren für IT-Sicherheit. Eine hat nicht mal im Ansatz verstanden, was Kryptographie ist und wie die funktioniert, konnte Anonymisierung nicht von Authentifikation unterscheiden, merkte nicht, dass ihre Protokolle noch schlechter sind, als gar keines zu haben, verstieß gegen viele Gesetze, log, und hielt Passwörter für am sichersten, wenn sie möglichst kurz waren, weil man sie sich dann merken könne und nicht unter die Tastatur schreiben müsse. Ergebnis: Promotion mit Auszeichnung. Einer bekam eine IT-Sicherheitsprofessur, in dessen Dissertation einfach gar nichts eigenes stand und der nicht mal Primzahlen korrekt definieren konnte.

Fähige Kryptologen dagegen zogen sich reihenweise zurück oder gaben das Fach auf.

Und zu denen, die blieben, fanden sich verblüffend oft direkte Verbindungen zu den Geheimdiensten. Manche sagten ja selbst, dass es zur Arbeit der Kryptologen gehört, mit den Geheimdiensten ihres Landes zusammenzuarbeiten.

Die Kryptographie ist auch ein Opfer des Feminismus und der SPD-Politik, alles zu zerfrauenquoten und alles durch Verblödung bis zur Infantilisierung frauengängig zu machen. Es herrschte ja oft die Herangehensweise und wurde als Standpunkt geäußert, dass es Wissenschaft und Können überhaupt nicht gibt und das alles nur Sozialverhalten sei, um Frauen herauszuhalten (Verfassungsrichterin Baer: „Quality is a myth“.) Das es nur darum ginge, Frauen auch als „Quereinsteiger“ in die Posten zu drücken und ihnen weiße Kittel anzuziehen, bis die Öffentlichkeit sich an sie gewöhnt hat, weil Wissenschaft nur sei, von der Öffentlichkeit sozial für einen Wissenschaftler gehalten zu werden. Ein Können und Wissen gäbe es nicht, das wären alles nur Sozialverhaltensweisen, die man „überwinden“ oder „dekonstruieren“ muss. Deshalb hieß es oft und war gängige Praxis, dass es überhaupt nicht wichtig sei, was Frauen können, sondern sie erst mal in die Professuren zu drücken, ohne ohne Befähigung. Erst der Posten, die Befähigung käme dann von selbst. Und wenn nicht, sei es auch nicht schlimm, denn Professoren seien ja Beamte und unkündbar. Frauenförderung als das Konzept, Professuren systematisch mit unfähigen Leuten zu besetzen.

Nach meinem heutigen Wissenstand halte ich die für hirnkrank in dem Sinne, den ich so oft beschrieben habe, dass ihnen die ratio fehlt und die alles nur auf der Amygdala-Rudel-Schiene wahrnehmen. Wer nur einen Hammer kennt, für den sieht alles wie ein Nagel aus. Wer nur das Amygdala-Zentrum im Hirn arbeiten hat, für den sieht alles wie Rudelverhalten aus. Die kapieren das nicht, dass da was mit Wissenschaft, Technik, Könne, Wissen läuft, weil ihnen die Hirnfunktionen dafür fehlen. Die kennen nichts anderes als Sozial- und Rudelverhalten. Deshalb das ganze Ausgrenzungs- und Gerechtigkeitsgeschwätz, deshalb das Geblubber von „Quality is a myth“. Als würde der Blinde sagen, dass es Farben nicht gibt, weil er sie nicht sehen kann. Soziologie und Gender als Selbsthilfegruppe der Amygdala-Zombies. Könnte auch mit Umweltgiften zu tun haben. Oder mit der Unterentwicklung der ratio durch alleinerziehende Mütter.

Und unter diesem Effekt leiden die Informatik und besonders die IT-Sicherheit ganz besonders, weil es da selbst für Informatik-Verhältnisse sehr wenige Frauen gibt. Das ist dann natürlich das Hauptangriffsziel für die Verfrauenquotung und Inkompetentinnendruckbetankung, und dann kommen eben solche Exemplare dabei heraus, wie beschrieben, die die Professoren besetzen und dann nichts können. Ich hatte mich mal in eine IT-Sicherheitsvorlesung einer solchen Professorin gesetzt, mit der ich da Ärger habe. Vorne stand aber ein Mann. Niemand schien es zu stören. Ich hatte mich dann mal gemeldet und – unter verhaltenem Gelächter des Publikums – blöd gefragt, ob er denn auch wirklich die Professorin X sei. Nein, natürlich nicht. Und warum nicht? Er gehörte nicht mal zur Uni, sondern zu einer externen Firma. Frau Professorin lässt vorlesen. Externe Dienstleister, die Vorlesungen halten wie Ghostwriter die Bücher schreiben. Irgendwer hatte sie offenbar angemailt oder gechattet, denn kurz drauf kam sie plötzlich reingeschneit und setzte sich an den Rand, sagte aber nichts.

Ich habe da in der Informatik schon jede Menge endblöde Frauendissertationen gesehen. Weil doch das alles sozial werden und enttechnisiert werden müsse, damit auch Frauen Informatikerin werden können. (Heißt: Das Geld, das da ist, auch an Frauen verteilt werden kann.) Es hatte mal eine Dissertation vorliegen, in der man in jeder Zeile merkte, dass die Frau von Informatik überhaupt keine Ahnung hat und nicht weiß, was programmieren ist. Sie hat einfach ein Interview mit irgendeinem Prominenten gemacht und die Programmiersprachen für soziale Effekte gehalten und eingestuft. Fertig ist die Doktorin in Informatik. Ich habe eine technische über die Abwehr staatlicher Kommunikationsüberwachung geschrieben – abgelehnt. Und nochmal von der Genderprofessorin und Verfassungsrichterin Baer. Ratet mal, warum. Was da abläuft.

Fefe hat das, was da abläuft, nicht entfernt erfasst. Der sieht einen Baum, aber den Wald nicht. Der kriegt das gar nicht mit, was da eigentlich abläuft, wenn er meint, dass das an Altmeier liege.

Symptomatisch beschreibt er es schon richtig, wenn er schreibt

Erst haben sie Hacken verboten, dann Hackertools verboten, dann offene WLANs mit dem Urheberrecht weggeschossen. Studiengebühren eingeführt. Tja und dann stellte sich völlig überraschend heraus: Die existierenden Leute mit Fachkompetenz wollen diesem Scheißstaat nicht freiwillig helfen, nicht mal bezahlt. Den Nachwuchs hat die Regierung ja mit den ganzen Maßnahmen abgetrieben. Völlig überraschend ist man jetzt ein Land der Ahnungslosen, die Regierung muss ihre Staatstrojaner (und Firewalls und Router) im Ausland kaufen, und sämtliche “Erkenntnisse” sind unprüfbares Hörensagen aus den USA.

Warum erwähne ich das? Weil es gerade mal wieder einen Swatting-Fall gab. Einer der letzten noch nicht verprellten Security-Leute findet eine krasse Lücke, meldet sie wohlmeinend dem Hersteller, und kriegt dann von diesem Staat auch noch ein SWAT-Team in die Wohnung geschickt, das ihm sein Arbeitsgerät wegnimmt.

Ja super! Wisst ihr, wer euch ganz sicher nicht helfen wird, wenn ihr das nächste Mal ein Problem habt? Dieser Typ.

Mich habt ihr als Helfer ja schon vor Jahren verloren. Das muss jetzt einmal so richtig krachen, bevor ich auch nur in Erwägung ziehe, irgendjemandem in diesem Staat zu helfen.

Baut ihr mal weiter Zertifizierungs-Schlangenölpipelines mit dem BSI auf. Und setzt alle schön Windows, Active Directory und Outlook ein. Hey, was setzt eigentlich das BSI ein? Fragt lieber nicht, die Details könnten die Bevölkerung verunsichern.

Ich wundere mich über kein einziges der Blockchain- und KI-Projekte gerade. Na klar fördern die Blockchain und KI und Biometrie-Datenbanken. Die haben keinen einzigen Berater mehr gefunden, der auch nur den Hauch einer Ahnung hat.

NA KLAR glauben diese Vollpfosten dann den Amis, dass man Cyberangriffe zurückverfolgen kann, und dass das zufällig nie die Amis waren. Der Russe war’s!!1!

Symptomatisch ist das richtig.

Mir selbst geht das inzwischen auch so, dass ich von der IT-Sicherheit und dem ständigen Kampf gegen Windmühlen, dem ewigen Wiederholen der Schweinezyklen, dem niemals endenden Abgewatschtwerden, und in letzter Zeit vor allem, unfähige oder gar infantile Frauen vor die Nase gesetzt zu bekommen, die Schnauze gestrichen voll habe.

Es kotzt mich geradezu an, wenn IT-Sicherheit mit dämlichen Ratespielen und Wachsmalkreiden stattfindet, damit dann auch Frauen mitmachen können, und man nichts mehr sagen darf, weil das Frauen kritisieren würde. Irgendwann war ich dann auch an dem Punkt, an dem ich mir sage, na, dann halt nicht. Wird mir einfach viel zu blöd, und man erreicht sowieso nichts, weil die Sicherheitslücken immer noch die prinzipiell selben wie vor 35 Jahren sind, und sich keine Sau dran stört, dass Software immer unsicherer und schlechter wird, damit alle dran mitrühren können und dürfen. Niemand hat sich ernstlich gegen codes of conduct und die Zerstörung der Szene gewehrt.

Sagen wir es so: Wenn klar ist, dass der Kahn gegen die Felswand fährt, muss ich ja nicht auf der Brücke stehen und verantwortlich dafür sein.

Und so geht es nicht nur mir. Ich kenne eine ganze Reihe von Sicherheitsexperten, Berufsumfeld eben. Die haben aber alle längst resigniert und sind, wenn überhaupt noch tätig, im Zynikermodus.

Und dann sieht man ständig solche Meldungen, wie dass sie Gerichte, Universitäten, Behörden auch 6 Monate nach einem Angriff nicht wieder hochkriegen. Als IT-Sicherheit noch einen Inhalt hatte und nicht nur Gefälligkeitsgeschwätz und Quotentreibstoff war, gehörte es nicht nur dazu, so 10 Jahre, nachdem eine Angriffstechnik wie ransomware in Mode kam, vielleicht mal darüber nachzudenken, was man dagegen tun könnte, sondern da gehörte auch mal etwas so bodenständiges wie „disaster recovery“ dazu. Wie kriegt man seinen ganzen Scheiß schnell und geplant wieder hoch, wenn er mal zusammengefallen ist?

Heute besteht IT-Sicherheit daraus, sich um die sozialen Folgen zu kümmern, wenn Erstsemester sich nicht immatrikulieren können und Mitarbeiter ihr Gehalt nicht bekomme, weil die Uni ein halbes Jahr nach Angriff ihren Laden noch nicht wieder zusammengeflickt hat, und zu bejammern, dass selbstverständlich auch hier wieder Frauen stärker darunter leiden.

Also: Symptomatisch beschreibt Fefe es zutreffend, wenn auch als Problem viel zu klein und harmlos.

Aber die Hintergründe und Ursachen hat er überhaupt nicht verstanden.

Ob er selbst glaubt, was er schreibt: Keine Ahnung. Weiß ich nicht. Kenne den nicht.