Cyberwar - Die Gefahr aus dem Netz

Rezensionen

Besprechung vom 09.11.2018

In der Abwehr muss man wie der Angreifer denken
Cybersicherheit ist machbar: Constanze Kurz und Frank Rieger erklären, wie Desinformation im Digitalzeitalter funktioniert

Das Lied ist schuld. In dem eingängigen Beat sind nämlich nur für Maschinen hörbare Sprachkommandos versteckt, die das Auto verrücktspielen lassen: Die Fenster fahren runter, die Heizung läuft auf Hochtouren, der Warnblinker springt an, und der Bordassistent versucht alle Kontakte anzurufen. "Cyberwar - die Gefahr aus dem Netz" beginnt mit einer Szene aus einer Welt in fünf Jahren. Constanze Kurz und Frank Rieger haben eine fiktionale, aber eine nah an die Realität angelehnte Erpressungsgeschichte entworfen, die zeigt, wie gefährdet die Gesellschaft ist. "Wir leben in einer durchdigitalisierten Welt. Unsere Abhängigkeit von Mobiltelefonen, Internet, Computern ist total", schreiben die Autoren.

Constanze Kurz, Kolumnistin dieser Zeitung ("Aus dem Maschinenraum"), und Frank Rieger, als einer der Sprecher des Chaos Computer Clubs unseren Lesern ebenfalls seit Jahren als Autor vertraut, erklären in "Cyberwar - die Gefahr aus dem Netz" alles, was es derzeit über Cybersicherheit zu wissen gibt. Nicht zufällig fünf Jahre nach dem Whistleblower Edward Snowden wollen die Autoren die Überwachungsdebatte neu beleben: "Wir wissen heute, dass Massenüberwachung die Grundlage für digitale Angriffe ist." Jede Woche werden neue Cyberangriffe bekannt, Kurz und Rieger sind überzeugt davon, dass wir uns damit nicht abfinden sollten.

Man erfährt, welche Angriffswerkzeuge es gibt - Begriffe wie DNS-Exploit tauchen auf -, den Autoren gelingt es allerdings, dass sich die Leser nicht überfordert fühlen. Das Buch ist verständlich auch für jene, die nicht Informatik studiert haben.

Berichte über Cybersicherheit haben häufig das Problem, dass das Thema trotz der Gefahr, die von Hackerangriffen ausgeht, immer irgendwie abstrakt bleibt. Etwas geschieht in Rechenzentren oder in Servern - besonders interessiert ist man meist dann, wenn man selbst schon einmal betroffen war. Längst sind nicht mehr nur Hobby-Hacker am Werk, sondern eine richtige Industrie. Sicherheitslücken werden regelrecht gehandelt, wodurch sich neue ökonomische Anreize ergeben. Die Hacker handeln in der Regel im Auftrag, etwa wenn sie Industriestandorte ausspionieren.

Westliche Gesellschaften, aber auch China und Russland pumpen Milliarden in diese Industrie, das machen die Autoren deutlich. Und das hat die Debatte nach Snowden auch gezeigt: Die staatlichen Stellen haben mehr Geld dafür, als bislang angenommen wurde. Dass das so deutlich gesagt werden kann, liegt daran, dass es viele technische Untersuchungen von Angriffen gibt - Berichte von IT-Sicherheitsunternehmen, die Angriffsmodelle nachzeichnen. Manchmal gibt es sichere Indizien, manchmal politische Beschuldigungen. Manchmal gibt es, etwa durch Whistleblower, auch Informationen über Geheimdienstoperationen. Wie etwa der Hack der Belgacom, der Angriff auf ein befreundetes Land, mittels dessen die Amerikaner an die Daten des belgischen Telekommunikationskonzerns kommen wollten.

Die Autoren thematisieren auch das sogenannte Attributionsproblem, die Frage, wie man erkennt, wer der wirkliche Angreifer war, und wie man verhindert, dass jemand fälschlich beschuldigt wird, der nur dafür verantwortlich gemacht wird. Seit einiger Zeit häufen sich nämlich politische Beschuldigungen. Amerikanische, britische und auch deutsche Stellen haben etwa vermehrt schon russische Hacker für Angriffe verantwortlich gemacht.

Kurz und Rieger erklären, wie Desinformation im Digitalzeitalter funktioniert. Permanent wird auf die Gefühle und Gedanken der Nutzer gezielt, um sie im Endeffekt unbemerkt zu manipulieren. Die Autoren beschreiben, wie Vertrauen - auch in Institutionen wie die Presse - unterminiert wird und welche Rolle dabei auch soziale Netzwerke spielen. In Filterblasen werden Nutzer zu immer extremeren Meinungen und Inhalten gedrängt. Plattformen wie Facebook sind für die Werbeindustrie geschaffen, um die Adressaten dieser Werbebotschaften zu beeinflussen - aber sie sind auch ebenso nutzbar, um politisch zu manipulieren. So kann man das Buch auch als eine Anleitung lesen, wie sich unsere Gesellschaft wappnen kann. Denn Kurz und Rieger sind immer dann besonders stark, wenn sie nicht nur erklären, wie alles immer schlimmer wird, sondern welche Wege es aus der Misere gibt. Etwa beim Schutz vor Attacken. Das Problembewusstsein sei in Deutschland immerhin da, finden die Autoren. Nun müssen Unternehmen investieren, was nicht immer leicht sei, weil eine Investition in IT-Sicherheit nicht direkt sichtbar werde. Sie bringe keinen Umsatz, sondern koste erst einmal nur Geld.

Noch schwerer fällt es mitunter Behörden, weil ihnen auch noch die fähigen Fachkräfte fehlen, die sich in der Materie auskennen: "Für Deutschland ist der springende Punkt eine Form von sinnvoller Abwehr. Wir sind sehr abhängig von Systemen in Deutschland, die wir nicht selbst bauen." Rieger und Kurz sind der Meinung, dass die auch hierzulande anhaltende Diskussion um Hackbacks, offensive Hackingtechniken, gefährlich ist. Dass sie die Versuche, Verschlüsselung zu umgehen und Staatstrojaner zu bauen, auch strategisch für unklug halten, machen die Autoren klar.

In "Cyberwar" fordern Kurz und Rieger, dass die Politik sichere Software fördern sollte. Softwaresicherheit soll besser gekennzeichnet, eine Ende-zu-Ende-Verschlüsselung Pflicht werden. Im Grunde sollen die Betriebssysteme, mit denen wir arbeiten, ganz neu ausgerichtet werden. Was schon im Umgang mit ihnen anfängt: Wer es schafft, in tausend Zeilen Code nur einen Fehler zu machen, ist schon gut. Schon heute sind Softwaresysteme komplex, und sie werden immer komplexer. "Wir haben eine Kultur, dass IT-Sicherheit oft erst am Ende rangeflanscht wird", sagte Kurz unlängst im Digitec-Podcast dieser Zeitung. IT-Sicherheit sei also nicht konzeptionell eingebaut. Was noch einen weiteren Effekt hat: Viele Programmierer haben auf diesem Gebiet keine Erfahrung oder keine Ausbildung. Damit denken sie nicht wie ein Angreifer, was aber nötig wäre für eine erfolgreiche Abwehr.

Wer "Cyberwar" liest, blickt nicht verängstigt in eine vernetzte Zukunft, obgleich es Gründe dafür gäbe. Die Autoren geben den Lesern das Rüstzeug mit, um informierte Entscheidungen zu treffen. Und sie stellen sogar eine große politische Forderung auf, indem sie für Nichtangriffspakte plädieren.

JONAS JANSEN

Constanze Kurz, Frank Rieger: "Cyberwar - Die

Gefahr aus dem Netz".

Wer uns bedroht und wie wir uns wehren können.

C. Bertelsmann Verlag,

München 2018.

288 S., geb.