Geh@ckt: Wie Angriffe aus dem Netz uns alle bedrohen. Ein Agent berichtet (German Edition)

sein. Dabei reicht den Angreifern eine einzige Lücke, um in das System einzubrechen; die Verteidigung hingegen darf sich keine einzige erlauben. «Asymmetrie zwischen Angriff und Verteidigung» nennt man das.
    Die gleiche Asymmetrie herrscht in puncto Zeit. Während Angreifer in aller Ruhe testen können, ob Lücken im System existieren, stehen Verteidiger unter ständigem Zeitdruck, um etwaige Sicherheitslücken möglichst rasch zu erkennen und zu schließen. Vorausschauend können sie dabei kaum handeln. Knüpfen sie das Fangnetz zu eng, kann niemand mehr mit den Geräten arbeiten, sind die Schlupflöcher zu groß, leidet die Sicherheit.
    Ein ähnliches Missverhältnis besteht zwischen den oft jahrelangen Entwicklungszeiten neuer Technologien und denen im Anschluss rasch gefundenen Sicherheitslücken. Ende Oktober 2012 kam das neue Betriebssystem Windows  8 auf den Markt. Entwicklungszeit: fünf Jahre. Erstmals integrierte Microsoft in sein Betriebssystem ein eigenes Anti-Malware-Paket. Überhaupt hatte Windows  8 viele neue Sicherheitsfeatures, die Anwender besser vor den Angriffen aus dem Netz schützen sollten. Es dauerte nur wenige Wochen, bis die französische Firma Vupen Sicherheitslücken für das neue Betriebssystem offiziell über das Internet zum Kauf anbot.
    Apple investierte Jahre in die Entwicklung des ersten iPhones und das neue Betriebssystem i OS , und von Anfang an versah das amerikanische Unternehmen es mit stark einschränkenden Funktionen. Dazu sperrten die Entwickler das iPhone in eine eigene Umgebung, aus der es gleichsam nicht ausbrechen konnte. Anders gesagt: Man konnte mit dem iPhone nur das tun, was die Apple-Konstrukteure aus dem kalifornischen Cupertino vorgesehen hatten. Allerdings schafften es findige Computerspezialisten im März 2007 , nur wenige Wochen nach der Vorstellung des ersten Geräts, das System zu knacken, es aus seinem «Gefängnis» zu befreien, um eine eigene Software zu installieren. Sinnigerweise bezeichneten die Apple-Entwickler diesen Vorgang des Entfernens von Nutzungsbeschränkungen auch als «Jailbreaken».
    Es scheint beinahe so, als ob jedes System nicht nur knackbar ist, sondern auch geknackt wird. Da Anwender nicht selbst in der Lage sind, Löcher in den Programmen zu stopfen, vertrauen sie auf die Hersteller der Betriebssysteme sowie auf Sicherheitsunternehmen, denen sie die Abwehr in die Hände legen. Wenn selbst die, die für Sicherheit sorgen, gehackt werden, ist eine Abwehr nicht nur gravierend erschwert, sondern beinahe unmöglich.
    Dazu zwei Beispiele. Um im Internet eine gesicherte Verbindung zu einem Server aufzubauen – Beispiel Nummer eins –, gibt es Sicherheitszertifikate. Das sind digitale Ausweise für Server oder Personen, die die Identität der Person oder Maschine garantieren. Das Prinzip ist dem eines amtlichen Ausweises in der realen Welt ähnlich.
    Mit solchen Sicherheitszertifikaten für Maschinen wird in der elektronischen Welt beispielsweise ein verschlüsselter Austausch schützenswerter Daten über gesicherte Internetverbindungen möglich. Bekannt ist das vom Online-Banking. Zertifikate für Personen wiederum liefern den Beweis für eine Urheberschaft von Willenserklärungen. So können auf verbindliche Weise Verträge elektronisch geschlossen werden. Nun ist es keine Neuigkeit, dass sich Kriminelle immer wieder gefälschte Ausweise besorgen. Wobei es wenig erfreulich wäre, gelänge es einem Dieb, in die Bundesdruckerei in Berlin einzubrechen und massenhaft «originale» Ausweisdokumente auszustellen, ohne dass jemand etwas davon mitbekommt. Genau das ist in der digitalen Welt bei DigiNotar geschehen, der niederländischen Zertifizierungsstelle. Einem Hacker war es möglich, in das Computersystem der Holländer einzubrechen und sich Zertifikate auszustellen, darunter auch solche von Google, Skype oder Microsoft. Die Zertifikate, um die es ging, stellten die Identität bei verschlüsselten Verbindungen zwischen den Kommunikationspartnern sicher.
    Diese echten (in Wirklichkeit aber gefälschten) Zertifikate wurden unter anderem dazu verwendet, um Passwörter und vertrauliche Daten iranischer Internetnutzer auszuforschen. Das niederländische Innenministerium beauftragte die Sicherheitsexperten von Fox- IT mit der Analyse des perfiden Vorfalls. Das deutsche Sicherheitsunternehmen kam zu dem Ergebnis, dass bei DigiNotar alle acht Server, die autorisiert waren, Zertifikate auszustellen, gehackt wurden.
    Selbstverständlich möchte