ComputerspionageDie Löcher im Netz
Seite 2/2:

"Sieben ernste Hackerangriffe pro Tag" auf die Bundesregierung

Genau das ist also ein Teil des Problems: dass alle Welt die gleichen Computer mit den gleichen Programmen einsetzt. Sie bieten ein gefundenes Fressen für Schädlinge aller Art, ganz ähnlich wie bei einer Monokultur in der Landwirtschaft. Die Hersteller solcher Standardprogramme verspüren auch nur wenig Anreize, allzu viel über Sicherheitsfragen nachzudenken: Weder haften sie für Hackerangriffe bei ihren Kunden, noch müssen sie hohe Sicherheitsstandards gegenüber Behörden garantieren. 

Aus Bequemlichkeits- und Kostengründen werden ihre Programme trotzdem eingesetzt, und zwar nicht nur in Büros, in denen geheime Dokumente entstehen, sondern zunehmend auch in Steueranlagen für Einrichtungen in der Industrie, in Krankenhäusern oder im Militär. Gerade erst warnte die amerikanische Computersicherheitsbehörde US-CERT, dass ungewöhnlich viele Schadprogramme in Kraftwerken und großen Industrieanlagen gefunden würden. 2011 wurden sogar in den Steuersystemen amerikanischer militärischer Drohnen Computerviren entdeckt, die üblicherweise Büro-PCs befallen.

Also doch von Nordkorea lernen und lieber eigene Computer konstruieren, eigene Programme für Regierungen und sensible Einrichtungen schreiben? »Auch bei den Computern der Bundesregierung gibt es inzwischen im Durchschnitt sieben ernste Hackerangriffe pro Tag«, sagt Sandro Gaycken, ein Computerwissenschaftler an der FU Berlin und Exhacker beim Chaos Computer Club, der das Auswärtige Amt berät. Vergleichsweise sicher seien eigentlich bloß handgeschriebene Zettel – und Datenverarbeitungssysteme, die ganz auf Hochsicherheit getrimmt sind.

Die Letzteren, sagt Gaycken, müsse man aber erst noch erfinden. Er will der Bundesregierung jetzt vorschlagen, genau das zu tun. Auch Deutschland brauche ein eigenes, neues Betriebssystem und neue Programme für sensible Einsätze. »Wir fangen an, den Computer noch mal völlig neu zu entwickeln«, kündigt der ehemalige Hacker bereits an. Und wenn er so redet, klingt es fast wie in Nordkorea.

Zur Startseite
 
Leserkommentare
    • Zafolo
    • 26. Januar 2013 17:15 Uhr

    " Sicherheitslücken in Computerprogrammen, die sich heute auf fast jedem Rechner finden: den Betriebssystemen und Büroprogrammen der Firma Microsoft etwa, dem Leseprogramm Acrobat Reader und so weiter..."

    Eigentlich grotesk: Ein *Leseprogramm*, das also dafür prädestiniert ist, beliebige Inhalte von Dokumenten - auch nicht abgesicherten aus dem Netz - darzustellen, und als Einfallstor für Angriffe dient.

    Es ist verkehrt, dass dies überhaupt geht. Dazu muss man wissen, dass PDF auf Postscript aufsetzt, und Postscript ist nichts weiter als eine Seitenbeschreibungssprache, die dem Drucker oder Monitor sagt, wo der auf dem Papier einen Strich ziehen oder einen Buchstaben hinstempeln soll. Grundsätzlich ist es keineswegs besonders schwierig, so etwas zuverlässig gegen Angriffe zu sichern.

    Der Pferdefuss ist, dass der Acrobat Reader immer neue Zusätze bekommen hat, die mit dieser Aufgabe nichts zu tun haben, bis hin zur Einbettung ausführbarer Programme (kein Witz!).

    Und ein tieferer Grund ist, dass sich Microsoft, um sein Monopol zu verstärken, stets geweigert hat, Postscript oder überhaupt Vektorgrafikformate in Windows zu integrieren. Nachdem der Acrobat Reader dann zum Standard geworden ist, hat Microsoft sich dann daran gemacht, einen eigenen "Standard" zu entwickeln, der selbstverständlich nicht auf anderen Plattformen läuft. Acrobat hingegen hat seinen Reader zu einer Multimedia-Plattform ausgebaut, ein Wunder dass er noch keinen eigenen Dateimanager enthält.

    6 Leserempfehlungen
  1. Und wer soll die Menge an geklauten Daten auswerten ?

    Mit geklauten Daten erreicht man fast gar nichts.

    Bei Daten für das übliche Windows Zeugs ist es noch einfach, falls man die Sprache kann.

    Aber dann benötigt man die entsprechende Software und muß sie noch beherschen.
    Nur muß man noch wissen was zu wem gehört.

    Einzelne aus dem Zusmammenhang gerissene Dateien nützen nichts.

    Eine Leserempfehlung
  2. 9 Leserempfehlungen
    Reaktionen auf diesen Kommentar anzeigen

    Wusste ich es doch: Linux muss von der Achse des Bösen kommen! Etwas woran niemand etwas verdiet, muss ja kommunistisch sein...

    =;-D

  3. 4. hmmmm

    Eine Eigenentwicklung ist auch nur solange sicher bis dem Angreifer keine Kopie in die Hände fällt....

    4 Leserempfehlungen
    Reaktionen auf diesen Kommentar anzeigen

    Was Sie da meinen ist Security by Obscurity und keine Sicherheit.

    Mal ganz davon abgesehen dass Sie den Quellcode gar nicht brauchen um Sicherheitslücken zu finden und auszunutzen.

  4. Einfach die Netze trennen und man hat einen großteil der Probleme gelößt....
    Das Hauptproblem besteht am Ende darin das jenes, was nicht per Internet erreichbar sein sollte am Netz hängt. Absolut sicher ist so etwas zwar nicht (siehe Stuxnet) denn wenn jemand ein USB Laufwerk nutz kann er/sie immernoch Schadsoftware mitbringen, aber ohne detailierte Kentnis des Systems passiert dann erst einmal nichts und auslesen lassen sich die Daten ebensowenig.

    3 Leserempfehlungen
    Reaktionen auf diesen Kommentar anzeigen

    Genau so und nicht anders.
    Konsequente Netztrennung. Korrespondenz auf Text beschränkt, Internet nur über Terminalsitzungen in einem vom Sicherheitsbereich getrennten System. Kein Dateiaustausch über diese Schranke.
    Keine individuellen Datenträger im Sicherheitsbereich.

    Wo kein Weg, da auch kein Angriff. Das ist die einzige Sicherheit.

    • F150
    • 27. Januar 2013 16:59 Uhr

    Keine Ahnung. Ich weiss nur, dass - wenn die Massstäbe "Berliner Flughafen", "Elbphilharmonie" u. a. zugrundegelegt werden - Deutschlands Betriebssystem heute etwas den Stand von Windows 3.1 erreicht hätte - wenn mit den Arbeiten vor etwa 20 Jahren begonnen worden wäre.

    Davon abgesehen, wäre ein "deutsches" Betriebssystem nicht bezahlbar, weil die paar Leute, die damit arbeiten würden, nicht einmal 10% der Entwicklungskosten decken würden. Es gibt ja auch dazu genügend Beispiele, u. a. die Gesundheitskarte.

    4 Leserempfehlungen
  5. Genau so und nicht anders.
    Konsequente Netztrennung. Korrespondenz auf Text beschränkt, Internet nur über Terminalsitzungen in einem vom Sicherheitsbereich getrennten System. Kein Dateiaustausch über diese Schranke.
    Keine individuellen Datenträger im Sicherheitsbereich.

    Wo kein Weg, da auch kein Angriff. Das ist die einzige Sicherheit.

    4 Leserempfehlungen
    Antwort auf "Netze trennen:"
  6. Sehr geehrte Redaktion,

    Dieser Text ist kein seriöser Journalismus, sondern kostenlose Werbung für den Populisten Fischermann und Sandro Gaycken.
    Hier geht es auschließlich um die Aquise von Risikokapital für ein vollkommen unrentables und politisch, kulturell und sozial höchst gefährliches Projekt.
    Stellen wir uns mal vor, wir würden uns an der Diktatur Nordkorea orientieren und ein Betriebssystem made in Germany entwickeln. Zunächste eimal hätte Deutschland gar nicht die personellen Kapazitäten um mit den IT-Schmieden in Kalifornien mitzuhalten, washalb das entwickelte Betriebssystem unter den Leistungsanforderungen an die IT in einer globalisierten Welt läge. Mit dem Betriebssystem ist Sache ja nicht getan. Es wird ja auch noch ein Schreibprogramm und andere Software benötigt. Allein die Entwicklungskosten lägen in der Nähe des Betrages der Griechlandrettung. Zweitens und das kann Jeder bestätigen, der häufig mit zwei Betriebssystem zu tun hat, musst die Kompatibilität zwischen den beiden Betriebssystemen hergestellt werden, was wiederum zu Sicherheitslücken führt und für den User die Arbeit erhöht.
    Die Folgen dieses Betriebssystems wäre die Isolation Deutschlands aus Europa und der ganzen Welt und damit der Absteig in die Liga der Schwellenländer. Dort können wir es uns ja dann neben Nordkorea gemütlich machen.
    Deshalb besser in seriöse Kryptographie inverstieren als in unseriöse...

    2 Leserempfehlungen
    Reaktionen auf diesen Kommentar anzeigen
    • 29C3
    • 27. Januar 2013 18:15 Uhr

    Hier geht es gar nicht darum, dass das ganze Land und der Verwaltungsapparat auf eine eigene Insellösung im OS-Ozean umsteigt. Es geht eigentlich nur um die Bereiche mit der höchsten Sicherheitsstufe.

    Zumal: es wird immer wieder behauptet, die Löcher seien in allen OS vorhanden, und "alle seit Jahren bekannt", so zumindest die CCC-Sprecherin vor jahren in einem SZ-Interview. Deswegen müsste vermutlich kein neues OS von grund auf neu entwickelt werden.

    • dusk
    • 27. Januar 2013 20:00 Uhr

    Man muss ja nicht von grund auf etwas eigenes entwickeln. Das wäre soundso nicht lange sicher. Bei Stuxnet hatten die Geheimdienst auch Zugriff auf die Siemens Systeme und die eben analysiert. Der Sourcecode des OS könnte nie vollständig geheim bleiben und laufende Systeme wären überhaupt einfach zu bekommen.

    Was man bräuchte wäre ein Ubuntu Spross. Office kann man von OpenOffice oder Libre nehmen. Dann beschneidet man aber den ganzen Spaß auf das wesentliche. Man braucht kein volles Windows bei dem sämtliche Dienste laufen. Man reduziert auf das nötige und richtet das OS so ein das ausschließlich signierte Software (wie bei iOS) ausgeführt werden kann. Nichts das kein offizielles update ist oder von offizieller Seite als sicher bestätigt kann installiert werden.
    So würde man ein um Welten sichereres System erhalten ohne viel Aufwand. Updates für den Linux Kernel, debian packages usw. für Browser und Co kann man weiter einspielen.

    Ein von Null eigenes OS ist absoluter Unsinn aber man muss ja nur einen weiteren High Security Spross von Ubuntu abspalten. Das ist nicht unmöglich und absolut machbar. Ich würds aber auf EU ebene und nicht auf Deutschland Ebene machen. Damit es sich rentiert und die Kosten sich besser amortisieren. Lizenzkosten an die Amis spart man und IT Jobs bei uns schafft man.

    > Zunächste eimal hätte Deutschland gar nicht die personellen Kapazitäten um mit den IT-Schmieden in Kalifornien mitzuhalten, washalb das entwickelte Betriebssystem unter den Leistungsanforderungen an die IT in einer globalisierten Welt läge

    Das wage ich zu bezweifeln. Ein guter Hacker ersetzt ein dutzend Informatiker.

    Ich spreche da aus eigener Erfahrung, habe jahrelang selbst in diversen FLOSS-Projekten mitgemacht ;-)

Bitte melden Sie sich an, um zu kommentieren

  • Artikel Auf einer Seite lesen
  • Schlagworte Datensicherheit | Spionage | Trojaner | Diplomatie
Service