Hallo,
in der Tat ein interessantes Thema, allerdings auch eines, zu dem die meisten Journalisten, Politiker und "Sicherheitsexperten" jede Menge Geschwafel von sich geben, weil die Thematik so umfassend ist, dass sie die meisten Leute schlicht überfordert. Weil sie aber was in ihren Blättern schreiben müssen, was Joe Sixpack bzw. Otto Normalverbraucher zum Kauf des Blattes anregen soll, kommt dann immer der allmächtige US-Geheimdienst NSA drin vor, der ganz bestimmt jede E-Mail und jeden Forumsbeitrag weltweit durchliest und selbstverständlich die Terroristen, die den Atomreaktor per Web-Attacke zur Kernschmelze bringen.
Zu den Begriffen, die mit "Cyber-" anfangen und böses beschreiben - also Cyber-War, /-Terror, /-Kriminalität etc. - diese werden fast ausschliesslich von der Rüstungs- und Sicherheits-Lobby verwendet, man sieht dann recht schnell, "welch Geistes Kind" die Texte sind. Damit soll Angst gemacht und gleichzeitig für das jeweilige eigene Konzept oder Produkt Werbung gemacht werden, das einen vor der Cyber-Bedrohung schützen soll. Hier empfiehlt sich sehr kritisch und aufmerksam zu bleiben, um nicht den sehr geschickt agierenden PR-Strategen auf den Leim zu gehen.
Ich hab das Vergnügen, als Gutachter für die EU ein wenig in diese Materie hineinlugen zu dürfen, in den Bereichen "Future Internet", "Privacy" und "Protection of critical Infrastructures". Dort wird man dann sofort mit Begriffen wie "Cloud Computing", "Internet-of-things", Software-as-a-Service (SaaS) oder "Infrastructure-as-a-Service" (IaaS) bombardiert.
Genau dort liegen IMO auch die Gefahren.
Worum geht es?
Mit Cloud Computing umschreibt man die heute fast schon selbstverständliche Vernetzung verschiedener Systeme, die eigentlich völlig verschieden sind und die dadurch dem einzelnen Anwender Zugriff zu Services ermöglichen, die er mit seinem System oder Endgerät alleine nicht hätte. Fast alle von uns leben bereits in der "Cloud", ohne sich dessen bewusst zu sein.
Beispiele:
- Bestellung eines Buches per Smartphone bei Amazon und Bezahlung auf elektronischem Weg, authentifiziert durch die SIM-Karte im Handy.
- Nutzung eines Web-Mail-Dienstes wie Google-Mail, web.de oder GMX - ich vertraue meine (private) Mail-Korrespondenz irgendjemand (dem Freemail-Anbieter) an und lasse ihn meine Daten archivieren und bereithalten.
- Soziale Netzwerke wie Facebook verleiten ihre Nutzer dazu, ihre persönlichen elektronischen Adressbücher, die sie lokal auf ihrem Rechner oder Smartphone haben für den Sozialnetz-Betreiber freizuschalten, damit sich dieser die Kontaktdaten in die Datenbank hochladen kann, um dann (als Service!) nach möglichen Verknüpfungen einzelner Kontakte zu suchen.
- Online-Backup-Dienstleister bieten den Nutzern Gigabytes an Speicherplatz an, um die Daten ihres lokalen Rechners regelmässig im Hintergrund zu sichern. Der Nutzer muss dabei auf Vertraulichkeit und Zuverlässigkeit des Anbieters hoffen, dem er seine privatesten Computerdaten anvertraut.
- Moderne Computer binden den Nutzer standardmässig in die "Cloud" ein: Betriebssystem und Anwendungen tauschen (oft ungefragt) Daten mit ihrem Hersteller aus, welche Daten zu welchem Zweck da unterwegs sind, erfährt man nur bruchstückhaft. "Problembericht senden" kennt jeder Computernutzer. Und dass "automatische Updates" insgesamt gesehen eher besser sind, als hunderttausende ungepatchte Rechner mit offenen Sicherheitslücken, hat inzwischen auch jeder noch so MS-misstrauische Administrator akzeptiert - und schon sind alle diese Rechner in der Cloud.
- Immer mehr Software v.a. im professionellen Bereich läuft nicht mehr lokal auf dem Rechner des Anwenders, sondern mehr und mehr "online" beim Anbieter. Software-as-a-Service. Wer mit Autowerkstätten-EDV zu tun hat, kennt deren elektronische Werkstatthandbücher und Ersatzteillisten. Früher (vor 5 Jahren noch) wurden solche Anwendungen auf CD geliefert, lokal installiert und internetunabhängig betrieben. Dann kam die komfortable Möglichkeit dazu, per Internet die Daten aktualisieren zu können und mit der Verbreitung schneller Internetzugänge verlagerte sich die Anwendung komplett in die "Cloud". Bei Mercedes gab es früher den "Electronic Parts Catalogue" auf CD-ROM (auf der jeweils sämtliche Teile und Montagezeichnungen von ein paar Modellreihen hinterlegt waren). Aus dem EPC ist nun "EPC online" geworden - Zugang per Internet.
- Die Buchhaltungssoftware Lexware Financial Office wird mit der Standardeinstellung ausgeliefert bzw. installiert, dass beim Erstellen einer Datensicherung das Häkchen "Datensicherung an Lexware überspielen" gesetzt ist (man muss sich das mal auf der Zunge zergehen lassen: bei der Sicherung werden alle buchhalterischen Daten aller im Programm angelegten Mandanten in ein ZIP-Archiv geschrieben und dann mir nix dir nix mal eben an den Softwarehersteller überspielt!). Willkommen in der Cloud.
Rechtlich gesehen, liegen übrigens die meisten Patente rund ums cloud computing interessanterweise bei der Firma Amazon. Wer cloud computing im Web kommerziell machen möchte, kommt nicht umhin, die nötigen Techniken dazu bei Amazon zu kaufen bzw. zu lizenzieren. Jeder Webshop-Software-Hersteller, jeder Bezahldienstleister, jeder "unterschiedliche-Plattformen-Vernetzer" nutzt Amazon-Know-how.
Die Gefahren im "Cyberspace" sehe ich weniger in Terror-Attacken oder militärischem bzw. staatlichem Missbrauch - da reden wir in 10 Jahren nochmal drüber.
Die Gefahren bestehen heute IMO darin, dass die Anwender noch kein Gefühl für die "Sicherheit" ihres Tuns in der Cloud haben und dass die Anbieter aus reinem Profit-Interesse, alles das machen, was Umsatz und Gewinn verspricht, um Sicherheit, Legalität und sonstige Negativfolgen kümmert man sich nicht. Allein schon deshalb, weil sich die Technik und die massenhafte Anwendung (Facebook, StudiVZ, Google) viel schneller entwickeln, als der gesellschaftliche Konsens, was "richtig" und was "falsch" ist. Von der Rechtsprechung im Internetzeitalter ganz zu schweigen.
Diese Dynamik macht Politkern, Industrielobbyisten und "Sicherheitsfachleuten" natürlich Sorgen, sie geben den Takt nicht mehr vor, sondern sind gezwungen, hinterherzulaufen und sobald der gewöhnliche "Cloud"-Nutzer mal böse auf die Nase gefallen ist, fürchten unsere Mächtigen die Frage "Warum habt ihr uns nicht davor geschützt?"
Zu den Attacken aufs Internet. Die gibt es ständig. Der klassische picklige Computerhacker, der von Mafiosi angeheuert wird und mal eben per Datenleitung in Systeme marschiert, ist dabei Klischee. Sicherheitskritische Anlagen, wie z.B. die Regelung eines Kernreaktors hängen nicht am Internet, ein Angriff müsste also so erfolgen, dass man die Bedienmanschaft durch getürkte Informationen so manipuliert, dass sie z.B. den Reaktor abschaltet. Dazu müsste man die Informationszugänge (Telefon, Radio, TV) der Bedienermanschaft komplett und plausibel manipulieren...
Die meisten Attacken sind heute darauf aus, Rechner zum Versenden von Spam-Mails zu manipulieren, mit denen dann für Potenzmittel geworben wird.
Dann folgen Angriffe, die versuchen, Rechner durch permanentes Zumüllen mit elektronischen Anfragen zu überlasten, um sie so an ihrer eigentlichen Arbeit zu hindern (Denial-of-Service, DoS-Attacke).
Schließlich folgen Angriffe, die bestehende Sicherheitslücken ausnutzen, um die Kontrolle über einen Rechner zu erlangen, um z.B. ein Spionageprogramm zu installieren, das die Tastatureingaben abfängt, um z.B. an Passwörter oder PINs zu kommen.
Ähnlich, aber ohne nachweisbare Manipulation des lokalen Anwenderrechners, ist das "Phishing", das hauptsächlich beim Onlinebanking verwendet wird. Man versucht entweder den Anwender auf eine mehr oder weniger gut nachgemachte Webseite seiner Bank zu locken und ihm so eine gefakte Login-Prozedur unterzujubeln, wobei die eingetippten Angaben nicht bei der Bank sondern bei den Kriminellen landen. Vergleichbar, aber technisch raffinierter ist es, per cross-site scripting von einer vom Anwender geöffneten (unsichtbar "bösen") Internetseite aus die im gleichen Browser geöffnete Originalwebseite des Onlinebanking unter Kontrolle zu bekommen und z.B. durchsichtige Eingabefelder über die Originaleingabefelder der Bankseite zu legen, die die getippten Eingaben abfangen und zum Server der bösen Webseite weiterleiten.
Die meisten tatsächlich schädlichen Angriffe benötigen immer noch die Mitarbeit des Nutzers vor dem Computer oder die persönliche Anwesenheit des Angreifers z.B. am Firmennetzwerk.
In letzter Zeit viel diskutiert wurde der "Not-Aus-Knopf" fürs Internet, den sich Präsident Obama wünscht, oder den "Internet-Radiergummi" für Soziale Netzwerke, denn die dt. Familienministerin gerne hätte. Das ist naiv. Das Internet ist kein zentral gesteuertes Organ. Nicht mehr.
Der Witz an TCP/IP-Netzwerken ist, dass der Weg der Datenpakete nicht strikt vorgegeben ist, ja nicht mal vorhersagbar ist, sobald es alternative Datenpfade gibt. Die Daten werden abhängig von der Verfügbarkeit und der Auslastung einzelner Zweige transportiert. Dazu hat jedes IP-Paket die Zieladresse und seine Absenderadresse an Bord. Was "abschaltbar" ist, sind die Domain-Name-Server, die die gut merkbaren www-Adressen den unhandlichen IP-Adressnummerblöcken zurodnen, also wissen,
welche IP z.B. hinter http://www.survivalforum.ch steckt, nämlich 78.46.77.98.
Schaltet man einzelne Nameserver ab, können Anfragen zu bestimmten www-Domains nicht mehr aufgelöst werden und man bekommt als Surfer die Fehlermeldung "Domain not found" oder so ähnlich. Kennt man die IP-Adresse jedoch und tippt diese anstelle der www-Domain ein, kommt man auch bei ausgefallenem DNS-Server ans Ziel.
Natürlich kann man Internethauptleitungen kappen oder stören. Aber dazu müsste man alle in Frage kommenden Leitungen kennen, physisch darauf Zugriff haben und ggf. unauffällig und koordiniert angreifen, dürfte aufwendig sein.
Noch ein Nachtrag zum Cyber-Missbrauch durch die vielgerühmten Terroristen oder Untergrundkämpfer wofür oder wogegen auch immer:
vernetzte Systeme haben immer auch Schwachstellen und irgendwer findet sie auch irgendwann heraus. So haben Aufständische im Irak die gefunkten Bilder von Aufklärungsdrohnen abgefangen und entschlüsselt - die Schwachstelle war eine ("todsichere") aber leider fest eingestellte Verschlüsselung der Daten an Bord der Drohnen. Für dynamischen Wechsel der Kryptoschlüssel war das US-Militär offenbar noch nicht reif genug. So genügte den Angreifern die irgendwo mal geleakte Information, wie die Drohnen ihre Daten verschlüsseln.
Noch besser ist das unautorisierte Benutzen von Kommunikationskanälen. Fast alle alten Kommunikationssatelliten egal ob TV oder Militär arbeiten als "dumme" Relaisstation: sie empfangen auf einer Frequenz, alles was ihre Antennen einfangen und senden es verstärkt auf ihrer Sendefrequenz wieder aus. Das machen sich manche Amateure zu nutze und Hijacken Satellitenkanäle von Militärsatelliten und in China gelang es der Gruppe Falun-Gong mal, einen der staatlichen TV-Kanäle des Satellitenfernsehens zu entern, in dem sie dem Satellit einfach ihre Videobotschaft mit mehr Sendeleistung hochgeschickt haben, als das staatliche Bespassungsprogramm. So konnten theoretisch Millionen chinesischer Zuschauer erreicht werden: statt Tagesschau gabs Revoluzzer-Propaganda...
Das zeigt, dass Kommunikationssysteme natürlich auch missbraucht werden können, vor allem wenn sie schlecht designt worden sind.
Wenn das Internet (stellenweise) zusammenbricht, dann weniger wegen gezielter Cyber-Angriffe sondern eher wegen pleite gegangener Internet-Dienstleister, eingesparter Wartung an der Telekom-Infrastruktur und Schlamperei. In einem Post-Crash-Szenario sind das natürlich ernstzunehmende Optionen.
Ganz wegbekommen wird man das Internet nicht mehr. Dafür ist zuviel Internet-Technik auf dem Globus verteilt vorhanden. Lokale Netze lassen sich prima und völlig abgekoppelt vom grossen Internet aufrechterhalten (MESH-Netze wie openwireless.ch, freifunk.net). Anleitungen und Erfahrungsberichte zu solchen Adhoc-Netzen gibt es zuhauf im: olsr.org, das Buch Mesh von Corinna Aichele ist lesenswert, der Do it Yourself-Guide für ein Freifunk-Netzwerk aus Südafrika auch.
Man lernt dabei auch, dass die Menschen in Entwicklungs- und Schwellenländer uns da durchaus voraus sind - die betreiben solche eigenen Datennetze schon...
...mal wieder etwas länger geworden, sorry :sleep:
Grüsse
Tom
bin weder verwandt noch verschwägert mit Tupperware (auch mit keiner "Tupperfee"...) noch habe ich Aktien der Chemie- und Erdölindustrie.