https://www.faz.net/-gqz-8vq2f

Folgen des CIA-Leaks : Ist das Waffenarsenal jetzt leer?

Dass man sich drin spiegeln kann: Bei der CIA wird im Hauptquartier in Langley von Hand aufgewischt. Im Internet hat gerade Wikileaks beim Geheimdienst durchgefegt. Bild: AP

Wikileaks hat enthüllt, über welche Cyberwaffen die CIA verfügt. Was folgt daraus für Amerika, dessen Verbündete und uns alle? Der IT-Sicherheitsexperte Bernhard Schneck gibt Auskunft.

          Woran kann man erkennen, dass die neuen Wikileaks-Dokumente echt sind?

          Uwe Ebbinghaus

          Redakteur im Feuilleton.

          So, wie die Dokumente formuliert, wie die Storys aufgebaut sind, kann man vermuten, dass sie authentisch sind. Einzelne Dokumente kann man immer fälschen, dass jemand mehrere tausend fälscht, ist sehr unwahrscheinlich.

          Überraschen Sie die Veröffentlichungen von Wikileaks inhaltlich?

          Nein, überhaupt nicht. Das sind Geschichten, die man zum Teil kennt, zum Teil sind neue Varianten von bekannten Angriffen dabei.

          Ist es nicht überraschend, dass ein Unternehmen wie Apple indirekt zugibt, dass nicht alle bei Wikileaks veröffentlichten Sicherheitslücken bereits erkannt wurden? Die meisten sind ja etwas älter.

          Das größere Problem sehe ich darin, dass der Staat die Aufgabe hat, seine Bürger zu schützen. Wenn der Staat von kriminellen Umtrieben oder deren Möglichkeit erfährt, sollte er etwas unternehmen. Was aber hier offenbar passiert ist: Der Staat besorgt sich Mittel, die von Kriminellen eingesetzt werden, versteckt sie, nutzt sie für seine eigenen Zwecke und weist Unternehmen wie Apple eben nicht auf Sicherheitslücken hin, die die Allgemeinheit betreffen. Da muss ich sagen: Hier haben wir eine sehr kreative Auslegung des Schutzauftrags des Staates.

          Was bei den Enthüllungen hinzukommt: Die Selbstgewissheit der CIA, dass das eigene Cyber-Arsenal trotz offenbar mangelnder Sicherheitsvorkehrungen schon nicht öffentlich wird. Und das Ganze wird noch gefährlicher dadurch, dass die CIA Methoden anwendet, die gezielt auf den einzelnen Menschen abzielen.

          Bernhard Schneck ist Geschäftsführer der IT-Sicherheitsfirma Genua, an der die Bundesdruckerei die Mehrheit hält.

          Die CIA soll, wie Wikileaks schreibt, die jetzt veröffentlichten Informationen als „unclassified“ eingestuft haben. Demnach hätte es keine besonderen Schutzmechanismen gegeben. Bei Informationen wie diesen müsste man aber davon ausgehen, dass sie als geheim eingestuft werden und es Zugriff nur unter bestimmten Voraussetzungen gibt. In Deutschland zum Beispiel gibt es die Verschlusssachenverordnung. „VS-NfD“ zum Beispiel heißt „nur für den Dienstgebrauch“. Als ich bei der Bundeswehr war, betraf das sogar den Speiseplan. Außerdem gibt es noch die Kategorien „vertraulich“, „geheim“, „streng geheim“. Bei der CIA waren die jetzt veröffentlichten Dokumente offenbar als „offen“ eingestuft. Das wäre fahrlässig. Kann man den Leaker überhaupt des Geheimnisverrats bezichtigen? Außerdem behauptet Wikileaks, dass es die Dokumente nicht aus dem Umfeld der CIA bezogen hat, sondern aus Hackerkreisen. Das muss man bedenken: Die bösen Jungs kennen die Originaldokumente längst, die auch die Angriffs-Tools enthalten, welche Wikileaks noch zurückhält.

          Davon gehen Sie fest aus?

          Ja, davon gehe ich aus. Ich war in der vergangenen Woche auf einer Veranstaltung, da sagte ein Strafverfolger, dass der Umsatz im Bereich der Organisierten Kriminalität mit Cyberangriffen inzwischen höher ist als mit Drogen.

          Wie erfahren Sie als IT-Sicherheitsexperte eigentlich von neuen Lücken? Ihr Job ist es ja, diese zu schließen.

          Es gibt bei der IT-Sicherheit zwei Ansätze. Das eine Paradigma: Ich erfahre von neuen Angriffen und versuche, meine Systeme so zu modifizieren, dass sie davor geschützt sind. Das ist ein undankbares Geschäft. Wenn ich von Angriffen nicht erfahre, bin ich nicht geschützt. Unser Unternehmen geht anders vor. Wir sagen: Wir konstruieren unsere Systeme so, dass die Angriffsfläche für die gängigen Schwachstellen weitestmöglich reduziert wird. Dann kann man die Systeme selektiv weiter öffnen, wie es die Risikobewertung erlaubt. Aber wir arbeiten natürlich auch zusammen mit Informatikern, die etwa im kryptographischen Bereich bei Open-Source-Projekten mitarbeiten.

          Ein Unternehmen wie Apple, das immer neue Produkte entwickelt, hat andere Voraussetzungen. Es muss auf Lücken reagieren. Brauchen solche Unternehmen nicht eine eigene Spionageabteilung, die etwa auch im Darknet recherchiert?

          Ich gehe davon aus, dass Apple eine Truppe für so etwas hat. Manche Unternehmen gehen offen damit um. Google hat ein eigenes Security-Team, „Project Zero“, dessen Aufgabe es ist, Exploits, Schadprogramme, nicht nur in den eigenen Produkten zu entdecken. Google verfolgt übrigens eine harte „Disclosure-Policy“: Wenn ein Angriff entdeckt wird, geht eine Warnung an den Hersteller raus, und Google gibt ihm neunzig Tage Zeit, um einen entsprechenden Patch, eine Nachbesserung, zu installieren. Andernfalls wird die Schwachstelle veröffentlicht.

          Die Wikileaks-Veröffentlichungen wurden mit einem Waffenarsenal verglichen. Hat die CIA jetzt nur noch Platzpatronen als Munition?

          Nein, das glaube ich nicht. Apple macht regelmäßige Updates. Wie sieht es bei manchen Android-Handys aus? Je nach Gerätehersteller werden diese vernachlässigt. Das gleiche gilt für DSL- und Kabel-Router, für IT-Kameras oder Drucker. Da gibt es zum Teil Schwachstellen, die kein Mensch behebt. Diese können also weiterhin ausgenutzt werden. Außerdem: Bei Wikileaks ist von 5000 Entwicklern die Rede, die werden wissen, was sie zu tun haben.

          Beim Fernseher gerät man in ein Dilemma: Wenn ich kein Update mache, werde ich zur Angriffsfläche, wenn ich eines mache, auch – so steht es in einem der Wikileaks-Dokumente.

          In Bayern sagt man: „Bled glaffa.“ Aber im Ernst: Wir empfehlen in solch einem Fall, die Updates mit einer digitalen Signatur vor Manipulationen zu schützen, da muss der Hersteller allerdings mitspielen. Ein Problem sind hierbei dann nur noch die Quanten-Computer, diese knacken die entsprechenden Schlüssel innerhalb von Sekunden. Aber auch dagegen gibt es Mittel. Diese werden Fernsehhersteller aber sicher nicht einsetzen.

          Sind die Enthüllungen brisant genug, um unser Lebensgefühl zu verändern?

          Unser Leben ist genauso riskant, wie es vorher war. Wir kennen einige Schwachstellen mehr, die wir beseitigen müssen. Vielleicht weiß man jetzt ein bisschen mehr über die Komplexität des Möglichen.

          Sie glauben an ein grundsätzliches Gleichgewicht zwischen krimineller Energie und Sicherheitsmaßnahmen?

          Ja.

          Das Gespräch führte Uwe Ebbinghaus.

          Weitere Themen

          Topmeldungen

          Ashton Applewhite

          Altersdiskriminierung : „Man kann nicht jung bleiben“

          Die Amerikanerin Ashton Applewhite kämpft gegen eine Form der Diskriminierung, über die kaum jemand spricht, obwohl sie jeden irgendwann treffen wird. Ein Gespräch über Altersdiskriminierung.
          Schlechte Laune im Osten? Das stimmt nicht so ganz.

          Ostdeutschland : Woher die schlechte Laune?

          Steht es dreißig Jahre nach dem Ende der DDR wirklich so schlimm mit der deutschen Einheit und dem Osten? Nein. Die krasse Fehleinschätzung hat auch etwas mit denen zu tun, die heute die politische Meinung im Osten mitprägen.

          Newsletter

          Immer auf dem Laufenden Sie haben Post! Abonnieren Sie unsere FAZ.NET-Newsletter und wir liefern die wichtigsten Nachrichten direkt in Ihre Mailbox. Es ist ein Fehler aufgetreten. Bitte versuchen Sie es erneut.
          Vielen Dank für Ihr Interesse an den F.A.Z.-Newslettern. Sie erhalten in wenigen Minuten eine E-Mail, um Ihre Newsletterbestellung zu bestätigen.