IT-Gefahren … – man könnte auch sagen: Wie eine ursprünglich der allgemeinen Sicherheit dienende Idee in ihr Gegenteil verkehrt worden ist. Wie abhängig wir von der IT sind und wie überaus lästig deren Ausfall ist habe ich in den letzten Tagen erst wieder erleben müssen. Da wollte ich morgens meinen Rechner hochfahren. Das Ding hängte sich schon beim Hochfahren dermaßen auf, dass ich den Akku rausnehmen musste. OK, verwenden wir also ersatzweise so lange das Tablet: Denkste! Betriebssystemfehler und nichts ging mehr. Es war ein Hard Reset erforderlich und das Ding musste komplett neu aufgesetzt werden, was letztlich – das unvermeidliche Nachladen des Akkus mit eingeschlossen – den ganzen Tag beanspruchte. Überflüssig zu erwähnen, dass sich zwischenzeitlich auch noch der Router aufgehängt hatte. Scheißtag – es gibt ja solche Tage. Mit Computern geht eben alles viel einfacher. Damit löst man Probleme, die man ohne Computer gar nicht erst hätte.

Nun ging das aber nicht nur mir so. Meine Frau berichtete, dass bei ihr auf der Arbeit Rechner und Netzwerk nicht vernünftig liefen. Tags drauf war ich bei uns in der Poststelle und traf auf die nervlich ziemlich gestresste Inhaberin, weil deren Postbanking seit zwei Tagen komplett zusammengebrochen war und die sich markige Sprüche der ohne Geld den Laden verlassenden Kunden anhören musste – obwohl sie gar nichts für das Problem konnte. Einer der besagten Kunden erwähnte dann noch beiläufig, dass am Vortag im hiesigen Edeka-Markt morgens alle Kassen ausgefallen waren. Anders ausgedrückt: Hier lag eine offensichtlich eine IT-Störung vor, die quer durch alle Bereiche auch alle möglichen Geräte erfasst hatte, ganz unabhängig davon, ob die eingeschaltet waren oder nicht. Hm… – in der Nacht vor meinem IT-Problem war ein Sonnensturm durchgezogen, Kp-Index 5. Das hat aber ganz bestimmt alles nichts miteinander zu tun und ist alles nur reiner Zufall. Weil nicht sein kann was nicht sein darf. Aber es zeigt, wie abhängig wir von der IT sind. Und wie störungsanfällig die ist.

Wie fing das denn überhaupt mit der IT und mit den Netzwerken an? Im Jahr 1962 – dem Höhepunkt des Kalten Krieges – entstand durch Paul Baran von der RAND Corporation die Idee, dass das US-Militär sein Kommunikationssystem gegen ernsthafte Störungen im Rahmen eines Atomschlags schützen könnte, indem ein verteiltes System von miteinander kommunizierenden Computern aufgebaut wird. Es sollte allerdings noch bis zum Jahr 1969 dauern, bis der erste dazu geeignete Rechner in Betrieb gemommen wurde. Das geschah an der UCLA. Drei Jahre später – 1972 – umfasste das Netzwerk (inzwischen als ARPANET bekannt) bereits 40 Rechner und der Zugang dazu wurde seitens der DARPA streng reglementiert. Viele Universitäten – die meisten Universitäten! – wurden dabei ausgeschlossen, was zu Nachteilen hinsichtlich Forschung, Ansehen sowie der Rekrutierung von neuen Studenten führte. Diese Universitäten entwickelten daher ein eigenes Netzwerk – das CSNET – und benutzten zur Kommunikation nicht etwa eigens gelegte neue Leitungen, sondern stattdessen die bereits vorhandenen Telefonleitungen.

Das CSNET stütze sich also auf eine vorhandene Infrastruktur. Das ARPANET nicht, denn da bedurfte es noch eigener Leitungen. Das CSNET wuchs exponentiell und das ARPANET stagnierte. Das führte dazu, dass das ARPANET im Jahr 1990 aufgelöst und dessen zivilier Teil dem CSNET angegliedert wurde, während der militärische Teil des ARPANETs im MILNET aufging. Technisch betrachtet bedeutet das aber auch: Das zivil genutzte Netzwerk hatte sich hinsichtlich seiner Sicherheit und Abhängigkeit in das Gegenteil dessen verkehrt, was Paul Baran knapp drei Jahrzehnte zuvor vorgeschlagen hatte. Ab 1989 allerdings arbeiteten zwei Personen, nämlich Tim Berners-Lee und Robert Cailliau bereits an einer auf dem CSNET fußenden Neuentwicklung, nämlich dem künftigen World Wide Web (WWW) oder kurz: An dem, was wir heute als Internet bezeichnen. Das Internet weist dabei allerdings historisch bedingt das gleiche Probleme wie sein Vorgänger, das CSNET, auf: Es ist nämlich anfällig gegenüber Zugriffen oder Störeinflüssen von außen. Das ist der eine Punkt. Der andere Punkt ist die Software der vernetzten Rechner. Die ist anfällig für Schadcode. Auf genau diesem, unsicheren Internet basiert unsere heutige Gesellschaft.

Welche Gefahren birgt das Internet? Der unbedarfte Computer-User hat vielleicht schon von Hacking, Phishing, Idenitätsdiebstahl u. ä. gehört und nur eine höchst nebulöse Vorstellung davon, was sich dahinter verbirgt – denn sowas passiert immer anderen ganz woanders und weit weg. Sein IT-Sicherheitsdenken ist irgendwo im Bereich der Kanalisation anzusiedeln und sein Master-Passwort für alles und jedes ist „123456“, weil da garantiert keiner drauf kommt. Eine solche Person kann – und wird über kurz oder lang auch – persönlich zum Angriffsziel werden. Wie ein früherer Arbeitskollege von mir, dessen Rechner muckte und wobei ich 77 verschiedene Viren, Trojaner, Würmer etc. auf der Kiste fand. Doch darum soll es hier gar nicht gehen. Es soll darum gehen, dass eine solche Person unwissentlich zum Mittelsmann für einen sehr viel größeren Angriff gegen die Infrastruktur eines Landes werden kann – nämlich, indem ihr Rechner einen Schadcode so lange weiter verteilt, bis der breit gestreut irgendwann sein eigentliches Ziel erreicht hat.

Was ist das eigentliche Ziel? Das eigentliche Ziel ist in diesem Fall nicht mehr die private Einzelperson, sondern ein ganzes Land respektive dessen Infrastruktur: Strom-, Gas-, Wasserversorgung, Abwasserentsorgung, Logistik, Verkehrsregelung, Digitalisierung der Wirtschaft, Fahrzeugherstellung, digitalisiertes Gesundheitswesen und nicht zuletzt Industriespionage. Bleiben wir zunächst bei der Industriespionage. Wenn ein Land wirtschaftlich führend ist, weil es das betreffende Know How besitzt, dann kann es für ein anderes Land durchaus attraktiv sein, eben dieses Know How abzugreifen. Wie ließe sich das wohl gründlicher und umfassender als durch einen IT-Einbruch realisieren, zumal das Opfer davon vielleicht gar nichts bemerkt? Das Opfer hat lediglich zu einem späteren Zeitpunkt mit einer geradezu übermächtigen – weil preiswerteren – Konkurrenz zu kämpfen und wenn es nicht mehr mithalten kann, dann geht es unter. Auf diese Art und Weise lässt sich die Wirtschaft eines ganzen Landes sehr elegant durch IT-Angriffe ruinieren – umso leichter, je mehr in Zulieferer, die es als vielleicht nur mittelständisches Unternehmen mit der IT-Sicherheit nicht so genau nehmen oder denen die IT-Gefahren gar nicht mal geläufig sind, outgesourct wird. Der Einsatz eines Virenscanners bringt da u. U. wenig, denn selbst der könnte „umgedreht“ worden sein.

Aber lassen wir mal das vom Menschen erworbene Know How beiseite und betrachten wir all die Dinge, die heute in irgendeiner Form von Computern – welche wiederum selbst am Internet hängen – gesteuert werden, also das „Internet of Things“ oder kurz IoT. Auch ein IoT-Gerät (Staubsaugerroboter, intelligenter Fernseher, Überwachungskamera usw.) kann gehackt werden. Wozu? Im simpelsten Falle um Rechenleistung abzugreifen, also bspw. zum Bitcoin-Mining. Der Besitzer des Gerätes verflucht dann die unzuverlässige Technik, weil das Gerät irgendwie nicht mehr so richtig das macht, was es eigentlich soll oder weil es zu langsam geworden ist. Dabei erfüllt das Gerät schon seine Aufgabe. Sein Prozessor ist eben nur anderweitig – nämlich mit dem erwähnten Bitcoin-Mining – mehr als ausgelastet: Ein doch eher als harmlos einzustufender Fall!

Doch es sind noch ganz andere und sehr viel weniger harmlose Fälle vorstellbar, Stichworte Stuxnet und sein Nachfolger Duqu. Derartige Malware dient der Sabotage von Industrieanlagen u. d. h. ihr Ziel sind hochgezüchtete Steuerungs- und Regelungsanlagen. Mit Stuxnet wurden im Jahr 2010 die Ultrazentrifugen in iranischen Urananreicherungsanlagen irreparabel geschädigt, so dass das Atomprogramm des Irans zum Erliegen kam. Die Urheber sind bis heute nicht ausgemacht worden. Mal werden Israelis und Amerikaner und mal die Russen als Verursacher vermutet. Einig ist man sich nur dahingehend, als dass der Wurm nicht von Privatpersonen, sondern vermutlich von einer staatlichen Organisation stammt und dass dessen Entwicklungskosten irgendwo zwischen 1 und 50 Millionen Dollar gelegen haben müssen. D. h. Stuxnet und seine Nachfolger sind als militärische Cyberwaffen einzustufen. Sie verursachen somit in etwa die Kosten der Entwicklung von Atomwaffen – allerdings nur einmalig und nicht jährlich über Jahrzehnte hinweg, was sich durchaus mehr als nur rechnet.

Die Steuerungsanlagen, auf die Stuxnet abzielte, waren in iranische Zentrifugen zur Urananreicherung eingebaut. Für die Steuerungsanlage spielt es aber keine Rolle, wo sie eingebaut wird. Sie kann auch zur Verkehrslenkung, in der Klimatechnik, für Pipelines, im Rahmen der Ver- und Entsorgung usw. eingesetzt werden. Mit entsprechenden Angriffen lassen sich Strom-, Gas- und Wasserversorgungen lahmlegen oder großchemische Reaktionen zum Durchgehen bringen: Zuerst schalten im dicksten Feierabendverkehr alle Ampeln auf grün und Massenkarambolagen sind die Folgen. Parallel dazu fallen Flugleitsysteme aus und fliegen chemische Industrieanlagen in die Luft. Handy- und Telefonnetze fallen aus und wenn das Chaos am größten ist, dann muss auch noch auf Strom und Wasser verzichtet werden und obendrein stauen sich die Abwässer. Wildgewordene Klimaanlagen grillen die Angestellten in den Bürotürmen förmlich, so dass jede Arbeit zum Erliegen kommt. In die Steuerungssoftware diverser Autos sind unbewusst und fertigungsbedingt kritische Fehler eingebaut worden (z. B. Bremsen, die nach der x-ten Betätigung nicht mehr angesteuert werden) und bei der Lebensmittelproduktion zeigen die Anzeigen zwar die richtigen Temperaturen für Pasteurisierung und Entkeimung an, tatsächlich jedoch ist der Kessel im Innern kalt und das merkt so lange keiner, bis Mutter Natur das Zepter übernimmt und Salmonelleninfektionen o. ä. sich ganz von selbst breit machen.

Das alles ist nicht nur denkbar – nein, es ist auch machbar, und zwar schon heute! Vor allem dann, wenn die zu Hilfe gerufenen Spezialisten alles unwissentlich durch Datenmanipulation nur noch schlimmer machen. Bleiben wir einfach mal beim Gesundheitswesen und bei der Biologie. Wer heute in ein Krankenhaus geht, der muss eine geradezu widerwärtige Anmeldeprozedur über sich ergehen lassen, denn alles wird per Computer erfasst. Im Computer steht irgendwann auch, wie die Behandlung auszusehen hat. Einer soll vielleicht an einem Magengeschwür operiert werden. Ein anderer an einem Hirntumor. Datenmanipulation ist bspw. das Tauschen der Namen. Das Ergebnis wären zwei Leichen. Oder das MRT-Gerät wird angegriffen und liefert falsche Bilder. Der Patient wird aufgemacht, doch da ist nichts. Weil das Problem an anderer Stelle im Körper steckt. Derartige Fehlleistungen schüren den Unmut in der Bevölkerung und könnten bestimmten politischen Gruppierungen den Weg ebnen.

Man kann heute schon biologische Bausteine per Internet bestellen, die so genannten BioBricks. Das ist wirklich nicht neu; das gibt’s schon seit rund zehn Jahren. Was neu ist sind die Bioprinter. Sie sind aktuell kaum verbreitet, aber das wird sich garantiert ändern. Bioprinter mit BioBricks als „Tinte“ könnten Gewebe herstellen. Oder auch genetisch modifizierte Mikroorganismen. Was so eine Maschine erzeugt hängt von der Steuerungssoftware ab. Die befindet sich in einem Computer. Der hängt als IoT-Gerät am unsicheren Internet … – und bei IoT-Geräten, die in zunehmendem Umfang Verwendung finden, wird aus Kostengründen an der Datensicherheit gespart. Wenn sie denn überhaupt rudimentär vorhanden ist …

Was ich damit sagen will ist folgendes: Von künftig zu erwartenden IT-Gefahren wird nach wie vor zwar der Mensch – d. h. der Benutzer des Computers – betroffen sein, das Gros der Angriffe jedoch wird sich garantiert auf das IoT konzentrieren. Was ist noch ein Angriff durch irgendwen und was ist bereits ein Cyberwar? Der Handelskrieg war gestern; die Grenzen zum Krieg – nämlich auf informationstechnischer Ebene – verwischen sich zunehmend. Ein Land, welches mit den geeigneten IT-Waffen angegriffen wird, kann problemlos ins Mittelalter zurückgeworfen werden – per Fernsteuerung und billiger als mit jeder herkömmlichen, militärischen Offensive. Wobei der Angreifer durchaus im Dunkeln bleibt und möglicherweise bemerkt besagtes Land einen solchen Angriff nicht einmal, sondern hält alles nur für eine zufällige Häufung von technischen Störungen. Darin sehe ich die wirklichen, künftigen IT-Gefahren!

Und seien wir mal ganz ehrlich: Neoliberalismus, wie er heute vom westlichen Raubtierkapitalismus bschworen wird, bedeutet nichts anderes, als dass derjenige, der das Geld hat, auch die Regeln macht. Wenn ihm die selbstgemachten Rgeln nicht mehr in den Kram passen, dann widerlegt er sie kunstvoll oder bricht sie ganz schamlos: Der Große frisst den Kleinen! Nur ist der Große, der auf den Wahnsinn eines unbeschränkten Wachstums im begrenzten Systems setzt, auf Rohstoffe angewiesen. Die holt er sich notfalls da, wo er sie kriegen an und es ist ihm auch egal, wie er sich die holen kann. Damit aber rücken der o. e. IT-Angriff und auch das Zurückschlagen auf bloßen Verdacht hin in greifbare Nähe!