Betriebsgruppe UBIS

    Ein Trojaner zur rechten Zeit?

    WannaCry, Fragen und Antworten zum Cyberkrieg

    Zum Heulen

    Recht oder Sicherheit?
    Cybersicherheit pixabox Cybersicherheit

    WannaCry, Fragen und Antworten zum Cyberkrieg

    Zum Heulen

    Recht oder Sicherheit?

    Abertausende Rechner in Netzen von Firmen und öffentlichen Einrichtungen waren Ziel eines Cyberangriffs. Anlässlich dieser Bedrohung erscheinen Datenschutz und Mitbestimmung nur hinderlich zu sein.

     

    Viele Überwachungsprogramme werden zunehmend auf Rechnern in allen größeren Firmen eingesetzt. Hätten diese Programme den Vorfall verhindern können?

    WannaCry benutzt eine Lücke, die ein Geheimdienst zuvor jahrelang nutzte. Diese Lücke wurde entlarvt, worauf Microsoft die Lücke schloss. Die jetzt betroffenen Rechner haben das entsprechende Update (Aktualisierung von Windows) nicht erhalten und waren deshalb anfällig. SPLUNK, eine IT-Sicherheitsfirma hat postwendend reagiert. (2) Daraus kann man folgern, dass das bisherige System nicht reagiert hat. Der Schaden ist letztlich durch kriminelle Handlungen en standen und einen Geheimdienst, dem es laut CCC (Chaos Computer Club) nicht kümmert, die Welt zu gefährden, wenn er nur Einblick in andere PCs bekommt. (3)

    Es gibt jetzt neue Überwachungsprogramme, die allen Datenverkehr ( Dateien, Mail, Tastatur...) erst umleiten und untersuchen, und dann erst an den Benutzer zurückgeben. Sind diese Programme nicht sicher gegen solche Angriffe?

    Nicht unbedingt, bereits jetzt haben eingeschleuste Programme Möglichkeiten herauszufinden, ob sie solchen Testbedingungen unterworfen werden. Eine Garantie gibt es nicht. Andererseits sind solche Programme massive Eingriffe in die Privatsphäre der MitarbeiterInnen. Buchstäblich jeder Mucks wird untersucht und unter Umständen auch aufgezeichnet. Diese Daten werden ohne konkreten Anlass erfasst, was dem Datenschutzgesetz direkt widerspricht.(4) Danach dürfen Daten mit Personenbezug nur zu einem genau definierten Zweck gespeichert werden. Die Daten der Sicherheitsanwendungen werden nach dem Prinzip "man weiß ja nie" gespeichert:
    Bei jeder Interaktion mit dem Rechner werden die dabei verwendeten Daten auf einen anderen Rechner übertragen und dort geprüft (damit werben jedenfalls die Hersteller).
    Jede Mail, jeder Mailanhang, jede angesurfte Webseite, jedes geöffnete Worddokument oder jede geöffnete Textdatei, alles wird gelesen und überprüft. (6)
    Das bedeutet sicher eine erheblich höhere Belastung der Infrastruktur. Aber ist etwas anderes ist entscheidend:
    Alles, was diese Tools machen, wird protokolliert - im Guten wie im Schlechten - und wird z.B. in SPLUNK gespeichert. Das ist wirklich "BIG" Data!
    Dann kann einfach und bequem für einen Mitarbeiter jede Tätigkeit nachvollzogen und überprüft werden.

    Wie rechtfertigen sich die Manager, die solche Programme einsetzen?

    Sie sagen, der Zweck sei "Sicherheit". Das ist ein alter Trick: man verallgemeinert einen Begriff so stark, dass er zu nichts mehr zu gebrauchen ist. Im Mittelalter hat man den Begriff der Frömmigkeit so erweitert, dass jede abweichende Meinung unter Blasphemie fallen konnte. Später waren Begriffe wie "Sozialismus" so erweitert worden, jeder Widerspruch war "klassenfeindlich". Nun scheint "Sicherheit" diese Rolle zu spielen: alles, was einem am Mitarbeiterverhalten nicht passt, ist eben ein Sicherheitsrisiko. Niemand wagt das zu bezweifeln, leicht verletzt er sonst Compliance-Richtlinien und wird selbst zu Sicherheitsrisiko.

    Was sind die nächsten Schritte, die die Sicherheitsindustrie gehen wird?

    Das Stichwort ist UBA (user behavior analytics). Hier geht es direkt um Verhalten von BenutzerInnen, das auf Abweichungen vom "Normalen" untersucht werden soll. Da die Komplexität der vielen möglichen Muster im Verhalten von Menschen enormen Aufwand erfordern würde, hat man eine technische Lösung gefunden. So benötigte das Ministerium für Staatssicherheit an die 300 000 hauptamtliche und inoffizielle Mitarbeiter um 16 Mio Menschen zu überwachen.(5) Die Kontrolle wird deshalb einer künstlichen Intelligenz unterworfen. Diese KI-Maschine bekommt aber nun keineswegs verhandelbare Vorgaben, nein den Zustand der "Normalität" stellt sie selbst fest. Wir haben in einem zweifachen Sinn die Kontrolle verloren:
    von der Maschine festgestellte Abweichungen sind im Prinzip keiner menschlichen Kontrolle mehr unterzogen, es kann darüber auch nicht wirklich über eine Vereinbarung z.B. mit dem BR verhandelt werden.
    man kann eine solche Maschine nicht mehr beliebig ändern oder gar abschalten, da man die damit verbundenen Risiken einfach nicht mehr kennt, man kann das Geflecht der von der Maschine verwalteten Beziehungen nicht mehr auflösen.


    (1) https://de.wikipedia.org/wiki/WannaCry 

    (2) https://www.splunk.com/en_us/form/security-investigation-online-experience-endpoint.html?ac=ga_deu_security_wannacry_phrase_May17&_kk=wannacry&gclid=Cj0KEQjw9YTJBRD0vKClruOsuOwBEiQAGkQjP9cr8t-tb9jjpbYutTckl0iydstUB8NZJ4AgxL9oHbsaAjqy8P8HAQ

    (3) http://faktenfinder.tagesschau.de/wanna-cry-cyberangriff-101.html

    (4) https://www.gesetze-im-internet.de/bdsg_1990/__3a.html

    (5) https://de.wikipedia.org/wiki/Ministerium_für_Staatssicherheit#Rekrutierung_hauptamtlicher_und_inoffizieller_Mitarbeiter

    (6) https://www.raymond.cc/blog/analyze-suspicious-exe-files-with-comodo-instant-malware-analysis/