Salzstreuer im Dienste der Sicherheit

Bundestags-Hack. Schon wieder. Dabei liegt der letzte nicht mal zwei Jahre zurück. Ein geheimer Bericht soll Sicherheitslücken in der IT des Deutschen Bundestags enthüllt haben. Nun wird über geeignete Maßnahmen spekuliert. Ganz vorne mit dabei: die Sensibilisierung. Wir zeigen, was geht…

Dem Bericht der Firma Secunet zufolge ist die IT des Bundestags für Hackerangriffe anfällig. In den Systemen wurden zahlreiche Sicherheitslücken festgestellt, berichteten NDR und Süddeutsche Zeitung, aber auch Die Zeit, jeweils ausgehend von dem geheimen Bericht. Offen zugängliche Netzwerkanschlüsse, zu viele verschiedene Endgeräte, kein Gerätemanagementsystem, keine Sperren gegen das Installieren und Ausführen von Software und Apps, offene USB-Anschlüsse. Der Internetverkehr kann abgehört und mitgeschnitten werden, Hacker können sich Zugriff auf das Bundestagsnetz verschaffen, indem sie Geräte der Abgeordneten und Mitarbeiter mit Schadsoftware infizieren – die Zahl der möglichen Einfalltore ist unüberschaubarm, denn ständig kommen neue hinzu.

Bereits Anfang Mai 2015 informierte das Bundesamt für Verfassungsschutz den Deutschen Bundestag und das Bundesamt für Sicherheit in der Informationstechnik (BSI) darüber, dass „mindestens zwei Rechner aus dem Netz des Deutschen Bundestags kompromittiert wurden“. Gemeinsam mit einem externen Dienstleister untersuchte das BSI damals den Vorfall und stellte dabei weitere Auffälligkeiten und Anomalien fest. Der Angriff entsprach dem Muster einer typischen APT-Attacke, bei der zuerst einzelne Rechner infiziert und diese dann als Eingangstor für weitere Attacken, das Hoch- und Herunterladen von Dokumenten, Schadsoftware etc., genutzt wurden. „Aufgrund der Analyse des Vorfalls ist davon auszugehen, dass es die Täter unter anderem auf ausgewählte E-Mail-Postfächer abgesehen haben“, fasste das BSI seine Ergebnisse im Bericht „Die Lage der IT-Sicherheit in Deutschland 2015“ zusammen. Die Täter konnten nicht ermittelt werden. Die APT-Attacke entsprach einem Muster, das „von nahezu allen bekannten Cyber-Spionagegruppen angewandt wird“.

Auch wenn die Urheber der Attacke nicht eindeutig festgestellt werden konnten – Evgeny Kaspersky nennt nicht ohne Grund Attribution als eine der größten Herausforderungen für die Informationssicherheit –, befürchten Abgeordnete, dass vor der Bundestagswahl sensible Inhalte aus den gestohlenen E-Mails veröffentlicht werden könnten, beispielsweise von ausländischen Geheimdiensten, die auf diese Weise die deutschen Politiker und deren Politik, in letzter Konsequenz aber auch das Wahlergebnis beeinflussen könnten.

Eine Frage der Klasse

Die Stellungnahme des BSI zum Cyberangriff auf den Deutschen Bundestag in „Die Lage der IT-Sicherheit“ ist nur eine halbe Seite lang. Das BSI übernahm zwar die Untersuchung der Vorfälle aus dem Jahr 2015, doch der BSI-Präsident, Arne Schönbohm, scheint keine Gelegenheit auslassen zu wollen, zu betonen, dass das BSI für die IT-Infrastruktur des Deutschen Bundestags nicht zuständig und damit für den (die) Bundestags-Hack(s) nicht verantwortlich sei. Nun kommt ein geheimer Bericht, der von einer IT-Sicherheitsfirma im Auftrag der Bundesverwaltung im Februar 2017 erstellt worden sein soll, zu dem Ergebnis, dass man in das Netz des Bundestags (nach wie vor) leicht einbrechen kann.

Für ein geübtes Auge stellen sich bereits im Zusammenhang mit diesem „geheimen Bericht“ erste interessante Fragen bezüglich der Schwachstellen im Sicherheitskontrollsystem des Bundestags. Wenn der Bericht tatsächlich „geheim“ ist und das Dokument als solches gekennzeichnet wurde, warum erfahren wir dann überhaupt davon und warum werden die Zeitungen über dessen Inhalte informiert? Die Klassifizierung von Dokumenten ist eine der ältesten Sicherheitsmaßnahmen überhaupt. Die Anforderung besteht darin, alle Unterlagen, Dokumente und Präsentationen, aber auch den Schriftverkehr einer Vertraulichkeitsklasse zuzuordnen (die beispielsweise „öffentlich“, „intern“, „geheim“ oder gar „streng geheim“ heißen).

Diese Vorgabe existiert nicht erst, seitdem jeder Mitarbeiter pro Tag mehrere Dutzend Mails verschickt, anstelle, wie im haptischen Arbeitszeitalter, ein paar Briefe zu tippen. Dokumente, die als „geheim“ oder „vertraulich“ eingestuft wurden, werden entsprechend ihrer Vertraulichkeitsklasse behandelt, also nur verschlüsselt archiviert und anschließend ausschließlich intern an eine definierte Empfängergruppe übertragen, mit Schattennummern versehen und gar nicht digitalisiert oder in Stahlschränke eingeschlossen aufbewahrt und nur an berechtigte Personen herausgegeben. Jede Organisation definiert selbst Maßnahmen, die notwendig sind, um den Schutz der Dokumente der Klasse „geheim“ oder „streng geheim“ zu gewährleisten – angefangen bei ihrer Erstellung über ihre Verarbeitung bis hin zu ihrer Löschung oder Vernichtung.

Zweitens: Warum ist der Bericht zur Sicherheitslage der IT-Infrastruktur des Bundestags überhaupt geheim? Hat nicht jeder Bürger das Recht, zu erfahren, wie es um die Sicherheit des größten repräsentativen Gremiums in Deutschland steht? Und zwar nicht erst aus der Zeitung oder über WikiLeaks, sondern vom Bundestag selbst?

Solange es die Dokumentenklasse „geheim“ gibt, solange gibt es auch die Versuchung, alles, was man tut, als „geheim“ zu klassifizieren. Damit erleichtert man sich nicht nur die Arbeit – indem einfach alles verschlüsselt oder in Schränke eingeschlossen wird –, sondern man verhindert auch, dass andere einen Einblick in die Inhalte und Ergebnisse der eigenen Arbeit erhalten. Jede Information zu verschlüsseln oder einzuschließen ist für die betreffende Organisation zwar kostspielig, doch vor allem dann, wenn sie eventuell nicht viel vorzuzeigen hat, ist der Verweis auf das Geheime ein prima Alibi, um keinem Kontrolleur einen Einblick in die Misere der eigenen Leistung zu ermöglichen.

Die Möglichkeiten, beides zu umgehen, sind recht einfach: Man schreibt die Vorgabe über Schutzklassen in der Security-Policy fest und erstellt ein Leitfaden, wie der Verfasser von Dokumenten diese klassifizieren kann. Dann beauftragt man von Zeit zu Zeit die interne Revision damit, zu überprüfen, ob die Vorgabe wirksam umgesetzt und nicht etwa missbraucht wird.

Best Practice – wann, endlich?

Die bekannt gewordenen Ausschnitte des geheimen Berichts zur IT im Deutschen Bundestag von Secunet setzen jedoch andere Akzente. Es wird bemängelt, dass die Abgeordneten bei ihrer Arbeit USB-Sticks, verschiedene Endgeräte oder nicht zertifizierte Software und Apps nutzen. Unkontrolliert. Doch obwohl man von einigen der Abgeordneten durchaus etwas mehr Security-Awareness erwarten dürfte – insbesondere von denjenigen, die auf ihren „Privilegien“ beharren und sich an der Pforte des Bundestags nicht ausweisen möchten –, sollten auch die Volksvertreter die Vorzüge der IT und des Internets für ihre Arbeit nutzen dürfen.

Während das Beharren der Parlamentarier auf unkontrollierten Zutritt zum Bundestag nicht nur für die Pförtner ein Problem darstellt, die am Einlass „beschimpft und beleidigt“ werden, wie Hans-Martin Tillack im Stern berichtete, sondern auch die Sicherheit des Reichstags gefährden kann, gilt für die Cybersicherheit nicht mehr das Entweder-oder-Prinzip. Früher hieß es tatsächlich, dass ein besserer Schutz der IT-Infrastruktur nur gegen Einbußen in der Benutzerfreundlichkeit (Usability) zu erreichen sei. Mit dem Ergebnis übrigens, dass die Systeme bald weder sicher noch einfach zu bedienen waren. „Stop trying to fix the user“ tönte es deswegen im letzten Jahr aus dem Blog des US-Sicherheitsgurus Bruce Schneier.

Während BSI-Präsident Arne Schönbohm beim Sicherheitspolitischen Forum NRW auf das Publikum zeigend immer noch von der Schwachstelle Mensch sprach (Wer hat Sicherheitsprogramme auf dem Smartphone?) und (sinngemäß) betonte, dass „wir, wie wir hier sitzen, die größte Schwachstelle sind, weil wir nicht richtig sensibilisiert wurden“, klärt Bruce Schneier auf, dass das Problem nicht der Nutzer sei. Die „Cloud“ sei nichts anders als ein Raum voller Server, der gekühlt, gelüftet, gewartet wird und für den es Zutritts-, Zugriffs- und Zugangsberechtigungen geben sollte. Das Passwortmanagement könne vereinfacht und so gestaltet werden, dass man sich nicht für jedes System ein neues Passwort ausdenken muss, die dann natürlich alle auf dem Rechner, im Browser oder auf einem Smartphone gespeichert werden müssen. Alternativ könne man für alle Systeme das gleiche Passwort verwenden. Anlagen zu Mails könnten in einer gesicherten Cloud geöffnet werden, wo Schadsoftware weder dem Endgerät noch der IT-Infrastruktur einen Schaden zufügen kann. Das Gleiche sei für Apps und Software möglich.

Neue Ansätze gefragt

Es sei töricht, erklärt Schneier, den Menschen zu sagen, sie sollten nicht auf die Links klicken, nachdem man gerade zwanzig Jahre dafür gebraucht hat, sie daran zu gewöhnen, genau dies zu tun.

Was die Sensibilisierung betrifft, so soll es tatsächlich bessere Methoden geben, als USB-Anschlüsse zu sperren. Eine der erfolgreichsten Methoden heißt „Salzstreuer“ und wird von erfahrenen Revisoren und Auditoren empfohlen. Sie funktioniert folgendermaßen: Stellt der Prüfer bei der Visite in einem Büro fest, dass der Rechner bzw. das Smartphone oder der Laptop nicht gesperrt wurden, während der Mitarbeiter abwesend ist, streut er etwas Salz in dessen Kaffeetasse. Vielleicht auch etwas mehr. Obwohl für die Geschmacksnerven brutal, soll die Salzstreuermethode bereits zu bahnbrechenden Erfolgen in Sachen Sensibilisierung geführt haben. Ob es auch zu „Beleidigungen und Beschimpfungen“ der Kontrolleure in der Follow-up-Phase kam, wurde nicht berichtet.

Mehr aus der Kolumne

Kryptomania

Medium_15b5b9fdbb

Ein revolutionäres Projekt

In diesem Jahr wird die Oktoberrevolution hundert Jahre alt. Im nächsten Jahr wird der 200. Geburtstag von Karl Marx begangen. Auf Fachkonferenzen und Tagungen, in Zeitschriften und Magazine wird der Marxismus analysiert. In der universitären Ökonomieausbildung vernachlässigt, immer wieder für ungültig erklärt – und nun doch eine potenzielle theoretische Alternative zur Grenzwerttheorie?

Medium_5066462dd1

Elektroschrott ante portas?

Geräte altern (schneller, wenn man nachhilft). Wenn man diesen Alterungsprozess aktiv mitgestaltet, erhält er einen Namen: geplante Obsoleszenz. Besonders der künstlichen Überalterung ausgesetzt: die IT. Das macht Computer weniger nachhaltig – und unsicher.

Medium_6bf14bfb89

Die Antwort lautet nicht „42“

Autonome Fahrzeuge sollen das Fahren sicherer machen. Menschen machen Fehler, verursachen Unfälle. Maschinen können besser und objektiv entscheiden – und vor allem viel schneller reagieren. Im Zeitalter „vollkommener numerischer Sicherheit“ sollte die Sicherheit auf den Straßen nicht mehr von menschlicher Unzulänglichkeit gestört werden. Ist das die finale Lösung für die Mobilität, auch ethisch?

comments powered by Disqus
Was soll nach dem Jamaikaabbruch folgen?
Neuwahlen
Minderheitsregierung