Nach Angriff auf Telekom: Mit dem Strafrecht Router ins Terrorcamp schicken oder so
Der weitreichende Ausfall von Telekom-Routern hat die breite Öffentlichkeit für das Thema IT-Sicherheit sensibilisiert – gut so! Das Thema war Aufmacher in den Tagesthemen, und auch internationale Nachrichtenseiten haben den Vorfall aufgegriffen. Weniger gut: Politiker aller Parteien überbieten sich mit sinnlosen Vorschlägen, bis hin zu einer "Anwort aus dem Strafrecht" , was denn jetzt zu tun sei. Dabei wird übersehen, wer wirklich die Verantwortung trägt.
Zunächst äußerte sich am Dienstagmorgen die Telekom selbst. Wir hätten alle noch Glück gehabt, weil die Angreifer zu doof gewesen seien, eine vernünftige, funktionierende Malware zu schreiben – so der Tenor des Statements. Wörtlich sagte Unternehmenssprecher Georg von Wagner : Die Schadsoftware "hat nicht funktioniert und hat nicht das getan, was sie hätte tun sollen. Ansonsten wären die Folgen des Angriffs noch viel schlimmer gewesen."
Außerdem verbreitet die Telekom noch die Binsenweisheit, dass es eine hundertprozentige Sicherheit nicht geben werde. "Es wird wieder vorkommen. Ausschließen, dass es so etwas nicht wieder geben wird, kann man nicht" . Wahr ist vor allem: Hätte die Telekom ihre Fernwartungsports nicht ungefiltert mit dem Internet kommunizieren lassen , wäre gar nichts passiert. Galante Ablenkung. Immerhin: Das Unternehmen reagierte schnell.
Die Politik mischt sich ein
Wenig später äußerten sich Politiker zu dem Vorfall. Die CDU-Fraktion im Deutschen Bundestag empfiehlt den Nutzern, sich "Qualitätsrouter mit besserer Sicherheitstechnik" anzuschaffen. Nach der Abschaffung des Routerzwangs sei dies kein Problem mehr. Hier den Nutzern die Verantwortung zuzuschieben, ist schlicht falsch – denn wie soll ein einfacher Internetnutzer feststellen können, welcher Router über gute "Sicherheitstechnik" verfügt?
Immerhin schreibt Thomas Jarzombek, internetpolitischer Sprecher der CDU-Fraktion, aber auch: "Die Telekommunikationsunternehmen müssen ihrer Verantwortung gerecht werden. Wir brauchen klare Haftungsregeln für Anbieter. Dies betrifft Schäden, die den Angegriffenen entstehen, aber auch eine Rücknahmeverpflichtung der Hersteller, wenn keine Sicherheitsupdates zur Verfügung gestellt werden." Leider hat eine hessische Parteikollegin von Jarzombek ebenfalls was zur Lage zu sagen.
Absurde Wortmeldung aus Hessen
Sie hat wenig Sachkenntnis, will aber deutlich weitergehen: die CDU-Justizministerin aus Hessen, Eva Kühne-Hörmann. Kühne-Hörmann fordert in einer Pressemitteilung(öffnet im neuen Fenster) eine "strafrechtliche Antwort" auf den Angriff. "Die Täter müssen wissen, dass solche Handlungen und insbesondere die damit zusammenhängenden Vorbereitungshandlungen strafbar sind. Die Vorschläge liegen der Bundesregierung und dem Deutschen Bundestag seit dem Spätsommer auf dem Tisch. Hessen hat schon lange vor solchen gezielten Botnetz-Angriffen auf kritische Infrastrukturen gewarnt."
Das klingt fast ein bisschen so, als wenn die Politik den vermuteten Wunsch eines mutmaßlichen Terrorverdächtigen bestrafen will, möglicherweise in ein Terrorcamp nach Syrien zu gehen. Die Landesministerin verweist jedenfalls auf die Bundesratsinitiative des Landes Hessen (BR-Drs. 338/16) zum sogenannten "Digitalen Hausfriedensbruch" , der für das "unbefugte Benutzen informationstechnischer Systeme" Gefängnisstrafen von zehn Jahren vorsieht. Die Bundesregierung sieht hier, zu Recht, keinen akuten Handlungsbedarf .
Nimmt man Frau Kühne-Hörmann ernst in dem, was sie schreibt, könnten schon harmlose Scans von Sicherheitsforschern, etwa nach verwundbaren Ampelsystemen , Wasserwerken oder USVs, die Kryptowährung minen , strafbar werden – es könnte sich ja um die Vorbereitung eines Botnets handeln. So schützt man die IT-Sicherheit nicht.
Die Diskussion ist leider überholt – und wird wohl doch immer wieder kommen
Dass die IT-Sicherheit nicht besser wird, wenn die Politik den kreativen Umgang damit immer weiter beschränkt, sollte eigentlich seit der Diskussion um den Hackerparagrafen (202c StGB) und den Computer Fraud and Abuse Act (CFAA) in den USA klar sein. Denn auch, wer die Benutzung das Kommandozeilenwerkzeugs Wget zum Herunterladen von Daten zur ungesetzlichen Handlung erklärt, kann Leaks nicht verhindern, wie der Fall von Chelsea Manning zeigt(öffnet im neuen Fenster) . Selbst wenn es in Deutschland strafbar wäre, Shodan und andere Werkzeuge einzusetzen, wird das das Mirai-Botnetz nicht stoppen.
Das Papier der Ministerin strotzt nur so vor merkwürdigen Ansichten. So schreibt Kühne-Hörmann, dass die "geballte Rechenleistung [eines Botnetzes, Redaktion] dazu genutzt werde, Hochsicherheitssysteme gezielt anzugreifen" . Wo genau das allerdings passiert – darauf bleibt das Ministerium die Antwort schuldig. Und so richtig sicher, ob ihre eigenen kruden Vorschläge überhaupt hilfreich sind, ist die Ministerin offenbar auch nicht. Denn die Täter säßen "oft genug" im Ausland oder operierten "im Schutze von Verschlüsselung und Anonymität" – und gar nicht in Reichweite des deutschen Strafrechts, das die IT-Sicherheit jetzt mit drakonischer Härte erzwingen soll.
Bereits bei der Vorstellung der Anti-Botnetz-Initiative hatte die Ministerin außerdem gesagt: "Zurzeit geht man davon aus, dass bis zu 40 Prozent aller internetfähigen informationstechnischen Systeme in Deutschland mit Schadsoftware verseucht sind und damit pozentielle Bots darstellen." Auch die Echtheit dieser Zahlen ist bislang nicht mit Fakten belegt.
Was also tun?
Was also sollte geschehen? Tatsächlich müssen Hersteller von mit dem Internet verbundenen Systemen endlich verstehen, dass ihre Software Konsequenzen in der physischen Welt haben kann – ob es sich um den DNS-Server von Dyn handelt , um den von Google oder um die Router der Telekom oder anderer Provider. Die aktuellen Vorgänge jedenfalls zeigen, dass das Internet deutlich weniger stabil ist als über viele Jahre hinweg angenommen.
Sinnvoll wäre, den mehrere Jahre alten Vorschlag von Dan Geer aufzugreifen . Hersteller, die ihre Software nicht mehr pflegen, müssen den Quellcode der Community offenlegen und eine Bearbeitung durch Sicherheitsforscher, Programmierer und Hacker ermöglichen. Andernfalls werden sie für die Folgen von Sicherheitslücken verantwortlich gemacht. Hier könnte tatsächlich geregelt werden, dass Geräte, die auf dem deutschen Markt angeboten werden, eine gewisse Zeit offiziell unterstützt werden.
Um künftige Hackerangriffe zu erschweren, fordert Jörg Schwenk vom Horst-Görtz-Institut für IT-Sicherheit der Ruhr-Universität Bochum eine Herstellerhaftung und intensive Testverfahren für neu auf den Markt kommende Router, die auch unbekannte Schwachstellen miteinbeziehen. "Das ist aber ein Kostenfaktor, den Hersteller bei der Produktentwicklung scheuen" , sagte der Professor der Westdeutschen Allgemeinen Zeitung (WAZ). Auch dieser Vorschlag ist zwar gut gemeint, aber wenig ausgereift – Zertifizierungsmaßnahmen jedenfalls sind der falsche Weg .
Auch Provider müssen sich überlegen, wie sie mit der neuen Bedrohungslage umgehen wollen. Heiß diskutiert wird in diesem Zusammenhang ein Vorschlag der Bundesnetzagentur, Bots notfalls vom Internet zu trennen. Ein Mittel, das kurzfristig helfen könnte, viele unbedarfte Nutzer aber vor den Kopf stoßen würde und möglicherweise ohne Erklärung und ohne Internetzugang zurücklässt.
Die Telekom hätte es besser wissen können
Auch die Telekom hätte wohl um die Probleme mit ihren Routern wissen können. Ähnliche Fehler tauchten unter dem Namen Misfortune Cookie schon vor rund zwei Jahren auf. Den Fernwartungskanal dauerhaft offenzuhalten, ist also ein unnötiges und obendrein vermeidbares Risiko. Denkbar wäre, über den Port nur einmal am Tag nach Updates zu schauen.
Auch bei der Auswahl der Routerhersteller sollten die Provider deutlich mehr Tests durchführen, bevor sie die Geräte an einfache Kunden ausliefern. Wer sich ein eigenes Gerät zulegt, dürfte oft ohnehin versiert genug sein. Bei den aktuellen Angriffen wurden im Fall der Telekom ausschließlich Geräte des Herstellers Arcadyan angegriffen, wie Golem.de aus informierten Kreisen bestätigt wurde. Eine Suche bei Golem.de ergibt bereits sechs Meldungen zu dem Hersteller aus den vergangenen fünf Jahren – Warnungen gab es also genug. Bei Kabelmodems ist die Situation, des in der Vergangenheit geltenden Routerzwangs wegen, noch deutlich schlechter.
Außerdem sollte die Telekom zu echten Entschädigungsleistungen verpflichtet werden, denn das Problem ist weder komplett überraschend noch gottgegeben. Ein kostenfreier Tag unbegrenztes Surfen mit einer im europäischen Vergleich ohnehin maßlos überteuerten Mobilfunkflatrate wird dem Problem, gerade für Leute, die beruflich auf den Internetzugang angewiesen sind, eher nicht gerecht.
Die Vorgänge rund um die DDoS-Angriffe der vergangenen Wochen sorgen zu Recht für Unsicherheit bei allen Beteiligten. Das Internet, das über Jahre hinweg vor allem als Innovationsmotor und utopisches Medium gefeiert wurde, richtet sich gerade gegen die, die es am meisten benutzen. Doch Aktionismus im Angesicht der akuten Krise ist eigentlich nie die richtige Antwort.
IMHO ist der Kommentar von Golem.de. IMHO = In My Humble Opinion (Meiner bescheidenen Meinung nach)