Jonathan Franzen sagte vor Jahren bei einer Lesung in Berlin: "Es war nicht der 11. September, ab dem nichts mehr so war wie vorher, sondern der 12." Also nicht die Tat hat unsere Leben verändert, sondern die Reaktionen unserer Regierungen darauf.
Die meisten von uns waren Gott sei Dank bislang nicht von solchen Verbrechen betroffen. (Sie finden in Ländern statt, in denen es bereits intakte Terrornetzwerke gibt, z.B. von Libertären, Separatisten und Ideologen. Also Spanien, England, USA) Von den vermeintlichen Sicherheitsmaßnahmen aber sind wir alle betroffen. Maschinen überwachen unser Aufenthaltsorte, unseren Emailverkehr und unsere Surfgewohnheiten. Unsere Fingerabdrücke sind gespeichert, unsere Flugbuchungsdaten ebenso. Wenn wir etwas online im Ausland kaufen, werden unsere SWIFT-Überweisungen gescannt. Und das Einchecken ins Flugzeug dauert immer länger.
Die damit geschaffene Realität schafft nicht unbedingt mehr Sicherheit, sondern vereinigt vielmehr die Albträume der beiden gegenwärtigen Regierungsparteien:
- Der konservative besteht aus einem frei herumlaufenden Täter, der unseren Überwachungs- und Ermittlungstechniken durch die Lappen gegangen ist. So wie der nigerianische Bombenbastler.
- Der liberale Albtraum ist der Unschuldige, der fälschlicherweise verurteilt oder auch nur verdächtigt wurde. Auch das findet statt.
Die USA geben Millionen und Abermillionen Dollar für Überwachungs-IT aus. Bis vor kurzem war IBM der größte Nutzniesser der gezüchteten Paranoia. IBM ergatterte sich große Anteile an den Homeland Security Budgets der Bush-Regierung. IBM hat eine lange Erfahrung damit, Regierungen mit den Waffen der "inneren Sicherheit" auszustatten. Sie reicht zurück bis in die Weimarer Republik. Die Volkszählungsdaten demokratischer Regierungen und die Religionsmerkmale aus Kirchenbüchern kombinierten die Lochkartenmaschinen der IBM für die Nazis zu Deportationslisten.
Der Glaube unserer Innenminister in die Effektivität der Überwachungstechnik ist blind und basiert auf dem, was ihnen Berater einflüstern. Vom Wesen der IT und des Internets wissen unsere Minister so gut wie nichts. Sie verstehen nichts von den Risiken und auch nichts von den Chancen der neuen Medien. Aber sie erlassen Gesetze über sie.
Das Fatale daran ist:
1. Blinder Technikglaube suggeriert dem Ausführenden und seinem Publikum, "etwas unternommen" zu haben.
2. Die Technik kann noch so performant sein. Gewiefte Täter wissen stets um die größte Schwäche jedes IT-Systems: Die Menschen, die sie benutzen.
In Deutschland sind Technikglaube und technische Inkompetenzen von Entscheidungsträgern besonders ausgeprägt. In China, könnte man annehmen, leistet man sich beides eher nicht:
Google also continued to work with and against censorship around the world. On the one hand, they provide technology which includes censorship in countries like Germany and China. On the other hand, they’re providing many tools which increase information flow, and Google includes organizations like Reporters Without Borders in their charity plans.
Blogger Philipp Lenssen in seinem Google Jahresrückblick (
Link)
Bemerkenswert: Deutschland und China werden hier zum Thema Zensur in einem Atemzug genannt. Wir haben uns längst daran gewöhnt, dass unsere Verbindungsdaten gespeichert werden. Aber nicht nur serverseitig sind wir durchsuchbar, sondern auch clientseitig. Mit dem Bundestrojaner (Wikipedia). Der Bundestrojaner soll nur in besonders schweren Fällen zur Strafverfolgung eingesetzt werden. In NRW gilt er als Verfassungsbruch.
Aber wer nichts zu verbergen hat, der hat auch nichts gegen die Überwachung, sagen die Konservativen.
Wenn das so ist, darf man dann den Spieß auch mal umdrehen? Ich habe drei Jahre lang mit Kryptographieexperten zusammen gearbeitet und habe zwei Erkenntnisse mitgenommen:
1. Verschlüsselungstechnik ist einer der Hauptmotive für die ständige Weiterentwicklung von Prozessorrechenleistungen.
2. Professionelle Angreifer greifen nicht die hochgerüstete Maschine über ein abgesichertes Netz an, sondern die davor sitzenden Bediener, die Teil einer arbeitsteiligen Organisation sind. Aus der Arbeitsteilung und den Kenntnissen über die Annahmen, die noch so aufmerksame Menschen permanent treffen, ergeben sich etliche Varianten für das sogenannte "Social Engineering" (Achtung, hier lauert wieder ein Übersetzungsfehler: Im deutschsprachigen Raum bezeichnet "Sozialingenieur" den kunstvollen Bürokraten des Sozialstaates. Im englischen Sprachraum den Manipulateur und Ausnutzer menschlicher Schwächen.).
Also, rein fiktiv, hier ein paar Ideen. Inspiriert von K. Mitnick, einem IT-Sicherheitsexperten, der von IT viel versteht, aber noch mehr davon, wie IT-Abteilungen organisiert sind und wie unwissend bzw. unaufmerksam die meisten Angestellten sind. In einem Interview mit Technology Review berichtete er, dass 35 von angerufenen 100 Managern (!) einer US-Steuerbehörde am Telefon einem Testanrufer bereitwillig ihre Accountdaten rausgaben. Wenn das schon in den IT-aufgeklärten USA funktioniert, dann bin ich überzeugt, dass das sogar im Vorzimmer von Herrn Schäuble oder Schily auch funktioniert hätte.
Muss man vor Ort sein, um jemanden einen Trojaner auf den Rechner zu installieren? Nein. Man sorgt dafür, dass sich der Nutzer den Trojaner selbst herunterlädt. Dafür braucht man keine komplizierten "Man-in-the-middle" Umleitungen (also die Umlenkung eines vom User eingeleiteten Downloads - z.B. eines PDF-Files- über einen Server in der Mitte, der ihm eine manipulierte, bzw. erweiterte Datei unterjubelt). Man braucht auch keine Spam- oder Phishingmails. Nein, man ruft den Mitarbeiter an und leitet ihn zum Download des Trojaners an. Dazu muss man ihn nicht mal kennen und er einen auch nicht.
Und so geht's:
Wie man einen Trojaner installiert:1. Anruf bei einem Mitarbeiter. Vorstellung als Servicekraft in einem IT-Projekt. Frage nach dem Namen. Hinterlassung der Handynummer, für den Fall, dass während des Projektes 'etwas passiert'. "Ach noch was: Wie lautet Ihre Portnummer? Schauen Sie mal auf die Rückseite Ihres PC oder am LAN Stecker." -"6.07".
2. Anruf in der IT-Abteilung. Zieht doch mal den Port 6.07 von Hr. Müller. Solange bis ich wieder anrufe."
3. Anruf von Müller auf dem Handy. "Ich habe ein Problem. Bitte schnell beheben!" - "Mal sehen, was ich tun kann..."
4. Anruf in der IT-Abteilung. "Bitte den Port wieder einstecken."
5. Anruf bei Müller. "Funktionierts wieder?" - "Ja danke." - "Schön. Damit das nicht wieder passiert, gehen Sie mal auf folgende Website und laden sich das aktuelle Schutzprogramm herunter..."
Schritt 1 lautet immer:
Schrittweise Authentizität aufbauen"Wie komme ich an Informationen, die ein Angestellter irrtümlich für ungefährlich hält?" Begrifflichkeiten lernen, bis man Fragen so stellen kann, als wisse man wovon man redet.
Mehr Fragen stellen, als nötig. Nicht sofort nach der wichtigsten Information abbrechen. Man muss nach dem Anruf vergessen werden. Evtl. über mehrere Mitarbeiter der gleichen Abteilung gehen, wenn ein Mitarbeiter mißtrauisch klingt,
Ausnutzung des Zeitdrucks der Mitarbeiter. Der Effekt, den man hier ausnutzt ist, dass fast niemand Hemmungen hat, eine einzelne Information herauszugeben, weil dies ja noch kein vollständiges Bild ergibt. Aber man kommt nicht darauf, dass der Anrufer mehrere Kollegen abfragt, und sich mit den ersten Teilinformationen nur einen glaubwürdigen Anschein verschafft.
Schritt 2:
Identitätsdaten beschaffen.Bsp. Personalnummer
Anruf als Reisebüro bei einem Mitarbeiter. "Ihre Reistickets nach Zürich sind da, wollen Sie sie abholen.?" - "Ich reise nicht nach Zürich." - "Oh, eine Verwechslung. Wir buchen die Reisen ja auf die Personalnummer. Wie lautet denn Ihre?...."
Bsp. Beschaffung eines internen Telefonbuchs
1. Kostenstelle in Erfahrung bringen. Anruf im Rechnungswesen, Vertraulichkeit mit Jargon vortäuschen.
2. Mit dieser Kostenstelle in der Telefonabteilung ein Telefonbuch für "einen neuen Berater" anfordern. Formular durch den Mitarbeiter der Telefonabteilung ausfüllen lassen, da "meine aus" sind.
oder
3. Anruf als Telekommitarbeiter. Angebot des Austausch alt gegen neu. Altes Telefonbuch an der Pforte hinterlegen, der "Bote" holt es ab und liefert "später" ein neues.
Das Social Engineering ist es also, worauf sich Verwaltungen und Unternehmen sensibilisieren sollten. Sonst hat man nur technokratische Hochrüstung betrieben und sein Gewissen beruhigt, aber keine Sicherheit geschaffen. Und die vielen erhobenen Daten drohen, einem Falschen in die Hände zu fallen.
Das erfordert Aufmerksamkeit und gesunden Menschenverstand. Leider erfahren wir an den Hebeln der Sicherheitstechnik -z.B. am Flughafen, in Behörden- genau den gegenteiligen Typus Mensch. Weil schon soviel Geld in die teure Sicherheitstechnik und Prozessberatung investiert wurde ("und die kostet nunmal so viel"), spart man dann beim Personal. Und zwar sowohl an der Menge, als auch am Ausbildungsstand. Die Prozesse sind spezialisiert und unflexibel. Und wenn etwas passiert, was nicht vorgesehen ist, dann bereitet es
- dem unschuldig Verhedderten sofort bürokratische Probleme ("Kommen Sie mal mit, das muss unser Manager entscheiden", "Tut mir leid, Ihr Fall steht nicht in meinem Skript/Taschenkarte"),
- dem unerkannt bleibenden Täter ein willkommenes Schlupfloch.
Der Fall Detroit zeigt, dass die Sicherheitsbehörden längst von der inzwischen angefallen Datenmenge und der Überbürokratisierung ("Short lists, long lists") überfordert sind. Echte Kriminelle werden übersehen, und die große Menge der Unschuldigen steht unter Generalverdacht.
