Interview mit Felix FX Lindner, Hacker

Was ist Ihrer Meinung nach die größte Bedrohung im Cyberwar? Was war Ihrer Meinung nach die größte Bedrohung für Datensicherheit und Datenschutz im Jahr 2014? 

Die größten Bedrohungen erwachsen meiner Meinung nach durch den Mangel an Verständnis bei vielen der verantwortlichen Personen. Dadurch bestimmten in 2013 und 2014 einige wenige Personen das mediale Narrativ und die politische Agenda. Eine sachliche Diskussion über Datensicherheitsstrategien ist leider so selten wie sie dringend angeraten ist.

Welche Cyberwar-Gefahren gibt es vor allem militärisch, aber auch für die Privatbevölkerung und für Unternehmen?

Das Hauptproblem in allen drei Bereichen ist die blinde Digitalisierungswut. Wir schaffen es nicht, unsere existierenden Computersysteme und Netzwerke abzusichern, bauen aber überall noch mehr und tiefer vernetzte Computer ein, sei das nun in Waffensysteme oder Versorgungsinfrastruktur für Strom, Wasser oder Gas. An vielen Stellen ist der Nutzen bestenfalls ein Mythos, die zusätzlichen Gefahren sind aber sehr reell.

Mit Cyberattacken können Waffensysteme wie z.B. Flugabwehrraketen lahm gelegt werden. Warum wird das so selten gemacht? 

Einerseits ist das notwendige Wissen und Personal mit den entsprechenden Fähigkeiten dünn gesät. Solange man konventionelle Mittel zur Verfügung hat, um den gleichen Effekt zu erzielen, lohnt sich der Einsatz dieser knappen Ressource nicht. Zum anderen haben die verantwortlichen Personen in Militär und Politik aufgrund Ihres mangelnden Fachwissens auch eine berechtigte Angst vor Sekundäreffekten, welche sie nicht einschätzen können.

Könnte man mit Cyberattacken die aktuellen Konflikte (Syrien/Ukraine) eindämmen?

Cyberattacken sind für diesen Zweck ungeeignet. Offensivmittel sind ja generell eher das falsche Mittel der Wahl, um Konflikte zu entschärfen.

Sollte ich als Verteidigungsministerin lieber in Cyberwaffen oder Cybersicherheit investieren oder lieber in herkömmliche Waffen?

Das sollte ein Ergebnis einer sicherheitspolitischen Gesamtstrategie sein, welche eine Verteidigungsministerin hoffentlich hat. 

Der Aufbau von Offensivfähigkeiten on par mit denen anderer Länder ist sicherlich ein Muss, denn die fünfte Domäne wird nicht einfach wieder verschwinden, und genauso wie man keine Luftwaffe vom einen Tag zum anderen bei Amazon bestellen kann, so müssen auch Cyberoffensivkräfte viele Jahre trainieren, bevor sie einsatzbereit sind.

Die sogenannte Cybersicherheit ist eher eine gesamtpolitische Aufgabe.

Was brauche ich, um die Infrastruktur eines Landes lahm zu legen?

Bezogen auf einen Cyberangriff reichen hier ein paar fähige Angreifer mit schiefem moralischem Kompass und das entsprechende Geld, um diese zu bezahlen. Hat man es aber nicht eilig damit, bietet sich auch umfangreiche Privatisierung als ein sehr effektives Mittel an.

Aufsehen haben die Cyberwaffen Stuxnet und Flame erregt. Damit wurde das iranische Atomwaffenprogramm ausgespäht und angegriffen. Was war daran besonders gefährlich?

Besonders gefährlich daran sind die Kollateralschäden – und zwar nicht die direkt ersichtlichen. Beispielsweise wurde für Flame eine kryptographische Signatur erzeugt, damit es so aussah, als ob die Datei von Microsoft selbst kam. Dadurch wurden viele Sicherheitsprüfungen umgangen, welche essenziell für eine ganze Reihe von Schutzmaßnahmen in der Computersicherheit sind. Diese Methode funktioniert auch heute noch, die Schutzmaßnahmen können aber nicht einfach mal ausgetauscht werden. Dadurch wurde die ganze Welt verwundbarer als sie es vorher war.

Entmystifizierung des Cyberwar - oft heißt es, den gäbe es nicht und der sei nicht neu. Sie haben auf unserer Berliner Podiumsdiskussion zu der Behauptung, Schadsoftware trüge keine Uniform gesagt, die militärischen Angriffe im Netz trügen mehr Uniform als russische Soldaten auf der Krim – was meinen Sie damit genau?

Fast alle Staaten haben wenig Hoffnung auf mittelfristig verfügbare Defensivmaßnahmen und konzentrieren sich daher auf Offensivmittel. Dementsprechend soll allen anderen gezeigt werden, was man kann, also eine Art Show of Force. Die Hoffnung ist, einen gewissen Grad von Abschreckung zu erreichen. Dazu muss aber offensichtlich sein, von wem der Angriff entwickelt und durchgeführt wurde. Es wird also wenig verschleiert.

Wieviel Cyberpower hat China oder Russland im Vergleich zu den USA?

China und Russland sind offensiv vergleichbar stark wie die USA, wenn auch in jeweils etwas anderer Ausprägung.

Wer sind derzeit die Cybersupermächte?

Google, China, Russland und die USA.

Also Länder, die selbst Computer bauen, haben gute Chancen, Cyberpowermacht zu sein oder zu werden. Wie stehen da derzeit die Chancen für Deutschland? Werden wir nach Zuse überhaupt noch computertechnisch wahrgenommen in der Welt?

Nein, Deutschland spielt hier keine besondere Rolle mehr. Das ist besonders schade, da die Fähigkeiten durchaus vorhanden sind, aber leider nicht genutzt werden.

Wie gehen Cyberangreifer vor? Was tun sie, wenn sie ein Land, Konzerne, Firmen, den Staat oder den Geheimdienst angreifen wollen?

Der Vorgang ist grob vergleichbar mit einem Einbruch: Hintergrundinformationen beschaffen, Auskundschaften, an Türen und Fenstern rütteln, Werkzeuge auswählen und dann den Einbruch durchführen. Im Unterschied zu einem Einbruch flüchtet man nicht danach, sondern verbarrikadiert sich möglichst unauffällig im Objekt.

Welche Abwehrmechanismen gibt es, um sich gegen Eindringlinge zu wappnen? Müssen wir nicht eigene Computer bauen?

Ja, wir müssten wirklich eigene Computer bauen. Wenn wir für diese im Unterschied zu allen anderen auch eine Produkthaftung übernehmen würden, wären sie zwar deutlich teurer, aber auch der Exportschlager schlechthin.

Gibt es ein Patentrezept gegen Cyberangreifer, z. B. wieder auf Schreibmaschine umzustellen?

Wenn Sie ein Geheimnis bewahren wollen, sollten Sie es heutzutage nicht in einen Computer stecken.

Blicken wir auf das kommende Jahr. Nationalstaaten, die sich mehr und mehr gegenseitig mit Schadsoftware angreifen. Der jeweilige Privatsektor ist betroffen und auch Aktivisten werden das Internet weiterhin für eigene Zwecke nutzen – was wäre der „Supergau“ für Deutschland? Welches Szenario könnte schnell wahr werden?

Derer gibt es leider viele. Ich vertrete aber die Auffassung, dass man keine Anleitungen öffentlich zur Verfügung stellen sollte.

Wie kann man ein solches Szenario verhindern?

Eine gesamtpolitische Auseinandersetzung mit dem Thema wäre ein erster Schritt.

Kann man mit einem anständigen Computer einen Flughafen lahmlegen? Nennen Sie uns bitte eine grobe Schätzung. Wie viele Menschen können das Ihrer Meinung nach?

Einige tausend Personen weltweit sind es bestimmt.

Manche Stimmen werden lauter: Panikmache und Forderung nach Aufklärung – worin sehen Sie die Aufgaben von Produzenten von Soft- und Hardwareprodukten, um die Computersicherheit zu verbessern?

Es wäre schön, wenn die Produzenten endlich ehrlich zur Politik wären. Immer neue Versprechen vom nächsten Wundermittel bringen uns nicht weiter. Das Eingeständnis, dass die nicht vorhandene Haftung ihrerseits das Kernproblem darstellt, würde eine Menge ändern. Die Politik wird nicht sofort eine solche Haftung fordern, denn niemand will SAP& Co ruinieren. Doch leider ist die momentane Scharlatanerie zu einträglich, als das sie freiwillig aufgegeben würde.

Laut Thomas Ried ist Cyberwar nur eine clevere Strategie von Sicherheitsfirmen, denn eigentlich gibt es ihn seiner Meinung nach nicht. Was halten Sie von der Ried-These?

Der Begriff Cyberwar eignet sich ausgezeichnet, um den Verkauf des nächsten Wundermittels anzukurbeln. Er erklärt aber weder die Hunderte von Soldaten und die Horden von Experten in der Verteidigungsindustrie verschiedener Länder, die sich mit dem Thema Offensivkapazitäten befassen, noch die großen Summen in den entsprechenden Etats. Herr Ried beschreibt ein Symptom, nicht die Krankheit.

Wie schätzen Sie die Sicherheitslage deutscher Firmen generell ein? 

Deutsche Firmen sind meiner Meinung nach hochgradig exponiert. Wir sind ein Exportland, spezialisiert auf Prozess- und Produktionswissen. Anders als Rohstoffe ist unser Exportgut also perfekt geeignet, um aus unseren Computern entwendet (d. h. kopiert) zu werden, ohne dass wir es merken.

Experten gehen davon aus, dass gezielte Hackerangriffe jährlich Schäden in Millionenhöhe verursachen – glauben Sie, dass die Mehrheit der CIOS und IT-Leiter derzeit in der Lage sind richtige und sinnvolle Schutzmaßnahmen zu ergreifen?

Nein, was unter anderem daran liegt, dass der CEO es zur Aufgabe des IT-Leiters macht, als hätte der CEO damit nichts zu tun.

Wird Sicherheit künftig der Bequemlichkeit geopfert? Internet in Bundeswehrkasernen – wie sicher ist eine Emailadresse innerhalb der Bundeswehr vor Hackern?

Sicherheit wird immer der Bequemlichkeit oder Eitelkeit geopfert. Unternehmen haben jahrelang großen Aufwand betrieben, um mit BlackBerry eine halbwegs verlässliche Infrastruktur zu schaffen, und dann wollten die CEOs lieber iPhones.

Die Sicherheit einer Email innerhalb der Bundeswehr kann man einfach mal testen lassen. Leider wird auch das fast nie gemacht, denn die befürchtete Antwort will keiner hören.

Wie sicher ist mein Smartphone (Samsung) vor Ihnen? 

Vor mir ist es sicher. Ich habe kein Interesse daran.

Manche Experten behaupten, dass es bislang keinen einzigen Cyberangriff gegeben hat. Trotzdem wird immer wieder vom Cyberwar gesprochen. Ist dies eine Strategie von Sicherheitsfirmen, Marketing- und Medienexperten und ist Cyberwar gar unreal?

Ob es Cyberangriffe gegeben hat ist eine Definitionsfrage und daher strittig. Nationalstaatliche Aktivitäten nehmen allerdings definitiv kontinuierlich zu, das ist leider kein Marketing, so sehr ich mir das auch wünschen würde.

Was macht einen guten professionellen Hacker aus?

Integrität, Passion, Fachwissen und Fähigkeiten sowie die Kirche im Dorf lassen.

Müssen Hacker um ihr Leben fürchten bzw. wie zimperlich sind Geheimdienste? 

Gewaltsame Todesfälle mit möglichem geheimdienstlichem Hintergrund sind eher selten bekannt geworden. Hacker, die für kriminelle Vereinigungen gearbeitet haben, werden schon häufiger mal tot aufgefunden, wenn der Job erledigt ist.

Unterhalb der Schwelle eines bewaffneten Konflikts - was gibt es für einen Regelungsbedarf?

Wie gesagt sehe ich den größten Bedarf in der Einführung von Produkthaftungen für Hard- und Software, zumindest wenn die Produkte an den Staat oder das Militär geliefert werden. Solange es einträglicher ist, völlig kaputtes Zeug zu verkaufen, damit man dann auch noch die nächste Version verkaufen kann, gibt es kein Geld mit sicheren Computern zu verdienen, also baut sie auch keiner.

Eine Frage nach dem Ausmaß und der Bedrohung durch Überwachung. Was würden Sie einem Regierungschef sagen, der Googlemail nutzt, mit dem Google-Browser Chrome surft und ein Smartphone mit dem Google-Betriebssystem Android benutzt?

Ich würde fragen, warum er oder sie das Geld der Bürger an Ministerien für Verteidigung, Spionage und Spionageabwehr verschwendet, da dieses Verhalten deren Arbeit ad absurdum führt. Außerdem würde mich interessieren, inwieweit der Amtseid mit einer fahrlässigen vollständigen Auslieferung des Staates an eine transnationale Supermacht vereinbar ist.

NATO-Experten haben mit dem Tallinn Manual 2013 ein Handbuch bereitgestellt, das sich mit der Anwendbarkeit des Völkerrechts im Cyberspace beschäftigt. Spielt das Handbuch bei Hackern eine Rolle?

Nein, das sind Policy-Fragen.

Google/Apple/Microsoft – inwieweit sind diese Firmen eine Gefahr für die persönliche und nationale Sicherheit?

Googles Kontrolle über das gesamte Internet sollte bei Fragen der nationalen Sicherheit eine prominente Stellung einnehmen. 

Welche internationalen Cyberschutzgesetze brauchen wir? 

Wir sollten internationale Regeln aufbauen, welche die Kontrolle über das Internet in der Hand der demokratischen Länder der Welt belassen, obwohl diese die Minderheit aller Länder darstellen.

Und welche Gesetze, etwa zur Produkthaftung, brauchen wir für die Sicherheit von Computern oder Software?

Volle Produktlieferung (keine Lizenz) und entsprechende Produkthaftung für vom Bund oder Bundeswehr beschaffte Software ist der erste und wichtigste Schritt. Nach chaotischen Anfängen werden Sie einen dramatischen Qualitätsanstieg bemerken, Sicherheit inklusive.

Im Cyberangriffsfall, rein hypothetisch gefragt: Würden Sie im Tarnanzug für Deutschland hacken?

Ich helfe verschiedenen Ländern ihre Infrastruktur besser zu verteidigen. Einen Tarnanzug habe ich dafür bis jetzt noch nie gebraucht.

Das Interview führte Gertrud Maria Vaske, Chefredakteurin von „Ethik und Militär“.