Ansichten eines Informatikers

Das digitale Sicherheitsdesaster der Bundesregierung

Hadmut
22.11.2015 15:08

Stillstand hilft auch nichts, wenn es die Wand ist, die auf einen zufährt.

Diese Woche ging eine kuriose Meldung herum:

„Ich bräuchte von Ihnen mal eine Krisennummer“

Wenn sich in Deutschland eine große Internet-Krise ereignen sollte, müssen alle Kräfte mobilisiert werden, sagt Innenminister de Maizière. Und wendet sich an den Chaos Computer Club. […]

Internet-Kriminalität nimmt zu, die Zahl der Cyber-Attacken ebenfalls. Ordnungshüter rund um die Welt rüsten sich dagegen, bauen Einheiten auf, die Angriffe über das Internet verhindern und Cyber-Verbrecher dingfest machen sollen.

Falls eine große, weite Teile der Wirtschaft und Gesellschaft erfassenden IT-Krise ausbricht, sind dabei offenbar zunehmend auch überraschende Abwehr-Allianzen denkbar. Bundesinnenminister Thomas de Maizière (CDU) sagte während einer Diskussionsrunde auf dem IT-Gipfel in Berlin, alle Kräfte mobilisiert werden.

Und unter dieses „alle“ fasst er zum Beispiel auch die Freiwilligenvereinigung Chaos Computer Club (CCC). Zu deren führendem Kopf Frank Rieger sagte der für Sicherheit zuständige Minister denn auch ganz frank und frei: „Da bräuchte ich mal von Ihnen eine Krisennummer.“ Er, de Maizière, könne sich durchaus vorstellen, im Ernstfall auch auf die Kompetenzen und Ressourcen des CCC zurück zu greifen.

Sind die jetzt völlig bei Null angekommen?

Der Staat ist in seiner Substanz auf einen Hobbyisten-Verein angewiesen? Was kommt als nächstes? Atomkatastrophe in Reaktor X und die Kanzlerin sucht Leute, die sich für sowas interessieren und vielleicht wissen, was man vielleicht tun könnte?

Es fällt mir immer öfter auf, dass der Staat immer mehr verlangt und immer höhere Steuern kassiert, aber selbst immer weniger kann und liefert. Rentenbeiträge zahlen, aber um unsere eigene Rente sollen wir uns selbst kümmern. Ohne freiwillige Feuerwehren ginge vielerorts gar nichts mehr. Und letzte Woche hat eine Kollegin von mir, die sich ehrenamtlich in einem Flüchtlingsheim engagiert, dringenst um Spenden für Kleidung, vor allem Socken und Unterhosen gebeten. Also habe ich Socken und Unterhosen (unbenutzte, originalverpackte natürlich) gespendet. Und kam mir dabei irgendwie verarscht vor. Der Staat veranstaltet das große Flüchtlings-Willkommen, kann aber nicht mal ein paar billige Unterhosen auf dem Weltmarkt ordern oder einen der hiesigen Kleider-Riesen und -Großmärkte wie Metro, C&A und wie sie alle heißen, bei denen es Unterhosen billig im Zehnerpack gibt, bitten, das Zeug mal zum Sonder- oder Eigenpreis (oder einfach mal als Konzernspende) palettenweise ranzukarren, sondern ist mit seiner Situation und Untätigkeit darauf angewiesen, dass Privatpersonen ihre zum teuren Einzelhandelspreis eingekauften Privatunterhosen aus den Vorratskommoden kramen und spenden. Bezöge man Unterhosen ohne Einzelverpackung und Zwischenhändler palettenweise direkt von den Herstellern in Fernost, Bangladesh und wo das Zeug sonst noch hergestellt wird, währen Unterhosen Pfennigartikel. Aber nein, der Privatbürger muss seine Privatvorräte rausrücken, damit die Leute nicht völlig in Lumpen rumlaufen. Wenn in der Regierung irgendwo Hirnmasse vorhanden wäre, hätte man das Zeug längst auf dem Weltmarkt im großen Stil billig eingekauft und vor jedem Flüchtlingslager einen Seecontainer mit einer Bestückung Basisklamotten aufgestellt.

Da drängt sich nun der Bogen von Unterhosen zu de Maizière geradezu auf.

Egal, was man vom CCC auch denken mag, der ist einfach der falsche Verein für das Problem. In der IT-Sicherheit zeigt sich immer wieder, dass es zwei Typen von Sicherheitsspezialisten gibt: Die Angreifer und die Verteidiger. Aus irgendwelchen Gründen driftet jeder unweigerlich in eine der beiden Kategorien und stellt sich auch mit seiner Denk- und Arbeitsweise und seinen Fachgebieten darauf ein, auch wenn man das eine nicht kann ohne das andere zumindest einigermaßen zu können. Der CCC – ohnehin nicht klar und verlässlich strukturiert, weil eben keine Behörde oder Firma, sondern ein Verein aus Interessierten, die einem Hobby nachgehen – ist ziemlich stark in der Angreifer-Kategorie angesiedelt. Und damit in doppelter Hinsicht für Krisenreaktionen eher ungeeignet.

Fällt de Maizière denn nichts besseres ein als ein privater Hackerclub, um die Welt zu retten?

Nein. Wer sollte ihm auch einfallen? Is ja keiner da.

Auch hier zeigen sich wieder folgen jahrelangen, jahrzehntelangen Regierungsversagens. Man hat sich nie um IT-Sicherheit gekümmert, das kam ja alles so günstig über den großen Teich. Kennt Ihr den Spruch „Wozu Atomkraftwerke? Bei uns kommt der Strom aus der Steckdose!” ? So in der Art.

Mir fällt dazu immer eine Begebenheit von 2008 ein, als ich mal mit dem damaligen BSI-Chef Helmbrecht aneinandergerasselt bin. Der sagte damals recht deutlich und unverblümt, dass das offizielle und von oben vorgegebene Verständnis der Bundesregierung „IT Security Business is growing up.” sei: Sicherheit ist, wenn irgendwelche Leute, die sich als „Sicherheitsbranche” bezeichnen, steigende Umsätze melden.

Das zieht sich seit Jahren wie in roter Faden durch die Regierungspolitik, auch und besonders Merkels: Themen werden gar nicht inhaltlich erfasst, man kapiert gar nicht, worum es geht, sondern nur als einen austauschbaren Bezeichner für einen neuen Bereich des Business as Usual: Die Branche X gibt ein paar Parteispenden ab und schickt ein paar krakeelende Lobbyisten, dafür schreibt man irgendwas in die Gesetze und macht ein paar Empfehlungen, damit die zufrieden sind, die Umsätze steigen, Steuern gezahlt und Arbeitsplätze geschaffen werden. Ob es da um IT-Sicherheit, Hausenergieisolierungen oder Beinprothesen geht – völlig wurscht, wo ist der Unterschied? Müssen die doch selbst wissen, womit sie sich befassen. Fördergießkanne auf!

Und so hat man jahrelang den Bedarf ignoriert. Ich habe es so oft beschrieben, wie ich damals im Streit mit der Uni immer wieder auf das Problem gelaufen bin, dass die IT-Sicherheitsprofessuren mit Stümpern, Inkompetenten, Quotenweibchen besetzt sind. Leute, die an keinem ernsthaften Gespräch zur IT-Sicherheit teilnehmen können, die nicht mal Primzahlen verstanden haben und fehlerfrei definieren können, Hochstapler, Schwindler. Und Spielzeugmacher, siehe solche substanzlosen Blendgranaten wie Bingo Voting und X-pire!. Alle gefördert, ausgezeichnet, lebenslang verbeamtet, mit Forschungsgeldern ausgestattet.

Ergebnis? Null. Man muss einen privaten Verein um Hilfe bitten. Obwohl wir Millionen und Millionen, inzwischen sicherlich eine Milliarde, für die vielen IT-Sicherheitsprofessuren vergeudet haben. De Maizière erwähnt diese Professoren nicht einmal, weil die so nutzlos und unsichtbar sind, dass sie dem nicht mal in den Sinn kommen. Direkt vor Berlin, in Potsdam, hockt das von der Politik so gern besuchte „Hasso-Plattner-Institut”.

Gibt’s da was zu eröffnen oder vor Industrievertretern irgendeine Rede zu halten, gehen Merkel & Co. gerne zum HPI.

In der Not dagegen gehen sie zum CCC.

Und die komischer Cyberwar-Abteilung der Bundeswehr? Von denen und über die hört man gar nichts, die sind mehr so eine Verzierung in Nato-Oliv. BSI? Da kommt auch nicht viel. Sie warnen vor einer Zuspitzung der Bedrohungslage. Mit einer Graphik, die so schön wie nutzlos ist, weil sie sich nicht von einer Graphik unterscheidet, die die verwendeten Begriffe erläutert, somit also tautologisch ist und damit über die Gefährdungslage exakt gar nicht sagt. Zumal eine Warnung des BSI vor einer Gefährung in IT-Sicherheit ungefähr so nützlich ist, wie denn der Pilot des abstürzenden Flugzeugs die Passagiere warnt, dass wir gleich aufschlagen, wenn wir nichts unternehmen.

Was sagt uns das? Über unsere Politik, unsere Verteidigungsbereitschaft, das HPI und die mindestens 200 Millionen, die Plattner da in sein IT-Operettenhaus versenkt hat? (Naja, woher soll’s auch kommen? SAP steht ja auch nicht im besten Ruf, was die Sicherheit angeht…)

Die besten Katastrophen sind immer die mit Ansage, die jeder kommen sah, so wie zu Weihnachten die Geschenke vergessen zu haben.

Wusstet Ihr übrigens, dass de Maizière Apple und Microsoft rügt, weil die sich nicht genug um die Sicherheit kümmern?

„Die Anzahl kritischer Schwachstellen in Standard-IT-Produkten hat sich gegenüber den bereits hohen Werten in den Vorjahren im Jahr 2015 noch einmal massiv erhöht“, heißt es in dem an diesem Donnerstag veröffentlichten Jahresbericht zur IT-Sicherheit in Deutschland.

Und was machen wir da? Das, was Juristen dazu einfällt, und das ist nicht viel: Schadensersatzansprüche prüfen. Auf die Idee, mal zu fragen, warum wir selbst nichts (insbesondere nichts Besseres) auf die Reihe bekommen, kommt da nichts.

Ähm, tut mir leid, dass Ihr’s von mir erfahren müsst, aber: Apple und Microsoft sind amerikanische Unternehmen.

Die sind nicht vertrauenswürdig, die interessieren unsere Sicherheitsprobleme nicht ernstlich, und die dürfen sich da auch gar nicht zu sehr einsetzen, nämlich wegen amerikanischer Gesetze. Wenn man Sicherheit haben will, muss man sie selbst machen oder von jemandem machen lassen, dem man trauen kann.

Und was machen wir?

Nichts.

In Behörden Linux abschaffen und auf Windows setzen. Wenn die Bundestags-IT von Hackern zusammengeschossen wird, liegt sie monatelang hilflos da wie ein Käfer auf dem Rücken. Wenn wir uns da überhaupt um etwas kümmern, dann um die Frauenquote.

Deutsche Betriebssysteme? Deutsche Sicherheitsprodukte? Deutsche Sicherheitsstandards? Fehlanzeige.

Obwohl: Es ist ja nicht so, dass wir da gar nichts machten. Wir bringen nur nichts zustande.

Gesundheitskarte.

DeMail.

ePerso.

Ein Flop nach dem anderen.

Weil alles nicht einsatztauglich.

Ein zentrales Problem dabei ist, dass man qualitativ gar nichts kapiert. Es geht alles um quantative Aspekte, man will Zahlen sehen. Weil man dafür nichts wissen und nichts können muss. Man hat zwar nicht kapiert, was die Graphik da eigentlich bedeutet und worum es geht, aber die Zahlen sind höher als letztes Jahr, also muss es gut sein.

Wir arbeiten jetzt auf die Gigabit-Gesellschaft hin. (Siehe Heise und WELT). Kapiert hat die Politik es zwar nicht, aber es klingt erstens nach „viel” und nach „wir können mit anderen Ländern mithalten”, also machen und fördern wir’s. Dass IT-Sicherheit viel wichtiger wäre, kapiert man nicht, weil das nur qualitativ zu verstehen ist, und dazu müsste man ja Ahnung haben. Politik ist aber ein Laienmarkt, also ist besser gleich mehr x. Egal ob x PS, Megapixel, Gigahertz oder Schokodrops bedeutet.

Die Gründe dafür sind bekannt.

Die Regierung ist aus Laien gemacht, sie besteht aus Juristen, Pfarrern, Lobbyisten und Beamten, die nichts besseres zu tun haben. Und Juristen sind in ihrer Mentalität regierungsungeeignet, weil nur reaktiv, destruktiv, ablehnend. Wir warten, was wir von den Amis geschenkt bekommen und stampfen dann manchmal mit den Füßen, wenn es uns nicht gefällt. Wie ein ungezogenes Kind zu Weihnachten, dem die Geschenke nicht passen.

Wobei: Irgendwann in den letzten Tagen oder heute morgen, ich war noch nicht ganz wach, wurde im Radio ein Buch erwähnt, in dem jemand die Bundesregierung analysiert haben will. Ergebnis: Angela Merkel denke naturwissenschaftlich, der Rest denke juristisch. Wobei mir Angel Merkel nicht naturwissenschaftlich vorkommt, sondern eher wie eine Art Übermutti, die dafür sorgt, dass jeder ein Gutzel bekommt und alle aufhören zu quengeln, aber Ohrfeigen verteilt, wenn einer nicht spurt. Dass der Rest nur juristisch denkt, scheint zu stimmen.

Und dass juristische Denke das Problem nicht nur nicht löst, sondern der Lösung im Weg steht, ist auch bekannt. Hat man wunderbar am Beispiel Kinderpornosperre gesehen: Völlig idiotisch, nichts verstanden, nichts kapiert, nichts funktioniert, aber die Regierungsjuristen wollten es mit Gewalt durchsetzen, und haben jeden mit Sachkunde, der ihnen dazu was erklären konnte, weggebissen und niedergeprügelt. Unser Regierungsapparat ist zu dämlich, zu inkompetent, zu juristisch ausgelegt, um da irgendetwas auf die Reihe zu bekommen.

Deshalb haben die auch keine Strategie und wissen nicht, was sie wollen.

  • Deutschland will Verschlüsselungsweltmeister werden.

    Die Wirtschaft soll stärker in die Verantwortung genommen werden, vertrauenswürdige Hard- und Softwareprodukte sowie sicherere Dienste weiterzuentwickeln und anzubieten. Die drei federführenden Ressorts wollen zudem “sichere Infrastrukturen zur Verfügung stellen, um die eigene Identität im Netz besser zu schützen und sicher zu kommunizieren”.

  • Thomas de Maizière: Innenminister sieht Verschlüsselung als Problem

    Unter anderem müssten die deutschen Sicherheitsbehörden “befugt und in der Lage sein, verschlüsselte Kommunikation zu entschlüsseln oder zu umgehen, wenn dies für ihre Arbeit zum Schutz der Bevölkerung notwendig ist”, sagte de Maizière. “Effektive Ermittlungen zur Strafverfolgung müssen auch im Cyberraum möglich sein.”

  • BND will Verschlüsselung im Netz knacken

    Der Bundesnachrichtendienst (BND) will laut Medienberichten verstärkt die Verschlüsselung im Internet aushebeln und hat dafür auch bisher unbekannte Sicherheitslücken eingekauft.

  • De Maizière will Verschlüsselung knacken

    Der Kampf um Verschlüsselung wird härter: Sicherheitsbehörden in ganz Europa fordern einen Zugang zu verschlüsselten Daten. Deutschland will dabei offenbar mitspielen.

  • De Maizière will keine Backdoors in Kryptographie

    Die Bundesregierung hält an ihrer Position in Sachen Backdoors fest. Hintertüren in Verschlüsselungsprogrammen seien nicht nötig. Es gebe andere Möglichkeiten.

    Die Bundesregierung fordert weiter keine besonderen Hintertüren für Ermittlungsbehörden zu Verschlüsselungsprogrammen. “Wir brauchen nicht mehr oder weniger Befugnisse im digitalen Zeitalter”, sagte Bundesinnenminister Thomas de Maizière (CDU) am Donnerstag in Berlin bei der Vorstellung des BSI-Lageberichts. Deutschland wolle weiterhin das Verschlüsselungsland Nummer 1 weltweit werden. Dazu war am Mittwoch eine Charta von Regierung und Wirtschaft präsentiert worden.

    Prinzipiell müssten die Befugnisse der Sicherheitsbehörden aber durchgesetzt werden, unabhängig davon, ob Kommunikation analog oder digital stattfindet. “Es muss nur die technische Fähigkeit geschaffen werden, diese bestehenden Befugnisse auch tatsächlich einsetzen zu können. Und daran arbeiten wir”, sagte de Maizière.

    Die Unterbindung von Kryptographie-Schlüsseln sei aber eine “amerikanische Diskussion”, fügte der Minister hinzu. Der Einbau von Backdoors sei “nicht unser Weg”. Man müsse andere technische Möglichkeiten entwickeln, bevor die Verschlüsselung beginne. “Das ist technisch aufwendig, aber daran muss man arbeiten”, sagte de Maizière. Es gehe nicht um zusätzliche Befugnisse oder ein Unterlaufen der Verschlüsselung durch den Staat.

  • Bundesinnenministerium: „Eckpunkte der deutschen Kryptopolitik“ von 1999 haben immer noch Bestand

    Gefragt war nach Möglichkeiten des „Umgehens, Aushebelns oder Unbrauchbarmachens von Verschlüsselungstechniken“. In der Antwort erinnert der Staatssekretär Günter Krings an die “Eckpunkte der deutschen Kryptopolitik“ von 1999. Sie wurden unter dem damaligen Bundeskanzler Gerhard Schröder vom rot-grünen Kabinett verabschiedet und waren als Beitrag zur Crypto-Debatte der damaligen Zeit gedacht, als die Forderung nach Einbau von Hintertüren schon einmal Konjunktur hatte.

    Und die deutsche Kryptopolitik von 1997 bis mindestens 1999 war, Kryptographie zu verbieten, Kryptoforschung zu sabotieren und die Professuren mit Pfeifen zu besetzen. Wenn die jetzt noch weiter gilt…

Ja, was denn nun?

Die Debatte hat was von „Wasch mich, aber mach mich nicht nass!”. Oder „vegetarisch, aber mit viel Fleisch!”

Völlig chaotisch, völlig planlos, völlig kompetenzlos.

Kein Wunder, dass die nach dem CCC schreien, wenn es plötzlich brenzlig wird.

Mehr, also vor denen, die uns angreifen wollen, sollten wir uns vor denen fürchten, die vorgeben uns verteidigen wollen.