Stell Dir eine Welt vor, in der jeder freie Mann feminismus­freies Wissen mit anderen teilen kann.

Dies ist unser Auftrag.

— Leitbild WikiMANNia.
Spendenaktion 2018/19 Der Kampf für ein freies und nicht ideologisches Leben ist nicht kostenfrei.
!!! Sie können das unterstützen !!!
Für neue Projekte benötigen wir Ihre finanzielle Hilfe. Donate Button.gif
Aktueller Spendeneingang:
32,2 %
3.219,56 € Spendenziel: 10.000 €
WikiMANNia ist die Antithese
zur feministischen Opfer-
und Hass­ideologie.
WikiMANNia:
10 Jahre feminismus­­freie Information!
Feminismus basiert auf der Verschwörungstheorie, Männer auf der gesamten Welt hätten sich kollektiv gegen die Weiber verschworen, um sie zu unterdrücken, zu schlagen, zu vergewaltigen und auszubeuten. Feministinnen bekämpfen Ehe und Familie, weil die bürgerliche Familie das Feindbild ist. Frauen werden kollektiv als Opfer inszeniert und Männer als Täter denunziert. So manifestiert sich ein Ressentiment gegen alles Männliche bis hin zum offenen Männerhass. Dies bewirkt eine tiefgreifende Spaltung der Gesellschaft, die es zu überwinden gilt.

Cyber-Krieger

Aus WikiMANNia
Wechseln zu: Navigation, Suche

Hauptseite » Internet » Cyber-Krieger


Hauptseite » Krieg » Cyber-Krieger


Im Cyber-Krieg kämpft ein Staat gegen einen anderen Staat mit dem Ziel, den Gegner zu zerstören oder ihm zumindest erheblichen Schaden zuzufügen. Die Teilnehmer können als APT[wp] oder Unternehmens-Spione agieren, aber alles was diese Personen lernen, dient letztendlich dem militärischen Zweck. Der Stuxnet-Wurm[wp] ist ein Paradebeispiel für diese Vorgehensweise: Er sollte ganz offensichtlich Atomanlagen im Iran schädigen.[1] Prompt machte die Vermutung die Runde, das der israelische Auslands­geheim­dienst Mossad Stuxnet entwickelt und verbreitet hat. Und natürlich gehören auch die enormen Spionage-Anstrengungen von amerikanischer NSA und britischem GCHQ in diese Rubrik.[2]


Zitat:

«Irgendwie haben die sich das naiv vorgestellt. Die dachten, sie rufen laut "Cyber-Krieger", und schon kommen die IT-Kämpfer in Scharen an. Wie doof muss man da eigentlich sein, um das zu glauben? Dass es IT-Sicherheits­spezialisten gäbe, die darauf gewartet haben, zur Bundeswehr zu gehen? Mit von der Leyen als Vorgesetzten und Frauenbevorzugung?

Aber auch da mal wieder kein Mitleid. Von der Leyen hat mich über einen CDU-Politiker im Aufsichtsrat damals absägen lassen, als ich im BKA[wp] darauf hingewiesen habe, dass das mit der Kinderpornosperre so nicht funktionieren kann. Anstatt auf mich zu hören (das BKA ist mir dann gefolgt, weil sie gemerkt haben, dass es stimmt) hat sie mich abgeschossen. Und im Bundestag damals die Rede gehalten, dass sie jeden für "krachend unfähig" (oder so ähnlich) halte, der ihr nicht liefert, was sie haben wollte. War auf die Provider, aber im Kontext auch auf mich gemünzt.

Nachdem ich mit beiden, BND[wp] und von der Leyen, als IT-Sicherheits­forscher schon extrem schlechte Erfahrungen gemacht habe, und mir beide jeweils die Karriere kaputtgeschlagen haben, stelle ich ganz offen die Frage:

Wer, der auch nur halbwegs Ahnung von IT-Sicherheit hat, und damit auf dem Markt gesucht ist, wäre so dämlich zu BND oder Bundeswehr zu gehen, um dort dann bei nächster Gelegenheit aus politischen Gründen totgeschlagen zu werden? Da müsste man doch geradezu mit der Muffe gepufft sein.

Bemerkenswert dabei ist, dass ich da bisher nichts von einer Frauenquote gehört habe, die sie erfüllen wollen. Und viele Bewerberinnen scheint's auch nicht gerade zu geben (von wegen das Internet ist weiblich[ext]...).» - Hadmut Danisch[3]

Kindersichere Bundeswehr: Ursula von der Leyen schützt Deutschland mit Kindertagesstätten und Babysicherungen.
Zitat:

«War und wird wohl nichts mit der Bundeswehr-Cyber-Truppe.

Hör-Interview beim NDR[ext] u.a. über Ursula von der Leyens Unterfangen, eine Cyber-Krieger-Truppe aufzubauen. Sie kommt da nicht gut weg, sie kriegen anscheinend keine tauglichen Leute zusammen (wen würde das wundern). Ursula von der Leyens groß­posaunig angekündigtes Projekt steht als reine Luftnummer da (wen würde das wundern).

Vor 20 Jahren hat man die IT-Sicherheits­forschung systematisch erwürgt, seither hat man den ganzen IT-Themenbereich zum Gender-Tröten-Kampf­bereich gemacht, und dem eine komplett inkompetente Luftpumpe wie von der Leyen vorgesetzt (das hätte man ja spätestens seit der Kinder­porno­sperre wissen müssen, dass die völlig inkompetent ist und im Blindflug schwafelt), und spätestens damit jeden in die Flucht geschlagen, der auch nur mittel­prächtig Sachkunde hatte. So sieht politisches Scheitern aus.» - Hadmut Danisch[4]

Cyber-Angriffe gibt es allen Ebenen: Rüstungskonzerne, Regierungen, Großunternehmen.

Zitat:

«Die Angriffe laufen fast immer gleich ab. Ein Beamter, Angestellter, Politiker mit Zugang zu sensiblen Informationen bekommt eine E-Mail.

Augenscheinlich stammt sie von einem Bekannten, einem Kollegen oder jemandem, den der Angeschriebene einmal bei einer Konferenz kennengelernt hat. Die E-Mail nimmt Bezug auf gemeinsame Interessen oder verspricht weiter­gehende Informationen zu einem interessanten Thema. Wird der Anhang geöffnet, nistet sich ein Schädling auf dem Rechner des arglosen Empfängers ein. Dieser Schädling öffnet Hinter­türchen oder protokolliert Tasten­eingaben - zum Beispiel Passwörter für die gesicherten internen Bereiche des Firmen- oder Behörden­netzwerks - und sendet sie an seinen Auftraggeber.

Mit dieser Methode wurden beispielsweise die privaten E-Mail-Accounts vieler Menschen aus dem Umfeld der US-Regierung angegangen. Einfacher als mit einem solchen fingierten Anhang einer scheinbar privaten E-Mail, kann man die in der Regel hohen Sicherheits­hürden behördeneigener Systeme kaum umgehen.

Diese Art von Angriff zielt auf die größte Schwachstelle eines jeden Sicherheits­systems: seine Anwender. Seit Jahren benutzen mutmaßlich von China aus operierende Computer­spione diese Methode, um an möglichst heiße Informationen aus dem Umfeld der US-Regierung, aus Rüstungs-, Sicherheits- oder Geheim­dienst­kreisen zu kommen. Auch die Attacke auf das IT-Sicherheits­unter­nehmen RSA, dessen SecurID-Tokens weltweit eingesetzt werden, um externe Zugriffe auf Firmen- und Behörden­netze abzusichern, begann mit solchen Trick-E-Mails.

Systematisch und geduldig vorgehende Profi-Hacker

Was danach geschah, zeigt vor allem eins: Der allzu unspezifische Begriff "Hacker" ist für diejenigen, die da am Werk sind, längst nicht mehr ausreichend. Hier sind strategisch operierende Angreifer zu Gange, die Geduld haben, jede Menge Zeit und offenbar ausreichende Ressourcen, um Sicherheits­systeme nach Schwach­stellen abzusuchen. Bei RSA verschafften sich die Angreifer mit Hilfe der via Phishing erschnüffelten Informationen Zugang zu gesicherten Teilen des Firmen­netz­werkes. Entwendet wurden dann offenbar Informationen, die sich dazu benutzen lassen, um das SecurID-System auszutricksen, allerdings nur mit einigem zusätzlichen Aufwand und detaillierten Kenntnissen über das RSA-Sicherheitssystem.

Die so erbeuteten Informationen wurden dann genutzt, um eine weitere Lücke ins Sicherheits­system eines ganz anderen Unternehmens zu reißen: des Rüstungs­konzerns Lockheed-Martin. Nun will RSA an die 40 Millionen SecurID-Tokens austauschen, Firmenkunden rund um den Globus sind betroffen. In diversen Betrieben mit geheimen militärischen Projekten dürften die IT-Verantwortlichen momentan äußerst nervös sein. Denn wer sagt, dass die geduldigen, methodisch vorgehenden Angreifer nicht noch diverse andere Ziele attackiert haben?

Die Angriffsschritte, die in diesem Fall zum Einsatz kamen, sind eindrucksvoll:

  • Effektives, gezieltes Phishing (also keine schludrig übersetzten E-Mails mit unfreiwillig komischen Formulierungen, sondern glaubwürdiges Social Engineering)
  • Gezielte Durchsuchung einer Firmendatenbank nach einer ganz bestimmten Information
  • Weiterverarbeitung dieser Information als Angriffswaffe gegen ein anderes Unternehmen
  • Schließlich der Einbruch in dessen Netzwerk; entwendet wurden bei Lockheed-Martin allerdings angeblich keine sensiblen Informationen.

Wer so viel Aufwand betreibt, der handelt nicht aus Spaß am digitalen Schlösser­knacken. Hier sind Profis am Werk, Fachleute für IT-Sicherheit, die methodisch und organisiert vorgehen, um bestimmte Informationen in ihren Besitz zu bringen. Bezahlte, womöglich festangestellte Cyber-Kriminelle, vielleicht im Dienste eines ausländischen Geheimdienstes. In den USA ist man überzeugt, dass die Angreifer in China sitzen, wo dies stets heftig und zunehmend wütend bestritten wird. Dass sich jedoch ein erfolgreicher Angreifer zu Wort meldet, womöglich auf einer Website mit seinem Coup prahlt - das passiert in solchen Fällen nie. Diskretion ist Trumpf im Geschäft mit den Sicherheits­lücken.» - Christian Stöcker[5]

Zitat:

«Hacker dringen in Firmennetze ein, sammeln persönliche Daten von Kunden und stellen diese öffentlich ins Netz. Kriminelle besorgen sich bei Online­händlern Kreditkarteninformationen und verkaufen diese auf dem Schwarzmarkt. Die Netz­desperados von Anonymous hacken eine Sicherheitsfirma und stellen sie vor aller Welt bloß. Staatlich unterstützte Online­spione knacken die Firewalls ausländischer Technologie­unternehmen und saugen deren geistiges Eigentum ab. Staaten beschäftigten Cyber­krieger, die sich darauf vorbereiten, die Kommunikations­netze eines Gegners und Kraftwerke auszuschalten, Stromnetze auszuknipsen oder Kläranlagen überlaufen zu lassen.

Was für manchen noch wie Science-Fiction klingt, ist längst Wirklichkeit. Intelligente Schadprogramme wie Stuxnet, Zeus oder Flame infizieren Computer, verändern die Produktions­weise von Industrie­anlagen oder horchen gesicherte Netzwerke ab. Das Jahr 2011 steht für eine neue Dimension der Angriffe aus dem Netz. Im vergangenen Jahr zählte Symantec, der weltgrößte Anbieter von Antiviren­software, 5,5 Milliarden Cyber­angriffe, ein Anstieg um 81 Prozent gegenüber 2010. Die meisten dieser Attacken sind harmlos. Unter den Millionen Angriffen ragen jene geschätzten 150 heraus, die entwickelt wurden, um ein bestimmtes Unternehmen auszuforschen oder zu sabotieren. Der Schaden geht in die Milliarden.

Die reale Bedrohung zwingt die Konzerne zu einem radikalen Umdenken. "Die großen Unternehmen haben heute verstanden, dass Sicherheit ein kritisches Geschäftsfeld ist, das ganz direkt Auswirkungen auf den Aktienpreis haben kann", sagt Steve Durbin, Vizepräsident des Information Security Forums (ISF), eines weltweiten Zusammenschlusses von Firmen, die sich über Unternehmens­sicherheit austauschen. Trotzdem sagt Durbin: "Wir sind noch in Frühzeit dieser neuen Gefahren, es muss wahrscheinlich noch mehr Fälle geben, um das Bewusstsein zu steigern."

Früher gab es noch Grenzen, da konnten Unternehmen ihre Schnitt­stellen nach außen noch kontrollieren. Sie konnten sogar Internet­verbindungen kappen, wenn es nötig war. Heute ist das unmöglich, weil von demjenigen, der im Supermarkt die Regale auffüllt, bis zum Unternehmens­chef alle miteinander verbunden sind. Das Netz ausschalten heißt ein Unternehmen ausschalten. "Der Grad der Vernetzung hat durch das Internet der Dinge oder die Mobil­technologie so sehr zugenommen, dass es heute einfach nicht mehr möglich ist, sich vollkommen sicher abzuschotten", sagt Eduard Emde, Präsident der ASIS, der führenden Fach­organisation von Sicherheits­experten mit 38.000 Mitgliedern. Damit hat sich die Art und Weise, wie wir wirtschaften, radikal verändert, glaubt der Niederländer, "aber wir haben es noch nicht geschafft, dass Bewusstsein für die Unternehmens­sicherheit ins 21. Jahrhundert zu bringen. Viele sehen Sicherheit immer noch als technologisches Problem und nicht als einen integralen Bestandteil von Wirtschaft überhaupt an."

"In deutschen Unternehmen wird Sicherheit häufig noch mit Arbeitsschutz verwechselt", sagt auch Robin Kroha von Hisolutions, einem Berliner Beratungs­unternehmen für Sicherheits- und Krisen­management. "Darum gibt es eine vergleichsweise behördennahe Sicht bis hin zur Kostenstelle, wo es um die Erfüllung regulativer, gesetzlicher und vielleicht noch moralischer Normen geht." Kein Wunder, dass bis heute ehemalige Polizei­beamte und Bundeswehr­angehörige das Bild der Branche prägen, die von vielen noch mit Zäunen, Schäfer­hunden und Pförtnern assoziiert wird.

Doch das "gute Gefühl, wenn man einen ehemaligen Polizisten oder Soldaten eingestellt hat, reicht heute sicher nicht mehr aus", warnt Martin Langer, Fach­bereichs­leiter an der FH Wien. Dort hat man als eine der ersten Hochschulen 2007 ein Bachelor und 2010 einen Master­studien­gang für Risiko- und Sicherheits­management eingeführt. Inzwischen gibt es ähnliche Angebote auch in Deutschland. "Wir haben erkannt, dass eine Professionalisierung nötig ist", sagt Langer. Er vergleicht den Stand der Branche mit der Logistik vor 30 Jahren, als dort noch Graukittel mit Bleistift hinterm Ohr herrschten. "Heute ist das einer der wichtigsten Wert­schöpfungs­prozesse", sagt Langer. "Wer da nicht gut aufgestellt ist, ist nicht wettbewerbs­fähig."

Wie man sich gut aufstellt, darüber gehen die Meinungen auseinander: "Ich will nicht den Prof. Dr. Sicherheit, sondern dass jemand neben seinem Studium Sicherheits­wissen als Zusatz dazunimmt", sagt Michael Sorge, Leiter der weltweiten Unternehmens­sicherheit beim Bayer-Konzern. Sorge kümmert sich nicht mehr um Werkszäune und Pförtner, sondern um das Unternehmen, seine Ziele und seine Geschäfts­prozesse: "Wir sind nicht mehr der Werksschutz von einst, wir sind Business Enabler, wir sind heute auf den Schlüssel­feldern des Unternehmens unterwegs." Risiko­abwägungen bei neuen Standorten oder bei der Erschließung neuer Märkte gehören ebenso zu Sorges Job wie die Einschätzung von Gefahren aus dem Cyberspace und entsprechende Abwehr­strategien.

Im Zentrum der Abwehr steht für den Bayer-Mann der einzelne Mitarbeiter, der heute durch Fehlverhalten ungleich größere materielle Schäden verursachen oder die Reputation eines Unternehmens zerstören kann. Bei den Beschäftigten das Bewusstsein für dieses Thema zu wecken und wach zu halten ist neben der technischen die erste und wichtigste Verteidigungslinie. Und weil das in einem Konzern wie Bayer nur noch international denkbar ist, muss er auch kulturelle Unterschiede berücksichtigen. Sicherheit wird in den eher hierarchisch organisierten US-Unternehmen anders verstanden als in den kooperativen Organismen asiatischer Betriebe. "Wir arbeiten mit Security Communities in den einzelnen Regionen, die sich ständig austauschen und mit anderen Kollegen treffen", erklärt Sorge das Konzept: "Wir brauchen nicht den Einzel­kämpfer, der, wenn Alarm kommt, die schwarze Jacke anzieht und in den Hubschrauber springt."

Wie Bayer für Sicherheit sorgt, steht in einem geheimen Sicherheits­konzept, das ständig an neue Bedrohungen und Geschäfts­felder angepasst wird. Ein solches Dokument sollte heute eigentlich in jedem Unternehmen existieren. "Warum haben Autos Bremsen?", fragt Emde. "Damit man schneller fahren kann. Warum sollten sich Firmen mit Sicherheit beschäftigen? Damit sie entsprechend ihrer Firmenkultur schneller handeln können." Dazu gehören auch Notfall- und Krisen­übungen, am besten mit Beteiligung der Führungskräfte. Sie helfen dabei, dass im Ernstfall jeder weiß, was zu tun ist, sei es bei einer Natur­katastrophe, bei Stromausfall oder bei einem Hacker­angriff. "Die gefährlichsten Angriffe sind die, mit denen man nicht rechnet", sagt Steve Durbin. Und gerade um auf die vorbereitet zu sein, braucht man Pläne, wie man die Finanzmärkte unterrichtet, welche Kommunikations­strategie man verfolgt, wie man den Betrieb möglichst schnell wieder in Gang bekommt. Denn in der vernetzten Öffentlichkeit werden Probleme von Unternehmen sehr schnell analysiert und massenhaft verbreitet. "Das kann im Ernstfall schnell zu großen Reputations­schäden führen", sagt Robin Kroha. Unternehmen müssen binnen kürzester Zeit reagieren. "Eine Wagenburg­mentalität, wie sie früher bei Firmen in Krisen üblich war, verbietet sich heute."

Unvorbereitet zu sein führt fast zwangsläufig zu schmerzhaften Pannen: "Jedes Unternehmen ist überfordert, wenn es ein Krisen­management im Ernstfall aus dem Nichts aufbauen muss", sagt Birgitta Sticher, Professorin für Psychologie und Führungs­lehre an der Hochschule für Wirtschaft und Recht in Berlin, wo sie Sicherheits­experten ausbildet. Sie wirbt dafür, "Sicherheit in einem Unternehmen nicht nur als Abwehr von konkreten Gefahren" zu verstehen. Notwendig sei ein Blick nach innen, um sich gegen Bedrohungen von außen zu schützen: Werden die Mitarbeiter richtig eingesetzt, nimmt man sie ernst, beteiligt man sie? Denn fühlt sich ein Mitarbeiter erst ausgeschlossen, dann fühlt er sich möglicherweise "irgendwann berechtigt, Informationen auch gegen Bezahlung oder eine Form von Anerkennung nach außen weiterzugeben". Dieser Aspekt wird, so Stichers, oft unterschätzt.

Doch gleichgültig, wie viel Vorsorge man betreibt, alles lässt sich heute in keinem Unternehmen mehr sichern. "Wir müssen klar entscheiden, was wir wirklich verteidigen wollen", sagt ASIS-Präsident Emde. "Unsere Verteidigungs­linien gehen einerseits nach innen um die wichtigsten Daten, die Kronjuwelen herum, andererseits auch nach außen, weil wir heute viel früher ahnen müssen, was kommen könnte." Am Ende, ist sich Emde sicher, "wird Sicherheit vom Marketing bis zur Produkt­entwicklung so selbst­verständlich sein, dass man es nicht mehr als eigenes Thema wahrnimmt."» - Joachim Zepelin[6]

Einzelnachweise

  1. Hack des Jahrzehnts: Stuxnet-Wurm befällt iranisches Atomkraftwerk, Die Welt am 26. September 2010;
    Kristina Beer: Stuxnet 0.5: Der Sabotage-Wurm ist älter als gedacht, Heise am 27. Februar 2013
    Daniel Bachfeld: Stuxnet-Wurm kann Industrieanlagen steuern, Heise am 16. September 2010
  2. Roger Grimes: Unternehmens-Spione, Hacktivisten, Cyber-Krieger, PC-Welt am 17. April 2016
  3. Hadmut Danisch: Bundeswehr und BND finden keine Cyber-Krieger, Ansichten eines Informatikers am 5. April 2017
  4. Hadmut Danisch: Cyber-Krieger: Nur Berührungspunkte mit Cyber, Ansichten eines Informatikers am 26. März 2017
  5. Christian Stöcker: Internet-Attacken: Auf dem Schlachtfeld der Cyber-Krieger, Spiegel Online am 9. Juni 2011 (Rüstungskonzerne, Regierungen, Großunternehmen: Es vergeht kaum ein Tag ohne Meldung über eine spektakuläre Internet-Attacke. Und immer wird Hackern die Schuld zugeschrieben. Doch der Begriff ist viel zu unscharf. Neben der Spaßguerilla sind im Web längst hoch­professionelle Cyber-Krieger im Einsatz.)
  6. Joachim Zepelin: Im Netz der Cyberkrieger, ASW Nordrhein-Westfalen e.V. am 9. Juni 2011 (Attacken etwa auf Sony oder Adidas haben es gezeigt: Selbst viele Großkonzerne sind Hackern schutzlos ausgeliefert. Noch haben erst wenige Unternehmen die Gefahren erkannt - und oftmals ist das Management überfordert.)

Querverweise

Netzverweise