Geh@ckt: Wie Angriffe aus dem Netz uns alle bedrohen. Ein Agent berichtet (German Edition)

Anwender dazu bringen, präparierten Java-Code auszuführen. Dies kann beispielsweise über ein präpariertes Java-Applet auf einer Webseite geschehen.
    Alles klar? Für einige schon. Für die meisten aber nicht. Eine Krux, wenn es um Entscheidungen in der IT -Sicherheit geht, denn Finanzmittel für erforderliche Maßnahmen werden in den wenigsten Fällen von Technikern bewilligt.
    Es ist übrigens auffällig, dass IT das einzige Thema ist, bei dem sich
jeder
Teilnehmer während einer Diskussion legitim und elegant aus der Verantwortung ziehen kann.
    «Hm, das scheint mir ein IT -Problem zu sein. Nicht böse sein, aber mit IT kenn ich mich nun wirklich nicht aus.»
    Das klappt fast immer. Es sei denn, man verantwortet ein Team von Technikern.
    «Oh, bitte keine technischen Details!»
    «Geht das auch für Nichttechniker?»
    «Haben Sie vielen Dank.»
    Typische Antworten, wenn IT ler etwas erklären wollen oder nachfragen.
    IT -Kompetenz ist in Anbetracht der Herausforderungen noch viel zu wenig ausgeprägt. Ein Elektromeister, der gleichzeitig IT -Administrator und Sicherheitsbeauftragter eines Heizkraftwerks ist, das als Energielieferant dient und dessen Anlagensteuerung über die Büro- IT läuft, kennt sich nicht immer wirklich aus. Ebenso weiß man von Polizeibeamten, die bei der Anzeigenaufnahme den Geschädigten bitten, den Trojaner einer E-Mail auszudrucken. «Unvorstellbar», sagen Sicherheitsexperten, «dennoch ist das die Realität.» IT -Kompetenz ist knapp und dementsprechend teuer. Zu teuer für viele Mittelständler und Kleinunternehmen, aber auch für Behörden. Sie tun sich schwer, IT -Spezialisten zu finden. Die Gehälter des öffentlichen Dienstes sind wenig verlockend.
    Dieser Mangel führt dann zu Vorfällen wie dem sogenannten Staatstrojaner, der zur Programmierung an eine hessische Firma vergeben wurde und völlig zu Recht heftige Kritik hervorrief. Im November 2011 veröffentlichte der Chaos Computer Club ( CCC ) Teile seines Bauplans und kritisierte, dass die Software, einmal auf dem Rechner des zu Überwachenden installiert, enorme zusätzliche Sicherheitslücken aufreißt. Über diese Sicherheitslücken würden Attackierer auf das System Zugriff nehmen können. Das hieß, der Staatstrojaner machte die Systeme, auf denen er zur Überwachung eingesetzt werden sollte, angreifbar.
    Außerdem kritisierte der CCC eine eingebaute Nachladefunktion, durch die der Trojaner jederzeit in seinem Funktionsumfang hätte erweitert werden können. Es soll hier nicht darum gehen, eine Telekommunikationsüberwachung (Quellen- TKÜ ) gutzuheißen, zu verteufeln oder rechtlich zu würdigen, sondern nur um die Tatsache, warum die Software so schlecht war. In erster Linie war dafür natürlich der Hersteller DigiTask verantwortlich, aber es blieb die Frage an die öffentlichen Stellen, warum die Probleme, die durch den Chaos Computer Club ans Tageslicht kamen, nicht seitens der Auftraggeber benannt wurden. Die Antwort: Die Auftraggeber besaßen nicht die nötige Kompetenz, um die Kritik zu formulieren. Der Auftrag war nicht aus Gründen einer internen Auslastung an eine externe Firma vergeben worden, sondern aus Gründen mangelnder Kompetenz. Das war zweifelsohne gefährlich.
    Um künftig besser gerüstet zu sein, erarbeitete das Bundeskriminalamt eine standardisierende Leistungsbeschreibung ( SLB ), um «den zu Quellen- TKÜ berechtigten Stellen Mindeststandards an die Hand zu geben, um den Einsatz der Quellen- TKÜ in Deutschland auf einem vergleichbaren Stand sicherzustellen» [28] . Inzwischen hat die Bundesregierung für rund 150 000  Euro neue Software gekauft, derzeit lässt sie sie nach dieser SLB durch eine externe Firma prüfen.
     
    Im Sommer 2011 sollte ich einen Vortrag über soziale Netzwerke und ihre Auswirkungen auf die Unternehmenssicherheit für den Vorstand eines Chemiekonzerns halten. Wie üblich werden solche Termine vorbesprochen und inhaltlich abgestimmt. Zu meiner Frage, wie weit der Vorstand bei diesem Thema schon eingestiegen sei, antwortete mein Gesprächspartner: «Es wäre nicht verkehrt, wenn Sie in Ihrem Vortrag etwas detaillierter ausholen könnten, denn drei unserer Vorstände kennen sich mit sozialen Netzwerken nicht gut aus. Anders gesagt, sie kennen das Thema eher aus dem Fernsehen.» Ich war baff. Ich wusste zwar, dass viele Vorstände nur Managersprache sprechen und Fachabteilungen nur Fachchinesisch. Und dass es zu wenige Dolmetscher gibt und manche Unternehmen nur deshalb