Friedrich: Den CCC-Trojaner kenn‘ ich nicht
Es war eher eine Grundsatzrede, die Bundesinnenminister Hans-Peter Friedrich heute bei der Handelsblatt-Konferenz Sicherheitspolitik&Verteidigungsindustrie in Berlin gehalten hat; eine Grundsatzrede über die vernetzte Informationsgesellschaft und ihre Gefahren. Die Kollegen von Zeit Online haben ziemlich genau zeitgleich mit dem Beginn der Rede des Ministers ihr ausführliches Interview zu gerade diesem Themenkreis online gestellt – das zu lesen empfiehlt sich, und die Rede geht eher nicht drüber hinaus.
Dennoch, für die Interessierten, die komplette Rede Friedrichs zum Nachhören (aus technischen Gründen in zwei Teilen) und aus der anschließenden Frage-und-Antwort-Runde noch die nette Aussage des CSU-Politikers: Den Staatstrojaner, den der Chaos Computer Club öffentlich machte, kenne er nicht. Bundesbehörden hätten ihn jedenfalls nicht eingesetzt.
1. Der Mann hat keine Ahnung vom Internet. „Unsere gesamte Daseinsvorsorge ist überdies mittlerweile vom Internet abhängig: Stromnetze, Wasserversorgung, Kommunikation, Finanzwesen, bis hin zur Logistik, um unsere Supermärkte zu füllen.“
So ein Quatsch. Jede halbwegs kompetente IT Abteilung hat dafür eigene Netze die eben nicht vom eigentlichen Internet abhängig sind.
2. Er lügt: „Die EU-Richtlinie schreibt uns mindestens sechs [Voratsdatenspeicherung] Monate vor.“ Eine Richtlinie ist keine Vorschrift.
3. Er spinnt: „Wir brauchen ein internationales Abkommen darüber, wie sich Staaten im Netz verhalten und schützen sollten. Wir brauchen einen Kodex, der den Einsatz von Schadsoftware gegen andere Staaten verbietet. “
Ach ja – und der BND stellt seine Aktivitäten ein weil wir entsprechende Abkommen treffen? Der CIA? Der Mossad?
Der Rest ist auf noch niedrigerem Niveau. (Die Fragen der Zeit Journalisten auch.)
[Rant in Selbstzensur gelöscht]
Guten Morgen,
@b
In Ihren Ausfuehrungen is auch nicht alles korrekt.
Zu 2.
Siehe hierzu: http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2006:105:0054:0063:EN:PDF (Richtline 2006/24/EC). Das Wort Richtlinie ist hier fuer die Allgemeinheit etwas verwirrend, da es nicht einen „Vorschlag“ meint. EU Richtlinien wie auch EU Verordnungen sind fuer Mitgliedstaaten verbindindlich. Letztere sind in Deutschland allg. mit Gesetzen vergleichbar. Eine Richtline schreibt den Mitgliedstaaten hingegen vor, was sie zu tun haben (die Ziele), laesst ihnen jedoch freie Wahl in den Mitteln zur Umsetzung.
Zu 3.
Sie haben sicherlich Recht, dass es genuegend Institutionen gibt, die sich nicht an int. Abkommen halten wuerden. Jedoch ist die Frage, ob es prinzipiell keine Regel geben sollte, weil es immer Personen gibt die dagegen verstossen. (Analog: Verkehrsregel, Genferrecht, Int. Umweltrecht, …) … Fakt ist das das Internet verglichen mit anderen Bereichen weniger reguliert ist und es oft schwer ist bestehende Regeln auf es anzuwenden.
Allerdings stimme ich Ihnen zu, was den Inhalt seiner Forderung (Verbot von Einsatz von Schadesoftware) angeht. Ein allgemeines Verbot ist wahrscheinlich zu weit und traegt auch nicht den Ueberlegungen zum Cyberwarfare genuegend Rechnung. (Lange Debate, die ich hier nicht weiter ausfuehren moechte).
Hier sind sind Ihre Aussagen sehr polemisch.
Ich moechte Ihen aber auch fuer Ihre sehr Interessanten Beitraege in anderen Threads danken. :)
Beste Guesse
KP
@b:
zu 1.:
Ihnen ist schon bewusst, dass das Internet in der Tat einen Knotenpunkt in den genannten Bereichen darstellt?
„Eigene Netze“? Welche? Wo sind diese? Sicherlich werden zur Absicherung der verbindungen Verschlüsselungen eingesetzt (Stichwort VPN zur Standortanbindung). Aber dennoch wird dies alles über das Internet gemacht. In Folge dessen ist man auch vom Internet abhängig. Der Angriff auf die Nuklear-Anlagen im Iran („Stuxnet“) war ein solcher Angriff über das Internet auf definierte PLC Systeme. Solche PLC Systeme steuern heute einen Grossteil unserer „Modernen Welt“ – Und wie es nun erwiesen ist: Diese sind Angreifbar!
Dazu auch gerne mal ein TED Talk mit meinem Kollegen Mikko Hypponen:
http://www.ted.com/talks/lang/eng/mikko_hypponen_fighting_viruses_defending_the_net.html
(Ab ca. 13:45min über Stuxnet)
zu 3. CIA? Das fällt mehr in das Ressort der NSA – Echelon lässt grüssen ;-)
wurde Stuxnet nicht über kontaminierte USB sticks eingeschleppt ?
Das ist eben nicht sicher. Aber selbst wenn, die Verbreitung von Stuxnet fand über das Internet statt. Nur ist diese Malware auf allen System schlicht inaktiv, welche die Vorgaben nicht erfüllen und war deshalb auch lange aktiv.
Es war schlicht an grossangelegter, staatlich organisierter Angriff auf IT-Systeme eines souveränen Staates. Und dieser wurde meisterlich vorbereitet und ausgeführt und war sicher alles andere als billig!