Allgemein

Landtag offline.

Digital First – Bedenken second?

Am Mittwoch, dem 30.08.2017 ging der Landtag in Sachsen-Anhalt offline. Die Magdeburger Abgeordneten mussten bis gestern ohne Computer und Telefone auskommen.  Grund dafür war ein E-Mail-Anhang, den ein Mitarbeiter der SPD geöffnet hatte. Der enthaltene Schädling, war eine, wie jetzt bekannt wurde, neue Abart des seit Februar 2016 bekannten Verschlüsselungstrojaners Locky. Nicht nur die Daten auf dem betroffenen Rechner, sondern auch Teile der angeschlossenen Netzlaufwerke wurden verschlüsselt. 

Es wäre falsch, dem SPD-Genossen alle Schuld für den Vorfall in die Schuhe zu schieben. Menschliches Versagen wie dieses kann durch entsprechende Schulungen zwar minimiert, aber nie ganz ausgeschlossen werden. 

Betrachten wir die Angelegenheit daher von der technischen Seite. Da stellen sich gleich mehrere Fragen:

1. Wie konnte ein verseuchter Email-Anhang die Schutzsysteme des Landtags passieren? 

Diese Angriffsmethode gilt inzwischen als recht altbacken und die meisten ernstzunehmenden Mailfilter werden gut damit fertig. Natürlich müssen sich die zuständigen Administratoren etwas Zeit nehmen, diese Filter durch entsprechende Feinjustierungen zu schärfen. Nächste Frage:

2. Wieso wird im Landtag kein Whitelisting bekannter Prozesse verwendet?

Was erst einmal kompliziert klingt, ist im Grunde recht einfach: Man benutzt eine Software, die alle im Netz laufenden Prozesse überwacht und ihnen einen Fingerabdruck verpasst. Diese Fingerabdrücke finden sich in den Datenbanken einiger Anbieter von Antimalware-Lösungen wieder…oder eben nicht. Dabei gibt es nur drei Fälle zu unterscheiden: 

a) Der Fingerabdruck deutet auf einen erlaubten Prozess hin (im Neudeutsch „Goodware“). Das Ausführen des Prozesses wird gestattet.

b) Der Fingerabdruck identifiziert einen „bösen Prozess“ (= Malware). Das Ausführen dieses Prozesses wird augenblicklich unterbunden.

c) Im schwierigsten Fall ist der Fingerabdruck in der Vergleichsdatenbank des Antimalwareanbieters nicht gespeichert. Die Frage. ob gut oder böse bleibt also zunächst ungeklärt. Bis zur Klärung werden unbekannte Prozesse einfach nicht ausgeführt. Folge: Selbst neue Schädlinge haben, völlig unabhängig von der Art und Weise, wie sie ins Netz kamen, keine Chance.     

Das Verfahren ist in der Praxis natürlich viel schwerer umzusetzen, als diese Theorie klingt. Trotzdem gibt es schon etliche Firmen, die solche Lösungen anbieten. Diese Lösungen funktionieren tatsächlich – wir wissen es aus unserer eigenen praktischen Erfahrung als Sysadmins. Daher die (vorerst) letzte Frage:

3. Wie ist es um den Wissensstand unserer Kollegen im Landtag zu Magdeburg bestellt?

Kennen die keine wirksamen Abwehrmaßnahmen? Sind sie nicht in der Lage, diese entsprechend umzusetzen? Oder wurden sie einfach nur, aus welchen Gründen auch immer, an der sachgerechten Ausführung ihrer Arbeit gehindert? 

Bände spricht allein die Tatsache, dass am Ende eine externe IT-Firma damit beauftragt wurde, den Schaden zu analysieren und zu beheben. Entweder waren die internen ITler also wirklich schuld oder sie dürfen als Schuldige herhalten.

Im Mai hieß es, die Landesregierung sei dabei, ein neues IT-Sicherheitsmanagement umzusetzen. Schließlich nehmen auch in Sachsen-Anhalt die Angriffe auf digitaler Ebene ständig zu. Eine richtige Erkenntnis. Nur an der Umsetzung des Konzepts scheint es zu hapern.

Mittlerweile wurde bekannt, dass alle Geräte eine neue Sicherheitssoftware bekommen haben, die zuverlässig gegen den Trojaner-Virus funktioniert. Immerhin. Hoffentlich eine, die auf den o.g. Technologien basiert. 

Ob der neue Locky wirklich eine neue Sicherheitslücke ausgenutzt hat, darf stark bezweifelt werden. Dann würden wir nicht über den Einzelfall Magdeburger Landtag, sondern über einen neuen Massenausbruch sprechen. Die letzten dürftigen Verlautbarungen der Presse weisen darauf hin, dass die Parlaments-IT durch einen eher plumplen Angriff KO ging, auch wenn die Volksstimme das Gegenteil behauptet.  

Die tatsächlichen Gefahren lauern woanders

Nein – Locky ist selbst in seiner neuen Variante bei weitem nicht so gefährlich, wie es uns verkauft wird, um die fragwürdigen Zustände der IT einer so renommierten Institution wie des sachen-anhaltinischen Landtages zu rechtfertigen.

Wir erinnern in diesem Zusammenhang gerne noch einmal daran, warum weit gefährlichere Schädlinge wie WannaCry zu einem riesigen Problem werden konnten: WannaCry nutzte eine Schwachstelle aus, welche die NSA lange Zeit für diverse Schnüffelattacken verwendet hat, statt sie dem Hersteller zu melden. Unglücklicherweise  gelangte das Herrschaftswissen der NSA nach außen und wurde dann von den (anderen) Kriminellen ebenfalls genutzt. Wer hätte das bloß ahnen können… wenn uns doch bloß jemand gewarnt hätte…

Der sogenannte Staatstrojaner unterscheidet sich in seiner prinzipiellen Arbeitsweise im übrigen kaum von WannaCry, Petya, Locky und allem anderen, was demnächst noch auf uns herunterprasseln wird. Es geht um den unbemerkten Zugriff auf fremde Computersysteme, der nach Meinung der PIRATEN nur unter sehr strengen rechtlichen Rahmenbedingungen erlaubt sein sollte. Vielmehr muss der Schutz der Systeme aller Bürger Prioriät haben. Sicherheitslücken dürfen nicht gehortet werden. Es liegt im Interesse aller Nutzer, diese zu schließen, und damit muss das auch im Interesse des Staates liegen.

Aber dieser Staat will in seiner Fürsorglichkeit lieber ein bisschen mehr über uns erfahren, denn schließlich könnte jeder Terrorist sein. Das ist sicher nicht ganz so kriminell wie die Absichten der Hersteller von Krypto-Trojanern, aber nach Meinung der PIRATEN dennoch verfassungswidrig. Wir warten gespannt darauf, welche Urteile deutsche und europäische Verfassungsgerichte in dieser Frage sprechen werden.

Eins wissen wir aber jetzt schon: Sicherheitslücken, die für Staatstrojaner offen gehalten werden, kommen irgendwann wieder in die Hände von Kriminellen – zumeist werden sie ohnehin genau von diesen gekauft.

Absehbare Folgen

Wenn die modernen Waffen unserer Zeit zum Einsatz kommen, werden auch mal reihenweise Krankenhäuser oder andere lebenswichtige Infrastruktur außer Gefecht gesetzt. Ob das Netz eines Landtages noch funktioniert, ist in einem solchen Fall eher sekundär. Machen wir uns nichts vor: die dabei entstehenden „Kollateralschäden“ nehmen unsere amtierenden Politiker billigend in Kauf, sonst hätte die GroKo den Staatstrojaner nicht am 22.06.2017 per Gesetzesentwurf legitimiert. Spätestens wenn der nächste gut programmierte Schädling zuschlägt und keinen so bequemen „Ausschalter“ wie WannaCry mitbringt, müssen wir vielleicht die Begriffe „Terror“ und „Terror-Opfer“ ganz anders definieren, als sie unsere Innenminister verstehen.

In diesem Sinne sollten wir den Angriff auf den Landtag in Sachsen-Anhalt endlich als ernste Warnung verstehen. Umzudenken ist dringend geboten, bevor veraltete Ansichten Menschenleben kosten!

  1. Piratenfan

    Gut, dass ihr noch da seid denn mit den anderen wird das nichts im Internet.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.