UNO: Bis 2030 biometrische Daten für alle

Die im Jahre 2015 von der UNO verabschiedeten nachhaltigen Entwicklungsziele (engl. Sustainable Development Goals oder SDGs) waren in der Welt der Entwicklungshilfe ein grosser Erfolg im Kampf gegen Armut, Benachteiligung von spezifischen Menschengruppen und viele andere weltweite Probleme. Sie wurden als Durchbruch gefeiert. Eines der Ziele, Nummer 16.9, beinhaltet die Vorgabe, dass bis 2030 alle Menschen eine legale Identität (sprich einen Ausweis) haben.

Frau mit roten Fingernägeln blättert in Reisepass mit vielen Stempeln.

Die Tage des alten Reisepasses sind gezählt. Zuerst gibt es die elektronische ID für Flüchtlinge und dann später für uns alle.

Gültige Ausweispapiere für alle – mit einem Haken
Das klingt vernünftig und dagegen ist an sich nichts auszusetzen. Hängt doch ein grosser Teil unseres modernen Lebens von Ausweispapieren ab. Nur leider höre ich schrille Glocken, wenn ich lese, wie das erreicht werden soll. Anstatt die einzelnen Länder dabei zu unterstützen, gültige und sichere Ausweispapiere für alle auszustellen, soll hierzu ein Netzwerk von bestehenden Datenbanken mit biometrischen Angaben aufgebaut werden, die alle in eine Datenbank in Genf Rückmeldung erstatten. Ausserdem läuft die Erhebung von biometrischen Daten und deren Verwaltung durch das UNHCR in verschiedenen Flüchtlingslagern (Tschad, Südsudan und Thailand) schon auf diese Weise. Die so gewonnenen Erfahrungen sollen jetzt auf „Nicht“-Flüchtlinge ausgeweitet werden.

Ein lukrativer Fang für Accenture und Microsoft
Das Informatik-Magazin inside-it verrät uns, wer diese mit allen Ländern vernetzte Datenbank aufbauen soll: Accenture und Microsoft. Sie haben vor wenigen Tagen in New York einen Prototypen dieses Netzwerkes vorgestellt. Bei geschätzten 1,1 Milliarden Menschen ohne gültige Ausweispapiere kann man diesen beiden Unternehmen schon mal zu diesem Fang gratulieren. Die UNO bzw. die beiden Unternehmen haben damit faktisch einen weltweiten Standard geschaffen, der gute Chancen hat, sich gänzlich durchzusetzen.

Effizient und kostengünstig – Datenschutz hat keinen Stellenwert
Die UNO hält dieses System für effizient und kostengünstig. Es ermöglicht das bessere Management von Flüchtlingen. Das mag ja stimmen, doch es ist auch beunruhigend: Je mehr Daten erfasst werden, desto grösser ist der Schaden, wenn sie gestohlen werden. Und man stelle sich vor: Datendiebe machen sich mit den Identitätsdaten von 1,1 Milliarden Menschen (bei sieben Milliarden Erdbewohnern)  aus dem Staub (Name, Geburtsdatum, Fingerabdrücke, Irisscan usw.) Die weltweite Vernetzung von Datenbanken ist ein schwer einzuschätzendes zusätzliches Risiko und die Datenbank in Genf wird zu einem attraktiven Einfallstor.

Totenstille im Medienwald
Was mich aber überrascht, ist, dass ich keine ernstzunehmende Zeitung oder ernstzunehmendes Newsportal über die volle Tragweite einen weltweiten biometrischen Erfassung berichten sehe (Stand 5.7.2017).  Selbst bei srf.ch finde ich keine Meldung darüber, obwohl ich durch SRF 4 News darüber erfahren habe. Ist die zukünftige weltweit grösste Datenbank mit Identitätsdaten so gar keine Meldung wert?

P.S. In der Schweiz werden die (biometrischen) Passdaten, auf telefonische Anfrage beim Passbüros Zürich und dem Bundesamt für Polizei, in einer zentralen Datenbank während 20 Jahren vorgehalten und dann vernichtet. Diese Datenbank untersteht dem Bundesamt für Polizei und wird vom Bundesamt für Informatik und Telekommunikation betreut.

Ein Klick und der Russe vor der Tür ist weg

Wer die letzten eineinhalb Jahre nicht in einem Loch in der Erde verbracht hat, wird wohl davon gehört haben, dass die Russen wieder kurz davor stehen, den Weltfrieden zu vernichten. Sie expandieren an allen Ecken und Enden (Ukraine), klüngeln mit widerlichen Diktatoren (Syrien) und verwandeln mit Fake-News bzw. Cyber-Attacken gestandene Demokratien in Bananenrepubliken (USA). So plärrt es zumindest aus den (Medien)-Lautsprechern.

Zwei Screenshot zur Google Suche mit den Begriffen BND Russland und Wahlen.

Mit einem Klick auf die Rubrik News verändert sich der Blick auf die Realität drastisch. Wer von uns macht diesen Klick? (Stand 13.02.2017)

Der rote Bär geht um
Und welches Land wird das nächste sein? Welches Land wird als nächstes von den mächtigen Fängen des russischen Bären aus seiner liberalen, demokratischen Umlaufbahn geworfen? Man munkelt, er werde dieses Jahr seine Pranken in die Bundestagswahlen von Deutschland schlagen. Seit Monaten warnen deutsche Politiker, unter anderem angestachelt vom Chef des Bundesnachrichtedienst (BND), vor den Einmischungsversuchen der Russen. Uns wurde ein heisser Wahlherbst angekündigt…

Ничего (nichts)
Mit Enttäuschung muss ich jetzt feststellen, dass die Versprechungen wohl ein wenig zu hoch gegriffen waren. Die deutschen Wahlen könnten doch langweiliger werden als versprochen. Die Zeit.de titelt nämlich: „Keine Beweise für russische Desinformationskampagne“. Nach einer einjährigen Untersuchung fand der BND keine Belege dafür, dass Russland die deutsche Öffentlichkeit zu manipulieren versucht.

Das Gesicht wahren?
Trotz des eindeutigen Ergebnisses lassen sich sowohl die Zeit.de als auch der BND eine Hintertür offen. Es gäbe Grund zur Sorge, denn Russland sei (hört, hört!) auf einem „konfrontativen“ Kurs gegenüber Deutschland, sagen sie. Ausserdem bedeutet die Formulierung „keine Belege“ etwas anderes, als zu schreiben, sie hätten nichts gemacht.

Mit einem Klick die Welt verändern
Die Spitze dieser Realsatire ist aber der eigentliche Auslöser für diesen Post: Meine neueste Google-Suche zum Thema (s. Bild). Links sind die Resultate der allgemeinen Suche zu sehen und rechts diejenigen in der Rubrik News (13.02.2017). Mit nur einem Klick löst sich das russische Schreckgespenst in Luft auf und die Demokratie ist gerettet. Endlich können wir alle wieder beruhigt schlafen.

Licht im Tunnel – Ausgang oder Gegenzug?

Eigentlich leben wir Menschen in der wohlbehüteten westlichen Welt in interessanten Zeiten. Überall geht die Post ab. Ein Umwälzungsprozess nach dem anderen kündigt sich an.  So türmen sich die Themen, die eigentlich einer ausführlichen Diskussion bedürfen würden, doch sie finden einfach zu selten statt. Das Resultat davon: Mit Sorge, berechtigterweise, blicken wir in die Zukunft, da sie so volatil wie noch nie scheint.

Zwei Strassen die um einen Berg führen treffen sich vor dem nächsten Berg.

Stehen wir schon am Scheideweg? Wäre schön und es gibt durchaus Gründe zur Hoffnung.

Mit Vollgas in den Untergang
Es sind auch schizophrene Zeiten. Die etablierten Medien versagen immer häufiger darin, uns die Welt zu erklären (zuletzt bei der Wahl von Donald Trump). Zudem müssen sie zusehen, dass ihr Geschäftsmodell ihnen wie Sand zwischen den Fingern verrinnt. Nun versuchen sie, mit täglichen Meldungen über neue Gerüchte und Vermutungen über Trump rauszuholen, was an Klicks noch zu holen ist. Das Orchester auf der Titanic hat die Lautstärke nochmals aufgedreht.

Aufrührerische Gedanken
Man kann über die Wahl von Trump denken, was man will. Er scheint mir ein hässliches Symptom unserer Zeit. Doch zum Glück gibt es auch Anzeichen der Hoffnung. Da und dort geistert der Gedanke umher, ob es angesichts der zukünftigen US-amerikanischen Regierung vielleicht doch angebracht wäre, sich in der Datensammelei zurückzuhalten oder mit Verschlüsselung besser die Privatsphäre zu schützen? Hört hört!

Am historischen Scheideweg?
Natürlich gefährden solche Ideen, die im Silicon Valley an Blasphemie grenzen, echte und imaginäre Geschäftsmodelle. Die (Möchtegern-)Goldgräber werden sich das nicht so einfach nehmen lassen. Wie auch immer: Die Hoffnung stirbt zuletzt. Ausserdem hege ich im Gegensatz zu manchen Untergangspropheten immer noch die Hoffnung, dass sich diese US-Wahl vielleicht noch als Beginn der Katharsis entpuppen wird. Denn das gesamte Ausmass unserer politischen, gesellschaftlichen und ökonomischen Probleme wird zunehmend sichtbar.

David Cameron gibt Zunder auf Tinder

Die Wellen schlagen gerade hoch in Grossbritannien. Im Vorlauf zur Abstimmung über den Verbleib von Grossbritannien in der EU (genannt Brexit) gibt fast jeder Tag ein neues Bonmot preis. Sowohl Befürworter als aus Gegner der EU sind sich nicht zu schade, die Argumente (oder was davon noch übrig bleibt)  bis auf die Spitze zu treiben. Keiner der Exponenten ist sich zu schade, vollen Einsatz zu geben.

Roter Kopf auf einem gelben Zunderschwamm.

Tinder heisst auf Deutsch Zunderschwamm. David Cameron gibt Gas auf Tinder.

Geschichte(n) und Zahlen

Am Wochenende beglückte Londons ehemaliger Bürgermeister die Bevölkerung mit einem schönen Hitler- und Napoleon-Vergleich, hier zu repetieren ein völliges Totschlagen menschlicher Zeit bedeuten würde. (Und wir alle haben ja nicht unbegrenzt davon zur Verfügung.) Die britische Regierung hingegen, allen voran David Cameron, Premier von Grossbritannien,  hat weniger übrig für Geschichtsunterricht, dafür mehr für Zahlen. Deswegen präsentierte er als Argument für den Verbleib von Grossbritannien in der Eu der Bevölkerung die Rechnung für einen Brexit schon im Voraus: 5000 Pfund pro Nase. 

Ausgang ungewiss

Alles in allem eine in ihrer Form recht absurde, doch amüsante Schmierenkomödie also, deren Ausgang gemäss dem Brexit poll-tracker der Financial Times (Umfragebarometer) noch recht offen ist. Allein über die, eingeschränkte Sinnhaftigkeit dieses Brexit poll-trackers  könnte man einen ganzen Text schreiben. Keine Sorge, auch das lassen wir mal (heute) weg.

Voller Körpereinsatz

Nein die Initialzündung zu diesem Post gab ein anderes Detail, das erst kürzlich bekannt geworden ist: David Cameron, dessen politische Zukunft an dieser Abstimmung hängt, verliert langsam die Nerven. Anders kann ich mir nämlich nicht erklären, wieso ein britischer Premierminister für die Gewinnung von Stimmenden auf der Dating-Plattform Tinder ein Konto eröffnet. Was sagt wohl Frau Camerons zum vollen Körpereinsatz ihres Mannes?

Früher hätte es das nicht gegeben

Es ist schon unglaublich, wie sich die Zeiten ändern. Der Chef der konservativen Tories und Verteidiger des Empire eröffnet ein Konto auf einer Dating-Plattform mit zweifelhaftem Ruf um eine Abstimmung zu gewinnen. Schöner hätten es sich auch die Jungs von Monty Python nicht ausdenken können. Und für alle Älteren unter uns sei hier gesagt: Nein, das hätte es früher nicht gegeben! Die gute alte Maggie Thatcher hätte sich für öffentlich politische Prostitution nicht her gegeben.

Nicht vordrängeln

Mein Internetradio spinnt und deshalb sehe ich mich gerade nach einem neuen um. Das sollte in unserer freien Marktwirtschaft kein Problem sein, möchte man meinen. Aber weit gefehlt – das Angebot ist mickrig. Mir jedenfalls scheint es heute eher kleiner als vor ein paar Jahren noch. Es gibt kaum mehr Geräte, die man nicht auf den ersten Blick als Ramsch abschreiben muss. Es wird gespart, wo es nur geht: am Material, an der Klangqualität, am Design. Offensichtlich ist diese Art von Radio mittlerweile zum Gadget einer geizgeilen Randgruppe verkommen. Dabei: Wie soll man heute bitteschön noch Radio hören, wenn nicht übers Internet? Über UKW ist ja nur dieser Formatradiobrei zu bekommen. Der lässt sich allenfalls zu Beschallung von Bahnhofklos verwenden, aber hören kann ich das pubertäre Gedudel schon lang nicht mehr.

Lankabel-690

Daten gehören ins Kabel. (Bild: dhester via Morguefiles.com)

Doch zurück zum Thema. Da finde ich trotz allem ein Radio, das gut aussieht und auch sonst solide wirkt. Ich besuche also den Händler, drücke dran rum und höre hinein. Es klingt so gut, wie es aussieht und fühlt sich auch so an. Doch als ich es umdrehe, fehlt tatsächlich die Buchse für das Netzwerkkabel. Das, klärt mich der Verkäufer auf, brauche heute doch eh kein Mensch mehr. Kein Mensch? Gut, ich hatte schon öfter den Verdacht, ein Ausserirdischer zu sein. Aber auch die haben so Wünsche und Vorstellungen, oder?

Zu meinen gehört jedenfalls, dass Daten in ein Kabel gehören und nicht in die Luft. Dort sind sie sicher aufgehoben, wissen wo’s lang geht, werden nicht gestört und können keinen Schaden anrichten. Glauben Sie jetzt jetzt aber ja nicht, ich gehöre nicht zu den hypersensitiven Zeitgenossen, die schon beim Anblick einer Handyantenne Migräne kriegen. Ich behaupte auch nicht, dass funkende Geräte grundsätzlich des Teufels sind. Aber: Man weiss es einfach nicht, ob und was der Wellensalat in unseren Körpern anrichtet, der täglich auf uns einprasselt. Das werden wir erst in 10, 20 oder 30 Jahren erfahren. So lange dauert es halt, das gross angelegte Strahlenexperiment, an dem wir alle teilnehmen. Bis dahin will ich mich nicht vordrängeln, wenn es darum geht, wer jetzt die grösste Dosis abbekommt. Sie verstehen?

Zu fehleranfällig

Nun gut, seit letzter Woche ist es amtlich: Die Briten sind schwach im Rechnen. Ein Fünftel der Erwachsenen dort kann weder Bruch- noch Prozentrechnen. Ein gutes Viertel ist ausserstande, die Fläche eines Kreises oder einen Durchschnitt zu berechnen, von Trigonometrie oder Statistik ganz zu schweigen.

Rechnen-mit-Briten

Schöner rechnen mit Briten (Bild: Dree’Ja via Wikicommons)

Überraschen sollte uns das eigentlich nicht. Wer wollte, konnte ja schon Ende der 1970er-Jahre vermuten, dass man auf der Insel 1 und 1 nicht zusammenzählen kann. Wie sonst liess sich erklären, dass man ein gewisse Frau Thatcher zur Premierministerin wählte und so ein ganzes Königreich dem neoliberalen Mob zum Frass vorwarf?

Das war in der Tat fatal. Aber heute? Mal ehrlich, ist Rechnen gesellschaftlich überhaupt noch relevant? Mittlerweile trägt doch jeder Brite rund 1,23 Smartphones herum, auf denen eine bestens ausgestattete Rechner-App nur darauf wartet, genutzt zu werden. Kommt dazu, dass heute jeder ein paar Hundert Facebook-Freunde hat, die ihm allzeit bei kleinen Rechenproblemen gerne aus der Patsche helfen. Also nochmal: Spielt Rechenschwäche noch irgendeine Rolle?

Aber sicher! Doch anders als Sie nun denken mögen: Wer nicht rechnen kann, wird im Pub beschissen. Das ist gerade bei den Briten, mit ihrer Vorliebe für vergorene Getreideprodukte besonders heikel. Und weil die Rechenleistung menschlicher Gehirne mit steigendem Alkoholspiegel noch weiter sinkt, wird der Anteil an Beschissenen bald die kritische Grenze von 50 Prozent überschreiten. Dann wird sich also die Mehrheit der Briten beschissen vorkommen – entweder vom Pub oder vom Alkohol. Das Resultat davon dürften allerlei Facebook-Initiativen für die Schliessung der Pubs und das Verbot von Alkohol sein. Und wie man die Angelsachsen so kennt, werden sie auf die eine oder andere Art Erfolg haben.

Was dann folgt, lässt sich in Geschichtsbüchern nachlesen: Prohibition, Mafia, Mord und Totschlag. In Nordirland werden sich Katholiken und Protestanten mit alter Verve und neuem Elan die Birnen einhauen. Die Schotten werden die Gelegenheit nutzen und sich aus dem Reich verdrücken. Das wird gewiss den Geheimdienst auf den Plan rufen. Der wird das Volk dank umfassender Schnüffellizenz nach allen Regeln der Kunst schikanieren. Letzteres wird sich endlich auch vom Staat beschissen fühlen. Ein Shitstorm biblischen Ausmasses wird sich übers Land ergiessen, ein Aufstand wird folgen, dann eine Revolution. Die wird gelingen und es der dannzumal meistgeliketen Community ermöglichen, die Regierungsarbeit durch Menschen zu verbieten (zu fehleranfällig, zu korrumpierbar). Daraufhin wird sie die Geschäfte der Exekutive einer gigantischen Cloud übertragen. Die wird von drei autonomen Megarechnern bestellt, die auf die Namen Peace, Happiness und Pancake hören. Der erste steht bei Google, der zweite bei Facebook und der dritte bei Amazon. Well, well, well: wilkommen im Staat 3.0!

Pseudo-Verschlüsselung: Die Hintertür zu deiner digitalen Privatsphäre

David Cameron hat es im Januar dieses Jahres als erster Politiker für europäische Ohren öffentlich thematisiert: Es darf keine toten Winkel im Kampf gegen den Terrorismus geben. Konkret darf in Grossbritannien die digitale Kommunikation nicht mehr so gut verschlüsselt werden, dass die Behörden nicht einsehen können. Er fragte damals rhetorisch in einer Rede: „[I]n our country, do we want to allow a means of communication between people which we cannot read?“ Ob er sich bewusst war, wie totalitär seine Forderung ist, kann ich nicht beurteilen. Er forderte damit schliesslich nur das Ende der sicheren Verschlüsselung und damit das Ende des letzten bisschen Privatsphäre, dass uns im Internet geblieben ist. Alles andere ist schon verloren.

Ein rostendes Schlüsselloch in einer Holztür.

Jede Hintertür hat auch einen Schlüssel um sie zu öffnen. Gibt es diesen, dann wird er zum ultimativen Ziel.

Dreiste und gefährliche Forderung
Cameron erntete für seine Aussagen in Expertenkreisen viel Kopfschütteln. Und dies aus zwei Gründen: Erstens verwenden Bösewichte keine Tools, die kompromittiert sind und zweitens würde es bedeuten, dass jegliche Verschlüsselungssoftware für Normalbürger unsicher wird.

Das wissen auch die Sicherheitsbehörden. Sie stellen sich einfach auf den Standpunkt, dass die Sicherheitsbranche schon ein Verfahren erfinden wird, mit dem die Schlüssel zu diesen Hintertüren sicher verwahrt werden können, ohne sie in einem Hochsicherheitstrakt verstecken zu müssen.  Da es diese Zauberlösung nicht gibt, haben 140 Tech-Unternehmen, Spezialisten und zivilgesellschaftliche Organisation einen offenen Brief an Präsident Obama geschrieben. Sie fordern von ihm, auf Hintertüren zu verzichten.

UNO meldet sich zu Wort
Obwohl selbst den Sicherheitsbehörden keine Lösung für das Schlüsselproblem bekannt ist, hat die Diskussion trotzdem Fahrt aufgenommen. In den USA sind sich die Sicherheitsbehörden einig: Wir brauchen das einfach. Die Sicherheit aller US-Amerikaner wäre sonst gefährdet! (Und mit Sicherheit kann man schliesslich alles begründen…).

Die ganze absurde Diskussion hat nun sogar die Uno auf den Plan gerufen. Sie hat vor wenigen Tagen in einem 18 Seiten starken Spezialbericht erklärt, dass Verschlüsselung und Anonymität Eckpfeiler des Rechts auf freie Meinungsäusserung im digitalen Zeitalter sind.

Es geht wahrscheinlich wieder einmal um Geld und Macht
Sind die Sicherheitsbehörden frech oder einfach nur dummdreist? Ich denke weder noch. In Wahrheit geht es ihnen wahrscheinlich eher darum, die Überwachung der Menschheit in den eigenen Händen zu behalten, denn in den USA wird zur Zeit im Parlament der Freedom Act verhandelt. Pikanterweise läuft der darauf hinaus, die Kompetenzen der Sicherheitsbehörden einzuschränken und die Erhebung der Daten teilweise in die Hände der Privatfirmen zu legen. Mit anderen Worten: Die Milliarden-Budgets der Behörden und Zehntausende von Arbeitsplätzen sind in Gefahr.

Tipp: Es lohnt sich, diese Anhörung des „Committee on Oversight & Government Reform anzusehen. Das ist schon nur deshalb faszinierend, weil man miterleben kann, wie die Sicherheitsbehörden versuchen sichere Verschlüsselung, etwa durch Apple, zur Kolaboration mit Gesetzesbrechern hochzustilisieren. Erschreckend ist auch die argumentative Hilflosigkeit der FBI-Vertreterin. Ausserdem erklärt ein Experte, warum Hintertüren gefährlich sind.

Die Rettung naht – Anonymous spielt mit ISIS Whack A Mole

Ein Mann spielt Whack A Mole und trägt eine Anonymous-Maske

Whack A Mole – Schlag den Maulwurf: Mit den Propaganda-Konten der ISIS zu spielen kann zwar Spass machen, ist aber nur ein netter Zeitvertreib.

„We, Anonymous around the world, have decided to declare war on you the terrorists“ offenbarte das Hackerkollektiv Anonymous im Januar 2015 in seiner eigenen, leicht martialischen, Art. Dieser Ankündigung hat die lose Gruppe von Informatik-Experten jetzt taten Folgen lassen. Gemäss eigenen Angaben hat sie 800 Twitter-Konten entführt, gelöscht oder aufgedeckt, über die Propaganda für den ISIS verteilt wurde. Ausserdem hat die Gruppe weitere dubiose Twitter-Konten identifiziert, die nach dem Löschen von 1500 Konten (durch das Unternehmen Twitter selbst) neu angelegt wurden.

Schlag den Maulwurf
Anonymous wollte gemäss eigener Aussage mit diesen Aktionen nicht die Arbeit der Regierungen erledigen, sondern nur zeigen, dass es einfach wäre, dies zu tun. Und man fragt sich, warum also die Behörden so wenig unternehmen. „Sie können oder wollen nicht“, vermutet das Hackerkolektiv. Mit zweiterem dürfte es wohl recht haben: Es ist nicht schwer Social Media-Konten zu identifizieren und zu löschen. Was diese Aktionen  aber auch zeigt: Es ist auch nicht schwer, einfach wieder neue Konten zu eröffnen… Das erinnert mich an Whack A Mole. Kennen Sie das Spiel?

Gegen Ideologien helfen keine Exekutionen
Ich unterstelle Anonymous vorläufig guten Willen. Nur: Auf die Propaganda einfach den Deckel drauf zu halten ist nutzlos, denn das wäre reine Symptombekämpfung. ISIS ist weniger eine terroristische Organisation, als eine Bewegung oder Ideologie. Und Ideologien können nicht erschossen werden (frei nach Hermann Jelinek). Löschen nützt aber auch nichts.

Heute im Kino: Kim-Jong Un als Schwarzer Peter

Kim-Jong Un hält eine Diskette hoch.

„Wer hat meine Diskette benützt und Hacker gespielt? Dieses Mal nehme ich die Schuld nicht auf mich!“

Aus der Sozialisierung durch die Medien wissen wir alle, dass es Menschen gibt, die den Prototypen des Bösewichts verkörpern. So was gibt es auch bei den Ländern. Momentan hat gerade Nordkorea die Arschkarte gezogen. Nicht, dass ich irgendeine Sympathie für dieses Regime (noch die Datendiebe) hege, aber Ehre wem Ehre gebührt. Und im Fall des Sony-Datenklaus gebührt Nordkorea meiner Ansicht nach keine Ehre.

Es ist immer der verrückte Onkel aus Nordkorea
In seinem vorläufig letzten Bericht zur Urheberschaft des massiven Daten-Klaus nennt das FBI im Wesentlichen folgende drei Gründe dafür, dass der böse Onkel aus Nordkorea der Drahtzieher sein muss:

Technical analysis of the data deletion malware used in this attack revealed links to other malware that the FBI knows North Korean actors previously developed. For example, there were similarities in specific lines of code, encryption algorithms, data deletion methods, and compromised networks.

The FBI also observed significant overlap between the infrastructure used in this attack and other malicious cyber activity the U.S. government has previously linked directly to North Korea. For example, the FBI discovered that several Internet protocol (IP) addresses associated with known North Korean infrastructure communicated with IP addresses that were hardcoded into the data deletion malware used in this attack.

Separately, the tools used in the SPE attack have similarities to a cyber attack in March of last year against South Korean banks and media outlets, which was carried out by North Korea.

Und das ist es auch schon mit den Begründungen. Kurz und bündig nenne ich das. Einer genaueren Betrachtung hält das Ganze eher nicht stand.

Der Malware-Markt gibt alles Mögliche her
Im ersten und letzten Punkt spricht das FBI von Ähnlichkeiten zu früheren „Cyber Attacken“ an denen Nordkorea beteiligt war. Ich würde gerne darauf hinweisen, dass es im Internet einen regen Handel mit allem gibt, was das Hackerherz begehrt. Da ist es nicht übertrieben anzunehmen, dass es verschiedene Angriffe auf Unternehmen oder staatliche Einrichtungen gibt, die einen sehr ähnlichen Code verwenden. Dasselbe Argument gilt auch für den zweiten Punkt, denn Infrastruktur kann man auf diesen Märkten genauso mieten. Selbst beim konkretesten Hinweis, die Kommunikation mit nordkoreanischen IP-Adressen, darf gezweifelt werden: Der Sicherheitsexperte Guido Rudolphi gab im Blick zu Protokoll, dass es in Nordkorea sehr viele ungesicherte Computer gebe. Die Beschaffung einer Alibi-IP-Adresse sei also kein Problem.

Ein fehlgeleiteter Datendiebstahl
Zuerst war an diesem Datenklau nicht ungewöhnliches drann: Daten gestohlen, eine Nachricht mit Namen hinterlassen und dann wird abkassiert. Erst später eskalierte diese gewöhnliche Erpresser-Nummer zum Politikum, nachdem die US-Presse spekuliert hatte, ob Nordkorea sich für den Film gerächt haben könnte. Gegen den Film protestiert hat Pjöngjang nämlich schon im Sommer.  Das schien den Dieben (oder jemandem, der sich dafür ausgab) nur recht zu sein, denn anschliessend erwähnten die Hacker diesen Film und drohten bei einer Veröffentlichung mit Vergeltung.

Hinweise auf einen Insider-Job
Wenn nicht Pjönjang, wer dann? Meiner Ansicht nach steckt der aussagekräftigste Hinweis tatsächlich in der verwendeten Software: In der Malware wurden Sony-Passwörter und Passwort-Pfade gefunden, die „fix“ in den Code programmiert wurden. Das lässt auf eine sehr gute Kenntnis des Netzwerkes schliessen. Dies steht vor dem Hintergrund, dass bei Sony eine Menge Leute aufgrund von Sparmassnahmen auf ihre Entlassung warten oder schon entlassen wurden. Die Sparmassnahmen wurden durch einen externen Sanierer durchgeführt und ich gehe mal davon aus, dass – wie stehts bei solchen Übungen – dabei viel böses Blut entstanden ist.

Bauernfänger mit drei Buchstaben im Namen
Mittlerweile gibt es viele verschiedene Theorien, wer hinter dem Diebstahl gigantischen Ausmasses (1,5 Terrabyte sollen gestohlen worden sein) steht. Ich weiss auch nicht, wer dafür verantwortlich ist. Nordkorea scheint mir aber als Verdächtiger eher nicht in Frage zu kommen. (Der ganze Aufwand wegen eines Films und dann noch so stümperhaft durchgeführt?) Das einzige was ich aus dieser Geschichte gelernt habe ist: Nur weil ein Dienst mit einer Drei-Buchstaben-Abkürzung etwas als gesichert kommuniziert, ist das noch lange kein Grund das Gehirn auszuschalten. Das gilt auch für die Medien, die erst langsam merken, dass hier was nicht stimmt.

Heartbleed: dem geschenkten Gaul ins Maul schauen

Ein Herz-Symbol das blutet.

„Codenomicon CEO David Chartier told Bloomberg that his team then immediately went to work on a marketing plan.“ aus dem Zdnet.com-Artikel (Bildquelle: Heartbleed.com)

Können Sie sich noch an Heartbleed erinnern? Die gleichnamige Sicherheitslücke im Open-SSL-Verschlüsselungsverfahren (um es mal einfach zu beschreiben) beschäftigte die IT-Welt im Frühling über mehrere Wochen aufs Schwerste. Was auch in Ordnung war, denn diese Lücke war während 27 Monaten unentdeckt geblieben und weltweit verbreitet… Ich kann mich auch noch gut erinnern, wie man darüber gerätselt hatte, dass die Lücke gleichzeitig von einer finnischen Sicherheitsfirma und einem Google-Mitarbeiter entdeckt wurde.

Sicherheitshinweis und Patch – brought to you by NSA
Ein kürzlich hochgeladenes Video auf Youtube erklärt zumindest den einen Teil dieser Doppelentdeckung. Darin plaudert Admiral Mike Rogers, Chef der NSA, darüber, wie die NSA die Lücke am 07. April 2014 entdeckt hatte und gleich am nächsten Tag an Google bekannt gab, damit sie geschlossen werden konnte. Natürlich schickte die NSA grosszügiger Weise auch gleich einen Patch für die Software mit. Wie praktisch für uns alle.

Dem geschenkten Gaul ins Maul schauen
Die grossartige Transparenzbezeugung von Rogers sollte nicht darüber hinwegtäuschen, wie wenig wir doch wissen, wie solche Sicherheitslücken entstehen und warum sie wann veröffentlicht werden. Ausserdem hat Rogers uns noch mitgeteilt auf welchen Kriterien die Entscheidung beruht, ob Sicherheitslücken für die Spionagetätigkeiten der NSA genützt werden. Sie sind, sagen wir mal, relativ schwammig und situativ… So wie Wohltäter halt sind.

Mehr:

Hier geht’s zur Einschätzung von Bruce Schnier, wie Hersteller von Virenschutzsoftware mit ihrem Wissen über Malware umgehen.

Eine Zusammenfassung der Ereignisse, wie die Sicherheitslücke Heartbleed entdeckt und gleich kommerzialisiert wurde; von Zdnet.com vom 25. November 2014

Hier die ganze „Stanford Community Lecture“ mit NSA Director Admiral Mike Rogers