© tiero, 123RF.com

Im 20. Jahr des Linux-Magazins reicht es nicht mehr, auf Linux, Open Source und Firewalls zu vertrauen. Unter dem Eindruck von Cloud Computing, BYOD, des NSA-Skandals und von Big Data müssen Admins zähneknirschend alte Grundsätze und einst sicher geglaubte Annahmen über Bord werfen.

Zeitreise: Wir schreiben das Jahr 1994. Der PC hat zahlreiche, aber noch längst nicht alle Wohnungen erobert. In Büros hockt Microsoft DOS 6.2, Windows 3.1 und MS Word 5 und 6 sind verbreitet.

1994: Windows 9.x

Frühe Poweruser warten auf Windows 9.x (das x galt als Insiderwitz über die jahrelangen Verspätungen von Windows 95), manche spielten sogar schon mit IBMs OS/2 (Fans priesen es als “sensationelles, wahnsinnig schnelles” echtes 32-Bit-Betriebssystem) oder jonglierten Disketten, um das seltsam neuartige “Linux” zu installieren.

Das unixoide System galt als viel sicherer und stabiler als die wackelige Microsoft-Software dieser Zeit. Viren, so hieß es, gebe es für Linux nicht und würde es auch niemals geben, weil die Architektur eben besser, sauberer konzipiert sei. Die Neuentwicklung fuße schließlich auf den uralten und ausgereiften Erkenntnissen der Unix-Großrechnerwelt. Würde, so die These vieler Evangelisten der 90er, alle Welt Linux einsetzen, dann wäre die IT deutlich sicherer.

Trotz Linux unsicher

20 Jahre später ist Linux-Commodity ein Bestandteil des digitalen Alltags, den niemand mehr bewusst wahrnimmt. Es läuft – von Desktops ausgenommen – allerorten in digital vernetzten Haushalten und Büros, erst wenn etwas nicht funktioniert, bemerken Anwender oder Techniker, dass hier ein Linux seinen Dienst verrichtet.

Doch entgegen allen Hoffnungen und Annahmen aus den 90ern wurde die Lage der IT-Sicherheit deshalb keinen Deut besser, viele Experten sind der Meinung, schlechter ginge es kaum. Linux und Open Source trifft dabei jedoch wenig Schuld, und die Konzepte der freien Softwarewelt spielen in der Hoffnung auf Linderung oder gar Besserung auch heute noch eine wichtigen Rolle.

IT-Security war in den 90ern ein klar umrissenes Thema, auch der Autor dieser Zeilen verfasste damals Schulungsunterlagen über Server, Sicherheit und Firewalls. Er definierte rote, grüne und gelbe Zonen für das externe und interne Netz sowie die demilitarisierte Zone DMZ. Im Jahr 2014 ist von digitaler Abrüstung oder Demilitarisierung jedoch keine Spur mehr.

Neue Bedrohungen

Experten sprechen vom Ende der Perimeter-Firewall [1] oder dem Unsinn der Kryptographie [2]. In den vielen kleinen Geräten des Internets der Dinge werkelt nicht selten hoffnungslos veraltete Linux-Software, bisweilen gar noch Kernel der Version 1 oder gar veraltete Netzwerkstacks mit von der Community eigentlich längst geflickten Sicherheitslücken.

Und dann gibt es auch noch die Probleme, die “Bring Your Own Device” [3] verursacht, nicht zu vergessen die Unsicherheit, die die Anti-Terror-Gesetze und die ungezähmte Datensammelwut der Geheimdienste und Internetkonzerne mit sich bringen und die gewachsene Freizügigkeit der Anwender in sozialen Netzwerken.

Die Klassifikation der Angreifer und Gefahren nach dem Know-how und der (finanziellen) Potenz gilt heute wie damals. Skript-Kiddies dürften im 21. Jahrhundert aber wahrscheinlicher Exploits für Android-Apps suchen, als dass sie Windows-Spyware programmieren – weil die Ausbeute bei ersteren größer ist. “Doch nicht mein Smartphone, da ist mein ganzes Leben drauf!” Das ist heute der Satz, den “wir bei unseren Kunden regelmäßig hören”, erklärt der Datenforensiker Hans-Peter Merkel [4] dem Linux-Magazin: “Wir sehen eine massive Veränderung des Verhaltens, wobei vielen Benutzern gar nicht bewusst ist, dass sie inzwischen mehr Zeit mit einem Linux-Derivat verbringen als mit ihrem Windows-Betriebssystem auf dem Notebook oder Desktop. Für uns ist das eine komplett neue Herausforderung, leichter macht es das aber nicht.”

Dass Google Android schon technisch verbockt hat [5] und auch der einzig verbliebene Konkurrent Apple sich einerseits ja ebenfalls der US-Anti-Terror-Gesetzgebung beugen muss und sich andererseits weitgehende Zensurrechte vorbehält, kann Sicherheitsexperten dann auch nicht mehr schockieren. Schlimmer noch: Die schiere Anzahl der hochqualifizierten und mit großen Finanzmitteln ausgestatteten Angreifer steige in den letzten Jahren exponentiell an, unken Security-Experten.

Ein gesellschaftliches Problem

“1994 war das Hacken noch die Kür jedes begeisterten Computerfans. Heute ist es in Perversion ausgeartet und ein gigantisches Spiel um Geld, Macht und Kontrolle der gesamten Bevölkerung geworden. Wenn wir das nicht bald in den Griff bekommen, wird sich die Gesellschaft, wie wir sie heute kennen, komplett verwandeln und nur noch von wenigen Personen kontrolliert und letztendlich bestimmt werden.” So harsch urteilt der in der Schweiz lebende Sicherheitsexperte Gunnar Porada [6], der Banken einst kapitale Fehler in den Algorithmen der EC-PINs nachwies.

Facebook, Google, Apple, Amazon, die Geheimdienste – die Liste derer, die ohne Probleme in vertrauliche Bereiche vordringen, wird immer länger. Das gelingt nur, weil Verbraucher denen, die Experten früher als “Angreifer” klassifizierten, freiwillig neue Zugänge einräumen. Die unsicheren Endgeräte im Firmen-LAN, das Internet of Things zu Hause, Wearable Computing, Managed-Living-Armbänder für unterwegs, immer bessere Drohnen und Embedded Devices, Dashcams und eine überbordende Zahl miniaturisierter Sensoren erheben ständig Daten über jeden und seine Vorlieben.

Das Ende der Innenseite

Wie Kristian Köhntopp in seiner Keynote (auf der DELUG-DVD, Abbildung 1) ausführlich belegt, stellt das Ganze auch ein enormes Sicherheitsproblem dar, das die Fähigkeiten normaler User und kleiner Unternehmen weit übersteigt.

Abbildung 1: Dass die US-Geheimdienste auch in die Google-Cloud eingreifen, ist für Kristian Köhntopp ein Indiz dafür, dass es ihnen auch um die Manipulation der Daten geht.

Die neuen Geräte im Haushalt etwa laden eventuell täglich Firmware-Updates herunter, öffnen Ports via UPnP, rufen Prozesslisten vom Mac ab und stellen sie auf Webservern im LAN bereit. Dazu kommen die Backdoors und das gesamte Repertoire der Geheimdienste, das schlimmstenfalls auch anderen Bösewichten offen steht [7]. Für Köhntopp gibt es das lokale, sichere, “grüne” LAN der 90er nicht mehr, er postuliert das “Ende der Innenseite” und fordert ein grundsätzliches Umdenken.

Einigkeit herrscht bezüglich der Entwicklungsmethode: An Open Source, offenen Standards und offenen Protokollen führt schon lange kein Weg mehr vorbei. Nachweisbarkeit ist das Stichwort, kontrollierbar muss es sein. Dazu, glaubt Köhntopp, sei die “erzwungene Administration der Endgeräte” unvermeidbar – und zwar mit einer kompletten Toolchain, die dann fortlaufend Geräte(-zustände), Whitelists und funktionierende Kryptographie überwacht und erzwingt.

Das alles müsse in Monitoring, Konfigurationsmanagement, Versionskontrolle, Wiki-Dokumentation und Logfile-Auswertung eingebunden und automatisiert sein, sonst ergebe das Ganze keinen Sinn. “Ein Admin, der sich per SSH auf einem System anmeldet, um etwas nachzusehen, zeigt nur eine Lücke im Monitoring. Ein Admin, der sich auf einem System anmeldet, um etwas zu ändern, ist ein Fehler in Puppet”, predigt das Internet-Urgestein. Er fährt fort: “Die harte Schale war gestern, heute muss das Wissen über den Client dessen Zugriffsmöglichkeiten bestimmen.”

IPs als Kriterium seien nutzlos, viel wichtiger sei der Zustand des Clients in dem Moment, wenn er den Zugriff auf Daten möchte, erklärt Köhntopp. Sein Ansatz klingt modern, die Tools dafür gibt es bereits, auch in freier Software – ausgenommen vermutlich das Smartphone-Management. Aber genau da kommt das größte Problem ans Licht: Administrierte Endgeräte widersprechen eben genau dem, was Anwender von BYOD akzeptieren – umso schlimmer, je höher in der Firmenhierarchie sie angesiedelt sind.

US-Firmen ausweisen?

Aber auch in der Infrastruktur des Internets selbst haben sich große Veränderungen ergeben, die die Angriffsziele veränderten. Den Hackern, seien sie im Dienste von Staaten, Geheimdiensten, als Wirtschaftsspione oder einfach für den eigenen Profit unterwegs, böten sich jetzt auch ganz andere Ziele, erklärt Gerhard Schmid (Abbildung 2).

Abbildung 2: “Tätigkeitsverbot für US-Firmen”, “Abschaffung der Verfassung”: Gerhard Schmid, der Ex-Vizepräsident des Europäischen Parlaments, nimmt kein Blatt vor den Mund.

Der Geheimdienstexperte war Vizepräsident des Europäischen Parlaments und verantwortlich für den Echelon-Bericht, der 2001 – nur eine Woche vor 9/11 – weitreichende Abhörmaßnahmen unter anderem der US-Geheimdienste vorstellte. Aber das Ausmaß, das die von Edward Snowden aufgedeckte NSA-Affäre widerspiegelt und die technischen Möglichkeiten der Geheimdiensten heute, übersteigen Echelon bei Weitem.

“Dynamisches Routing, die Cloud, zentrale Server, die Speichergrößen, Big Data und die wichtigere Rolle der Provider, all das hat das Web und auch die Ansätze der Geheimdienste verändert”, erklärt der SPD-Politiker. Er legt den Finger in die Wunde: Gefährlich für demokratische Werte sei die politische Entwicklung: “Die Anti-Terror-Gesetzgebung nach dem 11. September bedeutete im Grunde nichts anderes als die Abschaffung der US-Verfassung.”

Dass amerikanische Geheimdienste weitreichenden Zugriff auf in den USA gespeicherte Daten bekommen, ist eine Folge des dortigen Rechts. Dass dieses Recht aber auch in Europa gelten soll, wenn sich die Daten auf hier stationierten Servern amerikanischer Firmen befinden, will Schmid nicht akzeptieren. “Die logische Konsequenz aus dem jüngsten Microsoft-Urteil [8] wäre ein Verbot für amerikanische Firmen, in Europa Daten zu speichern, weil sie sich ja nicht mehr an unser Datenschutzrecht halten dürfen, wenn sie US-Recht befolgen. Aber vielleicht löst der Markt das Problem des Extraterritorialitätsanspruchs des US-Rechts auch selbst, denn das Vertrauen in amerikanische IT-Firmen ist hier, aber auch in den USA zutiefst erschüttert”, erklärt er dem Linux-Magazin.