Werbung: Wir (Tsolkas Executive Consulting – Ipsec) verkaufen seit 5 Jahren einen Server, der völlig immun gegen Trojaner und Viren ist! Bei ihm beißen sich die Herren vom bayerischen Innerministerium die Zähne aus. Wenn die Herren manns-genug sind, bitte ich um Kontaktaufnahme, dann laden wir das Fernsehen ein und zeigen, dass der Bundestrojaner gegen unseren Server ein Witz ist, und dass diese Steuergelder unsinnig ausgegeben wurden. Der HSS – High Security Server!
Am 7.2.2008 habe ich diesen Artikel in der Computerwoche veröffentlicht, mit Wolfgang Geisel. Was wurden wir von vielen belächelt, von Sicherheitsexperten wie u.a. von Fefe und seinem Blog, falls man das einen Blog nennen kann, in dem nur einer blogged. Wie man sieht, lacht sich zuletzt am besten.
Das ganze BSI hat an diesem Tage auf den Computerwoche Security Expertenrat zugegriffen und dememtiert und abfällige Kommentare eingestellt, obwohl wir das BSI nicht ein einziges Mal im Artikel erwähnen. Zufall oder kein Zufall frage ich mich nach gehörten neusten Nachrichten die Tage. Das BSI muss in den Skandal involviert sein. Sie werden es noch sehen.
Daß das Ding 3 Jahre lang die Schubladen hütete, das würde man nur glauben, käme es von den Gebrüdern Grimm.
Hier nochmals der Artikel aus 2008.
Online-Durchsuchungen mittels Bundestrojaner, Wirtschaftsspionage und Datenabsaugen von Hightech-Unternehmen durch Chinesen, Amerikaner, Russen, Franzosen – jeden Tag passiert es, mancher Glückliche merkt es sogar irgendwann per Zufall, andere bleiben lange ahnungslos und tappen im Dunkeln.
Der Chef des englischen CI5 warnte vor ein paar Wochen die britischen Hightech-Firmen in der “Times online” vor chinesischen Hackerangriffen, was meinte das deutsche Außenministerium eigentlich dazu? Weshalb gab es für die deutsche Wirtschaft eigentlich keinen Alarm? Ach Sie meinen, die waren bereits auf Merkels PC und haben schon alle Pläne? Kann sein…
Unsere englischen Freunde sind bestimmt ein wenig paranoid, haben mehr Hightech, und bei uns im Ländle ist sowieso alles sicherer. Wenn es denn einmal so wäre! Ich habe mich nun einmal der Datensicherheit verschrieben, also bin ich immer am Suchen nach tollen Erfindungen und Lösungen – und bin auf eine gestoßen, über die ich schon in meinem Beitrag zu dem “HSS – Hochsicherheitsserver” der Firma iPisec berichtete. Zum Stand der Dinge: Der Server ist immer noch nicht geknackt, doch wir penetrieren und testen noch ein wenig weiter, sicher ist sicher… Wolfgang Geisel, Geschäftsführer von iPisec, (Mitte fünfzig) hat mich begeistert, weil ich es einfach toll finde, dass Menschen in seinem Alter noch richtig hohe Ziele haben und Produkte entwickeln, die uns allen helfen können. Hier ein Gespräch zu seiner Meinung über den Bundestrojaner.
Tsolkas: Herr Geisel, Sie behaupten, die Diskussionen um die Online-Durchsuchungen seien schon wegen der technischen Entwicklung unsinnig.
Geisel: Richtig, es ist heute technisch möglich, so was wie den Bundestrojaner zuverlässig auszuschalten.
Tsolkas: Aber es heißt ja auch immer, dass es die absolute Sicherheit nicht gäbe…
Geisel: Dem kann ich nur zustimmen. Es stehen aber heute Technologien zur Verfügung, mit denen man eine Online-Durchsuchung so erschweren kann, dass sie zur Aufklärung eines Sachverhalts nicht mehr sinnvoll ist. Wenn nur noch eine von 1000 Durchsuchungen funktioniert, ist das ganze Verfahren unsinnig. Vielmehr stellt die Online-Durchsuchung von Staatsorganen eine erhebliche Gefährdung der deutschen Wirtschaft dar.
Tsolkas: Sie meinen, wenn ein so genannter Maulwurf bei den Ermittlungsbehörden ist.
Geisel: Einmal das. Aber betrachten wir mal den tatsächlichen Grund für die Online-Durchsuchungen.
Tsolkas: Genannt werden Terrorismus und organisierte Kriminalität.
Geisel: Kriminalität ist zweifellos richtig. Aber hier gibt es einen deutlichen Schwerpunkt – und das ist die Steuerfahndung. Dazu muss man wissen, dass über 50 Prozent der Steuerliteratur weltweit in deutscher Sprache verfasst sind und sich fast die Hälfte aller Steuerstrafverfahren in der EU auf Deutschland konzentrieren.
Tsolkas: Die Deutschen sind also ein Volk von Steuerhinterziehern?
Geisel: Das sind wir definitiv nicht. Die Zahl der Verurteilungen – bezogen auf die Größe der Bevölkerung – ist nicht viel größer als in anderen Ländern. Aber hierzulande sehen sich die Behörden nicht als Dienstleister der Bürger, sondern als deren Aufsicht. Und haben dazu noch den extremen Drang, den Leuten Fallen zu stellen. Ein typisches Beispiel dafür die letzte Tat des früheren Finanzministers Eichel, der den Tatbestand der gewerblichen Steuerhinterziehung, also zum Beispiel Schwarzarbeit, von einer Ordnungswidrigkeit zum Schwerverbrechen beförderte. Daraus wurde nur deswegen nichts, weil sich die Finanzgerichte, die sich sonst als verlängerte Werkbank der Finanzämter verstehen, weigerten, die nach ihrer Ansicht unklar formulierten Gesetze anzuwenden.
Tsolkas: Die Gefahr für die Firmen liegt also darin, in die Mühlen der Steuerjustiz zu geraten?
Geisel: Das vielleicht auch, aber weit ernster ist die Bedrohung des technischen Know-Hows von Unternehmen. Dafür ein Beispiel: Ich möchte ein neues technisches Verfahren eines deutschen Konkurrenten kennen lernen. Dazu zeige ich ihn beim Finanzamt an. Die initiieren dann eine Online-Durchsuchung, in die ich mich einhake. Das ist einfacher als ein direkter Angriff.
Tsolkas: Dann sind die Ermittlungsbehörden gut beraten, die Daten, die sie absaugen, zu verschlüsseln.
Geisel: Wenn man den kompletten Inhalt abzieht, ist eine Verschlüsselung praktisch nicht machbar – das würde Tage dauern und außerdem sofort auffallen.
Tsolkas: Welche Hürden muss denn der Bundestrojaner nehmen, um seine Aufgabe zu erfüllen?
Geisel: Er muss von den Malware-Scannern durchgelassen werden. Theoretisch könnte man dem Anbieter solcher Systeme die Filterung des Bundestrojaners verbieten. Aber das ist wohl eher tatsächlich theoretisch. Er muss aber auch von den Firewalls durchgelassen werden, die auf Anwendungsebene proxieren, das heißt, die ankommenden Daten vollständig zusammensetzen und einordnen. In der Praxis wird die Online-Durchsuchung aber genau so ablaufen wie ein normaler Hack.
Tsolkas: Wie geht das denn?
Geisel: Zuerst ermittle ich die zugänglichen Daten des auszuspähenden Objekts, seine IP-Adressen, seinen Provider, den üblichen Weg der Daten, die installierten Dienste und die Applikationen. Für Letzteres werden schon erste Werkzeuge verwendet. Dann hat ein professioneller Hacker eine gute Datenbank, die in Sachen Sicherheitslücken auf dem aktuellen Stand ist. Entsprechende Datenbanken in asiatischen Staaten, die von Amts wegen Industrie- und Technologiespionage betreiben, gelten auf dem Gebiet als führend. Welche Sicherheitslücke genutzt werden soll, ist dann immer eine Entscheidung für den konkreten Fall.
Tsolkas: Und warum hat die Online-Durchsuchung bei entsprechender Vorbereitung keine Chance?
Geisel: Weil es Sicherheitseinrichtungen wie Hochsicherheits-Gateways gibt, die erst durch Entwicklungsprinzipien wie SOA und die XML-Fähigkeit der Datenbanken möglich und sinnvoll wurden. Damit lassen sich Unternehmensnetze so abschirmen, dass weder die Installation von Malware noch ein Remote-Angriff in Richtung Buffer-Overflow oder Ähnlichem technisch möglich ist. Firmen sind da teilweise extrem blauäugig – Terrorgruppen bestimmt nicht.
Tsolkas: Es heißt aber immer, dass ein Eindringen über Programmschwachstellen nie auszuschließen sei.
Geisel: Das ist richtig. Auf solchen Hochsicherheits-Gateways laufen aber nur sehr wenige Programme, die Linux-Betriebsmittel sind handverlesen, und es ist nur eine Applikation überhaupt von außen ansprechbar, und die ist dann vom Gateway-Hersteller selbst und spezialgehärtet.
Tsolkas: Wo ist der Haken?
Geisel: Den nannte ich schon. Das Verfahren passt auf eine SOA-Architektur. Salopp gesagt, es wird erwartet, dass die Suchargumente für einen Datenbankzugriff als XML-Latte ankommen und die Suchergebnisse ebenso zurückgemeldet werden. Ein derartiges Gateway erlaubt keinen direkten Durchgriff, es funktioniert wie eine Materialausgabe.
Tsolkas: Klingt primitiv. Und nicht gerade performant.
Geisel: Primitiv ist richtig. Und Leistungseinbußen gibt es auch. Je SOA-isierter die Abläufe, desto geringer sind die Leistungseinbußen.
Tsolkas: Und das können die Terroristen auch einsetzen, um nicht abgehört werden zu können?
Geisel: Die brauchen das gar nicht.
Tsolkas: Wieso nicht?
Geisel: Die können ihre Probleme einfacher lösen. Man nehme zwei neue Rechner und installiere Linux auf beiden. Rechner A bleibt immer offline, Rechner B erhält noch eine virtuelle Maschine, auch auf Linux-Basis. Auf Maschine A erfasst man dann die verbrecherischen Texte und schreibt diese verschlüsselt auf einen externen Speicher. Dann bootet man auf Rechner B die virtuelle Maschine, schließt den externen Speicher an und verbindet B mit dem Internet. B versendet den verschlüsselten Text und empfängt eventuell andere Nachrichten. Dann geht B vom Netz, prüft die erhaltenen Nachrichten und gibt diese wieder via Datenträger an Rechner A zum Entschlüsseln.
Tsolkas: Und warum machen das die Unternehmen nicht auch so?
Geisel: Das ist viel zu umständlich und zu manuell. Außerdem gibt es dazu inzwischen hochgradig automatisierbare Lösungen.
Tsolkas: Und wo sind da dann die Schwachstellen – sagen Sie nicht, es gäbe keine!
Geisel: Natürlich gibt es die. Zum einen gehen wir davon aus, dass es in absehbarer Zeit nicht möglich sein wird, die Übernahme eines Clients des äußeren Datenkreises zu verhindern. Auch nicht, wenn man alle Grundschutzhandbücher beachtet, ISO27001-zertifiziert ist, die besten Firewalls der Welt einsetzt und mit Intrusion-Detection-Systemen und Malware-Scannern verstärkt. Vielmehr muss man dann sehr aufpassen, dass diese Sicherheitssysteme, die doch schützen sollen, nicht selbst zum Einfalltor für Saboteure und Spione werden. Wenn ein Geheimdienst, der sich Technik-Knowhow besorgen will, einen Zero-Day, also eine bislang unbekannte Sicherheitslücke, findet, dann publiziert er diese nicht, sondern nutzt sie für sich aus. Und Sicherheitssoftware ist immer mit sehr vielen Rechten ausgestattet.
Tsolkas: Sie lenken ab…
Geisel: Ich erkläre nur den Sachverhalt. Wenn jemand die Kontrolle über einen Client erlangt hat, kann er mit dessen Rechten auf bestimmte Daten im inneren Datenkreis zugreifen und auch absaugen.
Tsolkas: Also genau so wie mit dem von Ihnen beschriebenen Hochsicherheits-Gateway?
Geisel: Nein. Hier hat er nie einen direkten Zugriff auf den Server, sondern immer nur einen indirekten. Die Zugriffsberechtigungen und -mechanismen lassen sich viel feiner einstellen. Und ein abweichendes Verhalten fällt sofort auf.
Tsolkas: Und was muss dann passieren?
Geisel: Der betreffende Client muss ganz schnell ausgetauscht werden. Und dann wird geprüft, welche Softwarebesonderheiten er hat. Und eventuell die Einstufung der Daten geändert, so dass dieser Client bestimmte Daten nur noch verschlüsselt erhält. Im Prinzip hat man dann viele Möglichkeiten.
Tsolkas: Und was macht der, der mit SOA nichts am Hut hat?
Geisel: Er verwendet am besten einen anderen Begriff und nennt es zum Beispiel normierte Datenbank-Kommunikation. Ohne eine Lösung, die dem heutigen Stand der Technik entspricht, wird er sich aber auch sicherheitstechnisch schwer tun.
Hier der Artikel aus Ausschnitt von 2008: