https://www.faz.net/-gqz-8adqo

Buch über Cyber-Krieg : Wie der Staat Kriminellen in die Hände spielt

  • -Aktualisiert am

Reich der Daten: Serversäulen im Rechenzentrum einer Moskauer Bank Bild: Bloomberg

Geheimdienste lieben Sicherheitslücken: Marc Goodmans, IT-Experte und Berater des FBI, zeichnet in seinem Buch „Global Hack“ ein bedrohliches Panorama der Gefahren im Internet.

          Dies ist ein Buch über Mensch und Maschine und darüber, wie der Sklave zum Herrn werden könnte“, so Marc Goodman über seine Darstellung der Sicherheitslage im Internet. Der IT-Experte, Ex-Polizist und Berater des FBI betont in seiner Einleitung, technologiefreundlich zu sein und keine Panik verbreiten zu wollen. Er tut dies dann aber doch, indem er schlicht die Realität beschreibt.

          Geheimdienste, Hacker, Verbrechersyndikate und Internetwirtschaft machen sich die Schwächen der technischen Systeme und ihrer User zunutze, bereichern sich an den Daten von Bürgern, destabilisieren die öffentliche Ordnung und verursachen mit ein paar Zeilen Code Milliardenschäden. Die Lage ist trist, das würden die Leser aber auch erkennen, wenn der Autor seinen Alarmismus etwas gezügelt hätte.

          Zero-Days sind rar

          Denn die Probleme, die Goodman kenntnisreich beschreibt und anhand zahlreicher Beispiele belegt, sind schwerwiegend genug. Man kennt sie aus der laufenden Berichterstattung, den Nachrichten über die NSA, über das Schwarzmarktportal Silk Road, über die Anonymous-Hacks, aber zusammengefasst entwickeln die unzähligen Datenlecks, Schadsoftwareangriffe, legalen und illegalen Betrügereien nochmals eine besondere Wucht. Seine Quellen hat Goodman im umfangreichen Anhang in Form von Endnoten ausgewiesen. Aussagekräftigere Titel für die Kapitel als „Big Data - Big Risk“ und „Hasser müssen hassen“ oder ein Register hätten den Nutzwert des Buches gesteigert.

          Besonders prognostiziert er, dass sich die gegenwärtigen Sicherheitsprobleme noch exponentiell vervielfachen werden, weil zusehends mehr Haushaltsgeräte und Industrieanlagen ans Netz gehen. Die Verteidiger sind gegenüber den Angreifern im Nachteil, denn einem böswilligen Akteur reicht oft nur eine einzige Schwachstelle in den Systemen, um ans Ziel zu gelangen - in Goodmans Branche spricht man von asymmetrischer Bedrohung.

          Einer der prominentesten Fälle für einen gelungenen Angriff auf eine vernetzte Industrieanlage ist jener auf die iranische Atomanlage Natans mit der Schadsoftware Stuxnet, er darf in Goodmans Buch nicht fehlen. Stuxnet wurde über einen infizierten USB-Stick in Natans eingeschleust. Das Virus verbreitete sich schnell im internen Netzwerk und ließ die dortigen Siemens-Industriecomputer die Zentrifugen zur Anreicherung von Uran falsch ansteuern, so dass diese sich selbst beschädigten. Wer im Netz für einen professionell geführten Angriff verantwortlich ist, lässt sich nur sehr schwer mit Sicherheit feststellen. Renommierte Sicherheitsexperten sind sich aber sicher, dass Stuxnet zu dem Zweck entwickelt wurde, die iranische Anlage gezielt zu sabotieren. Stuxnet zu entwickeln war kostspielig und erforderte unter anderem die Kenntnis über mehrere bis dahin nicht dokumentierte Sicherheitslücken in Microsoft Windows.

          Diese sogenannten Zero-Days sind rar, begehrt und teuer. Goodman beschreibt etwa die Tätigkeit des Vermittlers „The Grugq“, der 2012 das Wissen über eine solche Sicherheitslücke für 250 000 Dollar an die amerikanische Regierung verkaufte. Der Journalist David Sanger schrieb 2012 in der „New York Times“ unter Berufung auf anonyme Quellen in der Regierung, dass Stuxnet eine Software-Waffe der Vereinigten Staaten und Israels gewesen sei, die unter Präsident George W. Bush entwickelt und auf Befehl seines Nachfolgers Barack Obama eingesetzt worden sei. Weder die israelische noch die amerikanische Regierung haben den Bericht bestätigt.

          Gefahr von Abhörschnittstellen

          Stuxnet markiert einen blinden Fleck in Goodmans Erzählung. Wie er selbst schreibt, bieten staatliche Akteure eifrig auf dem grauen Markt für Zero-Days mit. Zudem überweisen sie Millionen an Steuergeldern an die Hersteller von Überwachungssoftware , die auch vor Kooperationen mit fragwürdigen Regimes nicht zurückschrecken. Die NSA etwa lässt sich von amerikanischen Herstellern mit Sicherheitslücken beliefern, gibt diese aber nicht bekannt, sondern hortet sie, um damit eigene Schadsoftware herstellen zu können. Dass damit die eigene zivile Infrastruktur geschwächt wird, nehmen die Militärs bewusst in Kauf. Ihre Logik folgt jener der asymmetrischen Bedrohung: Angriff ist billiger als Verteidigung.

          Das innerstaatliche Spannungsfeld zwischen den Polen „offensiv, militärisch, geheim“ und „defensiv, zivil, offen“ hat Goodman nur implizit herausgearbeitet. Kein Wunder, denn der Staat arbeitet hier mitunter gegen sich selbst. Einerseits klagt Goodman, die Polizei sei zu schlecht ausgerüstet und ausgebildet, um die Internetkriminalität bekämpfen zu können. Andererseits kann er als Akteur des amerikanischen Sicherheitsapparats Kritik an den Strategien mächtiger Fraktionen dieses Apparats nicht direkt äußern. So weist er darauf hin, dass staatliche Stellen immer mehr Informationen über die Bürger in Datenbanken sammeln, die wiederum ein Ziel für Verbrecher und feindliche Geheimdienste darstellen. Verschlüsselungstechnologien wie The Onion Router aber, deren Verwendung die Bürger davor schützen können, stellen in seinen Augen eher ein Werkzeug für Kriminelle dar.

          Das FBI, für das Goodman als Berater arbeitet, übt enormen Druck auf Gesetzgeber und IT-Industrie aus, um eine polizeiliche Abhörschnittstelle in verschlüsselten Kommunikationssystemen zu erzwingen. Damit schafft es eine Schwachstelle, die auch von kriminellen Akteuren ausgenutzt werden kann - ein derart offensichtliches Faktum, dass es als Plot für den neuen James-Bond-Film getaugt hat.

          Goodmans abschließendes Plädoyer für eine bessere Zusammenarbeit zwischen Strafverfolgern und Zivilgesellschaft ist im Gegensatz zu seinem Bedrohungsszenario angenehm nüchtern gehalten. So empfiehlt er, Wettbewerbe für IT-Sicherheit abzuhalten und auf staatlicher Seite eine Großanstrengung, eine Art „Manhattan Project“ in Sachen Internet-Security auf den Weg zu bringen. Was dem Buch freilich fehlt, ist die europäische Perspektive inklusive Beleuchtung des Paradoxons, dass die Vereinigten Staaten als Schutzmacht und Partner einerseits Sicherheit garantieren, gleichzeitig aber mit der NSA selbst als Bedrohung auftreten. Dies wiederum ist aber eher ein Fall für Politik und Diplomatie als für IT-Sicherheitsexperten.

          Weitere Themen

          Topmeldungen

          Regierungskrise in Italien : Mit dem „Plan Ursula“ gegen Salvini?

          Der Streit um das Rettungsschiff „Open Arms“ dauert an – und in Rom wird weiter über Szenarien zur Überwindung der Regierungskrise spekuliert. Ein prominenter Politiker stellt sich nun hinter einen Plan zur Bildung einer breiten Front gegen den italienischen Innenminister.

          Rückschlag für Paris : Neymar macht Tuchel das Leben schwer

          Paris ist schon seit einiger Zeit nicht mehr das Fußball-Paradies für den deutschen Trainer. Seine Reputation in der Öffentlichkeit und die Autorität innerhalb des Klubs sind beeinträchtigt. Und dann ist da ja noch Neymar.

          Newsletter

          Immer auf dem Laufenden Sie haben Post! Abonnieren Sie unsere FAZ.NET-Newsletter und wir liefern die wichtigsten Nachrichten direkt in Ihre Mailbox. Es ist ein Fehler aufgetreten. Bitte versuchen Sie es erneut.
          Vielen Dank für Ihr Interesse an den F.A.Z.-Newslettern. Sie erhalten in wenigen Minuten eine E-Mail, um Ihre Newsletterbestellung zu bestätigen.