IT-Sicherheit

Und wenn ich dann sehe, wie man immer öfter Leute ohne Ahnung, dafür aber "Codes of Conduct"^[wp] in die Branche drückt, und dann solche IT-Sicherheits­groß­zusammen­brüche wie gerade vor ein paar Tagen log4shell in log4j entstehen, was eigentlich nicht mal ein Bug, sondern durch pure Dummheit vorsätzlich gebauter und nie bemerkter Supermist war, und zum IT-Sicherheits­großschadens­ereignis wurde, dann verstärkt und verhärtet das meine Ansicht, die sich seit einigen Jahren habe, dass sich das mit der IT-Sicherheit erledigt hat, weil immer mehr Dumme, Inkompetente, Laien, "Entscheider", Förder- und Quoten­tussi mitrühren, und das alles nur noch ein großer unkontrollierbarer Haufen Mist und Sondermüll ist.

Ich habe keine Lust, für den Microsoft-Scheiß, bei dem man dann sowieso ziemlich blind ist und nur sehr wenig machen kann, verantwortlich zu sein. Wenn ich schon so einen Mist lese, wie dass es einerseits um das Bundes­kanzler­amt geht, dann aber da drin steht

Mein "routinierter Umgang mit den gängigen MS Office-Anwendungen" ist, sie in hoch sicherheits­kritischen Umgebungen erst gar nicht zuzulassen. Der ganze Microsoft-Schrott hat da überhaupt nichts verloren. Und dann wundern die sich, wenn die Amis der Kanzlerin das Handy abhören.

Da weiß man dann von vornherein, dass die Entscheidungen auch alle woanders getroffen werden, die politisch oder in den oberen Etagen gemacht werden, und man dann der kleine Depp ist, der den eingekauften Mist irgendwie "sicher" machen soll oder dran schuld ist, wenn's schief geht.

Ich habe auch keine Lust, mich mit den Charakter­krüppeln des Polit­betriebs aus­einander­zusetzen. Als Blogger vielleicht schon, draufhauen. Aber nicht als deren Untergebener.

Oder ständig auf dem Schleudersitz zu sitzen, weil man irgendwo was sagt, was irgendeiner Ministerin nicht passt, und man dann abgesägt wird. Das Spiel habe ich schon mal mit Ursula von der Leyen (CDU) mitgemacht, wird aber bei SPD und Grünen garantiert nicht besser sein, eher noch schlimmer mit deren Political Correctness-Wahn.

[N-TV greift das Thema auf und titelt]: "Digitale Souveränität in Gefahr? IT-Profis warnen vor Microsoft"

Äh... ja. Genau das tun ich und ganz viele andere IT-Profis seit 25 Jahren.

Aber es hört niemand auf uns. Es ist in der Politik nicht üblich und im Journalismus sehr selten, auf Leute zu hören, die Ahnung vom Fach haben. Beide, Politik und Journalismus, sind so einem Inkompetenz-Fetisch verfallen. Lieber setzt man Gaukler, Lobbyisten und Clowns in Berater­kommissionen als Leute mit Ahnung.

Und jetzt merkt dann doch mal der eine oder andere, dass das irgendwas faul ist.

So'n Quatsch.

Europa hatte nie eine Kontrolle über seine IT-Infrastruktur.

Der letzte Europäer, der seine IT voll unter Kontrolle hatte, war Konrad Zuse^[wp] mit seiner Z3. Und die würde ich nicht als "Infrastruktur" einstufen.

Ja, aber genau das hat man ja unbedingt gewollt und alle Kritiker abgesägt.

Ich habe gerade mal nachgeschaut. Unmittelbar, bevor sie mich damals an der Uni durch den BND abgesägt haben, habe ich ein Gutachten für den Bundestag zur Sicherheit in der IT und im Medizinwesen geschrieben. In meiner Version vom 28.1.1998, in der ich das Ding zur ersten Vorlage fertiggestellt hatte, kommt Microsoft 16 Mal vor, mit deutlichen Warnungen vor der Monopol­stellung von Microsoft und dem amerikanischen Einfluss auf unsere IT, im Anhang Literatur­verweise auf kritische Artikel über das Gebaren von Microsoft.

Dann musste das überarbeitet werden, weil Professor Beth das ja als seines ausgeben und wenigstens mal reingucken und was rum­meckern wollte, und wir deshalb den Abgabetermin verpasst haben. Dann kam der Bundestag an und meinte, leider, leider hätten wir jetzt die Frist verpasst und müssten die im Auftrag angegebene Vertragsstrafe zahlen bzw. Honorar­kürzungen hinnehmen, die nach wenigen Tagen schon so hoch ist, das vom Honorar (von dem ich sowieso nichts gesehen habe, das hat Beth eingesackt) nicht viel übrig bliebe, aber es gäbe da einen Ausweg. Wenn wir nämlich das Gutachten nach den Wünschen des Bundestags änderten, dann träte diese Kürzung nicht ein, weil es dann ja als Änderung im Interesse des Bundestags gälte und nicht mehr unsere Schuld sei. Motto: Du kriegst Geld, wenn Du schreibst, was wir haben wollen.

Und zu den "Änderungs­wünschen" gehörten einige Streichungen, unter anderem die Microsoft-Kritik. Die musste fast ganz raus. In der Abgabe­version vom 20.2.1998 kommt Microsoft nur noch dreimal und nicht als Kritik vor (Microsoft bietet einen Sicherheits­patch gegen Angreifer, Microsoft und Siemens erweitern die Zusammenarbeit, das Gutachten hätte als Microsoft Word 97 abgegeben werden sollen - ich bin aber bei TeX geblieben.)

Damit der Leser auch mal eine Vorstellung hat, wie die Gutachten für den Bundestag, die die dann als Beleg hernehmen, zustandekommen.

Kritik an Microsoft und den USA war nicht erlaubt. Sechs Wochen vorher gab es einen Vorfall, bei dem jemand heimlich versucht hatte, einen Backup meines Arbeits­platz­rechners zu ziehen (es hieß nachher, es sei um das Gutachten gegangen), und drei Monate später war meine Promotion totgeschlagen worden. In der Dissertation hatte ich beschrieben, wie man sich gegen amerikanische Krypto­kontrolle wehren kann.

Merkt Ihr was?

Wer's Maul aufmacht, dessen Karriere ist vorbei. (Nur ist es halt ein Unterschied, ob man mit 30 totgeschlagen wird oder mit 50 weich in den Ruhestand versetzt wird, es gibt wahrlich schlimmeres als mit 50 in den Ruhestand zu gehen und ausgesorgt zu haben.) Das Thema war beidesmal das gleiche.

Haben wir am E.I.S.S. schon vor 20 Jahren gesagt. Und wurden dafür erledigt.

Die Sache ist noch wüster.

Als ich da in dem Promotionsstreit war, habe ich ja versucht, mich da im außer­universitären Bereich zu etablieren und RMX gebracht (siehe Anhang in Adele und die Fledermaus^[ext]). Da haben sie mich dann auch umgelegt, das Ding nämlich einfach übernommen und Microsoft hat mein Verfahren für sich patentiert (und dabei die Dreistigkeit besessen, mich im Patentantrag noch als Quelle anzugeben).

Deshalb war ich aber im Zeitraum von 2002 bis 2004 auf diversen Konferenzen in den USA, hauptsächlich IETF, und dort natürlich in den Fachbereichen für IT-Sicherheit. Und da ist etwas erstaunliches passiert. Dort nämlich waren Firmen wie Google, Microsoft und so weiter, und versuchten (neben den offiziellen Rekrutierungs­ständen) so unauffällig im persönlichen Gespräch mit ausgesuchten Sicherheits­fachleuten da welche für Spezial­aufgaben zu rekrutieren. Sie würden nämlich von US-Geheim­diensten unterwandert, die ihnen in ihre Produkte Backdoors einbauten, von denen sie selbst nichts wissen. Es ist also ein Unterschied, ob einem beispielsweise Microsoft böse will oder ob sie Backdoors drin haben. Die großen US-Firmen wussten damals, dass sie Backdoors drin haben, von denen sie nichts wissen, weil sie Agenten unter den Mitarbeitern haben. Und sie suchten nun unauffällig Leute, deren Aufgabe es war, diese Agenten und Backdoors ausfindig zu machen.

Hat für mich leider nicht geklappt, obwohl sie mich auch angesprochen hatten. Über die offiziellen Rekrutierungs­wege bin ich da nicht reingekommen, weil die Promotion versaut war. Und in diese Spezial­aufgaben kam ich nicht, weil sie da nur Amerikaner nehmen wollten und ich als Ausländer da zu auffällig war und mir das Gefühl fehlte, wer sich nach amerikanischem Schema ungewöhnlich verhält. Einige Tagen nach einer solchen Konferenz bekam ich dann (wieder in Deutschland) nachts um drei einen Anruf von Microsoft, wo sie dann doch fragten, ob ich für sie arbeiten wollte, und habe dann spontan eine Art Bewerbungs­gespräch mit ihnen geführt, ihnen aber auch klargemacht, dass ich mich mit Windows nur eingeschränkt auskenne und Unix mein Ding sei und die Sache mit dem Promotions­verfahren erläutert, weil sie eben nach Lebenslauf gefragt hatten. Zwar sagten sie, dass sie ja eigentlich genau solche Leute suchten, die faule Dinger und staatliche Manipulationen im Bereich Krypto aufdecken, ich habe dann aber trotzdem nie wieder was von denen gehört. Unix war bei denen damals nicht beliebt, heute sehen sie das anders.

Auch das sagen wir seit 25 Jahren.

Auch das habe ich schon im Zusammenhang mit der Bundestags­anhörung zum Kryptoverbot von 1997 gesagt, dass es für Deutschland nicht nur besser, sondern vor allem auch billiger wäre, die Software selbst zu schreiben als sie in den USA zu kaufen.

Das aber wollte man überhaupt nicht hören.

Und es zieht sich wie ein roter Faden durch die Sache, dass jeder, der daran rührt, seine Karriere verliert.

Um ehrlich zu sein, habe ich mich in den letzten zwei, drei Jahren da schon sehr geschüttelt, als ich in der Industrie feststellte, dass Frauen­förder­politik aus der IT-Sicherheit machte. Lustige Ratespiele veranstalteten sie, so knapp über Grundschul­niveau. Nicht irgendwie so Krypto der Netzwerk­sicherheit, starke Authentifikation oder sowas, was wir halt alles so im Werkzeugkasten rumfliegen haben, sondern: Gesellschafts­tänze. Alberne Spielchen. Quotenfrauen auf Projektposten, die andere von oben herab abkanzeln und falsche Anweisungen geben, weil sie nicht einmal die Grundlagen, nicht mal ihre Dienst­hand­bücher verstanden haben. Die Frauenförderung in der IT-Sicherheit führt, wie schon vor 20 Jahren an den Universitäten, über eine Infantilisierung, über einen völligen Niveauverlust. Es wird alles zum Sozialakt runtergestuft. Früher verwendete man Verschlüsselung, heute Wachsmal­kreiden.

Und das mit den Wachsmalkreiden meine ich wörtlich. Ich war - unfreiwillig, jeder musste - bei einer allgemeinen Unternehmens­schulung (nicht spezifisch IT-Sicherheit), bei der alle zusammen mit Wachsmal­stiften naive Malerei betreiben sollten, damit man die Papp­kärtchen nachher zu einem großen Bild zusammen­setzen kann. Und andere Spiele mit Anfassen und rumturnen, von denen ich jetzt nicht behaupten könnte, dass ich sowas nie machen würde. Ich habe solche Spiele schon gemacht und kann mich gut dran erinnern - meine Kinder­geburts­tage, so mit 7 und 8 Jahren, so die Kategorie Topfschlagen und Blinde Kuh.

Wenn aber ein Unternehmen jemanden mit 30 Jahren Berufs­erfahrung in sowas zur Zugehörigkeits­schulung schickt, weil man Frauen fördert und reinquotet, und die sich dann eben aufführen wie die Kinder­garten­mutti, dann fühle ich mich verarscht.

Und ich meine das nicht nur auf der Ebene des sich Veralbert-Fühlens: Ich habe richtig ernsthafte Sicherheits- und Datenschutz­probleme gesehen, die entstanden, weil man partout leitende Stellen mit Frauen besetzte, und dann halt welche ohne Sachkunde nahm, weil man keine mit Sachkunde fand. Wo es überhaupt nicht mehr um IT-Sicherheit oder Datenschutz geht, sondern um "Teilhabe", "Diversität" und entsprechende Quoten­besetzung aller Gehaltsstufen.

Eine Schweizer Webseite namens switch (irgendwas mit deren Netzwerk oder dem der Universitäten) hat einen Artikel A woman's dream job: IT security specialist^[6], schreibt aber dazu, dass er zunächst auf deutsch erschienen sei, #Security: Traumberuf IT-Security-Expertin.^[7]

Traumberuf?

Sagen wir es so: Ich habe die Schnauze inzwischen gestrichen voll davon. Man kämpft endlos gegen Windmühlen, wird oft nur als der Spiel­verderber angesehen, der, zu dem man sich in die Schulung setzen muss, oder wie man in derselben Publikationen­gruppe schrieb: Sicherheit ist ein unerträglich langweiliges Hindernis.^[8] Alle schreien sie, dass die Bedrohung immer höher steige, kritische Infra­strukturen und sowas, und gleichzeitig bewegt sich die Firmen­mentalität oft in Richtung "Scheiß drauf!". Weil man immer mehr Schwätzer und Windbeutel in den Führungs­etagen hat, und weil der Wettbewerb und Zeit- und Kosten­druck immer härter wird, und IT-Sicherheit als ungeliebte Pflicht, nicht als Umsatzbringer aufgefasst wird.

Ich kann mich noch erinnern, an eines der ersten Papers, mit denen ich mich damals befasst hatte: With Microscope and Tweezers: An Analysis of the Internet Virus of November 1988.. 1988. Das war vor 33 Jahren. Und immer noch haben wir dieselben Probleme, immer noch kommen solche Angriffe wie Puffer­überläufe und so weiter vor.

Die Politik legt den - von mir schon so oft beschriebenen - Schweine­zyklus hin, in dem sich die Fragestellungen alle 10 Jahre und im Großen nochmal alle 20 Jahre wiederholen. Man kann den Leuten erklären, so viel man will, kapieren werden sie es sowieso nicht, aber irgendwann halten sie die Klappe, wenn sie merken, dass sie da kein politisches oder pekuniäres Kapital draus schlagen können, aber kaum ist die nächste Generation von Politikern da, geht der ganze Schwachsinn von vorne los. Die informieren sich nicht, was schon gelaufen ist. Man bekommt ständig frische Idioten und Schwätzer.

Dazu kommt, dass die IT-Sicherheit primär schon lange nichts mehr mit dem Abwehren von Angreifern zu tun hat, sondern zum drögen Sach­bearbeiter-Job geworden ist. Man schreibt endlose Dokus, die nie jemand liest außer den Auditoren, muss ständig irgendwelche Frameworks, Normen, Grund­schutz­handbuch erfüllen, Audits und Zertifizierungen über sich ergehene lassen und rennt in einer riesigen Bürokratie­maschine im Kreis, in der unzählige Unternehmens­beratungen, Behörden, Sessel­furzer, Beamte, Ministerial­monster ihr Auskommen gefunden haben und sich gegenseitig mit unglaublichen Mengen von Papierkram (meist digital) zuwerfen, es aber längst keine Bedeutung in Bezug auf IT-Sicherheit mehr hat. Kann schon sein, dass man dem Auditor für die Zertifizierung mal eine 1000-seitige Doku übergibt, weil die Software für die Dokumentation so viel Blubber erzeugt. Muss ja jede Türklinke erfasst werden, und jeder Zugang dokumentiert. Während die Presse jodelt, dass die Russen und Chinesen alles angreifen, manipulieren, ausspionieren.

IT-Sicherheit dient schon lange nicht mehr der Abwehr von Angreifern, sondern fast nur noch dafür, dem Vorstand den Rücken freizuhalten - wenn etwas anbrennt, muss der vorweisen können, dass alle bestehenden Kataloge mit grünen Häkchen abgehakt sind und ihm nichts anzulasten ist.

Faktisch steht die IT-Sicherheit auf verlorenem Posten, der nicht mehr zu halten ist.

Einmal, weil man kaum noch qualifiziertes IT-Personal bekommt. IT ist heute ein Sammel­becken für Luftikusse, Schwätzer, Tunnel­blicker jeder Art, denen es auch um gar nichts anderes mehr geht, als fristgerecht irgendwas abzuliefern - und abzurechnen. Die Sachkunde geht immer weiter runter. Ich habe in den letzten 10 Jahren eine rapide Zunahme der Leute in der IT-Branche bemerkt, denen ich erklären musse, was eine ssh^[wp] ist. Ich hatte über Jahre hinweg in den Schulungen eine Verständnis-Falle drin. Ich habe gesagt, dass man sich System A auf System B per ssh einloggt, und aus Sicherheits- und Datenschutz­gründen dazwischen im Netz ein System C hängt, das alle Befehle mit­protokolliert, damit man nachvollziehen kann, was man getan hat, weil die Zertifizierung das braucht. Nicht nur die Zahl der Leute, die da (sollten sie ja als Aufmerksamkeits­test, C hatte in dem Fall Kopien der Schlüssel und spielte MITM^[wp], was ich als Aha-Effekt eingebaut hatte) protestierten, weil das doch gar nicht gehen könne, ist doch verschlüsselt, nahm rapide ab. Ich habe auch immer öfter erlebt, dass die Leute die Pointe nicht mal mehr begriffen, wenn ich das erklärt habe. Leute, die einen nur noch verständnislos anglotzen und bei denen gar nichts mehr Klick macht, wenn man ihnen sagt, dass das doch so eigentlich nicht gehen kann, dass C die Kommunikation zwischen A und B protokolliert (wenn man noch nicht gesagt hat, dass C Schlüssel­kopien hat), weil es doch verschlüsselt ist. Die Leute kapieren nicht mehr, dass "verschlüsselt" bedeutet, dass ein Dritter nicht mitlesen kann.

Und dann kapieren die auch andere grundlegende Dinge nicht mehr - von denen man eigentlich erwarten müsste, dass sie sie schon wissen und man sie ihnen nicht erst noch erklären müsste.

Gleichzeitig verlieren wir immer mehr die Kontrolle über unsere Software, weil der Stand der Software­technik ist, sich einfach irgendwelche Libraries und Tools von irgendwo aus dem Internet runterzuladen und zusammen­zu­nageln, ohne noch zu wissen, woher sie kommen und wer die geschrieben hat. Die dann noch dazu ihre Dependencies haben und iterativ, rekursiv ihrerseits noch allen möglichen Krempel von irgendwo runterladen. Einen Haufen Mist unbekannter Herkunft nagelt man zusammen, nennt das dann "Software­technik" und wundert sich, wenn es Sicherheits­löcher hat.

Und dann soll man da als der IT-Sicherheits­heini sitzen, das alles irgendwie sicher machen und dran schuld sein, wenn's nicht dicht ist.

Ich weiß nicht (mehr), was da schon unabhängig von der Achse Mann-Frau noch "Traumberuf" sein soll.

Es war sowieso noch nie ein "Traumberuf", aber es war mal ein hoch interessanter, wichtiger und elitärer Beruf, der nur von wenigen überhaupt ausgeübt werden konnte. Heute ist alles Geschwätz, weil man das Gefühl hat, dass es nur noch vier Berufe gibt: Supermarkt­verkäuferin, Kita-Tante, Kranken­schwester und "irgendwas mit IT".

Und die wollen nun die IT-Sicherheit noch für Frauen kapern.

Ja.

Frauenförderung heißt, einen Fachkräftemangel auszunutzen, indem man die Gelegenheit nutzt, Unqualifizierte unterzubringen.

Jo. Als ob die Telefon­zentrale der Feuerwehr erklärt, wie Chirurgie funktioniert.

Von der Politikwissenschaft in ein Beruf gewechselt, in dem man Gehalt bekommt. Hat nur eben nicht viel mit IT-Sicherheit zu tun.

Typische Frauenförder­karriere: Ausbildung und berufliche Tätigkeit kommen nicht oder kaum vor, aber hochtrabende Job-Beschreibungen. Nicht "Ich kann, ich habe gelernt", sondern "Ich bin Incident Responderin". (Wenn man schon deutsche Endungen an englische Bezeichnungen wie bei Speakerin hängt, ist das für mich immer ein untrügliches Indiz, dass sowieso nur Geschwätz kommt.) Das ist das, was ich schon oft beschrieben habe: Frauen agieren nicht nach Wissen und Können, sondern nach sozialer Stellung. Die wollen und müssen das nicht können, sondern die Bezeichnung haben. Professorin. Responderin. Und sowas.

Genau das, was ich eingangs beschrieben habe. Eigentlich keine Ahnung, aber Workshops mit Wachsmalkreiden und alberne Ratespiele abhalten.

Auch so eine Frauenkarriere. Immerhin mal ein Informatik-Studium, aber Team­leiterin und nicht technisch. Dann musste ein "Rolle besetzt" werden und Frau wird ernannt. Nicht gelernt, nicht erarbeitet, sondern Stellung in der Rudel-Rang­ordnung erklommen. Und dann ein paar "Weiter­bildungen".

Wenn ich so einen Scheiß schon lese: Awareness-Spezialistin. Auf deutsch: Labertante und Spezialistin für gar nichts. Wachsmalkreiden und sowas.

Ach, so IT-Sicherheit schon mal aus der Entfernung gesehen...

Auch nur Blabla und Soziales.

Beziehungspflege...

Ganzheitlich. Wie ganzheitliche Medizin.

Wenn man das so liest, dann machen die Damen eigentlich gar nichts mit IT-Sicherheit selbst, sondern nur so Soziologen­akrobatik rund um das Erleben der IT. Phishing-Mails erkennen. Nicht etwa, wie man Phishing technisch verhindert. Das Drama der immer längeren Passwörter.

Pathologischer Befund

Was wir hier sehen ist symptomatisch.

Es reduziert sich alles nur noch auf Geschwätz­praktiken und so eine Art Erlebens­prozess der Digitalisierung. Eigentlich mehr so, wie man aus sozialer Sicht mit unsicheren Systemen umzugehen, anstatt Systeme sicher zu machen.

Die Infantilisierung und Zerschwätzung der IT geht Hand in Hand mit der frauen­fördernen Frauen­einpumpung, weil sich das gegenseitig bedingt und hochschaukelt. Auf der einen Seite muss das Ding "frauen­gängig" gemacht werden, und deshalb von der Technik zum Sozial-Event umgebaut werden, in dem sich die Hauptsache darum dreht, mit Menschen zu interagieren. Auf der anderen Seite pumpt man der Quote, Diversität und Gleichstellung wegen jede Menge Frauen - Stichwort: "Quer­einsteiger" - ohne adäquate Ausbildung und Berufs­erfahrung in die IT-Sicherheit, die ihrerseits das dann alles wieder runterziehen und zu Blubbe­revent machen. Es geht eigentlich nicht mehr darum, irgendetwas sicher zu machen, sondern das Erleben unsicherer System zum sozialen Event zu machen - und Arien darüber zu schreiben, wen sie benachteiligen.

Die - öffentliche - IT-Sicherheit ist tot und die Frauenförderung einer ihrer größten Sargnägel.

Das war mir spätestens klar, als die Wachsmal­stifte und die Ratespiele kamen.

Ich habe das ja in den letzten Jahren schon so ausgiebig beschrieben, dass einem selbst in einem brisanten und hoch­technischen Thema wie der IT-Sicherheit, in dem es wirklich darauf ankommt, die Dinge sachlich und kritisch zu betrachten, und dem angrenzenden Thema Compliance^[wp], wo es eben auch auf Gesetze und sowas ankommt, immer mehr solcher Political-Correctness-Zombies und Quoten­monstren entgegenkommen, und dass die fachliche Kompetenz und die Beschäftigung mit dem Thema immer mehr durch Wokeness und Political Correctness ersetzt wird. Ich habe gerade einem großen Konzern dabei zugesehen, wie eine ehemals sehr gute IT-Sicherheits­struktur und -mannschaft mit dem großen Hammer durch Quotenfrauen und Black-Lives-Matter-Aktivisten ersetzt wurde, und dann in Sachen Datenschutz, Compliance, IT-Sicherheit immer weniger lief, immer mehr grobe und schwere Fehler passierten, und das immer mehr auf Ebene von Befehls­empfängern, Ratespielen, Wachsmal­kreiden und Auslieferung der internen Kommunikation an amerikanische Cloud-Dienst­leister ablief, die IT-Sicherheit rapide zum Sachbearbeiter-, Versorgungs- und Quotenjob degradiert wurde.

Nun hatte ich doch gerade was zu dem Vorgang geschrieben, bei dem die Polizei in einer Todesfall­ermittlung auf Kontaktdaten aus der Luca-App zugegriffen hatte, dabei aber einen anderen Standpunkt als die breite Medien­öffentlichkeit eingenommen.^[10] Während alle mir bekannten Äußerungen zu dem Thema darauf hinausliefen, dass die Polizei unrechtmäßig auf die Daten zugegriffen hätte, die Polizei also die Bösen seien, war ich zu einem anderen Ergebnis gekommen, nämlich dass nicht die Polizei, sondern eher das Gesundheitsamt gegen geltendes Recht verstoßen hat, weil das anzuwendende Recht sich dem Wortlaut nach nur auf das Gesundheitsamt und nicht die Polizei bezieht, und für Polizei und Staatsanwaltschaft dann erst mal deren allgemeine Ermittlungs­befugnisse gelten. Ich also den Verstoß, wenn überhaupt einer vorliegt, bei dem der gibt sehe, und nicht bei dem, der nimmt. Vor allem aber sehe ich das Hauptproblem darin, dass die Gesetzes­texte und Verordnungen einfach Murks sind, und das in meinen Augen daran liegt, dass immer mehr Ungebildete und Bildungs­versager in den Parlamenten sitzen und als Gesetzgeber fungieren. Vereinfacht gesagt: Wer so wenig Sprach­kenntnisse und Sprach­verständnis hat, dass er für das Gendern ist, der ist auch nicht in der Lage, verständliche Gesetzestexte zu formulieren. Man kann nicht einerseits Leute in ein Parlament wählen, die ständig Sprache umbauen und Begriffe umdefinieren oder die Bedeutung von Sprache verschieben, wie es ihnen tagesaktuell gerade passt, und dann erwarten, dass dabei klare und verbindliche Normentexte herauskommen.

Ein Leser schickt mir dazu einen Screenshot aus dem mir bis dato nicht bekannten "Kuketz-Forum IT-Sicherheit - Datenschutz - Hacking": [...]

Postings landeten im "Papierkorb", weil mein Blog "bekannt kontrovers" sei.

Das war bisher eigentlich so, dass "Kontroversen" ein elementarer und unverzichtbarer Grundbaustein der IT-Sicherheit waren. IT-Sicherheit hat schon immer darauf beruht, dass wenn 99 glauben, etwas wäre sicher oder gut, der Hunderste kommt und zeigt, dass es anders ist, anstatt sich der Gruppen­meinung anzuschließen. Weil das in der IT-Sicherheit fast immer so ist, dass Lücken und Fehler immer nur von einer kleinen Minderheit entdeckt werden, weil sie sonst normalerweise nicht gemacht würden, wenn sie zu offensichtlich wären.

Der Leser meint, es wäre sinnvoll, sich dazu mal deren Forenregeln anzuschauen, auf deren Abschnitt 2.2 man sich da bezieht.

Man sieht sofort, dass Begründung und Regeln schon nicht zusammenpassen. Da passte wohl einfach die Auffassung politisch nicht, dass nicht die Polizei hier die Böse ist, sondern das Gesundheitsamt, und der Gesetzgeber zu blöd.

Interessant ist deshalb auch

So, so. Ein respektvoller Umgang, andere Meinungen zu respektieren. Die Würde jedes Einzelnen zu achten.

Aber nur dann, wenn die Meinungen in den linken Mainstream passen. Ob etwas richtig ist, interessiert nicht. "Kontrovers", also schon die bloße Abweichung vom Mainstream, reicht bereits zur Löschung.

Drollig deshalb auch die Selbstbeschreibung:

Eine Plattform für Menschen, die sich "kritisch" mit IT-Sicherheit und Datenschutz befassen. Aber sofort gelöscht werden, wenn sie "kontrovers" sind, da Fehler bei Gesundheitsamt oder Gesetzgeber sehen und nicht dem linken Mainstream folgen, die Polizei als Allein­schuldigen anzusehen.

In seiner Gesamtheit ist das absurd. Aber genau solche Effekte, die Unterwanderung einer ganzen Branche, eines Aufgaben­bereichs durch Political Correctness-Geschwätz und Cancel-Culture, die dann dazu führen, dass man Sicherheits- und Datenschutz­probleme nicht mehr ansprechen kann und darf, weil man gefälligst der verordneten Mainstream-Meinung zu gehorchen hat, sind der Grund, warum mir die Branche, die Tätigkeit nach 30 Jahren inzwischen so zum Hals raushängen, ich da nicht mehr arbeiten will. Ist mir neulich so gegangen. Ich hatte darauf hingewiesen, dass es hochkritisch ist, seine gesamte Unternehmens­kommunikation in amerikanische Cloud-Dienste zu verlagern, dazu Kommunikations­dienste auf den Rechnern zwangs­zu­installieren, die eine völlige Überwachung ermöglichen, dazu noch das Eindringen auch in die privaten Netzwerke der Mitarbeiter im Home-Office, oder Dienste einzusetzen, die von den deutschen Datenschutz­beauftragten - zu Recht - als unzulässig eingestuft werden.

Ergebnis: Wie kannst Du es nur wagen, vom Mainstream abzuweichen. Das macht man heute eben so, das ist so beschlossen.

In dem Moment, in dem man als IT-Sicherheits­berater oder -verantwortlicher kein Gehör mehr findet und auf die Erwartungs­haltung trifft, das Maul zu halten und sich Kritik zu verkneifen, ist die Sache eigentlich gelaufen. Dann kann man einpacken und gehen.

Und genau das beobachte ich seit gewisser Zeit in der IT-Sicherheit.

Ursprünglich, damals an der Uni die Sache mit dem BND, in technischer Hinsicht, nämlich Verschlüsselungen.

Inzwischen auch sehr stark in Sachen Political Correctness, Wokeness, oder einfach Gehorsam gegenüber der diktierten Meinung^[wp]. [...]

Die IT-Sicherheit hat fertig.

Dazu stellt der Leser eine Frage, oder nein, er übernimmt eine Frage aus diesem Forum^[ext]:

Weiß ich nicht, was die Deutsche Bank sich dazu denkt.

Allerdings halte ich 1.500 Programmierer auch nicht für zuviel, denn wenn ich mir die Software-Qualität der Deutschen Bank und ihrer Töchter so anschaue, dann brauchen die noch viel mehr als 1.500 Programmierer. Oder mal 50 richtig fähige. [...]

Die Russen sind traditionell nicht nur exzellente Mathematiker und Ingenieure, sondern auch in der IT ziemlich gut, sagen wir mal vom Können her, nicht unbedingt immer in der Qualität. Das ist so ähnlich wie in der Luftfahrt. Flugzeuge und Hubschrauber konstruieren, das können sie wirklich gut. Aber die Dinger hinterher zu warten und instand zu halten, und nicht irgendwelchen gefälschten oder unpassenden Mist einzubauen oder in Korruption abzusaufen, das wird dann schwierig.

Allerdings geht damit dann eben auch eine Gefährdungslage einher, vor allem dann, wenn man die Leute nicht mehr einzeln und persönlich kennt. Wir haben durchaus eine Bedrohung durch die russische Regierung und den russischen Geheimdienst, und um es mal klar zu sagen: Wir sind im Krieg.

Ich hatte - auch schon oft erwähnt - so kurz nach dem Jahr 2000 mal so ein Erlebnis auf einer der amerikanischen Sicherheits­konferenzen, als ich im Zuge meines Krypto-Promotions­streites (denn ich persönlich übrigens auch unter IT-Sabotage durch Geheimdienste einordne, aber eben BND und CIA/NSA) verdichtet zu Konferenzen in die USA gefahren bin, um da irgendwie Kontakte aufzubauen oder nach Jobs zu suchen. Tatsächlich hatten da Firmen wie Google und Microsoft auf diesen Konferenzen, die in Tagungs­hotels stattfanden, kleine Räume angemietet und baten da Leute, die ihnen interessant erschienen, zum Bewerbungs­gespräch. Ich wurde da auch gebeten, aber in praktisch allen Fällen machte mir da der Promotions­streit einen Strich durch die Rechnung. In einem Falle war das anders, da hätte mir das sogar zum Vorteil gereichen können, weil sie sagten, was ich damals auch nur über einen direkten mündlichen Kontakt erfahren habe, dass die amerikanischen Firmen unauffällig und am Rande so kleine krypto­erfahrene Widerborsts suchten, weil sie wussten, dass ihnen die amerikanischen Geheimdienste getarnte Agenten in die Firmen eingeschleust hätten, die da (vgl. die Crypto AG und Omnisec in der Schweiz) als Programmierer wohl unbemerkt Hintertüren einbauten, ohne dass die Firmen selbst davon wüssten oder damit einverstanden seien. Sie suchten deshalb Leute, die sowas unauffällig und getarnt aufspüren könnten. Allerdings falle ich da völlig aus dem Raster, weil ich persönlich zwar gepasst hätte, sie aber dafür keine Ausländer nehmen können, man US-Amerikaner sein und außerdem mutter­sprachlich und kulturell dort voll verankert sein müsse, um die Nuancen und Unregel­mäßigkeiten erkennen zu können, und um selbst nicht aufzufallen.

Wenn die Amerikaner sowas machen, habe ich wenig Zweifel daran, dass die Russen es auch machen. Warum? Weil ich weiß, dass die Chinesen es machen.

Es ist also durchaus kritisch.

Aber was sollen sie machen? Wo will man hier in Genderland noch 1.500 Programmierer herbekommen, die wenigstens in der Lage wären, zu ihrem Arbeitsplatz zu finden?

Wer wäre da vertrauenswürdiger?

Deutschland? Die Frage stellt sich nicht, weil man hier keinen Haufen von 1.500 befähigten Leuten mehr findet.

USA? Siehe oben.

Indien? Oh, nee, bitte nicht. Das ist mitunter sehr wüst und qualitativ höchstens fiktiv.

Das Problem ist deshalb nicht so sehr, dass die Deutsche Bank da 1.500 Russen angestellt hat.

Das Problem ist, dass wir keine Alternative dazu haben.

Von der Gefahr einer Unterwanderung durch russische Geheimdienste mal abgesehen halte ich es aber für sinnvoll, russische Programmierer abzuwerben. Denn deutlich besser als die reingequotete Genderfront sind sie.

Die Stelle mit den von Microsoft herausgegebenen Backups, die monatlich eingespielt werden, habe ich mir jetzt schon angehört. Und das soll der "IT-Chef" sein.

Das ist ein Effekt, den ich schon lange beobachte und beschreibe, in den auch die ganzen Quotenfrauen gehören: Man hat eine große Menge von geisteswissenschaftlich totstudierten Menschen, für die auf dem Arbeitsmarkt keinerlei Bedarf ist, und die zu alt sind, um in ihrem Leben noch irgendwas zu lernen, aber dafür parteinah. Dann sieht man, dass in Informatik ordentlich gezahlt wird und "Fachkräftemangel" herrsche, also denkt man sich, dass man die Leute da einfach reindrückt, weil es doch sowieso keine Befähigung gibt und da alles nur ansozialisierte Gruppentänze sind. Quality is a myth und man ist nur das, wofür andere einen halten.

Passt dazu, dass ich mich 2008 ja schon mal mit dem damaligen BSI-Chef auf einer Konferenz vor Publikum angelegt habe, weil der die Auffassung der Bundesregierung verkündete, dass IT-Sicherheit eben sei, wenn eine IT-Sicherheits­branche melde, dass sie steigende Umsätze habe, ganz egal, was IT-Sicherheit überhaupt ist.

Und so wird auch die IT in den Führungs­positionen mit unfähigen Leuten vollgepumpt und im Ergebnis dann eben sowas wie Kärnten zerschossen.

Und das mit den ISO 9001 und ISO 27001-Zertifikaten ist auch ein ziemlicher Mist. Dieser ganze Zertifizierungs­kram ist zwar recht hübsch, einen an vieles zu erinnern, woran man vielleicht nicht denken würde. Aber wenn man daraus keine Konsequenzen zieht, wird es eben nicht sicher. Diese Zertifizierungs­kram heißt vor allem, dass man sich das Problem X angeschaut und was dazu entschieden und geschrieben hat, aber nicht, dass es sicher ist. Man kann da auch reinschreiben, dass man extra einen eingestellt hat, dessen alleinige Aufgabe es ist, die Risiken erkannt zu haben und in Kauf zu nehmen.

Die Zertifizierungen erfüllen in der Praxis damit vorrangig einen bestimmten Zweck: Die Geschäfts­leitung mit einem Katalog jährlich aufgefrischter grüner Haken zu versorgen, mit dem sie im Katastrophenfall nachweisen können, dass sie es nicht verpennt haben. Das dient nur dazu, dass nicht der Kopf der Geschäfts­leitung, sondern der irgendeines Mitarbeiters rollt.

Ich hatte mich vor noch gar nicht allzulanger Zeit mit der IT-Sicherheits­abteilung eines Konzernbereichs gefetzt. Ich hatte festgestellt, dass etwas unsicher ist und man das so nicht machen kann. Die IT-Sicherheits­abteilung sagte mir aber, dass sie sich nicht in das operative Geschäft einmischen und nur im Hintergrund dokumentieren. Was das für ein Blödsinn sei, hatte ich gefragt. Wenn man sich nicht ins Operative einmische, würde ja überhaupt nichts sicher.

Sie betrachteten es auch nicht als ihre Aufgabe oder auch nur ihre Fähigkeit oder ihr Ziel, etwas sicher zu machen oder Angriffe zu verhindern, antworteten sie mir. Ziel und Zweck ihres riesigen Verwaltungs­aufwandes und der Erfassung aller Vorgänge sei es, dann, wenn etwas schief geht, der Geschäfts­leitung sofort sagen zu können, wer dran schuld ist.

Man macht also nicht Sicherheit im technischen Sinne, nicht in dem Sinne, dass man irgendwas verhindert, sondern in dem Sinne, dass die Konzernleitung in der Sicherheit leben kann, dass sie im Schadensfall einen Schuldigen parat haben, den sie feuern können, und dann selbst nicht dran schuld sind.

Und je unfähiger die Leute sind, desto steiler machen sie Karriere, weil die Geschäftsleitung das gar nicht will, dass die IT-Sicherheit machen, sondern nur so tun als ob und viel Papier produzieren.

Das ist alles nur noch Witz und Hohn.

Ich habe vor 20 Jahren mal als Bewerber ein Bewerbungs­gespräch abgebrochen und bin gegangen. Ein Headhunter hatte mich zu einer Firma gefahren, so als Überraschung, ich wusste vorher nicht, zu welcher Firma wir fahren, sollte aber da der Datenschutz­beauftragte werden. In einer Firma, in der das eine ziemlich kritische Sache wäre. Als ich diskutieren wollte, was da wie zu machen wäre, sagte man mir direkt und unverhohlen, dass ich mich rauszuhalten hätte. Ich würde nicht dafür bezahlt, dass ich was tue, sondern dafür, dass ich nichts tue und mich darauf beschränke, ein Türschild mit "Datenschutz" drauf zu haben. Ich würde gut bezahlt, bräuchte nichts zu arbeiten, und es wäre in Ordnung, wenn ich den größten Teil meiner Arbeitszeit auf dem Golfplatz verbrächte. Dafür wäre ich dann der, der rausfliegen muss, wenn was anbrennt.

Ich hatte mich auch schon auf solche Stellen als Daten­schützer oder IT-Sicherheits­leiter beworben, nur um dann vorne- oder hintenrum herauszufinden, dass die Ausschreibungen nicht echt waren und man gar niemanden einstellen wollte, aber nach außen hin den Anschein erwecken wollte, dass man sich schon darum gekümmert hätte, aber leider, leider - schlimmer Fachkräftemangel - niemanden gefunden habe. Oder auch nur so tun will, als prosperiere man, während man in Wirklichkeit hart sparen muss.

Große Teile der IT-Sicherheitsbranche sind heute reiner Schwindel.

Ich habe Leute erlebt, die als CISO (Chief Information Security Officer) für einen großen Konzern tätig sind, aber sich nicht vorstellen konnten, wie man im Falle eines malware-kontaminierten PCs überhaupt herausfinden könnte, in welchem Kontinent (weltweit operierendes Unternehmen) der steht, weil er den Unterschied zwischen Switching^[wp] und Routing^[wp] nicht verstehen konnte und auch nicht verstand, was in einem Switch vor sich geht und wie man abfragt, an welchem Port ein Rechner hängt.

IT-Sicherheit ist heute vor allem: Hohn.

Und der ganze Zertifizierungskram hat es nur noch schlimmer gemacht, weil man die Zertifizierungen heute braucht, um keinen Ärger zu kriegen. IT-Sicherheit ist heute, der Firmenleitung die Zertifizierungen zu beschaffen. Mit tatsächlicher Sicherheit hat das höchstens noch zufällig was zu tun.

Das ist lustig. Eigentlich könnte ich gerade ein Blog führen, indem ich nur noch abwechselnd über Messer- und Hacker-Angriffe schreibe.

SWR Aktuell schreibt, dass Hacker gerade die Verwaltung des Rhein-Pfalz-Kreises in Ludwigshafen lahmgelegt haben.

Jau. Ein Hurra auf die deutsche IT. Vor 20 Jahren hat man die IT-Sicherheits­forschung kaputtgeschlagen. Vor 10 Jahren herrschte die Merkel-dumme Auffassung, dass Sicherheit sei, wenn die Sicherheits­branche schöne Umsätze hat. Und jetzt fällt der ganze Mist halt zusammen.

Geliefert wie bestellt.

Ich empfehle in solchen Fällen ja immer eine Frauenquote mit Diversitäts­booster. Weil durch Frauenquote alles besser wird.

Heise schreibt gerade über die Visionen der Nancy Faeser: Cybersicherheitsagenda: BKA & Co. sollen Angriffsserver runterfahren können

Zu wenig Ahnung. Zu viel Kino geguckt.

Irgendwie stellen die sich das so vor wie in den Hollywood-Filmen: Irgendein Nerd^[wp] mit Nerdbrille, der keine Frau abbgekommt, aber alle Passworte erraten kann, weil alle Passworte nach dem Geburtsdatum der Ex-Freundin, der verstorbenen Mutter oder dem Mädchennamen des geliebten Meer­schweinchens benannt sind, und zwar auch dann erraten, wenn nebendran die Uhr steht und tickt, und man sich eingeloggt haben muss, bevor die Zeit bei 00:00:00 angekommen ist, weiß in schlimmster Bedrohung einen coolen Trick, mit dem er den Server des finsteren Angreifers runterfahren kann, der sich dann ärgert wie Sauron^[wp], dem man den Ring zum Dreieck gekloppt hat.

Mal abgesehen davon, dass man da erst mal wissen müsste, wo der Server ist, und sich sicher sein müsste, dass es nicht 100.000 gehackte Server sind, die über die Welt verteilt sind, und man mit dem "Runterfahren" nicht auch die Energie­versorgung oder die Herz-Lungen-Maschine lahmlegt: Wieso glauben die eigentlich, jeder dahergelaufene Hinz und Kunz könne dem Hacker mal eben den Server "runterfahren", nur weil er sich für wichtig hält?

Dazu müsste es erst einmal einen exponierten Angriffspunkt geben. Und so doof sind die in der Regel nicht. Schon gar nicht, wenn es "staatliche Hacker" sind, wie man behauptet.

Und wenn man ihn "runterfährt"?

Das ist nur bei deutschen Behörden und Universitäten so, dass die dann 6 Monate brauchen, um wieder hochzukommen. In virtuellen Umgebungen lassen sich Server auch in unter einer Sekunde, ganz sicher unter 6 Sekunden, wieder starten.

Irgendwie haben die da ganz komische, ganz seltsam romantische Vorstellungen.

Wie im Kino.

Wie James Bond auf Bundesangestelltentarif.

Golem schreibt über einen IT-Sicherheits­vorfall bei der Landeshauptstadt in Potsdam.

Ein Bauingenieur mit Studiengang Wirtschafts­ingenieur und Weiter­bildung zum zertifizierten SAP-Berater.

65.000 Firewall-Regeln.

Viele davon nicht dokumentiert.

Eine Schatten-IT aus Geräten und Diensten, die niemand verzeichnet hatte.

"Gewachsene Prozesse", die jahrelang niemand hinterfragt hatte.

Das ist der Horror.

Aber nicht unbekannt. Solche Zustände habe ich während meiner aktiven Zeit, vor allem, als ich noch im Außendienst zu Kunden gegangen bin, um denen Firewalls zu installieren und den Laden aufzuräumen, auch vorgefunden, wenngleich auch nicht ganz in dieser Größen­ordnung. Ich weiß es nicht mehr genau, irgendwas knapp über 10.000 war mal das Schlimmste, was ich vorgefunden habe.

Sowas ist nicht mehr zu kontrollieren. Das ist absoluter Murks. Es gibt auch keine Firewalls, die sowas noch wirklich effizient abarbeiten können. Zwar haben moderne Firewalls auch ASICs, die die Regeln in Hardware bzw. als programmierbare Schaltung abarbeiten, ich glaube, es gibt sogar welche, die FPGAs programmieren. Und man muss die auch nicht unbedingt alle 65.000 abklappern, denn das lässt sich mit guten Algorithmen vorsortieren, womit man von O(n) etwas runter in die Nähe von O(log(n)) kommt, also der Aufwand nicht linear mit der Zahl der Regeln steigt, aber so etwas ist schlicht und einfach Bullshit, das kann man nicht mehr kontrollieren, prüfen, verstehen, reparieren, oder im Notfall anpassen.

Im Prinzip beschreibt Golem da, dass die unter Notfall- und Angriffs­bedingungen das nachzuholen versuchten, was man vorher jahrelang durch Schlamperei verschlafen hat.

Herrlich diese zwei Sätze, ich bringe sie nochmal:

Und das Schlimme daran ist: Wenn man als Sicherheits­experte warnt und - beizeiten - sagt, dass das so nicht geht, dass man das dringend entrümpeln, dokumentieren, katalogisieren, priorisieren muss, man einen Notfall- und Anlauf­plan braucht, dass zu jeder Funktion dokumentiert sein muss, was die normale und was die tolerable Ausfallzeit ist, dann macht man sich sehr unbeliebt. Als Information Security Officer muss man immer eine Balance, einen Kompromiss finden: Rettet man die IT? Oder rettet man den eigenen Kopf? Nie so viel nerven, dass man wirklich Ärger bekommt, aber auch nicht zu wenig. Verlangt man zu viel, fliegt man, weil man zu teuer wird. Verlangt man zu wenig, fliegt man, wenn es schief geht. Deshalb entwickeln viele Firmen eine Vorliebe für "Sicherheits­experten", die davon gar nicht so viel Ahnung haben und bevorzugt einfach die Klappe und sich raus halten.

Ja, geil. 2023 den Kurier mit dem USB-Stick zur Bank schicken.

Eigentlich ist ein Wiederanlaufplan Pflicht, der auch solche Fälle wie einen Totalverlust des Rechenzentrums mit abdeckt. Denkt nur mal an den Brand des Rechenzentrums bei OVH, wo angeblich auch die Backups mancher System mit verbrannten.

Was wird wie in welcher Zeit auf welche Weise und wo wieder aufgesetzt?

Früher hieß das: Lieferverträge, die Hardware in definierter Zeit liefern können. RZ-Betreiber, die Hardware-Redundanz vorhalten.

Heute heißt sowas auch (ergänzend oder alternativ, je nach Anforderungen), dass man in der Lage ist, seine IT - wenigstens notfalls - in der Cloud zu reproduzieren. Automatisierte Kochrezepte, nach welcher Technik auch immer, gibt ja verschiedene, die einem virtuelle Maschinen, Container, Netzwerke aufbauen, und die Funktion bereit stellen. Eine automatische Build-Chain, die die Software, Images und so weiter erzeugt, damit man auch patchen und aktualisieren und dann automatisiert installieren kann. Das ist kein Hexenwerk, das nennt sich Continuous Delivery und ist Stand der Technik. Wenn man auf dem Stand der Technik ist.

Und wer einen Produktivbetrieb mit 65.000 Firewall-Regeln betreibt, der macht einfach was falsch.

Wobei ich - technisch - noch nicht verstanden habe, warum eigentlich jede Stadt ihre eigene IT betreibt. Denn eigentlich sollte man ja annehmen, dass sich die Aufgaben und Anforderungen gleichen und jede Stadt im Prinzip dieselben Aufgaben hat, wie Einwohner­meldeamt, KFZ-Stelle und so weiter.

Ich verstehe nicht - falsch, ich verstehe es schon, soweit es um Geschäfte, Vetternwirtschaft^[wp], Parteispiele, Korruption geht, aber technisch eben nicht - warum da so viele selbst lokal vor sich hinfrickeln, statt dass man eine zentrale IT macht, die diese immer selben Funktionen für alle einheitlich anbietet, und das damit gesparte Geld dafür in Qualität und Sicherheit steckt, und dafür sorgt, dass da Leute agieren, die das im Griff haben. Die also jederzeit in der Lage sind, die gesamte IT einer Stadt einfach wegzuschmeißen und innerhalb weniger Minuten frisch zu erzeugen. Stattdessen murkst da jede Stadt mir irgendwelchen Halb­fach­kräften herum, die sie gerade kriegen können - oder die aus Parteiräson und Frauenquote gewählt werden, und die dann als Leiterin der IT einer Großstadt nichts machen und hinbekommen als überall zu gendern und Frauenquoten durchzusetzen, anstatt die IT am Laufen zu halten.

Dann nämlich, wenn nicht mehr jede Stadt selbst frickelt, sondern zentral und übergreifend agiert wird, ist es auch möglich, dass Funktionen wie Einwohnermeldeamt oder KFZ oder was es alles gibt, sauber dokumentiert sind, mit Funktionen, APIs, Software, Wiederherstellung, Backup-Konzept und sonstwas alles, es da ein sauberes, verbindliches, vollständiges Handbuch gibt, in dem alles drin steht, was es zu wissen gibt.

Das ganze Konzept dieser föderalen, hierarchisch-fraktalen Korruption, die wir so gerne für Demokratie halten, weil sie dazu dient, dass Geld und Aufträge den Freunden der jeweiligen Partei zugeschustert werden, ist nicht realitäts­tauglich. Das hat in den 1970er Jahren noch funktioniert, als der Parteikumpel im Rathaus die Wasserhähne und Kloschüsseln installiert und zu hoch abgerechnet hat, aber mit IT funktioniert sowas eben nicht mehr.

Und das wird immer schlimmer, je mehr "Fachkräfte", "Quotenfrauen" und "Quereinsteiger" da drin rumrühren, und je politischer die Auswahl des IT-Führungs­personals wird.

Frage an die Leser:

Kennt Ihr auch nur einen einzigen der vielen Professoren der IT-Sicherheit oder allgemeiner Informatik in Deutschland, der auch nur irgendetwas zur Lösung dieser Probleme beigetragen hätte und über die Forderung hinauskäme, dass in den Rechenzentren eine Frauenquote und Gleichstellungsbeauftragte erforderlich seien?

Und dann schwätzen irgendwelche ahnungslosen Politiker und Medienfuzzis immer davon, dass wir ein Digitalland seien und "wieder nach ganz vorn an die Spitze" wollen. Und am besten alles mit - ja, was gerade in Mode ist, vor einiger Zeit musste es noch alles mit "Open Source", dann mit "Cloud" sein, dann natürlich alles mit der Wundersalbe "Blockchain", inzwischen alles mit "KI", nicht zu vergessen "Flugtaxis" - gemacht, weil man das jeweils wichtigste Buzzword in die Kamera sagen muss, damit wird alles gut, als wäre man in den Geisteswissenschaften und würde alles mit Woke heilen. Dabei wäre die wichtigste Maßnahme, alle Idioten und Schwätzer rauszuschmeißen und nur noch Leute mit Sachkunde ranzulassen - wenn wir sie noch hätten.

Ich habe das seit Jahren beschrieben, wie man seit 25 Jahren alle Leute mit Ahnung rausekelt und im Zuge des ideologischen Inkompetenzkultes - Quality is a Myth - durch den volkswirtschaftlich nutzlosen Überschuss der Geistes­wissen­schaften ersetzt.

Und jetzt hat man halt das Ergebnis.

Und seltsamerweise sagt niemand, dass das das Ergebnis auch der brachialen Ignoranz eines Gerhard Schröder oder einer Angela Merkel ist, die eine große Mitverantwortung dafür tragen, dass unser ganzes System der Berufsausbildung und auch der IT zum Kinder­garten­pille­palle geworden ist. Wir würden heute sehr viel besser dastehen, wenn wir vor 25 Jahren ordentliche IT gemacht und das in die richtigen Bahnen geleitet hätten. Stattdessen hat man die IT zum allgemeinen Futtertrog für Krethi und Plethi gemacht.

Ich bin raus.

MEDA. (Macht Euren Dreck Alleine)

Und wissen wir vielleicht noch nicht einmal, was da noch droht?

Das Problem ist, dass am aktuellen Fall vieles noch unklar ist, und dass das, was klar ist, schwer laienverständlich zu erklären ist.

Ich fange mal so an:

Zu den wichtigsten und sicherheits­relevantesten Programmen überhaupt im Unix^[wp]/Linux^[wp]-Bereich gehört der sogenannte ssh-Dämon. ssh (secure shell^[wp]) ist das Programm, mit dem man sich auf anderen Rechnern einloggt und dort dann auch Administrator (root) wird, womit man also den gesamten Rechner kontrolliert. Wer in diesem ssh-Dämon (sshd) eine Lücke ausnutzen kann, der kann dann jeden Rechner übernehmen, bei dem er an den ssh-Dämon kommt, je nach Art der Lücke. Und das ist übel, weil große Teile der Server und der ganzen Internetdienste auf Linux laufen und damit den ssh-Dämon verwenden, um den Zugang sicher zu steuern.

Und genau das ist nun passiert, ein Angreifer hat es geschafft, da irgendwie eine Sicherheitslücke^[wp] reinzuschmuggeln. Angeblich eine ganz böse, mit der man noch vor der Authentifikation Schadcode ausführen kann, man also überhaupt keine Zugangsdaten braucht (etwas anderes wäre es beispielsweise, wenn man Zugangsdaten für einen Benutzer bräuchte, und sich damit als jemand anderes einzuloggen, aber hier war es die Möglichkeit, direkt Schadcode mit Root-Rechten auszuführen, also der Jackpot).

Nur dem Zufall und einem aufmerksamen Programmierer namens Andres Freund (ironischerweise bei Microsoft), dem auffiel, dass da was nicht stimmt, ist es zu verdanken, dass der Angriff zu einem Zeitpunkt entdeckt wurde, als die Lücke noch - nach derzeitigem Wissen - nur in den Entwicklungs­versionen und noch nicht in den Produktiv­versionen der Systeme war.

Es geht dabei um einen sehr trickreichen Angriff, der nicht direkt am sshd stattfand, sondern über ein Kompressions­programm xz, genauer gesagt, dessen Programmbibliothek, in das eine Hintertür eingebaut war, die aber nur aktiviert wurde, wenn es als Teil des sshd lief und dann erlaubte, schon beim Schlüsseltausch, also lange vor der Authentifikation, Schadcode einzuschleusen.

Was mir daran schon Stirnrunzeln bereitet: Warum eigentlich verwendet die ssh bzw. deren Dämon eine Schrott­bibliothek wie xz? (Wer mal gucken will: Auf einem Linux-System "ldd /usr/sbin/sshd" aufrufen, da taucht liblzma.so auf) Es ist bekannt, dass xz ein ziemlicher Schrott und miserabel entworfen ist.^[22]

Anscheinend war es nun so, dass hinter liblzma die Firma oder sonst unklare Organisation Tukaani steht. Und bei der nun wieder habe ein Entwickler mit dem Account JiaT75^[ext] und dem Namen Jia Tan, den sie nicht einmal kennen, Code-Änderungen eingeschmuggelt. Was man über Jia Tan weiß.^[23]

Das nun wieder war möglich, weil der Code sehr gut getarnt war. Soweit ich das bisher gelesen habe, war die Backdoor^[wp] nicht im Quelltext lesbar, sondern in Testdaten, die man heute eben für automatische Tests beim Compilieren der Software (CI/CD-typisch) verwendet, war wohl eine vorcompilierte Bibliothek versteckt, die man dann eingebunden hat, weshalb die Backdoor nirgends im Quelltext auftauchte.

Dazu kamen wohl noch eine Reihe orchestrierter Fake-Accounts für social engineering^[wp], die die neue Version lobten oder die Maintainer von Red Hat und Debian beknieten, SuSE wohl auch, Alpine wohl ebenso, nur indirekt Homebrew, dass sie die neue Version doch in ihre Distributionen aufnehmen sollten, weil so toll und gut - und das sogar erfolgreich, die fanden Eingang in die Entwickler- und Test­versionen, aber noch nicht in die Produktiv­versionen (wo sie aber dann gelandet wären).

Es gibt inzwischen ganz viele Webseiten dazu (meine jetzt auch), nicht ganz einfach, da noch greifbare Informationen zu finden. Hier und hier etwa, oder hier. Oder auch in deutsch. Oder Heise hier und hier. Und natürlich den CVE.

Alle regen sich auf, aber Ursachen­forschung habe ich bisher nicht entdeckt, bis auf einen Spott mit Verweis, dass xkcd das schon betrachtet habe:

Dazu - mit Verweis auf dieselbe XKCD-Zeichnung - hatte ich aber auch schon viel geschrieben. Nämlich dass wir immer mehr Software schreiben, deren Zusammensetzung wir nicht mehr kennen, weil einfach irgendwelche Bibliotheken eingebunden werden, deren Herkunft und Qualität unbekannt ist, und die ihrerseits immer mehr hinter sich herziehen. Ich habe vor Jahren mal - ich mag Java nicht - für einen Test eine Java-Umgebung aufgesetzt, um ein Programm zu übersetzen - und erste einmal eine halbe Stunde gewartet, bis das Ding alle Dependencies aus dem Internet zusammen­gesammelt hatte, und mir damit dann die Platte vollgerotzt hat. In der Frühzeit von Rust^[wp] wollte ich mal deren Web-Framework Iron ausprobieren, aber das Example lief nicht. Weil irgendwo auf der Welt irgendeine Bibliothek verändert worden sei, man aber selbst nicht wisse, wo in dem Haufen Zeugs, von dem man abhänge, das sei.

Und hier haben wir nun den Vorfall, dass einfach irgendjemand, jemand, den keine Sau kennt und überprüft hat, ob es den überhaupt gibt, ohne Historie, mit Phantasie­namen einfach auftauchen und eine Backdoor in eine Programm­bibliothek drücken kann, mit der er - wenn das nicht rein zufällig jemand entdeckt hätte - 'alle Linux-Server dieser Welt (Windows ausnahmsweise mal nicht, aber besser ist das da auch nicht) kompromittiert hätte.

Und das auf eine Weise, gegen die auch ein sorgfältiger Administrator, Firewall, Intrusion Detection nichts geholfen hätten.

(Was aber wieder meine Meinung bestätigt, dass man jederzeit in der Lage sein muss, seinen Server zu löschen und automatisiert neu aufsetzen.)

Was aber auch belegt, was ich schon vor Jahren prophezeit habe: Dass Linke, Queere, Woke, deren "Code of Conduct"^[wp], die IT zerstören. Denn deren zentrales und mit dreckigsten Methoden durchgesetzes Weltbild ist ja, dass man - Quality is a myth - wirklich jeden an jedem Code mitschreiben lassen muss und niemanden ausgrenzen darf. Und jetzt hat man das Ergebnis.

Man ist sich noch nicht sicher, wen man dahinter vermuten soll. Der Angriff sei so ausgefuchst und mit social engineering unterlegt, dass das kein Anfänger, Skript-Kiddie oder Einzeltäter sein kann.

Man hat etwa die Russen, die Chinesen, Nordkorea in Verdacht. Auf Deutsch: Man weiß nicht, wer dahinter steckt.

In einem Punkt liegt man aber wohl richtig: Nämlich, dass es eine Kriegshandlung war, ein Angriff auf die gesamte Infrastruktur. Und schaut man sich an, seit wann es den Account gibt, seit wann das vorbereitet wurde, kann man sich überlegen, mit wem das zu tun haben kann.