# taz.de -- CCC-Kongress in Hamburg: Die Schwäche im System | |
> Im großen Hype um den „Cyberwar“ fordern die „Informatiker für den | |
> Frieden“ eine Verpflichtung von Staaten, ihre IT-Entwicklung nur defensiv | |
> zu nutzen. | |
Bild: Defensiver Besucher des CCC-Kongresses. | |
Kurz nach der Veröffentlichung der neuen Windows-Version gab die | |
französische IT-Firma Vupen in | |
[1][//twitter.com/cBekrar/status/263286109398773762:einem Tweet] bekannt, | |
eine bislang unbekannte Schwachstelle gefunden zu haben. Schwachstellen in | |
Software zu finden, gehört zum Geschäftsmodell von Vupen. Doch statt sie an | |
die Hersteller zu melden, damit die Software sicherer wird, verkauft Vupen | |
sie an zahlende Kunden, die diese Schwachstellen für Angriffe in | |
Computersystemen ausnutzen können. Und die Käufer sind in der Regel nicht | |
Kriminelle, sondern Staaten. | |
„Es gibt zur Zeit einen großen Hype um das Schlagwort 'Cyberwar'“ sagt | |
Sylvia Johnigk, Sprecherin des Forums InformatikerInnen für den Frieden | |
(Fiff) in [2][einem Vortrag] auf dem Chaos Communications Congress. | |
Cyberwar, das heißt für das Bundesverteidigungsministerium „Angriffe | |
staatlicher Institutionen auf Computersysteme und IT-Netzwerke eines oder | |
mehrerer anderer Staaten, die substanzielle Auswirkungen auf die | |
Handlungsfähigkeit dieser Staaten haben“. | |
Die Vorstellung, einen Feind über Computersysteme anzugreifen sei | |
attraktiv, so Johnigk: Eigene Soldaten kämen nicht in Gefahr und es sei oft | |
schwierig zurückzuverfolgen, wer verantwortlich war. Und sie macht Staaten | |
zu Interessenten derselben Schwachstellen, die auch gewöhnliche Kriminelle | |
ausnutzen. | |
Dass mit Schadsoftware nicht nur Passwörter geklaut sondern auch | |
Infrastruktur angegriffen werden kann, zeigte vor wenigen Jahren „Stuxnet“, | |
als der Computervirus Zentrifugen im iranischen Atomprogramm zerstörte. Der | |
Virus wurde geschrieben um Siemens-Industriesoftware anzugreifen und | |
inzwischen wird angenommen, dass er durch Staaten, oder zumindest mit | |
staatlicher Hilfe erstellt worden sein muss. Nach [3][unbestätigten | |
Berichten]: die USA und Israel. | |
Kurze Zeit darauf berichtete die iranische Regierung, sie baue nun eine | |
eigene Militärabteilung auf, die solche Angriffe abwehren, aber auch selbst | |
angreifen können soll. Auch in anderen Ländern bereiten sich Militärs auf | |
Auseinandersetzungen in Computernetzwerken vor. In Deutschland wird schon | |
seit fünf Jahren die Abteilung „Computernetzwerkoperationen“ aufgebaut, vor | |
wenigen Monaten hieß es in einem Bericht an den Verteidigungsausschuss im | |
Bundestag: „Eine Anfangsbefähigung zum Wirken in gegnerischen Netzwerken | |
wurde erreicht“. Heißt: Es geht nicht mehr nur um Abwehr. | |
## Rüsten gegen die Sicherheit | |
Es ist genau dieses Wettrüsten zwischen Staaten, dass Sylvia Johnigk und | |
das Fiff kritisieren. Egal ob zur Kriminalität, zur Spionage oder für | |
militärische Angriffe, Viren haben gemein, dass sie Schwachstellen in | |
Computersystemen ausnutzen, um zu wirken: um Passwörter zu klauen, um Daten | |
zu kopieren oder um Kraftwerke lahmzulegen. „Die Energie, die für | |
Angriffswerkzeuge aufgewendet wird, fehlt bei der Entwicklung von | |
Schutzmechanismen“, kritisierte Fiff-Sprecherin Sylvia Johnigk. | |
Mehr noch: Wer aktiv solche Werkzeuge entwickele, habe kein Interesse daran | |
die Schwachstellen in den Systemen zu beseitigen. Wer eine Schwachstelle | |
kennt, nutze sie aus, statt sie zu melden und zu schließen. Im | |
Umkehrschluss heißt das: Wer Schwachstellen schließt, macht nicht nur | |
militärische Angriffe unwahrscheinlicher, sondern schützt Nutzer auch vor | |
Viren, die Kontodaten auslesen oder Daten ausspähen sollen. Vor | |
gewöhnlichen Cyberkriminellen also. | |
Als Alternative fordert Fiff, eine globale Verpflichtung von Staaten ihre | |
IT-Entwicklung nur defensiv zu nutzen und eine Offenlegungspflicht für | |
Software-Schwachstellen einzuführen. Das Geschäftsmodell von VUPEN wäre | |
damit illegal. Hier müssten außerdem alle Staaten miteinbezogen werden, | |
denn: „Wenn wir Chips von den Chinesen benutzen, können wir sie nicht bei | |
einer solchen Initiative ausschließen“, sagt Johnigk. | |
27 Dec 2012 | |
## LINKS | |
[1] http://(http | |
[2] http://events.ccc.de/congress/2012/Fahrplan/events/5221.en.html | |
[3] http://www.nytimes.com/2012/06/01/world/middleeast/obama-ordered-wave-of-cy… | |
## AUTOREN | |
Lalon Sander | |
## TAGS | |
Stuxnet | |
IT-Sicherheit | |
Schwerpunkt Chaos Computer Club | |
CCC-Kongress | |
Cyberattacke | |
Schwerpunkt Überwachung | |
## ARTIKEL ZUM THEMA | |
CCC-Kongress in Hamburg: Ein Atlas des „Filternets“ | |
Der Hacker Jacob Appelbaum fordert “konstruktive Alternativen” zu | |
Überwachung durch Staaten und Firmen. Er arbeitet daran, Zensur weltweit zu | |
dokumentieren. |