Der unabhängige IT- und Tech-Kanal!
internet.board.entertainment.games.hardware
DeepSec (Logo)
Lindner betreibt die Recurity Labs GmbH, ein auf IT-Sicherheitsberatung und -forschung spezialisiertes Unternehmen mit Sitz in Berlin. Daneben ist er der Anführer der Hackergruppe Phenoelit. Nach eigenen Angaben kann er auf fünfzehn Jahre Erfahrung beim ethischen Hacking zurückblicken.
Seinen Vortrag begann "FX" mit dem Versuch, den Begriff "Cyber War" zu definieren. Zunächst ging es um die Frage "Ist ein Exploit [also ein Script oder Werkzeug, das Software-Schwachstellen gezielt ausnutzt] eine Waffe?" Diese Frage beantwortete der Sicherheitsexperte positiv. Eine Waffe sei laut Definition alles, das das physische oder auch mentale Wohlergehen von Menschen beschädigen könne. Da ein Exploit definitiv zumindest das Potential habe, das mentale Wohlergehen von Menschen - etwa durch Desinformation - negativ zu beeinflussen, sei er definitiv als Waffe einzustufen. Danach ging es um die Definition des "Cyber-Krieges" als solchem. "Keiner weiß, was 'Cyber' ist, aber wenigstens ist 'Krieg' definiert," erklärte "FX" unter dem Gelächter der Zuhörer. Ein Hack, so seine Ansicht, könnte dann ein kriegerischer Akt sein, wenn ein Nationalstaat involviert sei und kritische Infrastrukturen ernsthaft beschädigt würden.
Zum historischen Kontext erklärte "FX", das Internet sei vom Militär aufgebaut worden und somit "solltet ihr nicht überrascht sein, dass sie es jetzt zurück haben wollen". Der erste dokumentierte Fall, in dem staatliche Akteure eine Zivilperson für Hacking-Angriffe benutzt hätten, sei bereits 1986 im Rahmen des KGB-Hacks erfolgt. Die aktuelle Cyber-War-Situation sei keineswegs überraschend, sondern Ergebnis einer bereits seit den 1960er Jahren zu beobachtenden Evolution, so "FX". Regierungsbehörden hätten dementsprechend auch die meiste Zeit einen Wissensvorsprung gehabt. So habe die NSA schon seit den 1960er Jahren - und somit weitaus eher als zivile Hacker - über die Gefahren von Buffer Overflows bescheid gewusst. Es habe lediglich ein sehr kurzes Zeitfenster um das Jahr 2000 herum gegeben, während dem Hacker mehr "Feuerkraft" als die Regierung gehabt hätten. "Wir waren immer Amateure in einem Profi-Spiel, wir sollten uns nicht wundern, wenn in dem Profi-Spiel jetzt die Einsätze erhöht werden," so Lindners wohl durchaus als kontrovers zu betrachtende Meinung zu diesem Thema.
FX und die DeepSec-Orga während der Keynote
Daneben sprach der Sicherheitsexperte auch über die Rolle der NATO. Diese wisse durchaus um die Notwendigkeit, eine Strategie für die IT-Sicherheit zu finden. Versuche, dies in die Praxis umzusetzen, seien aber oft ineffektiv und durch ein Übermaß an Bürokratie geprägt. Die NATO betone außerdem, sie brauche keine offensiven Kapazitäten im Cyberspace. Dies sei jedoch "weil sie dafür Mitgliedsstaaten hat," sagte "FX".
Viele Phänomene im Cyber War, so Lindner, seien durch die Offensive-Defensive-Theorie von Stephen Van Evera erklärbar. Dieser zufolge fangen Staaten unter anderem deswegen Kriege an, weil sie glauben, im Defensiv-Bereich Schwächen aufzuweisen. Dies sei bei Ländern, die stark auf ihre IT-Infrastruktur angewiesen seien, wie etwa den USA, aber auch China und weiteren Nationen, häufig der Fall. Das tatsächliche Ungleichgewicht sei zwar nicht so groß, wie angenommen, es komme hierbei aber auf die Warhnehmung der Betroffenen an, erklärte "FX".
Das meiste Geld, so betonte Lindner, werde derzeit für offensive Maßnahmen im "Cyberspace" ausgegeben. Die Defensive finde weitaus weniger Beachtung.
Konflikte, auch solche, bei denen IT-Systeme involviert sind, werden durch internationales Recht definiert. Wie "FX" betonte, ist das Ausspionieren anderer Länder vollkommen legal und kein kriegerischer Akt, ob es nun durch klassische Geheimdienst-Methoden oder in Form von IT-Spionage geschieht. Werde jemand gehackt, könne er zwar womöglich zivilrechtliche Ansprüche geltend machen. Dafür müsste jedoch zunächst ein Verantwortlicher zweifelsfrei identifiziert werden. Bei der Definition eines Krieges sei zu beachten, dass niemand mehr einem anderenwie womöglich in alten Zeiten formal den Krieg erkläre. Vielmehr entscheide heutzutage der UN-Sicherheitsrat darüber, ob ein Kriegsfall vorliege. Herrsche dem zufolge Krieg, gelte die Genfer Konvention. Diese schränke die Wahl möglicher Angriffsmethoden ein und verlange, dass keine Zivilisten gezielt angegriffen würden. Daher würden die meisten Staaten versuchen, ihre IT-Operationen so niedrigschwellig zu halten, dass sie nicht als kriegerischer Akt gewertet würden. Dies habe den Vorteil, dass die Regeln für bewaffnete Konflikte nicht anwendbar seien und die UN sich nicht einmische. Die Opfer könnten sich auch nicht auf ihr Recht auf Selbstverteidigung berufen. Auch der Schutz von Zivilisten sei so weitaus weniger klar geregelt.
Lindner stellte die Idee vor, einen "Cyber-Vertrag" ähnlich dem 1967 geschlossenen "Space Treaty" abzuschließen. Dieser verbiete etwa die Stationierung bestimmter Waffen im Weltraum. Zudem seien alle Länder demnach für die Taten ihrer Bürger verantwortlich, was das Problem, Verantwortliche für Attacken zu definieren, auch im "Cyberspace" lösen würde. Allerdings, so der Sicherheitsexperte, werde ein solcher Vertrag wohl nicht zustande kommen, da im Internet - im Gegensatz zum Weltraum im Jahr 1967 - bereits zu viele verschiedene Parteien sehr handfeste Interessen hätten. Der derzeitige Stand der Dinge sei "jeder hackt jeden", so Lindner.
Felix FX Lindner
Die Defensive sei derzeit Jahre hinter der Offensive zurück, was allerdings historische Parallelen zu anderen Waffengattungen aufweise, erklärte Lindner. Es gebe ohnehin keine vollkommen sichere Verteidigung. Es sei unwahrscheinlich, dass diese überhaupt existiere. Heutzutage allerdings gebe es sehr viele eklatante Sicherheitslücken, so dass sich die Situation schon mit überschaubaren Mitteln erheblich verbessern lasse. Die beste Lösung sei in vielen Fällen ein gutes Konzept zur Schadensbegrenzung: man müsse wissen, wann man gehackt worden sei und wie man sich davon so schnell wie möglich erhole.
Ein großes und vielfach unterschätztes Problem ist nach Ansicht Lindners die Wahrscheinlichkeit von "Kollateralschäden". Würden Angreifer etwa Zeitserver manipulieren oder gefälschte Zeritifikate verwenden, könnte dies auch zahlreiche Unbeteiligte in Mitleidenschaft ziehen.
Für Hacker und Sicherheitsexperten stellt sich vielfach die Frage, ob man sich am "Cyber War" beteiligen oder diesem aus dem Weg gehen soll. Lindner betont, dass sich letztendlich jeder auf seine eigenen ethischen Ansichten verlassen müsse. Wer einem Moral predige, halte sich oft selbst nicht an die zum Besten gegebenen Regeln und sei somit ein schlechter Ratgeber. Dieses Phänomen sei vor allem in der deutschen Hackerszene sehr verbreitet. "Ist das Verkaufen von Exploits besser oder schlechter, als Zeug auf WikiLeaks zu veröffentlichen? Wir wissen schon, dass Veröffentlichungen auf WikiLeaks Menschen töten," so eine kontroverse moralische Frage, auf die "FX" keine definitive Antwort gibt. Die Marktsituation sorgt dem Bericht des Sicherheits-Experten zufolge derzeit dafür, dass vielfach auch unlautere Methoden eingesetzt werden, um Exploits verkaufen zu können. So seien etwa Schwachstellen absichtlich in Open-Source-Software eingebaut worden, um sich später an den zugehörigen Exploits zu bereichern. Lindners Lösungsvorschlag: Hacker sollen innovative Defensiv-Maßnahmen erforschen und ihre Ergebnisse veröffentlichen. Außerdem sei es wichtig, mit den Regierungen im Dialog zu bleiben.
Annika Kremer (g+) am Freitag, 30.11.2012 01:54 Uhr
Danke :) weitere Berichte zur DeepSec 2012 folgen heute und im Laufe der nächsten Tage. Ich habe noch einiges an Material. ...
Ein sehr interessannter Artikel, danke! :T ...
Schöne Zusammenfassung zu so vorgerückter Stunde, Annika.++ Es scheint so, als ob erst ein Virus unkontrolliert (Kollateral)Schäden verursachen muß, bevor die Blinden den Sehenden zuhören und damit meine ich keine Schäden an Maschinen. Solang die USA, China und Rußland weiter munter ihr Unwesen tre ...
Der IT-Sicherheitsberater Felix "FX" Lindner hielt den ersten Vortrag auf der diesjährigen DeepSec. Dieser trug den Titel "We Came In Peace - They Don't: Hackers vs. CyberWar" und befasste sich mit "der Hacker-Sicht auf politische, militärische, rechtliche und technische Aspekte" der Problematik und ...
Heutzutage ist die Internettelefonie neben Fest- und Mobilnetztelefonie immer gefragter. Per Internet zu kommunizieren ist nicht nur komfortabler und billiger, man ist zudem unabhängig von Tarifen, welche nur eine bestimmte Gesprächszeit günstig ermöglichen. Also wieso nicht auch Internet-Telefonie nutzen?
Lars Sobiraj am 14.05.2013, 13:52 Uhr
Der Petitionsausschuss des Deutschen Bundestags steht seit vielen Jahren den Bürgern und Gruppen für ihre Anliegen offen. Wir haben uns kürzlich mit einem der 80 Mitarbeiter des Hauses unterhalten. Da seit der Gründung nur sehr wenige Gesetzesänderungen durch Petitionen entstanden sind, wollen wir den Sinn dieser Institution hinterfragen. Dies ist vorerst der letzte Teil unserer Interview-Serie.
Lars Sobiraj am 12.05.2013, 12:51 Uhr
Wie ein 73-jährige Japaner beweist, kann man das am häufigsten benutzte Tabellenkalkulationsprogramm Microsoft Excel nicht nur für reguläre Berechnungen einsetzen. Tatsuo Horiuchi erstellt ausnahmslos seine traditionellen Gemälde mit Hilfe dieses Programms. Er arbeitet bereits seit 10 Jahren mit der Software und stellt seine Bilder in diversen Ausstellungen vor.
mehr lesen...
