Mirai, WannaCry, Petya, NotPetya, das sind nur die prominentesten Angriffe in letzter Zeit. Was mal mit relativ harmlosen Viren, Würmern und Trojanern anfing, die zunächst als Scherz, dann als echte Schädlinge unterwegs waren, hat nunmehr eine neue Qualität erreicht. Mittlerweile sind ganze Infrastrukturen zum Ziel dieser Angriffe geworden.
Unsere heutige Welt wird von einem riesigen, globalen Computernetz gesteuert. Und das ist viel leichter angreifbar, als es sich bisher die meisten Leute vorgestellt haben. Sicherheitslücken sind durch Fehler in komplexer Software praktisch überall vorhanden. Einige davon lassen sich ausnutzen, um Schadcode in ein Zielsystem zu schleusen. Dadurch ergibt sich ein Wettlauf zwischen den Systemherstellern, die Fehler beheben und Lücken schließen, und den Erstellern von Schadsoftware, die diese Lücken suchen.
Wannacry hätte endgültiger Weckruf sein müssen
Dieser Wettlauf wird durch die derzeitige Politik nicht nur zugunsten der Angreifer verzerrt, der Staat selbst bringt sich mit dem Staatstrojaner als potentieller Angreifer in Position. Wannacry hätte der endgültige Weckruf sein müssen. Dieser Schädling nutzte eine Sicherheitslücke in dem Betriebsystem Windows aus, die der NSA seit Jahren bekannt war und die diese zur Spionage nutzte, anstatt Microsoft über das Problem zu informieren. Dummerweise hat die NSA selbst die eine oder andere Sicherheitslücke. Das Herrschaftswissen der NSA gelangte in die Hände von Kriminellen, die dadurch in die Lage versetzt wurden, Wannacry zu programmieren.
Petya bzw. NotPetya nutzen im Übrigen die gleiche Lücke, sind aber deutlich aggressiver als WannaCry. Die Frage ist jetzt, was noch passieren muss, bis die verantwortlichen Politiker endlich Maßnahmen ergreifen, die der Eindämmung des Problems dienen. Im Moment scheint eher das Gegenteil der Fall zu sein.
Stattdessen kommt der “Staatstrojaner”
Am 22. Juni beschloss der Bundestag, dass ein “Staatstrojaner” in Zukunft auch für Ermittlungen in minderschweren Verbrechen eingesetzt werden darf. Alleine die Art und Weise, wie der entsprechende Gesetzestext in der letzten Lesung an ein eigentlich anders geartetes Gesetz angehängt wurde, sollte für einen lebenslangen Rauswurf der dafür Verantwortlichen aus jeglichem politischen Amt führen.
Es werden nicht nur alle rechtsstaatlichen Prinzipien damit mit Füßen getreten (die Verfahrensweise kommt einer heimlichen Durchsuchung ohne Zeugen gleich), damit werden auch die Grundlagen dafür gelegt, dass deutsche Behörden Sicherheitslücken in Computersystemen pflegen, statt sie zu stopfen. Neben Grundrechtsbrüchen schafft die GroKo damit eine solide Basis für Angriffe auf unsere gesamte IT-Infrastruktur.
Unkalkulierbare Risiken für vermeintliche Sicherheit
Sicherheitslücken, die der Staatstrojaner nutzt, können naturgemäß nicht dem betroffenen Softwarehersteller gemeldet werden. Entsprechend kann die Information darüber, wie bei der NSA geschehen, gestohlen werden oder die Lücken werden von anderen Personen ebenfalls gefunden. In jedem Fall bleiben vermeidbare und weitgehend unkalkulierbare Risiken im Austausch für eine vermeintliche Sicherheit mit deutlicher Tendenz zum Überwachungsstaat.
Wenn die wild herumlaufenden “Sicherheitspolitiker” nicht bald begreifen, dass uns ihre Schnüffelwut und Kontrollmanie einer sehr viel größeren Gefahr aussetzt, werden wir wohl bald “in interessanten Zeiten” leben.
Die bisherigen Fälle waren nur ein Vorgeschmack darauf, was noch kommen kann. Wannacry hat in Großbritannien Krankenhäuser lahm gelegt und so notwendige Behandlungen von Patienten verzögert. Es gibt viele Sicherheitslücken und immer mehr Systeme, die an irgendwelchen Stellen Schaden verursachen können, wenn sie gekapert werden.
Der Fokus muss darauf liegen, wie wir diese Systeme absichern können und nicht darauf, wie Herr de Maizère seine Wahnvorstellung, alles kontrollieren zu wollen, am effektivsten umsetzt. Wenn z.B. das Stromnetz ausfällt, weil eine Sicherheitslücke benötigt wurde, um mutmaßliche Terrorverdächtige zu verfolgen, wo ist dann unser “Supergrundrecht Sicherheit”?
Bitte korrigiert den Satz “… gelangte in die Hand von Kriminellen …” zu “… gelangte in die Hand von anderen Kriminellen …” ?