Zurückhacken: “Wie einen digitalen finalen Rettungsschuss”

Screenshot twitter.com Screenshot twitter.com

Schon mal etwas von Datenschutz gehört? Der Schutz der privaten Daten wird durch Polizei und Minister als lästiges “Hindernisbezeichnet. Sicherheit soll schließlich das neue Supergrundrecht sein. Nur eigentlich ist das Grundrecht auf informelle Selbstbestimmung als echtes einzuforderndes Recht anszusehen. Gerade im Bereich der IT-Sicherheit kann die Bedeutung nicht hoch genug eingestuft werden. Besonders beim Online-Banking-Betrug nutzen Kriminelle wertvoll Informationen aus.

“Fast alles kann heute bequem von zu Hause aus am Rechner erledigt werden”

>>Gansel Rechtsanwälte<<

“Fast alles kann heute bequem von zu Hause aus am Rechner erledigt werden – auch Bankgeschäfte. Doch das praktische Online-Banking eröffnet zugleich Möglichkeiten für Kriminelle. Schäden, die durch diese Art von Internet-Betrug entstehen, gehen jährlich in die zweistellige Millionenhöhe.”

“Schäden, die durch diese Art von Internet-Betrug entstehen, gehen jährlich in die zweistellige Millionenhöhe”

Insbesondere bei sogenannten “Phishing” sind Informationen über die Bank und das Opfer wichtig. Je mehr Daten zur Verfügung stehen, desto besser stehen die Chancen für einem erfolgreichen Angriff. Es ist deshalb nicht verwunderlich: Weshalb insbesondere Eltern für das Thema sensibel seien.

“Wir haben etwa 40 Schulen angeschrieben, zu denen es konkrete Beschwerden gibt”

>>Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg<<

“Manche Schulen in Baden-Württemberg nutzen Produkte vom Anbieter Microsoft – etwa den Cloud-Dienst MS 365. Darüber haben sich viele Schüler_innen, unter anderem aber auch Eltern bei uns beschwert, und wollten, dass wir diese Nutzung datenschutzrechtlich prüfen. Diesen Beschwerden gehen wir nun nach. Wir haben etwa 40 Schulen angeschrieben, zu denen es konkrete Beschwerden gibt, und möchten uns von den verantwortlichen Schulen jeweils erklären lassen, ob die eingesetzte Software datenschutzkonform läuft.”

Bild eines Mafioso: Wo Forderungen von Datenschutz angekommen seien

Die offizielle Meldung ist deshalb interessant, weil öffentlich ein ganz anderes Bild zu vermitteln versucht wurde. In Wirklichkeit hat der Landesbeauftragte für den Datenschutz nichts aus Eigeninitiative getan, sondern sie wurde nur Aufgrund von Beschwerden der Eltern tätig. Und das nicht mal flächendeckend: Es wurden nur Schulen angeschrieben, wo es Beschwerden gab. Zur gleichen Zeit setzten sich Regierungsvertreter aktiv für Microsoft ein: Ein Ministerialer hat sogar das Bild eines Mafioso im Zusammenhang mit Datenschutz veröffentlicht. Das Niveau ist nach unten kaum mehr steigerungsfähig. Doch die Geschichte – insbesondere von US-Unternehmen – sagt eigentlich etwas ganz anderes aus. Im amerikanischen Rechtsverständnis ist kein Datenschutz wie im Europa vorhanden. Vielfach ist nicht mal das Verständnis hierfür ersichtlich und das ist noch längst nicht alles. Praktisch überall stecken die Finger der Geheimdienste mit drin.

“Cyberattacke, die US-Geheimdienste gegen ausländische Regierungen oder Unternehmen durchführen”

>>Internet of Crimes von Gerald Reischl (Buch) <<

“Die Equation Group ist mit den Tailored Access Operations (TAO) der NSA verbunden und soll eine der bestausgestatteten Hackergruppen der Welt sein. Mitglieder dieser Gruppe sollen in der Verwaltung des US-amerikanischen Zero-Days-Archivs ebenso involviert sein wie in jede Cyberattacke, die US-Geheimdienste gegen ausländische Regierungen oder Unternehmen durchführen. Diese nationalstaatliche Gruppe ist seit 1998 im Einsatz. Sie überwacht und infiltriert »Feinde der Vereinigten Staaten«, sowohl im In- als auch im Ausland. Als eine der größten Komponenten des Signals-Intelligence (SIGINT)-Programms der NSA ist diese Gruppe in der Lage, gängige Hardware wie Router, Switches und Firewalls zu kompromittieren. Bekannt wurde die Equation Group vor allem durch die Ransomware WannaCry. Diese nutzte die Equation Group über Jahre selbst unter dem Namen »EternalBlue«, ehe Teile davon im Jahr 2016 von der Hackergruppe »Shadow Brokers« gestohlen wurden.”

“Bekannt wurde die Equation Group vor allem durch die Ransomware WannaCry”

Die Geheimdienste haben jahrelang eine Sicherheitslücke ausgenutzt und am Ende ist dieses Wissen in der illegalen Hackerszene angekommen. Auf dieser Basis ist die Ransomware WannaCry entstanden, die auf der ganzen Welt einen Milliardenschaden angerichtet hat. Statt daraus irgendeinen vernünftigen Gedanken abzuleiten, ist das Thema “Zurückhacken” ganz oben auf der Prioritätenliste gelandet.

Zurückhacken: “Man dürfe nicht schutzlos sein, befand die Runde”

>>Süddeutsche Zeitung<<

“Man dürfe nicht schutzlos sein, befand die Runde. Und so verabschiedete sie zwei Aufträge, die noch für viel Diskussion und womöglich auch politischen Streit sorgen werden. Der Bundessicherheitsrat will eine Regelung für so etwas wie einen digitalen finalen Rettungsschuss: eine Regelung, mit der man Server im Ausland, von denen aus etwa das Stromnetz in Deutschland attackiert wird oder Hacker erneut in die Datensysteme des Bundestages eindringen, zerstören darf.”

Zurückhacken: “Wie einen digitalen finalen Rettungsschuss”

Für solche Aktionen müssen genau dieselben Sicherheitslücken – wie bei gewöhnlichen kriminellen Hackern – vorrätig gehalten werden. Mehr noch: Damit wird grundsätzlich jedes Konzept der IT-Sicherheit ausgehebelt, weil es diversen Interessen von Sicherheitsbehörden zuwiderläuft. Nicht mal das Ziel kann bei einen Hackback zweifelsfrei identifiziert werden.

“Hackback: Zurückhacken ist keine Lösung, sondern riskanter Blödsinn”

>>Kuketz IT-Security<<

“Hackback: Zurückhacken ist keine Lösung, sondern riskanter Blödsinn – Es ist nicht möglich, eindeutig zu beweisen/bestimmen, wo der Ursprung eines Angriffs ist. Waren es die Chinesen, die Russen, die Israelis, die US-Amerikaner? Das Auffinden einer IP-Adresse in einem Logfile eines kompromittierten Systems ist kein Beweis, sondern als Zuordnungsmerkmal schlichtweg wertlos. Selbst erfahrene IT-Forensiker können anhand der Vorgehensweise eines Angreifers bzw. seinen hinterlassenen Spuren (Schadcode etc.) lediglich Einschätzungen darüber abgeben, wo der Ursprung eines Angriffs sein könnte.”

“Es ist nicht möglich, eindeutig zu beweisen/bestimmen, wo der Ursprung eines Angriffs ist”

Selbst im unwahrscheinlichen Fall einer Identifizierung des Täters käme noch ein weiterer Punkt hinzu: Es muss der Beweis eines staatlichen Auftrages erbracht werden. Andernfalls würde es sich nur um einem gewöhnlichen illegalen privaten Straftäter handeln. Und genau darin liegt das Problem: Forderung nach Datenschutz werden mit einer Mafia gleichgesetzt und gleichzeitig unsichere IT-Programme forciert: Natürlich stellt diese Ausgangslage eine regelrechte Einladung für jeden kriminellen Hacker dar: Denn die vermeintlich unnützen privaten Informationen lassen sich andernorts gewinnbringend verkaufen.