Hadmut Danisch
Ansichten eines Informatikers

Die Tagesthemen, das BSI, die IT-Sicherheit und das kalte Grausen

Hadmut
4.5.2024 15:02
Uncategorized

Quality is a myth. Besonders in den Tagesthemen.

Ich hatte das ja nun mehr als ausführlich beschrieben, wie man in den 90er Jahren die IT-Sicherheit in der Hochschulinformatik zertrümmert und absichtlich harmlose und inkompetente Leute und jede Menge ahnungsloser und teils völlig unfähiger Quotenfrauen in die Posten gedrückt hat.

In den letzten Jahren hatte man einen sehr ähnlichen Effekt in der Industrie, als man die Posten mit „quereinsteigenden“ ahnungslosen und oft stinkfaulen Quotenfrauen besetzte und Posten wie den CISO (Chief Information Security Officer) dann mit Juristen oder Unternehmensberatern befüllt hat.

Ich habe mal in einem weltweit agierenden Konzern einen hochbezahlten CISO erlebt, der unglaublich viel Papier erzeugte und viele Liste mit schönen Haken dran, aber völlig hilflos war und nicht wusste, was er tun sollte, als mal irgendwo Malware/Viren auf Rechnern auftauchte, überhaupt nicht reagieren konnte und so überfordert war, dass er nicht einmal in der Lage war zu orten, auf welchem Kontinent der Erde der verseuchte Rechner stand. Der hatte nicht einmal Grundwissen in Netzwerktechnik, verstand nicht, wie da funktionierte, und war völlig überfordert. Aber in der Firmenhierarchie ganz oben und hoch bezahlt, denn: Der kam von einer Unternehmensberatung.

Ein zentrales Problem der IT-Sicherheit ist die weitreichende Inkompetenz deutscher Unternehmenslenker und HR-Abteilungen, die nicht mehr in der Lage sind, Leute selbst zu rekrutieren, sondern sich von Beratungsfirmen einfach irgendwen als IT-Sicherheitsheini andrehen lassen. Und dann am besten alles in die Cloud auslagern.

Denn nach Auffassung der meisten Chefs und CEOs besteht die Aufgabe der IT-Sicherheit keineswegs darin, Angreifer abzuwehren, sondern

  • da zu sein, damit man sagen kann, man habe eine IT-Sicherheit
  • nicht zu stören, nicht im Weg zu stehen, niemanden zu behindern und möglichst wenig zu kosten
  • alle Unterlagen zu produzieren und jederzeit bereit zu halten, die man braucht, um dann, wenn etwas schief geht, gegenüber Behörden und Aktionären zu belegen, dass der CEO seine Pflichten erfüllt habe und wirklich gar nichts dafür kann, ergänzend auch die Etagen darunter,
  • die Köpfe zu liefern, die als Bauernopfer rollen, wenn Konsequenzen gefordert werden.

Ich habe Frauen erlebt, denen man hochwichtige Sicherheitsaufgaben übertragen hat, und die nicht einmal über Grundkenntnisse verfügten. Ich habe eine erlebt, die Anonymisierung und Authentifikation nicht voneinander unterscheiden konnte, die Protokolle baute, die noch schlechter waren als wenn man gar kein Protokoll verwendete, weil ohne Vorteil, aber mit zusätzlichen Betrugsmöglichkeiten, und die der Meinung war, dass sichere Passworte möglichst kurz sein müssen, damit man sie sich merken kann und nicht unter die Tastatur schreiben muss – und dafür mit Auszeichnung promoviert wurde. Ich habe einen erlebt, der nicht einmal Primzahlen fehlerfrei definieren konnte und dafür dann Professor für IT-Sicherheit wurde.

Ich habe IT-Sicherheitsprofessorinnen erlebt, die so wenig Ahnung hatten, dass sie nicht einmal wussten, was in ihren „eigenen“ Büchern steht, die sich nicht zu Kryptographie oder auch einfach zu gar nichts äußern konnten, von denen eine sagte, dass sie das Thema, für das sie Professorin ist, mangels Kunde nicht abprüfen kann, und so wenig Ahnung hatte, dass sie ihre eigenen Vorlesungen von einem externen Dienstleister für sich halten ließ.

Ich habe einen Professor für IT-Sicherheit erlebt, der als Gutachter vor Gericht auftrat und dabei eine Blockchiffre nicht von einer Betriebsart unterscheiden konnte und seine eigenen Vorlesungsfolien nicht erklären konnte – weil jemand anderes sie für ihn geschrieben hatte, und er sie vorlas, ohne sie selbst zu verstehen.

Und ich war selbst bei einem Professor, der kein Informatiker war, und keine Ausbildung in IT-Sicherheit hatte, der sogar nur als Professor für „Mensch-Maschine-Schnittstellen“ eingestellt worden war, und der einfach dadurch zum Kryptologen wurde, indem er einfach behauptete, einer zu sein, und als großspuriger Blender auftrat.

Die IT-Sicherheit wurde in Deutschland systematisch ausgehebelt und zerstört oder verhindert. Man hat sie nur pro forma, damit man Posten und Quotenfrauen mit hohen Einkommen hat.

Faktisch besteht die IT-Sicherheit in Deutschland im wesentlichen daraus, zahlender Kunde von anderen zu sein: Produkthersteller, Dienstleiser, Berater, Cloud-Anbieter.

Nun brennt das gerade fürchterlich an.

Seit Jahren werden wir attackiert, und Gerichte, Universitäten, Behörden, Landkreise brauchen Monate oder Jahre, um ihren IT-Misthaufen wieder hochzukriegen.

Das hat man ungefähr die letzten 25 Jahre so getrieben und die IT-Sicherheit nach dem Prinzip betrieben, dass ja auch nicht viel passiert sei.

Nun ist seit etwa einem Jahr Claudia Plattner BSI-Chefin. Über die hatte ich vor knapp einem Jahr schon etwas geschrieben, hier und hier.

Gestern abend eröffneten die Tagesthemen mit dem Thema der Angriffe auf die SPD.

Moderatorin Jessy Wellmer stellte zwar laienhaft, eben aus der Laiensphäre, dazu Fragen, die gar nicht so schlecht sind. Nämlich was man tun könne und müsse. Das ist ja der springende Punkt.

Plattner schwafelt so leer und unkonkret in Allgemeinplätzen daher, dass es selbst Jessy Wellmer auffällt, dass Plattner nichts zu sagen weiß.

Und dann kommt sie damit daher, dass sie mit Polizei und Verfassungsschutz in Kontakt stünden. Also ob die etwas mit IT-Sicherheit zu tun hätten. IT-Sicherheit ist das, was die Justiz nicht durchsetzen kann. Aufgabe des BSI. Es scheint, als wüsste Plattner gar nicht, was „IT-Sicherheit“ eigentlich ist. Und würde sich auf die typische Frauenmasche hinausreden, alle Verantwortlichkeit auf irgendwelche Männer abzuwälzen.

Und dann so allgemeine Allerweltsratschläge, Backups machen und neueste Versionen einspielen, was man halt immer so sagt, wenn einem gar nichts einfällt, so Allgemeinplätze halt.

Leute, Stopp. Denkt mal nach. Fällt Euch was auf?

Es ging zwar auch schon um Sabotage und Erpressung (ransomware). Aber hier im konkreten Fall ging es um Spionage, den Zugriff auf die Mailkonten der SPD.

Was helfen Backups gegen Spionage? – Genau. Gar nichts.

Die weiß gar nicht, wovon sie da redet. Und Wellmer merkt’s auch nicht.

Da unterhalten sich zwei, die beide nicht wissen, wovon sie reden, von der IT-Sicherheit. Das ist der Stand von Deutschland. Quality is a myth. Wobei ich Wellmer jetzt keinen Vorwurf draus machen würde, das erwarte und verlange ich von einer Nachrichtenmoderatorin auch überhaupt nicht. Aber besser wird es dadurch eben auch nicht, und wenigstens hat sie schon grundsätzlich die richtigen Fragen gestellt und auch gemerkt, dass Plattner gerade nur leer schwafelt.

Das Geschwätz der Tagesthemen

Was man aber tun sollte, wäre, solche Interviews dem ÖRR und den Tagesthemen im Besondern um die Ohren zu hauen.

Denn in den 2000er Jahren habe ich versucht, Presse und Rundfunk auf das Problem der Korruption, Inkompetenz und Untätigkeit in der IT-Sicherheit hinzuweisen und bin auf komplett taube Ohren gestoßen.

Und seit mindestens rund 10 Jahren donnern Tagesschau und Tagesthemen im Dauerfeuer von der Frauenförderung, dass überall Frauenquote herrschen und gleichbezahlte kompetenzlose Quereinsteigerinnen sitzen müssen, Gender Pay Gap und so. Wisst schon.

Und jetzt ist Krieg und Angriff und wir stehen da und gucken blöd, weil die Russen nach Belieben auf die Mailboxen zugreifen, Bundeswehrvideokonferenzen abhören, und die frauenquote Tante vom BSI leeres Zeug daherschwafelt.

Jetzt, nach 25 Jahren öffentlich-rechtlicher Zentralverblödung und Propagandafunk der dummen Sorte kommen sie und machen auf Journalismus, indem sie fragen, was man dagegen tun könnte, dass es genau so ist, wie sie es gemacht haben.

Eigentlich müsste man denen sagen, dass wir jetzt IT-Armageddon haben, weil wir die letzten 30 Jahre völlig verpennt und IT-Sicherheit als nur eines von vielen Themen angesehen haben, die nur dazu da sind, Quotenfrauen Karriere zu bieten und Taschen zu füllen.

Und jetzt ist die IT-Kacke am Dampfen und man hat eine BSI-Chefin im Interview sitzen, der einfach gar nichts einfällt als die Polizei zu rufen und Backups zu empfehlen. Und die Tagesthemen gucken blöd dazu. Und es ist keiner da, der den Tagesthemen mal im Interview hart antwortet, worüber sie sich eigentlich beschweren, das sei doch genau das, was sie selbst wollten und forderten, gleichbezahlte Quotenfrauen, enttechnisierte Informatik und Sozialthemen.

Geliefert wie bestellt.

Quality is a myth.

Und das wird sicher lustig.