Staatstrojaner & Windows: „Bewusstsein und Verständnis für IT-Sicherheit“

Screenshot youtube.com Screenshot youtube.com

In unregelmäßigen Abständen geben verschiedene Beamte, Staatssekretäre oder manchmal auch Minister eine öffentliche Stellungnahme ab: Es wird dabei betont wie wichtig IT-Sicherheit sei. Das es mit diesen Lippenbekenntnissen in der Realität nicht weit her ist, dürften wohl die meisten aus leidlicher Erfahrung selbst wissen und regelmäßig lahmgelegte Rechner unterstreichen diese Binsenweisheit.

„Die Gefährdungslage durch Cyberangriffe“

>>Focus<<

„Die Gefährdungslage durch Cyberangriffe ist in Deutschland nach mehreren aufsehenerregenden Attacken weiterhin hoch. Das geht aus dem aktuellen Lagebericht zur IT-Sicherheit hervor. Das Bewusstsein dafür in der Bevölkerung sei zwar gestiegen, „es ist aber noch nicht auf dem Niveau, wie wir es uns wünschen“, sagte Bundesinnenminister Thomas de Maizière (CDU) in Berlin. Beispielhaft für die angespannte Bedrohungslage sind die zunehmenden Angriffe mit Erpressungstrojanern wie WannaCry oder die Attacke, die 900 000 Telekom-Router traf.“

„Erpressungstrojanern wie WannaCry oder die Attacke, die 900 000 Telekom-Router traf“

In erster Linie scheint das fehlende Bewusstsein und Verständnis für IT-Sicherheit bei Thomas de Maizière zu liegen. Sowohl beim WannaCry-Angriff, als auch bei der Telekom-Router-Attacke haben die verantwortlichen Unternehmen erst – nach dem Vorfall – reagiert und die notwendigen Aktualisierungen zur Verfügung gestellt.

„Tausende der im Archiv dokumentierten Überwachungsprogramme“

>>Die globale Überwachung von Glenn Greenwald (Buch) <<

„Die Tausende der im Archiv dokumentierten Überwachungsprogramme sollten nach Willen derjenigen , die sie eingeführt hatten, niemals öffentlich bekannt werden. Viele dieser Programme zielten auf die amerikanische Bevölkerung ab, doch die massenhafte, willkürliche Überwachung richtete sich auch gegen Dutzende andere Staaten weltweit – darunter Demokratien, die von den USA normalerweise als Verbündete betrachtet werden, wie Frankreich, Brasilien, Indien und Deutschland.“

„Willkürliche Überwachung richtete sich auch gegen Dutzende andere Staaten“ 

>>CDU<<

„Gleichzeitig habe die CDU-geführte Bundesregierung in den letzten vier Jahren wichtige Gesetze beschlossen und Maßnahmen auf nationaler Ebene auf den Weg gebracht: Erstmals gibt es ein IT-Sicherheitsgesetz inklusive der notwendigen Umsetzungsrichtlinien.“

IT-Sicherheit und Hackerangriffe

>>Security-Insider<<

„Betreiber von Webseiten, Webshops und Webanwendungen haben mit Inkrafttreten des IT-Sicherheitsgesetzes Maßnahmen umzusetzen, um unerlaubte Zugriffe auf IT-Systeme und Daten sowie Störungen zu verhindern. Eine dieser Maßnahmen ist das zeitnahe und regelmäßige Einspielen von Updates oder Patches der genutzten Anwendungen und Betriebssysteme. Nicht von dieser Absicherungspflicht betroffen sind Webseiten von Privatpersonen oder Einrichtungen, die keinen kommerziellen Zweck verfolgen. Werden mit den Webangeboten jedoch regelmäßig Einnahmen zum Beispiel durch bezahlte Werbung erzielt, gilt auch in diesem Fall das IT-SiG.“

„Kann nicht auf der einen Seite am Staatstrojaner gearbeitet und auf der anderen Seite entsprechende Abwehrmaßnahmen an Nutzer weitergegeben werden“

>>SecuPedia<<

„Zudem müsse das BSI unabhängig sein, beispielsweise kann nicht auf der einen Seite am Staatstrojaner gearbeitet und auf der anderen Seite entsprechende Abwehrmaßnahmen an Nutzer weitergegeben werden.“

Warum Staatstrojaner die IT-Sicherheit untergraben

Ungeachtet dessen gibt es eine ganze Reihe weitere Kritikpunkte. Das beschlossene IT-Sicherheitsgesetz hat den WannaCry-Angriff nicht verhindert und hätte es auch gar nicht gekonnt. Das Betriebssystem Windows basiert auf einen geheim gehaltenen Quellcode: Sicherheitslücken müssen folgerichtig von Unternehmen Microsoft geschlossen werden. Wenn aber dieses Unternehmen – wie bereits geschehen – jahrzehntelang die Lücke offen hält: Es ist ausgeschlossen dass der Nutzer die Schwachstelle erkennt und demzufolge ist es unmöglich sie zu schließen. Das Einspielen von Aktualisierungen reicht also bei weiten nicht aus, aber genau auf diesen einen Punkt stellt das Gesetz ab.

Offene Sicherheitslücken bieten Angriffspunkte

>>Der Standard<<

„Manchmal dauert es eben etwas länger. Wie üblich hat Microsoft zum monatlichen Patchday eine Reihe Updates und Sicherheitsaktualisierungen ausgespielt. Neben Absicherungen für Edge und den Internet Explorer befindet sich darunter auch ein Patch für ein Leck namens „BadTunnel“. Dieses gibt es schon eine ganze Weile – nämlich 21 Jahre.“

„Die Fähigkeiten moderner Nachrichtendienste“

>>Bundesministerium für Bildung und Forschung<<

„Die Enthüllungen von Edward Snowden über die Fähigkeiten moderner Nachrichtendienste führten zu einer umfassenden Sensibilisierung der Gesellschaft in Bezug auf Datensicherheit. … Die jüngste Welle von Angriffen – Erpressungen mit Hilfe von Verschlüsselungstrojanern – zeigen besonders deutlich, wie existenziell der Schutz der Computersysteme und der darauf verarbeiteten Daten ist. Um Angriffen wirkungsvoll zu begegnen, müssen sie frühzeitig erkannt, unterbunden und letztlich aufgeklärt werden. Klassische Methoden der Angriffserkennung lassen sich jedoch oft selbst kompromittieren und sind dadurch wirkungslos.“

„Der Schutz der Computersysteme und der darauf verarbeiteten Daten“ 

>>WinFuture<<

„Laut der öffentlich verfügbaren Beschlussvorlage soll das auf Windows basierende Ver­wal­tungs­sys­tem bis 2020 einsatzbereit sein und der Rollback von Limux auf Windows bis Ende 2022 abgeschlossen werden. Dabei soll vor allem eine Harmonisierung der Clients der stadt­ei­ge­nen Verwaltungssoftware durch einen kompletten Wechsel zu einer neuen Windows-Version erfolgen.“

Ohne offene Sicherheitslücken ist der Einsatz von Staatstrojanern unmöglich

Der praktikable Einsatz von Staatstrojanern ist ohne bekannte Sicherheitslücken im Betriebssystemen im Grunde genommen unvorstellbar. Zusammenfassend lässt sich feststellen: Das jenseits aller öffentlichen Bekundungen nach einer vermeintlichen „Cyber-Sicherheitsstrategie für Deutschland“ Ermittlungsbehörden und Geheimdienste zum infiltrieren von Computern nach wie vor uneingeschränkt Vorfahrt genießen. In der Praxis liegt also die Verantwortlichkeit bei jeden Einzelnen sich vor kriminellen Hackern – jeglichen Couleur – zu schützen.