Kommentar zum Bundeshack: Schluss mit Schlangenöl und Monokultur!

Inhaltsverzeichnis

Es war nur eine Frage der Zeit: Am Mittwoch ist der nächste große Hackerangriff auf eine kritische Infrastruktur in Deutschland bekannt geworden. Besonders stark wüteten die Angreifer laut Medienberichten wohl im Auswärtigen Amt. Das hatte 2010 unter der Führung von Außenminister Guido Westerwelle beschlossen, die unter Joschka Fischer 2002 begonnene Linux-Strategie umzukehren und weitgehend zu Windows zurückzukehren. Es liegt nahe, die Frage zu stellen, ob der Angriff unter einem Linux-System auch so erfolgreich gewesen wäre?

Ein Kommentar von Alvar Freude

Alvar Freude ist seit Dezember Referent beimLandesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg sowie freiberuflich PostgreSQL-DBA beim ELSTER-Betrieb im Bayerischen Landesamt für Steuern. Er war als Sachverständiger Mitglied der Enquête-Kommission Internet und digitale Gesellschaft des Deutschen Bundestags und entwickelt u.a. Open-Source-Software zu IT-Sicherheit.

• Alvars Homepage
• LfDI Baden-Württemberg

Bei der jetzigen Informationslage lässt sich dies kaum und schon gar nicht seriös beantworten. Hundertprozentiger Schutz ist aber sowieso nicht möglich und auch Linux bzw. freie und Open Source Software im Allgemeinen ist nicht per se sicher. Klar ist aber, dass es einige Faktoren gibt, die solche Umgebungen wie ein Regierungsnetz anfällig machen. Die verbreitete Windows-Monokultur, starke Zentralisierung, wenig Abschottung einzelner Teile, mangelnde Kenntnisse bei Administratoren und Anwendern, falsche Prioritäten sowie die Abhängigkeit von einem einzigen (US-)Konzern gehören oftmals dazu.

Trotzdem könnte die IT-Sicherheit (nicht nur) in der öffentlichen Verwaltung erhöht werden. Sieben Vorschläge:

1. Stoppt die Windows-Monokultur!

Die öffentliche Verwaltung in Deutschland ist, bis auf wenige Ausnahmen, fest in der Hand von Microsoft. Dieses "Microsoft-Dilemma" bringt eine Reihe von Herausforderungen mit sich und viele Behörden ignorieren Sicherheitsbedenken. So ist es mangels Einblick in die komplette Funktionsweise und ohne Quelltext gar nicht möglich, besonders gehärtete Versionen (beispielsweise für den Geheimschutzbereich) zu erstellen.

Ein wirklich sicherer "Bundesclient" kann nicht auf proprietärer Software basieren, sondern nur auf einem offenen, schlanken und stabilen System. Natürlich ist es nicht realistisch, ein komplettes Betriebssystem mittelfristig von Grund auf neu zu entwickeln. Aber beispielsweise mit GNU/Linux oder FreeBSD steht eine brauchbare Basis bereit. Und es spricht nichts dagegen, alte oder spezielle Software in virtuellen Maschinen unter Windows laufen zu lassen, anstatt alles umzustellen. Eine Trennung und Abschottung verschiedener Bereiche (E-Mail, Browser, Textverarbeitung, Fachanwendungen) über VMs kann die Sicherheit erhöhen.

2. Weniger Schlangenöl!

IT-Sicherheit orientiert sich in der Praxis auch daran, was die Hersteller anbieten. Dies ist oft nur wirkungsloses Schlangenöl, manchmal aber auch richtig gefährlich. So wäre es besser, statt HTTPS-Verbindungen aufzubrechen, den Browser gleich in eine eigene abgeschottete und besonders überwachte Virtuelle Maschine zu packen. Und natürlich ist es sinnvoll, Flash zu deinstallieren, anderes wie regelmäßig erzwungene Passwort-Änderungen gefährdet aber wiederum die Sicherheit.

Übrigens: der angebliche Vorteil proprietärer Software, dass der Hersteller für Fehler ja haftbar gemacht werden könne, ist ebenso Schlangenöl. Oder ist auch nur ein Fall bekannt, bei dem ein Hersteller von Standard-Software wie Microsoft erfolgreich auf Schadensersatz wegen eines Bugs in Word oder Windows verklagt wurde?

3. IT-Sicherheit braucht einen höheren Stellenwert!

Trotz aller Lippenbekenntnisse fristet IT-Sicherheit in vielen Bereichen immer noch ein Nischendasein. Die reine Funktionalität ist meist wichtiger, die Sicherheit wird oftmals erst hinterher angehängt statt von Anfang an eingeplant. Dies ist naheliegend, denn IT-Sicherheit sieht man im normalen Betrieb nicht – außer sie nervt durch Gängelung. Aber auch hier kann Freie und Open Source Software helfen: Ihr großer Vorteil ist ja nicht, dass sie kostenlos ist, sondern dass man sie beliebig verändern und erweitern (lassen) kann.

Auch in der Abwägung mit anderen Interessen benötigt IT-Sicherheit einen höheren Stellenwert. Es ist unverantwortlich, wenn staatliche Stellen Sicherheitslücken horten oder einkaufen, um mittels Staatstrojaner in fremde Systeme – und seien die im Einzelfall noch so legitime Ziele – einzudringen: jede nicht geschlossene Sicherheitslücke gefährdet die Sicherheit aller Nutzer, denn es ist nur eine Frage der Zeit, bis diese ausgenutzt wird.

4. Zentrale Infrastrukturen meiden

Zentrale Infrastrukturen mögen theoretisch relativ einfach zu verwalten sein, sind aber auch eine Methode, um es Angreifern besonders leicht zu machen, denn sie sind zentral angreifbar. Das zeigt sich beispielsweise beim Bundestags-Hack von 2015. Im Bundestag gibt es (je nach Anzahl der Abgeordneten) etwa 600 bis 700 kleine eigenständige Einheiten, denn jedes Abgeordnetenbüro ist in seiner Arbeit eigenständig und besteht aus etwa fünf bis acht Mitarbeitern.

Bei der IT wird aber alles zentral verwaltet, alle Mitarbeiter stehen im gleichen Active Directory, nutzen weitgehend die gleichen Fileserver, die gleiche Infrastruktur. Ist diese kompromittiert, sind potenziell alle Büros betroffen. Solch zentrale Infrastrukturen und dazu noch eine Microsoft-Monokultur sind ein Traum für Angreifer. Aber was spricht dagegen, in jedem Büro eine Art eigenes NAS mit allen Daten, lokaler User-Verwaltung und zentralem (natürlich verschlüsseltem) Backup zu installieren?

"Bundeshack": Hackerangriff auf deutsche Regierungsnetze

Ausländische Hacker drangen in das bislang als sicher geltende Datennetzwerk des Bundes und der Sicherheitsbehörden ein.

• Kommentar zum Bundeshack: Schluss mit Schlangenöl und Monokultur!
• Bundeshack: Chaos Computer Club fordert Ende der "Flickschusterei" bei IT-Sicherheit
• Bundeshack: Angriff laut de Maizière technisch anspruchsvoll und lange geplant
• Bundeshack: "Veritabler Cyberangriff" läuft weiter, Details bleiben vorerst geheim
• "Bundeshack": Bundestagsabgeordnete verlangen umfassende Aufklärung
• Sicherheitskreise: Hackerangriff auf Regierungsnetz lief mindestens bis Mittwoch
• Bundesregierung: Hackerangriff auf Regierungsnetz "isoliert und unter Kontrolle"
• Sicherheitskreise: Hacker drangen in deutsches Regierungsnetz ein

5. Verwaltung muss selbst Kompetenzen aufbauen!

In der öffentlichen Verwaltung, aber auch in großen Unternehmen, läuft im IT-Bereich ohne externe Mitarbeiter kaum etwas. Besser wäre, wenn die Unternehmen und Behörden eigene Kompetenzen aufbauen und intern gut qualifizierte Mitarbeiter hätten, die nicht nur im Trial-and-Error-Verfahren so lange herumprobieren bis etwas zu funktionieren scheint. Dies muss sich aber auch in der Bezahlung niederschlagen. Gut qualifizierte Mitarbeiter kosten Geld, und sie brauchen Zeit und Gelegenheit zum Lernen. Das Geld ist da besser angelegt als bei externen Mitarbeitern. Solange Juristen in der öffentlichen Verwaltung meist deutlich besser bezahlt werden als (interne) Techniker, wird sich da aber nicht viel ändern. Natürlich wird man nicht umhin kommen, externe Spezialisten hinzuzuziehen. Diese Maßnahme sollte aber primär die Schulung interner Mitarbeiter zum Ziel haben.

Oft wird behauptet, dass die Angreifer "extrem professionell" vorgehen würden, so dass man sich gar nicht schützen könne. Eines der wenigen öffentlich bekannten Dokumente – die Analyse des Hacks der Linksfraktion im Bundestag aus dem Jahr 2015 – zeigt aber: die Angreifer (angeblich die berüchtigten von APT28) waren eher amateurhaft unterwegs und nur erfolgreich, weil die Server-Administratoren noch laienhafter agierten.

6. Mehr Mut für neue Wege!

Der Entscheider, der sich für ein reines Microsoft-Universum entscheidet, hat kaum etwas zu befürchten: wenn es klappt, ist alles gut. Wenn es schief geht, ist irgendjemand anderes schuld. Er hat ja das gemacht, was alle anderen auch machen. Der Preis dafür ist nicht nur monetär hoch, sondern die Kunden sind auch auf Gedeih und Verderb auf die Entscheidungen des Herstellers angewiesen.

Es reicht aber nicht, einfach Microsoft-Produkte hier und da durch Open Source Software zu ersetzen. Ein Teil des gesparten Geldes sollte in die Weiterentwicklung gesteckt werden und die Änderungen grundsätzlich an die jeweilige Community zurückgegeben werden. Nur so profitieren alle und man koppelt sich nicht von der Weiterentwicklung ab. Dies sind für viele Behörden ungewöhnliche Wege, aber durch diese wurden viele Software-Projekte stark.

7. Schnelle Updates und schlanke Systeme

In der Vergangenheit waren viele Schädlinge oder Angriffe deswegen erfolgreich, weil veraltete Software eingesetzt wurde. Daher ist es Pflicht, dass Betriebssystem und Anwendungen schnell aktualisiert werden. Mit zentralen Paketverwaltungen wie bei den gängigen Linux-Systemen oder FreeBSD funktioniert das besser, auch wenn manche Linuxe bei weniger prominenter Software schlampern.

Damit Updates schnell eingespielt werden können, empfiehlt es sich im Server-Bereich, leichtgewichtige System-Level-Virtualisierung wie FreeBSD-Jails oder Linux-Container zu nutzen. Dann sind im einzelnen Server oft nur wenige Softwarekomponenten installiert, die sich ohne andere Dienste zu beeinträchtigen problemlos und schnell aktualisieren lassen.

Wir werden auch in Zukunft von diversen Hacks hören. Mit jedem steigt die Chance, dass IT-Sicherheit ein Stück weit an Bedeutung gewinnt. Vielleicht sollten wir uns also über jeden einzelnen Hack freuen? (mho)