06.01.2015

Staatliche Hacker machen das Internet unsicher

Gelegentlich berichtet die Wetterauer Zeitung doch tatsächlich noch über Abhören und Hacken. Die Tendenz ist uneinheitlich, in manchen Glossen wird das Abhören kritisiert, generell klingt es für mich nach "kann man eh nix dran ändern" und "es geht um Terrorismus" bis hin zu "denkt doch an die Kinder". Letzte Woche war mal wieder eine etwas verwirrte Veröffentlichung, auf die ich einen Leserbrief schrieb:

Leserbrief zur Glosse Hr. Gillies, 23.12.2014

Herr Gillies schreibt über die "Hacker", die Webseiten und andere öffentlich erreichbare Dienste im Internet angreifen.
Zu diesen Diensten gehören leider seit langem auch Einrichtungen der Infrastruktur wie Kraftwerke, Industrieanlagen usw.
Gerade bei solchen Einrichtungen ist es sträfliche Dummheit, sie schlecht gesichert im Internet öffentlich erreichbar zu machen.

Und auch "normale" Webseiten werden gern angegriffen. Bei *diesem* Hacken geht es meistens um Erpressung ("ich lege Deine Seite lahm, und Du machst kein Geschäft mehr") oder um das verdeckte Einschleusen von Infektionsprogrammen, die dann beim Empfänger Viren und Trojaner installieren. Eine andere Form von Hacken versucht gezielt, interessante Opfer auszumachen ("spear fishing") und dann von *innen* Spionage zu betreiben. Dazu zählen auch bösartig veränderte USB-Sticks ("Bad USB", z.b. in c't 18/2014, S. 44).

Es wäre aber ein Fehler, allein auf die "bösen Hacker" zu schimpfen.

Was meiner Meinung nach viel stärker dazu beiträgt, dass das Internet unsicher ist, sind die diversen Geheimdienste, die Verschlüsselungsalgorithmen unterwandern und durch gezielte Manipulationen Standards verschlechtern, um sich selbst das "Hacken" zu erleichtern.

Genauso trägt dazu bei, dass die Geheimdienste, u.a. auch der BND, angekündigt haben, von "Hackerfirmen" wie Vupen bislang unveröffentlichte Sicherheitslücken zu kaufen, um einen Informationsvorsprung beim eigenen Hacken zu erlangen. Sicherheitslücken müssen so schnell wie möglich an den Hersteller der Software gemeldet werden und dürfen nicht zur Handelsware werden.

Diese Verhaltensweise ist genau das Gegenteil von verantwortungsvollem Handeln zur Sicherheit aller im Netz. Wenn der Geheimdienst eine Sicherheitslücke kennt, heißt das nämlich auch, dass Bösewichte diese Lücken genauso kaufen oder sogar selbst herausfinden können. Schließlich ist der Verkauf durch solche gewissenlosen Firmen nicht exklusiv. Wer Geld hat - und das haben Geheimdienste!, der hat einen Wissensvorsprung.

Abgesehen davon: wer glaubt denn ernsthaft, dass ausländische Geheimdienste wirklich zu den "Guten" gehören? Wer an der Quelle der Informationen sitzt (wie z.B. am Frankfurter Internetknoten DE-CIX), wird schwerlich zum Nachteil der eigenen Industrie Geheimnisse für sich behalten, sondern sie auf dem kurzen Dienstweg in die Heimat weitermelden. Das Abhören des Kanzlerhandys, das Ausspähen der Klimakonferenz in Kopenhagen, und sogar das Ausspähen der PCs von Mitgliedern des amerikanischen CIA-Untersuchungsausschusses sprechen Bände.