#BundesHack – Warum es kommen musste, wie es gekommen ist – #CIOKuratorLive Gespräch mit dem Hacker und Sicherheitsexperten @JANOTTA_A

Wir vertiefen das Interview

Adrian Janotta hat eine Biografie, wie aus einem Film, so Robert Weber. Software-Entwickler. Freundin hat ihn verlassen, dann abgestürzt, Job verloren, dann Shops im Internet gehackt, erwischt worden (Update von RW: Wurde nicht beim Hacken erwischt – darauf legt er Wert. War eine Verkehrskontrolle – Alkohol – und dann haben die ein paar Festplatten im Kombi gefunden). Kam in den Knast, hat Uli Hoeneß im Gefängnis getroffen und hinter den schwedischen Gardinen BWL studiert. Direkt nach der Freilassung gründete Janotta eine Security-Firma und berät mittlerweile die Deutsche Bank und mittelständische Maschinenbauer. Naiv bei der IT-Sicherheit seien nicht nur die Unternehmen, sondern auch die Sicherheitsfirmen, warnt Janotta:

“Sie versprechen Sicherheit, die sie nicht einhalten können.”

Man kauft eine Firewall, um Netzwerke zu schützen. Dennoch wird man gehackt. “Das passiert leider ständig.” Dieses Szenario könne man Anti-Viren-Software-Hersteller übertragen. Computer seien trotz dieser Virenwächter voller Spionagesoftware. Es mehren sich die Stimmen, das diese Hersteller Daten von Unternehmen sammeln und sensible Daten speichern.

“IT-Sicherheit ist heute zu einem Machtinstrument von Staaten geworden, sie missbrauchen Sicherheitssysteme für den Cyberkrieg”, erklärt Janotta.

Janotta plädiert für den Einsatz von Open Source-Software.

“Auch die US-Behörden setzen das sein, wenn es um Cyber-Sicherheit geht.”

Selbst die NSA würde Open Source-Software empfehlen, die von Communities entwickelt werden, die auf Sicherheit achten.

“Beim aktuellen Bundes-Hack sagt man ja, dass das ein Hochsicherheitsnetz sei – also der Kommunikationsverbund Berlin-Bonn, worüber auch das BSI läuft.”

Problem: Hier werde mit Software von Microsoft gearbeitet. Die Schwachstellen in diesem System werden regelmäßig herausgefunden und im Darknet verkauft. Es gebe einen regen Handel mit den sogenannten Exploits, also den Schwachstellen, die man systematisch ausnutzen und missbrauchen kann. Selbst die Mafia könne das kaufen und den Bundestag oder die Bundesregierung angreifen.

Um das zu verhindern, muss man die IT-Sicherheit professionalisieren.

Am Dienstag, den 13. März werde ich das im Gespräch mit Adrian Janotta vertiefen. Wie müsste die Cyber-Abwehr in Behörden organisiert werden? Welche Fachleuchte braucht man? Sollte man Gegenangriffe starten?

Läuft als Livestream via Facebook. Habt Ihr Fragen? Dann jetzt schon in der Blog-Kommentarfunktion unten posten oder live mitmischen auf Facebook.

Siehe auch:

HOLT HACKER IN DIE BUNDESBEHÖRDEN – SPANNENDES INTERVIEW VON @ROBERT_WEBER MIT DEM SICHERHEITSEXPERTEN @JANOTTA_A

Hallo, Sicherheits-Gichtlinge von CSU & Co.: Was leisten denn nun Eure Truppen im Cyberkrieg? #9vor9 – @digitalnaiv @axelopp Live-Debatte am Dienstagvormittag

Erinnert sich noch jemand an den Koalitionsvertrag der GroKo, der 2013 beschlossen wurde? Da war ja die CSU mit ihrem damaligen Innenminister Friedrich besonders eifrig bei der Aufrüstung der Sicherheitsbehörden im so genannten „Cyberkrieg“. Da ließ man es so richtig krachen – mit neuem Personal, lukrativen Berateraufträgen und einer opulenten Einkaufsliste für das Beschaffungsamt.

Cyber-Abwehrzentrum klingt toll, hat aber wohl noch nicht das professionelle Niveau erreicht, um Hacks auf Bundesbehörden zu verhindern. Bekommt das BSI überhaupt das Fachpersonal, wenn man nach den Kriterien des öffentlichen Dienstes bezahlt wird?

Alvar Freude hat auf heise.de ein paar weitere Punkte aufgeführt, die man im „Cyberkrieg“ berücksichtigen sollte:

„Stoppt die Windows-Monokultur! Die öffentliche Verwaltung in Deutschland ist, bis auf wenige Ausnahmen, fest in der Hand von Microsoft.“

Wird Stefan Pfeiffer erfreuen.

Dann noch:

„Weniger Schlangenöl! IT-Sicherheit orientiert sich in der Praxis auch daran, was die Hersteller anbieten. Dies ist oft nur wirkungsloses Schlangenöl, manchmal aber auch richtig gefährlich. So wäre es besser, statt HTTPS-Verbindungen aufzubrechen, den Browser gleich in eine eigene abgeschottete und besonders überwachte Virtuelle Maschine zu packen. Und natürlich ist es sinnvoll, Flash zu deinstallieren, anderes wie regelmäßig erzwungene Passwort-Änderungen gefährdet aber wiederum die Sicherheit.“

Weiterer Punkt von Alvar Freude:

„IT-Sicherheit braucht einen höheren Stellenwert! Trotz aller Lippenbekenntnisse fristet IT-Sicherheit in vielen Bereichen immer noch ein Nischendasein. Die reine Funktionalität ist meist wichtiger, die Sicherheit wird oftmals erst hinterher angehängt statt von Anfang an eingeplant.“

Zentrale Infrastrukturen sollte man vermeiden – klingt logisch:

„Zentrale Infrastrukturen mögen theoretisch relativ einfach zu verwalten sein, sind aber auch eine Methode, um es Angreifern besonders leicht zu machen, denn sie sind zentral angreifbar.“

Und dann kommt der Punkt der Professionalisierung der Behörden:

„Verwaltung muss selbst Kompetenzen aufbauen! In der öffentlichen Verwaltung, aber auch in großen Unternehmen, läuft im IT-Bereich ohne externe Mitarbeiter kaum etwas. Besser wäre, wenn die Unternehmen und Behörden eigene Kompetenzen aufbauen und intern gut qualifizierte Mitarbeiter hätten, die nicht nur im Trial-and-Error-Verfahren so lange herum probieren bis etwas zu funktionieren scheint. Dies muss sich aber auch in der Bezahlung niederschlagen. Gut qualifizierte Mitarbeiter kosten Geld, und sie brauchen Zeit und Gelegenheit zum Lernen.“

Wird auf dem TVöD-Niveau nicht funktionieren – siehe oben.

Auf Bundesebene könnte man das auch ansiedeln bei der BWI Gesellschaft mit beschränkter Haftung. Die können auch Verträge aufsetzen, die über das Niveau der Behörden gehen.

Ich bin ja nun von Stefan Pfeiffer gefragt worden, ob diese Gesamtthematik in einem starken Digitalministerium angesiedelt werden sollte? Jep. Dieses Haus könnte das vielleicht schneller aufgreifen als das BMI. Aber das hat sich ja erledigt. Insofern muss das Innenministerium unter Horst Seehofer jetzt ran (kicher).

In der Live-Sendung #9vor9 werden wir das aufgreifen:

Datenhoheit und -unabhängigkeit – Lieblingsthema von Stefan Pfeiffer. Wird Spotify zum Netflix der Google Cloud Plattform? Hacker-Angriffe auf das Regierungsnetz. Brauchen wir mehr Digitalkompetenz in der Bundesregierung? Wie gut ist denn nun das Cyber-Abwehrzentrum? Fragen über Fragen für #9vor9 von ciokurator.com

Ihr könnt mich nicht verunsichern! #Ergo-bibamus

Ergo auch nicht die Zeilen des Handelsblatt-Chefredakteurs, die ich heute früh als Newsletter bekommen habe:

Guten Morgen Herr Sohn,
unsere heutige Titelgeschichte befasst sich mit einem Mann, dessen Firma in den vergangenen Wochen traurige Berühmtheit erlangt hat. Torsten Oletzky ist Vorstandschef der Ergo-Versicherung. Seine Vertreter wurden mit einer Sex-Reise belohnt, seine Versicherungsnehmer mit falsch kalkulierten Policen bestraft, und den Aufsichtsrat hat er mehrfach falsch informiert. Der Mutterkonzern Munich Re treibt die Aufklärung der diversen Eskapaden nun selbst voran. „Der verunsicherte Konzern“ – so ist unsere Titelgeschichte überschrieben – braucht einen Neuanfang, meinen auch immer mehr Aufsichtsräte. Soweit die E-Mail des Handelsblatt-Verlages.

Zur Aufklärung der Sexaffäre und zum Abbau allgemeiner Verunsicherung wurde dieses Video produziert. Die Kampagne läuft unter dem Slogan: Ergo bibamus! Also lasst uns trinken!

Für mehr Sicherheit wollen die Staatskrieger im Cyber-Abwehrzentrum in Bonn sorgen. Ihre Uniform wirkt extrem abschreckend gegen Viren, Würmer, Mutationen, Hacker oder Cyber-Terroristen:

Ob das etwas anmaßend titulierte Cyber-Abwehrzentrum mehr leisten kann, als neue Planstellen zu schaffen, wird in einem Beitrag für NeueNachricht kritisch hinterfragt: „Wir sollten den gesunden Ingenieursverstand einschalten“ – Smart Grid kann mehr Sicherheit schaffen als ein Cyber-Abwehrzentrum.

Auszug: Welche betriebs- und volkswirtschaftlichen Schäden dabei wirklich eingetreten sind, ist allerdings unklar. „Die Sicherheitsexperten sollten weniger im Konjunktiv reden, sondern klar benennen, wo ein wirklicher Schaden aufgetreten ist und was dabei lahmgelegt wurde. Und Stuxnet war ja nicht gerade das Werk von klassischen Cyber-Kriminellen. Wer ständig auf der Metaebene warnt und durch nebulöse Horrormeldungen sich in Szene setzt, bewirkt für die IT-Sicherheit genau das Gegenteil. Die Sensibilität nimmt ab“, kritisiert Peter B. Záboji, Chairman des After Sales-Spezialisten Bitronic. Einer Entnetzung das Wort zu reden, sei genauso fahrlässig. Ohne intelligente Netze sei beispielsweise die Energiewende nicht zu realisieren. Ein Ausbau der Stromtrassen reiche nicht aus, so Záboji. Das sieht auch IT-Experte Bernd Stahl von Nash Technologies so: „Durch die schwankende Einspeisung von Windkraft und Solarenergie muss die Netzauslastung durch ein intelligentes Netz ständig analysiert und gesteuert werden. Das Smart Grid wird also Stromausfälle verhindern und für Stabilität sorgen. Es ist der Schlüssel zu einer sicheren Energiewende.“

Mit Sicherheit werden uns die vier Stromkonzerne in den nächsten Jahren noch auf den Keks gehen. Für die Oligolisten ist kein Platz an der Sonne, so der Titel meiner Kolumne für „The European“.

Der vermeintliche Cyberwar und die Sicherheitskeule

Erinnert sich jemand noch an die Horrorszenarien, die zur Jahrtausendwende von so genannten Sicherheitsexperten an die Wand gemalt wurden? Passiert ist zum Nuller-Jahr dann so gut wie nichts. Die entsprechenden Software-Anbieter sind allerdings wohl um einige Milliarden reicher geworden. Man sollte daher immer genau hinschauen, wer die Sirengesänge trällert. Wer wirtschaftlich davon profitiert, ist nicht gerade ein glaubwürdiger Anwalt in Sicherheitsfragen. Genauso fragwürdig sind die Sicherheitspolitiker, die das Thema instrumentalisieren, um Freiheitsrechte auszuhebeln.

Im Gegensatz zu seinem Vorgänger wählt Bundesinnenminister Hans-Peter Friedrich wieder eine schrillere Tonlage als oberster Verteidiger der inneren Sicherheit. Er kommt ja auch von der Mir-san-Mir-Partei CSU. Entsprechend wächst auf einmal wieder das Bedrohungspotenzial im Staate. Es sei nur eine Frage der Zeit, bis kriminelle Banden eine virtuelle Bombe haben, tönte er vor ein paar Wochen. wird der „Mit solchen Angriffen könnte eine Volkswirtschaft empfindlich beeinträchtigt werden“, formulierte der Staatsapologet den Cyberterror im Konjunktiv.

Er hält die bisherigen Bemühungen, der wachsenden Gefahr entgegenzutreten, für unzureichend. Mit den Partnern in der NATO überlege man, „wie wir uns auch gegen potenzielle Cyberangriffe wappnen können“. Ob es diese Bedrohung real nun gibt oder nicht, es wird händeringend nach einem neuen Grund für die Existenzberechtigung des atlantischen Bündnisses gesucht. So eine Art Arbeitsbeschaffungsprogramm für gelangweilte Generäle, die nach dem Niedergang der roten Gefahr aus dem Osten unter Hospitalismus leiden.

Das Nationale Cyber-Abwehrzentrum, das im April seine Arbeit aufgenommen hat und heute offiziell in Bonn eröffnet wurde, sei nur ein „erster Schritt, um der Gefahr zu begegnen“, fabulierte der oberste Sicherheits-Sheriff. Diese Steilvorlage wird von den Sicherheitsbehörden des Bundes dankend angenommen. Es sei dringend geboten, das Abwehrzentrum mit Mitarbeitern aus dem Bundesamt für Sicherheit in der Informationstechnik (BSI), des Verfassungsschutzes und des Bundeskriminalamtes personell aufzustocken. Wie wäre es denn mit den eifrigen Knöllchenjägern, GEZ-Gebühreneintreibern, Parkwächtern, Hundekontrolleuren kommunaler Ordnungsämter und Mülltrennungsprüfern? Mental passen die alle gut zum CSU-Politiker.

Die Rabulistik der Vertreter eines sicheren und starken Staates ist immer gleich. Ob CSU, BKA oder BDK – sie schüren Ängste, um eine Mehrheit für schärfere Gesetze zu gewinnen. Politisch funktioniert das in Deutschland wie ein Uhrwerk – demoskopisch ist das sehr gut erforscht. Je dramatischer die Sicherheitslage dargestellt wird, desto einfacher ist es möglich, unter Berufung auf die Sicherheit einen großen Teil der Bevölkerung von der Notwendigkeit massiver Eingriffe in die Freiheitsrechte des Einzelnen zu überzeugen. Allensbach hat folgende Frage gestellt: „Einmal unabhängig davon, ob das tatsächlich verboten ist oder nicht: Was meinen Sie, was sollte der Staat in jedem Fall verbieten, wo muss der Staat die Menschen vor sich selbst schützen?“ Rund 60 bis 80 Prozent nennen eine ganze Latte an Verboten, die weiter gehen als derzeit vom Gesetzgeber gewünscht. Der Schlüssel für diese Meinungsmanipulation steckt in der Formulierung, dass viele Menschen vor sich selbst geschützt werden müssen. Selbst vom Grundgesetz garantierte elementare Grundrechte werden dann infrage gestellt, sobald der Eindruck entsteht, dass ihre Einschränkung der Verwirklichung größerer Sicherheit dienen könnte. Genau diese Instinkte bedienen die politischen Sicherheitsgichtlinge. „Der Reset-Knopf ist eine lächerliche Schnapsidee“, konterte Constanze Kurz vom Chaos Computer Club. Damit würden sowohl die Menschen vom Informationsfluss abgeschnitten als auch die Wirtschaft generell ausgeschaltet. Die Kriminalitätsstatistik zeige zudem, dass Straftaten im Internet deutlich häufiger aufgeklärt würden als in der nichtvirtuellen Welt. Es sei gefährlich, das Netz als Gefahrenraum aufzublasen.

Kult der Sicherheit

Insgesamt nerven die immer häufiger auftretenden Initiativen von Politikern und Behörden, im Internet den starken Super-Nanny-Staat zu etablieren. Egal, um welche Frage es geht. Immer mehr versuchen politische Meinungsführer „den Staat als treusorgenden Hirten“ zu verkaufen, moniert der Medienphilosoph Norbert Bolz in seinem Buch „Die ungeliebte Freiheit“. Wie der absolute Vater einmal die Menschen von der Bürde der Freiheit entlastete und damit das Urmodell paternalistischer Sicherheit bot. Die Adepten des Schnüffelstaates, des Schutzes und der totalen Fürsorge bedienen sich aus der semantischen Trickkiste von Thomas Hobbes: Der Mensch ist per se böse und gefährlich. Und Gefährlichkeit impliziert Herrschaftsbedürftigkeit. Freiheit kann es nicht ohne Risiko geben, stellte hingegen Max Weber fest.

Wer Freiheit vom Risiko verspricht, betreibt einen Kult der Sicherheit. Doch wer frei von Risiko leben will, gewinnt keine Sicherheit, sondern opfert seine Freiheit. Hier lohnt wieder die Lektüre des Anarchisten Max Stirner (Hauptwerk „Der Einzige und sein Eigentum“). Der Staat bestellt vermeintliche Gutmenschen als Zensoren, die mit größtem Wohlwollen Einfluss auf uns ausüben wollen. Der Ort der Freiheit liegt aber dort, wo uns der Leviathan nicht findet: im Chaos, in der Unübersichtlichkeit. Das wird der Hauptgrund sein, warum die fröhliche Web-Anarchie die Sicherheitsfetischisten auf den Plan ruft. Herrliche Zeiten für Freigeister. „Ein intelligenter Mensch überlegt sich die Sache selber und läuft nicht wie ein herrenloser Hund hinter Autoritäten her“, so das Plädoyer von Paul Feyerabend.

Siehe auch:
Vorhang auf für den Cyber-Minister.