Entwaffnung des Internets

Millionen ans Internet angeschlossener Kleingeräte bringen wesentliche Teile der Internet-Infrastruktur an den Rand eines Kollaps. Höchste Zeit, dass die Politik reagiert und die Waffen des 21. Jahrhunderts endlich unter Kontrolle stellt.

Das Internet ist längst keine Spielwiese für Nerds mehr. Im Internet werden Bankgeschäfte erledigt, Firmen bauen verbinden Komponenten ihrer Logistik mit dem Internet und selbst Behörden nutzen das Internet zur Kommunikation und zum Datenaustausch. Das Internet ist zum Teil unseres Lebens geworden. Es ist Teil unserer lebenswichtigen Infrastruktur, genauso wie das Stromnetz oder das Wassernetz, es ist Teil der sogenannten Daseinsvorsorge. Im Unterschied zum Strom- und Wassernetz ist es aber kaum reguliert und noch weniger gegen gezielte Angriffe abgesichert.

So wurde das Internet zum Tummelplatz für Kriminelle und Militärs. Kriminelle nutzen es, um große Internetfirmen zu erpressen. Armeen nutzen es im Rahmen des sogenannten Cyberwars, um Einfluss auf ausländische Regierungen zu gewinnen. Das Internet ist Information und Information ist Macht.

Eine Armee für das Internet

Überwachungskameras können von Angreifern übernommen und als Waffen gegen Webdienste verwendet werden

Überwachungskameras können von Angreifern übernommen und als Waffen gegen Webdienste verwendet werden

Wie auch im echten Leben braucht es auch im Internet Waffen, um kriminelle oder militärische Macht auszuüben. Aufgrund seiner Architektur sind es aber nicht die Massenvernichtungswaffen, die das Internet in die Knie zwingen können. Es gibt keine Atombombe für das Internet, immerhin wurde das Internet ja genau darauf ausgelegt, um im Falle eines Atomkriegs weiter zu funktionieren. Die potenziellen Waffen im Internet sind Knoten, also Endgeräte wie Computer, SmartPhones, aber auch jedes andere Gerät, das an das Internet angeschlossen ist, bis hin zur vernetzten Glühbirne. Agressoren müssen nur viele dieser Geräte unter ihre Kontrolle bringen, um die Armee dieser Knoten gegen beliebige Ziele einzusetzen. Das nennt man dann Distributed Denial of Service Attack, kurz DDOS. Die Armee aus Geräten sendet einfach sinnlose Anfragen an ihre Angriffsziele und blockiert so Leitungen und Rechnerressourcen. Die Angriffsziele sind nicht mehr oder nur schwer erreichbar. Doch wie kommen die Aggressoren zu diesen Armeen?

Natürlich kaufen die Aggressoren die Geräte nicht selbst. Es würde auffallen, wenn plötzlich eine Person oder Behörde Millionen an Geräten kauft und an verschiedenen Stellen im Internet platziert. Außerdem würde das viel zu viel Geld kosten. Es geht viel einfacher. Die Soldaten dieser Armeen sind bereits ans Internet angeschlossen und warten nur auf ihre Rekrutierung. Wir alle kaufen ständig solche Geräte und hängen sie ins Internet. Doch wie funktioniert diese Rekrutierung?

Soldaten werden rekrutiert

All diese Geräte brauchen Software, um zu funktionieren. Leider gibt es abgesehen von Trivial-Programmen keine Software, die fehlerfrei ist. Kritisch wird es, wenn Software Sicherheitslücken aufweist, die es Angreifern ermöglichen, das Gerät komplett zu übernehmen und aus der Ferne zu steuern. Genauso funktioniert die Rekrutierung der Geräte für die Armeen der Kriminellen und Militärs. Und für Nachschub ist permanent gesorgt: Täglich kaufen wir neue Computer, SmartPhones, Router, Drucker, Internet-Radios, Glühbirnen, Kameras, Alarmanlagen usw. Jedes dieser Geräte ist ein potenzieller Soldat in einer der Internet-Armeen. Doch wie können wir diese Klein-Waffen entschärfen?

Prinzipiell wäre es ganz einfach: Sicherheitslücken müssen gestopft werden. Das erfolgt in Form von Software-Updates und ist meist nicht schwieriger, als einen Knopf zu drücken. Viele Geräte können sich sogar selbständig aktualisieren. Und schon ist der Internet-Soldat wesentlich resistenter gegen die permanenten Anwerbeversuche. Doch wenn es so einfach ist, warum gibt es die Internet-Armeen immer noch?

Entschärft die Waffen

Schuld an den unsicheren Geräten sind zwei Faktoren: Viele Geräte haben entweder keine automatische Aktualisierungsfunktion oder die Anwender deaktivieren diese. Die Anwender müssten sich also laufend informieren, ob es für all ihre Geräte irgendwo Aktualisierungen gibt und diese durchführen. Alleine in meinem Haushalt habe ich mal durchgezählt, wie viele Geräte davon betroffen wären. Ich bin auf fast 15 verschiedene Geräte gekommen und habe nicht einmal noch den sprichwörtlichen vernetzten Kühlschrank. Ich müsste wohl mindestens einen Tag im Monat dafür opfern, um meine Geräte manuell zu aktualisieren. Da hab sich sicher besseres zu tun. Doch selbst wenn es eine Auto-Update-Funktion gibt, warum schalten so viele Anwender diese ab?

Leider wird die automatische Aktualisierung oft fehlerhaft oder missbräuchlich verwendet. Windows-Anwender wissen, dass sie die monatlichen Updates am besten nicht gleich am ersten Tag einspielen, weil sie nicht selten Fehler enthalten. HP hat andererseits eine solche Aktualisierung verwendet, um die Kunden beinhart zu enteignen. Kein Wunder also, dass Anwender, die automatische Aktualisierung lieber ausschalten.

Doch selbst wenn die Anwender die automatische Aktualisierung nutzen, wenn der Hersteller die Updates nicht bereitstellt, nützt das herzlich wenig. Besitzer von Android-SmartPhones können ein Lied davon singen. Praktisch schon beim Kauf ist das Gerät veraltet, weil der Hersteller keine Updates mehr bereitstellen will. Nur bei sehr teuren Geräten kann man darauf hoffen, dass man zumindest in den ersten 1 – 2 Jahren noch Updates bekommt. Doch wer mehr als 500 Euro für ein SmartPhone ausgibt, will dieses nicht alle 1 – 2 Jahre auf den Müll werfen, was sicherheitstechnisch eigentlich nötig wäre. Noch drastischer stellt sich die Situation bei den Geräten des ach so zukunftsträchtigen Internet of Things (IoT) dar: Alarmanlagen, Überwachungskameras, Heizungssteuerungen, Garagentorsteuerungen, Beleuchtungssysteme usw. Diese Dinge werden meist 10 Jahre oder länger genutzt. Doch wie lange liefern die Hersteller Aktualisierungen – mehr als 2 Jahre kann man bei der aktuellen Rechtslage kaum erwarten.

Dass ständige Aktualisierungen aber nötig wären, beweisen fast tägliche Meldungen über Sicherheitslücken. So ist erst kürzlich eine Lücke im Betriebssystem Linux aufgetaucht, die eine komplette Übernahme des Systems ermöglichen. Und Linux ist das am meisten genutzte Betriebssystem auf Internet-verbundenen Geräten. Wohl bald wird auch diese Lücke genützt werden, um noch schwerere Angriffe gegen unsere Infrastruktur zu starten. Denn viele Geräte, die davon betroffen sind, werden wohl keine Aktualisierung erhalten.

Politik des Wettrüstens

Wie reagiert die Politik darauf? Viele Staaten gründen eigene Internet-Task-Forces, die Teil Polizei und Heer sind. Wie im kalten Krieg wird auf die zunehmende Bedrohungslage mit Aufrüstung reagiert. Militärs denken so und können nicht anders. Nur macht diese Aufrüstung das Internet um keinen Deut sicherer, sondern erhöht noch zusätzlich das gefährliche Potenzial. Hinzu kommen permanente Überwachungsfantasien und Forderungen, Hintertüren für staatliche Behörden in EDV-System zu integrieren. Der Staat will also seine Bürger dazu verpflichten, ständig geladene und entsicherte Waffen bei sich zu tragen, die noch dazu von Polizei und Armee ferngesteuert abgefeuert werden können.

Friedenspolitik im Internet

Die wahre Lösung des Problems kann aber nur Abrüstung sein. Die Internet-Knoten müssen sicher und robust werden, sodass sie nicht mehr als Waffen genutzt werden können. Gerade Europa hat mit restriktiven Waffenrechten gute Erfahrungen gemacht. Warum diese Erfahrungen nicht auch im Internet nutzen.

Hier ein Vorschlag für einige einfache gesetzliche Maßnahmen, die zur Abrüstung im Internet führen:

  1. Hersteller werden verpflichtet, bei vernetzten Geräten auf der Verkaufsverpackung ein „Ablaufdatum“ anzugeben. Dieses können sie in einem gewissen Rahmen frei wählen. Die Hersteller sind dann verpflichtet, bekannte Sicherheitslücken bis zu diesem Datum zu stopfen. Sie sind aber auch dazu verpflichtet, dass Aktualisierungen die ursprüngliche Funktionalität des Geräts nicht beeinträchtigen.
  2. Jedes Gerät muss ab Werk mit eine automatischen Aktualisierung ausgestattet sein, die auch eingeschaltet ist.
  3. Internet-Provider werden ermächtigt, die Anschlüsse von Kunden zu sperren, wenn von ihnen Angriffe auf Netzinfrastrukturen ausgehen.

Vorschlag 1 würde gleichzeitig auch das Problem der geplanten Obsoleszenz und des Elektro-Schrotts angehen. Konsumenten würden sich wohl wie bei Lebensmitteln lieber für Geräte mit weit in der Zukunft liegendem Ablaufdatum entscheiden. Hersteller müssten bis zu diesem Zeitpunkt auch Ersatzteile liefern. Die Nutzungsdauer von Geräten würde wohl ansteigen.

Vorschlag 3 ist wohl der kontroversiellste. Doch wenn ein Kunde bewusst die automatische Aktualisierung von Geräten ausschaltet, muss er auch mit dieser Konsequenz rechnen. Immerhin glaubt der Konsument ja, dass er die nötigen Kenntnisse hat, um selbst für die Sicherheit zu sorgen. So wie einem Autofahrer der Führerschein entzogen wird, wenn er eine Gefahr für den Staßenverkehr darstellt, sollte auch selbsternannten Computerexperten die Internet-Zugang gekappt werden, wenn sie eine Gefahr für die Netzwerkinfrastruktur darstellen. Immerhin können sie ja die problematischen Geräte wieder vom Netz nehmen, um so ihren Internet-Zugang wieder zu aktivieren.

Damit Alt-Geräte, die noch ohne Ablaufdatum geliefert wurden, nicht gleich zum Elektro-Schrott verkommen, kann die Regelung der Internet-Sperren mit einer Übergangsfrist von z. B. 5 Jahren nach den ersten beiden Maßnahmen in Kraft treten.

Fazit

Das Internet ist der neue Kriegsschauplatz. Um in Zukunft friedlich leben zu können, muss es zu einer Abrüstung im Internet kommen. Die Politik muss dazu die Hersteller, aber auch die Anwender in die Pflicht nehmen. Mit Freiwilligkeit ist da nichts mehr zu machen. Nur gesetzliche Regelungen können die Weiterentwicklung des Internet of Things sicherstellen.

Advertisements

Asyl: Das überschätzte Problem

Heute stimmt Eberau über das Erstaufnahmezentrum für Asylwerber ab. Das Ergebnis ist abzusehen und ein trauriger Höhepunkt einer Debatte, die vor rund 20 Jahren ihren Ausgang genommen hat.

Kaum ein Österreicher, kaum eine Österreicherin kennt tatsächlich persönlich einen Asylanten/eine Asylantin. Ich selbst habe in 35 Jahren auch erst vor wenigen Wochen das erste Mal bewusst eine ehemalige Asylantin (heute österreichische Staatsbürgerin) kennengelernt. Es kann durchaus sein, dass ich mit der einen oder anderen in die Schule gegangen bin, aber in den 1980er-Jahren war das eigentlich noch kein Thema. Es kann auch sein, dass ich schon viel öfter mit Asylanten zusammengetroffen bin, ohne es zu wissen. Das liegt wahrscheinlich daran, dass sich gerade die Migranten-Gruppe meist sehr gut integriert. Diese Leute sind nämlich im Durchschnitt deutlich gebildeter als der Großteil, der sonstigen Migranten, die vor allem als billige Arbeitskräfte geholt werden.

Ich werde in den nächsten Tag in diesem Blog ein paar Fakten und Gedanken zur immer wieder aktuellen Asyldebatte veröffentlichen. Beginnen möchte ich mit einer provokante Frage: Was würde sich an Ihrem persönlichen Leben ändern, wenn es keinen einzigen Asylwerber mehr in Österreich gäbe? Würden Sie mehr Geld haben? Würde sich Ihre Gesundheit verbessern? Würde die Stimmung in Ihrer Familie besser sein?

Sind Asylwerber kriminell?

Diese Frage lässt sich kurz und bündig beantworten: Es gibt keine Statistik, die die Kriminalität von Asylwerbern separat erfasst. Seit 10 Jahren wird das Innenministerium von latent ausländerfeindlichen Ministern und Ministerinnen geführt, deren primäres Ziel es war, Verschärfungen im Asylrecht durchzusetzen. Wenn es tatsächlich eine erhöhte Kriminalität bei Asylwerbern geben würden, wären diese Minister und Ministerinnen sicher hocherfreut gewesen, in ihrem Interesse eine solche Statistik zu präsentieren. Dass es diese Statistik nicht gibt, kann für vernunftbegabte Menschen nur zu dem Schluss führen, dass genau das Gegenteil der Fall ist: Asylwerber sind sogar weniger Kriminell als der Durchschnitt der Bevölkerung.