 |
# taz.de -- CCC-Kongress in Hamburg: Die Schwäche im System |
|
|
|
> Im großen Hype um den „Cyberwar“ fordern die „Informatiker für den |
|
> Frieden“ eine Verpflichtung von Staaten, ihre IT-Entwicklung nur defensiv |
|
> zu nutzen. |
|
|
 |
Bild: Defensiver Besucher des CCC-Kongresses. |
|
|
|
Kurz nach der Veröffentlichung der neuen Windows-Version gab die |
|
französische IT-Firma Vupen in |
|
[1][//twitter.com/cBekrar/status/263286109398773762:einem Tweet] bekannt, |
|
eine bislang unbekannte Schwachstelle gefunden zu haben. Schwachstellen in |
|
Software zu finden, gehört zum Geschäftsmodell von Vupen. Doch statt sie an |
|
die Hersteller zu melden, damit die Software sicherer wird, verkauft Vupen |
|
sie an zahlende Kunden, die diese Schwachstellen für Angriffe in |
|
Computersystemen ausnutzen können. Und die Käufer sind in der Regel nicht |
|
Kriminelle, sondern Staaten. |
|
|
|
„Es gibt zur Zeit einen großen Hype um das Schlagwort 'Cyberwar'“ sagt |
|
Sylvia Johnigk, Sprecherin des Forums InformatikerInnen für den Frieden |
|
(Fiff) in [2][einem Vortrag] auf dem Chaos Communications Congress. |
|
Cyberwar, das heißt für das Bundesverteidigungsministerium „Angriffe |
|
staatlicher Institutionen auf Computersysteme und IT-Netzwerke eines oder |
|
mehrerer anderer Staaten, die substanzielle Auswirkungen auf die |
|
Handlungsfähigkeit dieser Staaten haben“. |
|
|
|
Die Vorstellung, einen Feind über Computersysteme anzugreifen sei |
|
attraktiv, so Johnigk: Eigene Soldaten kämen nicht in Gefahr und es sei oft |
|
schwierig zurückzuverfolgen, wer verantwortlich war. Und sie macht Staaten |
|
zu Interessenten derselben Schwachstellen, die auch gewöhnliche Kriminelle |
|
ausnutzen. |
|
|
|
Dass mit Schadsoftware nicht nur Passwörter geklaut sondern auch |
|
Infrastruktur angegriffen werden kann, zeigte vor wenigen Jahren „Stuxnet“, |
|
als der Computervirus Zentrifugen im iranischen Atomprogramm zerstörte. Der |
|
Virus wurde geschrieben um Siemens-Industriesoftware anzugreifen und |
|
inzwischen wird angenommen, dass er durch Staaten, oder zumindest mit |
|
staatlicher Hilfe erstellt worden sein muss. Nach [3][unbestätigten |
|
Berichten]: die USA und Israel. |
|
|
|
Kurze Zeit darauf berichtete die iranische Regierung, sie baue nun eine |
|
eigene Militärabteilung auf, die solche Angriffe abwehren, aber auch selbst |
|
angreifen können soll. Auch in anderen Ländern bereiten sich Militärs auf |
|
Auseinandersetzungen in Computernetzwerken vor. In Deutschland wird schon |
|
seit fünf Jahren die Abteilung „Computernetzwerkoperationen“ aufgebaut, vor |
|
wenigen Monaten hieß es in einem Bericht an den Verteidigungsausschuss im |
|
Bundestag: „Eine Anfangsbefähigung zum Wirken in gegnerischen Netzwerken |
|
wurde erreicht“. Heißt: Es geht nicht mehr nur um Abwehr. |
|
|
|
## Rüsten gegen die Sicherheit |
|
|
|
Es ist genau dieses Wettrüsten zwischen Staaten, dass Sylvia Johnigk und |
|
das Fiff kritisieren. Egal ob zur Kriminalität, zur Spionage oder für |
|
militärische Angriffe, Viren haben gemein, dass sie Schwachstellen in |
|
Computersystemen ausnutzen, um zu wirken: um Passwörter zu klauen, um Daten |
|
zu kopieren oder um Kraftwerke lahmzulegen. „Die Energie, die für |
|
Angriffswerkzeuge aufgewendet wird, fehlt bei der Entwicklung von |
|
Schutzmechanismen“, kritisierte Fiff-Sprecherin Sylvia Johnigk. |
|
|
|
Mehr noch: Wer aktiv solche Werkzeuge entwickele, habe kein Interesse daran |
|
die Schwachstellen in den Systemen zu beseitigen. Wer eine Schwachstelle |
|
kennt, nutze sie aus, statt sie zu melden und zu schließen. Im |
|
Umkehrschluss heißt das: Wer Schwachstellen schließt, macht nicht nur |
|
militärische Angriffe unwahrscheinlicher, sondern schützt Nutzer auch vor |
|
Viren, die Kontodaten auslesen oder Daten ausspähen sollen. Vor |
|
gewöhnlichen Cyberkriminellen also. |
|
|
|
Als Alternative fordert Fiff, eine globale Verpflichtung von Staaten ihre |
|
IT-Entwicklung nur defensiv zu nutzen und eine Offenlegungspflicht für |
|
Software-Schwachstellen einzuführen. Das Geschäftsmodell von VUPEN wäre |
|
damit illegal. Hier müssten außerdem alle Staaten miteinbezogen werden, |
|
denn: „Wenn wir Chips von den Chinesen benutzen, können wir sie nicht bei |
|
einer solchen Initiative ausschließen“, sagt Johnigk. |
|
|
|
27 Dec 2012 |
|
|
|
## LINKS |
|
|
 |
[1] http://(http |
|
[2] http://events.ccc.de/congress/2012/Fahrplan/events/5221.en.html |
|
[3] http://www.nytimes.com/2012/06/01/world/middleeast/obama-ordered-wave-of-cy… |
|
|
|
## AUTOREN |
|
|
|
Lalon Sander |
|
|
|
## TAGS |
|
|
|
Stuxnet |
|
IT-Sicherheit |
|
Schwerpunkt Chaos Computer Club |
|
CCC-Kongress |
|
Cyberattacke |
|
Schwerpunkt Überwachung |
|
|
|
## ARTIKEL ZUM THEMA |
|
|
|
CCC-Kongress in Hamburg: Ein Atlas des „Filternets“ |
|
|
|
Der Hacker Jacob Appelbaum fordert “konstruktive Alternativen” zu |
|
Überwachung durch Staaten und Firmen. Er arbeitet daran, Zensur weltweit zu |
|
dokumentieren. |
