Nachrichtendienste als IT-Sicherheitsrisiko - Teil I

marke39 Flattr this

 

Vortrag auf der gemeinsamen Tagung der Landesämter für Verfassungsschutz Baden-Württemberg und Bayern für Sicherheitsbevollmächtigte am 6. April 2011 in Friedrichshafen

 

Teil 1: Journalisten und die Sicherheitslücken

 

Wer über digitale Angriffswaffen in der Wirtschaftsspionage spricht, kommt nicht umhin, über die Sicherheitslücken zu reden, die diesen digitalen Angriffs- und Spionagewaffen zugrunde liegen. Diese Sicherheitslücken sind das eigentliche Problem. Denn die Entwickler von Angriffs-und Spionageprogrammen nutzen Sicherheitslücken in Betriebssystemen, Kommunikationsprotokollen und Anwendungssoftware aus, um in Computersysteme und Unternehmensnetzwerke eindringen und sie ausspionieren zu können.

 

Nur wenn diese Sicherheitslücken veröffentlicht werden, nachdem sie bekannt geworden bzw. erforscht wurden, können sie von Softwareherstellern, Entwicklern von Betriebssystemroutinen und anderen Programmierern geschlossen werden.

 

Microsoft hat nicht umsonst einen eigenen Patch-Day eingeführt, an dem allmonatlich „Softwareflicken“ verteilt werden, mit denen erkannte Sicherheitslücken geschlossen werden können. Das eigentliche Problem besteht also darin, Sicherheitslücken zu erkennen, zu veröffentlichen und zu schließen. Rein statistisch gesehen werden täglich bis zu 250 neue Sicherheitslücken erkannt und teilweise auf Internet-Auktionsplattformen gehandelt.

 

Das Erkennen ist also nicht das Problem! Problematisch ist deren Geheimhaltung. Denn die Veröffentlichung von Sicherheitslücken ist eine der wesentlichen Voraussetzungen, damit diese geschlossen werden können. Und hier haben Nachrichtendienste und Sicherheitsbehörden ein großes Interesse daran, erkannte Sicherheitslücken gerade nicht zu veröffentlichen und zu schließen, weil die Spionage- und Angriffsprogramme, mit denen diese Nachrichtendienste und Sicherheitsbehörden arbeiten, nur solange funktionieren, so lange die entsprechenden Sicherheitslücken offen sind.

 

Deshalb lautet meine Grundthese: Die Nachrichtendienste sind das eigentliche IT-Sicherheitsproblem.

 

Aber lassen Sie mich noch eine Vorbemerkung treffen. Wenn Journalisten über Sicherheitslücken und über den Abfluss von Informationen sprechen, tun sie das meist mit einer äußerst ambivalenten Einstellung. In Sachen Sicherheitslücken sind Journalisten nämlich, zumal wenn sie investigativ arbeiten, fast schon gespaltene Persönlichkeiten.

 

Auf der einen Seite leben wir von Sicherheitslücken, von Informanten, die wir schützen müssen. Wir beziehen unsere Informationen – um das einmal innerhalb des Sprachspiels der Nachrichtendienstler zu formulieren -  von Innentätern, die uns über Skandale und Missstände in Behörden und Unternehmen Material zuspielen.

 

Auf der anderen Seite sind wir daran interessiert, dass Sicherheitslücken in informationstechnischen Systemen geschlossen werden, damit die organisierte Kriminalität eben gerade nicht unsere Konten plündert oder uns ausspioniert.

 

Lassen Sie mich zwei Beispiele nennen. Vor einigen Jahren, es muss im Frühjahr des Jahres 2006 gewesen sein, wurden unserem Büro Unterlagen aus dem Bundesinnenministerium zugespielt, die darauf hinwiesen, dass in einer von Staatssekretär Dr. Hans-Bernhard Beus geleiteten Arbeitsgruppe über die Finanzierung des neuen elektronischen Personalausweis nachgedacht wurde. Es wurden Planspiele angestellt, inwieweit die mit diesem elektronischen Personalausweis erfassten biometrischen Merkmale der Bürger an Privatunternehmen verkauft werden könnten. Damals handelte es sich um den Fingerabdruck, einen Iris-Scan und um das biometrische Gesichtsbild.

 

In dieser Arbeitsgruppe wurde darüber diskutiert, ob der Fingerabdruck an Unternehmen der Sicherheitsbranche verkauft werden könne, der Iris-Scan an Kranken- und Lebensversicherungen. Letztgenanntes habe ich bei unserem ersten Rechercheansatz für schlichte Alchemie gehalten, weil ich nicht nachvollziehen konnte, dass Versicherer an etwas so Exotischem wie einen Iris-Scan interessiert sein könnten.

 

Ich musste mich jedoch eines Besseren belehren lassen. Von einem Iris-Scan kann man unter Umständen zu einem sehr frühen Zeitpunkt beginnende Erkrankungen ableiten, deshalb waren  Unternehmen der Versicherungsbranche an diesen Daten auch durchaus interessiert.

 

Diese Informationen wurden uns von einem Mitarbeiter des Bundesinnenministeriums zugespielt, über eine Sicherheitslücke sind hier also Informationen abgeflossen. Und das hat positive Konsequenzen gehabt. Nachdem unser Beitrag über den geplanten Verkauf biometrischer Merkmale des elektronischen Personalausweises gesendet worden war, war diese aberwitzige Idee nämlich rasch vom Tisch. Ohne diesen Informanten aus dem Bundesinnenministerium hätten wir diese Geschichte nicht recherchieren können.

 

Ob es dann einen Verkauf von biometrischen Daten der Bürger gegeben hätte, darüber will ich in Anwesenheit so vieler Nachrichtendienstler nicht spekulieren. Aber aufgrund meiner skeptischen Einstellung gegenüber Verwaltungen habe ich mir hier schon eine Meinung gebildet.

 

Ein zweiter Fall: Aus dem Rathaus meiner Heimatstadt Remseck am Neckar erreichte mich vor zwei Jahren die anonyme Mail eines Informanten, der darauf hinwies, dass elektronische Briefe eines Rathausmitarbeiters von der Rathausspitze gezielt überwacht würden. Zur – auch gerichtlichen - Aufarbeitung der dann rasch bundesweit bekannt gewordenen Remsecker Mail-Affäre brauchten die Beteiligten, nachdem die Überwachungsmaßnahmen im Detail veröffentlicht wurden, ein ganzes Jahr.

 

Dieser mutige Innentäter hat also erreicht, dass eine ungesetzliche Überwachungsmaßnahme öffentlich gemacht und abgestellt wurde. Ohne die Zulieferung von Informanten, ohne teilweise gezielte Informationsabflüsse können wir Journalisten unserer Arbeit nicht erfolgreich nachgehen. Deshalb schätzen wir Sicherheitslücken. Auf der anderen Seite wollen wir  Sicherheitslücken geschlossen sehen, wie zum Beispiel die in der Ausweis App des elektronischen Personalausweises gefundenen Sicherheitslücken, auf deren Grundlage die virtuelle Identität von Bürgern gestohlen werden könnte.

 

Zugegebenermaßen: eine ambivalente Einstellung. Aber auch das Journalistenleben ist nun einmal nicht frei von Widersprüchen. Ich bekenne mich freimütig dazu. So wenden Journalisten mitunter ähnliche Methoden in der Recherche an, wie sie von Nachrichtendiensten verwendet werden, die an bestimmte Informationen heran wollen. Hier haben wir es tatsächlich mit einer strukturellen Ähnlichkeit zu tun. Auf der anderen Seite sind die Fronten im Arbeitsalltag häufig klar: Journalisten recherchieren Skandale und Missstände in Behörden und Verwaltungen, sie kontrollieren die Regierung und sind deshalb häufig die Antipoden von Nachrichtendiensten und Sicherheitsbehörden.

 

Die Orientierung ist also ganz einfach: Wir Journalisten sind immer auf der guten und hellen Seite des Schreibtisches, die Nachrichtendienste sind eben auf der anderen Seite. Und jetzt bin ich einmal gespannt, ob wir die von mir mitgebrachten Beispiele für den Einsatz digitaler Angriffswaffen und Spionageprogramme wirklich sehr unterschiedlich beurteilen oder ob wir vielleicht sogar zu einer einheitlichen Bewertung kommen können.

 

Wenn ein Ergebnis dieser Tagung dann darin bestünde, dass sich die Vertreter der Nachrichtendienste an die Brust schlagen und beteuern, sie wollten dafür Sorge tragen, dass Sicherheitslücken in Betriebssystemroutinen und Anwendungssoftware demnächst rascher geschlossen würde, dann wäre das ja ein überaus erfreuliches Ergebnis.

 

Weiter zu Teil 2

 

Kommentar schreiben

Kommentare: 3
  • #1

    Gerhard Raith (Dienstag, 26 April 2011 10:25)

    Hallo Herr Welchering,
    woher nehmen Sie Ihren Optimismus, dass die Überwachung abgestellt wurde? Ich habe da ganz andere Anzeichen, die noch verifiziert werden müssen. Vielleicht decken wir ja gemeinsam den zweiten Überwachungsskandal auf!

  • #2

    Fritz (Dienstag, 26 April 2011 13:54)

    Welche Anzeichen haben Sie denn, Herr Rath? Werden Sie mal konkreter?

    Kennen Sie die Rathschen Anzeichen, Herr Welchering?

  • #3

    Peter Piksa (Samstag, 30 April 2011 23:36)

    Zunächst vielen Dank für den Beitrag. Ich finde den Text sehr interessant und werde mir morgen gleich mal den zweiten Teil durchlesen.

    Du sprichst in beiden Beispielen von Menschen, die einen gezielten Informationsabfluss einleiteten und bezeichnest diese Vorgänge als "Sicherheitslücke".

    Ich weiß zwar genau was Du meinst, weigere mich aber innerlich, Menschen, die aus moralischen Beweggründen heraus, unanständigen Vorgängen durch einen gezielten Informationsabfluss ihre Daseinsgrundlage entziehen, als "Sicherheitslücke" anzusehen.

    Bei dem Begriff "Sicherheitslücke" denke ich primär an schlechten Programmcode, der es ermöglicht, unerlaubterweise in ein fremdes System einzugreifen; oder beispielsweise konzeptionelle Unzulänglichkeiten in Arbeitsabläufen, die zur Folge haben, daß beispielsweise im Brandfall die Feuerwehr nicht ausrücken kann. --- Das sind Beispiele, die eines gemein haben: Es gibt ein System und es gibt einen Konzeptionsfehler in diesem System. Das heisst, das sind *von Menschen gemachte* Dinge, die bloß eine Funktion erfüllen sollen.

    Nun, ein anderer Mensch, ist jedoch nicht wie eine Maschine für einen ganz bestimmten Zweck gemacht und kann auch nicht auf bloßes Funktionieren beschränkt werden.

    Wenn ich von Menschen als Sicherheitslücke spreche, setze ich ihn auf die Stufe eines Dings, das einfach gemäß Vorgabe zu funktionieren hat.

    Ich finde das brenzlig. Statt zu sagen "Wir Journalisten leben auch davon, daß es da Sicherheitslücken gibt, die etwas ausplaudern", fände ich es richtig, zu sagen "Wir Journalisten leben auch davon, daß es Menschen mit Hang zum moralischen Handeln gibt".

    Beste Grüße und mach mal weiter mit sowas.
    Ich finde das gut! :3

Was kann ein Comiccast?