Meine Damen und Herren, werte Mitleser, es ist mal wieder der größte aller Fälle eingetreten, es wird, glaubt man den Meldungen der letzten Tage, mal wieder gecybert in Deutschland. Nein nein, wir reden nicht von solchen lapidaren Dingen wie Breitbandinternet und Lufttaxis, wir reden davon, dass mutmaßlich die Russen erneut ein gesichertes Regierungsnetz infiltrieren konnten. Unerhört! Ein Gastbeitrag von Anonymous Germany.
Gut, Spaß beiseite. Reden wir doch mal über Kompetenzen, nämlich über genau diese, die man dazu benötigen würde ein gesichertes Regierungsnetz betreiben zu wollen, denn, wenn man den Meldungen so glaubt war es ein ordinärer Trojaner der letztlich das Netzwerk des IVBB infiltrieren konnte. Von wen kam der? Von den Russen, so gesehen soll wohl eine Gruppe namens Snake bzw Turja für den Spaß verantwortlich sein. Was jedenfalls seitens des Bundes als eine „sehr komplexe und qualitativ hochwertigen Schadsoftware“ beschrieben wird, wird derweil regelrecht so durch Netz geworfen, dass man meinen könnte, hier vertickt jemand heiße Brötchen. (1)
Eine kleine Lektüre zu dem IVBB offenbart so einiges, also abgesehen davon das die Telekom dieses Netzwerk betreibt gab es in der der Vergangenheit schon so einige bedenken was die Sicherheit des Netzwerkes angeht.
Eine kleines Beispiel? Nicht, dass es wundern würde, selbst Wikileaks kennt das IVBB und eine kleine Suche offenbart das durch die Nähe des Knotenpunktes des IVBB zur russischen Botschaft ein gewissen Risiko bestehen könnte. Befindet sich das Gebäude noch immer an dieses Ort? Wir hätten ja gern einen Blick auf die Pläne der Trassen der Telekom geworfen, aber deren Internetseite dazu macht die Registrierung sagen wir mal etwas kompliziert.
Wo das Problem zu sehen ist? An der Tatsache, dass man praktisch so ziemlich alles was in solchen Fällen essentiell ist, einfach in die Hand einen privaten Unternehmen drückt. Software? Mach du. Netzwerk? Ihr macht das! Wenn man so konsequent wichtige Aufgaben an private Unternehmen delegiert wird man nur noch einseitige Anleitungen zu Gesicht bekommen in denen dann RTFM(2) stehen wird.
Nicht anders verhält es sich dann auch bei der Anschaffung eines Bundestrojaners, ja genau, Anschaffung. In unseren Gefilden würde man so jemanden als einen Scriptkiddy bezeichnen, also jemanden den man gerade einen Trojanerbaukasten in die Hand gedrückt hat. Der Nutzen wäre gar gegeben aber man weiß nicht, was da noch so alles in dieser Software schlummert. Wer garantiert denn das die Informationen, die gezogen wurden, nicht gleich an eine dritte Quelle fließen? Niemand, denn schließlich steht ja in der einseitigen Anleitung nur ein RTFM. Die Eurohawk lässt grüßen.
Folglich wäre es im übrigen fatal den Behörden einen Trojaner zum Ausspionieren des eigenen Volkes (™) in die Hand zu drücken: dies verhält sich im ungefähren so, als wenn man einem 5jährigen Kind einen Bagger zum Spielen überlässt – in einen 2 m² großen Sandkasten.
Wie gefährlich dies sein kann, zeigt sich an den Trojaner Finfisher, dieser wurde bereits 2013 von der Bundesregierung gekauft aber kam bisher noch nicht zur Anwendung, man müsse die Software natürlich noch anpassen, lässt man aus dafür verantwortlichen Kreisen ertönen. (5) Dessen Hersteller Gamma wurde im übrigen 2014 gehackt und der Quellcode des Trojaners fand seinen Weg auf Twitter. (3,4)
Jeder normale Mensch würde diese Software nun abstoßen, aber die Behörden? Gute Frage, wir hätten da sicherlich gern eine Antwort darauf, aber so wie es ausschaut scheint die Software noch immer in den Besitz der Behörden zu sein. Ähnlich verlief es im übrigen mit der Software vom Hackingteam, das BKA hat mit diesen Trojaner ebenso geliebäugelt, dann wurde der Laden gehackt.
Es ist tatsächlich recht erheiternd zu wissen, dass jemand der anderen einen Trojaner unterschieben möchte nicht mal in der Lage ist, den eigenen Laden zusammenzuhalten und dann wird die Software die nun bestens für die öffentlichkeit dokumentiert ist weiterhin eingesetzt? Niemand kann nun garantieren dass der Einsatz noch sicher wäre da nun u.U. Dritte ebenso auf die Software zugreifen und zeitgleich die abgezogenen Informationen gleichermaßen abfischen könnten.
Ist dies nun diese Kompetenz?
——————-
(1) https://twitter.com/ClearskySec/status/960924755355369472
(2) RTFM = Read the fucking Manual!
(3)https://www.heise.de/newsticker/meldung/Spaehsoftware-Das-BKA-zu-Besuch-bei-Hacking-Team-2784567.html
(4) https://netzpolitik.org/2014/gamma-finfisher-twitter-account-veroeffentlicht-interne-dokumente-ueber-weltweit-eingesetzten-staatstrojaner/
(5)http://investigativ.welt.de/2017/07/26/der-bundestrojaner-das-kann-er-und-das-nicht/
Nun ja. Ich finde immer schön, wie viele IT-Sicherheitsexperten hochpoppen, wenn solche Dinge passieren. Das ist wie bei einer Fußball-WM, bei der es 80 Millionen erfahrene und kompetente Fußball-Nationaltrainer gibt.
Die Antwort darauf, was die physische Nähe des Knotenpunkts (wenn das so stimmt) zu einem Gebäude, in dem Russen sitzen, angesichts der durchgängigen IP-Verschlüsselung für eine Relevanz hat, bleibt der Beitrag schuldig. Ebenso, was der Bundestrojaner mit dem Angriff auf das IVBB-Netz zu tun hätte. Mal davon ab, dass ein direkter Angriff auf den Knotenpunkt ja offenbar gar nicht vorlag, sondern dass es sich eher um einen gezielten Phishing-Angriff gehandelt hat. Schwurbel, schwurbel.
Und dann möge man sich mal entscheiden, ob es ratsam ist, bestimmte Dienstleistungen nicht outzusourcen (übrigens an die T-Systems, nicht an "die Telekom"): "Wenn man so konsequent wichtige Aufgaben an private Unternehmen delegiert" oder ob man öffentliche Stellen für noch nicht mal kompetent genug hält, das Zeug richtig zu handhaben "dies verhält sich im ungefähren so, als wenn man einem 5jährigen Kind einen Bagger zum Spielen überlässt". Also was nun?
Hätten die Jungs mal geschwiegen…
Es ist normal, dass auch kritische Infrastruktur von Unternehmen gekauft wird.
Der Bund produziert auch keine Panzer etc.
Es ist immer eine sehr schwierige Frage, wie man Sicherheit bei gleichzeitiger Nutzbarkeit sicherstellt. Was ist akzeptabel? Wie paranoid muss ich sein? Gegen welche potenzielle Risiken schütze ich mich wie? Welche Sicherheit in einem Bereich erkaufe ich mir mit weniger Sicherheit in anderen Bereichen.
Der Bundes-Trojaner ist für mich ein No go. Hier werden bekannte Sicherheitslücken, die Privatleute, Unternehmen und auch den Staat gefährden nicht geschlossen, sondern genutzt, um evtl. mal einen großen Fisch zu fassen.
Der Preis für diese potenzielle Möglichkeit eines Fahndungserfolg ist mir zu hoch.
Das geht einfacher.
Den folgenden Satz habe ich nicht verstanden.
"Wenn man so konsequent wichtige Aufgaben an private Unternehmen delegiert wird man nur noch einseitige Anleitungen zu Gesicht bekommen in denen dann RTFM(2) stehen wird."
Warum sollte ohne Anleitung geliefert werden? Das ist doch eine Sache des Beschaffungsprozesses, der bspw. auch das Recht auf Prüfung des Source Codes beinhalten könnte.