Interview mit Felix FX Lindner, Hacker - E-Journal-Special
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
E-Journal-Special
Interview mit Felix FX Lindner, Hacker
Felix FX Lindner legte die An vielen Stellen ist der Nutzen bestenfalls ein
Energieversorgung der Stadt Mythos, die zusätzlichen Gefahren sind aber
Ettlingen lahm und hackte sehr reell.
Blackberry sowie die Netz-
werkstruktur von Cisco. Als Mit Cyberattacken können Waffensysteme wie
ausgewiesener Experte in der z.B. Flugabwehrraketen lahm gelegt werden.
Computer-Security-Szene prä-
Warum wird das so selten gemacht?
sentiert „FX“ seine Forschungs-
ergebnisse bereits seit über zehn Einerseits ist das notwendige Wissen und Per-
Jahren weltweit auf Konferenzen und macht sie
sonal mit den entsprechenden Fähigkeiten
frei im Netz zugänglich. Er ist Gründer, tech-
nischer und Forschungsleiter von Recurity Labs dünn gesät. Solange man konventionelle Mit-
GmbH, einem Beratungs- und Forschungsunter- tel zur Verfügung hat, um den gleichen Effekt
nehmen für IT-Sicherheit im High-End-Bereich, zu erzielen, lohnt sich der Einsatz dieser knap-
das sich auf Code-Analyse und das Design von pen Ressource nicht. Zum anderen haben die
sicheren Systemen und Protokollen spezialisiert verantwortlichen Personen in Militär und Poli-
hat. tik aufgrund Ihres mangelnden Fachwissens
Was ist Ihrer Meinung nach die größte Bedro- auch eine berechtigte Angst vor Sekundäref-
hung im Cyberwar? Was war Ihrer Meinung fekten, welche sie nicht einschätzen können.
nach die größte Bedrohung für Datensicherheit Könnte man mit Cyberattacken die aktuellen
und Datenschutz im Jahr 2014? Konflikte (Syrien/Ukraine) eindämmen?
Die größten Bedrohungen erwachsen meiner Cyberattacken sind für diesen Zweck unge-
Meinung nach durch den Mangel an Verständ- eignet. Offensivmittel sind ja generell eher
nis bei vielen der verantwortlichen Personen. das falsche Mittel der Wahl, um Konflikte zu
Dadurch bestimmten in 2013 und 2014 einige entschärfen.
wenige Personen das mediale Narrativ und die
politische Agenda. Eine sachliche Diskussion Sollte ich als Verteidigungsministerin lieber in
über Datensicherheitsstrategien ist leider so Cyberwaffen oder Cybersicherheit investieren
selten wie sie dringend angeraten ist. oder lieber in herkömmliche Waffen?
Welche Cyberwar-Gefahren gibt es vor allem Das sollte ein Ergebnis einer sicherheitspoliti-
militärisch, aber auch für die Privatbevölke- schen Gesamtstrategie sein, welche eine Ver-
rung und für Unternehmen? teidigungsministerin hoffentlich hat.
Das Hauptproblem in allen drei Bereichen ist Der Aufbau von Offensivfähigkeiten on par mit
die blinde Digitalisierungswut. Wir schaffen es denen anderer Länder ist sicherlich ein Muss,
nicht, unsere existierenden Computersysteme denn die fünfte Domäne wird nicht einfach
und Netzwerke abzusichern, bauen aber über- wieder verschwinden, und genauso wie man
all noch mehr und tiefer vernetzte Computer keine Luftwaffe vom einen Tag zum anderen
ein, sei das nun in Waffensysteme oder Versor- bei Amazon bestellen kann, so müssen auch
gungsinfrastruktur für Strom, Wasser oder Gas.
Ethik und Militär | Ausgabe 2014/2 53Cyberwar - die digitale Front: Ein Angriff auf Freiheit und Demokratie?
Cyberoffensivkräfte viele Jahre trainieren, gezeigt werden, was man kann, also eine Art
bevor sie einsatzbereit sind. Show of Force. Die Hoffnung ist, einen gewis-
sen Grad von Abschreckung zu erreichen. Dazu
Die sogenannte Cybersicherheit ist eher eine
muss aber offensichtlich sein, von wem der
gesamtpolitische Aufgabe.
Angriff entwickelt und durchgeführt wurde. Es
Was brauche ich, um die Infrastruktur eines wird also wenig verschleiert.
Landes lahm zu legen?
Wieviel Cyberpower hat China oder Russland
Bezogen auf einen Cyberangriff reichen hier im Vergleich zu den USA?
ein paar fähige Angreifer mit schiefem morali-
China und Russland sind offensiv vergleichbar
schem Kompass und das entsprechende Geld,
stark wie die USA, wenn auch in jeweils etwas
um diese zu bezahlen. Hat man es aber nicht
anderer Ausprägung.
eilig damit, bietet sich auch umfangreiche Pri-
vatisierung als ein sehr effektives Mittel an. Wer sind derzeit die Cybersupermächte?
Aufsehen haben die Cyberwaffen Stuxnet und Google, China, Russland und die USA.
Flame erregt. Damit wurde das iranische Atom-
Also Länder, die selbst Computer bauen, haben
waffenprogramm ausgespäht und angegriffen.
gute Chancen, Cyberpowermacht zu sein oder
Was war daran besonders gefährlich?
zu werden. Wie stehen da derzeit die Chancen
Besonders gefährlich daran sind die Kol- für Deutschland? Werden wir nach Zuse über-
lateralschäden – und zwar nicht die direkt haupt noch computertechnisch wahrgenom-
ersichtlichen. Beispielsweise wurde für Flame men in der Welt?
eine kryptographische Signatur erzeugt, damit
Nein, Deutschland spielt hier keine besondere
es so aussah, als ob die Datei von Microsoft
Rolle mehr. Das ist besonders schade, da die
selbst kam. Dadurch wurden viele Sicherheits-
Fähigkeiten durchaus vorhanden sind, aber
prüfungen umgangen, welche essenziell für
leider nicht genutzt werden.
eine ganze Reihe von Schutzmaßnahmen in
der Computersicherheit sind. Diese Methode Wie gehen Cyberangreifer vor? Was tun sie,
funktioniert auch heute noch, die Schutzmaß- wenn sie ein Land, Konzerne, Firmen, den
nahmen können aber nicht einfach mal aus- Staat oder den Geheimdienst angreifen wollen?
getauscht werden. Dadurch wurde die ganze
Welt verwundbarer als sie es vorher war. Der Vorgang ist grob vergleichbar mit einem
Einbruch: Hintergrundinformationen beschaf-
Entmystifizierung des Cyberwar - oft heißt fen, Auskundschaften, an Türen und Fenstern
es, den gäbe es nicht und der sei nicht neu. Sie rütteln, Werkzeuge auswählen und dann den
haben auf unserer Berliner Podiumsdiskussion Einbruch durchführen. Im Unterschied zu
zu der Behauptung, Schadsoftware trüge keine einem Einbruch flüchtet man nicht danach,
Uniform gesagt, die militärischen Angriffe sondern verbarrikadiert sich möglichst unauf-
im Netz trügen mehr Uniform als russische fällig im Objekt.
Soldaten auf der Krim – was meinen Sie damit
genau? Welche Abwehrmechanismen gibt es, um sich
gegen Eindringlinge zu wappnen? Müssen wir
Fast alle Staaten haben wenig Hoffnung auf nicht eigene Computer bauen?
mittelfristig verfügbare Defensivmaßnahmen
und konzentrieren sich daher auf Offensiv- Ja, wir müssten wirklich eigene Computer
mittel. Dementsprechend soll allen anderen bauen. Wenn wir für diese im Unterschied zu
Ethik und Militär | Ausgabe 2014/2 54Cyberwar - die digitale Front: Ein Angriff auf Freiheit und Demokratie?
allen anderen auch eine Produkthaftung über- blem darstellt, würde eine Menge ändern. Die
nehmen würden, wären sie zwar deutlich teu- Politik wird nicht sofort eine solche Haftung
rer, aber auch der Exportschlager schlechthin. fordern, denn niemand will SAP & Co ruinieren.
Doch leider ist die momentane Scharlatanerie
Gibt es ein Patentrezept gegen Cyberangreifer,
zu einträglich, als das sie freiwillig aufgegeben
z. B. wieder auf Schreibmaschine umzustellen?
würde.
Wenn Sie ein Geheimnis bewahren wollen,
Laut Thomas Ried ist Cyberwar nur eine
sollten Sie es heutzutage nicht in einen Com-
clevere Strategie von Sicherheitsfirmen, denn
puter stecken.
eigentlich gibt es ihn seiner Meinung nach
Blicken wir auf das kommende Jahr. National- nicht. Was halten Sie von der Ried-These?
staaten, die sich mehr und mehr gegenseitig
Der Begriff Cyberwar eignet sich ausgezeich-
mit Schadsoftware angreifen. Der jeweilige
net, um den Verkauf des nächsten Wunder-
Privatsektor ist betroffen und auch Aktivis-
mittels anzukurbeln. Er erklärt aber weder die
ten werden das Internet weiterhin für eigene
Hunderte von Soldaten und die Horden von
Zwecke nutzen – was wäre der „Supergau“ für
Experten in der Verteidigungsindustrie ver-
Deutschland? Welches Szenario könnte schnell
schiedener Länder, die sich mit dem Thema
wahr werden?
Offensivkapazitäten befassen, noch die gro-
Derer gibt es leider viele. Ich vertrete aber ßen Summen in den entsprechenden Etats.
die Auffassung, dass man keine Anleitungen Herr Ried beschreibt ein Symptom, nicht die
öffentlich zur Verfügung stellen sollte. Krankheit.
Wie kann man ein solches Szenario Wie schätzen Sie die Sicherheitslage deutscher
verhindern? Firmen generell ein?
Eine gesamtpolitische Auseinandersetzung Deutsche Firmen sind meiner Meinung nach
mit dem Thema wäre ein erster Schritt. hochgradig exponiert. Wir sind ein Exportland,
spezialisiert auf Prozess- und Produktionswis-
Kann man mit einem anständigen Computer sen. Anders als Rohstoffe ist unser Exportgut
einen Flughafen lahmlegen? Nennen Sie uns also perfekt geeignet, um aus unseren Compu-
bitte eine grobe Schätzung. Wie viele Men- tern entwendet (d. h. kopiert) zu werden, ohne
schen können das Ihrer Meinung nach? dass wir es merken.
Einige tausend Personen weltweit sind es Experten gehen davon aus, dass gezielte
bestimmt. Hackerangriffe jährlich Schäden in Millionen-
Manche Stimmen werden lauter: Panikmache höhe verursachen – glauben Sie, dass die Mehr-
und Forderung nach Aufklärung – worin sehen heit der CIOS und IT-Leiter derzeit in der Lage
Sie die Aufgaben von Produzenten von Soft- sind richtige und sinnvolle Schutzmaßnahmen
und Hardwareprodukten, um die Computersi- zu ergreifen?
cherheit zu verbessern? Nein, was unter anderem daran liegt, dass der
Es wäre schön, wenn die Produzenten endlich CEO es zur Aufgabe des IT-Leiters macht, als
ehrlich zur Politik wären. Immer neue Verspre- hätte der CEO damit nichts zu tun.
chen vom nächsten Wundermittel bringen uns
nicht weiter. Das Eingeständnis, dass die nicht
vorhandene Haftung ihrerseits das Kernpro-
Ethik und Militär | Ausgabe 2014/2 55Cyberwar - die digitale Front: Ein Angriff auf Freiheit und Demokratie?
Wird Sicherheit künftig der Bequemlichkeit den schon häufiger mal tot aufgefunden, wenn
geopfert? Internet in Bundeswehrkasernen – der Job erledigt ist.
wie sicher ist eine Emailadresse innerhalb der
Bundeswehr vor Hackern? Unterhalb der Schwelle eines bewaff-
neten Konflikts - was gibt es für einen
Sicherheit wird immer der Bequemlichkeit Regelungsbedarf?
oder Eitelkeit geopfert. Unternehmen haben
jahrelang großen Aufwand betrieben, um mit Wie gesagt sehe ich den größten Bedarf in der
BlackBerry eine halbwegs verlässliche Infra- Einführung von Produkthaftungen für Hard-
struktur zu schaffen, und dann wollten die und Software, zumindest wenn die Produkte
CEOs lieber iPhones. an den Staat oder das Militär geliefert wer-
den. Solange es einträglicher ist, völlig kaput-
Die Sicherheit einer Email innerhalb der Bun- tes Zeug zu verkaufen, damit man dann auch
deswehr kann man einfach mal testen lassen. noch die nächste Version verkaufen kann, gibt
Leider wird auch das fast nie gemacht, denn es kein Geld mit sicheren Computern zu ver-
die befürchtete Antwort will keiner hören. dienen, also baut sie auch keiner.
Wie sicher ist mein Smartphone (Samsung) Eine Frage nach dem Ausmaß und der Bedro-
vor Ihnen? hung durch Überwachung. Was würden Sie
einem Regierungschef sagen, der Googlemail
Vor mir ist es sicher. Ich habe kein Interesse
nutzt, mit dem Google-Browser Chrome surft
daran.
und ein Smartphone mit dem Google-Betriebs-
Manche Experten behaupten, dass es bislang system Android benutzt?
keinen einzigen Cyberangriff gegeben hat.
Ich würde fragen, warum er oder sie das Geld
Trotzdem wird immer wieder vom Cyberwar
der Bürger an Ministerien für Verteidigung, Spi-
gesprochen. Ist dies eine Strategie von Sicher-
onage und Spionageabwehr verschwendet,
heitsfirmen, Marketing- und Medienexperten
da dieses Verhalten deren Arbeit ad absurdum
und ist Cyberwar gar unreal?
führt. Außerdem würde mich interessieren,
Ob es Cyberangriffe gegeben hat ist eine Defi- inwieweit der Amtseid mit einer fahrlässigen
nitionsfrage und daher strittig. Nationalstaat- vollständigen Auslieferung des Staates an eine
liche Aktivitäten nehmen allerdings definitiv transnationale Supermacht vereinbar ist.
kontinuierlich zu, das ist leider kein Marketing,
NATO-Experten haben mit dem Tallinn
so sehr ich mir das auch wünschen würde.
Manual 2013 ein Handbuch bereitgestellt, das
Was macht einen guten professionellen Hacker sich mit der Anwendbarkeit des Völkerrechts
aus? im Cyberspace beschäftigt. Spielt das Handbuch
bei Hackern eine Rolle?
Integrität, Passion, Fachwissen und Fähigkei-
ten sowie die Kirche im Dorf lassen. Nein, das sind Policy-Fragen.
Müssen Hacker um ihr Leben fürchten bzw. Google/Apple/Microsoft – inwieweit sind diese
wie zimperlich sind Geheimdienste? Firmen eine Gefahr für die persönliche und
nationale Sicherheit?
Gewaltsame Todesfälle mit möglichem
geheimdienstlichem Hintergrund sind eher Googles Kontrolle über das gesamte Internet
selten bekannt geworden. Hacker, die für kri- sollte bei Fragen der nationalen Sicherheit
minelle Vereinigungen gearbeitet haben, wer- eine prominente Stellung einnehmen.
Ethik und Militär | Ausgabe 2014/2 56Cyberwar - die digitale Front: Ein Angriff auf Freiheit und Demokratie? Welche internationalen Cyberschutzgesetze brauchen wir? Wir sollten internationale Regeln aufbauen, welche die Kontrolle über das Internet in der Hand der demokratischen Länder der Welt belassen, obwohl diese die Minderheit aller Länder darstellen. Und welche Gesetze, etwa zur Produkthaftung, brauchen wir für die Sicherheit von Compu- tern oder Software? Volle Produktlieferung (keine Lizenz) und ent- sprechende Produkthaftung für vom Bund oder Bundeswehr beschaffte Software ist der erste und wichtigste Schritt. Nach chaotischen Anfängen werden Sie einen dramatischen Qua- litätsanstieg bemerken, Sicherheit inklusive. Im Cyberangriffsfall, rein hypothetisch gefragt: Würden Sie im Tarnanzug für Deutschland hacken? Ich helfe verschiedenen Ländern ihre Infra- struktur besser zu verteidigen. Einen Tarnan- zug habe ich dafür bis jetzt noch nie gebraucht. Das Interview führte Gertrud Maria Vaske, Chefredakteurin von „Ethik und Militär“. Ethik und Militär | Ausgabe 2014/2 57
Sie können auch lesen
