Datenhunger von Regierungen zerstört Online-Vertrauen
18.05.2016 von Kevin Bocek
Der FBI-Apple-Streit um die iPhone-Verschlüsselung in den USA oder die wiederholte Sperre von WhatsApp durch die brasilianische Justiz aus ähnlichen Gründen: Es zeigt sich mehr und mehr, dass sich Regierungen Zugriff auf digitale Schlüssel und Zertifikate erpressen wollen. Das ist ein akutes Problem.
Die digitalen Schlüssel und Zertifikate, auf die es Regierungen und staatliche Institutionen weltweit abgesehen haben, bilden die Grundlage für Cybersicherheit und sind das Rückgrat für den Schutz von persönlichen Daten. Die Weitergabe von Zertifikaten und Schlüsseln an solche Organisationen ist ein gravierender Einschnitt in die Persönlichkeitsrechte.
In der Praxis sind das Server, Clouds, Mobilgeräte, Anwendungen und sämtliche Geräte, auch Devices aus dem Internet der Dinge (Internet of Things, IoT). Im Wesentlichen ermöglichen sie Endpunkten miteinander zu sprechen, zu wissen, wem oder was vertraut werden kann und wem oder was nicht: Kommt man an den richtigen Schlüssel, kann man diese Kommunikationen kontrollieren und hat die Möglichkeit, auf alle gewünschten Daten zuzugreifen.
Regierungen sind erpicht auf den Zugang und fordern einen "Master Key", mit dem sie im Notfall Zugriff auf sämtliche verschlüsselte Daten erhalten können. Aber kann man sich angesichts der bisherigen Erfahrungen wirklich darauf verlassen, dass Behörden und staatliche Institutionen einen solchen kryptographischen Schlüssel pfleglich behandeln? Daten bedeuten Macht und die korrumpiert - die absolute Gewalt über Informationen der Bürgerinnen und Bürger ist keine Lösung. Es wäre töricht zu denken, dass Regierungen dagegen immun sind.
Regierungen hätten am liebsten einen "Master Key" für den vollen Zugriff auf alle Verschlüsselungssysteme. Foto: juliannedev - www.shutterstock.com
Präzedenzfall Snowden
Edward Snowden enthüllte die Aktivitäten der NSA (für die immerhin ein gestohlener kryptographischer Schlüssel verwendet wurde). Und kürzlich stellte sich heraus, dass die britische Regierung Millionen Bürger ausspioniert hat. Tatsache ist, dass Regierungen bereits viel zu weit gehen und Daten über Bürger erlangen, von denen viele weder eine Straftat noch einen Verstoße begangen haben - und das ohne das Wissen oder die Zustimmung der Bürger selbst. Dabei handelt es sich nicht nur um ein Problem für Technologieunternehmen wie Apple - jedes Unternehmen ist heute ein digitales Unternehmen und alle Organisationen sind Verwalter von Daten.
Privatsphäre ist ein grundlegendes Recht und muss auch in der digitalen Welt geschützt werden. Dies bestätigt das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinem aktuellen Lagebericht zur IT-Sicherheit: "Mathematische Kryptographie ist der zentrale und stärkste Grundbaustein für IT-Sicherheitsmechanismen zur Wahrung von Vertraulichkeit, Integrität und Authentizität digitaler Informationen."
Gefahr von Blueprints
Der Zugriff auf Daten ist aber nur ein Teil beim Schutz der Privatsphäre. Die eigene IP, das Kundenvertrauen und Firmengeheimnisse sollten abgeschirmt werden, deshalb werden sie so gut gehütet. Immer wieder gab es Sicherheitsverstöße durch Organisationen und auch durch staatliche Einrichtungen. Wenn jetzt eine zentrale Institution alle Befugnisse bekommt, entsteht eine enorme Verantwortung. Es ist nicht sinnvoll, denn auch ein Masterschlüssel kann gestohlen werden. Cyberkriminelle könnten dann einfach jedes Bankkonto leerräumen und Sicherheitsmechanismen umgehen. Der Schaden wäre immens.
Rechtmäßige Unternehmen zu zwingen, den Zugang zu ihren Software-Lösungen durch die Hintertür zu ermöglichen, führt zu Blueprints, die möglicherweise in die falschen Hände gelangen können. Ein Beispiel dafür ist Stuxnet: Hier schuf die US-Regierung eine Sicherheitslücke, bei der missbrauchte Schlüssel und Zertifikate für ihre eigenen Zwecke genutzt wurden. Sie wurden bald gestohlen und auf die denkbar schlimmste Weise eingesetzt - in einem Versuch, kritische Infrastrukturen zu manipulieren. Dieser Regierungsangriff bildete die Basis für einen Angriffsplan, der nun auch von gewöhnlichen Cyberkriminellen eingesetzt wird.
Internet of Things könnten gefährlicher als Atombomben werden
Geheimnisse bleiben nicht geheim, insbesondere nicht in der dunklen Welt der Geheimdienste. Die USA bauten die erste Atombombe und entwickelten die Technologie immer weiter, jetzt hat Kim Jong Un seinen Finger über dem 'roten Knopf'. Ein Master Key hat ein weitaus zerstörerisches Potential. Die ganze Welt, kritische Infrastruktur, der Online-Handel, Krankenhäuser, alles ist heute über Maschinen miteinander verbunden - gelingt es jemandem, diese Maschinen zu übernehmen, steht man vor einem Jahr-Null-Szenario. Die Gesellschaft könnte zusammenbrechen. Die wachsende Zahl an Geräten in diesem maschinenabhängigen Netz sowie die zunehmende Nutzung des Internet der Dinge (IoT) machen das Problem noch akuter. (sh)
Die Geschichte des Computer-Virus
1986: Brain Mehr als ein Jahrzehnt, bevor Napster für irgendjemanden ein Begriff war, wurde der erste Computervirus entwickelt - um Softwarepiraterie zu bekämpfen. Der Autor, der das Wort "Cyber" in die Welt setzte, war William Gibson - genannt "Brain". Basit und Amjad Alvi entwickelten und vermarkteten medizinische Software im pakistanischen Lahore. Sie interessierten sich für zwei Dinge. Zuerst wollten sie die Multitasking-Funktionalität der neuen DOS-Betriebssysteme (sogenannte "TSR"-Systeme) testen. Zweitens wollten sie sehen, ob es im Vergleich zu anderen Betriebssystemen wie Unix Sicherheitslücken in DOS gibt.<br /><br />Als sie bemerkten, dass DOS recht anfällig war, hatten sie die Idee, ein Stück Software zu schreiben, das überwacht, wie die Software und die Disketten sich bewegen. Brain verbreitete sich viral über 3,25-Zoll-Disketten und innerhalb weniger Wochen mussten die Alvis ihre Telefonnummern ändern. Das hat Ihnen allerdings wenig genützt, denn 25 Jahre nach der Entwicklung des ersten PC-Virus machte sich Mikko Hypponen von F-Secure im Frühjahr 2011 auf die Reise nach Lahore. Sein Ziel: die Adresse, die im Code zu finden war. Tatsächlich fand er die Alvi-Brüder dort vor und bekam die Gelegenheit, mit ihnen das erste Video-Interview über Brain zu führen.
1987: Stoned Erstellt durch einen Gymnasiasten in Neuseeland, wurde Stoned zunächst als harmlos angesehen. Zunächst machte er sich auch lediglich mit der Meldung "Your PC is now Stoned" bemerkbar. Doch als erster Virus, der den Bootsektor eines PCs infizierte, zeigte Stoned, dass Viren die Funktion eines Computers steuern können - und zwar von dem Moment an, in dem er eingeschaltet wird. Bob Dylan wäre stolz gewesen.
1990: Form Form wurde zu einem der meistverbreiteten Viren überhaupt. Am 18. eines jeden Monats entlockte er den PC-Lautsprechern ein klickendes Geräusch - jedes Mal, wenn eine Taste gedrückt wurde. Das war zwar durchaus ärgerlich, aber harmlos.
1992: Michelangelo Michelangelo wurde dazu genutzt, alle Daten auf einer Festplatte zu bestimmten Terminen zu überschreiben. Als eine Variante von Stoned - nur deutlich bösartiger - war Michelangelo wohl der erste Computervirus, der es auf internationaler Ebene in die Nachrichten geschafft hat.
1992: VCL Das Virus Creation Laboratory (VCL) machte es kinderleicht, ein bösartiges kleines Programm zu basteln – durch die Automatisierung der Virenerstellung über eine einfache grafische Schnittstelle.
1993: Monkey Monkey - ebenfalls ein entfernter Verwandter von Stoned - integrierte sich heimlich in Dateien und verbreitete sich anschließend nahtlos. Damit war Monkey ein früher Vorfahre des Rootkits: Ein selbstverbergendes Programm, das den Bootvorgang per Diskette verhindern konnte. Wenn es nicht korrekt entfernt wurde, verhinderte Monkey gar jegliche Art des Bootens.
1995: Concept Als erster Virus, der Microsoft Word-Dateien infizierte, wurde Concept zu einem der häufigsten Computer-Schädlinge. Schließlich war er in der Lage, jedes Betriebssystem, das Word ausführen konnte, zu infizieren. Achja und: Wurde die Datei geteilt, wurde auch der Virus geteilt.
1999: Happy99 Happy99 war der erste E-Mail-Virus. Er begrüßte User mit den Worten "Happy New Year 1999" und verbreitete die frohe Botschaft per E-Mail auch gleich an alle Kontakte im Adressbuch. Wie die frühen PC-Viren richtete Happy99 keinen wirklichen Schaden an, schaffte es aber dennoch, sich auf Millionen von PCs auf der ganzen Welt auszubreiten.
1999: Melissa Angeblich benannt nach einer exotischen Tänzerin, stellte Melissa eine Kombination aus klassischem Virus und E-Mail-Virus dar. Er (beziehungsweise sie) infizierte eine Word-Datei, verschickte sich dann selbst per E-Mail an alle Kontakte im Adressbuch und wurde so zum ersten Virus, der innerhalb weniger Stunden zu weltweiter Verbreitung brachte.<br />Melissa kombinierte das "Spaß-Motiv" der frühen Virenautoren mit der Zerstörungskraft der neuen Ära: Der Virus integrierte unter anderem Kommentare von "The Simpsons" in Dokumente der Benutzer, konnte aber auch vertrauliche Informationen verschicken, ohne dass Betroffene dies bemerkten. Nicht lange nach Melissa wurden Makroviren praktisch eliminiert, indem Microsoft die Arbeitsweise der Visual-Basic-Makro-Sprache in Office-Anwendungen änderte.
2000: Loveletter Dieser Loveletter hat Millionen von Herzen gebrochen und gilt noch heute als einer der größten Ausbrüche aller Zeiten. Loveletter verbreitete sich via E-Mail-Anhang und überschrieb viele wichtige Dateien auf infizierten PCs. Gleichzeitig ist es einer der erfolgreichsten Social-Engineering-Attacken überhaupt. Millionen von Internet-Nutzern fielen dem Versprechen von der großen Liebe zum Opfer und öffneten den infizierten E-Mail-Anhang. Der geschätzte, weltweite Gesamtschaden betrug Schätzungen zufolge 5,5 Milliarden Dollar.
2001: Code Red Der erste Wurm, der sich ohne jegliche Benutzerinteraktion innerhalb von Minuten verbreitete, trug den Namen Code Red. Er führte verschiedene Aktionen in einem Monatszyklus aus: An den Tagen eins bis 19 verbreitete er sich - von Tag 20 bis 27 startete er Denial-of-Service-Attacken auf diverse Webseiten - beispielsweise die des Weißen Hauses. Von Tag 28 bis zum Ende des Monats war übrigens auch bei Code Red Siesta angesagt.
2003: Slammer Netzwerk-Würmer benötigen nur ein paar Zeilen Code und eine Schwachstelle - schon können sie für ernste Probleme sorgen. Slammer brachte auf diese Weise das Geldautomaten-Netz der Bank of America und die Notrufdienste in Seattle zum Absturz. Sogar das Flugverkehrskontrollsystem war nicht gegen den agilen Bösewicht immun.
2003: Fizzer Fizzer war der erste Virus, der gezielt entwickelt wurde, um Geld zu verdienen. In Gestalt eines infizierten E-Mail-Anhangs kam er auf die Rechner seiner Opfer. Wurde die Datei geöffnet, übernahm Fizzer den Rechner und benutzte diesen, um Spam zu versenden.
2003: Cabir Cabir war der erste Handy-Virus der IT-Geschichte und hatte es gezielt auf Nokia-Telefone mit Symbian OS abgesehen. Cabir wurde über Bluetooth verbreitet und bewies, dass der technologische Fortschritt alleine kein wirksames Mittel gegen Hacker und Cyberkriminelle ist.
2003: SDBot SDBot war ein Trojanisches Pferd, das die üblichen Sicherheitsmaßnahmen eines PCs umging, um heimlich die Kontrolle zu übernehmen. Er erstellte eine Backdoor, die es dem Autor unter anderem ermöglichte, Passwörter und Registrierungscodes von Spielen wie "Half-Life" und "Need for Speed 2" auszuspionieren.
2003: Sobig Sobig war eine Optimierung von Fizzer. Die Besonderheit: Einige Versionen warteten zunächst ein paar Tage nach der Infektion eines Rechners, bevor die betroffenen Rechner als E-Mail-Proxy-Server benutzt wurden. Das Ergebnis? Eine massive Spam-Attacke. Alleine AOL musste mehr als 20 Millionen infizierte Nachrichten pro Tag abfangen.
2004: Sasser Sasser verschaffte sich über gefährdete Netzwerk-Ports Zugang zum System, verlangsamte dieses dramatisch oder brachte gleich ganze Netzwerke zum Absturz – von Australien über Hongkong bis nach Großbritannien.
2005: Haxdoor Haxdoor war ein weiterer Trojaner, der nach Passwörtern und anderen privaten Daten schnüffelte. Spätere Varianten hatten zudem Rootkit-Fähigkeiten. Im Vergleich zu früheren Viren setzte Haxdoor weitaus komplexere Methoden ein, um seine Existenz auf dem System zu verschleiern. Ein modernes Rootkit kann einen Computer in einen Zombie-Computer verwandeln, der ohne das Wissen des Benutzers fremdgesteuert werden kann - unter Umständen jahrelang.
2005: Sony DRM Rootkit Im Jahr 2005 hatte eine der größten Plattenfirmen der Welt die gleiche Idee, die schon die Alvi-Brüder im Jahr 1986 hatten: Ein Virus sollte Piraterie verhindern. Auf den betroffenen Audio-CDs war nicht nur eine Musik-Player-Software, sondern auch ein Rootkit enthalten. Dieses kontrollierte, wie der Besitzer auf die Audio-Tracks der Disc zugreift. Das Ergebnis: ein medialer Shitstorm und eine Sammelklage. Letzterer konnte sich Sony nur durch großzügige Vergleichszahlungen und kostenlose Downloads außergerichtlich erwehren.
2007: Storm Worm Laut Machiavelli ist es besser, gefürchtet als geliebt zu werden. Sieben Jahre nach Loveletter, machte sich der Schädling Storm Worm unsere kollektive Angst vor Wetterkapriolen zu Nutze. Dazu benutzte er eine E-Mail mit der Betreffzeile "230 Tote durch Sturm in Europa". Sobald der Dateianhang geöffnet wurde, zwangen eine Trojaner- Backdoor und ein Rootkit den betroffenen Rechner, sich einem Botnetz anzuschließen. Botnetze sind Armeen von Zombie-Computern, die verwendet werden können, um unter anderem Tonnen von Spam zu verbreiten. Storm Worm kaperte zehn Millionen Rechner.
2008: Mebroot Mebroot war ein Rootkit, dass gezielt konstruiert wurde, um die gerade aufkommenden Rootkit-Detektoren auszutricksen. Dabei war der Schädling so fortschrittlich, dass er einen Diagnosebericht an den Virenschreiber sendete, sobald er einen PC zum Absturz gebracht hatte.
2008: Conficker Conficker verbreitete sich rasend schnell auf Millionen von Computern weltweit. Er nutzte sowohl Schwachstellen in Windows, als auch schwache Passwörter. Kombiniert mit einigen fortschrittlichen Techniken, konnte Conficker weitere Malware installieren. Eine - besonders fiese - Folge: die Benutzer wurden durch den Virus vom Besuch der Website der meisten Anbieter von Security-Software gehindert. Mehr als zwei Jahre nachdem Conficker erstmals gesichtet wurde, waren immer noch täglich mehr Rechner infiziert.
2010: 3D Anti Terrorist Dieses "trojanisierte" Game zielte auf Windows-Telefone ab und wurde über Freeware-Websites verteilt. Einmal installiert, startete der Trojaner Anrufe zu besonders teuren Sondernummern und bescherte den Nutzern überaus saftige Rechnungen. Diese Strategie bei Apps ist immer noch neu - wird sich aber vermutlich zu einer der gängigsten Methoden entwickeln, mit denen Hacker und Cyberkriminelle künftig mobile Endgeräte angreifen.
2010: Stuxnet Wie schon gesehen, haben Computer-Viren schon seit Jahrzehnten Auswirkungen auf die reale Welt - doch im Jahr 2010 hat ein Virus auch den Lauf der Geschichte verändert: Stuxnet. Als ungewöhnlich großer Windows-Wurm (Stuxnet ist mehr als 1000 Prozent größer als der typische Computerwurm) verbreitete sich Stuxnet wahrscheinlich über USB-Geräte. Der Wurm infizierte ein System, versteckte sich mit einem Rootkit und erkannte dann, ob der infizierte Computer sich mit dem Automatisierungssystem Siemens Simatic verbindet. Wenn Stuxnet eine Verbindung feststellte, veränderte er die Befehle, die der Windows-Rechner an die PLC/SPS-programmierbaren Logik-Controller sendet - also die Boxen zur Steuerung der Maschinen.<br /><br /> Läuft er auf PLC/SPS, sucht er nach einer bestimmten Fabrikumgebung. Wenn diese nicht gefunden wird, bleibt Stuxnet inaktiv. Nach Schätzungen der F-Secure Labs, kostete die Umsetzung von Stuxnet mehr als zehn Mannjahre Arbeit. Immerhin zeigt das, dass ein Virus, der offensichtlich eine Zentrifuge zur Urananreicherung manipulieren kann, nicht im Handumdrehen von Jedermann erschaffen werden kann. Die Komplexität von Stuxnet und die Tatsache, dass der Einsatz dieses Virus nicht auf finanziellen Interessen beruhte, legt den Verdacht nahe, dass Stuxnet im Auftrag einer Regierung entwickelt wurde.