Forschung und Entwicklung

Was haben US-Sanktionen mit Technologie zu tun?

Veröffentlicht am

Bad Vil­bel, 13.5.2018, GGro­ße. Im Allein­gang hat der ame­ri­ka­ni­sche Prä­si­dent die inter­na­tio­na­len Ver­trä­ge mit dem Iran gekün­digt. Als Kon­se­quenz ver­langt er von allen Unter­neh­men, die mit Ame­ri­ka wei­ter­hin Geschäf­te durch­füh­ren möch­ten, ihre Iran-Bezie­hun­gen eben­falls ein­zu­stel­len.

Unab­hän­gig von den Fra­gen, ob die­se Art der Poli­tik als fair, stra­te­gisch geschickt oder ego­is­tisch bezeich­net wer­den soll­te, gebie­tet es die Situa­ti­on, über die eige­ne Stär­ke nach­zu­den­ken. Es erscheint mehr als unbe­frie­di­gend, dass ein ein­zel­nes Land den euro­päi­schen Wirt­schafts­raum mit mehr als 500 Mio. Men­schen vor sich her­trei­ben kann und die Poli­ti­ker dabei nur hilf­los mit den Ach­seln zucken kön­nen. 2011 haben bei­spiels­wei­se welt­weit auf­ge­stell­te Unter­neh­men wie Ebay und Paypal ihre euro­päi­schen Kun­den aus poli­ti­schen Grün­den dazu gezwun­gen, ihre Kuba-Geschäf­te ein­zu­stel­len. Ebay hat dazu ein­fach die Shops von betrof­fe­nen Händ­lern gesperrt. Natür­lich ist dies recht­lich nicht in Ord­nung, effek­tiv war es alle mal.

Da die wirt­schaft­li­che Stär­ke ein offen­sicht­li­ches Kri­te­ri­um für die Durch­set­zung poli­ti­scher Inter­es­sen ist, wäre es für Euro­pa und Deutsch­land rat­sam, gezielt die Tech­no­lo­gie­füh­rer­schaft in stra­te­gisch ent­schei­den­den Wirt­schafts­fel­dern anzu­stre­ben. Beson­ders span­nend sind dabei Tech­no­lo­gi­en, die einem Qua­si-Mono­pol ent­spre­chen und die man schnell und ziel­ge­nau abschal­ten kann. Gute Bei­spie­le sind Micro­soft, Ama­zon und Goog­le, die auf Kon­to­zu­gän­gen beru­hen und bei denen ein Abschal­ten für den Anbie­ter nur begrenz­te Nach­tei­le mit sich bringt. Im Gegen­satz dazu kann mit einem Vor­sprung im Bereich Indus­trie 4.0 weit weni­ger Druck aus­ge­übt und Auf­se­hen erzeugt wer­den.

Was also ist zu tun?

  1. Unter poli­ti­scher Füh­rung soll­te ein Akti­ons­plan zur Iden­ti­fi­ka­ti­on und Ent­wick­lung stra­te­gisch rele­van­ter Tech­no­lo­gi­en ins Leben geru­fen wer­den. Im Anschluss soll­ten in den exis­tie­ren­den För­der­pro­gram­men die Anträ­ge prio­ri­siert wer­den, die die­sen Zie­len zuar­bei­ten.
  2. Es muss dar­auf hin­ge­ar­bei­tet wer­den, dass der euro­päi­sche Wirt­schafts­raum sei­ne Anstren­gun­gen hin­sicht­lich der iden­ti­fi­zier­ten Tech­no­lo­gi­en abstimmt. Nur als Euro­pa sind wir stark genug, um gegen die USA und Chi­na zu bestehen. Kon­kret soll­te daher die Lis­te der rele­van­ten Tech­no­lo­gi­en gleich mit den euro­päi­schen Part­nern abge­spro­chen wer­den.
  3. Der deut­sche Markt als größ­ter Bin­nen­markt der EU soll­te den euro­päi­schen Part­nern stär­ker geöff­net wer­den. Ein wich­ti­ger Grund, war­um Tech­no­lo­gi­en in den USA schnel­ler an Rele­vanz gewin­nen und daher mit mehr Start­ka­pi­tal unter­legt wer­den, liegt an dem sehr gro­ßen und in punc­to Spra­che und Lebens­ver­hält­nis­se sehr homo­ge­nen Bin­nen­markt. Die­ser Nach­teil kann nur mit und durch Deutsch­land aus­ge­gli­chen wer­den. Es wäre also zu über­le­gen, wie man den deut­schen Markt zum Kata­ly­sa­tor für Euro­pa und den Welt­markt ent­wi­ckeln kann.

Man beden­ke, dass schon allei­ne die Kon­kre­ti­sie­rung der Inno­va­ti­ons­an­stren­gun­gen und die Abstim­mung für einen posi­ti­ven Effekt sor­gen wer­den. Der finan­zi­el­le Mehr­auf­wand gegen­über den heu­ti­gen Aus­ga­ben beschränkt sich also erst mal ledig­lich auf die Koor­di­na­ti­on.

Gesellschaft

Treffen der Spione und Zero-Day Skandale

Veröffentlicht am

Es klingt wie aus einem schlech­ten Spio­na­ge­film und ist doch Rea­li­tät. Vor zwei Jah­ren, so kam jetzt her­aus, kamen Syn­er­gi­en zusam­men, die so man­chen Mana­ger zum Träu­men bewe­gen könn­ten: Ein PC wur­de von einem NSA-Mit­ar­bei­ter genutzt, vom Rus­sen aus­spio­niert und vom Israe­li gemel­det. Was ist denn hier pas­siert? Der Wahn­witz der Cyber­si­cher­heit und war­um die­se so nie­mals funk­tio­nie­ren wird, ist bei den Geheim­diens­ten wohl zur Rea­li­tät gewor­den. Rechts­freie Räu­me sind wir ja schon genau­so gewohnt, aber die­ser Zufall hat dem gan­zen ein kurio­ses Gesicht ver­lie­hen. Soft­ware, die zum Scha­den ande­rer Nut­zer geschrie­ben wur­de, ist Mal­wa­re — egal, wer der Urhe­ber ist. Fol­ge­rich­tig hat­te damals auch der Anti­vi­ren­scan­ner von Kas­pers­ky Alarm geschla­gen. Beab­sich­tigt war das wohl nicht. Rus­si­sche Hacker hat das dann, wie auch immer gear­tet, auf die Spur gebracht und die haben sich den NSA Schad­code gegrif­fen — wahr­schein­lich zur spä­te­ren Ana­ly­se. Beob­ach­tet wur­de das gan­ze von einem Cyber­spi­on aus Isra­el, der es dann den Freun­den bei der NSA gesteckt hat.

Was im bis­her geschil­der­ten Bei­spiel eine fast schon lus­ti­ge Bege­ben­heit dar­stellt, wird für ech­te Anwen­der zur Gefahr. Schutz­los einer Heer­schar von Spionen/Hackern und Tools aus­ge­setzt, kommt aber nun noch eins oben drauf. Spä­tes­tens seit Wan­na­Cry soll­te unse­re Bun­des­re­gie­rung wis­sen, dass das Aus­nut­zen und Ver­schwei­gen von Zero-Day Lücken eine sel­ten däm­li­che Ange­le­gen­heit ist. Trotz­dem wird momen­tan debat­tiert und es sieht wie immer nicht gut aus für den Rechts­staat und die Demo­kra­tie. Es ist ein Skan­dal, wie im  Namen von irgend­was Men­schen der Gefahr durch Cyber­at­ta­cken von wel­cher Quel­le auch immer aus­ge­setzt wer­den. Das gefähr­det den Stand­ort Deutsch­land als die Hoch­burg für IT-Secu­ri­ty Pro­duk­te. Man ver­traut deut­schen Pro­duk­ten und ent­ge­gen eini­ger Lai­en­kom­men­ta­re bei diver­sen IT-Foren sind die Leu­te vom BSI auf einer Mis­si­on, um die IT-Sicher­heit Stück für Stück zu gewähr­leis­ten. Beim letz­ten Tref­fen der ACS am 01.09. habe ich haut­nah mit­er­le­ben kön­nen, wie der Prä­si­dent des BSI an die Zuhö­rer appel­liert hat, sich für die IT-Sicher­heit stark zu machen und Deutsch­land zu einem Leucht­turm in Euro­pa und der Welt zu machen. Zu uns sol­len die Unter­neh­men kom­men, wenn sie auf Sicher­heit set­zen wol­len. Da wür­de es der Regie­rung gut zu Gesicht ste­hen, end­lich die Ver­trau­ens­kul­tur zu för­dern, die offen­sicht­lich als Auf­trag an das BSI gege­ben wur­de. Alles ande­re wäre ein Skan­dal.

Gesellschaft

Lernprozesse rund um die IT-Security

Veröffentlicht am

Es ver­geht im Moment mal wie­der kein Tag, ohne das offen­bar wird, dass IT-Sicher­heit noch nicht als ganz­heit­li­ches Ele­ment ver­stan­den wird. Wie­der ein­mal steht die Fra­ge im Raum, war­um das The­ma Sicher­heit in Unter­neh­men eine gro­ße Bau­stel­le zu sein scheint, wo wir doch gute Werk­zeu­ge hät­ten, um vie­le Pro­ble­me abzu­fan­gen, bevor die­se in der Pres­se zum Kopf­schüt­teln füh­ren. Neh­men wir doch Daim­lers “neue Kri­se” um Wan­na­Cry. Das Virus ist inzwi­schen alt genug, dass es als “Uralt­pro­blem” betrach­tet wer­den kann. Es gibt die not­wen­di­gen Patches, selbst Viren­scan­ner haben den Hash­wert zum Schäd­ling schon lan­ge in der Daten­bank und wei­te­re Infra­struk­tur­maß­nah­men könn­ten das Virus leicht am Vor­wärts­kom­men hin­dern. Trotz­dem konn­te es wie­der Fuß fas­sen.

Wem das aber viel­leicht schon in der See­le weh getan hat, dass ein DAX Kon­zern nicht knall­hart inno­va­ti­ve Sicher­heit und ganz­heit­li­che Kon­zep­te ver­folgt, der konn­te bei Deloit­te sicher­lich mehr als ein Haar in der Sup­pe fin­den. Offe­ne Ports.… Offe­ne Ports? Offe­ne Ports!!! War es denn so schwer für die NASA die übli­che Back­door zu neh­men — oder hat wenigs­tens die­se Lei­tungs­ver­schlüs­se­lung und einen Pass­wort­zu­gang? Wer sein Brot & But­ter Geschäft so schlei­fen lässt, wird in Zukunft am Markt einen schwe­ren Zugang im Bereich IT-Secu­ri­ty fin­den. Ande­rer­seits gibt es ja auch ande­re bekann­te Unter­neh­men, die ver­gess­lich in Sachen Qua­li­tät und Sicher­heit sind. Bleibt nur die Erkennt­nis der Woche frei nach Fefe: “Es ist unmo­ra­lisch schlech­te Soft­ware zu ver­brei­ten!”. Bleibt nur die Fra­ge, ob es auch schlecht fürs Geschäft ist.

Gesellschaft

Meinung: Passworte verstehen Menschen nicht

Veröffentlicht am

Die Erfin­dung des Pass­worts (für Com­pu­ter) war die Stern­stun­de der IT-Sicher­heit. Nie­mals wie­der soll­te jeder Nut­zer unbe­darft alles lesen oder sehen kön­nen. Wir waren an einem Punkt ange­langt, wo Com­pu­ter so leis­tungs­fä­hig waren, dass vie­le Nut­zer von einem Sys­tem pro­fi­tie­ren konn­ten. Doch wie ist die Situa­ti­on in der Gegen­wart? Es hat uns eine regel­rech­te Flut an Pass­wor­ten erreicht — eben­so wie eine Flut an Sys­te­men die von einer unvor­stell­bar gro­ßen Zahl an Nut­zern zugleich genutzt wer­den. Immer wie­der wird ver­kün­det: ein Pass­wort muss dies kön­nen, ein Pass­wort muss das kön­nen… Sicher soll es sein, ein­zig­ar­tig und natür­lich unheim­lich schwer zu raten, denn das ist theo­re­tisch der ein­zi­ge Knack­punkt. Wenn ich zufäl­lig das rich­ti­ge Pass­wort ein­ge­be, kom­me ich schon beim ers­ten Ver­such rein und all die Mühe war für die Katz!

Dies hat die Situa­ti­on geschaf­fen, dass jedes sel­ten benutz­te Pass­wort ein Hin­der­nis wer­den kann, wenn der Dienst doch mal gebraucht wird. Abhil­fe schafft das berühm­te Pass­wort 123456! Dies steht im Gegen­satz zu Emp­feh­lun­gen des BSI. Zwölf Zei­chen für Online­zu­gän­ge — min­des­tens und für das WLAN bes­ser 20 oder mehr. Hin­zu kom­men die vie­len Zwangs­lo­gin­kon­ten und selbst bei einem Dienst­leis­ter kön­nen auch mal meh­re­re, kom­ple­xe Pass­wor­te ange­legt wer­den.

Unser Appell an die­ser Stel­le: ein ver­ant­wor­tungs­be­wuss­ter Umgang mit Pass­wor­ten, aber auch mit Accounts. Die­ser dau­er­haf­te Zwang zur Authen­ti­fi­zie­rung (und sonst teils Ver­wei­ge­rung aller Diens­te) und der Bin­dung ans Inter­net ist uns ein Dorn im Auge. Wir sehen Pass­wor­te als wert­vol­les Mit­tel, um eini­ge Diens­te oder Infra­struk­tur abzu­si­chern, aber dau­er­haft wer­den wir in die­sem Netz­werk auch das Pro­blem der Authen­ti­fi­zie­rung ange­hen müs­sen. Damit es am Ende nicht heißt: die­ses Pass­wort ist geheim!

Gesellschaft

Staatstrojaner: Kein gutes Pferd

Veröffentlicht am

Die Tage muss sich der Bür­ger noch mehr Luft zufä­cheln. Der war­me Som­mer hält die Repu­blik noch fest im Griff, da pus­tet auch durch das Par­la­ment ein hei­ßer Wind. Die Rede ist vom Gesetz zum Staats­tro­ja­ner. Eine Schad­soft­ware, die ent­wi­ckelt wur­de, um Infor­ma­tio­nen von tech­ni­schen Gerä­ten unbe­merkt zu beschaf­fen. Der Nut­zer soll ein­fach wei­ter­ma­chen wie bis­her und falls die Taten böse waren, wird der gut­mü­ti­ge Staat die­sem Ver­bre­cher das Hand­werk legen. Nun ist die Beschaf­fung von straf­recht­lich Rele­van­ter Infor­ma­ti­on in der Tat das täg­li­che Brot von Ermitt­lern. Die­se gehen hin, beob­ach­ten und dür­fen vie­ler­lei nicht. Sie dür­fen nicht in Woh­nun­gen ein­bre­chen, sie dür­fen Men­schen nicht zu Aus­sa­gen nöti­gen. Doch es gibt Aus­nah­men: Wenn eine erns­te Bedro­hungs­si­tua­ti­on besteht (auch “Gefahr im Ver­zug”), die bei­spiels­wei­se Men­schen­le­ben bedroht, so darf der Ermitt­lungs­be­am­te auf­grund einer berech­tig­ten Annah­me aus­nahms­wei­se die rote Linie über­tre­ten und han­deln. So etwas wird bei der Poli­zei jedoch nicht leicht­fer­tig und schon gar nicht in Mas­sen ange­wandt. Hier kommt der Staats­tro­ja­ner ins Spiel. Die­ser Schäd­ling kann poten­ti­ell alle Bür­ger und Unter­neh­men angrei­fen und führt “Ermitt­lun­gen” durch, deren Dau­er als auch recht­li­cher Ermes­sens­spiel­raum schnell ver­schwim­men kön­nen. Das Gesetzt sieht eine Viel­zahl von Delik­ten vor, in denen ein Staats­tro­ja­ner legal ein­ge­setzt wer­den darf. Die Lis­te ist lang und kann hier betrach­tet wer­den. Wäh­rend Mord noch irgend­wo ver­ständ­lich sein könn­te, ist Betrug sicher­lich kein Ver­bre­chen, wel­ches eine solch mas­si­ve Über­wa­chung recht­fer­tigt.

Vom Miss­brauchs­po­ten­ti­al abge­se­hen, gibt es einen viel grö­ße­ren Aspekt zu beach­ten: Hat nicht erst Wan­na­Cry gezeigt, dass von staat­li­chen Insti­tu­tio­nen aus­ge­nutz­te Lücken eine Bedro­hung für die Sicher­heit aller sein kann? Wie recht­fer­ti­gen die soge­nann­ten Exper­ten im Bun­des­tag, dass alle eige­nen Bür­ger vom Staat einer poten­ti­el­len Bedro­hung und Miss­brauch von, nen­nen wir es beim Namen, Schad­soft­ware aus­ge­setzt sind, nur um dem Staat mehr Poten­ti­al zur Spio­na­ge ein­zu­räu­men? Die­ses Stück Soft­ware gehört aus gutem Grund ver­bo­ten und viel­mehr soll­ten Demo­kra­tie und das Mit­ein­an­der gestärkt wer­den. Denn vie­le ech­te Ver­bre­chen haben auch nicht sel­ten einen trau­ri­gen Hin­ter­grund — kei­ner woll­te so rich­tig hin­se­hen.