Wenn die "schwarzen HĂŒte" â die als SanitĂ€ter des wilden Cyberraums fungieren â besonders erfolgreich in ihren dunklen Machenschaften sind, jubeln die Boulevardmedien vor Begeisterung. Infolgedessen beginnt die Welt, Cybersecurity ernster zu nehmen. Doch leider geschieht dies nicht sofort. Daher ist die Welt trotz der stĂ€ndig zunehmenden Anzahl katastrophaler CybervorfĂ€lle noch nicht bereit fĂŒr proaktive MaĂnahmen. Man erwartet jedoch, dass die Welt in naher Zukunft, dank der "schwarzen HĂŒte", tatsĂ€chlich beginnen wird, Cybersecurity ernst zu nehmen. [7]

So ernst wie bei BrĂ€nden⊠Einst waren StĂ€dte sehr anfĂ€llig fĂŒr katastrophale BrĂ€nde. Doch trotz der potenziellen Gefahr wurden prĂ€ventive SchutzmaĂnahmen nicht ergriffen â selbst nach dem gewaltigen Feuer in Chicago im Jahr 1871, das Hunderte von Leben kostete und Hunderttausende obdachlos machte. PrĂ€ventive MaĂnahmen wurden erst nach dem erneuten Auftreten einer solchen Katastrophe drei Jahre spĂ€ter ergriffen. Das Gleiche gilt fĂŒr die Cybersicherheit â die Welt wird dieses Problem nicht lösen, solange es keine katastrophalen VorfĂ€lle gibt. Und selbst wenn solche VorfĂ€lle eintreten, wird die Welt das Problem nicht sofort angehen. [7] Deshalb gilt sogar das Sprichwort: âBis der Bug kracht, wird der Mann nicht gepatchtâ â so ganz trifft das nicht zu. Daher haben wir 2018 das 30-jĂ€hrige JubilĂ€um ungebremster Verwundbarkeit gefeiert.
Abschweifer
Der Anfang dieses Artikels, den ich ursprĂŒnglich fĂŒr die Zeitschrift âSystemadministratorâ schrieb, erwies sich in gewisser Weise als prophetisch. Die Ausgabe der Zeitschrift mit diesem Artikel fiel buchstĂ€blich zeitgleich mit dem tragischen Brand im Kemerowo Einkaufszentrum âWinterkirschbaumâ (2018, um den 20. MĂ€rz).

Das Internet in 30 Minuten auflegen
Bereits 1988 erklĂ€rte die legendĂ€re Hackergruppe L0pht, wĂ€hrend sie sich vor einflussreichsten westlichen Beamten versammelte: âIhre Computerhardware ist anfĂ€llig fĂŒr Cyberangriffe aus dem Internet. Sowohl Software als auch Hardware sowie Telekommunikation sind betroffen. Die Hersteller dieser Produkte kĂŒmmern sich nicht um diese Situation. Denn in der modernen Gesetzgebung gibt es keinerlei Verantwortung fĂŒr nachlĂ€ssige AnsĂ€tze zur GewĂ€hrleistung der Cybersicherheit von produzierter Software und Hardware. Die Verantwortung fĂŒr mögliche AusfĂ€lle â seien sie selbstverschuldet oder durch das Eingreifen von Cyberkriminellen verursacht â liegt allein beim Benutzer der Hardware. Was die Bundesregierung angeht, so hat sie weder die nötigen FĂ€higkeiten noch den Willen, dieses Problem zu lösen. Wenn Sie nach Cybersecurity suchen, dann ist das Internet nicht der richtige Ort dafĂŒr. Jeder der sieben Personen, die vor Ihnen sitzen, könnte das Internet vollstĂ€ndig lahmlegen und somit die Kontrolle ĂŒber damit verbundene GerĂ€te ĂŒbernehmen. Allein. 30 Minuten gekonnte Tasteneingabe â und das war's.â [7]

Beamte nickten vielsagend und lieĂen erkennen, dass sie die Ernsthaftigkeit der Situation verstanden, jedoch nichts unternahmen. Heute, genau 30 Jahre nach dem legendĂ€ren Auftritt von L0pht, herrscht weltweit nach wie vor eine "ungehemmte Unsicherheit". Der Einbruch in computerisierte, internetabhĂ€ngige GerĂ€te ist so einfach, dass das Internet, einst das Reich idealistischer Wissenschaftler und Enthusiasten, allmĂ€hlich von den pragmatischsten Profis besetzt wird: BetrĂŒgern, Schwindlern, Spionen und Terroristen. Sie nutzen die Schwachstellen computerisierter GerĂ€te aus, um finanzielle oder andere Vorteile zu erlangen. [7]
Anbieter vernachlÀssigen die Cybersicherheit.
Anbieter versuchen manchmal, bestimmte entdeckte SicherheitslĂŒcken zu beheben, aber sie tun dies nur widerwillig. Denn gewinnbringend ist nicht der Schutz vor Hackern, sondern die neue FunktionalitĂ€t, die sie den Nutzern bieten. Ausgerichtet auf kurzfristige Gewinne investieren Anbieter Geld nur in die Lösung tatsĂ€chlicher Probleme, nicht in hypothetische. Cybersecurity ist fĂŒr viele von ihnen ein hypothetisches Thema. [7]
Cybersecurity ist unsichtbar und immateriell. Sie wird erst greifbar, wenn Probleme damit auftreten. Wenn jedoch gut dafĂŒr gesorgt wurde (viel Geld fĂŒr ihre Sicherheit ausgegeben wurde) und keine Probleme auftreten, wird der Endverbraucher nicht bereit sein, dafĂŒr zu ĂŒberzahlen. DarĂŒber hinaus erfordert die Implementierung von SicherheitsmaĂnahmen nicht nur zusĂ€tzliche finanzielle Mittel, sondern auch mehr Entwicklungszeit, fĂŒhrt zu EinschrĂ€nkungen der Hardware-FunktionalitĂ€ten und verringert deren Leistung. [8]
Es ist kaum zu ĂŒberzeugen, auch die eigenen Marketingexperten von der Notwendigkeit der genannten Ausgaben, ganz zu schweigen von den Endverbrauchern. Da moderne Anbieter jedoch ausschlieĂlich an kurzfristigen Verkaufsgewinnen interessiert sind, sind sie absolut nicht bereit, Verantwortung fĂŒr die Cybersicherheit ihrer Produkte zu ĂŒbernehmen. [1] Auf der anderen Seite stehen verantwortungsbewusstere Anbieter, die sich um die Cybersicherheit ihrer GerĂ€te kĂŒmmern, vor der Herausforderung, dass Unternehmensverbraucher billigere und einfachere Alternativen bevorzugen. Offensichtlich ist das Thema Cybersicherheit auch fĂŒr Unternehmensverbraucher von geringer Bedeutung. [8]
Vor diesem Hintergrund ist es nicht verwunderlich, dass Anbieter dazu neigen, die Cybersicherheit zu vernachlĂ€ssigen und der folgenden Philosophie folgen: âBau weiter, verkaufe weiter und mache bei Bedarf Updates. Ist das System ausgefallen? Sind Daten verloren gegangen? Wurde eine Datenbank mit Kreditkartennummern gestohlen? Gibt es unlösbare Schwachstellen in der Hardware? Kein Problem!â Die Verbraucher hingegen mĂŒssen dem Prinzip folgen: âUpdate und bete.â [7]

So funktioniert es: Beispiele aus der Tierwelt
Ein starkes Beispiel fĂŒr Missachtung der Cybersicherheit bei der Entwicklung ist Microsofts Unternehmensmotivationsprogramm: âVerspĂ€tung bedeutet Strafe. Wenn Sie Ihre Innovation nicht rechtzeitig prĂ€sentieren, wird sie nicht eingefĂŒhrt. Wenn sie nicht eingefĂŒhrt wird, erhalten Sie keine Unternehmensanteile (keinen Anteil am Gewinn von Microsoft).â Seit 1993 hat Microsoft begonnen, seine Produkte aktiv mit dem Internet zu verknĂŒpfen. Da diese Initiative im Einklang mit demselben Motivationsprogramm stand, wurden die FunktionalitĂ€ten schneller erweitert, als der Schutz folgen konnte. Zur Freude pragmatischer Schwachstellensucher⊠[7]
Ein weiteres Beispiel ist die Situation mit Computern und Laptops: Sie werden nicht mit vorinstallierter Antivirensoftware geliefert; und auch die Festlegung zuverlÀssiger Passwörter ist nicht vorgesehen. Es wird davon ausgegangen, dass der Endbenutzer Antivirensoftware installiert und die Sicherheitskonfiguration vornimmt. [1]
Ein weiteres, extremeres Beispiel: die Cybersicherheitslage bei HandelsgerĂ€ten (z.B. Kassensysteme, PoS-Terminals fĂŒr Einkaufszentren usw.). Es ist ĂŒblich, dass Anbieter von HandelsgerĂ€ten nur das vertreiben, was sich verkauft, und nicht, was sicher ist. [2] Wenn sich die Anbieter von HandelsgerĂ€ten um Cybersicherheit kĂŒmmern, dann hauptsĂ€chlich darum, dass im Falle eines strittigen Vorfalls die Verantwortung auf andere abgewĂ€lzt wird. [3]
Ein anschauliches Beispiel fĂŒr diese Entwicklung ist die Popularisierung des EMV-Standards fĂŒr Bankkarten, der dank der geschickten Arbeit der Marketingabteilungen der Banken in den Augen der technikunerfahrenen Ăffentlichkeit als sicherere Alternative zu 'veralteten' Magnetkarten erscheint. Dabei war die Hauptmotivation der Bankenindustrie, die fĂŒr die Entwicklung des EMV-Standards verantwortlich war, die Verantwortung fĂŒr betrĂŒgerische VorfĂ€lle (die durch Kartendiebe verursacht werden) von den GeschĂ€ften auf die Kunden zu verlagern. Zuvor, als Zahlungen mit Magnetkarten vorgenommen wurden, lag die finanzielle Verantwortung fĂŒr Abweichungen im Soll/Haben bei den GeschĂ€ften. [3] Somit schieben die Banken, die Zahlungen abwickeln, die Verantwortung entweder auf die VerkĂ€ufer (die ihre Online-Banking-Systeme nutzen) oder auf die Banken, die die Zahlungskarten ausgeben; die letzten beiden wiederum geben die Verantwortung an den Karteninhaber weiter. [2]
Anbieter behindern die GewÀhrleistung der Cybersicherheit
Mit der unaufhaltsamen Ausweitung der digitalen Angriffe â bedingt durch den explosiven Anstieg der internetfĂ€higen GerĂ€te â wird es zunehmend schwieriger, den Ăberblick ĂŒber die in die Unternehmensnetzwerke eingebundenen Systeme zu behalten. Gleichzeitig wird die Verantwortung fĂŒr die Sicherheit aller internetfĂ€higen GerĂ€te zunehmend auf die Endbenutzer abgewĂ€lzt [1]: "Die Rettung der Ertrinkenden obliegt den Ertrinkenden selbst."
Es ist nicht nur so, dass die Anbieter sich nicht um die Cybersicherheit ihrer Produkte kĂŒmmern, in einigen FĂ€llen erschweren sie sogar deren GewĂ€hrleistung. So entschied beispielsweise der technische Direktor des medizinischen Zentrums "Beth Israel", nachdem der Netzwerk-Wurm Conficker im Jahr 2009 in das Zentrum eindrang und dort Teile des medizinischen Equipments infizierte, zur Vermeidung zukĂŒnftiger VorfĂ€lle, die NetzwerkfunktionalitĂ€t des betroffenen GerĂ€ts zu deaktivieren. Allerdings stieĂ er auf das Problem, dass "das GerĂ€t aufgrund regulatorischer EinschrĂ€nkungen nicht aktualisiert werden konnte". Er benötigte erhebliche Anstrengungen, um mit dem Anbieter die Deaktivierung der Netzwerkfunktionen zu vereinbaren. [4]
Grundlegende Cyber-Sicherheit des Internets
David Clark, der legendĂ€re Professor am MIT, der fĂŒr seine geniale Einsicht den Spitznamen "Albus Dumbledore" erhielt, erinnert sich genau an den Tag, an dem die dunkle Seite des Internets der Welt offenbar wurde. Clark war im November 1988 Vorsitzender einer Telekommunikationskonferenz, als die Nachricht die Runde machte, dass der erste Computerwurm in der Geschichte ĂŒber Netzwerkkabel geschlichen war. Dieser Moment blieb Clark im GedĂ€chtnis, weil ein Referent, der an seiner Konferenz teilnahm, fĂŒr die Verbreitung dieses Wurms verantwortlich gemacht wurde. Der Referent Ă€uĂerte in einem Anfall von Emotionen nachlĂ€ssig: âSo ein Mist! Ich dachte, ich hĂ€tte diese Schwachstelle schon geschlossenâ, â dafĂŒr musste er die Konsequenzen tragen. [5]

SpĂ€ter stellte sich jedoch heraus, dass die Schwachstelle, durch die der erwĂ€hnte Wurm verbreitet wurde, nicht das Verdienst einer bestimmten Person war. Streng genommen handelte es sich dabei sogar nicht um eine Schwachstelle, sondern um ein fundamentales Merkmal des Internets: Die GrĂŒnder des Internets konzentrierten sich bei der Entwicklung ihres Produkts ausschlieĂlich auf die DatenĂŒbertragungsgeschwindigkeit und die Ausfallsicherheit. Die Aufgabe der GewĂ€hrleistung von Cybersicherheit hatten sie sich nicht gesetzt. [5]
Heute, Jahrzehnte nach der GrĂŒndung des Internets â nachdem Hunderte von Milliarden Dollar fĂŒr vergebliche Versuche zur Sicherstellung der Cybersicherheit ausgegeben wurden â ist das Internet nicht weniger anfĂ€llig geworden. Die Probleme in Bezug auf die Cybersicherheit verschĂ€rfen sich von Jahr zu Jahr. Haben wir jedoch das Recht, die Urheber des Internets dafĂŒr zu verurteilen? SchlieĂlich wird auch niemand die Bauherren von SchnellstraĂen dafĂŒr verurteilen, dass es auf «ihren StraĂen» UnfĂ€lle gibt; und niemand wird die Stadtplaner dafĂŒr kritisieren, dass in «ihren StĂ€dten» RaubĂŒberfĂ€lle geschehen. [5]
Wie die Hacker-Subkultur entstand
Die Hacker-Subkultur entstand Anfang der 1960er Jahre im "Club fĂŒr technische Modellbahnplanung" (der innerhalb des Massachusetts Institute of Technology tĂ€tig war). Die Enthusiasten des Clubs entwarfen und bauten ein Modell einer Eisenbahn, das so groĂ war, dass es den gesamten Raum ausfĂŒllte. Die Mitglieder des Clubs teilten sich spontan in zwei Gruppen: Friedensmacher und Systemtechniker. [6]
Die ersten arbeiteten an dem oberirdischen Teil des Modells, die zweiten am unterirdischen. Die ersten sammelten und bemalten Modelle von ZĂŒgen und StĂ€dten: Sie modellierten eine gesamte Welt im Miniaturformat. Die zweiten arbeiteten an der technischen Ausstattung dieses Friedensprojekts: die komplexen Verbindungen von DrĂ€hten, Relais und Koordinaten-Schaltern, die im unterirdischen Teil des Modells platziert waren â all das kontrollierte den "oberirdischen" Teil und versorgte ihn mit Energie. [6]
Wenn ein Problem mit dem Verkehr auftrat und jemand eine neue, geniale Lösung zur Behebung fand, wurde diese Lösung als "Hack" bezeichnet. FĂŒr die Mitglieder des Clubs wurde die Suche nach neuen Hacks zu einem selbstwertstiftenden Lebenssinn. Daher begannen sie, sich selbst als "Hacker" zu bezeichnen. [6]
Die erste Generation von Hackern setzte die im âModellbahnclubâ erlernten FĂ€higkeiten ein, um Computerprogramme auf Lochkarten zu schreiben. Als dann 1969 ARPANET (der VorlĂ€ufer des Internets) in die UniversitĂ€tsstadt kam, waren es vor allem die Hacker, die die aktivsten und qualifiziertesten Nutzer wurden. [6]
Heute, Jahrzehnte spĂ€ter, erinnert das moderne Internet stark an den âUntergrundâ-Bereich des Modellbahnmodells. Denn die gleichen Hacker, die Mitglieder des âModellbahnclubsâ waren, haben es erschaffen. Nur dass die Hacker jetzt anstelle von modellierten Miniaturen mit echten StĂ€dten arbeiten. [6]

Wie die BGP-Routing-Technologie entstand
Bis Ende der 80er Jahre stand das Internet aufgrund eines explosionsartigen Anstiegs der Anzahl der GerĂ€te, die mit dem Internet verbunden waren, vor einer kritischen mathematischen Grenze, die in einem der grundlegenden Internetprotokolle eingebaut war. Daher verwandelte sich jede Diskussion unter den Ingenieuren jener Zeit schlieĂlich in eine Auseinandersetzung mit diesem Problem. Auch zwei Freunde, Jakob Rechter (Ingenieur bei IBM) und Kirk Lockheed (GrĂŒnder von Cisco), bildeten dabei keine Ausnahme. Bei einem zufĂ€lligen Treffen am Mittagstisch begannen sie darĂŒber zu diskutieren, wie die FunktionsfĂ€higkeit des Internets erhalten werden könne. Die aufkommenden Ideen notierten sie auf allem, was ihnen in die HĂ€nde fiel â einer mit Ketchup verschmierten Serviette. Dann auf einer zweiten. Und auf einer dritten. âDas Protokoll auf drei Serviettenâ, wie die Erfinder es scherzhaft nannten, ist offiziell als BGP (Border Gateway Protocol; Protokoll fĂŒr die Grenzweiterleitung) bekannt und fĂŒhrte bald zu einer Revolution im Internet. [8]

FĂŒr Rechter und Lockheed war BGP einfach ein lĂ€ssiger Hack, der im Geiste des oben genannten "Eisenbahnmodellierungsclubs" entwickelt wurde â eine vorĂŒbergehende Lösung, die bald ersetzt werden sollte. Die Freunde entwickelten BGP 1989. Doch heute, 30 Jahre spĂ€ter, wird der GroĂteil des Internetverkehrs nach wie vor durch das âProtokoll auf drei Serviettenâ geroutet â trotz immer alarmierenderer Hinweise auf kritische Sicherheitsprobleme. Der vorĂŒbergehende Hack wurde zu einem der grundlegenden Internetprotokolle, und seine Entwickler haben aus erster Hand erfahren, dass "nichts bestĂ€ndiger ist als vorĂŒbergehende Lösungen". [8]
Netzwerke weltweit haben auf BGP umgestellt. Einflussreiche Anbieter, wohlhabende Kunden und Telekommunikationsunternehmen schĂ€tzten BGP sehr schnell und gewöhnten sich daran. Daher zeigt die IT-Gemeinschaft trotz zunehmend alarmierenderer Hinweise auf die Unsicherheit dieses Protokolls wenig Enthusiasmus fĂŒr den Wechsel zu neuerem, sichererem Equipment. [8]
Cyber-Unsicherheit der BGP-RoutenfĂŒhrung
Was macht BGP-Routing so vorteilhaft und warum zögert die IT-Community, darauf zu verzichten? BGP hilft Routern, Entscheidungen darĂŒber zu treffen, wohin die gigantischen Datenströme geleitet werden sollen, die durch ein umfangreiches Netzwerk von Verbindungen flieĂen. BGP ermöglicht es Routern, geeignete Routen auszuwĂ€hlen, auch wenn sich das Netzwerk stĂ€ndig verĂ€ndert und engpassartige Ăberlastungen auf beliebten Strecken auftreten. Das Problem ist, dass es im Internet keine globale Routing-Karte gibt. Router, die BGP verwenden, treffen Entscheidungen ĂŒber die Wahl eines bestimmten Pfades basierend auf Informationen, die sie von ihren Nachbarn im Cyberraum erhalten, die wiederum Informationen von ihren Nachbarn sammeln, und so weiter. Allerdings ist diese Information leicht zu fĂ€lschen, was bedeutet, dass BGP-Routing anfĂ€llig fĂŒr MiTM-Angriffe ist. [8]
Daher tauchen regelmĂ€Ăig Fragen auf wie: âWarum machte der Datenverkehr zwischen zwei Computern in Denver einen riesigen Umweg ĂŒber Island?â, âWarum wurden geheime Daten des Pentagon einmal ĂŒber Peking umgeleitet?â. Solche Fragen haben technische Antworten, die jedoch alle darauf hinauslaufen, dass die Funktion des BGP-Protokolls auf Vertrauen basiert: auf dem Vertrauen in die Empfehlungen, die von benachbarten Routern erhalten werden. Aufgrund der vertrauensvollen Natur des BGP-Protokolls können die geheimnisvollen Verkehrsregisseure nach Belieben fremde Datenströme in ihr Herrschaftsgebiet lenken. [8]
Ein aktuelles Beispiel ist der BGP-Angriff Chinas auf das US-Verteidigungsministerium. Im April 2010 sendete der staatliche Telekommunikationsgigant China Telecom an Zehntausende von Routern weltweit, darunter 16.000 in den USA, eine BGP-Nachricht ĂŒber die VerfĂŒgbarkeit besserer Routen. In Ermangelung eines Systems, das die Echtheit der BGP-Nachricht von China Telecom ĂŒberprĂŒfen konnte, begannen Router weltweit, Daten ĂŒber Peking umzuleiten. Dazu gehörten auch der Datenverkehr des Pentagons und anderer Webseiten des US-Verteidigungsministeriums. Die Leichtigkeit, mit der der Verkehr umgeleitet wurde, und das Fehlen effektiven Schutzes vor solchen Angriffen sind ein weiteres Warnsignal fĂŒr die Unsicherheiten der BGP-Routing-Protokolle. [8]
Das BGP-Protokoll ist theoretisch anfĂ€llig fĂŒr noch gefĂ€hrlichere Cyberangriffe. Sollte es zu internationalen Konflikten im Cyberraum kommen, könnte China Telecom oder ein anderer Telekommunikationsriese versuchen, Teile des Internets, die ihm tatsĂ€chlich nicht gehören, fĂŒr sich zu beanspruchen. Ein solcher Schritt wĂŒrde die Router verwirren, die sich zwischen konkurrierenden Anfragen zu denselben IP-Blöcken hin und her bewegen mĂŒssten. Ohne die Möglichkeit, eine legitime Anfrage von einer falschen zu unterscheiden, wĂŒrden die Router chaotisch agieren. Das Ergebnis wĂ€re eine Internet-Ăquivalent zu einem Atomkrieg â eine offene, groĂ angelegte Feindschaft. Ein solches Szenario mag in Zeiten relativen Friedens unrealistisch erscheinen, ist jedoch technisch durchaus machbar. [8]
Vergeblicher Versuch, von BGP auf BGPSEC umzusteigen.
Bei der Entwicklung von BGP wurde die Cybersicherheit nicht berĂŒcksichtigt, da Hacks zu diesem Zeitpunkt selten waren und die Auswirkungen darauf gering waren. Die Entwickler des BGP-Protokolls, die in Telekommunikationsunternehmen tĂ€tig waren und an einem Verkauf ihrer NetzwerkausrĂŒstung interessiert waren, hatten ein dringlicheres Problem zu lösen: die Vermeidung von unerwarteten AusfĂ€llen des Internets. Denn Internetunterbrechungen könnten Nutzer abschrecken und damit den Verkauf von NetzwerkausrĂŒstung beeintrĂ€chtigen. [8]
Nach dem Vorfall im April 2010, als amerikanischer MilitĂ€rverkehr durch Peking geleitet wurde, beschleunigten sich die Arbeiten zur Cybersicherheitsabsicherung der BGP-Routing-Technologie natĂŒrlich. Allerdings zeigen die Telekommunikationsanbieter wenig Begeisterung, die Kosten fĂŒr den Umstieg auf das neue sichere Routingprotokoll BGPSEC zu tragen, das als Ersatz fĂŒr das unsichere BGP angeboten wird. Die Anbieter betrachten BGP nach wie vor als durchaus akzeptabel, trotz zahlreicher VorfĂ€lle von Datenverkehrsabfang. [8]
Radia Perlman, die fĂŒr die Erfindung eines weiteren wichtigen Netzwerkprotokolls im Jahr 1988 (ein Jahr vor dem BGP) als "Mutter des Internets" bezeichnet wurde, hat an der MIT ihre Doktorarbeit verteidigt, die prophetisch war. Perlman sagte voraus, dass ein Routing-Protokoll, das auf der Ehrlichkeit von Nachbarn im Cyberspace basiert, von Grund auf unsicher ist. Sie plĂ€dierte fĂŒr den Einsatz von Kryptographie, um die Möglichkeiten der FĂ€lschung einzuschrĂ€nken. Allerdings war die EinfĂŒhrung von BGP bereits in vollem Gange, die einflussreiche IT-Community hatte sich daran gewöhnt und wollte nichts Ă€ndern. Daher blieb der relative Anteil an kryptographisch geschĂŒtztem BGP-Routing nach den fundierten Warnungen von Perlman, Clark und einigen anderen fĂŒhrenden Experten weltweit bei unverĂ€nderten 0%. [8]
BGP-Routing ist bei weitem nicht der einzige "Hack"
Und BGP-Routing ist nicht der einzige Trick, der die Idee unterstĂŒtzt, dass "nichts bestĂ€ndiger ist als vorĂŒbergehende Lösungen". Manchmal scheint das Internet, das uns in fantastischen Welten eintauchen lĂ€sst, ebenso elegant zu sein wie ein Rennwagen. Doch in Wirklichkeit sieht das Internet eher aus wie ein Frankenstein als ein Ferrari, aufgrund der ĂŒbereinander gestapelten Hacks. Denn diese Hacks, die offiziell als Patches bezeichnet werden, werden nicht durch zuverlĂ€ssige Technologien ersetzt. Die Folgen dieses Ansatzes sind katastrophal: TĂ€glich und stĂŒndlich hacken Cyberkriminelle in anfĂ€llige Systeme und erweitern die Dimensionen der CyberkriminalitĂ€t auf zuvor unvorstellbare AusmaĂe. [8]
Viele der von Cyberkriminellen ausgenutzten SicherheitsanfĂ€lligkeiten sind seit langem bekannt und bestehen weiterhin, weil die IT-Community Probleme oft nur mit kurzfristigen Hacks und Patches löst. Oft stapeln sich dadurch veraltete Technologien ĂŒbereinander, was das Leben der Menschen erschwert und sie in Gefahr bringt. Was wĂŒrden Sie denken, wenn Sie erfahren, dass Ihre Bank ihr Tresorhaus auf einem Fundament aus Stroh und Lehm errichtet? WĂŒrden Sie ihr Ihre Ersparnisse anvertrauen? [8]

Unbeschwerte Einstellung von Linus Torvalds
Jahre gingen ins Land, bis das Internet seine ersten hundert Computer erreichte. Heute kommen pro Sekunde 100 neue Computer und andere GerĂ€te hinzu. Mit dem exponentiellen Wachstum der mit dem Internet verbundenen GerĂ€te steigen auch die Herausforderungen der Cybersicherheit. Doch die Person, die den gröĂten Einfluss auf die Lösung dieser Probleme haben könnte, sieht die Cybersicherheitslage mit GleichgĂŒltigkeit. Dieser Mensch wird als Genie, Schurke, spiritueller FĂŒhrer und wohlwollender Diktator bezeichnet: Linus Torvalds. Die ĂŒberwĂ€ltigende Mehrheit der mit dem Internet verbundenen GerĂ€te lĂ€uft auf seinem Betriebssystem Linux. Schnell, flexibel, kostenlos â Linux wird mit der Zeit immer beliebter und bleibt gleichzeitig Ă€uĂerst stabil. Es kann ĂŒber viele Jahre ohne Neustart betrieben werden. Deshalb hat Linux die Ehre, das dominierende Betriebssystem zu sein. Praktisch jede computerisierte Hardware, die uns heute zur VerfĂŒgung steht, lĂ€uft auf Linux: Server, medizinische GerĂ€te, Bordcomputer, kleine Drohnen, MilitĂ€rflugzeuge und vieles mehr. [9]
Linux glÀnzt hauptsÀchlich, weil Torvalds Wert auf Leistung und Ausfallsicherheit legt. Dabei bleibt jedoch die Cybersicherheit auf der Strecke. Selbst wenn der Cyberraum und die physische Welt miteinander verflochten sind und Cybersicherheit zu einem globalen Thema geworden ist, weigert sich Torvalds, sichere Innovationen in sein Betriebssystem zu integrieren. [9]
Deshalb wĂ€chst selbst unter den zahlreichen Linux-AnhĂ€ngern die Besorgnis ĂŒber die SicherheitsanfĂ€lligkeiten dieses Betriebssystems. Besonders besorgniserregend ist der intime Teil von Linux â sein Kernel, an dem Torvalds persönlich arbeitet. Die AnhĂ€nger von Linux beobachten, dass Torvalds die Themen der Cybersicherheit nicht ernst nimmt. DarĂŒber hinaus umgibt sich Torvalds mit Entwicklern, die seine Sorglosigkeit teilen. Wenn jemand aus Torvalds' engstem Kreis das GesprĂ€ch ĂŒber die Implementierung sicherer Innovationen beginnt, wird er sofort an den Pranger gestellt. Eine Gruppe solcher Innovatoren entlieĂ Torvalds und bezeichnete sie als "masturbierende Affen". Als er sich von einer anderen Gruppe sicherheitsbewusster Entwickler verabschiedete, sagte Torvalds zu ihnen: "WĂŒrden Sie sich nicht selbst umbringen? Die Welt wĂ€re dadurch besser." Wann immer es um die HinzufĂŒgung von Sicherheitsfunktionen ging, war Torvalds stets dagegen. [9] Torvalds hat in diesem Zusammenhang sogar eine eigene Philosophie, die nicht ganz ohne gesunden Menschenverstand ist:
«Absolute Sicherheit ist unerreichbar. Daher sollte sie immer nur im VerhĂ€ltnis zu anderen PrioritĂ€ten betrachtet werden: Geschwindigkeit, FlexibilitĂ€t und Benutzerfreundlichkeit. Menschen, die sich völlig der Sicherheit widmen, sind verrĂŒckt. Ihre Denkweise ist begrenzt und schwarz-weiĂ. Sicherheit allein ist nutzlos. Die Essenz liegt immer irgendwo anders. Daher können Sie keine absolute Sicherheit gewĂ€hrleisten, selbst wenn Sie es sich sehr wĂŒnschen. NatĂŒrlich gibt es Menschen, die der Sicherheit mehr Aufmerksamkeit schenken als Torvalds. Aber diese Leute arbeiten einfach an dem, was sie interessiert, und gewĂ€hrleisten Sicherheit in engen relativen Rahmen, die ihre Interessen umreiĂen. Nicht mehr. Daher tragen sie in keiner Weise zur Erhöhung der absoluten Sicherheit bei.» [9]
Einblick: Mit OpenSource wie auf einem Pulverfass [10]
OpenSource-Code hat Milliarden an Entwicklungskosten eingespart, indem er die Notwendigkeit doppelter Anstrengungen ausgeschlossen hat: Mit OpenSource können Programmierer ohne EinschrĂ€nkungen und GebĂŒhren Zugang zu den neuesten Innovationen erhalten. OpenSource wird ĂŒberall eingesetzt. Selbst wenn Sie einen Softwareentwickler engagiert haben, um eine spezielle Aufgabe von Grund auf zu lösen, wird dieser Entwickler höchstwahrscheinlich eine OpenSource-Bibliothek verwenden. Und sicherlich nicht nur eine. Somit sind Elemente von OpenSource praktisch ĂŒberall vorhanden. Gleichzeitig sollte man verstehen, dass keine Software statisch ist, ihr Code Ă€ndert sich stĂ€ndig. Daher funktioniert das Prinzip "Hochladen und Vergessen" fĂŒr Code niemals â auch nicht fĂŒr OpenSource-Code: So oder so wird irgendwann eine aktualisierte Version benötigt.
Im Jahr 2016 wurden die Folgen einer solchen Situation offensichtlich: Ein 28-jĂ€hriger Entwickler "brach" vorĂŒbergehend das Internet, indem er seinen zuvor veröffentlichten Open-Source-Code löschte. Diese Geschichte zeigt, wie zerbrechlich unsere Cyberinfrastruktur ist. Einige Personen, die fĂŒr Open-Source-Projekte entscheidend sind, sind so wichtig fĂŒr deren Aufrechterhaltung, dass das Internet im Falle eines unglĂŒcklichen Ereignisses wie einem Busunfall mit ihrem Verlust zusammenbrechen könnte.
Schwer wartbarer Code ist genau der Bereich, in dem die ernsthaftesten Schwachstellen der Cybersicherheit lauern. Einzelne Unternehmen ahnen oft nicht, wie anfĂ€llig sie durch solchen Code sind. Die mit diesem Code verbundenen Schwachstellen können sich sehr langsam zu einem ernsthaften Problem entwickeln: Systeme faulen langsam vor sich hin, ohne dabei sichtbare AusfĂ€lle zu zeigen. Und wenn sie schlieĂlich doch ausfallen, können die Konsequenzen verheerend sein.
Da OpenSource-Projekte in der Regel von Gemeinschaften von Enthusiasten, wie Linus Torvalds oder den zu Beginn erwĂ€hnten Hackern des âModelleisenbahnvereinsâ, entwickelt werden, sind Probleme mit schwer wartbarem Code nicht mit herkömmlichen Mitteln (durch kommerzielle oder staatliche Einflussnahme) zu lösen. Mitglieder solcher Gemeinschaften sind eigenwillig und schĂ€tzen ihre UnabhĂ€ngigkeit ĂŒber alles.
Einwurf: Vielleicht bieten uns die Geheimdienste und die Entwickler von Antiviren-Software Schutz?
2013 wurde bekannt, dass es in der âKaspersky Labâ eine Spezialabteilung gibt, die Auftragsuntersuchungen im Bereich der Informationssicherheit durchfĂŒhrt. Bis vor kurzem wurde diese Abteilung von dem ehemaligen Polizeihauptmann Ruslan Stoyanov geleitet, der zuvor in der Hauptabteilung fĂŒr öffentliche Sicherheit (USTM GUD Moskau) gearbeitet hatte. Alle Mitarbeiter dieser Spezialabteilung der âKaspersky Labâ stammen aus den Strafverfolgungsbehörden, einschlieĂlich des Untersuchungsausschusses und der Hauptabteilung fĂŒr öffentliche Sicherheit.
Ende 2016 wurde Ruslan Stoyanov vom FSB festgenommen, und ihm wurde Landesverrat vorgeworfen. Im selben Verfahren wurde Sergey Mikhailov, ein hochrangiger Vertreter des FSB-CIB (Zentrum fĂŒr Informationssicherheit), festgenommen, auf den bis zu seiner Festnahme die gesamte Cybersicherheit des Landes abgewĂ€lzt war. [11]
Einleitung: Cybersicherheit durch Zwang
Bald werden russische Unternehmer gezwungen, ernsthaft auf Cybersicherheit zu achten. Im Januar 2017 erklĂ€rte Nikolai Murashov, ein Vertreter des Zentrums fĂŒr Informationsschutz und spezielle Kommunikation, dass die KII-Objekte (kritische Informationsinfrastruktur) in Russland im Jahr 2016 mehr als 70 Millionen Angriffe erlitten haben. Zu den KII-Objekten gehören Informationssysteme von Regierungsbehörden, Unternehmen der Verteidigungsindustrie, Transport, Finanzwirtschaft sowie der Energie-, Brennstoff- und Atomindustrie. Zum Schutz dieser Infrastruktur unterzeichnete der PrĂ€sident der Russischen Föderation, Wladimir Putin, am 26. Juli ein Gesetzespaket âĂber die Sicherheit der KIIâ. Bis zum 1. Januar 2018, dem Datum des Inkrafttretens des Gesetzes, mĂŒssen die EigentĂŒmer der KII-Objekte ein umfassendes MaĂnahmenpaket zum Schutz ihrer Infrastruktur vor Hackerangriffen umsetzen, insbesondere durch die Anbindung an das Staats-SoPka. [12]
Bibliographie
- Jonathan Millet. // 2017.
- Ross Anderson. Wie Zahlungssysteme mit Smartcards versagen // Black Hat. 2014.
- S.J. Murdoch. Chip und PIN sind defekt // Proceedings of the IEEE Symposium on Security and Privacy. 2010. S. 433-446.
- David Talbot. // MIT Technology Review (Digital). 2012.
- Craig Timberg. // The Washington Post. 2015.
- Michael Lista. // Toronto Life. 2018.
- Craig Timberg. // The Washington Post. 2015.
- Craig Timberg. // The Washington Post. 2015.
- Craig Timberg. // The Washington Post. 2015.
- Joshua Gans. // Harvard Business Review (Digital). 2017.
- // CNews. 2017. URL.
- Maria Kolomychenko. // Đ ĐĐ. 2017.
Quelle: habr.com
