Vom Horror in der IT-Sicherheit

Einer der Gründe, warum ich keine Lust mehr habe, in der IT-Sicherheit tätig zu sein.

Golem schreibt über einen IT-Sicherheitsvorfall bei der Landeshauptstadt in Potsdam.

Den 22. Januar 2020 wird Thomas Morgenstern-Jehia niemals vergessen. Es war sein 100. Arbeitstag als Fachbereichsleiter E-Government bei der Landeshauptstadt Potsdam. Statt mit seiner Ehefrau zum Feierabend mit dem kalt gestellten Sekt zu anzustoßen, saß er um 17 Uhr in einer Pressekonferenz: Oberbürgermeister Mike Schubert musste erklären, warum die Stadt Potsdam mit sofortiger Wirkung auf unbestimmte Zeit alle Internetverbindungen der Behörden gekappt hatte.

Thomas Morgenstern-Jehia ist kein klassischer ITler, er kam als studierter Bauingenieur nach der Wende eher zufällig zur EDV und eignete sich sein Wissen zunächst selbst an, bevor er einen Studiengang für Wirtschaftsingenieurwesen belegte und viele Weiterbildungen absolvierte, darunter zum zertifizierten SAP-Berater. Das half ihm, als er in der Landesverwaltung Brandenburg mit seinem Team SAP einführte und ein Rechenzentrum aufbaute.

Ein Bauingenieur mit Studiengang Wirtschaftsingenieur und Weiterbildung zum zertifizierten SAP-Berater.

Am 21. Januar wurde Morgenstern-Jehia bei Arbeitsbeginn über eine monatelang offene, einfach auszunutzende Sicherheitslücke informiert. Da er in seinen ersten 99 Tagen keinen vollständigen Einblick in alle IT-Vorgänge Potsdams erlangen konnte, war er auf die Zuarbeit seines Teams angewiesen. Entsprechend wusste er noch wenig darüber, welche Schutzmechanismen in Kraft waren und wie die Kolleginnen und Kollegen in dem Fachbereich, der mit rund 60 Prozent der verfügbaren 50 Stellen unterbesetzt war, Warnungen handhabten.

Es stellte sich schnell heraus, dass sowohl die internen Strukturen als auch die Reaktion auf Warnmeldungen von außerhalb Mängel aufwiesen.

Weil er die Schwere der Bedrohungslage schlecht einschätzen konnte, holte sich Morgenstern-Jehia noch am Abend des 21. Januar Hilfe von außerhalb: Eine ehemalige Kollegin, spezialisiert auf IT-Forensik, evaluierte mit ihm am 22. Januar die Situation. Beide kamen zu dem Schluss, dass es unabdingbar sei, die Stadt vom Netz zu nehmen, um weitere Analysen vornehmen zu können.

[…]

Was Thomas Morgenstern-Jehia zu jenem Zeitpunkt nicht genau wissen konnte, war der Zustand, in dem sich große Teile der Stadtverwaltungs-IT befanden. In den ersten Tagen nach der Notabschaltung machten sich sein Team und die extern beauftragten forensischen Fachkräfte daran, eine gründliche Inventur vorzunehmen. Das war jahrelang aufgrund von Personalmangel und Priorisierung unterblieben. Das Ergebnis war entsprechend.

Die gute Nachricht: Die Firewalls der Landeshauptstadt haben tausenden Angriffen über die ungepatchte Sicherheitslücke standgehalten. Die schlechte: Niemand wusste, warum. Es gab circa 65.000 Regeln, von denen viele nicht dokumentiert waren. Hinzu kam eine beträchtliche Schatten-IT, also Geräte und Dienste, die niemand verzeichnet hatte und gewachsene Prozesse, die jahrelang niemand hinterfragte und die nun auf den Prüfstand mussten.

65.000 Firewall-Regeln.

Viele davon nicht dokumentiert.

Eine Schatten-IT aus Geräten und Diensten, die niemand verzeichnet hatte.

„Gewachsene Prozesse“, die jahrelang niemand hinterfragt hatte.

Das ist der Horror.

Aber nicht unbekannt. Solche Zustände habe ich während meiner aktiven Zeit, vor allem, als ich noch im Außendienst zu Kunden gegangen bin, um denen Firewalls zu installieren und den Laden aufzuräumen, auch vorgefunden, wenngleich auch nicht ganz in dieser Größenordnung. Ich weiß es nicht mehr genau, irgendwas knapp über 10.000 war man das Schlimmste, was ich vorgefunden habe.

Sowas ist nicht mehr zu kontrollieren. Das ist absoluter Murks. Es gibt auch keine Firewalls, die sowas noch wirklich effizient abarbeiten können. Zwar haben moderne Firewalls auch ASICs, die die Regeln in Hardware bzw. als programmierbare Schaltung abarbeiten, ich glaube, es gibt sogar welche, die FPGAs programmieren. Und man muss die auch nicht unbedingt alle 65.000 abklappern, denn das lässt sich mit guten Algorithmen vorsortieren, womit man von O(n) etwas runter in die Nähe von O(log(n)) kommt, also der Aufwand nicht linear mit der Zahl der Regeln steigt, aber so etwas ist schlicht und einfach Bullshit, das kann man nicht mehr kontrollieren, prüfen, verstehen, reparieren, oder im Notfall anpassen.

Im Prinzip beschreibt Golem da, dass die unter Notfall- und Angriffsbedingungen das nachzuholen versuchten, was man vorher jahrelang durch Schlamperei verschlafen hat.

Herrlich diese zwei Sätze, ich bringe sie nochmal:

Die gute Nachricht: Die Firewalls der Landeshauptstadt haben tausenden Angriffen über die ungepatchte Sicherheitslücke standgehalten. Die schlechte: Niemand wusste, warum.

Und das Schlimme daran ist: Wenn man als Sicherheitsexperte warnt und – beizeiten – sagt, dass das so nicht geht, dass man das dringend entrümpeln, dokumentieren, katalogisieren, priorisieren muss, man einen Notfall- und Anlaufplan braucht, dass zu jeder Funktion dokumentiert sein muss, was die normale und was die tolerable Ausfallzeit ist, dann macht man sich sehr unbeliebt. Als Information Security Officer muss man immer eine Balance, einen Kompromiss finden: Rettet man die IT? Oder rettet man den eigenen Kopf? Nie so viel nerven, dass man wirklich Ärger bekommt, aber auch nicht zu wenig. Verlangt man zu viel, fliegt man, weil man zu teuer wird. Verlangt man zu wenig, fliegt man, wenn es schief geht. Deshalb entwickeln viele Firmen eine Vorliebe für „Sicherheitsexperten“, die davon gar nicht so viel Ahnung haben und bevorzugt einfach die Klappe und sich raus halten.

Für die dringendsten Probleme fand man kreative Lösungen: Die Daten für Auszahlungen gelangten per neu gekauftem USB-Stick zur Sparkasse, provisorische Netze wurden aufgespannt, um beispielsweise E-Mails in Notsituationen empfangen zu können.

Ja, geil. 2023 den Kurier mit dem USB-Stick zur Bank schicken.

Eigentlich ist ein Wiederanlaufplan Pflicht, der auch solche Fälle wie einen Totalverlust des Rechenzentrums mit abdeckt. Denkt nur mal an den Brand des Rechenzentrums bei OVH, wo angeblich auch die Backups mancher System mit verbrannten.

Was wird wie in welcher Zeit auf welche Weise und wo wieder aufgesetzt?

Früher hieß das: Lieferverträge, die Hardware in definierter Zeit liefern können. RZ-Betreiber, die Hardware-Redundanz vorhalten.

Heute heißt sowas auch (ergänzend oder alternativ, je nach Anforderungen), dass man in der Lage ist, seine IT – wenigstens notfalls – in der Cloud zu reproduzieren. Automatisierte Kochrezepte, nach welcher Technik auch immer, gibt ja verschiedene, die einem virtuelle Maschinen, Container, Netzwerke aufbauen, und die Funktion bereit stellen. Eine automatische Build-Chain, die die Software, Images und so weiter erzeugt, damit man auch patchen und aktualisieren und dann automatisiert installieren kann. Das ist kein Hexenwerk, das nennt sich Continuous Delivery und ist Stand der Technik. Wenn man auf dem Stand der Technik ist.

Und wer einen Produktivbetrieb mit 65.000 Firewall-Regeln betreibt, der macht einfach was falsch.

Wobei ich – technisch – noch nicht verstanden habe, warum eigentlich jede Stadt ihre eigene IT betreibt. Denn eigentlich sollte man ja annehmen, dass sich die Aufgaben und Anforderungen gleichen und jede Stadt im Prinzip dieselben Aufgaben hat, wie Einwohnermeldeamt, KFZ-Stelle und so weiter.

Ich verstehe nicht – falsch, ich verstehe es schon, soweit es um Geschäfte, Vetternwirtschaft, Parteispiele, Korruption geht, aber technisch eben nicht – warum da so viele selbst lokal vor sich hinfrickeln, statt dass man eine zentrale IT macht, die diese immer selben Funktionen für alle einheitlich anbietet, und das damit gesparte Geld dafür in Qualität und Sicherheit steckt, und dafür sorgt, dass da Leute agieren, die das im Griff haben. Die also jederzeit in der Lage sind, die gesamte IT einer Stadt einfach wegzuschmeißen und innerhalb weniger Minuten frisch zu erzeugen. Stattdessen murkst da jede Stadt mir irgendwelchen Halbfachkräften herum, die sie gerade kriegen können – oder die aus Parteiräson und Frauenquote gewählt werden, und die dann als Leiterin der IT einer Großstadt nichts machen und hinbekommen als überall zu gendern und Frauenquoten durchzusetzen, anstatt die IT am Laufen zu halten.

Dann nämlich, wenn nicht mehr jede Stadt selbst frickelt, sondern zentral und übergreifend agiert wird, ist es auch möglich, dass Funktionen wie Einwohnermeldeamt oder KFZ oder was es alles gibt, sauber dokumentiert sind, mit Funktionen, APIs, Software, Wiederherstellung, Backup-Konzept und sonstwas alles, es da ein sauberes, verbindliches, vollständiges Handbuch gibt, in dem alles drin steht, was es zu wissen gibt.

Das ganze Konzept dieser föderalen, hierarchisch-fraktalen Korruption, die wir so gerne für Demokratie halten, weil sie dazu dient, dass Geld und Aufträge den Freunden der jeweiligen Partei zugeschustert werden, ist nicht realitätstauglich. Das hat in den 70er Jahren noch funktioniert, als der Parteikumpel im Rathaus die Wasserhähne und Kloschüsseln installiert und zu hoch abgerechnet hat, aber mit IT funktioniert sowas eben nicht mehr.

Und das wird immer schlimmer, je mehr „Fachkräfte“, „Quotenfrauen“ und „Quereinsteiger“ da drin rumrühren, und je politischer die Auswahl des IT-Führungspersonals wird.

Frage an die Leser:

Kennt Ihr auch nur einen einzigen der vielen Professoren der IT-Sicherheit oder allgemeiner Informatik in Deutschland, der auch nur irgendetwas zur Lösung dieser Probleme beigetragen hätte und über die Forderung hinauskäme, dass in den Rechenzentren eine Frauenquote und Gleichstellungsbeauftragte erforderlich seien?

Und dann schwätzen irgendwelche ahnungslosen Politiker und Medienfuzzis immer davon, dass wir ein Digitalland seien und „wieder nach ganz vorn an die Spitze“ wollen. Und am besten alles mit – ja, was gerade in Mode ist, vor einiger Zeit musste es noch alles mit „Open Source“, dann mit „Cloud“ sein, dann natürlich alles mit der Wundersalbe „Blockchain“, inzwischen alles mit „KI“, nicht zu vergessen „Flugtaxis“ – gemacht, weil man das jeweils wichtigste Buzzword in die Kamera sagen muss, damit wird alles gut, als wäre man in den Geisteswissenschaften und würde alles mit Woke heilen. Dabei wäre die wichtigste Maßnahme, alle Idioten und Schwätzer rauszuschmeißen und nur noch Leute mit Sachkunde ranzulassen – wenn wir sie noch hätten.

Ich habe das seit Jahren beschrieben, wie man seit 25 Jahren alle Leute mit Ahnung rausekelt und im Zuge des ideologischen Inkompetenzkultes – Quality is a Myth – durch den volkswirtschaftlich nutzlosen Überschuss der Geisteswissenschaften ersetzt.

Und jetzt hat man halt das Ergebnis.

Und seltsamerweise sagt niemand, dass das das Ergebnis auch der brachialen Ignoranz eines Gerhard Schröder oder einer Angela Merkel ist, die eine große Mitverantwortung dafür tragen, dass unser ganzes System der Berufsausbildung und auch der IT zum Kindergartenpillepalle geworden ist. Wir würden heute sehr viel besser dastehen, wenn wir vor 25 Jahren ordentliche IT gemacht und das in die richtigen Bahnen geleitet hätten. Stattdessen hat man die IT zum allgemeinen Futtertrog für Krethi und Plethi gemacht.

Ich bin raus.

MESA. (Macht Euren Scheiß Alleine)