Kategorie-Archiv: Infowar

Neues zu Trusted Computing

Es kommt eigentlich nicht oft vor, dass man mit einer bestimmten Meinung eine Recherche beginnt und dann mit einer ganz anderen Meinung die Recherche beendet. Jüngst ist mir das beim Thema „Trusted Computing“ so gegangen. Der Beitrag ist jetzt in der aktuellen c’t unter dem Titel „Digitaler Souveränitätsverlust“ erschienen.

Am Anfang stand die Frage: Was ist eigentlich aus dem kernigen „Trusted Computing“-Papier der Bundesregierung aus dem Jahre 2012 geworden? Am Ende musste ich die Frage ernüchtert mit „Nicht viel!“ beantworten. Während ich am Anfang vor allem Microsoft misstraute, war am Ende, nach mehreren Monaten Recherche, zahllosen Hintergrundgesprächen und etlichen zurückgenommenen Aussagen eher mein Vertrauen in die Bundesregierung erschüttert.

Dass wenig bis nichts aus dem Papier umgesetzt wurde, ist einerseits nicht überraschend, weil letztlich wirtschaftliche Interessen die Hardware- und Software-Entwicklung bestimmen. Andererseits aber wiederum doch, weil die Bundesregierung durchaus ein paar Handlungsoptionen hat, die sie aber nicht nutzt.

Um diese Optionen geht es in dem Beitrag. Außerdem erklärt er, warum das Papier keineswegs heiße Luft ist. Und schließlich geht es darum, wie wir „mit kompromittierten Systemen leben lernen müssen“, wie der Passauer Sicherheitsexperte Joachim Posegga so schön formulierte.

 

Alarm im Amt

Hacker spähen Firmengeheimnisse aus – oder legen mit gigantischen Datenmengen selbst Regierungsserver lahm
Seitdem das Internet den Kinderschuhen entwachsen ist, geht das Gespenst von der „Cyberkriminalität“ um. Die Angst vor Super-Hackern, die binnen 48 Stunden ganze Länder lahm legen können, gehört zu den Gründungslegenden des „Cyberwar“. Angriffe auf kritische Infrastrukturen wie Stromerzeuger, Verkehrsinfrastrukturen oder das Gesundheitswesen könnten das Leben vieler Menschen gefährden.

Seit Jahren reden Experten von „gigantischen Dunkelziffern“. Hierfür gibt es mehrere Gründe: Schadprogramme wirken unbemerkt auf den Rechnern ihrer Opfer. Ihnen fehlt oftmals die Expertise, um überhaupt zu bemerken, dass etwas mit ihrem Rechner nicht stimmt. Außerdem gibt es weder auf Bundes-, noch auf EU-Ebene Behörden, die einschlägige Daten bei Unternehmen und Behörden sammeln und Statistiken erstellen. Schließlich werden Erkenntnisse, soweit es sie denn gibt, von Behörden, aber auch von Unternehmen zurückgehalten. Sicherheit durch Verschweigen – nennen Sicherheitsexperten diese Strategie.

Bis vor wenigen Jahren drehte sich die Diskussion vor allem um die Gefahr, dass Terroristen kritische Infrastrukturen gezielt attackieren könnten. Tatsächlich sind es jedoch Staaten, die in diesem Gebiet auffällig wurden. Das bekannteste Beispiel ist die mutmaßliche Erfolgsstory der chinesischen Trojaner. So genannte Trojanische Pferde erlauschen Passwörter oder ermöglichen die komplette Fernsteuerung des gegnerischen PCs. Noch schlimmer: Die einmal gekaperten Rechner können zu Netzwerken zusammengeschaltet werden, die dann mit geballter Rechenkraft Websites von Unternehmen und Behörden mit einer Masse von Anfragen lahm legen können. Beliebt ist diese Methode vor allem bei Erpressern: Sie melden Unternehmen eine Attacke und bieten gegen großzügige „Entschädigung“ einen Angriffsverzicht an.

Trojaner im Anmarsch

Im Frühjahr 2007 drang erstmals ein chinesischer Trojaner per E-Mail bis ins Bundeskanzleramt vor. Wochenlang herrschte dort Alarm. Wo waren weitere E-Mails aufgetaucht? Waren wertvolle Informationen bereits abgeflossen? Experten des Bundesamts für Sicherheit in der Informationstechnik (BSI) prüften das Netz auf Herz und Nieren. Ergebnisse der Aktion sind bis heute der Öffentlichkeit nicht bekannt. Allein die Tatsache, dass es den chinesischen Trojaner gab, verdankt die Öffentlichkeit dem „Spiegel“, der sie in seiner Titelgeschichte über China erwähnte. Während der Aktion selbst hatte das BSI vom Bundesinnenministerium einen Maulkorb verhängt bekommen.

Dabei wäre auch eine offenere Informationspolitik möglich gewesen: Die Tageszeitung „The Guardian“ hatte zwei Jahre zuvor ausführlich über Angriffe auf britische Parlamentsabgeordnete berichtet, die Sicherheitsexperten nach China zurückverfolgen konnten. Jede E-Mail enthielt einen Anhang, der – einmal geöffnet – versuchte, aus dem Internet Spionagesoftware nachzuladen. Diese durchsuchte dann das Intranet nach wertvollen Dokumenten, die den Hackern automatisch zugesandt werden sollten. Allerdings wurde die Attacke durch das IT-Sicherheitssystem des Parlaments rechtzeitig aufgedeckt.

Eine Untersuchung der britischen Sicherheitsbehörde NISCC (National Infrastructure Security Co-ordination Centres) stellte fest, dass es sich angesichts des komplizierten Angriffszenarios nicht um normale Hacker handeln konnte. US- Sicherheitsexperten, die ähnliche Attacken auf militärische Einrichtungen untersucht hatten, verorteten die Hacker in der südchinesischen Provinz Guangdong. Experten vermuten, dass die Hacker mit Duldung der chinesischen Behörden ans Werk gingen, um westliche Technologie auszuspähen.

Entsprechende Anfragen beim BSI liefen damals ins Leere. Bekannt sei so etwas in deutschen Regierungsnetzen nicht, hieß es. Von einem unabhängigen Sicherheitsexperten war jedoch zu erfahren, dass genau solche E-Mails in den Bundesbehörden sehr wohl bekannt seien. Sie kämen aber nicht nur aus China, sondern auch aus Israel und Frankreich. Weitere Details oder gar Beweise: Keine. Nur Hörensagen. Der Sicherheitsexperte, der unter anderem auch das BSI berät, will sich aus naheliegenden Gründen namentlich nicht zitieren lassen.

Spionage – das ist ein Thema für die Verfassungsschutzbehörden. Im jüngsten Bericht des Bundesverfassungsschutzes heißt es zum Thema Wirtschaftsspionage: „Die aktuell gefährlichste Bedrohung stellen internetgebundene Angriffe auf Netzwerke und Computersysteme deutscher Wirtschaftsunternehmen und auch Regierungsstellen dar.“ Dabei wiesen Recherchen auf einen staatlichen Ursprung dieser Attacken hin: Dafür sprächen die „Ziele der elektronischen Angriffe, deren Intensität, Struktur und Breite“.

Die Verfassungsschutzbehörden halten sich bei den befreundeten Staaten allerdings bedeckt. Clemens Homoth-Kuhs, Sprecher des baden-württembergischen Landesamts für Verfassungsschutz, sagt: „Wir erwähnen keine Angriffe aus befreundeten Staaten in unserer aktiven Öffentlichkeitsarbeit.“ Ross und Reiter nennen Verfassungsschützer nur im Fall von China: Die meisten der derzeit entdeckten Angriffe haben demnach ihren Ursprung dort.

Es gibt Hinweise, dass auch Russland elektronische Ausspähversuche unternimmt. Der Bericht des Bundesverfassungsschutzes erwähnt, dass die Nachrichten- und Sicherheitsdienste der Russischen Föderation den gesetzlichen Auftrag haben, „die russische Wirtschaft aktiv zu unterstützen“. Die Aufklärung wirtschaftlicher Informationen gehört aber auch zum Aufgabenspektrum etlicher „befreundeter“ Nachrichtendienste. Der französische Geheimdienstchef Pierre Morrion etwa erklärte einmal: „In der Wirtschaft werden wir immer Konkurrenten bleiben!“ Und der ehemalige CIA-Chef James Woolsey sagte den Deutschen: „Natürlich spionieren wir euch aus, weil ihr dauernd bestecht und wir nie.“ Seit dem Siemens-Skandal ist auch bekannt, auf wen Woolsey damals anspielte.

Dass auch Russland technisch zu elektronischen Angriffen auf fremde Computernetze in der Lage ist, lassen Cyber-Angriffe auf estnische Behörden vermuten, die bis heute nicht restlos aufgeklärt werden konnten: Im März 2007 legte eine groß angelegte Distributed-Denial-of-Service-Attacke über mehrere Wochen die IT-Infrastruktur Estlands weitgehend lahm. Die estnische Regierung beschuldigte aufgrund andauernder politischer Auseinandersetzungen um die Verlegung eines russischen Soldatendenkmals die Regierung in Moskau als Auftraggeber. Tatsächlich wurden die Angriffe über weltweite Bot-Netze gesteuert.

Cyberangriff

Der estnische Verteidigungsminister Jaak Aaviksoo forderte von den EU-Verteidigungsministern damals eine klare Reaktion: Die „umfangreiche Cyberangriffe“ zeigten, dass man sich „ernsthaft mit diesem Thema beschäftigen und die relevanten Informationen austauschen“ müsse. Ein Jahr später richtete die NATO in der estnischen Hauptstadt Tallinn ein „Center of Excellence Cyber Defense“ ein. Dort widmen sich rund 30 Spezialisten der Erforschung und dem Training elektronischer Kriegsführung. Dabei geht es primär um die Abwehr von Angriffen auf Computernetze von NATO-Mitgliedern. Deutschland arbeitet ebenso mit wie Italien, Spanien, die Slowakei, Litauen und Lettland.

Wie verwundbar die Infrastrukturen in Industriestaaten sind, zeigten die Terroranschlägen vom 11. September 2001 in den USA. Als die Zwillingstürme in New York einstürzten, wurden auch Teile der Telekommunikations- und Energieinfrastruktur beschädigt. Im Welthandelszentrum brachen mehrere Internet-Schaltzentralen zusammen, was nicht nur zu Ausfällen in New York City, Connecticut und Massachusetts, sondern auch weltweit führte.

Heute spielt die Harmonisierung der Sicherheitsstandards nationaler kritischer Informations- und Kommunikationsinfrastrukturen im europäischen Binnenmarkt eine zunehmend wichtige Rolle. Die Bundesregierung hat mit dem „Nationalen Plan zum Schutz der Informations-Infrastrukturen“ (NPSI) sowie dem „Krisenreaktionszentrum IT“ im Bundesamt für Sicherheit erste Schritte zum Schutz kritischer Informationsinfrastrukturen eingeleitet.

Gleichwohl wird auch das Konzept der elektronischen Kriegsführung insbesondere von Staaten wie China, aber auch den USA und Frankreich seit Ende der 1990er-Jahre aktiv verfolgt. Bislang kam die elektronische Kriegsführung vor allem für Zwecke der Wirtschaftsspionage zum Einsatz.

Derweil schreiten aber die globale Vernetzung und die Abhängigkeit von Informations- und Kommunikationssystemen schneller voran als die Erfolge bei Bemühungen, die zugrunde liegenden Systeme robust auszugestalten. Die Gefahr kaskadierender Dominoeffekte steigt damit exponentiell an. Deshalb ist es Zeit für eine Debatte – und für mehr Offenheit und Transparenz.

In: Das Parlament. Nr. 46 / 10.11.2008 (seit kurzem nicht mehr online)