WikiLeaks gefährdet die Sicherheit, Klappe die Neunte!

…und Action!  …seriously?!

„Dieser Teil der Leaks könnte auch die deutschen Technologiekonzerne übel treffen. Sie müssen jetzt die Potentiale einschätzen und innerhalb kürzester Zeit hochsolide Sicherheitskonzepte für betroffene Technologiezweige entwickeln. Ein Prozess, der normalerweise Jahre dauern dürfte und für den ohnehin schon wenig Toleranz oder Geld vorhanden ist. Innovationen in den Feldern „Smart Car“ oder „Industrie 4.0“ könnten mit den Leaks um Monate, wenn nicht Jahre zurückgeworfen werden. Das ist nicht zuletzt deshalb so, da die Zulassungsbehörden und Versicherer auf das Material reagieren müssen.“ (FAZ vom 9. März 2017)

Wahnsinn! Welch kognitive Glanzleistung. Da verzichtet eine ganze Industrie auf ausreichende Sicherheitsmaßnahmen in dieser tollen neuen IT-Welt. Hauptsache dieser Fortschritt macht das Leben bequemer! Und die Risiken werden einfach mal unbeachtet unter den Teppich gekehrt. Nachdem nun diese Schwachstellen von Geheimdiensten gesammelt wurden, um damit möglicherweise im Konfliktfall, auch einen ausgedehnten Cyber-Krieg beginnen zu können, und diese Schwachstellen nun durch WikiLeaks veröffentlicht wurden, ist der Aufschrei groß, diese Veröffentlichung gefährde die Sicherheit! Daher nochmal meine Frage: Ernsthaft?

Dass technologische Errungenschaften Lebensbereiche durchaus bequemer gestalten können: ja, das dürfte in vielen Fällen zutreffen. Natürlich kommt es auf die persönlichen Präferenzen an, aber grundsätzlich stimme ich der Aussage zu, dass die Digitalisierung vieles erleichtert. Natürlich hat diese Medaille mehr als eine Seite. Sicherheit ist eine dieser anderen Seiten. Wenn wir von zunehmender Vernetzung sprechen gehen die meisten Menschen davon aus, dass sie selbst es sind, die schneller, einfacher und bequemer auf die jeweiligen Schaltstellen zugreifen können, die ohne eine solche Vernetzung nur mit deutlich höherem Aufwand zu erreichen gewesen wären. Dass es sich bei dieser Vernetzung allerdings nicht nur um eine Einbahnstraße handelt wird dabei gerne ausgeblendet. So wie ich per Smartphone und entsprechender App meiner Waschmaschine vom Büro aus den Befehl geben kann, das Waschprogramm „Pflegeleicht, 30°C“ zu sarten, kann ein Dritter, ein Fremder, mit entsprechendem Sachverstand und Internetanbindung den Befehl abfangen und auf „Kochwäsche, 90°“ abändern. Was in diesem Szenario vielleicht noch harmlos klingt und mich maximal ein paar Funktionsshirts kostet, kann im Bereich der Gesundheitsversorgung (Stichwort: Krankenhäuser) oder Mobilität (Stichwort: Pkw) schnell lebensbedrohlich werden. Es ist wie ein Netz aus Straßen, die einem jeden Teilnehmer den Zugriff auf jeden Endpunkt grundsätzlich ermöglichen. So kann ein technisch versierter Neunjähriger aus Weimar theoretisch, die Lebenserhaltungssysteme einer 92-jährigen Patientin in einem Klinikum in Wellington, Neuseeland, abschalten. Oder nehmen wir einen kanadischen Hacker, der sich Zugang zum PayPal-Account eines brasilianischen Architekten verschafft und shoppen geht. Die Beispiele sind unzählig. All dies ist mit zunehmender Vernetzung möglich. Natürlich kann auch ein Einbrecher in Hamburg in ein Einfamilienhaus einsteigen und es leerräumen oder eine nordkoreanische IT-Zelle einen Agenten in ein Stellwerk der Deutschen Bahn schicken, um manuell zwei entgegenkommende Züge aufeinanderprallen zu lassen. Aber Digitalisierung erleichtert diesen Zugriff. Man braucht nur einen Computer mit Internetanbindung und muss nicht einen Agenten ins Land einschleusen. Auch ist das Entdeckungsrisiko vor Ort deutlich höher. Es ist eben genau dieser Komfort, der nicht nur uns bei der Benutzung einer Smartphone-App immanent ist und die Bedienung einer Waschmaschine erleichtert, sondern eben auch dieser Komfort einer Regierung, eines Kriminellen, eines Konkurrenten oder eines Verrückten, nur per Mausklick mitunter massive Schäden innerhalb einer vernetzten Infrastruktur anzurichten. Und genau diese Risiken wurden bisher meist zur Seite geschoben, da eine ernsthafte Befassung mit diesem Thema Aufwand bedeutet. Dem Thema wird meiner Ansicht nach nur deshalb keine größere Bedeutung beigemessen, weil a) insgesamt (noch) keine flächendeckenden Angriffe erfolgt sind, b) die Befassung mit sicherheitsrelevanten Aspekten die Industrie enorme finanzielle Ressourcen kosten würde und vor allem c) weil es den durch die Implementierung dieser Technologien gewonnenen Komfort in weiten Teilen zunichtemacht. Wer sich schon mal ernsthaft mit dem Versand von Emails unter Verwendung von PGP beschäftigt hat, kann erahnen, was es bedeutet, Sicherheit nicht ganz beiseite zu schieben. Da spielt es dann auch keine Rolle, dass die meisten Menschen von IT soviel Ahnung haben wie vom Aufbau eines Kernkraftwerks (tolles Angriffsziel übrigens im Rahmen dieser Thematik ;-P). Viele wissen nicht einmal, wie ein Toaster prinzipiell funktioniert und wollen es auch nicht wissen. Das lässt Sicherheitslücken aber nicht verschwinden. Früher oder später findet sich jemand, der ein Interesse hat, ein beliebiges IT-System anzugreifen.

„Falls das gesamte Archiv publiziert wird, ist die Sicherheit der betroffenen Systeme auf lange Zeit nicht mehr zu gewährleisten – und das gegen Tausende möglicher Angreifer mit allen möglichen Motiven. Die Welt wäre komplett kompromittiert.“ (FAZ vom 9. März 2017)

Der technologiebasierte Super-GAU würde mangels entsprechender flächendeckender Sicherheitskonzepte in der digitalen Welt ohnehin irgendwann kommen. WikiLeaks dafür zu verteufeln, dass sie ein Archiv mit Sicherheitslücken aus allen Bereichen dieser digitalen Welt und entsprechender Angriffswerkzeuge, das die CIA im Geheimen aufgebaut hat, veröffentlichen, verdreht doch die Fakten. Denn Fakt ist, dass es gravierende Sicherheitslücken in der digitalen Welt gibt, weil entsprechende Gegenmaßnahmen viel Geld kosten und den durch die Digitalisierung gewonnenen Komfort größtenteils zunichtemachen. Das heißt aber nicht, dass nicht jeder beliebige Dritte diese Schwachstellen auch ohne eine solche Veröffentlichung für seine Zwecke ausbeuten kann. Was wäre denn die Alternative?
Wenn WikiLeaks die Dokumente nicht veröffentlicht hätte, würde alle Welt zwar zumindest eine Ahnung davon haben, dass sich US-amerikanische Geheimdienste in diesem Metier betätigen, entsprechende Sicherheitslücken aufspüren und geeignete Angriffsmaßnahmen entwickeln – so wie auch andere Geheimdienste der Welt, die über entsprechende Ressourcen verfügen. Im Prinzip kann aber auch jeder Hacker, der sich nur tief genug eingräbt, Schwachstellen und Angriffspunkte in Software identifizieren. Die Sicherheitslücken bestehen in diesem Szenario aber gerade fort. Es fehlt schlicht der Anreiz, diese Schwachstellen zu schließen.
Eine andere Alternative wäre, dass WikiLeaks sich entweder an die Regierungen oder die Konzerne wendet und die entsprechenden Sicherheitsprobleme adressiert. Mal unabhängig von der Frage, ob dies bei den Massen an Dokumenten überhaupt praktikabel wäre, kostet so eine Sicherheitsüberprüfung Zeit und Geld, also genau das, was die Industrie bisher zu vermeiden suchte. Das Bild des „Verbrauchers als Versuchskaninchen“ erscheint da vor meinem geistigen Auge. Nur bei den gravierendsten Problemen wird nachträglich notdürftig nachgebessert. Letztlich verkennt auch die letztere Option, dass es bei der in der FAZ aufgeworfenen Frage um die grundlegende Problematik der Digitalisierung geht: Sicherheit! Diesem Aspekt sollte im Rahmen der zunehmenden Digitalisierung die größtmögliche Beachtung geschenkt werden. Wenn technische Standards entwickelt würden, die ein Eindringen Dritter auf absehbare Zeit weitgehend ausschließen und eben keine strukturellen Schwachstellen bestehen, dann wäre die Digitalisierung auf einem guten Weg.

Wir sollten WikiLeaks mithin dankbar für die Veröffentlichung sein, weil sie in der Tat aller Welt Tür und Tor für Angriffe auf die digitale und damit unsere reale Welt ermöglichen, die durch die Digitalisierung immer näher zusammenwächst, wodurch Angriffe in dieser Form überhaupt erst ermöglicht werden. Dank dieser Veröffentlichung können wir nicht mehr die Augen vor der Tatsache verschließen, dass enormer Handlungsbedarf besteht. Es sollte Prämien für Individuen und Institutionen geben, die Sicherheitslücken aufdecken und Verbote von Produkten, die solche Sicherheitslücken aufweisen. Es muss nicht jedes Jahr ein neues Handy sein, Hauptsache die Verschlüsselung stimmt, auch wenn das die Entwicklungs- und Prüfzyklen deutlich verlängert!
Abschließend noch folgender Gedanke: Sicherheit hat im Rahmen der Digitalisierung bisher einer nur untergeordnete Bedeutung gespielt. Wenn finanzieller Aufwand und Bequemlichkeit einer entsprechenden Nachrüstung in Sachen Sicherheit im Wege stehen, ist der Super-GAU unvermeidlich. Dann doch besser früher als später, um nicht noch eine viel größere Katastrophe hinzunehmen, wenn jegliche Lebensbereiche Teil der digitalen Welt geworden sind. Zu denken ist nur an einen Eingriff in das hochsensible europäische Stromnetz, lebenserhaltende Systeme in Krankenhäusern und nicht zuletzt das Finanzsystem, welches ja ohnehin nicht sonderlich stabil zu sein scheint. Schließlich sollten unsere Regierungen auch aus geopolitischer Sicht das Thema ernst nehmen, denn anders als von Albert Einstein prognostiziert, könnten wir bereits im Dritten Weltkrieg nur noch mit Pfeil und Bogen in der Hand dastehen, weil jedes unserer Waffensysteme dummerweise vom Feind gehackt wurde.

Die Augen zu verschließen und weiter sorglos zu digitalisieren wäre fatal. Wenn jemand unsere Sicherheit gefährdet, sind es profitorientierte Konzerne und zahnlose Gesetzgeber. WikiLeaks hat lediglich den Finger in die Wunde gelegt und damit eine überfällige Grundsatzdebatte angestoßen…

Advertisements

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s