Hört man von EU-Kommissaren, deren Namen man eher selten hört, wenn überhaupt, im Zusammehang mit wie auch immer gearteten „Maßnahmen“, ist milde Panik nicht ganz unbegründet. Aktuell hört man von einer gewissen Neelie Kroes, sie denke über eine Meldepflicht von Cyber-Attacken für Unternehmen nach. „Ich bin ein großer Befürworter von Selbstregulierung, aber in diesem Fall fürchte ich, dass wir damit nicht weiterkommen“, sagte sie der Süddeutschen Zeitung.
Die Panik verstärkt sich, wenn man liest, daß die Dame 71 Jahre alt ist und für Cloud Computing zuständig. Dabei wollen wir hier keineswegs irgendeinem Jugendwahn erliegen, bewahre, ich selbst darf ja auch schon länger ins Kino, ohne die Altersfreigabe zu beachten. Aber bei Menschen, die deutlich älter sind als ich, nagt doch das Vorurteil an mir, daß sie wenig Ahnung haben von Netzen, Computern und eben auch „Hackern“. Es entspricht zumindest meiner Lebenserfahrung und zahlreichen Gegenbeispiele mögen mir bitte nicht böse sein. Frau Kroes hat darüber hinaus etwas zweifelhafte Ziele: Zur vereinfachten Kollaboration durch die Cloud fällt ihr neben Jubel auch ein (Quelle: Derselbe Artikel in der Süddeutschen):
Aber es ist auch ein Weckruf“, betont sie. „Denn natürlich können sich Unternehmen ihre Entwickler so auch in China und Indien suchen. Dazu dürfen wir es nicht kommen lassen.
Diesen merkwürdigen Eurochauvinismus ignorieren wir sicherheitshalber. Ebenso die Tatsache, daß sich, wenn man in ihren Statements das Wort „Cloud“ durch „Internet“ ersetzt, der Sinn nicht ändert. Netzgestützte Zusammenarbeit ist eines der Faszinosa des Internet, seit es das Netz gibt.
Schlimm aber ist diese verschrobene Idee einer „Meldepflicht für Hackerangriffe“. Was ist eigentlich ein Hackerangriff? Wenn Systeme lahmgelegt werden, Kundendaten gestohlen, Inhalte überschrieben, Emails ausgespäht werden? Aber das kann aus diversen Gründen doch heute schon sehr häufig nicht geheimgehalten werden. Und es wird damit ziemlich in die Arbeit diverser Regierungen hineingepfuscht, die das alles ja selbst bis jetzt EU-ungemeldet machen:
Systeme lahmgelegt: Stuxnet ist ein Virus, der das iranische Atomprogramm sabotieren sollte. Quelle: Dienste in USA und Israel.
Kundendaten gestohlen: Regelmäßige Übung deutscher Steuerbehörden („Ankauf von Steuerdaten auf CD“).
Inhalte überschrieben: Unter dem Schlagwort „Zensursula“ zu findender Skandal, bei dem Provider gezwungen worden wären, ihren Kunden falsche Adressinformationen unterzujubeln. Offiziell zur Bekämpfung der Verbreitung kinderpornographischer Bilder im Netz, inoffiziell auch zur Durchsetzung von Urheberschutz, Glückspielmonopol etc. Die europäische Variante findet man unter „Censilia“.
Emails ausgespäht: Um sich des mächtigen CIA-Chefs Peträus zu entledigen, wurden mittels FBI, das dafür natürlich nicht zuständig ist, seine privaten Emails durchwühlt. Der klassische „Hack“. So konnte ihm eine außereheliche Affaire nachgewiesen werden (was hier in Deutschland keinen interessiert, in den USA reicht das aber für einen Rücktritt, wenn es nicht um Bill Clinton geht).
Tatsächlich gemeint bei der Meldepflicht sind lediglich Angriffe, also auch solche, die nicht erfolgreich sind, hört man aus Brüssel. Das ist lächerlich. Wir beobachten bei SpaceNet ständig Hackerangriffe. Das sind keine pickeligen Knaben, die sich ein paar Tricks aus einer Mailbox heruntergeladen haben. So sehen Hacker schon lange nicht mehr aus. Das sind einfach Softwareschnipsel, die da am Werk sind. Über weltweit zusammengespannte Botnetze, die typischerweise von Windowsnutzern irgendwo aus der Welt unwissend unterstützt werden, kommen die „Angriffe“ in Wellen. Es werden typischerweise nur die Dinge ausprobiert, die ein Profi im Griff hat, also bekannte Schwachstellen in Software, die vom jeweiligen Betreiber nicht auf dem neuesten Stand gehalten wird, oder offene Ports, über die man zumindest herausbekommen kann, welche Dienste auf welchen Servern bereitgehalten werden, oder sonstige Systemschwächen, die es möglicherweise erlauben, einen Rechner zu übernehmen oder auch nur Spammail über ihn zu versenden. Beliebt sind auch schlecht gewartete Firewalls, hinter deren trügerischer Sicherheit eine völlig offene DV-Landschaft einlädt-
Das sind alles „Angriffe“ und deren Chancen sind nahezu Null. Besonders jene „Scans“, also das systematische Absuchen des Netzes, Rechner für Rechner, fallen auf und führen typischerweise dazu, daß die Angreifer für eine bestimmte Zeit komplett aus Netzen ausgesperrt werden. Es scheint sich dennoch zu lohnen: Wie ein Blauwal von Plankton satt wird, das sich einfach zufällig in seinen Barten verfängt, so haben solche Angriffe eben doch manchmal Erfolg.
Und das soll jetzt gemeldet werden? Wem eigentlich? Irgendwie ist man versucht, an ein neues europäisches Gesundheitsamt zu denken, bei dem Meldungen über alle Krankheiten gesammelt werden müssen. Wer einen Schnupfen hat und den nicht meldet, macht sich strafbar. Wessen Immunsystem gerade einen Schnupfen verhindert hat müsste nach dieser Logik auch gemeldet werden. Da kann es einem vom Kopfschütteln ganz schwindelig werden und man greift zu dem hervorragenden Buch „Corpus Delicti: Ein Prozeß“ von Juli Zeh. So fiktiv ist der Roman nicht, wie man hofft.
Bild: Neelie Kroes, Quelle: World Economic Forum via Flickr