Piratenpartei Deutschland

Schlagwort: WannaCry

  • Cyber-Feuerwehr: Ein Realitätsabgleich

    Cyber-Feuerwehr: Ein Realitätsabgleich

    Es ist Wahlkampf und Sommerloch! Die Zeit für markige Sprüche, wilde Ideen, blinden Aktionismus, haarsträubende Vergleiche und einfach klingende Lösungen für komplexe Probleme. Thomas de Maizière (CDU), der sich als Bundesinnenminister auch schon mal eine Statistik einfach ausdenkt statt sich an Fakten zu orientieren, hat nun die Einrichtung einer Art ehrenamtlicher „Cyber-Feuerwehr“ angeregt.

    Beim Begriff „Cyber“ bekommen viele IT-Sicherheits Experten bereits eine Gänsehaut. Spätestens bei der Vorstellung, „junge Menschen […], die man nicht mehr für die klassische Feuerwehr gewinnen könne“ im Falle eines IT-Sicherheitsvorfalls auch nur in die Nähe ihrer IT zu lassen, müssen sich jedem professionellen Administrator die Nackenhaare sträuben. Die Reihe an möglichen Verletzungen der Sorgfaltspflichten im Rahmen der Datenschutzgrundverordnung (und der daraus resultierenden Haftung!) möchte ich mir hier nicht ausmalen.

    IT-Sicherheit ist kein Kinderspielplatz

    Umso mehr gilt dies in professionellen IT-Umgebungen und kritischen Infrastrukturen. IT-Sicherheit ist ein komplexes Feld für Experten, kein Kinderspielplatz. Gerne werden bei diesem Thema auch in die Tausende gehende Zahlen von wöchentlichen Angriffen auf Bundeswehr oder einzelne deutsche DAX Unternehmen genannt. Bei näherer Betrachtung sind diese Zahlen jedoch irrelevant, weil der überwältigende Teil solcher Angriffe nicht individuell sondern mit IT-Technologie selbst abgewehrt wird.

    Natürlich gibt es Bedrohungen und immer wieder verschaffen spektakuläre Fälle wie WannaCry dem Thema öffentliche Aufmerksamkeit. Wer mit der Materie vertraut ist, bemerkt jedoch schnell, wie fachfremd und erschreckend naiv Politiker in Talkshows mit dem Thema umgehen: Dem Bundesinnenminister untersteht das Bundesamt für Sicherheit in der Informationstechnik (BSI). Statt von „Cyber-Feuerwehr“ sprechen Experten dort von Computer Emergency Response Teams (CERT). Das BSI unterhält seit 2001 ein eigenes CERT. Mit dem „Bürger-CERT“ wendet sich das BSI auch für technische Laien verständlich bereits seit über 10 Jahren an interessierte Bürger und kleine Unternehmen. Große Unternehmen wie IBM, Siemens, oder die Deutsche Telekom haben schon längst eigene Teams. Diese sind das Gegenteil einer „ehrenamtlicher Cyber-Feuerwehr“: Für die Aufgabe werden hoch spezialisierte IT Sicherheitsfachleute eingesetzt.

    Mehr Aufklärung – auch für Bundesinnenminister!

    Es ist wichtig, dass durch Aufklärung ein größeres Bewusstsein für die Risiken beim Einsatz von IT-Systemen geschaffen werden muss. Dies gilt für jeden Einzelnen, besonders für den Bundesinnenminister. „Mehr Bildung“ ist schon immer eine zentrale Forderung der Piratenpartei gewesen. Ein Pflichtfach Informatik könnte einen Anfang machen, um zumindest die heranwachsende Generation besser auf die Digitalisierung vorzubereiten. Damit würde das Bewusstsein für die vielfältigen Herausforderungen direkt gefördert. Die Bereiche sind vielfältig: Es fängt bei der täglichen Benutzung des Smartphones an und reicht bis zum Einsatz veralteter, risikobehafteter oder ungewarteter Software in hochkritischen Systemen.

    Erschreckenderweise fehlt dieses Bewusstsein sogar auf mit Nuklearwaffen bestückten U-Booten in Großbritannien. Die Probleme sind tatsächlich deutlich vielschichtiger und tiefergehender, als es unsere Bundesregierung, die verzweifelt mit dem „Cyber“-Begriff um sich wirft, öffentlich zugeben möchte. Bezwecken die Forderungen, fachpolitische Kompetenz zu suggerieren, gleichzeitig schrittweise die Datensicherheit in die Hände einer „zentralen staatlichen IT“ hin zu verschieben? Hacking als Service, Staatstrojaner inklusive? Das Prägen von Phantasiebegriffen und Aktionismus sind einer sinnvollen Debatte abträglich. Woran es mangelt ist ein umfassender IT-Sicherheitsplan und die direkte Zusammenarbeit zwischen IT-Sicherheitswirtschaft, dem Handwerk und der Politik.

    Es braucht offensichtlich frischen Wind in der Politik, der auch endlich IT-technisches Know-How direkt in die Entscheidungsetagen weht. Sonst bleibt uns nur, das Ganze mit Humor, eher wohl Galgenhumor, zu ertragen.

    33c3: Security Nightmares 0x11 mit Frank und Ron

    Was hat sich im letzten Jahr im Bereich IT-Sicherheit getan? Welche neuen Entwicklungen haben sich ergeben? Welche neuen Buzzwords und Trends waren zu sehen?

  • CyberSecurity – Wenn der Staat lieber spioniert, statt zu schützen

    CyberSecurity – Wenn der Staat lieber spioniert, statt zu schützen

    Mirai, WannaCry, Petya, NotPetya, das sind nur die prominentesten Angriffe in letzter Zeit. Was mal mit relativ harmlosen Viren, Würmern und Trojanern anfing, die zunächst als Scherz, dann als echte Schädlinge unterwegs waren, hat nunmehr eine neue Qualität erreicht. Mittlerweile sind ganze Infrastrukturen zum Ziel dieser Angriffe geworden.

    Unsere heutige Welt wird von einem riesigen, globalen Computernetz gesteuert. Und das ist viel leichter angreifbar, als es sich bisher die meisten Leute vorgestellt haben. Sicherheitslücken sind durch Fehler in komplexer Software praktisch überall vorhanden. Einige davon lassen sich ausnutzen, um Schadcode in ein Zielsystem zu schleusen. Dadurch ergibt sich ein Wettlauf zwischen den Systemherstellern, die Fehler beheben und Lücken schließen, und den Erstellern von Schadsoftware, die diese Lücken suchen.

    Wannacry hätte endgültiger Weckruf sein müssen

    Dieser Wettlauf wird durch die derzeitige Politik nicht nur zugunsten der Angreifer verzerrt, der Staat selbst bringt sich mit dem Staatstrojaner als potentieller Angreifer in Position. Wannacry hätte der endgültige Weckruf sein müssen. Dieser Schädling nutzte eine Sicherheitslücke in dem Betriebsystem Windows aus, die der NSA seit Jahren bekannt war und die diese zur Spionage nutzte, anstatt Microsoft über das Problem zu informieren. Dummerweise hat die NSA selbst die eine oder andere Sicherheitslücke. Das Herrschaftswissen der NSA gelangte in die Hände von Kriminellen, die dadurch in die Lage versetzt wurden, Wannacry zu programmieren.

    Petya bzw. NotPetya nutzen im Übrigen die gleiche Lücke, sind aber deutlich aggressiver als WannaCry. Die Frage ist jetzt, was noch passieren muss, bis die verantwortlichen Politiker endlich Maßnahmen ergreifen, die der Eindämmung des Problems dienen. Im Moment scheint eher das Gegenteil der Fall zu sein.

    Stattdessen kommt der „Staatstrojaner“

    Am 22. Juni beschloss der Bundestag, dass ein „Staatstrojaner“ in Zukunft auch für Ermittlungen in minderschweren Verbrechen eingesetzt werden darf. Alleine die Art und Weise, wie der entsprechende Gesetzestext in der letzten Lesung an ein eigentlich anders geartetes Gesetz angehängt wurde, sollte für einen lebenslangen Rauswurf der dafür Verantwortlichen aus jeglichem politischen Amt führen.

    Es werden nicht nur alle rechtsstaatlichen Prinzipien damit mit Füßen getreten (die Verfahrensweise kommt einer heimlichen Durchsuchung ohne Zeugen gleich), damit werden auch die Grundlagen dafür gelegt, dass deutsche Behörden Sicherheitslücken in Computersystemen pflegen, statt sie zu stopfen. Neben Grundrechtsbrüchen schafft die GroKo damit eine solide Basis für Angriffe auf unsere gesamte IT-Infrastruktur.

    Unkalkulierbare Risiken für vermeintliche Sicherheit

    Sicherheitslücken, die der Staatstrojaner nutzt, können naturgemäß nicht dem betroffenen Softwarehersteller gemeldet werden. Entsprechend kann die Information darüber, wie bei der NSA geschehen, gestohlen werden oder die Lücken werden von anderen Personen ebenfalls gefunden. In jedem Fall bleiben vermeidbare und weitgehend unkalkulierbare Risiken im Austausch für eine vermeintliche Sicherheit mit deutlicher Tendenz zum Überwachungsstaat.

    Wenn die wild herumlaufenden „Sicherheitspolitiker“ nicht bald begreifen, dass uns ihre Schnüffelwut und Kontrollmanie einer sehr viel größeren Gefahr aussetzt, werden wir wohl bald „in interessanten Zeiten“ leben.

    Die bisherigen Fälle waren nur ein Vorgeschmack darauf, was noch kommen kann. Wannacry hat in Großbritannien Krankenhäuser lahm gelegt und so notwendige Behandlungen von Patienten verzögert. Es gibt viele Sicherheitslücken und immer mehr Systeme, die an irgendwelchen Stellen Schaden verursachen können, wenn sie gekapert werden.

    Der Fokus muss darauf liegen, wie wir diese Systeme absichern können und nicht darauf, wie Herr de Maizère seine Wahnvorstellung, alles kontrollieren zu wollen, am effektivsten umsetzt. Wenn z.B. das Stromnetz ausfällt, weil eine Sicherheitslücke benötigt wurde, um mutmaßliche Terrorverdächtige zu verfolgen, wo ist dann unser „Supergrundrecht Sicherheit“?

  • Staatstrojaner: Bundesregierung will Deutschland ausspähen

    Staatstrojaner: Bundesregierung will Deutschland ausspähen

    Die große Koalition aus CDU/CSU und SPD im Deutschen Bundestag hat sich trotz umfassender verfassungsrechtlicher Bedenken von Experten dazu entschlossen, die Lizenzen für die Quellen-Telekommunikationsüberwachung und heimliche Online-Durchsuchungen zur Strafverfolgung massiv auszuweiten. Das Strafverfahren, mit dem Staatstrojaner ein gängiges Instrument zur Verfolgung alltäglicher Kriminalität werden können, soll angeblich „effektiver und praxistauglicher“ werden. Die Piratenpartei Deutschland lehnt den Vorstoß der Bundesregierung entschieden ab.

    „Er ist grundgesetzwidrig. Das haben zahlreiche Experten bereits in den Beratungen deutlich gemacht. Das Gesetz betrifft die Verfolgung, nicht die Verhinderung von Straftaten und missachtet Vorgaben des Bundesverfassungsgerichts.“Anja Hirschel

    ‚WannaCry“ könnte zur Regel werden

    Selbst das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt, Softwarelücken sofort zu schließen, statt sie staatlich nutzbar zu machen. „Das Vertrauen in staatliche Software leidet generell am Vorstoß von Bundesjustizminister Heiko Maas. Wer sich überwacht fühlt, verliert auch das Vertrauen in die Steuersoftware Elster oder die Sicherheit der eigenen Daten beim Personalausweis oder der Gesundheitskarte“, so Hirschel weiter. Zudem sehen PIRATEN die Gefahr, dass Geheimnisträger wie etwa Rechtsanwälte oder Journalisten in den Fokus der Überwachung geraten, da sie und ihre Kontakte hoch interessant sind.

    „Die Kommunikation kann lückenlos überwacht werden. Und jene Lücken, die der Bundestrojaner ausnutzt oder selbst aufmacht, können von anderen ebenfalls ausgenutzt werden. Ich erinnere nur an ‚WannaCry‘. Wer für Sicherheit sorgen will, darf nicht selbst Sicherheitslücken ankaufen und geheimhalten.“Anja Hirschel

    Der Kernbereich privater Lebensgestaltung lasse sich zudem künftig nicht wirklich von der Überwachung ausblenden. PIRATEN setzen sich deshalb für ein gesetzlich geregeltes Verbot von der Beschaffung von Daten per Quellen-TKÜ durch Polizeibehörden ein.

    Bürgerliche Grundrechte stärken, nicht Totalüberwachung!

    Für PIRATEN sind verdeckte Eingriffe in informationstechnische Systeme durch Behörden nicht mit Grundrechten und Rechtsstaat vereinbar. „Wir setzen uns daher für die Abschaffung der Befugnisse für staatliche Behörden zum Verwanzen solcher Systeme ein. Wenn wir für die Abschaffung und Verhinderung solcher Eingriffe keine ausreichende parlamentarische Mehrheit finden, werden wir uns bei der gesetzlichen Umsetzung eines solchen Grundrechteeingriffs zusätzlich zu den Vorgaben des Bundesverfassungsgerichts dafür einsetzen, diesen erheblichen Eingriff in bürgerliche Grundrechte streng zu reglementieren und zu kontrollieren“, zitiert Hirschel das Bundestagswahlprogramm der Partei.

    Weitere Informationen und die umfangreiche Position der Piratenpartei Deutschland zu Staatstrojanern finden sich im Wahlprogramm für die Bundestagswahl.

    Dazu passende Artikel
    Schwäbische: Grüne stimmen Anti-Terror-Paket mit Abstrichen zu – CDU fordert Nachbesserungen

  • Überwachungswahn wird zum größten Sicherheitsrisiko

    Überwachungswahn wird zum größten Sicherheitsrisiko

    Am einfachsten lässt sich der Irrsinn dieser ganzen Sache anhand eines Zitats des sächsischen Innenministers Markus Ulbig verdeutlichen, der wörtlich sagte: „Befugnislücken sind Sicherheitslücken„. In diesem kurzen Satz steckt eigentlich alles ‚drin, was den Sicherheitsfanatikern in unserem Land so vorschwebt und was wir Piraten genau NICHT wollen. Ulbig spricht von „Befugnissen“ für „die Guten“ (also die Behörden), meint damit allerdings die Implementierung von Hintertüren in Software und kryptografischen Algorithmen, die auch von „den Bösen“ genutzt werden können. Damit war schon die NSA sehr erfolgreich – WannaCry lässt grüßen.

    Diese Hintertüren für die Behörden, das steht ohne Zweifel fest, sind wahrhaftige Sicherheitslücken. Das ist keineswegs eine neue Erkenntnis, leider aber eine, die von unseren Innenministern seit Jahren konsequent ignoriert wird. Um das auszuführen, ein kurzer Abstecher in die technische Seite des Ganzen: wie sieht eigentlich so eine garantierte staatliche Zugriffsmöglichkeit aus?

    Im ersten Schritt braucht man entweder eine Art Zweitschlüssel (zumeist ein Universalschlüssel) für die Verschlüsselung oder man schwächt die Verschlüsselung gezielt so, dass sie grundsätzlich leicht zu knacken ist, wenn man das Verschlüsselungsverfahren kennt. Das Schwächen der Verschlüsselung ist am besten mit einem Tresor zu vergleichen, der eine Ecke hat, an der man ihn mit einem gut gezielten Hammerschlag aufbrechen kann, während er ansonsten durchaus auch mehreren Stangen Dynamit standhalten würde.
    Und genau wie bei diesem Tresor ist es vollkommen unmöglich, eine solche Schwachstelle auf Dauer geheim zu halten.

    Der Universalschlüssel erklärt sich fast von selbst – wichtig ist hierbei vor allem, dass es nur eine Frage der Zeit ist, bis der Schlüssel nicht mehr nur gegen jeden funktioniert, sondern auch für jeden verfügbar ist. Damit ist die Verschlüsselung dann so nützlich wie eine Haustüre, deren Schlüssel in der ganzen Stadt verteilt sind. Alternativ kann man eine Möglichkeit, die Daten durch eine „geheime Hintertür“ in der Software direkt aus dem Client abzugreifen, implementieren.

    Eine gezielt implementierte Hintertür ist jedoch in mehrfacher Hinsicht noch schlimmer, denn:
    Wenn das Gesetz ein Schlupfloch für Behörden vorschreibt, weiss ein Verbrecher wonach er suchen muss. Da es sich hierbei nicht um einen zufälligen Makel irgendwo im Code handelt, den selbst die Kenner der Materie nur mit Mühen aufspüren können, sondern um eine komfortable, für Menschen gemachte Schnittstelle, hält sich der Aufwand für das Beschaffen einer Eintrittskarte für diese Schnittstelle selbst für weniger ambitionierte Cracker in Grenzen.

    Die Methode ist also mit absoluter Sicherheit schon kurz nach ihrem Einbau verfügbar für jeden, der es wirklich darauf anlegt. Sollte der von der Versammlung unserer, offensichtlich nicht durch Fachwissen verunsicherten Innenminister geplante Wahnsinn wirklich umgesetzt werden, wäre in kurzer Zeit die nächste Welle von durch Botnetze übernommenen Geräten zu erwarten.

    Analog zur Bezeichnung IoT-Botnet für vernetzte Thermostate, die auf einmal bösartig werden, würde ich hier von einem IoF-Botnet sprechen: Internet of Fools. Denn so dumm, im Namen der Sicherheit Kriminellen effektiv Zugriff auf die Geräte jedes Smartphone-Besitzers im Land zu geben, muss man erst einmal sein. Hier zeigt sich einmal mehr, warum Piraten im Bundestag dringend benötigt werden und warum die derzeit an Bundes- und Landesregierungen beteiligten Parteien eigentlich unwählbar sind.