Die unterschätzte Gefahr: wie Cyberattacken jeden einzelnen von uns bedrohen
Wir sind abhängig vom Internet. Der Strom aus der Steckdose, das Geld aus dem Automaten, die Bahn zur Arbeit, all das funktioniert nur, wenn Computer und Netze sicher arbeiten. Doch diese Systeme sind verwundbar - und werden immer häufiger gezielt angegriffen. Deutschland mit seiner stark vernetzten Industrie und Gesellschaft, mit seiner hochentwickelten und deshalb umso verwundbareren Infrastruktur hat die Gefahr aus dem Netz lange ignoriert. Erst durch die wachsende Zahl und die zunehmende Massivität der Cyberangriffe sind Politik, Wirtschaft und Bürger aufgewacht. In ihrem ebenso spannenden wie aufrüttelnden Buch sagen die Computersicherheitsexperten Constanze Kurz und Frank Rieger, wer uns bedroht und was wir tun müssen, um unsere Daten, unser Geld und unsere Infrastruktur zu schützen.
Wir sind abhängig vom Internet. Der Strom aus der Steckdose, das Geld aus dem Automaten, die Bahn zur Arbeit, all das funktioniert nur, wenn Computer und Netze sicher arbeiten. Doch diese Systeme sind verwundbar - und werden immer häufiger gezielt angegriffen. Deutschland mit seiner stark vernetzten Industrie und Gesellschaft, mit seiner hochentwickelten und deshalb umso verwundbareren Infrastruktur hat die Gefahr aus dem Netz lange ignoriert. Erst durch die wachsende Zahl und die zunehmende Massivität der Cyberangriffe sind Politik, Wirtschaft und Bürger aufgewacht. In ihrem ebenso spannenden wie aufrüttelnden Buch sagen die Computersicherheitsexperten Constanze Kurz und Frank Rieger, wer uns bedroht und was wir tun müssen, um unsere Daten, unser Geld und unsere Infrastruktur zu schützen.
Süddeutsche Zeitung | Besprechung von 05.10.2018https://www.sueddeutsche.de/digital/buch-rezension-zu-cyberwar-wie-moderne-gesellschaften-in-den-cyberkrieg-abdriften-1.4155704
Buch-Rezension zu "Cyberwar"
Wie moderne Gesellschaften in den Cyberkrieg abdriften
Zwei Autoren beschreiben eloquent, wie stark digitale Angriffe Infrastruktur und Sicherheit gefährden können. Leider fehlt es den Autoren an sprachlicher Präzision.
Von Hakan Tanriverdi
Wer Code für Software schreibt, muss präzise formulieren. Zum einen, damit der Computer versteht, was zu tun ist und die programmierten Befehle ausführt, sonst funktioniert die App nicht. Zum anderen verhindert präzise geschriebener Code, dass Hacker Ungenauigkeiten ausnutzen können, um Befehle anders zu interpretieren als sie gedacht sind. Stark vereinfacht: Wer einem Computer befiehlt, von eins bis fünf zu zählen, darf sich nicht wundern, wenn der Computer auch nach fünf noch weiter zählt - es hat ihm ja niemand verboten.
Es ist diese Präzision, die dem Titel des Buches "Cyberwar" von Constanze Kurz und Frank Rieger fehlt - und an manchen Stellen auch dem Inhalt. Beide sind als "Sprecher" führende Figuren des Chaos Computer Clubs , des wohl einflussreichsten Vereins in Deutschland, wenn es um Informationstechnik geht. Sie schreiben in der Einleitung: "Uns hat es zunächst widerstrebt, dem Buch den Titel 'Cyberwar' zu geben", denn das Wort bringe "zwangsläufig den Krieg in unsere zivilen Netze." Von einem Krieg zu sprechen, ist zweifellos richtig: Große Hackerangriffe trafen in den vergangenen Jahren zivile Infrastruktur. Vor allem Hackergruppen, die im Auftrag von Staaten arbeiten, testen Experten zufolge derzeit, wie man zum Beispiel Stromnetze lahmlegen kann.
Kurz und Rieger: beide sind IT-Sicherheitsexperten, beide jahrelange Kolumnisten der Frankfurter Allgemeinen Sonntagszeitung . Eigentlich können wenige "die Gefahr aus dem Netz" - so der Untertitel - so exzellent beschreiben und erklären wie die beiden Autoren.
Weniger Cyber hätte dem Buch gutgetan
Umso irritierender, dass sich das Präfix "Cyber" durch das Buch zieht. Die Autoren schreiben von Cyberspionage, Cyberangriffen, Cyberwaffen, Cyberraum, Cyberoperationen, Cyberalarm, Cyber-Notstand, Cyberfragen, der "Nation of Islam Cyber Jihad", Cyberzentrum, Cyber-Koordinationskomitee, Cyber-Offensivkräften, Cyber Network Operations und Cyberkriegern. Das alles, noch bevor der Leser auf Seite 30 angekommen ist.
Genau wegen dieses inflationären Gebrauchs, der auch in Politik und Medien zu beobachten ist, ist "Cyber" ein Running Gag in der Hacker-Szene, das Wort wird hier nur ironisch verwendet. Das Buch aber soll eine seriöse Auseinandersetzung mit dem Thema sein. Weniger "Cyber-" hätte dem Buch gut getan.
Die Autoren nehmen Begriffe nicht ernst genug, um sie sauber zu analysieren. Zum Beispiel erwähnen sie den Stuxnet-Angriff, mit dem die USA und Israel das iranische Atomprogramm sabotiert haben. Im Buch heißt es dazu: "Stuxnet war de facto ein Blick in den Waffenschrank, das neuzeitliche Äquivalent zu einem Atomwaffentest."
Nun lässt sich trefflich streiten, ob es sich bei Stuxnet tatsächlich um eine Cyberwaffe handelt. Der Code von Stuxnet manipulierte Zentrifugen, die in der Atomanlage standen und zerstörte sie. Aber selbst angenommen, der Begriff "Waffe" passe und nicht klassisch jener der Sabotage: Der Vergleich hinkt. Denn erstens war Stuxnet kein Test, sondern ein tatsächlich durchgeführter Angriff mit realen Konsequenzen, die die Autoren auf den nächsten Seiten auch beschreiben. Und zweitens bringt eine Atomwaffe unterschiedlos alle Menschem um, die sich in einem bestimmten Radius befinden, die Erde wird verstrahlt. Stuxnet hingegen manipulierte und zerstörte Zentrifugen. Und man kann es nur einmal einsetzen, weil der Code explizit auf die Eigenheiten dieser einen Anlage in Natanz abgestimmt war. In einer anderen Anlage hätte der Code von Stuxnet nicht funktioniert.
Komplexe Sachverhalte clever erklärt
Eindrucksvoll schildern die Autoren dagegen das grundlegende Dilemma digitaler Gesellschaften: Einerseits wird jedes Gerät vernetzt - Waschmaschinen, Kühlschränke, Überwachungskameras. Andererseits haben die Konstrukteure des Großteils dieser Geräte keinen Gedanken an die Sicherheit ihrer Schöpfungen gegen digitale Angriffe verschwendet. Jahrzehntelang haben Forscher versucht, Chips, Laptops, Server, Rechner und den Datenverkehr im Netz abzusichern. Und nun kommt eine neue Geräte-Generation, bei der die Fachleute für die Defensive den Eindruck bekommen, erneut bei Null anzufangen. Die alten Fehler werden wiederholt. Die Welt wird hackbarer , die Gefahren für die Gesellschaft deshalb größer. "Cyberwar" zeigt die Zusammenhänge.
Anschaulich erklären Kurz und Rieger den Druck, der auf Herstellern lastet. "Man will als Erster am Markt sein, ein neues Produkt vor allen anderen anbieten können. Alles, was dabei im Wege steht, ist ein potentieller Umsatzkiller, ein Hindernis auf dem Weg zum Erfolg." Für Sicherheit bleibt keine Zeit. Oft werden Systeme erst dann geschützt, wenn es zu spät ist.
Es gelingt den Autoren über die Länge des Buches immer wieder, komplexe Sachverhalte in drei bis vier Absätzen auf ihren Kern zu reduzieren. Sie beschreiben eloquent, wie sich ein Schattenmarkt gebildet hat, auf dem Hacker für viel Geld Schwachstellen verkaufen, mit denen Regierungen die eigene Bevölkerung ausspionieren können. Auch Staaten wie Deutschland kaufen bei solchen Anbietern ein, kritisieren die Autoren.
Rieger und Kurz lehnen digitale Spionage und Kriegsführung ab. Sie denken deshalb nicht daran, die Sorgen von Strafverfolgungsbehörden in voller Länge auszuführen. Ermittler warnen, dass ihnen zunehmend Wege und Mittel fehlen, auf die Inhalte digitaler Kommunikation zuzugreifen, zum Beispiel auf Chats. Denn die werden verstärkt durch verschlüsselte Systeme vor dem Zugriff Dritter abgeschirmt.
Die Sorgen der Ermittler erweisen sich oft als übertrieben, das stellen Kurz und Rieger überzeugend dar. Dabei sparen sie aus, dass es in manchen Fällen durchaus wichtig sein kann, nicht nur zu wissen, wer wann mit wem redet, sondern auch, worüber. Stattdessen nennen sie das entsprechende Kapitel "Der Cyberwar im Inneren". Die Sprache legt nahe, dass Ermittler sich im Krieg mit der eigenen Bevölkerung befinden.
"Cyber"-Warnungen durchaus hinterfragen
Es lohnt sich dennoch für jeden, dieses Buch zu lesen. Der Leser begreift schnell, wie hoch der Preis dafür ist, dass kommerzielle wie staatliche Interessen und die Bequemlichkeit der Bürger eine sich immer rascher digitalisierende Welt erzwingen.
Die Schlussfolgerungen, die die Autoren aus ihrer Analyse ziehen, sind interessant, die Leser sollten sie aber durchaus hinterfragen. An einer Stelle schreiben Kurz und Rieger zum Beispiel, dass alle staatlichen Behörden verpflichtet sein sollten, "ihnen bekannt gewordene Sicherheitslücken unverzüglich an denjenigen zu melden, der sie am schnellsten schließen kann." Doch die Realität ist noch komplexer.
Zur Wahrheit gehört nämlich auch, dass der Geheimdienst NSA eine Sicherheitslücke an Microsoft gemeldet hatte. Die NSA soll die Schwachstelle zwar fünf Jahre lang ausgenutzt haben . Aber erst nachdem Microsoft die Sicherheitslücke binnen weniger Monate geschlossen und ein Update bereitgestellt hatte, kam es zu einem weltweiten Angriff mit Erpresser-Software , der Hunderttausende Rechner lahmlegte. Der Angriff hatte massive Auswirkungen: So sagten Krankenhäuser Tausende Termine ab, weil Mitarbeiter mit Stift und Papier arbeiten mussten.
Das Problem lag aber nicht darin, dass die Lücke verspätet gemeldet und geschlossen wurde, sondern dass viele Betreiber sich zu viel Zeit ließen, um das Update von Microsoft einzuspielen. Wer das Buch liest, erfährt solche Details leider nicht.
SZ.de
DIZdigital: Alle Rechte vorbehalten – Süddeutsche Zeitung Digitale Medien GmbH
Eine Dienstleistung des SZ-Archivs
Buch-Rezension zu "Cyberwar"
Wie moderne Gesellschaften in den Cyberkrieg abdriften
Zwei Autoren beschreiben eloquent, wie stark digitale Angriffe Infrastruktur und Sicherheit gefährden können. Leider fehlt es den Autoren an sprachlicher Präzision.
Von Hakan Tanriverdi
Wer Code für Software schreibt, muss präzise formulieren. Zum einen, damit der Computer versteht, was zu tun ist und die programmierten Befehle ausführt, sonst funktioniert die App nicht. Zum anderen verhindert präzise geschriebener Code, dass Hacker Ungenauigkeiten ausnutzen können, um Befehle anders zu interpretieren als sie gedacht sind. Stark vereinfacht: Wer einem Computer befiehlt, von eins bis fünf zu zählen, darf sich nicht wundern, wenn der Computer auch nach fünf noch weiter zählt - es hat ihm ja niemand verboten.
Es ist diese Präzision, die dem Titel des Buches "Cyberwar" von Constanze Kurz und Frank Rieger fehlt - und an manchen Stellen auch dem Inhalt. Beide sind als "Sprecher" führende Figuren des Chaos Computer Clubs , des wohl einflussreichsten Vereins in Deutschland, wenn es um Informationstechnik geht. Sie schreiben in der Einleitung: "Uns hat es zunächst widerstrebt, dem Buch den Titel 'Cyberwar' zu geben", denn das Wort bringe "zwangsläufig den Krieg in unsere zivilen Netze." Von einem Krieg zu sprechen, ist zweifellos richtig: Große Hackerangriffe trafen in den vergangenen Jahren zivile Infrastruktur. Vor allem Hackergruppen, die im Auftrag von Staaten arbeiten, testen Experten zufolge derzeit, wie man zum Beispiel Stromnetze lahmlegen kann.
Kurz und Rieger: beide sind IT-Sicherheitsexperten, beide jahrelange Kolumnisten der Frankfurter Allgemeinen Sonntagszeitung . Eigentlich können wenige "die Gefahr aus dem Netz" - so der Untertitel - so exzellent beschreiben und erklären wie die beiden Autoren.
Weniger Cyber hätte dem Buch gutgetan
Umso irritierender, dass sich das Präfix "Cyber" durch das Buch zieht. Die Autoren schreiben von Cyberspionage, Cyberangriffen, Cyberwaffen, Cyberraum, Cyberoperationen, Cyberalarm, Cyber-Notstand, Cyberfragen, der "Nation of Islam Cyber Jihad", Cyberzentrum, Cyber-Koordinationskomitee, Cyber-Offensivkräften, Cyber Network Operations und Cyberkriegern. Das alles, noch bevor der Leser auf Seite 30 angekommen ist.
Genau wegen dieses inflationären Gebrauchs, der auch in Politik und Medien zu beobachten ist, ist "Cyber" ein Running Gag in der Hacker-Szene, das Wort wird hier nur ironisch verwendet. Das Buch aber soll eine seriöse Auseinandersetzung mit dem Thema sein. Weniger "Cyber-" hätte dem Buch gut getan.
Die Autoren nehmen Begriffe nicht ernst genug, um sie sauber zu analysieren. Zum Beispiel erwähnen sie den Stuxnet-Angriff, mit dem die USA und Israel das iranische Atomprogramm sabotiert haben. Im Buch heißt es dazu: "Stuxnet war de facto ein Blick in den Waffenschrank, das neuzeitliche Äquivalent zu einem Atomwaffentest."
Nun lässt sich trefflich streiten, ob es sich bei Stuxnet tatsächlich um eine Cyberwaffe handelt. Der Code von Stuxnet manipulierte Zentrifugen, die in der Atomanlage standen und zerstörte sie. Aber selbst angenommen, der Begriff "Waffe" passe und nicht klassisch jener der Sabotage: Der Vergleich hinkt. Denn erstens war Stuxnet kein Test, sondern ein tatsächlich durchgeführter Angriff mit realen Konsequenzen, die die Autoren auf den nächsten Seiten auch beschreiben. Und zweitens bringt eine Atomwaffe unterschiedlos alle Menschem um, die sich in einem bestimmten Radius befinden, die Erde wird verstrahlt. Stuxnet hingegen manipulierte und zerstörte Zentrifugen. Und man kann es nur einmal einsetzen, weil der Code explizit auf die Eigenheiten dieser einen Anlage in Natanz abgestimmt war. In einer anderen Anlage hätte der Code von Stuxnet nicht funktioniert.
Komplexe Sachverhalte clever erklärt
Eindrucksvoll schildern die Autoren dagegen das grundlegende Dilemma digitaler Gesellschaften: Einerseits wird jedes Gerät vernetzt - Waschmaschinen, Kühlschränke, Überwachungskameras. Andererseits haben die Konstrukteure des Großteils dieser Geräte keinen Gedanken an die Sicherheit ihrer Schöpfungen gegen digitale Angriffe verschwendet. Jahrzehntelang haben Forscher versucht, Chips, Laptops, Server, Rechner und den Datenverkehr im Netz abzusichern. Und nun kommt eine neue Geräte-Generation, bei der die Fachleute für die Defensive den Eindruck bekommen, erneut bei Null anzufangen. Die alten Fehler werden wiederholt. Die Welt wird hackbarer , die Gefahren für die Gesellschaft deshalb größer. "Cyberwar" zeigt die Zusammenhänge.
Anschaulich erklären Kurz und Rieger den Druck, der auf Herstellern lastet. "Man will als Erster am Markt sein, ein neues Produkt vor allen anderen anbieten können. Alles, was dabei im Wege steht, ist ein potentieller Umsatzkiller, ein Hindernis auf dem Weg zum Erfolg." Für Sicherheit bleibt keine Zeit. Oft werden Systeme erst dann geschützt, wenn es zu spät ist.
Es gelingt den Autoren über die Länge des Buches immer wieder, komplexe Sachverhalte in drei bis vier Absätzen auf ihren Kern zu reduzieren. Sie beschreiben eloquent, wie sich ein Schattenmarkt gebildet hat, auf dem Hacker für viel Geld Schwachstellen verkaufen, mit denen Regierungen die eigene Bevölkerung ausspionieren können. Auch Staaten wie Deutschland kaufen bei solchen Anbietern ein, kritisieren die Autoren.
Rieger und Kurz lehnen digitale Spionage und Kriegsführung ab. Sie denken deshalb nicht daran, die Sorgen von Strafverfolgungsbehörden in voller Länge auszuführen. Ermittler warnen, dass ihnen zunehmend Wege und Mittel fehlen, auf die Inhalte digitaler Kommunikation zuzugreifen, zum Beispiel auf Chats. Denn die werden verstärkt durch verschlüsselte Systeme vor dem Zugriff Dritter abgeschirmt.
Die Sorgen der Ermittler erweisen sich oft als übertrieben, das stellen Kurz und Rieger überzeugend dar. Dabei sparen sie aus, dass es in manchen Fällen durchaus wichtig sein kann, nicht nur zu wissen, wer wann mit wem redet, sondern auch, worüber. Stattdessen nennen sie das entsprechende Kapitel "Der Cyberwar im Inneren". Die Sprache legt nahe, dass Ermittler sich im Krieg mit der eigenen Bevölkerung befinden.
"Cyber"-Warnungen durchaus hinterfragen
Es lohnt sich dennoch für jeden, dieses Buch zu lesen. Der Leser begreift schnell, wie hoch der Preis dafür ist, dass kommerzielle wie staatliche Interessen und die Bequemlichkeit der Bürger eine sich immer rascher digitalisierende Welt erzwingen.
Die Schlussfolgerungen, die die Autoren aus ihrer Analyse ziehen, sind interessant, die Leser sollten sie aber durchaus hinterfragen. An einer Stelle schreiben Kurz und Rieger zum Beispiel, dass alle staatlichen Behörden verpflichtet sein sollten, "ihnen bekannt gewordene Sicherheitslücken unverzüglich an denjenigen zu melden, der sie am schnellsten schließen kann." Doch die Realität ist noch komplexer.
Zur Wahrheit gehört nämlich auch, dass der Geheimdienst NSA eine Sicherheitslücke an Microsoft gemeldet hatte. Die NSA soll die Schwachstelle zwar fünf Jahre lang ausgenutzt haben . Aber erst nachdem Microsoft die Sicherheitslücke binnen weniger Monate geschlossen und ein Update bereitgestellt hatte, kam es zu einem weltweiten Angriff mit Erpresser-Software , der Hunderttausende Rechner lahmlegte. Der Angriff hatte massive Auswirkungen: So sagten Krankenhäuser Tausende Termine ab, weil Mitarbeiter mit Stift und Papier arbeiten mussten.
Das Problem lag aber nicht darin, dass die Lücke verspätet gemeldet und geschlossen wurde, sondern dass viele Betreiber sich zu viel Zeit ließen, um das Update von Microsoft einzuspielen. Wer das Buch liest, erfährt solche Details leider nicht.
SZ.de
DIZdigital: Alle Rechte vorbehalten – Süddeutsche Zeitung Digitale Medien GmbH
Eine Dienstleistung des SZ-Archivs
Frankfurter Allgemeine Zeitung | Besprechung von 09.11.2018In der Abwehr muss man wie der Angreifer denken
Cybersicherheit ist machbar: Constanze Kurz und Frank Rieger erklären, wie Desinformation im Digitalzeitalter funktioniert
Das Lied ist schuld. In dem eingängigen Beat sind nämlich nur für Maschinen hörbare Sprachkommandos versteckt, die das Auto verrücktspielen lassen: Die Fenster fahren runter, die Heizung läuft auf Hochtouren, der Warnblinker springt an, und der Bordassistent versucht alle Kontakte anzurufen. "Cyberwar - die Gefahr aus dem Netz" beginnt mit einer Szene aus einer Welt in fünf Jahren. Constanze Kurz und Frank Rieger haben eine fiktionale, aber eine nah an die Realität angelehnte Erpressungsgeschichte entworfen, die zeigt, wie gefährdet die Gesellschaft ist. "Wir leben in einer durchdigitalisierten Welt. Unsere Abhängigkeit von Mobiltelefonen, Internet, Computern ist total", schreiben die Autoren.
Constanze Kurz, Kolumnistin dieser Zeitung ("Aus dem Maschinenraum"), und Frank Rieger, als einer der Sprecher des Chaos Computer Clubs unseren Lesern ebenfalls seit Jahren als Autor vertraut, erklären in "Cyberwar - die Gefahr aus dem Netz" alles, was es derzeit über Cybersicherheit zu wissen gibt. Nicht zufällig fünf Jahre nach dem Whistleblower Edward Snowden wollen die Autoren die Überwachungsdebatte neu beleben: "Wir wissen heute, dass Massenüberwachung die Grundlage für digitale Angriffe ist." Jede Woche werden neue Cyberangriffe bekannt, Kurz und Rieger sind überzeugt davon, dass wir uns damit nicht abfinden sollten.
Man erfährt, welche Angriffswerkzeuge es gibt - Begriffe wie DNS-Exploit tauchen auf -, den Autoren gelingt es allerdings, dass sich die Leser nicht überfordert fühlen. Das Buch ist verständlich auch für jene, die nicht Informatik studiert haben.
Berichte über Cybersicherheit haben häufig das Problem, dass das Thema trotz der Gefahr, die von Hackerangriffen ausgeht, immer irgendwie abstrakt bleibt. Etwas geschieht in Rechenzentren oder in Servern - besonders interessiert ist man meist dann, wenn man selbst schon einmal betroffen war. Längst sind nicht mehr nur Hobby-Hacker am Werk, sondern eine richtige Industrie. Sicherheitslücken werden regelrecht gehandelt, wodurch sich neue ökonomische Anreize ergeben. Die Hacker handeln in der Regel im Auftrag, etwa wenn sie Industriestandorte ausspionieren.
Westliche Gesellschaften, aber auch China und Russland pumpen Milliarden in diese Industrie, das machen die Autoren deutlich. Und das hat die Debatte nach Snowden auch gezeigt: Die staatlichen Stellen haben mehr Geld dafür, als bislang angenommen wurde. Dass das so deutlich gesagt werden kann, liegt daran, dass es viele technische Untersuchungen von Angriffen gibt - Berichte von IT-Sicherheitsunternehmen, die Angriffsmodelle nachzeichnen. Manchmal gibt es sichere Indizien, manchmal politische Beschuldigungen. Manchmal gibt es, etwa durch Whistleblower, auch Informationen über Geheimdienstoperationen. Wie etwa der Hack der Belgacom, der Angriff auf ein befreundetes Land, mittels dessen die Amerikaner an die Daten des belgischen Telekommunikationskonzerns kommen wollten.
Die Autoren thematisieren auch das sogenannte Attributionsproblem, die Frage, wie man erkennt, wer der wirkliche Angreifer war, und wie man verhindert, dass jemand fälschlich beschuldigt wird, der nur dafür verantwortlich gemacht wird. Seit einiger Zeit häufen sich nämlich politische Beschuldigungen. Amerikanische, britische und auch deutsche Stellen haben etwa vermehrt schon russische Hacker für Angriffe verantwortlich gemacht.
Kurz und Rieger erklären, wie Desinformation im Digitalzeitalter funktioniert. Permanent wird auf die Gefühle und Gedanken der Nutzer gezielt, um sie im Endeffekt unbemerkt zu manipulieren. Die Autoren beschreiben, wie Vertrauen - auch in Institutionen wie die Presse - unterminiert wird und welche Rolle dabei auch soziale Netzwerke spielen. In Filterblasen werden Nutzer zu immer extremeren Meinungen und Inhalten gedrängt. Plattformen wie Facebook sind für die Werbeindustrie geschaffen, um die Adressaten dieser Werbebotschaften zu beeinflussen - aber sie sind auch ebenso nutzbar, um politisch zu manipulieren. So kann man das Buch auch als eine Anleitung lesen, wie sich unsere Gesellschaft wappnen kann. Denn Kurz und Rieger sind immer dann besonders stark, wenn sie nicht nur erklären, wie alles immer schlimmer wird, sondern welche Wege es aus der Misere gibt. Etwa beim Schutz vor Attacken. Das Problembewusstsein sei in Deutschland immerhin da, finden die Autoren. Nun müssen Unternehmen investieren, was nicht immer leicht sei, weil eine Investition in IT-Sicherheit nicht direkt sichtbar werde. Sie bringe keinen Umsatz, sondern koste erst einmal nur Geld.
Noch schwerer fällt es mitunter Behörden, weil ihnen auch noch die fähigen Fachkräfte fehlen, die sich in der Materie auskennen: "Für Deutschland ist der springende Punkt eine Form von sinnvoller Abwehr. Wir sind sehr abhängig von Systemen in Deutschland, die wir nicht selbst bauen." Rieger und Kurz sind der Meinung, dass die auch hierzulande anhaltende Diskussion um Hackbacks, offensive Hackingtechniken, gefährlich ist. Dass sie die Versuche, Verschlüsselung zu umgehen und Staatstrojaner zu bauen, auch strategisch für unklug halten, machen die Autoren klar.
In "Cyberwar" fordern Kurz und Rieger, dass die Politik sichere Software fördern sollte. Softwaresicherheit soll besser gekennzeichnet, eine Ende-zu-Ende-Verschlüsselung Pflicht werden. Im Grunde sollen die Betriebssysteme, mit denen wir arbeiten, ganz neu ausgerichtet werden. Was schon im Umgang mit ihnen anfängt: Wer es schafft, in tausend Zeilen Code nur einen Fehler zu machen, ist schon gut. Schon heute sind Softwaresysteme komplex, und sie werden immer komplexer. "Wir haben eine Kultur, dass IT-Sicherheit oft erst am Ende rangeflanscht wird", sagte Kurz unlängst im Digitec-Podcast dieser Zeitung. IT-Sicherheit sei also nicht konzeptionell eingebaut. Was noch einen weiteren Effekt hat: Viele Programmierer haben auf diesem Gebiet keine Erfahrung oder keine Ausbildung. Damit denken sie nicht wie ein Angreifer, was aber nötig wäre für eine erfolgreiche Abwehr.
Wer "Cyberwar" liest, blickt nicht verängstigt in eine vernetzte Zukunft, obgleich es Gründe dafür gäbe. Die Autoren geben den Lesern das Rüstzeug mit, um informierte Entscheidungen zu treffen. Und sie stellen sogar eine große politische Forderung auf, indem sie für Nichtangriffspakte plädieren.
JONAS JANSEN
Constanze Kurz, Frank Rieger: "Cyberwar - Die
Gefahr aus dem Netz".
Wer uns bedroht und wie wir uns wehren können.
C. Bertelsmann Verlag,
München 2018.
288 S., geb., 20,- [Euro].
Alle Rechte vorbehalten. © F.A.Z. GmbH, Frankfurt am Main
Cybersicherheit ist machbar: Constanze Kurz und Frank Rieger erklären, wie Desinformation im Digitalzeitalter funktioniert
Das Lied ist schuld. In dem eingängigen Beat sind nämlich nur für Maschinen hörbare Sprachkommandos versteckt, die das Auto verrücktspielen lassen: Die Fenster fahren runter, die Heizung läuft auf Hochtouren, der Warnblinker springt an, und der Bordassistent versucht alle Kontakte anzurufen. "Cyberwar - die Gefahr aus dem Netz" beginnt mit einer Szene aus einer Welt in fünf Jahren. Constanze Kurz und Frank Rieger haben eine fiktionale, aber eine nah an die Realität angelehnte Erpressungsgeschichte entworfen, die zeigt, wie gefährdet die Gesellschaft ist. "Wir leben in einer durchdigitalisierten Welt. Unsere Abhängigkeit von Mobiltelefonen, Internet, Computern ist total", schreiben die Autoren.
Constanze Kurz, Kolumnistin dieser Zeitung ("Aus dem Maschinenraum"), und Frank Rieger, als einer der Sprecher des Chaos Computer Clubs unseren Lesern ebenfalls seit Jahren als Autor vertraut, erklären in "Cyberwar - die Gefahr aus dem Netz" alles, was es derzeit über Cybersicherheit zu wissen gibt. Nicht zufällig fünf Jahre nach dem Whistleblower Edward Snowden wollen die Autoren die Überwachungsdebatte neu beleben: "Wir wissen heute, dass Massenüberwachung die Grundlage für digitale Angriffe ist." Jede Woche werden neue Cyberangriffe bekannt, Kurz und Rieger sind überzeugt davon, dass wir uns damit nicht abfinden sollten.
Man erfährt, welche Angriffswerkzeuge es gibt - Begriffe wie DNS-Exploit tauchen auf -, den Autoren gelingt es allerdings, dass sich die Leser nicht überfordert fühlen. Das Buch ist verständlich auch für jene, die nicht Informatik studiert haben.
Berichte über Cybersicherheit haben häufig das Problem, dass das Thema trotz der Gefahr, die von Hackerangriffen ausgeht, immer irgendwie abstrakt bleibt. Etwas geschieht in Rechenzentren oder in Servern - besonders interessiert ist man meist dann, wenn man selbst schon einmal betroffen war. Längst sind nicht mehr nur Hobby-Hacker am Werk, sondern eine richtige Industrie. Sicherheitslücken werden regelrecht gehandelt, wodurch sich neue ökonomische Anreize ergeben. Die Hacker handeln in der Regel im Auftrag, etwa wenn sie Industriestandorte ausspionieren.
Westliche Gesellschaften, aber auch China und Russland pumpen Milliarden in diese Industrie, das machen die Autoren deutlich. Und das hat die Debatte nach Snowden auch gezeigt: Die staatlichen Stellen haben mehr Geld dafür, als bislang angenommen wurde. Dass das so deutlich gesagt werden kann, liegt daran, dass es viele technische Untersuchungen von Angriffen gibt - Berichte von IT-Sicherheitsunternehmen, die Angriffsmodelle nachzeichnen. Manchmal gibt es sichere Indizien, manchmal politische Beschuldigungen. Manchmal gibt es, etwa durch Whistleblower, auch Informationen über Geheimdienstoperationen. Wie etwa der Hack der Belgacom, der Angriff auf ein befreundetes Land, mittels dessen die Amerikaner an die Daten des belgischen Telekommunikationskonzerns kommen wollten.
Die Autoren thematisieren auch das sogenannte Attributionsproblem, die Frage, wie man erkennt, wer der wirkliche Angreifer war, und wie man verhindert, dass jemand fälschlich beschuldigt wird, der nur dafür verantwortlich gemacht wird. Seit einiger Zeit häufen sich nämlich politische Beschuldigungen. Amerikanische, britische und auch deutsche Stellen haben etwa vermehrt schon russische Hacker für Angriffe verantwortlich gemacht.
Kurz und Rieger erklären, wie Desinformation im Digitalzeitalter funktioniert. Permanent wird auf die Gefühle und Gedanken der Nutzer gezielt, um sie im Endeffekt unbemerkt zu manipulieren. Die Autoren beschreiben, wie Vertrauen - auch in Institutionen wie die Presse - unterminiert wird und welche Rolle dabei auch soziale Netzwerke spielen. In Filterblasen werden Nutzer zu immer extremeren Meinungen und Inhalten gedrängt. Plattformen wie Facebook sind für die Werbeindustrie geschaffen, um die Adressaten dieser Werbebotschaften zu beeinflussen - aber sie sind auch ebenso nutzbar, um politisch zu manipulieren. So kann man das Buch auch als eine Anleitung lesen, wie sich unsere Gesellschaft wappnen kann. Denn Kurz und Rieger sind immer dann besonders stark, wenn sie nicht nur erklären, wie alles immer schlimmer wird, sondern welche Wege es aus der Misere gibt. Etwa beim Schutz vor Attacken. Das Problembewusstsein sei in Deutschland immerhin da, finden die Autoren. Nun müssen Unternehmen investieren, was nicht immer leicht sei, weil eine Investition in IT-Sicherheit nicht direkt sichtbar werde. Sie bringe keinen Umsatz, sondern koste erst einmal nur Geld.
Noch schwerer fällt es mitunter Behörden, weil ihnen auch noch die fähigen Fachkräfte fehlen, die sich in der Materie auskennen: "Für Deutschland ist der springende Punkt eine Form von sinnvoller Abwehr. Wir sind sehr abhängig von Systemen in Deutschland, die wir nicht selbst bauen." Rieger und Kurz sind der Meinung, dass die auch hierzulande anhaltende Diskussion um Hackbacks, offensive Hackingtechniken, gefährlich ist. Dass sie die Versuche, Verschlüsselung zu umgehen und Staatstrojaner zu bauen, auch strategisch für unklug halten, machen die Autoren klar.
In "Cyberwar" fordern Kurz und Rieger, dass die Politik sichere Software fördern sollte. Softwaresicherheit soll besser gekennzeichnet, eine Ende-zu-Ende-Verschlüsselung Pflicht werden. Im Grunde sollen die Betriebssysteme, mit denen wir arbeiten, ganz neu ausgerichtet werden. Was schon im Umgang mit ihnen anfängt: Wer es schafft, in tausend Zeilen Code nur einen Fehler zu machen, ist schon gut. Schon heute sind Softwaresysteme komplex, und sie werden immer komplexer. "Wir haben eine Kultur, dass IT-Sicherheit oft erst am Ende rangeflanscht wird", sagte Kurz unlängst im Digitec-Podcast dieser Zeitung. IT-Sicherheit sei also nicht konzeptionell eingebaut. Was noch einen weiteren Effekt hat: Viele Programmierer haben auf diesem Gebiet keine Erfahrung oder keine Ausbildung. Damit denken sie nicht wie ein Angreifer, was aber nötig wäre für eine erfolgreiche Abwehr.
Wer "Cyberwar" liest, blickt nicht verängstigt in eine vernetzte Zukunft, obgleich es Gründe dafür gäbe. Die Autoren geben den Lesern das Rüstzeug mit, um informierte Entscheidungen zu treffen. Und sie stellen sogar eine große politische Forderung auf, indem sie für Nichtangriffspakte plädieren.
JONAS JANSEN
Constanze Kurz, Frank Rieger: "Cyberwar - Die
Gefahr aus dem Netz".
Wer uns bedroht und wie wir uns wehren können.
C. Bertelsmann Verlag,
München 2018.
288 S., geb., 20,- [Euro].
Alle Rechte vorbehalten. © F.A.Z. GmbH, Frankfurt am Main
»Ein Sachbuch wie ein Krimi.« 3sat "Kulturzeit"