"Sieben ernste Hackerangriffe pro Tag" auf die Bundesregierung
Genau das ist also ein Teil des Problems: dass alle Welt die gleichen Computer mit den gleichen Programmen einsetzt. Sie bieten ein gefundenes Fressen für Schädlinge aller Art, ganz ähnlich wie bei einer Monokultur in der Landwirtschaft. Die Hersteller solcher Standardprogramme verspüren auch nur wenig Anreize, allzu viel über Sicherheitsfragen nachzudenken: Weder haften sie für Hackerangriffe bei ihren Kunden, noch müssen sie hohe Sicherheitsstandards gegenüber Behörden garantieren.
Aus Bequemlichkeits- und Kostengründen werden ihre Programme trotzdem eingesetzt, und zwar nicht nur in Büros, in denen geheime Dokumente entstehen, sondern zunehmend auch in Steueranlagen für Einrichtungen in der Industrie, in Krankenhäusern oder im Militär. Gerade erst warnte die amerikanische Computersicherheitsbehörde US-CERT, dass ungewöhnlich viele Schadprogramme in Kraftwerken und großen Industrieanlagen gefunden würden. 2011 wurden sogar in den Steuersystemen amerikanischer militärischer Drohnen Computerviren entdeckt, die üblicherweise Büro-PCs befallen.
Also doch von Nordkorea lernen und lieber eigene Computer konstruieren, eigene Programme für Regierungen und sensible Einrichtungen schreiben? »Auch bei den Computern der Bundesregierung gibt es inzwischen im Durchschnitt sieben ernste Hackerangriffe pro Tag«, sagt Sandro Gaycken, ein Computerwissenschaftler an der FU Berlin und Exhacker beim Chaos Computer Club, der das Auswärtige Amt berät. Vergleichsweise sicher seien eigentlich bloß handgeschriebene Zettel – und Datenverarbeitungssysteme, die ganz auf Hochsicherheit getrimmt sind.
Die Letzteren, sagt Gaycken, müsse man aber erst noch erfinden. Er will der Bundesregierung jetzt vorschlagen, genau das zu tun. Auch Deutschland brauche ein eigenes, neues Betriebssystem und neue Programme für sensible Einsätze. »Wir fangen an, den Computer noch mal völlig neu zu entwickeln«, kündigt der ehemalige Hacker bereits an. Und wenn er so redet, klingt es fast wie in Nordkorea.
" Sicherheitslücken in Computerprogrammen, die sich heute auf fast jedem Rechner finden: den Betriebssystemen und Büroprogrammen der Firma Microsoft etwa, dem Leseprogramm Acrobat Reader und so weiter..."
Eigentlich grotesk: Ein *Leseprogramm*, das also dafür prädestiniert ist, beliebige Inhalte von Dokumenten - auch nicht abgesicherten aus dem Netz - darzustellen, und als Einfallstor für Angriffe dient.
Es ist verkehrt, dass dies überhaupt geht. Dazu muss man wissen, dass PDF auf Postscript aufsetzt, und Postscript ist nichts weiter als eine Seitenbeschreibungssprache, die dem Drucker oder Monitor sagt, wo der auf dem Papier einen Strich ziehen oder einen Buchstaben hinstempeln soll. Grundsätzlich ist es keineswegs besonders schwierig, so etwas zuverlässig gegen Angriffe zu sichern.
Der Pferdefuss ist, dass der Acrobat Reader immer neue Zusätze bekommen hat, die mit dieser Aufgabe nichts zu tun haben, bis hin zur Einbettung ausführbarer Programme (kein Witz!).
Und ein tieferer Grund ist, dass sich Microsoft, um sein Monopol zu verstärken, stets geweigert hat, Postscript oder überhaupt Vektorgrafikformate in Windows zu integrieren. Nachdem der Acrobat Reader dann zum Standard geworden ist, hat Microsoft sich dann daran gemacht, einen eigenen "Standard" zu entwickeln, der selbstverständlich nicht auf anderen Plattformen läuft. Acrobat hingegen hat seinen Reader zu einer Multimedia-Plattform ausgebaut, ein Wunder dass er noch keinen eigenen Dateimanager enthält.
Viele Anwender egal ob in staatlichen/wirtschaftlichen Einrichtungen oder Privatpersonen haben keine ausreichene Kenntniss über die einfachsten Technologien. Das lässt sich in der Politik sehr schön an den Debatten im Bundestag zum Thema Cyberwar, Netzsperren und Filesharing feststellen. Da wird einiges von Politikern durcheinander geworfen mit einem naiven Technikverständniss das einem die Haare zu Berge stehen. Jetzt zu behaupten es wäre der Acrobat Reader ein Beispiel. Jedes System hat irgendwo eine Schwachstelle. Jeder der ein Smartphone besitzt oder irgendein Tablet kann genauso Opfer eines Angriffs werden wie ein User von Windows/OSX oder Linux, die Schnittstelle worüber das passiert variiert. Meist werden eben Sachen genutzt die möglichst jeder auf dem Rechner hat. Es ist fast unmöglich alle Lücken zu schließen. Wichtig ist die grundlegende Ausbildung derjenigen die täglich solche Technik nutzen. Viele Nutzer wissen nicht, dass ein Virenschutzprogramm benötigt wird, die Windows Firewall nicht aussreicht und Avira/Avast/AVG kostenlos nur Werbung ist. Der Anwender wendet eben nur das an was er kennt oder gesagt bekommt. Das ein USB Stick der auf dem Parkplatz lag am Arbeitsrechner angeschlossen oder jeder Emailanhang geöffnet wird ist fast genauso Standard wie eine Lücke in einer Software.
Viele Anwender egal ob in staatlichen/wirtschaftlichen Einrichtungen oder Privatpersonen haben keine ausreichene Kenntniss über die einfachsten Technologien. Das lässt sich in der Politik sehr schön an den Debatten im Bundestag zum Thema Cyberwar, Netzsperren und Filesharing feststellen. Da wird einiges von Politikern durcheinander geworfen mit einem naiven Technikverständniss das einem die Haare zu Berge stehen. Jetzt zu behaupten es wäre der Acrobat Reader ein Beispiel. Jedes System hat irgendwo eine Schwachstelle. Jeder der ein Smartphone besitzt oder irgendein Tablet kann genauso Opfer eines Angriffs werden wie ein User von Windows/OSX oder Linux, die Schnittstelle worüber das passiert variiert. Meist werden eben Sachen genutzt die möglichst jeder auf dem Rechner hat. Es ist fast unmöglich alle Lücken zu schließen. Wichtig ist die grundlegende Ausbildung derjenigen die täglich solche Technik nutzen. Viele Nutzer wissen nicht, dass ein Virenschutzprogramm benötigt wird, die Windows Firewall nicht aussreicht und Avira/Avast/AVG kostenlos nur Werbung ist. Der Anwender wendet eben nur das an was er kennt oder gesagt bekommt. Das ein USB Stick der auf dem Parkplatz lag am Arbeitsrechner angeschlossen oder jeder Emailanhang geöffnet wird ist fast genauso Standard wie eine Lücke in einer Software.
Und wer soll die Menge an geklauten Daten auswerten ?
Mit geklauten Daten erreicht man fast gar nichts.
Bei Daten für das übliche Windows Zeugs ist es noch einfach, falls man die Sprache kann.
Aber dann benötigt man die entsprechende Software und muß sie noch beherschen.
Nur muß man noch wissen was zu wem gehört.
Einzelne aus dem Zusmammenhang gerissene Dateien nützen nichts.
"Red Star OS" ist eine Linux-Variante.
https://en.wikipedia.org/...
https://duckduckgo.com/?q...
Wusste ich es doch: Linux muss von der Achse des Bösen kommen! Etwas woran niemand etwas verdiet, muss ja kommunistisch sein...
=;-D
Wusste ich es doch: Linux muss von der Achse des Bösen kommen! Etwas woran niemand etwas verdiet, muss ja kommunistisch sein...
=;-D
Eine Eigenentwicklung ist auch nur solange sicher bis dem Angreifer keine Kopie in die Hände fällt....
Was Sie da meinen ist Security by Obscurity und keine Sicherheit.
Mal ganz davon abgesehen dass Sie den Quellcode gar nicht brauchen um Sicherheitslücken zu finden und auszunutzen.
Was Sie da meinen ist Security by Obscurity und keine Sicherheit.
Mal ganz davon abgesehen dass Sie den Quellcode gar nicht brauchen um Sicherheitslücken zu finden und auszunutzen.
Einfach die Netze trennen und man hat einen großteil der Probleme gelößt....
Das Hauptproblem besteht am Ende darin das jenes, was nicht per Internet erreichbar sein sollte am Netz hängt. Absolut sicher ist so etwas zwar nicht (siehe Stuxnet) denn wenn jemand ein USB Laufwerk nutz kann er/sie immernoch Schadsoftware mitbringen, aber ohne detailierte Kentnis des Systems passiert dann erst einmal nichts und auslesen lassen sich die Daten ebensowenig.
Genau so und nicht anders.
Konsequente Netztrennung. Korrespondenz auf Text beschränkt, Internet nur über Terminalsitzungen in einem vom Sicherheitsbereich getrennten System. Kein Dateiaustausch über diese Schranke.
Keine individuellen Datenträger im Sicherheitsbereich.
Wo kein Weg, da auch kein Angriff. Das ist die einzige Sicherheit.
Genau so und nicht anders.
Konsequente Netztrennung. Korrespondenz auf Text beschränkt, Internet nur über Terminalsitzungen in einem vom Sicherheitsbereich getrennten System. Kein Dateiaustausch über diese Schranke.
Keine individuellen Datenträger im Sicherheitsbereich.
Wo kein Weg, da auch kein Angriff. Das ist die einzige Sicherheit.
Keine Ahnung. Ich weiss nur, dass - wenn die Massstäbe "Berliner Flughafen", "Elbphilharmonie" u. a. zugrundegelegt werden - Deutschlands Betriebssystem heute etwas den Stand von Windows 3.1 erreicht hätte - wenn mit den Arbeiten vor etwa 20 Jahren begonnen worden wäre.
Davon abgesehen, wäre ein "deutsches" Betriebssystem nicht bezahlbar, weil die paar Leute, die damit arbeiten würden, nicht einmal 10% der Entwicklungskosten decken würden. Es gibt ja auch dazu genügend Beispiele, u. a. die Gesundheitskarte.
Genau so und nicht anders.
Konsequente Netztrennung. Korrespondenz auf Text beschränkt, Internet nur über Terminalsitzungen in einem vom Sicherheitsbereich getrennten System. Kein Dateiaustausch über diese Schranke.
Keine individuellen Datenträger im Sicherheitsbereich.
Wo kein Weg, da auch kein Angriff. Das ist die einzige Sicherheit.
Sehr geehrte Redaktion,
Dieser Text ist kein seriöser Journalismus, sondern kostenlose Werbung für den Populisten Fischermann und Sandro Gaycken.
Hier geht es auschließlich um die Aquise von Risikokapital für ein vollkommen unrentables und politisch, kulturell und sozial höchst gefährliches Projekt.
Stellen wir uns mal vor, wir würden uns an der Diktatur Nordkorea orientieren und ein Betriebssystem made in Germany entwickeln. Zunächste eimal hätte Deutschland gar nicht die personellen Kapazitäten um mit den IT-Schmieden in Kalifornien mitzuhalten, washalb das entwickelte Betriebssystem unter den Leistungsanforderungen an die IT in einer globalisierten Welt läge. Mit dem Betriebssystem ist Sache ja nicht getan. Es wird ja auch noch ein Schreibprogramm und andere Software benötigt. Allein die Entwicklungskosten lägen in der Nähe des Betrages der Griechlandrettung. Zweitens und das kann Jeder bestätigen, der häufig mit zwei Betriebssystem zu tun hat, musst die Kompatibilität zwischen den beiden Betriebssystemen hergestellt werden, was wiederum zu Sicherheitslücken führt und für den User die Arbeit erhöht.
Die Folgen dieses Betriebssystems wäre die Isolation Deutschlands aus Europa und der ganzen Welt und damit der Absteig in die Liga der Schwellenländer. Dort können wir es uns ja dann neben Nordkorea gemütlich machen.
Deshalb besser in seriöse Kryptographie inverstieren als in unseriöse...
Hier geht es gar nicht darum, dass das ganze Land und der Verwaltungsapparat auf eine eigene Insellösung im OS-Ozean umsteigt. Es geht eigentlich nur um die Bereiche mit der höchsten Sicherheitsstufe.
Zumal: es wird immer wieder behauptet, die Löcher seien in allen OS vorhanden, und "alle seit Jahren bekannt", so zumindest die CCC-Sprecherin vor jahren in einem SZ-Interview. Deswegen müsste vermutlich kein neues OS von grund auf neu entwickelt werden.
Man muss ja nicht von grund auf etwas eigenes entwickeln. Das wäre soundso nicht lange sicher. Bei Stuxnet hatten die Geheimdienst auch Zugriff auf die Siemens Systeme und die eben analysiert. Der Sourcecode des OS könnte nie vollständig geheim bleiben und laufende Systeme wären überhaupt einfach zu bekommen.
Was man bräuchte wäre ein Ubuntu Spross. Office kann man von OpenOffice oder Libre nehmen. Dann beschneidet man aber den ganzen Spaß auf das wesentliche. Man braucht kein volles Windows bei dem sämtliche Dienste laufen. Man reduziert auf das nötige und richtet das OS so ein das ausschließlich signierte Software (wie bei iOS) ausgeführt werden kann. Nichts das kein offizielles update ist oder von offizieller Seite als sicher bestätigt kann installiert werden.
So würde man ein um Welten sichereres System erhalten ohne viel Aufwand. Updates für den Linux Kernel, debian packages usw. für Browser und Co kann man weiter einspielen.
Ein von Null eigenes OS ist absoluter Unsinn aber man muss ja nur einen weiteren High Security Spross von Ubuntu abspalten. Das ist nicht unmöglich und absolut machbar. Ich würds aber auf EU ebene und nicht auf Deutschland Ebene machen. Damit es sich rentiert und die Kosten sich besser amortisieren. Lizenzkosten an die Amis spart man und IT Jobs bei uns schafft man.
> Zunächste eimal hätte Deutschland gar nicht die personellen Kapazitäten um mit den IT-Schmieden in Kalifornien mitzuhalten, washalb das entwickelte Betriebssystem unter den Leistungsanforderungen an die IT in einer globalisierten Welt läge
Das wage ich zu bezweifeln. Ein guter Hacker ersetzt ein dutzend Informatiker.
Ich spreche da aus eigener Erfahrung, habe jahrelang selbst in diversen FLOSS-Projekten mitgemacht ;-)
Hier geht es gar nicht darum, dass das ganze Land und der Verwaltungsapparat auf eine eigene Insellösung im OS-Ozean umsteigt. Es geht eigentlich nur um die Bereiche mit der höchsten Sicherheitsstufe.
Zumal: es wird immer wieder behauptet, die Löcher seien in allen OS vorhanden, und "alle seit Jahren bekannt", so zumindest die CCC-Sprecherin vor jahren in einem SZ-Interview. Deswegen müsste vermutlich kein neues OS von grund auf neu entwickelt werden.
Man muss ja nicht von grund auf etwas eigenes entwickeln. Das wäre soundso nicht lange sicher. Bei Stuxnet hatten die Geheimdienst auch Zugriff auf die Siemens Systeme und die eben analysiert. Der Sourcecode des OS könnte nie vollständig geheim bleiben und laufende Systeme wären überhaupt einfach zu bekommen.
Was man bräuchte wäre ein Ubuntu Spross. Office kann man von OpenOffice oder Libre nehmen. Dann beschneidet man aber den ganzen Spaß auf das wesentliche. Man braucht kein volles Windows bei dem sämtliche Dienste laufen. Man reduziert auf das nötige und richtet das OS so ein das ausschließlich signierte Software (wie bei iOS) ausgeführt werden kann. Nichts das kein offizielles update ist oder von offizieller Seite als sicher bestätigt kann installiert werden.
So würde man ein um Welten sichereres System erhalten ohne viel Aufwand. Updates für den Linux Kernel, debian packages usw. für Browser und Co kann man weiter einspielen.
Ein von Null eigenes OS ist absoluter Unsinn aber man muss ja nur einen weiteren High Security Spross von Ubuntu abspalten. Das ist nicht unmöglich und absolut machbar. Ich würds aber auf EU ebene und nicht auf Deutschland Ebene machen. Damit es sich rentiert und die Kosten sich besser amortisieren. Lizenzkosten an die Amis spart man und IT Jobs bei uns schafft man.
> Zunächste eimal hätte Deutschland gar nicht die personellen Kapazitäten um mit den IT-Schmieden in Kalifornien mitzuhalten, washalb das entwickelte Betriebssystem unter den Leistungsanforderungen an die IT in einer globalisierten Welt läge
Das wage ich zu bezweifeln. Ein guter Hacker ersetzt ein dutzend Informatiker.
Ich spreche da aus eigener Erfahrung, habe jahrelang selbst in diversen FLOSS-Projekten mitgemacht ;-)
Bitte melden Sie sich an, um zu kommentieren