21 Sep 2012
Das Allerschlimmste: Horrorszenarien, die schon jetzt für Albträume sorgen – Fünf Hauptprobleme der IT-Sicherheit
Vor kurzen hab ich mich gefragt, wie viele Interviews ich pro Monat mit der Presse habe. Natürlich gibt es da riesige Unterschiede zwischen den verschiedenen Monaten, aber in den richtig beschäftigten Monaten können es bis zu 70 sein! Und das sind nur die gesprochenen Interviews, also jene, die persönlich oder übers Telefon gehalten werden. Würde ich die E-Mail-Interviews mit einbeziehen, würde die Nummer einfach nur albern wirken.
Aber ich beschwere mich nicht. Ganz im Gegenteil – ich liebe Interviews! Was mich an Richard Branson und seine einfache Regel für Interviews erinnert: „Wenn CNN mich anruft und sagt, sie wollen ein Interview, lasse ich alles stehen und liegen und mach es.“ Diese Regel befolge ich haargenau – und das nicht grundlos.
Die meisten Interviews sind, genau das, was man erwartet. Man fragt mich viele Fragen, ich beantworte sie so gut ich kann, und das war’s auch schon.
Es gibt aber einige Ausnahmen, bei denen ich von einem gut belesenen, akribisch bis zur Haarspaleterei informierten Journalisten interviewt werde, der nicht nur alles über mich, Kaspersky Lab und das, was wir machen, informiert ist, sondern auch alles über die Einzelheiten des spezifischen Interviewthemas weiß und mich darüber ausfragt. Am Ende der vorgesehenen Stunde bin ich K.O., kann praktisch nicht mehr denken, und habe das Gefühl, dass mir meine unsterbliche Seele zusammen mit meinen langatmigen Antworten auf die anspruchsvollen Fragen aus dem Körper gesaugt worden ist.
Das ist die Sorte, der verzwicktesten und beschwerlichsten Interviews, aber auch der Nützlichsten. Warum? Weil die grauen Zellen bei solchen intensiven Interviews einen oder auch drei Gänge höher schalten und richtig aktiv werden, auf neue Weisen denken und bekannte Themen von frischen Perspektiven aus betrachten. Bis zu dem Punkt, dass nach dem Interview mehr und mehr Ideen kommen, die zu neuen Einsichten führen. Schon sehr faszinierend, wie kreative Erkenkntnis funktioniert. Und alles durch einen super-scharfsinnigen Reporter, der seinen Job meisterhaft gemacht hat, mein Respekt. Und Danke!
Witzigerweise ist das, was diese „besonderen“ Interviews mit den normalen verbindet, die unumgängliche Frage darüber, was denn heute das wichtigste IT-Sicherheitsproblem ist – eine Frage wie „Wegen welcher IT-Sicherheitsbedrohung können Sie nachts nicht schlafen?“! Und das fragen mich nicht nur Journalisten in Interviews. Die Frage taucht praktisch bei jeder IT-Konferenz auf, an der ich teilnehme.
Darum: Wie vorher versprochen, präsentiere ich hier meine Liste der fünf Hauptprobleme der IT-Sicherheit, im weitesten Sinne des Wortes.
Ich sollte von Anfang an sagen, dass ich kein Rezept zur Heilung dieser fünf Probleme habe. Der Zweck dieses Artikels ist eher der, die Probleme zu identifizieren, Sie zum Nachdenken zu bringen und dazu zu bewegen, an der Diskussion teilzunehmen.
Also, hier ist meine Liste:
1. Privatsphäre (und der Mangel daran)
Damit meine ich die Privatsphäre des Privatlebens und alles was sich davon im Internet abspielt.
Die heutigen Bedrohungen des Privatlebens sind nicht was sie mal waren und machen die Aufrechterhaltung eines Minimums an Privatsphäre praktisch unmöglich. Gleichzeitig bemerken mehr und mehr Leute aber zum Glück, wie riesengroß das Volumen an Informationen über sie ist, das im Internet gespeichert ist. Ob das nun über die Zeitungen ist, die sie lesen, oder über TV-Serien (wie etwa 24 oder Spooks, wo Berge an persönlichen Daten über jeden Menschen nur ein paar Mausklicks entfernt sind („Kopieren sie das“)).
Die Verbreitung persönlicher Daten fängt mit ihrer freiwilligen Übertragen an verschiedene Internetdienste an, und geht über das Tracking von Flugbuchungen oder Kreditkartenkäufen bis zum Erfassen Ihrer physikalischen Bewegungen durch große Städte, Ihrer Telefonate, Ihrer E-Mails, und mehr.
Ein anderer Aspekt tauchte vor nicht langer Zeit auf, als tausende von SMS-Nachrichten des Russischen Anbieters Megafon geleakt und durch die Suchmaschine Yandex abrufbar wurden. Stellen Sie sich das vor! All ihre persönlichen SMS-Botschaften für alle zur Schau gestellt! Solche unabsichtlichen Leaks privater Daten wird es sicherlich wieder geben.
Also, Sie sind ins Bild gesetzt: Die Masse an Informationen, die sich im WWW über uns alle ansammelt, ist wirklich extrem und mag auch nicht immer sicher sein. Aber abgesehen von der riesigen, potentiellen Gefahr für uns alle als Individuen, ist die Gefahr für die nationale Sicherheit ganzer Länder ähnlich groß.
Also sollte es keine Überraschung sein, dass sich Gesetzgeber weltweit immer mehr in die Regulierung der Sammlung und Abspeicherung von Nutzerdaten einmischen. Nicht, dass sie dafür das Rad neu erfinden müssten. Sie müssen eigentlich nur die Maßnahmen, die für unser Offline-Leben gelten, übertragen. Zum Beispiel sollten Internet-Dienste nicht das Recht haben, private Informationen zu verlangen, wenn ähnliche Dienstleistungen offline gefunden werden können, bei denen Sie diese nicht einreichen müssten.
Und für all die, die meinen, dass es noch eine Chance dafür gibt, auch nur entfernt so etwas wie ein unantastbares, privates Leben zu führen, empfehle ich die folgenden Videos.
2. Das Fehlen von Internetpässen (als das einzige, das die Demokratie noch retten kann)
Ich habe dieses Thema bereits in meiner Pressekonferenz zum Jahresrückblick und zur Vorausschau für 2012 angesprochen. Doch hier noch einige Details dazu…
Es ist etwas abgedroschen zu sagen, dass die jüngeren Generationen anders sind als die älteren. Aber es stimmt! Sie leben und denken anders, und können sich nicht vorstellen, wie die Welt ohne die heutige Technologie aussah, die sie für so selbstverständlich halten – Handys, Internet, Wi-Fi, Skype, persönliche Blogs, Soziale Netzwerke, Videospiele und vieles mehr. Sie leben praktisch in der digitalen/online Domäne, und werden dort für immer leben. Wichtig ist, dass sie nie zur Wahl gehen werden, wenn sie dafür aufstehen müssen! Sie werden nur wählen gehen, wenn sie es online tun können. Und für richtige Online-Wahlen braucht man ein System von Internetpässen. Aber so etwas haben wir zur Zeit nicht – wie Ihnen natürlich bewusst ist. Erkennen Sie die Auswirkungen für die Basis der Demokratie?
Die Auswirkungen daraus, dass die jüngeren Generationen nicht zur Wahl gehen (weil es keine Internetpässe gibt) sind viel weitreichender als man sich anfangs vorstellen kann.
Die technologisch verschärfte Distanz zwischen den Generationen wird die Bevölkerung immer weiter polarisieren: Große Teile – die jüngsten und aktivsten – werden von der Politik vollkommen abgeschnitten und von politischen Entscheidungen, die angeblich in ihrem Name getroffen werden, keine Ahnung haben. Politische Macht wird nur die Interessen älterer Generationen widerspiegeln, das heißt, die der so genannten „digitalen Einwanderer“, nicht die der „digitalen Einwohner“. Gleichzeitig wird der politische Aktivismus der jüngeren Generationen weiter heranwachsen, solange ihr Gefühl der Isolation wächst und wächst. Was Revolutionen heraufbeschwören und den Fall von Regierungen herbeiführen kann.
Daher sehe ich die Entwicklung und Einführung sicherer digitaler IDs – sozusagen Internetpässen – als eine der wichtigsten Aufgaben, mit denen die Industrienationen heute konfrontiert sind. Zum Glückt ist es vom technischen Standpunkt her leicht durchzuführen. Politisch ist das eine ganz andere Geschichte.
Es wäre logisch, biometrische Internetpässe nur für jene Dienste einzuführen, die auch in der Offline-Welt eine physische Identifikation des Nutzers erfordern: Bankingdienste für die Transaktionen, bei denen man eine Art ID vorzeigen müsste, Registrierung für einen Flug… Und wie ich bereits erwähnt habe, sollte man für Online-Einkäufe oder Korrespondenzen mit Freunden keinen Internetpass benutzen müssen. Dann gibt es den „mittleren“ Weg der Identifikation, bei dem die Anonymität erhalten wird: Für Dienste, die nicht Ihren vollen Namen, sondern zum Beispiel nur Ihr Alter erfordern – etwa den Kauf alkoholischer Getränke und Tabaks, Zugang zu Erwachsenenseiten und viele andere. Hier ist die gute Nachricht wieder, dass anonyme „mittlere“ Identifikation ebenfalls technisch leicht möglich ist.
3. Soziale Netzwerke (als Instrument, um die Meinung der Öffentlichkeit zu manipulieren)
In jeder Gesellschaft, in jedem Land, gibt es immer gegsätzliche Meinungen und Feindseligkeiten – selbst wenn diese nur schlummern. Ist es möglich, Soziale Netzwerke zu benutzen und schlummernde Konflikte zu wecken, und Menschen in wütende Aktivisten zu verwandeln? Natürlich – das ist sogar sehr einfach! Besonders wenn man bedenkt, dass ein Großteil der Nutzer Sozialer Netzwerke junge Menschen sind – entsprechend offenen und aktiv.
Heute empfangen wir Informationen von vielen verschiedenen Quellen, unter anderem aus dem traditionellen Fernsehen, dem Radio, aus Zeitungen und anderen gedruckten Veröffentlichungen, aber auch aus Sozialen Netzwerken. Aber wie akkurat sind die Informationen, die dort veröffentlicht werden? Für die traditionellen Massenmedien wird das, was sie herausgaben oder zeigen, durch Gesetzgebung reguliert. Wenn ein Journalist unwahre oder unangemessen provokative Informationen veröffentlicht, wird sein Herausgeber früher oder später dafür gerade stehen müssen – wahrscheinlich vor Gericht – und mit der Zahlung einer saftigen Geldstrafe rechnen müssen. Und man muss immer auch an den guten Ruf des Herausgebers denken, der für die Erhaltung der Leserschaft lebenswichtig ist. Den guten Ruf aufs Spiel zu setzen, ist einfach nicht im Interesse der Medienriesen; daher sind sie in der Regel sehr vorsichtig damit, was sie senden/veröffentlichen – sehr Verantwortungsvoll.
Mit Sozialen Netzwerken ist es anders. Es ist nicht immer klar, wer sich hinter einem Namen verbirgt, also nimmt die Verantwortung für das Geschriebene ab. Bis zu dem Punkt, wo jeder praktisch alles über jeden schreiben kann – ob es stimmt oder nicht. Wenn man es so sieht, können Soziale Netzwerke als effektive Plattformen für die Manipulation der Massen benutzt werden, um falsche Gerüchte zu säen und zu verbreiten, oder um die Bevölkerung zu provozieren und falsch zu informieren. Natürlich können Soziale Netzwerke auch für positive Dinge verwendet werden, aber der springende Punkt ist, dass sie leicht missbraucht werden können, was bei den alten Medien nicht der Fall ist. Es gibt keine Wachhunde, die Soziale Netzwerke überwachen.
In der Theorie, und zweifellos auch in der Praxis, können soziale Netzwerke benutzt werden, um Gesellschaften zu destabilisieren (unabhängig, ob das Ihrer Ansicht nach, in gewissen Fällen etwas Gutes oder Schlechtes ist). Man braucht nicht lange, um Beispiele hierfür zu finden: Im Jahr 2010 hatten wir den Arabischen Frühling, den Amerikanischen Sommer, den Britischen Sommer und den Russischen Winter. Wie die Propagandablätter, die in früheren Kriegen von Flugzeugen aus über feindlichem Gebiet verstreut wurden, sind Soziale Netzwerke ihre aktuelle Version, um heute ähnliche Propagandakampagnen zu leiten – und nicht alle verfolgen objektiv-gute Zwecke.
Die Chinesische Lösung – alle Nutzer eines Sozialen Netzwerks auf der Basis eines ID-Dokuments zu registrieren – ist zu viel des Guten, sicherlich. Es ist aber auch alles andere als einfach, das richtige Gleichgewicht zu finden, um Redefreiheit und Anonymität zu gewährleisten und gleichzeitig die Möglichkeit der Massenmanipulation auszuschließen. Dies ist eines der Probleme, auf die ich keine Antwort habe. Irgendwelche Ideen?
4. Internetkriminalität (davon hören wir so oft)
Internetkriminalität, wie Sie wahrscheinlich auch schon gemerkt haben, ist global aufgestellt.
Meiner Einschätzung nach, kosten die dreckigen Machenschaften der Cyberkriminellen die Weltwirtschaft jährlich mehrere Milliarden Dollar, vielleicht Hunderte von Milliarden. Zum Glück haben die Regierungen verschiedener Länder wenigstens angefangen, einen konstruktiven Dialog über das Problem zu führen, und internationale Projekte und regionale/nationale Cyber-Polizeieinheiten eingerichtet; die IMPACT-Einheit der UN gibt es seit 2008 und Interpol hat die Eröffnung einer Sondereinheit für die Bewältigung von Internetkriminalität in Singapur für das Jahr 2014 angekündigt. Also selbst, wenn das Problem der Cyberkriminalität in den nächsten Jahren nicht vollkommen gelöst wird (was höchst unwahrscheinlich ist), kommt auf Cyberkriminelle wenigsten eine sehr viel härtere Zeit zu. Dies ist – ich muss sagen: leider – nicht der Fall bei den Leuten hinter der Cyberkriegsführung.
5. Cyberkriegsführung
Bis jetzt wurde noch keine offiziell etablierte und weitgehend anerkannte Definition militärischer und/oder terroristischer Cyber-Angriffe eingeführt. Bis dahin lautet meine Definition so:
Cyberkriegsführung sind Angriffe auf Systeme, die für nationale und/oder globale Wirtschaftsbereiche als auch für die nationale und/oder globale Sicherheit von kritischer Wichtigkeit sind, und die zum Ziel haben, die militärische Kraft zu schwächen, und Nationen so bedeutenden Schaden zuzufügen, dass sie nicht gewohnt oder gewünscht handeln können, mit gravierenden Konsequenzen für die Bevölkerung – mitunter auch mit Todesopfern als Folge.
Und wenn Sie meinen, dass solche Bedrohungen sich anhören, als kämen sie aus einem Stück Science-Fiction, habe ich wirklich schlechte Nachrichten für Sie: All das gibt es bereits, und zwar schon heute.
Einer der ersten Cyberkriegsangriffe, der bereits 2007 gestartet wurde, war mehr oder weniger harmloser Natur (wenn so ein Wort in diesem Kontext überhaupt möglich und/oder angemessen ist): Vielleicht erinnern Sie sich daran, wie als Folge eines DDoS-Angriffs auf eine estnische Webseite das ganze baltische Land vom Internet abgeschnitten wurde. Aber das war noch gar nichts, im Vergleich mit dem, was kommen sollte…
Im Jahr 2010 erfuhr die Welt von einer zweiten Welle gezielter Cyber-Angriffe – diesmal war es ernster.
Ein unglaublich komplizierter Computerwurm namens Stuxnet schaffte es, in das Netzwerk der iranischen Nuklearanlage einzudringen, ihr industrielles Computersystem zu sabotieren und ihre Zentrifuge für Urananreicherung physisch zu beschädigen. Interessanterweise, hatte das Computernetwerk keinen Internetanschluss.
Seit Stuxnet tauchen immer mehr solcher Meldungen an der Cyber-Front auf. Die jüngste Entdeckung war der Flame-Wurm, der zeigt, wie sehr es sich in Bezug auf Cyberkrieg in der Welt aufheizt. Und ich zweifle nicht daran, dass Regierung hinter all dem stecken.
Also, was ist an Cyberwaffen so gefährlich? Ich werde mich nicht wiederholen: Lesen Sie meinen letzten Artikel dazu. Erlauben Sie mir nur, hier die Feststellungen zusammenzufassen, zu denen ich bis jetzt gelangt bin.
Der gefährlichste Aspekt von Cyberwaffen ist die Unvorhersehbarkeit ihrer Nebeneffekte.
Im schlimmsten Fall hat eine Cyberwaffe, die auf ein spezifisches industrielles Ziel ausgerichtet ist, nicht die Fähigkeit, ihr Opfer wirklich akkurat auszuwählen – entweder aufgrund eines Fehlers im Algorythmus oder einem banalen Fehler im Code – was bei der Größe und Komplexität leicht der Fall sein kann. In Folge solch eines Angriffs würde das Opfer – sagen wir mal hypothetisch ein Kraftwerk – nicht alleine beeinträchtigt werden: Alle anderen Kraftwerke der Welt mit dem gleichen technologischen Design wären es auch. Ein tödlicher Bummerang-Effekt.
Es ist praktisch unmöglich, sich heutzutage vor solchen Angriffen zu schützen. Um das zu tun, müsste man im Grunde jeden existiernden Software-Code neu designen und auf sicherer Betriebssysteme wechseln. Es ist klar, dass das nahezu unmöglich ist; selbst wenn es möglich ware, können Sie sich das Ausmaß der dafür benötigten Mittel vorstellen? Kein Staat würde sich je erlauben, solche kolossalen Investitionen in die IT-Sicherheit vorzunehmen.
Also, was können wir tun?
Dieses Problem muss auf dieselbe Weise gelöst werden, wie die Probleme der chemischen, biologischen und nuklearen Waffen in der Vergangenheit. Was gebraucht wird, ist ein internationales Abkommen über Zusammenarbeit, Nichtverbreitung und Nichtnutzung von Cyberwaffen. Und solch ein Projekt muss von einem unabhängigen internationalen Verband organisiert und koordiniert werden – wie eine Cyber-IAEA, im Idealfall unter der Schirmherrschaft von so etwas wie den Vereinten Nationen.
Ich glaube, dass die Nationalstaaten bald das volle Ausmaß der Gefahr des Einsatzes von Cyberwaffen verstehen werden und letzten Endes dem Ganzen ein Ende setzen – wenn nicht der Entwicklung, dann wenigstens dem Einsatz und der Verbreitung von Cyberwaffen.