Informationssicherheit

10/2021 Fachbeitrag IT-Sicherheit Swiss Infosec AG

10-Punkte Check für die Etablierung von DevSecOps und weshalb Penetration Tests kein Allheilmittel sind 

 

Moderne Softwareentwicklungsprojekte erfolgen zumeist nach dem agilen Modell. Mit verschiedenen Rollen wird innerhalb dieses Modells für eine bestmögliche Produktentwicklung gesorgt. EntwicklerInnen erzeugen Programmcode und implementieren Features, TesterInnen prüfen, ob die Anforderungen korrekt umgesetzt werden und Plattform-Spezialisten sorgen dafür, dass die Infrastruktur einsatzfähig ist, um einige zu nennen.

 

Die Security des Produkts kommt hierbei leider in vielen Fällen zu kurz. Oftmals fehlen nicht nur die organisatorischen Strukturen, sondern auch das Bewusstsein für nicht-funktionale Sicherheitsanforderungen. Security wird häufig erst zu einem späten Zeitpunkt berücksichtigt, oftmals mit einem Penetration Test kurz vor dem Launch. Die Sicherheit des Produkts hängt stark ab von der Qualität des Penetration Tests und damit vom investierten Budget. Ausserdem führt die Behebung von Schwachstellen, die durch einen Penetration Test identifiziert werden, nicht selten zu unschönen Flickarbeiten, ohne die Probleme auf einer grundlegenden Designebene anzupacken.

Anstatt Sicherheitsbedenken bei Softwareprodukten reaktiv zu adressieren, setzen mehr und mehr Organisationen auf proaktive Ansätze. Mittels des DevSecOps-Ansatzes wird die Security in alle Abschnitte des Software-Lebenszyklus eingebracht. Die Etablierung von DevSecOps ist nicht trivial, da oftmals auch kulturelle Veränderungen nötig sind.

 

Pentest Eisberg

 

Als Swiss Infosec AG möchten wir Ihnen hier eine Liste von zehn Checkpunkten zur Hand geben, die Ihrem Softwareentwicklungsunternehmen als Standortbestimmung betreffend DevSecOps dienen.

 

10-Punkte-Check zur Realisierung eines DevSecOps-Ansatzes

 

Agile Sicherheitsorganisation

Security Champions schaffen eine Kultur für Cybersicherheit und sorgen dafür, dass Sicherheit tief im Entwicklungsprozess verankert wird. Weisen Sie diese Rolle einem Mitarbeitenden zu und sorgen Sie dafür, dass das Verständnis für Sicherheitsthemen beim Security Champion selbst und bei seinen Kollegen fortlaufend verbessert wird.

 

Automatisierte Security-Tests

Ergänzen Sie Ihre DevOps-Pipeline mit automatisierten Security-Tests und Quality Gateways, mit deren Hilfe sie Ihren Code statisch oder idealerweise auch dynamisch auf Verwundbarkeiten überprüfen.

 

Sicherheitsbezogene Ausbildung der Mitarbeitenden

Mit einer kontinuierlichen Ausbildung der Mitarbeitenden sorgen Sie für ein grundlegendes Sicherheitsverständnis. Um möglichst alle zu erreichen, sollten Sie unterschiedliche Methoden für die Sensibilisierung verwenden, z.B. gezielte Weiterbildungen und Firmenkurse zum Thema Secure Coding, aber auch eLearnings, Newsletters oder Plakate.

 

Sichere Entwicklungs- und Build-Umgebungen

Sorgen Sie dafür, dass die Sicherheit Ihres Programmcodes gewährleistet ist, indem sie grundlegende Cyber «Hygieneregeln» einhalten: Aktualisieren Sie alle Systeme regelmässig oder automatisiert mit Sicherheitspatches, seien es die Arbeitsgeräte der Entwickler oder die Komponenten der Build-Pipeline. Spätestens der Angriff auf SolarWinds hat die Relevanz sicherer Build-Umgebungen[1] eindrücklich gezeigt.

 

Sichere Applikationsplattformen und Laufzeitumgebungen

Es nützt natürlich nichts, ein sicheres und modernes Haus auf einem wackligen Fundament zu bauen. Zentraler Bestandteil des sicheren Betriebs einer Applikation sind sichere Applikationsplattformen und Laufzeitumgebungen. Diese erhalten Sie durch Umsetzung von Hersteller- oder Best Practice-Empfehlungen. Ob es sich nun um ein klassisches Serversystem handelt oder eine Containerplattform wie Kubernetes: Diese Umgebungen sind nicht secure-by-default, sondern müssen explizit sicher konfiguriert werden.

 

Secure Coding Principles

Dokumentieren Sie eine verbindliche Vorgabe zu sicheren Entwicklungsprinzipien und schulen Sie deren Einhaltung. Die Erstellung, Schulung und fortlaufende Weiterentwicklung dieser Vorgabe delegieren Sie idealerweise an den dedizierten Security Champion.

 

Threat Modeling

Mithilfe eines Bedrohungsmodells erhalten Sie einen Blick für sicherheitsbezogene Fragestellungen rund um Ihr Entwicklungsprojekt. Threat Modeling Workshops helfen, bei Projektinitialisierung und der kontinuierlichen Weiterentwicklung des Produkts, reale Bedrohungen zu erkennen und mit gezielten Massnahmen entgegenzuwirken.

 

Abuse-Cases

Zur Entwicklung einer sicheren Applikation ist es wichtig, diejenigen Angriffe, gegen die die Applikation gerüstet sein muss, zu identifizieren. Hier helfen Abuse-Cases, die die Diskussion und Implementation elementarer und explizit geforderter Sicherheitsfeatures ermöglichen.

 

Loggen von Security-Events

Auch ein blindes Huhn findet mal ein Korn. Seien sie aber nicht das blinde Huhn, sondern öffnen Sie Ihre Augen für sicherheitsrelevante Vorgänge innerhalb Ihrer Applikation. Das Aufzeichnen solcher Vorfälle in Logfiles ermöglicht sicherheitsbezogenes Monitoring, zeitnahe Auswertungen oder auch die Einrichtung von Alerts.

 

Penetration Testing

Penetration Tests helfen nach wie vor, die Umsetzung von Sicherheitsanforderungen und die Einhaltung von Best Practices im Bereich der sicheren Softwareentwicklung zu überprüfen. Führen Sie einen Penetration Test bei grösseren Updates oder mit regelmässiger Periodizität (bspw. jährlich) durch. Achten Sie darauf, dass Ihr Produkt nicht immer vom selben Kreis von Penetrationstestern geprüft wird. So stellen Sie sicher, dass stets andere Stellen untersucht werden und die Sicherheit Ihres Produkts möglichst breit bestätigt wird.

 

[1] https://www.infosec.ch/blog/devsecops-und-solarwinds


 

Gerne können Sie sich an uns wenden für weiterführende Best Practice-Empfehlungen, Unterstützung oder Sicherheitschecks zur Verwendung von Microsoft 365, Microsoft Azure und anderen Cloud-Plattformen in Ihrer Organisation, wie etwa von Google oder AWS.

 

Fachteam IT-Sicherheit; 27.05.2021

Kontakt: +41 41 984 12 12, infosec@infosec.ch

 

IT-Sicherheit

 

IT-Sicherheit


Mehr als Technik

Gewährleistete Vertraulichkeit, Verfügbarkeit und Integrität: Schützen Sie Ihre Informationen, Systeme und Netzwerke mit durchdachter IT-Sicherheit..

Kontaktieren Sie uns und erfahren Sie in einem unverbindlichen Beratungsgespräch, was unsere IT-Sicherheitsspezialisten für Sie tun können: +41 41 984 12 12, infosec@infosec.ch

Mehr lesen

 

Mehr lesen

10/2021

 

Bilder I: Die Optionsmaschinen, das Management der Normen und die Einschränkung der Auswahl

 

And pretty soon we become so dependent on our new tools that we lose the ability to thrive without them. Options become obligatory.

Daniel Dennett kritisiert im Zusammenhang mit einer Einschätzung zu Künstlicher Intelligenz technologische Entwicklungen und die Bereitschaft der Menschen diese anzunehmen. Eine mögliche Abhängigkeit ist eine dieser Konsequenzen. Das Zitat ist deshalb interessant, da Optionen, also (Aus-)Wahlmöglichkeiten, ein zentrales Element des Konsums sind. Die an- und ausgeführten Beispiele des letzten Kapitels (Smart Homes, Smart Cities, autonomes Fahren), im Grunde alle digital vermittelten Services und elektronischen Domestiken, werden über ein und dasselbe Interface bedient: das Smartphone. Man kann Vieles auch über den Computer machen, es zeigt sich aber, dass das Smartphone als kleiner, praktischer und ständiger Begleiter, der Schlüssel zum Alltag geworden ist. Dass es sich aus dem Telefon heraus entwickelt hat, gehört zu seiner Evolutionsgeschichte; mittlerweile ist es zum Allroundgerät geworden, über das die Menschen ihren Alltag organisieren. Mithilfe und über das kleine Gerät steht einem die Welt offen und es ist in der Tat die Verbindung zur ganzen Welt. Es bietet grenzenlose Möglichkeiten, so scheint es, aber bei genauerer Betrachtung ist es vor allem eine Optionsmaschine, über die paradoxerweise Auswahlmöglichkeiten eher eingeschränkt als neue Welten tatsächlich erschlossen werden.

In seinem Buch »The Burden of Choice« hat Jonathan Cohn auf nachvollziehbare Art und Weise die Zusammenhänge zwischen Konsum, digitalen Technologien und Konsequenzen für den Umgang mit Wahlmöglichkeiten (options, choices), Empfehlungen (recommendations) und Ratschlägen (suggestions) herausgearbeitet. Auf den Punkt gebracht sei die Konsumgesellschaft »the act of making choices ceases to be a performance of individuality and instead becomes an operation of conformity«. Ich würde anfügen, dass der Trick hierbei ist, diese Konformität zusätzlich noch als Ausdruck der Individualität zu verschleiern. Was er für den gesamten Bereich der Auswahl- und Empfehlungsalgorithmen ausführt und sehr anschaulich sowie kritisch darlegt, kann man so konzentriert auf das Smartphone anwenden. Letztlich sind das Gerät, das immer dabei ist und allein durch seine Größe ein paar Besonderheiten aufweist, sowie die Technologie, welches die Ströme bündelt, die für diesen Prozess nicht zu unterschätzen sind.

Smartphones sind Optionsmaschinen in der Hinsicht, dass dort über standardisierte Auswahlmöglichkeiten die Illusion einer vielfältigen und sehr persönlichen Auswahl erzeugt wird. Dabei schränken die Optionsmaschinen die Auswahl eher ein (oder kanalisieren diese), um die Qual der Wahl zu minimieren; bieten aber dennoch ein Interface an, welches das beständige Auswählen wie einen Akt von persönlicher Autonomie aussehen lässt. Das hat in mehrerlei Hinsicht mit dem Smartphone als Technologie, als Kulturgut und als Produkt von Unternehmen zu tun, die mehr als nur Telefongeräte bzw. hochleistungsfähige, tragbare Computer herstellen.

Wobei ein Smartphone als konkretes Artefakt, vor allem als Steuerungseinheit begriffen werden muss, über welche man auf die in der Lebenswelt eingewobene Digitalisierung zugreifen kann, wie z.B. in Autos und im gesamten Bereich der Mobilität. Und es hat mit den Algorithmen zu tun, die diesen Prozessen eine Struktur geben.

Für mein Argument, dass Überwachung unter den Bedingungen der Digitalisierung vor allem konsumiert wird – auch wenn das im Alltag weder so erscheint, noch genannt wird –, ist eine Betrachtung der Technologie und ihre Bedeutung innerhalb der Strukturen eines Überwachungskapitalismus, wie Shoshana Zuboff ihn skizziert hat, wichtig. Dabei sind Cohns Argumente ein wichtiges Element, auch weil sie ermöglichen, über die Mechanismen der Auswahl und eingeschränkten Optionen von einer Formatierung der Wirklichkeit zu sprechen, die eng mit den kulturellen Gegebenheiten und der technischen Ausgestaltung der Geräte zusammenhängt. Optionseinschränkungen sind ein offener Widerspruch zur im Konsumismus verankerten Wahlfreiheit und dem Überangebot an Waren, Möglichkeiten und Identitäten. Im Rahmen der Digitalisierung – insbesondere wenn man sich auf das von Zuboff entworfene Bild eines »Surveillance Capitalism« einlässt (andere sprechen von Plattformkapitalismus) – geht es dabei um die Monopolisierung von Angeboten und Plattformen durch die vorhandene Technologie innerhalb eines Konsumkapitalismus. Dabei gibt es einen manifesten Widerspruch zwischen den Möglichkeiten digitaler Technologien und den gemachten Eingrenzungen durch die großen Internetunternehmen – aber auch generell und ganz allgemein durch viele Anbieter.

Dieser Widerspruch fußt auf der Kontrolle von Wertschöpfungsketten, die bei digitalen Inhalten leichter als irgendwo sonst von einer Hand aus gesteuert werden können. Die Technologie selbst erlaubt, anders als es bisherige technische Plattformen im Zusammenspiel mit politisch-wirtschaftlichen Programmen getan haben, eine Konzentration verschiedener Stufen von Wertschöpfung, Normierung von Prozessen und der Verteilung von Produkten. Historisch gesehen gab es in der Vergangenheit ähnliche Konzentrationen auf verschiedenen Märkten, die aber jeweils wieder zerschlagen wurden – vornehmlich in den USA, aber auch anderswo. Ein Beispiel dafür ist die Filmindustrie, insbesondere das klassische Studiosystem Hollywoods, in der die Produktionsgesellschaften auch die Vertriebs- und Schaubetriebe (Kinos) kontrollierten. Letztlich sorgte ein Kartellrechtsverfahren 1948 für eine Aufteilung dieser Verwertungskette und u.a. auch dafür, dass dieses System bis Ende der 1960er Jahre keinen Bestand mehr hatte. Ähnlich erging es dem Telefonkonzern AT&T, der 1982 aufgrund von Antikartellgesetzen in die sogenannten »Baby Bells«, eine Reihe regionaler Telefongesellschaften, aufgeteilt wurde, womit dem einst größten Telefonkonzern der Welt seine allumfassende Macht genommen wurde. Diese Prozesse sind sicherlich nicht einfach auf die großen Internetkonzerne der Gegenwart übertragbar, dennoch lohnt es sich darauf zu schauen, wer welchen Teil der Produktions-, Inhalts-, Vertriebskette kontrolliert.

Im Zusammenspiel mit Digitalisierung und Konsumismus, in dem sich Identität, Milieu usw. auch über den Konsum bestimmter Services, Produkte, Nutzungsgewohnheiten von Technologien usw. konstituiert, ist es daher gewinnbringend sich diese Verbindungen näher anzuschauen. Im Sinne von Nassehi, der im Zusammenhang mit Digitalisierung danach fragt, welche Bedürfnisse dadurch befriedigt würden, könnte man anführen, dass der Erfolg der Digitalisierung ist, beständig neue Möglichkeiten bereitzustellen, die es den Menschen ermöglichen, modern im Sinne von »auf der Höhe der Zeit« zu sein. Die universelle, form- und funktionsunabhängige Anwendbarkeit digitaler Technologien erlaubt den ständigen Wandel der Angebote, der Trägertechnologien und mithin der gesellschaftlichen Einbettung.

Dabei erlaubt die Digitalisierung nahezu beispiellos weitreichende Strukturen für die Ausgestaltung von Macht und Herrschaft, vor allem über die Beherrschung des Marktes, die auf diesem Wege auch politisch nutzbar gemacht werden kann. Amazon, Google, Apple und Co sind sowohl die technischen Plattformen, als auch die Anbieter der Inhalte, die Zugangsermöglicher und Hersteller der Technologie sowie das Kaufhaus in einem. Darüber hinaus liegen die technischen Netze und viele der Rechenzentren, die für verschiedene Dienste nötig sind, selbst in ihren Händen oder in denen von anderen Multis. Wenn aber die Produktion und der Verkaufsweg von Inhalten, der über eine mutmaßlich öffentliche Infrastruktur vonstattengeht (was sie aber nur bedingt ist), als auch die Technologie selbst, mit der man diese Angebote auswählen kann –  wobei die Passgenauigkeit der Angebote durch die vorhandenen Informationen über die Nutzer:innen viele andere Optionen von vornherein ausschließt (was über die Verkaufs-, Musik-, Film- und Social Media Plattformen ermöglicht wird) –, dann besteht zumindest die Möglichkeit eigene Normen von dem, was angemessene Inhalte sind, selbst zu definieren.

Souverän ist hier, wer über den Normalzustand entscheidet, wie Nosthoff und Maschewski es sehr treffend formulieren. Das ist nicht neu, wenn man etwa die frühindustriellen Siedlungen in Europa oder die Miningtowns in den USA vergleicht, wo der Fabrikbesitzer bis hin zum Kirchenbesuch (und somit auch den Glauben) alles regulieren konnte – bei gleichzeitiger Drohung vom Ausschluss von den bisweilen eher geringen und häufig eher ausbeuterischen Segnungen der Zugehörigkeit. Herbert Schiller hat in »Information Inequalities« bereits betont, dass Unternehmen keine Zensur ausüben müssen, sondern einfach bestimmte Dinge nicht mehr anzubieten brauchen. Er bezog das damals auf die Monopolisierung öffentlicher Kommunikation, wobei im Namen der Freiheit, vor allem die Freiheit von Unternehmen garantiert würde und zwar so zu handeln, wie es für ihre Profitmaximierung vorteilhaft sei und nicht was die Freiheiten der Konsument:innen oder Nutzer:innen angehen würde. Grundlage der Freiheiten sind nicht länger Verfassungen und Gesetze, sondern die Geschäftsbedingungen der großen Unternehmen. Was bei Schillers Analyse vor allem den Medien- und Zeitungsmarkt betraf, gilt im Zuge der technischen und digitalen Entwicklung in ähnlicher Weise für die gegenwärtigen Technologie- und Internetunternehmen – nur eben auf einem wesentlich höherem Einschließungsniveau.

Wenn also die Wahl des Endgerätes über die Möglichkeiten von Inhalten entscheidet, weil Apple oder Samsung hier bestimmte Interfaces für die Welt vorgeben, dann ist das neu und hat Konsequenzen. Stellen Sie sich vor, ihr Auto sagt ihnen, dass Sie gerade einen bestimmten Weg nicht fahren können oder dürfen, andere hingegen diesen Weg vor ihren Augen einschlagen. Die Ideen zum autonomen Fahren sollten nicht darüber hinwegtäuschen, dass auch ohne sich selbststeuernde Fahrzeuge die digitale Kontrolle bereits jetzt in den beweglichen Teilen der Infrastruktur enthalten ist. Die Betriebssysteme von Google oder Apple sind längst Teil automobiler Technologie und die Optionsmaschinen Bestandteil der Mobilitätsinfrastruktur. Das Selbstfahren könnte so auf eine Illusion von Freiheit geschrumpft worden sein, die vor allem der Vermarktung, nicht aber den notwendigen technischen Bedingungen dient. Bisher erlaubt die öffentliche Infrastruktur in Europa (Straßen, Strom, Wasser, Telekommunikation usw.) eine weitgehend ideologieneutrale Nutzung – was sich mit dem Internet und seinen weitreichenden Möglichkeiten der Datenverarbeitung und Vernetzung durchaus ändern könnte. Zumindest aber scheint es heute schon so zu sein, dass die Nutzer:innen in ihren Alternativen eingeschränkt sind, weil der Markt vor allem zwei Anbieter für Endgeräte bietet – die noch dazu vor allem Angebots-Auswahl-Maschinen sind und weniger eine Technologie darstellen, mit der man aktiv die Strukturen des Netzes beeinflussen kann. Dass sich Smartphones wenig dafür eignen, die genutzten Apps zu programmieren und die aktive sowie emanzipatorische Teilhabe an den digitalen Technologien sich eher auf das passive Auswählen beschränkt, verstärkt den Eindruck ihrer rein auf Konsum ausgelegten Beschränkung noch zusätzlich. Ohne diese Art der Einflussnahme ist ein, wie auch immer geartetes, digitales Empowerment und Selbstwirksamkeit im digitalen Raum kaum umsetzbar. Dazu müssen wir uns vor allem die Smartphones, als dominante technologische Erschließungs- und Erlebensform des digitalen Alltags, als eine Art Bedienungsoberfläche für die Welt in seinen vielen Aspekten vorstellen. Hierüber können Wünsche in vielfältiger Art und Weise gesteuert werden.

Zentral dafür ist ein Modus von Vergesellschaftung, der im Sinne eines vereinfacht gesagten »Ich-bin-was-ich-kaufe« funktioniert – wobei die potenziell mimetischen Prozesse der Angleichungen an andere Schichten oder Milieus eine nicht unbedeutende Rolle spielen, wie z.B. die Zurschaustellung von Reichtum über bestimmte Produkte ermöglicht wird, ohne selbst zu den »Reichen« zu gehören. Die oben bereits erwähnten Prozesse der Distinktion und die damit verbundenen Nachahmungspraktiken sind hier zentrale Elemente. Produkte des Massenkonsums haben schon immer Umdeutungen unterlegen. Ihre Aneignungen durch gesellschaftliche Gruppen, für die diese Produkte so nicht gedacht waren, sind wohl dokumentiert und untersucht. Die Folgen waren nicht zuletzt Neuordnungen von der Welt und Perspektiven zur Welt durch diese Gruppen. Die Entstehung der Cultural Studies, im Anschluss an Richard Hoggarts, Raymond Williams oder später auch Stuart Hall in England seit den 1950er Jahren, ist u.a. durch solche Perspektiven begründet.

Denkt man das Bild der Bedienungsoberflächen weiter, dann kann man die Gestaltung von Interfaces zur Welt auch analog zu Religionen setzen. Auch diese stellten – und stellen in begrenztem Umfang noch immer – Zugänge zur Welt dar, geben Regeln zu ihrer Handhabung vor und stiften den dazugehörigen Sinn. Der Vergleich zu Religionen ist nicht ganz zufällig hier, so präsentiert sich doch das Silicon Valley, das Zentrum des digitalen Kapitalismus; aus dem nicht nur die technischen Ideen für die Gegenwart stammen, sondern auch der ideologische Überbau; mitunter als Heilsversprechen auf eine bessere Welt. Bereits Richard Barbrook and Andy Cameron haben 1995 in ihrem Essay »Californian Ideology« auf diese Verbindungen hingewiesen.

Die Entstehungsgeschichte des Silicon Valley aus der Hippie- und New Age Bewegung ist eben kein Zufall. So sind viele Erzählungen rund um die digitalen Technologien auch Versprechungen und geradezu Erlösungserzählungen, die eine bessere Welt vorhersehen bzw. damit verbinden. Abgesehen von der Qualität dieser Erzählungen im Dienste technologischer Erlösungsbewegungen, wie viele Unternehmen mit ihren Visionen bisweilen erscheinen, ist der Aspekt der Formatierung von Wirklichkeit. Auch hier bieten sich Vergleiche zu Religionen bzw. religiösen Praxen an. So hat Adrian Lobe in einem Artikel der Süddeutschen Zeitung darüber nachgedacht, inwiefern Technologiekonzerne die Wirklichkeit formatieren und wie sich die Zukunft unter den Bedingungen digitaler Technologien ausgestaltet, vor allem wenn diese durch quasi monopolhafte Unternehmen vertreten bzw. in unsere Welt gebracht (und entsprechend kontrolliert) werden. Eine seiner Thesen dabei ist, dass während Maschinen immer mehr wie Menschen reden, der Mensch zunehmend in Maschinencodes kommunizieren würde.

Dabei ist die Idee, dass Wirklichkeit »formatiert« wird, tatsächlich nicht neu. Religionen, und noch konsequenter die auf den verschiedenen Kirchen und Konfessionen basierenden Versionen, praktizieren das seit langer Zeit. Es ist sozusagen der Kern ihrer Existenz, die Wirklichkeit in ihrem eigenen und exklusiven Format erfahrbar zu machen. Und auch der Kapitalismus, umgesetzt durch die einzelnen kapitalistischen Unternehmen, hatte ebenfalls schon immer ein besonderes Interesse daran, dass bestimmte Standards gelten, die sie am besten selbst bestimmen und kontrollieren können – und somit auch die Konsument:innen, die Bürger:innen als politisches Wesen gleich noch mit. Je mehr der Staat und (im Prinzip) freie Markt zusammengehen, desto effektiver wird die Kontrolle über die durch Standards und Produkte gemachten Formatierungen.

Im Zuge der Digitalisierung oder, wenn es nach Nassehi geht, ihrer adäquat technologischen Ausgestaltung wurde diese Strategie durch die Entwicklung passender Technologien zunehmend besser und umfasst mittlerweile so ziemlich jeden Lebensbereich. Dabei hat nicht zuletzt die »Smartphonisierung« von Lebenswelten geholfen, womit der Zugriff auf die Welt direkt und unmittelbar geworden ist. Über die »Optionsmaschinen« lässt sich ein direkter Anschluss an eine global vernetzte Welt umsetzen. Gleichzeitig sind diese Geräte und die über sie vermittelten Standards und Formate eine wechselseitige Verbindung mit den Individuen und darüber hinaus mit den Standards und Normen von Gesellschaft eingegangen. Zu diesen Optionsmaschinen gehören auch Geräte wie Alexa und Co, also digitale Domestiken, die allein auf Standardbefehle reagieren und eine, wenn auch enorm große, aber insgesamt beschränkte Variabilität besitzen. Wie, was, wann und in welchem Kontext verstanden werden kann, haben diese Technologien im Zweifel bereits vorher entschieden. Darüber hinaus lernen sie aus den Vorlieben ihrer Nutzer:innen und stellen sich in begrenztem Maße darauf ein – wobei ein nicht unerheblicher Teil der Kommunikation von Menschen ausgewertet wird, diese Geräte also einen Lauschangriff mitten in die Privatsphäre ihrer Nutzer:innen vollziehen und das ohne richterlichen Beschluss und mit der scheinbaren Einwilligung der Nutzer:innen.

Nicht jede Art der Kommunikation muss hier anschlussfähig sein, und sei es nur als gezeigte Ablehnung, wie sie in der menschlichen Kommunikation zumindest als ausgedrückte Unverständlichkeit vorkommen kann. Was die Welt als erfahrbare Realität bzw. als Möglichkeit einer erfahrbaren Realität dann tatsächlich ist, wird durch die allgegenwärtige Technologie zu einem nicht unerheblichen Teil mitbestimmt. Smartphones (und andere Geräte) sind hauptsächlich Optionsmaschinen, also Geräte, über die eine Auswahl von Dienstleistungen und Waren gemacht werden sollen. Eine gleichberechtigte Kommunikation wird suggeriert, nur entbehrt sie tatsächlich vieler Merkmale einer solchen, weshalb die Formatierung von Welt hierüber so einfach ist. Was nicht zur Auswahl steht, existiert nicht. Zunächst nicht in der digitalen Welt, eventuell dann auch nicht in einer wie auch immer wahrgenommen Wirklichkeit, dem »richtigen Leben«, »da draußen« oder wie auch immer die Welt heißt, in der das Digitale zum primären Referenzpunkt und zur dominanten Vermittlungsart sozialer Beziehungen wird. Indem Technologiekonzerne sprachliche Codes determinieren, implementieren sie auch Sprachregelungen und schränken durch technische Voreinstellungen den diskursiven Raum ein. In Diktaturen konnten Dissidenten die Zensur noch mit subversiven Wortspielen und Witzen umgehen. In der künstlichen Umgebungsintelligenz hingegen kann man schon gar keine Systemkritik mehr formulieren, weil jede Spracheingabe a priori systemkonform sein muss, denn sonst würde sie zu einem Fehler geraten, der entweder im Sinne der Technologie berichtigt wird oder zu einem Ausschluss dieser Art von Mensch-Maschine-Kommunikation führt.

Wie sich dies auf soziale Beziehungen auswirkt, lässt sich nicht so einfach sagen: Auch ich halte diese Frage in diesem Zusammenhang nicht für die zentralste, wohingegen Fragen zur Kontrolle, zu den Möglichkeiten von Macht und politischer Herrschaft wesentlich näherliegen würden. Die Grundlage dafür wäre aber zu verstehen, was diese Art der Technologie für das Wissen über Technik und für das Technik-Handeln von Menschen bedeutet.

In Bezug darauf möchte ich folgende These formulieren: Das Wissen über Technik wird durch die Verbreitung digitaler Technologien nicht größer. Technikwissen, auch als emanzipatorisches Wissen über die Aneignung und damit auch die Selbstgestaltung von Welt verstanden, wird aufgrund der Art der Verbreitung als Konsumtechnik über die »Wischautomaten« der Optionsmaschinen eingeschränkt bleiben. Auch wenn es so aussieht, als ob die (jeweils) »junge Generation« den heutigen Lehrern und Eltern die Welt erklären muss und damit auch die Technik selbst, so wäre meine These, dass die Art der Technologien eben nicht über die sehr passive Nutzung hinausgeht. Darüber kann dann auch nicht die rege Beteiligung an der Kommunikation in sozialen Netzwerken hinwegtäuschen, die wie Lobe zeigt, bereits Teil der kontrollierten, formatierten Wirklichkeit sei. Bei den Kirchen kamen die Formatierungen der Wirklichkeit vor allem dann an ihre Grenzen, als die Gläubigen begannen selbst zu lesen, gepaart mit der Kulturtechnik der Reflexion und des Diskurses. Die vorgegebene Formatierung war irgendwann nicht länger aufrechtzuerhalten, Dissens entstand und Neues ergab sich – etwas vereinfacht, aber soll hier als Argument ausreichend sein.

Bezogen auf ein Technikwissen bedeutet das, zu untersuchen, inwieweit digitale Kompetenzen ausgebildet sein müssen oder welche Mindestkenntnisse es bräuchte, um informierte Entscheidungen jenseits der Auswahl von Optionen treffen zu können – dass es mehr sein muss, als zu wissen wie »ich twittere«, erscheint nachvollziehbar. Eine Beschäftigung mit den Dimensionen von dem Technik-Wissen, Technik-Können und Technik-Verstehen erscheint mir daher ebenso wichtig, wie die Erkenntnisse über das Potenzial der Technologien selbst – nicht zuletzt vor dem Hintergrund der Kontroll- und Überwachungsmöglichkeiten digitaler Technologien. Man mag hier zu Recht einwenden, dass diese Sichtweise blind oder nicht offen genug für die immer noch bestehenden emanzipatorischen Effekte der Digitalisierung sei. Dabei geht es mir hier nicht um eine Maschinenstürmerei, im Gegenteil halte ich einen informierten und kompetenten Umgang geradezu für elementar, um eben nicht in eine plumpe Ablehnung von Technik und diesem »neuen Zeug« zu verfallen. Mit Blick auf die Rolle von Normen und ihrer Genese in und durch die Vermittlung von Technologie halte ich es daher für vertretbar, hier vor allem die kontrollierenden und überwachenden Effekte besonders zu fokussieren. Normen bilden Teile eines Fundaments von Gesellschaft, konstituieren diese, ermöglichen Praktiken der Kontrolle und bieten somit eine Ressource für die Aushandlung und Ausgestaltung von Macht und Herrschaft. Die Frage nach der Normgenese unter den Bedingungen der digitalen Beschaffenheit und Ausgestaltung von Gesellschaft berührt hier also den Kern des Phänomens.

 

Nils Zurawski; 2021

https://www.transcript-verlag.de/978-3-8376-5606-0/ueberwachen-und-konsumieren/

https://creativecommons.org/licenses/by-sa/4.0/deed.de

Zur einfacheren Lesbarkeit wurden die Quellenverweise entfernt.

 

Cybersecurity

 

Cybersecurity


Schutz vor Cyber-Bedrohungen

Reagieren auch Sie früh genug und richtig auf die massiv zunehmenden Cyber-Bedrohungen und -Angriffe. Schützen Sie Ihr Unternehmen. Schützen Sie Ihre Informationen.

Kontaktieren Sie uns und überzeugen Sie sich von unserem Know-how im Bereich der Cybersecurity.

Wir beraten Sie gerne und unverbindlich. +41 41 984 12 12, infosec@infosec.ch

Mehr lesen

 

Mehr lesen

10/2021

 

5. Hochentwickelte Hackereinheiten und Malware-Programme

Mittlerweile wurden mehrere hochentwickelte Hackergruppen und Malwarefamilien entdeckt und berichtet, die in den folgenden Abschnitten dargestellt werden.

 

5.1 Hochentwickelte Malware-Programme

Hochentwickelte Schadprogramme (Malware) sind Softwareprogramme, mit deren Hilfe man andere Computer angreifen, infiltrieren, ausspionieren und manipulieren kann und die ihre Ausbreitung selbsttätig steuern können. Derartige Programme nehmen an Häufigkeit zu, so dass die bisherige Einteilung in Viren, Würmer und Trojanern langsam an Bedeutung verliert. Die höchstentwickelten Programme weisen technische Gemeinsamkeiten auf.

Die Analyse der Malware wird durch falsche Spuren (false flags) erschwert, bei denen irreführende Zeitstempel und Spracheinstellungen in dem zur Programmierung genutzten Computer verwendet werden, zudem werden Code-Bruchstücke, die auf andere Hackergruppen hinweisen, eingebaut. Derartige Fälschungen bergen ein hohes Fehlerrisiko, in größeren Malwareprogrammen kann es passieren, dass einzelne Zeitstempel oder Spracheinstellungen nicht durchgehend geändert wurden.

Zudem hinterlassen Hacker auch digitale Fingerabdrücke, womit man charakteristische Zugriffsmuster oder Programmcodes bezeichnet. Diese erlauben eine Differenzierung zwischen Angreifergruppen.

Diese Zugriffsmuster können sich ggf. auf malware families (verwandte Arten von Schadsoftware), die Nutzung von bestimmten Werkzeugen oder Werkzeugkombinationen, Zielrichtung des Datendiebstahls, Nutzung bestimmter Verschlüsslungen, Nutzung verdeckter Kommunikation zu Kontrollrechnern des Angreifers (z.B. durch Vortäuschung legitimen Datenaustauschs) und der benutzten Sprache (inkl. Schreibfehlern, -stil, bevorzugten Begriffen etc.) beziehen. Informationen können auch in kleinen Bildern verborgen werden, einer als Steganographie bekannten Methode. benutzte Manchmal benutzen Angriffsserver Twitter oder e-mail zur Kommunikation mit dem Zielcomputer.

Inzwischen werden die Programmierstile von Programmieren gesammelt und ausgewertet, so dass neue Softwareprogramme mit älteren abgeglichen werden können (‘Stilometrie’). Die NSA untersucht z.B. die Art und Weise, wie Klammern gesetzt, Variablennamen benutzt und Leerstellen gesetzt werden und die Struktur des Programmiertexts. Programmtexte werden z.B. während Hackercamps gesammelt oder auch Arbeiten von Informatikstudenten. Jedoch nimmt die Nutzung von Verschleierungssoftware (obfuscation software) zur Ersetzung von Namen und Veränderung von Klammern zu. Wichtig ist jedoch, dass selbst eine erfolgreiche Abgrenzung einer bestimmten Gruppe von Angreifern noch keine Auskunft darüber gibt, ob diese im Dienste eines Staates stehen.

Viele Menschen betrachten Intrusion als statisches Ereignis: Sobald die Malware installiert ist, kann sich der Angreifer zurücklehnen und der Datenfluss läuft von allein.

In Wirklichkeit ist ein Cyberangriff ein dynamischer Prozess. Der Angreifer kann versuchen, die Zugangs- und Kontrollrechte zu erweitern oder durch eine lateral movement, d.h. zu anderen Computern der eingedrungenen Organisation zu gelangen. Es müssen Updates erstellt und maßgeschneiderte Module hochgeladen werden. Anleitungen müssen an den Zielcomputer gesendet werden.

Eindringlinge müssen darauf achten, dass sie nicht entdeckt werden, z.B. durch Veröffentlichung eines von ihnen verwendeten Exploits. Die extrahierten Daten müssen sorgfältig analysiert werden, um weitere Bedürfnisse zu identifizieren oder zu realisieren, wenn ein weiterer Angriff eine Verschwendung von Zeit und Ressourcen ist.

Deshalb ist es schwierig, den Angriff einer APT zu imitieren, auch wenn die Malware der jeweiligen Hackergruppe auf dem Schwarzmarkt verfügbar ist. Der Angreifer muss sich bewusst sein, dass die Cyber-Security-Unternehmen ihr Wissen nicht zur Gänze veröffentlichen, dass die Nachrichtendienste des Mitgliedsstaates auch mehr über die Nutzung wissen und natürlich die ursprüngliche Hackergruppe ihre Malware besser als jeder andere kennt und daher nicht nur am besten weiß, was benutzt wird, sondern auch wie und wann.

Allerdings könnte eine Angreifergruppe natürlich Malware verwenden, die auf dem Schwarzmarkt verfügbar ist, aber selbst dann              kann die Gruppe typische Charakteristika und Programme im Einsatz zeigen.

Spezialisierte Hacker-Einheiten (z.B. die Equation Group and Waterbug Group) können Computer auf bereits vorhandene Infektionen mit ihrer Malware überprüfen und wenn sie Infektionen von Computern erkennen, die bisher weder angegriffen noch infiziert wurden, werden sie benachrichtigt. Die Hacker-Einheiten könnten sogar in der Lage sein, den Angriff unter falscher Flagge direkt zu untersuchen und dann hat der imitierende Angreifer sowohl in der digitalen als auch in der physischen Welt massive Probleme.

Zusätzlich zu den obigen Analysen ist die Chronologie der Malware-Entwicklung wichtig, um zu erkennen, welche Malware aus Vorläufern abgeleitet werden und damit mit denselben Angreifern zusammenhängen könnte. Für alle anspruchsvollen Malware-Gruppen existiert eine solche Chronologie. Es ist erwähnenswert, dass z.B. die Stuxnet-Malware nicht nur eine lange Versionsgeschichte hatte, sondern dabei auch massive Veränderungen ihrer Struktur und Ziele (ursprünglich Klappenschluß, später Urangaszentrifugen) erfuhr.

Im Bereich der Cyberkriminalität endet ein Cyber-Angriff nicht mit der Computer-Kommunikation, sondern das Geld, das durch die Angriffe gewonnen wird, muss übertragen und versteckt werden. Diese Geldwäsche wird in der Regel mit mehreren Transfers zwischen Bankkonten durchgeführt, um den Ursprung des Geldes zu verschleiern. Die Verwendung von digitalen Bitcoins löst das Problem nicht wirklich, denn am Ende müssen die Bitcoins dann doch wieder in echtes Geld umgetauscht werden. Die Übertragung von großen Geldsummen und schnelle Konto-Bewegungen sind Warnsignale.

Menschen, die ihr Bankkonto für Geldtransfers nutzen, sind die sogenannten money mules, d.h. neben den Hackern sind weitere Personen Teil der Cyberkriminalität. Experten identifizierten die Geldwäsche bei Cyber-Verbrechen als eine wichtige Schwachstelle der Angreifer.

 

5.2 Advanced Persistent Threats (APTs)

Die größten Hackergruppen werden auch als Advanced Persistent Threat (APT), d.h. als fortschrittliche anhaltende Bedrohung bezeichnet. Bisher gilt eine klassische Definition, nach der APTs längerfristig agierende Angreifergruppen mit definierten Techniken, Taktiken und Programmen (TTPs) sind.

Die letzten Jahre haben jedoch gezeigt, dass folgende Definition für Spionage und Cyberwar präziser ist: Eine APT ist eine Projektgruppe innerhalb eines Nachrichtendienstes, die ihre Techniken, Taktiken und Programme (TTPs) sowie die Angriffsziele entlang der operativen Vorgaben ihres Dienstes entwickelt und anwendet.

Typischerweise geht man daher davon aus, dass diese Gruppen zu Staaten (Regierungen/Nachrichtendienste/Militär) gehören bzw. von diesen unterhalten werden. Gründe für diese Annahme sind der betriebene Aufwand und die Komplexität der verwendeten Instrumente, der Bedarf an Spezialisten, die diese Operationen über Jahre durchführen und zugleich verbergen müssen, die Auswahl von politisch und strategisch besonders wichtigen Zielen, der Bedarf an systematischer Sammlung von Informationen usw. Außerdem sind diese Attacken typischerweise nicht sofort profitabel, im Unterschied zu Cyberkriminellen, die Geld mit Bankingtrojanern, Ransomware und ähnlichem verdienen können.

Sicherlich ist es so, dass Hacker am Anfang ihrer Entwicklung erst einmal schauen, wie weit sie kommen und was sie mit ihren Erfolgen anfangen können, aber APTs bilden sich nicht von selber, sie werden durch Zusammenstellung geeigneter Leute gebildet und ihre Cyberaktivitäten an den Zielvorgaben ausgerichtet.

APTs haben ein charakteristisches Muster von Zugangswegen, ausgenutzten Schwachstellen und Werkzeugen, was diese Gruppen unterscheidbar macht. Ein weithin genutzter Begriff für diese Muster ist Tactics, Techniques, and Procedures (TTPs). Da jede Gruppe auch zu bestimmten Zielen tendiert, spricht man auch von einer Opferlogik, engl. victimology.

Die Angriffstaktik variiert: Führende Techniken sind Phishing-E-Mails mit infizierten Anhängen oder Links zu infizierten Websites. Wie in der APT28/Fancy Bear-Analyse der Sicherheitsfirma FireEye skizziert, können solche E-Mails auch zur Spurensuche verwendet werden, wie z.B. "spezifische E-Mail-Adressen, bestimmte Muster, spezifische Namensdateien, MD5-Hashes, Zeitstempel, benutzerdefinierte Funktionen und Verschlüsselungsalgorithmen".

Die Verwendung gestohlener Sicherheitszertifikate und die Verwendung von Zero-Day-Exploits sind typische Indikatoren für eine anspruchsvolle Angreifergruppe.

Jedoch müssen Zuordnungen zu Staaten mit großer Vorsicht gehandhabt werden. Manchmal werden falsche Fährten (false flags) gesetzt, um andere für einen Angriff beschuldigen zu können, oder es wird Malware verwendet, die bereits auf dem Schwarzmarkt erhältlich ist. Manchmal sind Cyberwaffen wenn auch unter Auflagen sogar kommerziell erhältlich.

Zudem hat noch keine Regierung oder Behörde eine Verbindung zu einer Hackereinheit offiziell bestätigt. Eine ‘Verbindung’ zu einem Staat ist zudem ein unscharfer Begriff, man kann daraus nicht erkennen, ob eine Einheit Teil einer staatlichen Organisation ist oder lediglich mit diesem auf Vertragsbasis arbeitet oder anderweitig kooperiert.

Die nun vorgestellten Gruppen sind die meistberichteten in den Medien, jedoch wird die Nummer größerer aktiver Hackereinheiten so auf über hundert Gruppen geschätzt, die folgende Übersicht zeigt die bekanntesten Gruppen.

Zuordnungen durch führende Cybersicherheitsfirmen

Für die Smart Industry ist vor allem wichtig, dass Russland drei darauf spezialisierte APTs hat, nämlich Triton auf der Entwicklungsebene, Dragonfly für die Spionage und Sandworm für Angriffe (in der Ukraine). Es ist denkbar, dass alle drei APTs nur Teil eines umfassend angelegten Cyberproduktionsprozesses sind. In China gilt die APT10 als zurzeit erfolgreichste Industrie-APT, in Nordkorea steht die sogenannte Lazarus-Gruppe im Fokus der Debatte.Alle führenden Gruppen haben mehrere Namen, denn Analysten weisen einer Gruppe typischerweise einen Arbeitsnamen zu und es erweist sich erst später, dass dieselbe Gruppe von verschiedenen Analysten adressiert wurde. Microsoft benennt sie nach chemischen Elementen wie Strontium, Potassium, Barium usw., andere Firmen sprechen von Bears für russische Gruppen und Pandas für chinesische APTs, andere nummerieren die APTs, wieder andere beziehen sich auf Namen im Code, z.B. der Name Sauron in der APT Project Sauron (das all-sehende böse Auge aus Herr der Ringe), Quedagh oder Ouroburos.

Aus amerikanischer Sicherheitsperspektive hat Russland innerhalb der letzten Jahrzehnte erhebliche Fortschritte mit der Errichtung hochspezialisierter Einheiten gemacht. Die APTs stehen unter Kontrolle der Geheimdienste. Russland hat vier Dienste als Nachfolger des ehemaligen sowjetischen Geheimdienstes KGB:

  • FSO – Föderaler Schutzdienst, auch für den Schutz des Präsidenten im Kreml
  • FSB – Inlandsgeheimdienst, aber auch zum Teil im Ausland aktiv
  • SWR - Auslandsgeheimdienst, auch für Intelligence Cooperation zuständig
  • GRU oder GU - militärischer Nachrichtendienst.

Im Jahr 2018 zeigte das Mueller Indictment (Anklageschrift), dass die USA offenbar in der Lage waren, Computeraktivitäten von APT28/Fancy Bears-Mitgliedern in zwei Gebäuden des russischen Militärgeheimdienstes GRU (jetzt GU) zu überwachen und zu protokollieren. Die Industrial Control System (ICS)-fokussierte Gruppe Sandworm/Quedagh wird auch der GRU zugeordnet, die Waterbug/Turla/Ouroburos/Venomous Bear/Krypton Gruppe dem FSB, während die APT29/Cozy Bears dem FSB oder SWR zugeordnet wird, aber der niederländische Geheimdienst berichtete, die Cozy Bears-Mitglieder identifiziert zu haben.

Die Niederländer haben eine gemeinsame SigInt Cyber Unit mit etwa 300 Mitgliedern, die aus dem Geheimdienst AIVD und dem Militärischen Geheimdienst MIVD kommen, darunter eine offensive Cyber-Einheit von 80-100 Personen und eine Cyberdefense-Einheit. Die SigInt Cyber Unit war in der Lage, die Kontrolle über eine Überwachungskamera eines Universitätsgebäudes in der Nähe des Roten Platzes zu übernehmen, wo sich Cozy Bears/APT29 mit einem durchschnittlichen Team von 10 Personen physisch befindet.

Aus historischen Gründen führt der FSB noch ausländische Operationen durch eine spezielle Abteilung durch. Analysten glauben, dass dies getan wird, um den Wettbewerb anzukurbeln, aber auch, um das Kräfteverhältnis zwischen den Diensten zu halten. Die genauen Verbindungen nach Russland werden noch für die systemorientierte Gruppe Energetic Bear/Dragonfly diskutiert. Eine neue Gruppe Temp.Veles wurde im Jahr 2018 gemeldet, aber da es sich um ein staatliches Forschungsinstitut handelt, ist es fraglich, ob es sich um eine eigene APT oder nur um einen Malware-Anbieter für bereits bekannte APTs handelt.

Für die Comment Crew/APT1 und die Axiom/APT17 Group werden Verbindungen zu China diskutiert, während die Lazarus-Gruppe vom FBI in Zusammenarbeit mit der Sicherheitsfirma Mandiant analysiert wurde: Die Gruppe benutzte nordkoreanische IP-Adressen und eine Menge gemeinsamer Infrastruktur, Techniken, Codes etc. bei verschiedenen Angriffen, die mit der Lazarus-Gruppe in Verbindung stehen.

Die Equation Group wird der US National Security Agency (NSA) zugeschrieben, was auf den Leaks der Shadow Brokers-Gruppe aus dem Jahr 2016 basiert, die mit einer nicht autorisierten Datenerhebung von NSA-Software durch einen Auftragnehmer namens Harold T. Martin identisch waren. Und 2017 konnte die als Longhorn Group/The Lamberts bekannte APT mit der CIA auf Basis der Vault-7-Lecks in Verbindung gebracht werden.

Aber es gilt unbedingt zu beachten, dass alle angesprochenen Regierungen solche Verbindungen verneint bzw. nicht kommentiert haben.

In der Praxis zögerten die Vereinigten Staaten lange, Angreifer offiziell zu benennen, weil dadurch Geheimdienstwissen der Öffentlichkeit zugänglich gemacht werden müsste. Dies führte zu dem sogenannten Grizzly-Steppe-Bericht 2016/2017 über die Beteiligung russischer Akteure an den US-Präsidentschaftswahlen, der für seine vagen Äußerungen kritisiert wurde. Unterdessen wurde beschlossen, einige Geheimdiensterkenntnisse zu enthüllen, die es erlauben, Angreifer offen und präzise zu benennen. Dies resultierte im Mueller-Indictment aus dem Jahr 2018, das die Erkenntnisse aus der Überwachung und Protokollierung von Computern der russischen Geheimdienstoffiziere als Mitglieder von APT28/FancyBears zeigt, einschließlich der organisatorischen Einteilung (GRU Units 26165 und 74455), die Namen der Offiziere und detaillierte Protokolle, wie, von wem und wann die Demokratische Partei angegriffen wurde, die gestohlenen Daten übertragen und durchsickern ließ (spearphishing, DNC-Hack, DCLeaks, Guccifer 2.0).

Nachdem Google im Jahr 2014 in einem Bericht mit dem Namen "Peering into the Aquarium" erhöhte Cyber-Aktivitäten des russischen Militärgeheimdienstes GRU festgestellt hatte, wurde nicht nur die Überwachung und Protokollierung von Computern von GRU-Offizieren durchgeführt, sondern von westlichen Diensten auch konventionelle nachrichtendienstliche Maßnahmen eingesetzt. Die Aktivitäten wurden massiv verstärkt, nachdem vier Russen, die als GRU-Mitglieder identifiziert wurden, in den Hauptsitz der OPCW in der Schweiz gereist waren, um ihre Untersuchungen zu chemischen Waffen zu beobachten. Dazu gehörten eine Beratung des ehemaligen GRU-Mitglieds Skripal und anderer ehemaliger Agenten, das Abhören von Telefonaten und Kontakte zum russischen Passamt und der Verkehrspolizei. Die Kombination dieser Quellen erlaubte es, die Adresse eines GRU-Gebäudes und dazu 300 GRU-Mitglieder zu identifizieren, da ihre Autos mit der Adresse dieses Gebäudes gemeldet wurden.

In gleicher Weise wurde die Lazarus-Gruppe vom FBI in Zusammenarbeit mit der Sicherheitsfirma Mandiant analysiert, um einen nordkoreanischen Offizier Park Jun Hyok als Schlüsselmitglied zu identifizieren. Die Gruppe benutzte nordkoreanische IP-Adressen und eine Menge gemeinsamer Infrastruktur, Techniken, Codes etc. bei verschiedenen Angriffen, die mit der Lazarus-Gruppe in Verbindung stehen, und untermauerte so die Ergebnisse der Operation Blockbuster mit soliden Beweisen.

 

5.3 Die Vereinigten Staaten

 

5.3.1 Die Equation Group

Das erste Unterkapitel beschreibt die Entdeckungsgeschichte der Stuxnet, Duqu und Flame-Malware, die mit der Entdeckung von Stuxnet in 2010 begann, gefolgt von Flame und Duqu. Später wurde jedoch gezeigt, dass Stuxnet schon mindestens seit 2005 existiert hat.

Forscher von Kaspersky Labs entdeckten die Equation Group im September 2014, die schon seit vielen Jahren aktiv war, mit ersten Spuren bis zurück in das Jahr 1996. Dies wird im zweiten Unterkapitel beschrieben. Stuxnet, Duqu und Flame konnten mit anderen Malwarefamilien der Equation Group zugeschrieben werden. Jedoch waren die ersten Stuxnetversionen anders, auch mit einem anderen Angriffsziel (Klappen statt Zentrifugen), so dass womöglich eine weitere Programmiergruppe an der Entwicklung von Stuxnet beteiligt war.

Das dritte Unterkapitel beschreibt den Shadow Brokers–Vorfall vom August 2016. Die Malware wurde von den Shadow Brokers als von der Equation Group stammend präsentiert und wurde wegen Ähnlichkeiten zu von Edward Snowden präsentierten Malwarelisten von den Medien mit der NSA in Verbindung gebracht. Nachforschungen konnten jedoch nicht zeigen, dass die NSA gehackt wurde, die Malware war zudem von 2013 oder noch älteren Datums.

Mittlerweile wird die Existenz einer gesonderten Equation Group in Frage gestellt, da es sich nur um einen Arbeitsbegriff für die NSA selbst handeln könnte. Diese Vermutung wird dadurch gestützt, dass die im Shadow Brokers-Vorfall gesammelte Malware im Harold T. Martin-Prozess von 2017/2018 als originäre NSA-Software behandelt wird.

5.3.1.1 Entdeckungsgeschichte - Der ‚digitale Erstschlag’

Eine Serie von hochentwickelten Spionageprogrammen und Trojanern wurde seit Ende 2006 vor allem auf iranischen Computern installiert und ausgeführt.

Ein sehr großes Programm namens Flame diente dabei als Technologieplattform für die Entwicklung weiterer Programme wie DuQu und später Stuxnet, das die Funktion von Uranzentrifugen in iranischen Nukleareinrichtungen störte. In den Jahren 2011 und 2012 haben US-Medien berichtet, dass diese Aktivitäten Teil einer amerikanisch-israelischen Kooperation namens ‘Olympic Games’ waren, um die iranischen Nuklearfabriken lahmzulegen, aber die offizielle Bestätigung hierfür steht nach wie vor aus. Der folgende Abschnitt berichtet die Ereignisse in Reihenfolge der Entdeckung.

Fernwartungs- und -Steuerungsfunktionen (Industrial Control Systems ICS) wie die Supervisory Control and Data Acquisition SCADA) über IP-Adressen für Maschinen ermöglichen die Kommunikation mit Maschinen über das Internet.

Der erste großangelegte Angriff auf Industrieanlagen erfolgte im 2009 durch den Stuxnet-Wurm und zielte primär auf Siemens-Steuerungssysteme.

Stuxnet ist ein Wurm, also ein Programm, das sich, wenn es erstmal auf einem Computer platziert hat, von dort eigenständig in andere Computer ausbreiten kann.

Stuxnet wurde mit Hilfe von infizierten USB-Sticks in Computer eingebracht. In Windows existierte eine Schwachstelle in LNK-Dateien, die als Eintrittspforte genutzt wurde. Gefälschte Sicherheitszertifikate (digitale Signaturen) von den zwei Herstellern Realtek und Semiconductor, die mit der Sache aber nichts zu tun hatten, gaukelten dem Betriebssystem Windows 7 Enterprise Edition Vertrauenswürdigkeit vor.

Die im Simatic S7-System von Siemens enthaltenen speicherprogrammierbaren Steuerungen (SPS) laufen unter dem Betriebssystem Windows, ebenso die Software für die Visualisierung von Parametern und die Steuerung der SPS, unter dem Kürzel WinCC. Stuxnet sucht in Computern gezielt nach WinCC und der Step 7-Software in Simatic S7, wobei nur die Versionen S7-300 und S7-400 befallen werden und zwar auch nur dann, wenn eine bestimme Netzwerkkarte des Typs CP 342/5 daran angeschlossen ist. Stuxnet arbeitet also hochselektiv. Nach dem Befall beginnt Stuxnet, Informationen ins Internet zu schicken, u.a. an zwei Server in Malaysia und Dänemark. Stuxnet enthält und unterstützt Rootkits, also Programmsätze zur Kontrolle des Computers.

Zudem sucht Stuxnet auch nach weiteren geeigneten Systemen zur Infektion unter Ausnutzung der sogenannten Autorun-Funktion von Windows. Stuxnet löscht sich nach einer bestimmten Zahl von erfolgreichen Infektionen selbst. Es kamen Vermutungen auf, dass dadurch möglicherweise zum Atombombenbau benötigte Urangaszentrifugen im Iran geschädigt wurden, da ihre Zahl 2009 aus unerfindlichen Gründen rückläufig war und die Internationale Atomenergiebehörde IAEO auch 2010 über Stillstände berichtete, die daraufhin vom Iran auch bestätigt wurden.

Aus diesen Informationen und dem Umstand, dass Stuxnet gleich mehrere bis dahin gänzlich unbekannte Schwachstellen (Zero-Day-Exploits) nutzte und geschätzten Entwicklungskosten von ca. 1 Million US-Dollar ergab sich in den Medien das Bild einer gezielten Superwaffe, die möglicherweise von Geheimdiensten konstruiert wurde, um das iranische Atomprogramm zu sabotieren.

Die oben beschriebenen Eigenschaften von Stuxnet treffen auf die Stuxnet Versionen 1.0 und höher zu. Symantec berichtete 2013 über die Existenz früherer Versionen, die u.a. durch die Nutzung anderer Schwachstellen (exploit) für das Eindringen charakterisiert sind. Stuxnet Version 0.5 wurde ab November 2005 entwickelt und ab November 2007 eingesetzt. Die Infektion erfolgte nur über Step 7-Systeme und führte zu einem zufälligen Klappenschluß, der die Urangaszentrifugen schädigen konnte. Die Infektionen mit Version 0.5 endeten im April 2009.

Die New York Times berichtete am 15.01.2011, dass das Heimatschutzministerium Department of Homeland Security und die dem Energieministerium zugehörigen Idaho National Laboratories Siemens-Systeme 2008 auf Schwachstellen untersuchten, und dass möglicherweise Befunde aus diesen Tests zur Entwicklung von Stuxnet genutzt wurden, nachdem sie in der Lage waren, die iranischen Urangaszentrifugen zu Testzwecken nachzubauen.

Am 01.06.2012 berichtete die New York Times, dass Stuxnet Teil eines Olympic Games genannten Cyberattackenprogramms war, das 2006 vom ehemaligen US-Präsidenten George W. Bush initiiert worden war. Die Berichte der New York Times wurden offiziell nicht bestätigt, aber Aussagen des New York Times-Artikels von 2012 wurden von offizieller Seite als unautorisierte Preisgabe vertraulicher Information gewertet, wobei wiederum nicht gesagt wurde, welche Textpassagen damit gemeint waren.

Durch einen technischen Fehler hatte Stuxnet den Computer eines Ingenieurs infiziert und sich dadurch im Internet in andere Länder ausgebreitet. Dies würde auch erklären, warum auch andere Staaten betroffen waren, insbesondere Indonesien, Indien, Aserbeidschan und Pakistan, und neben einem Dutzend weiterer Staaten auch die USA und Großbritannien. Zudem hat Stuxnet auch im Sinne des Angreifers Fehler gehabt. Stuxnet war auf ein bestimmtes Zeitfenster programmiert; da aber bei manchen Computern die Uhren verstellt sind, um das Ablaufen von Lizenzen zu verhindern, ließ sich die geplante Befristung nicht aufrechterhalten, d.h. der Angriff wurde im Bezug auf die Software sehr präzise ausgeführt, nicht jedoch im Bezug auf Zeitpunkt und Ort.

Es muss aber auch der Schaden betrachtet werden, den Stuxnet für die Zukunft anrichtet, denn mit Stuxnet wurde auch das Know-how allgemein preisgegeben. Die Stuxnet-Berichterstattung weist  übrigens eine Art ‚Lücke’ auf. Die breite Berichterstattung begann erst Mitte September 2010, obwohl Stuxnet schon im Juni 2010 von einer Weißrussischen Firma entdeckt wurde und eine kommerzielle Antivirussoftware schon am 22. Juli 2010 verfügbar war, Bloomberg Businessweek hatte den Vorgang dann am 23. Juli 2010 gemeldet. Der Iran hat schon am 26. Juli 2010 in Iran Daily den Angriff durch Stuxnet bestätigt. Siemens bestätigte, dass Anlagen von 15 Kunden betroffen seien, davon 60% im Iran. Mögliche Gründe für diese fast zweimonatige Medienlücke sind das nachträgliche Aufkommen der Vermutung geheimdienstlicher Beteiligung, ein offiziell nicht bestätigter Befall des iranischen Reaktors in Buschehr und die Debatte über den Cyberspace im Rahmen der neuen NATO-Strategie.

Die Stuxnet-Attacke wurde von anderen Aktivitäten begleitet. Relevante Teile des Quellcodes der Spionagesoftware W32.DuQu, die im September 2011 entdeckt wurde, waren identisch zu Stuxnet. DuQu benutzte ein gestohlenes Sicherheitszertifikat eines taiwanesischen Unternehmens zum Eindringen und konnte z.B. screenshots machen, Tastatureingaben protokollieren (keylogging) und Informationen aus den befallenen Computern verschicken und wie Stuxnet verfügte es auch über ein Verfallsdatum mit Selbstzerstörung. Es wurde vermutet, dass DuQu evtl. dazu dienen sollte, Informationen aus den Zielsystemen zu gewinnen, die für die Schaffung von Stuxnet genutzt wurden.

Nachdem im April 2012 iranische Ölterminals von einer datenvernichtenden Schadsoftware namens Wiper getroffen wurden, entdeckte die Sicherheitsfirma Kaspersky Labs im Mai 2012 ein anderes multifunktionales ‚Virus’ namens Flame, das sehr detaillierte Informationen über die infizierten Systeme weitergibt und das wiederum eine technische Verwandtschaft zu Stuxnet aufwies.

Die Washington Post berichtete, dass Flame bereits im Jahre 2007 entwickelt wurde und Teil der Cyberaktivitäten gegen den Iran war. Der Programmteil, der die Infektion durch USB-Sticks ermöglichte, wurde zuerst in Flame und dann in Stuxnet verwendet.

Im weiteren Verlauf des Jahres 2012 wurde über weitere technisch mit Flame verwandte Schadsoftware berichtet: der Trojaner Gauss sammelte Informationen über finanzielle Transaktionen, z.B. von libanesischen Banken und eine kleine Variante von Flame namens Mini-Flame.

 

5.3.1.2 Die Tools der Equation Group

Anfang 2015 berichtete die Sicherheitsfirma Kaspersky Labs über eine neue Malware-Familie, die sich Equation group nennt. Die Malware kann bis 2001 zurückverfolgt werden, eventuell sogar bis 1996. Aufgrund technischer Überlappungen könnte es sein, dass Stuxnet Teil einer größeren Malware-Familie ist.

Der Kaspersky-Virenschutz schlug im September 2014 bei einem massiv Malware-verseuchten Privatcomputer an, wobei sich der Computerbesitzer als NSA-Kontraktor entpuppte. Kaspersky hatte am 11 Sep 2014 die Equation Group-Malware gefunden, aber nur, weil der Besitzer des Computers auch andere Malware auf dem Computer hatte. Ein 7zip-Archiv, das von Kaspersky Antivirus geprüft wurde enthielt Equation Group-Tools, die der Mitarbeiter vorschriftswidrig mit nach Hause genommen hatte. Die Entdeckung war also nur ein Beifang.

Der Computerbesitzer hatte 121 weitere Malwareprogramme auf dem Rechner, u.a. die Backdoor Mokes/SmokeBot/Smoke loader, die seit 2011 in russischen Untergrundforen bekannt war, deren Command and Control-Server jedoch 2014 von einer chinesischen Gruppe namens Zhou Lou registriert waren, so dass auch weitere Akteure im Rechner der Zielperson gewesen sein könnten.

Die Israelis waren jedoch bereits im Rechnersystem von Kaspersky mit der Spionagesoftware Duqu 2.0 und konnten die Aktivitäten beobachten.

Zunächst wurden zwei Arten von Schadprogrammen auf der gemeinsamen EquationGroup-Plattform entwickelt, das eine ist das um 2001-2004 genutzte EquationLaser-Programm, das später von den weiter entwickelten Programmen EquationDrug und Grayfish abgelöst wurde (vermutlich zwischen 2008 und 2013), das andere war Fanny aus dem Jahr 2008, welches zwei unbekannte Lücken (zero-day exploits) nutzte, die später auch bei Stuxnet genutzt wurden. Computer, die mit Fanny infiziert wurden, wurden zum Teil auch mit den Nachfolgern DoubleFantasy und TripleFantasy infiziert. Beide Arten von Schadprogrammen wurden typischerweise gemeinsam benutzt, wobei nach der Ausnutzung einer Internet-Schwachstelle DoubleFantasy geladen wurde, um zu prüfen, ob der Computer ein interessantes Ziel ist; und falls dies der Fall war, wurden EquationDrug oder Grayfish nachgeladen.

Grayfish infiziert den boot record des Betriebssystems und übernimmt die totale Kontrolle, d.h. betreibt den gesamten Computer. Es sammelt Daten und legt sie verschlüsselt als encrypted Virtual File System in der Registry des Computers ab, wo es für Antivirus-Produkte unsichtbar ist. Fanny ist ein Wurm, der nicht mit dem Internet verbundene Computer über USB-Sticks befällt und dann bei der nächsten Gelegenheit alle Informationen versendet, wenn der Stick in einen mit dem Internet verbundenen Computer gesteckt wird.

Die EquationGroup-Malware wird durch interdiction verbreitet, bei der versandte CD-ROMs und andere physische Medien während des Transportes entnommen und durch infizierte ersetzt werden. EquationDrug und Grayfish können auch noch die Firmware infizieren, d.h. die in die Hardware eingebetteten essentiellen Programme eines Computers. Dadurch übersteht die Schadsoftware auch eine Neuinstallation des Betriebssystems und erlaubt eine tief verborgene Datenspeicherung. Diese anspruchsvollen Angriffsmethoden wurden jedoch nur gegen bedeutende Ziele, insgesamt einige hundert Computer eingesetzt.

Wichtige Verbindungen zwischen der EquationGroup Malware-Familie und der Stuxnet-Familie sind die folgenden: Grayfish nutzt in einem Infektionsschritt eine Hash-Code-Verschlüsselung, die Ähnlichkeiten zum Gauss-Programm aufweist. Fanny, Stuxnet, Flame und Gauss nutzen einen gemeinsamen LNK-exploit, während Fanny, Stuxnet, DoubleFantasy und Flame eine bestimmte Methode zur Eskalation von Nutzerprivilegien verwenden. Zudem nutzen DoubleFantasy, Gauss und Flame noch eine spezifische Methode der USB-Infektion.

Mitte 2015 berichtete Kaspersky Labs über einen sie auch selbst betreffenden Befall mit DuQu 2.0, einem Schadprogramm mit Ähnlichkeiten zu DuQu. Auch andere wichtige Ziele wurden angegriffen, insbesondere Computer von Teilnehmern der P5+1-Treffen, d.h. der Gespräche über das iranische Atomprogramm. Die Schadsoftware nutzte eine Schwachstelle zum ‚lateral movement‘, also der Hochstufung eines nicht-privilegierten Nutzers zu Administratorenrechten. Die Programmierer setzten ‚false flags‘, d.h. nutzten Codeelemente, die auf andere Hackergruppen verweisen sollten. Auch Zeitstempel wurden manipuliert.

DuQu 2.0 wird inzwischen Israel und der Unit 8200 zugerechnet. Dieses gegenüber DuQu weiter entwickelte Programm richtete sich auch gegen US-Ziele. Aufgrund der mit DuQu 2.0 gesammelten Hinweise beobachtete der israelische Geheimdienst, dass russische Geheimdienstler Kaspersky-Zugänge wohl im piggybacking-Verfahren dazu nutzten, US-Ziele auszuspähen, weshalb eine diesbezügliche Warnung an die NSA erging. Dieser Vorgang wurde dann 2017 vom Wall Street Journal publiziert zu dem Zeitpunkt, wo Kaspersky seine kostenlose Antivirusversion Kaspersky Free auf den Markt brachte, was einen erheblichen Nutzungszuwachs erwarten ließ. Das Department of Homeland Security DHS verbot den internen Einsatz von Kaspersky-Software.

Dies wurde auch mit der Entdeckung der Equation Group 2014/2015 in Verbindung gebracht; Kaspersky bestritt dies jedoch energisch und verwies darauf, dass die Aufdeckung nur dadurch erfolgte, dass der Kaspersky-Virenschutz im September 2014 bei einem massiv Malware-verseuchten Privatcomputer anschlug, also der Virenschutz lediglich seine Arbeit tat und der Computerbesitzer sich als NSA-Kontraktor entpuppte.

Regin ist ein mehrstufiges, modular aufgebautes Programm, d.h. es kann maßgeschneiderte Module auf den infizierten Computer nachladen und wurde Ende 2014 entdeckt, könnte aber schon 2008 oder früher kreiert worden sein. Während bisher keine Evidenz für eine Verwandtschaft mit Stuxnet berichtet wurde, fand die Sicherheitsfirma Symantec ein ähnlich hohes Entwicklungsniveau und einem modularen Ansatz, wie er auch schon bei Flame und Weevil (Careto/The Mask) gefunden wurde, während der Aufbau mit dem schrittweisen Laden ähnlich in der Duqu/Stuxnet-Familie gesehen wurde. Ähnlich wie bei der Equation Group wurden encrypted virtual file system containers und eine RC5-Verschlüsselung benutzt. Regin hat viele Eigenschaften wie die Überwachung des Datenflusses, die Entnahme von Informationen und das Sammeln von Daten. Wie bei den anderen beschriebenen Schadprogrammen wurden wieder nur wenige ausgewählte Ziele attackiert.

 

5.3.1.3 Der Shadow Brokers-Vorfall

Im August 2016 gab eine bis dahin unbekannte Gruppe namens Shadow Brokers an, Cyberwaffen der Equation Group in ihrem Besitz zu haben. Zum Beweis veröffentlichten sie eine frei zugängliche Datei und boten eine weitere Datei zur Versteigerung an mit einem Schätzpreis von 1 Million Bitcoins (500 Millionen Euro zu der Zeit). Die Auktion wurde jedoch ganz schnell abgeschaltet, das letzte Gebot lag bei 0,12 Bitcoins (60 Euro). Die Medien spekulierten, dass dies eine symbolische Warnung Russlands gewesen sei wegen der Verdächtigungen im sogenannten DNC hack (siehe nächstes Kapitel) in den Medien, d.h. sie wollten zeigen, dass auch sie in der Lage sind, Spionageaktivitäten der anderen zu verfolgen und ggf. bei Bedarf zu zeigen.

Die Analyse der öffentlichen Datei zeigte Software von 2013; die Experten vermuteten, dass das Material von einem von der Equation Group genutzten Command and Control-Server kopiert wurde, also kein ‘NSA hack’ oder ähnliches stattgefunden hat.

In einem späteren Statement auf Pastebin und Tumblr – das laut eigener Angabe von den Hackern selbst stammte- erklärten diese, dass das Material von einem Vertragsmitarbeiter der Firma RedSeal nach einer Sicherheitsübung kopiert worden war. RedSeal ist eine Firma, die zum Portfolio von In-Q-Tel gehört. In-Q-Tel wurde 1999 von der CIA als Venture Capital-Firma für strategische Investments in Startups etc. gegründet. Das Statement ist vielleicht korrekt, aber es ist ungewöhnlich, dass Hacker ihre Eindringstrategie einfach veröffentlichen, so ist es theoretisch denkbar, dass diese Mitteilung auch zur Verschleierung anderer Sicherheitslücken gedient hat oder ein Versuch war, die CIA in die Affäre hineinzuziehen.

Das Material schien jedenfalls echt zu sein und einige Dateinamen waren identisch zu denen, die Edward Snowden als NSA-Tools bezeichnet hatte, wie z.B. Epicbanana, Buzzdirection, Egregiousblunder, Bananaglee, Jetplow und Extrabacon. Die IT-Firmen Cisco und Fortinet bestätigten die Existenz von Sicherheitslücken; eine der Cisco-Lücken war zum Zeitpunkt der Veröffentlichungen noch nicht geschlossen, während die Fortinetlücken nur ältere Versionen betrafen.

Am 31. Oktober 2016 veröffentlichten die Shadow Brokers eine Liste von Servern mit 352 IP-Adressen, die von der Equation Group genutzt wurden, darunter 32 edu-Domains aus verschiedenen Ländern und dazu sieben weitere Tools wie Orangutan (die z. B. in Deutschland gefunden wurde) und Patchicillin.

Am 08.04.2017 wurde das lange und komplexe Passwort zu den verschlüsselten Dateien von 2016 veröffentlicht, was die vorher geleakten Dateien zugänglich machte.

Am 14.04.2017 wurden weitere Instrumente veröffentlicht, darunter DoublePulsar, EternalBlue und EternalRomance, die dann vermutlich von anderen Akteuren zur Vorbereitung von drei großen Cyber-Attacken namens WannaCry/WanaDecryptor 2.0, Adylkuzz und Petya/Not-Petya/Petya2017 verwendet wurden (vgl. später zur Lazarus-Gruppe im selben Abschnitt).

Im Mai 2017 sagten die Shadow Brokers, dass sie über Daten zur Überwachung von SWIFT-Servern durch die NSA und zu nuklearen Programmen verfügen würden. Im September 2017 gaben die Shadow Brokers ein älteres NSA-Manual für Angriffe auf Windows, Unitedrake, frei.

Um mögliche Verbindungen zu den Shadow Brokers zu klären, wurden diverse NSA-Mitarbeiter einem Lügendetektortest (Polygraphen) unterzogen, einige wurden suspendiert, einige mussten ihren Pass abgeben, wobei jedoch die Verbindungen zu den Shadow Brokers nicht geklärt werden konnten.

Ein besonderer Fokus lag auf jenen Mitarbeitern, die auch schon für die CIA gearbeitet hatten, um zu prüfen, ob eine Verbindung zwischen den Vault7-Releases auf Wikileaks und den Shadow Brokers bestehen könnte.

 

Harold T. Martin III Leak

Untersuchungen u.a. durch das FBI nach den Shadow Brokers-Leaks führten im August 2016 zur Entdeckung des nicht autorisierten Kopierens von Daten durch Harold T. Martin.

Die gefundenen Dateien würden 500 Millionen gedruckten Seiten an Material entsprechen. Er lagerte sie in seinem Haus in Maryland auch an unsicheren Orten, wie der Garage und auf dem Rücksitz seines Autos, das trotzdem offen auf der Straße stand. Die Speicherung bestand aus Festplatten, Computern, USB-Sticks und Ausdrucken.

Er arbeitete für sieben private Unternehmen bei verschiedenen Agenturen, darunter die CIA, Cybercom und ODNI und war zuletzt bei Booz Allen Hamilton beschäftigt, wo er von 2012-2015 als Auftragnehmer in der Tailored Access Operations Group TAO der NSA arbeitete. Dann war Mr. Martin in ein Cyber-Security-Doktorandenprogramm an der University of Maryland eingeschrieben, für das er weitere Forschung betrieb.

Es ist nicht klar, wie die Shadow Brokers die Hackerwerkzeuge erhielten, die - wie von der Washington Post berichtet - identisch sind mit denen, die von Harold T Martin entwendet wurden, nach Aussagen ehemaliger Beamter. Auch scheint es praktisch die gesamte Bibliothek der NSA zu sein (‚virtually the entire library‘). Er hat über Jahre eine riesige Menge an Daten aus verschiedenen Agenturen gestohlen, d.h. auch außerhalb der NSA.

Ursprünglich galt die Arbeit der NSA-Tailored Access Group TAO als Exceptionally Controlled Information, die nur in Safes gelagert werden durfte. Die Regeln wurden später gelockert, als die Mengen an Informationsmaterial immer mehr anwuchsen.

Zu Harold Martin wurde berichtet, Zugang zu vertraulichem Material seit 1996 seit seiner Zeit an der US-Marine zu haben; und am Gericht plädierte er zunächst auf nicht schuldig, die Untersuchung und der Prozess waren da noch im Gange.

Harold T. Martin wollte sich im Januar 2018 für den ersten von 20 Anklagepunkten schuldig bekennen, 19 weitere Punkte werden noch verhandelt. Eine Verbindung zu den Shadow Brokers konnte bisher nicht gezeigt werden. Er hatte Dateien von der NSA, US Cybercom, der CIA and des NRO gesammelt.

5.3.2 Die Longhorn Group/Lamberts/Der Vault 7-Vorfall

Im März 2017 begann die Plattform Wikileaks, Informationen über die Cyber-Fähigkeiten der Central Intelligence Agency CIA unter dem Namen Vault 7 zu veröffentlichen Das Leck umfasste 7818 Webseiten und 943 Anhänge aus dem CIA Cyber Center of Intelligence.

Digitale Spuren führten Ermittler zu einem Team von Entwicklern, die früher mit der CIA Engineering Development Group zusammenarbeiteten. Allerdings haben diese Vertragspartner die Projekte verloren und waren deshalb unzufrieden, was der Grund für das Leck gewesen sein könnte.

Von der Organisationsseite aus hatte das bereits bekannte CIA Cyber Center of Intelligence im Jahr 2016 eine geschätzte Mitarbeiterzahl von 5.000 Personen und 1.000 Programmen.

Es gibt eine Vielzahl von spezialisierten Gruppen (branches), wie zum Beispiel die Embedded Development branch für die Einbettung von Implantaten in VoIP-Telefone, Smart-TVs etc., die Network-Devices branch für Router und die Mobile Development branch für Mobiltelefone. Das Cyber Center of Intelligence Europe (CCI Europe) ist verantwortlich für Europa, die MENA-Region und Afrika. Allerdings scheint es, dass die Bemühungen auf Einzelpersonen statt auf Massenspionage gerichtet waren.

Die von Vault7 offenbarten Cyber-Tools wie Malware-Archive, Verschleierungs (obfuscation) software, Spyware, interdiction etc. spiegeln den Stand der Technik der Cyber-Intelligenz wider.

Die wichtigsten Ergebnisse waren bisher:

  • Umgehung der Verschlüsselung von Messenger Services und Smartphones. Car Hacking wurde nur ausprobiert, Erfolgsberichte waren nicht verfügbar.
  • Weeping Angel-Spyware kann Smart-TVs (Samsung Modell F-8000) infizieren, wenn Agenten physischen Zugang zu ihnen haben, was es ermöglicht, TV-Zuschauer zu beobachten, da der Fernseher nur in einem gefälschten Off-Modus ist.
  • Die Sammlung ausländischer Malware hat den Namen Umbrage
  • Im April 2017 wurde die Verschleierungssoftware Marble geleakt, die auch für die Entschleierung (de-obfuscation) verwendet werden kann, d.h. die zuvor getroffenen Schritte wiederherzustellen. Marble ist in der Lage, Code-Fragmente zu verstecken, liefert auch Textbeispiele in Fremdsprachen, die Analysten verwirren können. Marble Version 1.0 wurde im Jahr 2015 veröffentlicht.
  • Im Mai 2017 wurde die Spyware Athena (zusammen mit der Betriebsanleitung Hera) bekannt gegeben, die alle Windows-Versionen mit oder ohne Internet-Zugang infizieren kann und seit August 2015 aktiv war.
  • Im Juni wurde berichtet, dass eine fortschrittliche CIA-Firmware seit dem Jahr 2007 Wi-Fi-Router infiziert hat. Ein Exploit-Code namens Tomato kann Passwörter auslesen, wenn der Plug-and-Play-Modus aktiviert ist. Die Malware CherryBlossom steuert die Router, bei Routern von 10 Herstellern sind bekannt, dass sie infiziert sind. Brutal Kangooro ist eine fortschrittliche USB-Stick-Malware, die über das Internet versendet werden kann, dannach infiziert sie den ersten USB-Stick. Einmal installiert, baut es verdeckte Netzwerke innerhalb eines geschlossenen Netzwerks auf.
  • Highrise ist Teil einer größeren technischen Plattform und ist ein SMS-Proxy, der SMS-Nachrichten des Ziels zu einem Abhörpunkt umleiten kann.
  • Im Vault 8 genannten Wikileaks-Release von Ende 2017 wurde berichtet, dass die CIA den Nachrichtenverkehr mit ihren Command und Control-Servern durch gefälschte Kaspersky-Sicherheitszertifikate als unverdächtig erscheinen ließ. Das Ganze ist auch als Project Hive (Bienenkorb)

Darüber hinaus entdeckte Symantec, dass die seit 2011 bekannte Longhorn Group/The Lamberts, eine APT, mit den Dateien von Vault7 verknüpft ist. Longhorn Group/The Lamberts ist eine seit 2011 bekannte APT mit Angriffen in 16 Ländern auf Ziele von strategischem Interesse. Die Malware Fluxwire hat starke Ähnlichkeiten zu Daten von Symantec für den Trojaner Corentry, für die Malware Archangel mit Trojan.Plexor. Longhorn Group/The Lamberts benutzt zwei weitere Backdoors namens LH1 und LH2. Die Longhorn-Gruppe hat auch ein Programm geschrieben, das definiert, an welchem Tag der Woche die Malware Kommunikation mit dem Kontroll-Server hat.

Im Oktober 2014 wurde ein Zero-day-Exploit (Hintertür) von FireEye entdeckt und von Kaspersky Black Lambert genannt. Weitere Varianten wurden entdeckt, die seit 2016 White, Blue, Green, Pink und Gray Lambert heißen. Die Lamberts-Malwarevarianten teilen sich Codes, Stile, Datenformate, Kommando-und Steuerungsserver und Ziele und verwenden Namen aus Filmen (Flash Gordon), Computerspielen, TV-Serien (Star Trek) in ihren Codes, was eine interessante Parallele zur Sauron und Slingshot APT ist. Die Angriffe wurden nur auf einer kleinen Anzahl von Computern ausgeführt und auf die Opfer zugeschnitten.

 

5.3.3 Sauron/Strider und Slingshot

Die neue APT Project Sauron (auch bekannt als Strider) wurde im Jahr 2016 entdeckt, aber die Malware-Eigenschaften zeigen an, dass die Programmierer von anderen anspruchsvollen Malwareprogrammen gelernt haben, insbesondere von Duqu, Flame (Verwendung der Programmiersprache Lua), Equation und Regin, aber schon zu einer Zeit, wo diese Malware-Typen noch nicht entdeckt waren, was auf eine Beziehung zwischen den APTs hindeuten kann.

Kaspersky berichtete über die neue Slingshot APT, die die gleiche Komplexität wie Sauron oder Regin hatte, die seit mindestens 2012 aktiv ist und dabei eine Schwachstelle von Mikrotik-Routern (lettischer Netzwerk-Hardware-Anbieter) nutzte, um Opfer vor allem im Nahen Osten und in Afrika zu infizieren. Im Code gab es Verweise auf das Buch "Herr der Ringe" (Gollum, Smeagol). Slingshot ist auch der Name eines Loaders, der versucht, modulare Malware zu platzieren, insbesondere die Gollum-App und ihr unterstützendes Cahndr (Ndriver)-Modul, das z.B. Debugging-Aktivitäten des angegriffenen Computers blockiert, um eine Datenexfiltration zu ermöglichen.

Es ist zu beachten, dass die Sauron und Slingshot APTs die Verwendung von Popkultur-Begriffen in ihren Codes mit The Lamberts teilen. Andererseits bezog sich auch die offenbar russische APT Sandworm/Quedagh auf den Science-Fiction Roman Dune.

 

Klaus Saalbach; 2020

https://nbn-resolving.org/urn:nbn:de:gbv:700-202009303598

https://creativecommons.org/licenses/by/3.0/de/

Zur einfacheren Lesbarkeit wurden die Quellenverweise entfernt.

 

Cybersecurity

 

Cybersecurity


Schutz vor Cyber-Bedrohungen

Reagieren auch Sie früh genug und richtig auf die massiv zunehmenden Cyber-Bedrohungen und -Angriffe. Schützen Sie Ihr Unternehmen. Schützen Sie Ihre Informationen.

Kontaktieren Sie uns und überzeugen Sie sich von unserem Know-how im Bereich der Cybersecurity.

Wir beraten Sie gerne und unverbindlich. +41 41 984 12 12, infosec@infosec.ch

Mehr lesen

 

Mehr lesen

10/2021

 

5.4 Russland

5.4.1 APT28 und APT29

5.4.1.1 APT28 (alias Sofacy, Pawn Strom, Csar Team, Sednit, Fancy Bear, Strontium)

APT 28 (alias Sofacy, Pawn Strom, Csar Team, Sednit, Fancy Bear, Strontium) ist eine Gruppe, die sich auf Ziele mit politischer Relevanz für Russland richtet und die seit 2004 beobachtet wird. Die Zeitzonen für die Kompilierung der Malware decken sich mit der Moskauer Standardzeit, die russische Sprache wird verwendet und typischerweise werden Tools für langfristige Einsätze angewendet. Die eingebauten Hintertüren nutzen das http-Protokoll und den Mailserver des Zielcomputers. APT 28 nutzt eine Vielfalt an Malware (Sofacy, X-Agent, X-Tunnel, WinIDS, Foozer and DownRange) und verfügt auch über Malware für Smartphones.

APT28 hat eine typische Angriffsstrategie:

  • Sie beginnen mit einer gut ausgearbeiteten, gezielten Phishing-E-Mail.

Diese kann auch eine Verknüpfung zu einem interessanten Thema beinhalten. Die URL-Adresse (URL) unterscheidet sich jedoch etwas von der ursprünglichen URL (Tabnabbing), so dass das Opfer auf einer bösartigen Webseite landet. Manchmal wird der Nutzer aufgefordert, die Login-Daten neu einzugeben. Was ein harmloser technischer Fehler zu sein scheint, wird in Wirklichkeit verwendet, um Passwörter (Credential Phishing) zu bekommen. Die Anzahl der gefälschten URLs ist hoch: Die Sicherheitsfirma ESET entdeckte eine irrtümlich öffentliche Liste mit rund 4.400 URLs, die zwischen März und September 2015 durch die Bitly-Methode verkürzt wurden. Mehrere der Domains, die APT28 registrierte, imitierten NATO- Domainnamen, einschließlich der NATO Special Operations Headquarters und der NATO Future Forces Exhibition

  • Auch wurden manchmal watering hole-Angriffe verwendet. Hier werden potenziell interessante Webseiten infiziert, z.B. mit dem Browser Exploitation Framework (BeEF) und während des Besuchs wird der Browser der Zielperson angegriffen.

Die Malware kann in drei Gruppen aufgeteilt werden: im ersten Schritt Software für die Aufklärung, im zweiten Schritt Software wie X-Agent für Spionage, während im dritten Schritt die finale Software wie X-Tunnel, um andere Computer zu erreichen. FireEye nannte 2014 den Downloader Sourface, das Spionage-Tool Eviltoss und das modulare Implantat Chopstick.

 

5.4.1.2 APT29 (alias Cozy Duke/Cozy Bear)

Im Februar 2013 hat Kaspersky Lab mit MiniDuke eine neue Schadsoftware entdeckt, die aus 20 KB Assembler-Code bestand und in PDF-Dateien eingebettet wurde, die als spear-phishing mail versendet wurden. Auf diese Weise wurden insgesamt 59 Computer in 23 Staaten infiziert. Die Schadsoftware fungierte als Brückenkopf zur Installation weiterer Schadprogramme. MiniDuke prüfte, ob es sich auf einem echten Computer oder nur einer virtuellen Maschine (einem simulierten Computer) befand und benutzte Twitter zur Kommunikation mit dem Angriffsserver. Informationen wurden in kleinen Bildern verborgen, einer als Steganographie bekannten Methode. Solche virtuellen Maschinen können Teil von Cloudsystemen sein, aber auch als Prüfumgebungen für Schadprogramme dienen, das Programm blieb dann inaktiv, um die Analyse zu verhindern.

The Dukes sind eine Malwarefamilie mit einer stetig wachsenden Zahl an Werkzeugen wie MiniDuke, CosmicDuke, OnionDuke, CozyDuke, CloudDuke, SeaDuke, HammerDuke, PinchDuke und GeminiDuke, die von einer Gruppe benutzt werden, die als The Dukes oder auch als APT29 bezeichnet wird. Die Attacken zeigen ein zweistufiges Vorgehen mit einem initialen Einbruch in das attackierte System, dem, falls es sich um ein relevantes Ziel handelt, der Übergang zu einer Langzeitüberwachung folgt. Für dieses Vorgehen sind mehrstufige Ladevorgänge und Backdoors verfügbar. Zugangswerkzeuge (Remote Access Tools RATs) waren u.a. AdobeARM, ATI-Agent und MiniDionis. Um eine Entdeckung zu verhindern, prüft die Malware die Sicherheitseinstellungen des Computers sehr gründlich. Das Profil der infizierten Computer (aus sicherheitspolitischer Perspektive relevant für die russische Föderation), die Zeitzonen der Programmierung, die sich mit der Moskauer Zeit decken, die Nutzung hochspezifischer Spear-Phishing e-Mails und eine Fehlermeldung in russischer Sprache in PinchDuke sind Gründe für die Vermutung, dass es sich um eine hochentwickelte russische Cyberspionage-Gruppe handeln könnte, was 2018 bestätigt werden konnte.

 

5.4.1.3 Der Cyberangriff auf den Bundestag

Der deutsche Bundestag ist seit Jahren ein primäres Angriffsziel, jedoch stehen auch Regierungsbehörden im Fokus wie das Außenministerium und die Botschaften.

In einem Hackerangriff im Jahre 2015 auf den französischen Sender TV5Monde wurde dieser zeitweise von augenscheinlich dschihadistischen Angreifern offline genommen, später ergaben sich jedoch Hinweise auf APT28. Der Server für die Satellitensignale wurde angegriffen und da dieser von einem Drittanbieter gewartet wurde, konnte ein längerer Ausfall des Signals erreicht werden.

Der Verfassungsschutz BfV bekam einen Hinweis aus dem Ausland, dass ein Cyberangriff mit Datenaustausch zwischen zwei Bundestagscomputern mit einem osteuropäischen Server im Gange sei. Untersuchungen bestätigten das Eindringen in mehrere Computer durch infizierte E-Mails, einschließlich der Übernahme von Administratorenrechten.

Im Jahr 2017 wurde eine eingehende Analyse veröffentlicht. Am 30. April 2015 erhielten die Abgeordneten eine E-Mail mit einem Artikel „Ukraine conflict with Russia leaves economy in ruins“. Nach dem Herunterladen wurden mehrere Programme von den Angreifern ausgeführt, darunter das Programm Mimikatz, das nach Admin-Passwörtern sucht. Ein paar Tage später waren 5 von 6 Administratorpasswörtern unter Kontrolle der Angreifer.

Eine Person bemerkte am 08.05.2017 die Unmöglichkeit, den französischen Accent aigu zu benutzen. Das BSI wurde benachrichtigt und fand später die Malware X-Tunnel. Weitere Analysen zeigten eine IP-Adresse, die von einer Firma in Pakistan gemietet wurde und später auch im DNC-Hack, dem WADA-Hack und der CDU verwendet wurde.

Ein anderer Server konnte einer russischen Person namens Roschka zugeordnet werden, die auch scheinbar in den Macron-Hack involviert zu sein schien und für Eureka CJSC arbeitet, die als Sicherheitspartner des russischen Militärgeheimdienstes GRU bekannt ist. Auch bei einem älteren Angriff von Fancy Bears führte ein technisches Problem zu einer Umleitung des Datenflusses und konnte in Moskau zu einem Gebäude der GRU verfolgt werden. Das Programm, das bei diesem älteren Angriff verwendet wurde, war das gleiche für den Bundestag und den DNC-Hack.

Da das komplette Ausmaß der Infektion nicht ermittelt werden konnte, empfahl das BSI den Austausch des gesamten Netzwerkes. Die Bundestags-IT war nicht an das sichere IVBB-Netzwerk angeschlossen. Der Angriff wies Ähnlichkeiten zum Angriff auf den französischen TV-Sender TV5Monde auf.

Einer der für die Attacke auf den Bundestag genutzten Server war identisch zu denen der DNC-Attacke von 2016 und ebenso ein gefälschtes Sicherheitszertifikat.

Auch der OSZE-Hack (der nur einer von vielen gemeldeten Fällen wie Tschechien, Polen, Norwegen usw. war), den man Ende 2016 entdeckte, wies Ähnlichkeiten auf.

Anfang 2017 stellte das BSI einen ungewöhnlichen Verkehr fest und erkannte einen weiteren Angriff auf die Bundestagsmitglieder, mindestens 10 Mitglieder wurden angegriffen. Dazu gehörte das Mitglied der Grünen, Marielouise Beck, deren Computer bereits 2014 von der Malware Miniduke von APT 29/CozyBears infiziert wurde.

Der Angriff wurde durch die Präsentation bösartiger Online-Werbung von einem Dritten auf der Website der Jerusalem Post durchgeführt, eine Methode namens Malvertising.

In 2017 waren malvertising-Kampagnen ein globales Problem, insbesondere durch die Malware RoughTed, die Adware, Exploit kits und Ransomware verbreitete.

 

5.4.1.4 Der DNC hack/Angriff auf die Wahlsysteme

Entdeckungsgeschichte

Das Democratic National Committee (DNC), das formelle Leitungsgremium der

Demokratischen Partei, alarmierte die Sicherheitsfirma Crowd Strike wegen eines

Angriffs auf ihre Systeme.

Das Eindringen von APT29 lässt sich in den Sommer 2015 zurückverfolgen, während APT28 unabhängig davon im April 2016 in das Netzwerk eindrang. Das zweite Eindringen interferierte mit dem ersten und führte zur Entdeckung. APT29 nutzte das SeaDaddy-Programm, welches bei Bedarf das automatische Nachladen von Malwarecode erlaubte, während APT28 mit der X-Agent-Malware agierte, um so Anweisungen aus der Entfernung geben zu können, Dateien übertragen zu können und Tastendrücke protokollieren zu können. Einer der für die DNC-Attacke genutzten Server war identisch zu dem der Attacke auf den Bundestag und ebenso ein gefälschtes Sicherheitszertifikat.

Später bekannte sich ein vorgeblich rumänischer Hacker mit dem Namen Guccifer 2.0 zu den Angriffen, der aber bei Anfragen nicht in der Lage war, auf Rumänisch adäquat zu antworten und er benutzte einen russischen Kommunikationskanal. Infolgedessen verdächtigen die US-Ermittler Guccifer 2.0, wenn existent, ein Mitarbeiter der russischen Nachrichtendienste zu sein, der später auch noch Kontaktdatenlisten von führenden Mitgliedern der Demokratischen Partei veröffentlichte.

Ende August 2016 wurde ein erfolgreiches Eindringen in Onlinewahlsysteme von Illinois und Arizona berichtet, in Illinois wurden Daten von 200.000 Wählern kopiert.

Das FBI fand russische Versuche, in 21 Staaten in Wahlsysteme einzudringen, und als Warnung wurde eine Cyber-Operation von der NSA mit dem Implantieren von Computercode in sensiblen Computersystemen durchgeführt, die Russland finden sollte. Allerdings wurde auch der Surkov-Vorfall im Abschnitt 6.2.3 als Teil der Vergeltung diskutiert.

Der US Intelligence Community Report on Cyber incident Attribution von 2017 und die vorherige Beurteilung durch das Department of Homeland Security der Angriffe von APT28/Fancy Bears und APT29/Cozy Bears als Operation Grizzly Steppe unterstützte die Zuordnung der Angriffe nach Russland.

Im April 2017 wurde ein Russe auf dem Flughafen von Barcelona festgenommen, der vermutlich während des US-Wahlkampfes in den russischen Hack verwickelt war.

 

Das Mueller indictment von 2018

Die Mueller-Anklageschrift (Indictment) hat Beweise dafür vorgelegt, dass Fancy Bears GRU-Mitglieder sind, die in GRU-Einrichtungen arbeiten. Der russische Militärgeheimdienst GRU hat mehrere Einheiten, die sich an Cyberoperationen beteiligen, darunter die Einheiten 26165 und 74455. 12 namentlich bekannte Offiziere dieser Einheiten werden verdächtigt, an den russischen Aktivitäten des Jahres 2016 während der Präsidentschaftswahlkampagnen beteiligt gewesen zu sein, insbesondere am Democratic National Committee (DNC) Hack. Die Einheit 26165 ist in erster Linie verantwortlich und befindet sich in Moskau, während die Einheit 74455 in einem anderen Moskauer Gebäude befindet, das die GRU den Turm nennt. Im März 2016 startete der Angriffe mit Spearphishing. Von einem gehackten Computer eines Mitarbeiters des Democratic Congressional Campaign Committee (DCCC) konnten die Angreifer in das DNC-Netzwerk gelangen.

Im April 2016 wurden Akten des DCCC, des DNC und des Clinton-Wahlkampfteams gestohlen und dann im Juni 2016 vom fiktiven Akteur Guccifer 2.0 und der Plattform DCLeaks veröffentlicht. Innerhalb der Einheit 26165 ist eine Abteilung für die Entwicklung und Verwaltung von Malware zuständig, einschließlich X-Agent, das dann auf DCCC und DNC-Computern eingesetzt wurde. Auch die Fancy Bears/APT28-Malware X-Tunnel wurde implementiert. Eine Linux-basierte Version von X-Agent, die sich mit der GRU-registrierten Domain linuxkrnl.net verständigen konnte, war bis Oktober 2016 aktiv. Die erste Guccifer 2.0-Nachricht wurde auf einem Computer von GRU Einheit 74455 erstellt. DCLeaks wurde auf einem gepachteten malaysischen Server gehostet, der mit Bitcoin-mining finanziert wurde. Die gleiche Bitcoin-Adresse wurde für andere GRU-Operationen verwendet, um Server und Domains zu kaufen, z.B. die gefälschte Website account-gooogle.com und US-Server. Auch der Link linuxkrnl.net wurde durch das Bezahlen mit diesen Bitcoins erneuert.

 

5.4.1.5 Der WADA hack

Die neu gegründete Fancybear.net Website im Sommer 2016 veröffentlichten Informationen der World Anti-Doping Agentur WADA zeigen, dass bestimmte Sportler Ausnahmeregelungen z.B. zur Verwendung von Steroiden bekamen. Der Hack geschah nach Doping-Vorwürfen gegen russische Sportler.

 

5.4.1.6 Der Macron-Hack

Der Wahlkampf des neuen französischen Präsidenten Macron wurde angegriffen und bestimmte Dokumente wurden geleakt. Am 15. März 2017 entdeckte die Sicherheitsfirma TrendMicro Phishing-Emails an Mitarbeiter des Wahlkampfteams und anderen, die sie zu gefälschten Webseiten lotsen sollten. Am 15. April 2017 wurden auch gefälschte Webseiten, die die Namen der Macron-Partei (En Marche!) nachahmen, wie mail-enmarche.fr registriert. Die IP-Nummern hinter den Webseiten waren Teil eines IP-Adressblocks, der von TrendMicro bereits APT 28 zugeschrieben wurde.

 

5.4.1.7 Die Angriffe auf Yahoo

Die Internetfirma Yahoo berichtete über das Hacken von 1 Milliarde Benutzerkonten im Jahr 2013 und 500 Millionen E-Mail-Konten im Jahr 2014. Die Vereinigten Staaten identifizierten 4 Personen, zwei Mitglieder des russischen Geheimdienstes FSB und zwei weitere Hacker, von denen vermutet wird, dass sie den 2014er Hack mit durchgeführt haben. Ein besonderer Schwerpunkt lag auf den Konten von Diplomaten, Militärs und Cybersicherheitsfachleuten. Einer der Verdächtigen ist bereits in Russland inhaftiert, wahrscheinlich als Teil des Michailow-Vorfalls. Allerdings konnte ein Link zu APT28 oder 29 bisher nicht hergestellt werden. Eine erneute Untersuchung des Hacks von 2013 zeigte jedoch 2017, dass alle drei Milliarden Yahoo-Konten geknackt worden waren.

 

5.4.1.8 Die LoJax firmware-Attacke

Die Anti-Diebstahl-Software LoJack der Firma Absolute Software implementiert ein UEFI/BIOS-Firmware-Modul, um seine Entfernung zu verhindern und erschien in trojanisierten Versionen seit mindestens Anfang 2017. Die bösartigen Versionen sind jetzt als LoJax bekannt, die wie LoJack sehr tief in das Computersystem eingebettet sind und deshalb persistieren. LoJax erschien typischerweise mit anderen APT28/Fancy Bears-Modulen, wie dem Backdoor SedUploader, X-Agent und dem Netzwerk-Proxy-Tool X-Tunnel.

 

5.4.1.9 Corona-Krise

Das britische National Cyber Security Centre (NCSC) berichtete, dass die russische APT29 verschiedene Organisationen angriff, die an der Entwicklung von Covid-19-Impfstoffen in Kanada, den USA und Großbritannien beteiligt sind. APT29 führte grundlegende Schwachstellenüberprüfungen anhand bestimmter externer IP-Adressen durch und verwendete die WellMess-Malware für Shell-Befehle und die Dateiverwaltung und das TWellMail-Tool für Befehle oder Skripte mit Datenübertragung an einen hartcodierten Befehls- und Steuerungsserver. Es wurden auch Beispiele für die SoreFang-Malware gefunden, die speziell auf SangFor-Geräte abzielt. Diese Malware wurde jedoch auch von der APT DarkHotel verwendet.

 

5.4.1.10 Weitere Aktivitäten

Weitere Aktivitäten der APT28/Fancy Bears 2017 betrafen die Freigabe von Dokumenten der englischen Football Association und einen Einbruch in das Mailsystem der UNO.

Kaspersky-Experten stellten im Jahr 2018 fest, dass APT28/Fancy Bears jetzt den Fokus auf ehemalige sowjetische Staaten setzt. Sie aktivieren mehrere Server, verwenden für Domain-Registrierung gefälschte Telefonnummern, nutzen Services mit Datenschutz für die Registrierung und solche, die Bitcoins akzeptieren.

Microsoft berichtete im August 2018, dass APT28/Fancy Bears  gefälschte Webseiten konservativer  Think Tanks eingerichtet hatte, um         Nutzerdaten einzufangen, Microsoft konnte dies blockieren.

 

5.4.2 Die Waterbug Group (Turla/Snake/Ouroburos/Venomous Bear/Krypton/Group88)

Waterbug ist der Name für die Gruppe, die die Malware Wipbot/Tavdig/Epic Turla, Uroburos/Turla/Snake/Carbon und agent.btz/Minit einsetzt.

In einem Quellcode wurde der Begriff UrObUr()s verwendet, alternative Schriften zu Uroburos sind Ouroburos und Uroboros. Westliche Geheimdienste schreiben diese APT dem russischen Zivilgeheimdienst FSB zu.

 

5.4.2.1 Die agent.btz-Attacke 2008

Nach einem erfolgreichen Eindringen in das E-Mail-System des Verteidigungsministers im Jahr 2008 mussten 1.500 Pentagon-Systeme abgeschaltet werden. Ein erfolgreicher Eindringversuch in das Pentagon erfolgte über einen infizierten USB-Stick, den ein Soldat im Nahen Osten unwissentlich in einen Pentagoncomputer steckte. Die Infektion mit einem Wurm namens agent.btz/Trojan Minit führte zu einem Paket von Sicherheitsmaßnahmen mit dem Namen Operation Buckshot Yankee, das auch die Schaffung des US Cyber Command einschloss.

Die Multifunktionsmalware namens Ouroburos/Turla/Snake/Carbon, die als rootkit arbeitet, ist in der Lage, innerhalb eines Intranets ein eigenes Peer-to-Peer Netzwerk aufzubauen und weist viele technische Überlappungen zu agent.btz/Trojan Minit auf. In diesem Netzwerk sucht Uroburos dann einen Computer, der doch mit dem Internet verbunden ist, um dann den Datenaustausch zu beginnen. Uroburos wird nicht aktiv, wenn der Computer bereits mit der Malware agent.btz befallen ist, was auf einen gemeinsamen Ursprung hindeutet. Angreifer setzten die Snake/Ouroburos/Turla-Malware gegen ukrainische Computer in 2013/2014 ein. Zusammen mit der Malware agent.btz aus dem Jahre 2008 scheint es sich um eine Malwarefamilie zu handeln, die bis in das Jahr 2005 zurückreicht. Die Angreifergruppe nutzt satellitengestützte Internetlinks für ihre Aktionen.

 

5.4.2.2 Die RUAG-Attacke 2014-2016

Wipbot/Tavdig/Epic Turla wurde nach ersten Hinweisen im September 2014 in den Systemen der schweizerischen Rüstungsfirma RUAG gefunden, die Waterbug Group zog sich aber im Mai 2016 zurück, nachdem sie aus Medienberichten erfahren hatte, dass sie von der RUAG entdeckt worden war.

 

5.4.2.3 Die IVBB-Attacke 2016-2018

Der Informationsverbund Berlin-Bund (IVBB) ist seit 1999 in Betrieb und wird von der Deutschen Telekom betrieben. Er umfasst den Internet- und Telefonverkehr des Bundespräsidialamts, Bundeskanzleramts, von Bundesministerien, Bundesrechnungshof, Sicherheitsbehörden und Teilen von Bundestag und Bundesrat. Es dient der sicheren Übermittlung von Informationen der Stufe VS-NfD (Verschlusssache-nur für den Dienstgebrauch). Die Sicherheit des IVBB wird durch das BSI betreut. Schon nach der Attacke auf das Computernetz des Bundestags 2015 kam es zu längeren nicht aufgeklärten Unregelmäßigkeiten im Telefonnetz. Inwieweit IVBB-Telefonate mitgehört werden konnten oder wurden, ist unklar.

Es gibt nur zwei Ausgänge, je einen in Berlin und Bonn. Übergänge zum IVBB-Internet und IVBB-Sprachnetz werden mit Paketfiltern der hohen Evaluierungsstufe EAL4 geschützt. Es gibt eine doppelte Firewall mit Inhaltsfilter und formalen Filter (IP-Adressblockaden) und Sichere Netzwerkarchitektur (SINA)-Box. iPhones und iPads dürfen nur mit der Sicherheitslösung SecurePIM arbeiten, Sprach- und Faxdaten werden mit Elcrodat 6-2 verschlüsselt. Zur Zeit sind auch Schutzprogramme der Sicherheitsfirma TrendMicro aktiv.

Vor 2 Jahren hatten die Hacker von Snake/Turla/Ouroburos eine eLearning-Lernplattform der Bundesakademie für öffentliche Verwaltung mit Spähsoftware manipuliert, 17 Mitarbeiter hatten sich die Spähsoftware dann auf den eigenen Rechner geladen, 6 Dokumente wurden entwendet.

Ziel war die Abteilung 2 (Referat 205) des Auswärtigen Amtes, zuständig u.a. für Russland. Im Dezember 2017 erfolgte dann ein Hinweis an die Deutschen durch einen ausländischen Nachrichtendienst, das Mobile Response Incident Response Team MIRT des BSI und das ZITIS analysierten die Lage. Dann berichtete jedoch die deutsche Presseagentur Ende Februar 2018 über den Vorgang und daraufhin zog sich der Angreifer zurück. Die APT versuchte jedoch nochmals im November 2018, an E-Mail-Adressen von Bundestagsabgeordneten zu gelangen.

 

5.4.2.4 Die Attacke auf die französische Marine 2017-2018

Turla griff gezielt 12 Beamte an, um die Ölversorgungskette der französischen Marine in den Jahren 2017 und 2018 zu enthüllen, die Franzosen bevorzugten jedoch die diskrete Klärung von Vorfällen statt öffentlicher Anklagen.

 

5.4.2.5 The OliRig-Attacke 2019

Im Jahr 2019 setzte Turla seine Aktivitäten fort. Die neue Malware Topinambur wurde gegen Personen eingesetzt, die versuchten, über sichere VPN-Tunnel zu kommunizieren.

Außerdem gelang es ihnen, den Command and Control-Server der iranischen OilRig-Gruppe zu infiltrieren, der möglicherweise mit APT34 identisch ist und die Überwachung ihrer Cyber-Aktivitäten ermöglicht.

 

5.4.3 Die Sandworm/Quedagh APT (Black Energy/Telebots/Voodoo Bear)

Der britische Geheimdienst GCHQ assoziiert Sandworm und Black Energy mit dem russischen Militärgeheimdienst GRU (Russland dementierte).

 

5.4.3.1 Die Black Energy-Attacke

The Sandworm oder Quedagh-Gruppe (die Namen beziehen sich auf gefundene Referenzen zur Science-Fiction Welt Dune – der Wüstenplanet) nutzt die ursprünglich als Crimeware entwickelte und dann modifizierte Malware BlackEnergy gegen relevante Zielcomputer.

BlackEnergy ist seit 2007 verfügbar und mittlerweile existiert die Variante BlackEnergy3. BlackEnergy wurde ursprünglich erschaffen, um Botnetze für DDoS-Attacken zu errichten. Die Sandworm/Quedagh-Gruppe hat Modifikationen der herkömmlichen BlackEnergy-Malware vorgenommen und sie um vielfältige Funktionen ergänzt wie das Kapern inaktiver Laufwerke und die Fähigkeit zum umfangreichen Informationsdiebstahl.

Das US ICS-CERT hat eine Malwarekampagne entdeckt, die mindestens seit 2011 läuft, verschiedene ICS-Systeme betraf und bei denen eine Variante von BlackEnergy bei vernetzten Benutzerschnittstellen (auch Mensch-Maschine-Schnittstellen bzw. human-machine interfaces HMIs) eingesetzt wurde. Unter anderem waren die Systeme GE Cimplicity, Advantech/Broadwin WebAccess, und Siemens WinCC betroffen.

Im Sommer 2014 fand die IT-Sicherheitsfirma F-Secure Labs diese Variante bei einem Angriff gegen ein ukrainisches Ziel, davor wurde bereits die NATO im Dezember 2013 angegriffen. Jedoch bestätigte die NATO, dass die geheimen operativen Netzwerkbereiche nicht betroffen waren, da diese vom Internet abgetrennt sind.

Am 23.12.2015 kam es zu Stromausfällen in der Ukraine durch Cyberattacken bei drei regionalen Stromanbietern, die insgesamt ca. 225.000 Kunden betrafen. Drei weitere Anbieter waren betroffen, hatten aber keine Stromausfälle. Die Eindringlinge waren in der Lage, Stromverbindungen aus der Distanz zu öffnen, was zum Stromausfall führte, was in koordinierter Form in einem kleinen Zeitfenster geschah. Telephone denial of service-Attacken (TDoS attacks) wurden genutzt, um die Anbieter–Hotlines mit Anrufen zu fluten, so dass die Kunden die Stromausfälle nicht telefonisch weitermelden konnten.

Am Schluss wurde die Wiper-Malware KillDisk benutzt, um die Systeme zu beschädigen.

Für diesen Vorfall in der Ukraine konnte das US ICS-CERT jedoch nicht bestätigen, dass die BlackEnergy3-Variante die Stromausfälle verursacht hatte, die Stromverbindungen konnten von den Angreifern auch ohne diese Schadsoftware geöffnet werden.

 

5.4.3.2 Die Industroyer-Attacke

Am 17. Dezember 2016 verursachte die Malware Industroyer/CrashOverride, die speziell für Angriffe auf intelligente Netze entworfen wurde, einen Blackout in Kiew, der einer neuen APT namens Electrum zugeschrieben wurde, die mit der Sandworm/Quedagh Gruppe verbunden ist.

Die Malware beeinflusste eine einzelne Übertragungs-Unterstation durch die Installation einer Hintertür, der ein Launcher folgte, danach Payloads einschließlich IEC104-Protokollbefehlen und schließlich eine Wiper-Malware. Die Malware verwendete hartcodierte Proxyserver einschließlich TOR-Knoten.

 

5.4.3.3 Die Petya/Not-Petya/MoonrakerPetya-Attacke

Es ist zu beachten, dass der vorhergehende MoonrakerPetya-Angriff erst nach dem NotPetya-Angriff entdeckt wurde. Während die Zuordnung zur GRU durch die CIA vom GCHQ bestätigt (und von Russland dementiert) wurde, ist aus dem Angriff von MoonrakerPetya erkennbar, dass dies der Sandworm/Quedagh-Gruppe zugeschrieben werden konnte.

Der MoonrakerPetya-Angriff war nur ein kleiner Angriff auf ein paar Computer, erst der NSA-Exploit EternalBlue erlaubte dann einen großen Angriff.

Der Sandworm/Quedagh APT hat 2017 einen NotPetya-Vorläufer namens MoonrakerPetya veröffentlicht. Im Dezember 2016 setzten die Angreifer den Wurm MoonrakerPetya ein, der vermutlich ein Vorläufer von NotPetya (auch bekannt als Petya, ExPetr, Nyetya, EternalPetya) war. Der Wurm ist eine DLL-Datei, die unter dem Namen msvcrt120b.dll im Windows-Verzeichnis angelegt wird, während der interne Name moonraker.dll ist. MoonrakerPetya enthält Code, der den Computer unbootbar macht, aber nur in einer kleinen Anzahl von Fällen verwendet wurde.

Wie für WannaCry, wurde am 23. Mai 2017 zunächst ein Angriff mit NSA-Exploits gestartet, der wenig Aufmerksamkeit erregte, da kein Schaden sichtbar war. Der NSA-Exploit Eternal Rocks kombinierte 7 NSA-Exploits (EternalBlue, DoublePulsar, EternalRomance, EternalChampion, EternalSynergy, ArchiTouch und SMB Touch). Die Malware Petya nutzte die EternalBlue und EternalRomance-Exploits Ende Juni 2017. Bevor sie aktiv wird, lädt sie den TOR-Browser herunter, um eine verdeckte Kommunikationsleitung zu errichten, um den Server zu steuern.

Die Malware, die anfangs wie die bereits bekannte Ransomware Petya aussah, war anders, auch gegenüber anderer Ransomware wie Mischa und Goldeneye. Zusätzlich zu EternalBlue und EternalRomance benutzte es die ukrainische Buchhaltungssoftware Me-doc, indem sie ein bösartiges Update injizierte. Dies war aufgrund eines verfälschten Microsoft Sicherheitszertifikats möglich. Diese Unterschiede erklären, warum einige Autoren es Not-Petya oder Petya2017 nannten.

Sobald das ‚neue‘ Petya einen Computer infiziert hatte, suchte es automatisch nach anderen Computern im Netzwerk, die auch infiziert werden sollten.

Obwohl die attackierten Nutzer aufgefordert wurden, Geld zu bezahlen, scheint es, dass die UserID, die für die Anfrage gezeigt wurde, nur eine sinnlose Zufallszahl war und die Malware scheint eine Wiper Malware zu sein, die den Master Boot Record und andere Dateien überschreibt. Aus diesem Grund hatte die Sperrung des Posteo-Mail-Kontos, die als Kontaktadresse zur Zahlung präsentiert wurde, keine Auswirkung mehr.

Eine große Anzahl von Unternehmen wurde getroffen, z.B. Merck in den USA, Maersk in Dänemark, Milka in Deutschland (die dann an mehreren Tagen Produktionsstopp litten), aber auch russische Unternehmen und das Atomkraftwerk Tschernobyl.

Die Verwendung eines verfälschten Sicherheitszertifikats, die Komplexität der Malware und die mangelnde Rentabilität, da die Opfer ohnehin nicht bezahlen konnten, deuteten stark auf einen Angriff eines Staatsakteurs hin.

Ende 2017 berichtete die CIA, dass sie die Petya/NotPetya-Attacke mit ziemlicher Sicherheit (‘with high confidence’) dem militärischen Nachrichtendienst GRU zuordnen konnte.

 

5.4.3.4 Grey Energy/Bad Rabbit/Telebots

Im Oktober 2017 nutzte die Gruppe auch die BadRabbit-Malware-Familie für Anschläge. Ihre Telebots-Malware wurde nur in der Ukraine eingesetzt.

Das Design und die Architektur der GreyEnergy-Malware, die seit 2015 zu existieren scheint, ähneln sehr der BlackEnergy-Malware, aber eine der GreyEnergy-Proben wurde mit einem gültigen digitalen Zertifikat der taiwanesischen Firma Advantech unterzeichnet, die ICS und IoT-Komponenten herstellt, so dass das Zertifikat möglicherweise gestohlen wurde.

 

5.4.3.5 Die VPN Filter-Attacke 2018

Das neue modulare Malware-System VPNFilter betraf 2018 mindestens 500.000 Netzwerkgeräte in mindestens 54 Ländern, insbesondere aber in der Ukraine, indem es eine spezifische C2-Infrastruktur für dieses Land nutzte.

Die Malware hat Überschneidungen mit BlackEnergy und infiziert Linksys, MikroTik, Netgear und TP-Link Netzwerkgeräte und QNAP-Netzwerk-angeschlossene Speichergeräte.

Es handelt sich um eine dreistufige Malware. Stufe 1 ist die erste IoT-Malware, die nach einem Neustart fortbestehen kann und Befehls- und Kontrollmechanismen nutzt, um den Stage 2 Malware-Einsatzserver zu kontaktieren. Die Malware der Stufe 2 ist für die Datenerfassung, wie Dateien, die Befehlsausführung, die Datenexfiltration und das Gerätemanagement zuständig. Einige Versionen der zweiten Stufe haben eine Bricking-Fähigkeit, die einen kritischen Teil der Firmware des Geräts mit Nullen überschreibt und das Gerät neu startet, was es unbrauchbar macht. Darüber hinaus gibt es verschiedene Stage 3 Module als Plugins für Stufe 2. Diese Plugins können z.B. die Modbus SCADA-Protokolle überwachen und die Stufe 2-Malware über TOR kommunizieren lassen. Die C2-Kommunikation und zusätzliche Malware-Downloads können über TOR oder SSL-verschlüsselte Verbindungen erfolgen und ein Programmierfehler in der Entschlüsselungsroutine ähnelten Befunden in Black Energy.

 

5.4.4 Die Dragonfly/Energetic Bear APT

Die Hackergruppe Dragonfly (Energetic Bear/Crouching Yeti Koala/Group 24/IronLiberty) drang bei den       Anbietern von ICS-Programmen ein, so dass alle Nutzerunternehmen die Malware automatisch mit dem nächsten Update in ihre Programme luden. Die Gruppe nutzt die Havex/Backdoor Oldrea-Malware zur Infiltration und Modifikation von ICS- und SCADA-Systemen und installiert eine Backdoor. Zusätzlich zur Infektion von Anbietern von ICS-Programmen boten die Hacker ‚Wasserlöcher‘ (watering holes) an, d.h. sie infizierten häufig besuchte Webseiten der Zielgruppe, um die Besucher dann zu anderen bösartigen Webseiten umleiten zu können und zudem wurden e-Mails mit infizierten PDF-Dateien eingesetzt. Als weiteres Werkzeug diente Trojan.Karagany, der aber auch auf dem Schwarzmarkt verfügbar ist. Die Arbeitszeiten (Programmierzeitstempel der Malware) lassen die Gruppe in Osteuropa (GMT plus 4 Stunden) vermuten.

Im Mai und Juni 2017 war der US-Energiesektor Ziel von Cyberangriffen. Die US-Behörden DHS und FBI untersuchten dies; unter den Zielen war das Kernkraftwerk Wolf Creek bei Burlington in Kansas, aber seine Operationen waren nicht betroffen. Die Angriffe waren die gleichen wie die Taktik der APT Dragonfly (Energetic Bear/Crouching Yeti/Koala). Zum Angriff wurden gefälschte Lebensläufe für Kontrollingenieur-Jobs, watering hole-Attacken und Man-in-the-Middle-Attacken angewendet. so dass diese Attacke auch Dragonfly 2.0 genannt wurde. Beide Angriffswellen Dragonfly und Dragonfly 2.0 nutzten exklusiv die Schadsoftware Trojan.Heriplor. Es wurden Bedenken laut, dass die Angriffe dazu dienten, die Kontrolle zu erlangen, um in Zukunft ggf. Sabotageakte durchführen zu können.

 

5.4.5 Die Triton/Temp.Veles/Trisis-Attacke

Ende 2017 wurde bei einem Ziel im mittleren Osten eine neue ICS-Malware entdeckt, die Triton oder Trisis genannt wird. Die Malware Triton/Trisis richtet sich speziell gegen das Schneider Electric’s Triconex Safety Instrumented System (SIS). SIS-Systeme führen Notabschaltungen bzw. Produktionsstops in kritischen Situationen aus, die Intrusion kann von außen solche Abschaltungen anlaßlos erzwingen oder auch im Notfall verhindern und so die Produktion beschädigen.

Der Schutz eines solchen SIS-Systems durch eine gesonderte Firewall kann eine Fernwartung (remote access engineering) behindern, so dass oft kein solch gesonderter Schutz vorliegt. Die israelische Cybersicherheitsfirma Cyber X berichtete, dass es sich um ein saudisches Ziel gehandelt hätte, das vom Iran aus angegriffen worden sei und die Malware schon gegen mehrere Ziele zum Einsatz kam.

Ende 2018 konnte FireEye die Malware Russland zuordnen. Die Entwicklung von Triton wurde höchstwahrscheinlich vom Central Scientific Research Institute of Chemistry and Mechanics (CNIIHM) unterstützt, aus folgenden Gründen: Eine Person mit Verbindungen zu dem Institut war in die Malware-Entwicklung eingebunden, Malwaretests des CNIIHM hingen wiederum sehr wahrscheinlich mit den Aktivtäten der Gruppe Temp.Veles zusammen, einem Arbeitsbegriff für die Gruppe, die Triton nutzt; zudem wurde eine IP-Adresse des CNIIHM für Aktivitäten rund um die Triton-Attacke verwendet, und das Institut verfügt über Forschungssektionen zur kritischen Infrastrukturen und Waffenentwicklung. Weitere einzigartige Dateien und Tools wurden gefunden, zudem testete Temp.Veles Eindringversuche schon seit 2013, was schließlich in die hochentwickelte Triton-Attacke mündete. Zudem passen Spracheinstellungen und Artefakte (Sprachfehler in Programmen) sowie die primären Arbeitszeiten sehr gut zu dieser Zuschreibung.

Da es sich um ein staatliches Forschungsinstitut handelt, ist es fraglich, ob es sich um eine eigene APT oder nur um einen Malware-Anbieter für bereits bekannte APTs handelt.

In der Zwischenzeit (2019) wurde spekuliert, ob neue Triton-Varianten entwickelt wurden, die eine breitere Palette an SIS-Systemen gefährden könnten, jedoch kam es bis 2020 zu keinem weiteren Vorfall.

 

5.4.6 Cloud Atlas/Inception/Red October/Rocra

Eine weitere zielgerichtete Infektion diplomatischer und Regierungseinrichtungen war Red October von 2007-2013. Durch spear-phishing wurde ein Trojaner auf den infizierten Computern platziert, um unter anderem auch Dateien, die mit der klassifizierten Software acid cryptofiler bearbeitet wurden, zu extrahieren. Im Dezember 2014 tauchte eine ähnliche Malware für Smartphones unter dem Namen Cloud Atlas/Inception wieder auf.

Mittlerweile wird davon ausgegangen, dass sich die APT hinter dieser Malware zumindest mit Red October alias Rocra überschneidet oder identisch ist.

Cloud Atlas setzte seine Aktivitäten 2018/2019 mit seiner neuen Malware PowerShower fort, einem bösartigen PowerShell-Tool, das seit Oktober 2018 verwendet wird.

 

Klaus Saalbach; 2020

https://nbn-resolving.org/urn:nbn:de:gbv:700-202009303598

https://creativecommons.org/licenses/by/3.0/de/

Zur einfacheren Lesbarkeit wurden die Quellenverweise entfernt.

 

Cybersecurity

 

Cybersecurity


Schutz vor Cyber-Bedrohungen

Reagieren auch Sie früh genug und richtig auf die massiv zunehmenden Cyber-Bedrohungen und -Angriffe. Schützen Sie Ihr Unternehmen. Schützen Sie Ihre Informationen.

Kontaktieren Sie uns und überzeugen Sie sich von unserem Know-how im Bereich der Cybersecurity.

Wir beraten Sie gerne und unverbindlich. +41 41 984 12 12, infosec@infosec.ch

Mehr lesen

 

Mehr lesen

10/2021

 

3 Die Welt des Datenschutzes

Ausgehend von der im zweiten Kapitel vorgelegten Analyse und Kritik der wissenschaftlichen Auseinandersetzungen um die Beschreibung und Analyse der in der Informationsgesellschaft im Zusammenhang mit moderner Informationsverarbeitung erzeugten individuellen und gesellschaftlichen Probleme, die unter den Labels privacy, Datenschutz und surveillance diskutiert wurden und werden, sollen nun die Annahmen, der Gegenstandsbereich und die Bedrohungsanalysen einer konkreten Datenschutztheorie und der von dieser Theorie produzierte Datenschutz, mit dem die Bedrohungen abgewehrt werden sollen, kompakt und zusammenhängend rekonstruiert und einer informatisch fundierten Kritik unterzogen werden. Anschließend wird der Datenschutz auf der Basis eines dem Stand der wissenschaftlichen Debatte entsprechenden Angreifermodells und eines daraus abgeleiteten Bedrohungsmodells rekonzeptionalisiert und mit einem neuen Operationalisierungs- und Regelungsansatz versehen. Abschließend soll in aller gebotenen Kürze das für die Technikgestaltung relevante Verhältnis zwischen dem rekonzeptionalisierten Datenschutz und dem geltenden Datenschutzrecht, das historisch wesentlich von der hier betrachteten Datenschutztheorie und ihren Vertreterinnen geprägt wurde und – wenn auch inzwischen weniger – bis heute beeinflusst ist, bestimmt werden, unter anderem im Hin-blick auf den Geltungsbereich, den verwendeten Informationsbegriff und das Prozessmodell der Informationsverarbeitung.

Die Analyse und Gestaltung von Informationssystemen, also soziotechnischen Systemen, ist

– trotz der weitverbreiteten Selbstbeschränkung der Kerninformatik auf die technischen Teil-systeme solcher Informationssysteme – zentrale Aufgabe der Informatik. Die Betrachtung des gesellschaftlichen Umsystems, in das informationstechnische Systeme eingebettet sind und eingebettet werden, erfordert daher eine Auseinandersetzung mit den Theorien und Methoden, die zur Analyse und zum Verständnis dieses Umsystems, aber natürlich auch des Gesamtsystems, und der Auswirkungen von Informationstechnik, die von der Informatik gestaltet werden, und ihrer Einbettung auf diese Systeme erforderlich sind.

Allein kerninformatische Analysen der gesellschaftlichen Probleme, die von und mit informationstechnischen Systemen in ihrer spezifischen gesellschaftlichen Einbettung erzeugt, verstärkt oder verfestigt werden, müssen demgegenüber notwendig verkürzt, verzerrt oder sogar verfehlt sein.

Für die nachfolgenden Ausführungen wird folgende Behauptung als Postulat zugrunde gelegt: Verregelung transformiert die der Verregelung zugrunde gelegten Annahmen in Vorbedingungen, die erfüllt sein müssen, damit durch eine Einhaltung der Regeln das Regelungsziel erreicht werden kann. Daraus folgt, dass der Datenschutz, aber auch das Datenschutzrecht und die dem Datenschutz dienende Technik allenfalls im Rahmen der ihnen zugrunde gelegten Annahmen funktionieren – und damit auch nur in diesem Rahmen Schutz bieten können.

Die Produkte der Datenschutztheorie sind nur Modelle, also vereinfachte Abbildungen dessen, was sie abbilden sollen. Sie basieren auf dem Weltbild – oder den Weltbildern – ihrer Theoretikerinnen. Das erste Produkt ist ein Bild davon, wie diese Theoretikerinnen die Welt sehen, in der sie das Datenschutzproblem verorten, welche Akteurinnen sie in welchen Konstellationen zueinander stehen sehen, welche Eigenschaften – Kenntnisse, Fähigkeiten, Interessen, Mittel – sie ihnen zuschreiben und welche Handlungen sie im Hinblick auf die Erzeugung oder Verstärkung des Datenschutzproblems für zu problematisieren halten.

Das zweite Produkt ist das Bedrohungsmodell, das beschreibt und erklärt, welche Bedrohungen für welche Interessen welcher Akteurinnen – der Betroffenen – auf der Basis der Theorie identifiziert werden. Und das dritte Produkt ist ein Bild der spezifischen Erwartungen daran, inwieweit und in welcher Form die Betroffenen vor den identifizierten Bedrohungen geschützt werden sollen, und wie mit und durch Technik – und somit auch durch deren Gestaltung –, vor allem aber durch die Art und Weise des Gebrauchs dieser Technik dieser Schutz gewährleistet werden soll. Die Modelle sind notwendig beschränkt; sie sind nur die Karten zu einem Gelände, die Organigramme zu Organisationen oder die Operationspläne zu Handlungen. Zugleich werden diese Modelle in der vorliegenden Arbeit selbst wieder nur modellhaft, also ohne jeder Verästelung in der Diskussion oder jeder abweichenden Meinung zu folgen, dargestellt.

Die Datenschutztheorie legt die Annahme zugrunde, dass die Gesellschaft, für die sie das Datenschutzproblem analysiert, eine moderne, funktional differenzierte Gesellschaft ist, die von Organisationen geprägt ist und geprägt wird, die rationale Bürokratien im Sinne Max Webers sind, ihre Informationsverarbeitung zum Zwecke – aus ihrer Sicht und in Bezug auf ihre Interessen – besserer Entscheidungsfindung rationalisieren und dazu Computer als Werkzeuge einsetzen. Diese Praxen der Informationsverarbeitung und Entscheidungsfindung durch Organisationen, die dafür eingesetzten Mittel – Technik und Verfahren – und deren Folgen sind es, die sowohl überkommene gesellschaftliche Aushandlungsergebnisse – insbesondere in der konkreten Form, die sie im Recht gefunden haben – wie auch die Aushandlungsmechanismen selbst strukturell unterminieren und deshalb unter Bedingungen gestellt werden müssen.

Das Konzept des Daten-schutzes stellt sich damit als Ergebnis einer funktionalistischen Analyse dar. Datenschutz ist demnach nicht als Wert an sich – und auch nicht als vor-rechtliches Konzept, das dann in Recht transformiert wird – konstruiert, sondern als ein Mittel in einer bereits verrechtlichten Gesellschaft zur Gewährleistung der Reproduzierbarkeit der Gesellschaft in sich selbst. Datenschutz ist demnach – und darauf hat schon Martin Rost hingewiesen – ein dezidiert bürgerliches Projekt, jedoch nicht auf der Basis liberal-individualistischer, sondern auf der Basis strukturalistischer Vorstellung davon, wie Gesellschaft „funktioniert“.

Und gerade diese strukturalistisch orientierte Fundierung des Datenschutzes ist es, die den Datenschutz in dem Verständnis, wie er hier dargelegt werden soll, für die Informatik und mithin für die Gestaltung von Informationssystemen und deren technischen Teilsystemen konzeptionell besonders anschlussfähig macht.

 

3.1 Der Untersuchungsbereich der Datenschutztheorie

Der Untersuchungsbereich der Datenschutztheorie umfasst, so Steinmüller et al. in einem frühen

– und zugleich dem konzeptionell saubersten – Versuch einer Absteckung, „die manuelle, die mechanische und die automatisierte“ Informationsverarbeitung in der staatlichen und privaten, „insbesondere unternehmerische[n]“, Verwaltung sowie in der Wissenschaft, denn Datenschutz sei deren „Kehrseite“. Weil Datenschutz „[d]ie Menge der Vorkehrungen zur Verhinderung unerwünschter Folgen von Informationsverarbeitung“ sei, folgt daraus, dass das Datenschutz-problem die Menge der unerwünschten Folgen von Informationsverarbeitung bezeichnet. Unerwünschte Folgen seien solche, „die den Zielen unserer Gesellschaft zuwiderlaufe[n] oder sie wenigstens gefährde[n]“, die Ziele hingegen seien „vor allem“ aus dem Grundgesetz zu entnehmen, „namentlich in den Grundentscheidungen dieser Verfassung, die sich bekennt zu einer rechts- und sozialstaatlich verfaßten, das Individuum und die gesellschaftlichen Gruppierungen (insbesondere Minderheiten) schützenden parlamentarischen Demokratie.“

Davon unterscheiden sie – für Juristinnen leider ungewöhnlich, aber konzeptionell sauber – Datenschutzrecht, „[d]ie Menge der Datenschutznormen“. Und im Bereich des Rechts unterscheiden sie dann das „Recht des Individualdatenschutzes“, auch „Datenschutzrecht im engeren Sinne“, das dem „Schutz des einzelnen oder von rechtlich geschützten oder zu schützenden gesellschaftlichen Gruppierungen“ diene, und alle sonstigen Datenschutznormen als „Datenschutzrecht im weiteren Sinne“.

Das „informationelle Selbstbestimmungsrecht“ bezeichnet demgegenüber nur das als „Neuinterpretation der Handlungsfreiheit Artikel 2 Absatz 1 GG [erschaffene] Selbstbestimmungsrecht über das individuelle Persönlichkeitsbild“ und stellt nur einen Teil des Fundaments des Individualdatenschutzrechts dar, denn zu diesem gehöre auch die „rechtsstaatliche[] Beschränkung“ der Informationsverarbeitung: „Rechts- und Sozialstaatlichkeit einerseits und Grundrechte andererseits bilden darum die zwei Säulen des DSchRechts.“

In der heutigen Debatte werden hingegen Datenschutz und Datenschutzrecht oft gleichgesetzt. Darüber hinaus beschränkt sich das Datenschutzrecht heute im Prinzip nur noch auf den Schutz individueller Betroffener. Und die Begriffe Individualdatenschutz, Datenschutzrecht im engeren Sinne und Datenschutzrecht im weiteren Sinne sind aus dem Sprachgebrauch verschwunden, auch aus der Fachsprache. Es ist damit im Grunde fast unmöglich, in der derzeitigen Debatte deutlich zu machen, dass das Datenschutzrecht nur eine sehr defizitäre Umsetzung des Datenschutzes ist und dass Datenschutz nicht der ausschließlichen Definitionsmacht der Juristinnen unterliegt, sondern es sich bei Datenschutz um einen ausschließlich aus interdisziplinärer Perspektive begreifbaren Untersuchungsgegenstand handelt.

 

Jörg Pohle; Humboldt-Universität zu Berlin; 2019

Open-Access-Erklärung: https://edoc-info.hu-berlin.de/de/nutzung/oa_hu

https://edoc.hu-berlin.de/handle/18452/19886

Zur leichteren Lesbarkeit wurden die Quellenverweise entfernt. Bei Interesse finden Sie sie im obigen Link.

 

Datenschutz

 

Datenschutz


Datenschutz greift auch in unsere Lebensprozesse ein

Datenschutz ist allgegenwärtig und begleitet uns im Berufsalltag wie auch im Privatleben. Erfahren Sie bei uns alles über Beratung, Ausbildung und Services im Fachbereich Datenschutz und wie wir Sie als erfahrene Datenschutzspezialisten unterstützen können.

Kontaktieren Sie uns, denn wir wissen, welche Daten wie zu schützen sind!

Wir beraten Sie gerne. +41 41 984 12 12, infosec@infosec.ch

Mehr lesen
 
Mehr lesen

10/2021

 

3.2 Die Umwelt des Datenschutzes

In den frühen Arbeiten zur Datenverarbeitung und zum Datenschutz wird die Gesellschaft durch-gängig als moderne, funktional differenzierte Massen-, Industrie- und Informationsgesellschaft verstanden. Schon in den 1960er Jahren sind viele Datenschützerinnen der ersten Generation – so etwa Fiedler, Bull, Simitis und von Berg – an der rechtswissenschaftlichen Debatte um die Verwaltungsautomation beteiligt, andere wie Podlech und – etwas „verspätet“ – Steinmüller arbeiten an der Verbindung von Recht und Informatik. Sie alle waren begeisterte Automatisierungsbefürworterinnen und wurden auch von anderen so wahrgenommen. Sie kämpften dabei gerade auch mit dem Widerstand von Leuten, die ihnen nur ein paar Jahre später den Vorwurf der Automatisierungsfeindlichkeit entgegenschleuderten – die Datenschutzkritikerinnen der 1970er Jahre waren nicht selten die Automationskritikerinnen der 1960er!

Die meisten Datenschützerinnen der ersten Generation hatten einen juristischen Hintergrund. Wenig überraschend hat das die Debatte stark geprägt. Überraschender ist, dass nicht wenige der Beteiligten über ein oder mehrere weitere disziplinäre Standbeine verfügten: Herbert Fiedler hat zusätzlich Mathematik und Physik studiert und in Jura und Mathematik promoviert, Wilhelm Steinmüller hat neben Jura auch Theologie, Philosophie und Volkswirtschaft studiert, hat die Rechtsinformatik mitbegründet und wurde später als Professor für angewandte Informatik an die Universität Bremen berufen, und Adalbert Podlech hat vor dem Jurastudium Philosophie, Geschichte und Theologie studiert, sowohl in Philosophie wie in Jura promoviert, bei IBM PL/1 gelernt und später an der Technischen Hochschule Darmstadt versucht, einen Studiengang für Rechts- und Verwaltungsinformatik aufzubauen.

Die theoretische Basis war wenig überraschend stark strukturalistisch geprägt und von Kybernetik und Systemtheorie – sowohl der allgemeinen Systemtheorie Bertalanffys als auch der aufkommenden soziologischen Systemtheorie Luhmanns – beeinflusst. Den größten Einfluss hatte aber sicherlich Max Webers Bürokratietheorie.

Und nicht zuletzt spielte die Erfahrung mit dem Nationalsozialismus eine wesentliche Rolle und die Ende der 1960er und Anfang der 1970er Jahre aus den Diskussionen um die Bayerische Informationszentrale und das „allgemeine arbeitsteilige Informationsbankensystem“ folgende Erkenntnis, in welchem Umfang es der Staatsbürokratie offenbar gelingt, ihre langfristigen Datenverarbeitungsprojekte fast unverändert auch über gesellschaftliche Umbruchzeiten hinweg weiterzuverfolgen. Und gerade dabei handelt es sich um eine der Formen der Verselbständigung von Staatsgewalt, die der Rechtsstaat zu verhindern sucht.

In der Debatte wird von den Datenschützerinnen durchgängig der Primat des Rechts gegen-über der Technik vertreten, zugleich aber auch der Primat des Politischen gegenüber dem Recht.

 

3.2.1 Das Bild der Organisation

Der Analyse des Datenschutzproblems liegt im engeren Sinne keine Organisationstheorie zugrunde, vor allem keine ausgearbeitete. Dennoch lässt sich anhand der in den verschiedenen Texten referenzierten Werke und der verwendeten Begriffe, der Art ihres Gebrauchs und der daraus gezogenen Schlussfolgerungen klar erkennen, dass die Vertreterinnen der Datenschutztheorie die informationsverarbeitenden Organisationen, die sie in den Blick nahmen, als rationale Bürokratien im Weberschen Sinne betrachteten. Explizite Erklärungen dazu, dass gerade Webers Modell zugrunde gelegt wird, sind sehr selten. Christoph Mallmann und – viel später – Alexander Roßnagel stellen die Ausnahme dar.

Weber beschreibt die moderne Staatsverwaltung und große private Organisationen als „bürokratische Anstalten“. Bürokratie ist dabei die spezifische Form der modernen, rationalen Verwaltung: „Regel, Zweck, Mittel, »sachliche« Unpersönlichkeit beherrschen ihr Gebaren.“ Im zweckrationalen Modell Webers ist der Zweck der zentrale Bezugspunkt der Organisationen, der von der Organisation in Bäume von Zwecken und Unterzwecken zerlegt wird, wobei die Unterzwecke jeweils die Mittel zur Erreichung der darüberliegenden Zwecke darstellen. Die Rationalität der Organisation spiegelt sich dann einerseits in der Rationalität der Produktion dieses Zweck/Mittel-Schemas, andererseits in der durch hierarchische Strukturen geprägten und dem Schema angepassten Organisationsgestaltung wider.

Als organisierte Systeme „faktischen Entscheidungsverhaltens“ organisieren sich Organisationen selbst, um Entscheidungsprozesse zu strukturieren, Entscheidungsbedarfe zu regeln und die für die Entscheidungen notwendigen Informationen zu verteilen.

Die Organisationen werden in den einzelnen Arbeiten zum Datenschutz wahlweise als „Organisationen“, „Verwaltungen“ oder „Bürokratien“ bezeichnet, die entweder als „privat“, „öffentlich“ oder „staatlich“ qualifiziert werden, wobei oft aber auch schlicht „Bereich“, „der Staat“, „der Staatsapparat“, „die Wirtschaft“ oder „die Unternehmen“ als Bezeichner genutzt wird. An wenigen Stellen wird die Betrachtung explizit auf „größere“ oder „große“ Organisationen beschränkt. Immer wird ihnen aber zugeschrieben, dass sie rational seien, sich selbst und ihre Informationsverarbeitung rationalisieren würden oder Objekt von Rationalisierung seien, informationstechnische Systeme zur Rationalisierung einsetzen und diese dann rational nutzen würden. Rationalität ist damit neben Automation einer der wesentlichen Bezugspunkte der Datenschutzdebatte in den 1970er Jahren, teilweise auch noch in den 1980er Jahren. Mit der Zeit aber werden beide Begriffe – Rationalität und Automation – in den Texten zum Datenschutz seltener.

Wie schon bei Weber selbst bleibt das Verhältnis zur Organisation notwendig ambivalent: Moderne Gesellschaften sind ohne Organisationen nicht existenzfähig. Menschen sind in modernen Gesellschaften abhängig von Organisationen und ihrer Erbringung von Leistungen, nicht nur, aber auch von zivilisatorischen Grundleistungen. Dabei strukturieren sie „eine Arena für die Betätigung individueller Freiheit“. Organisationen wirken also als gleichzeitig ermöglichende wie beschränkende Struktur.

Die Rationalität der Organisation stellt mit der „Formalisierung bestimmter zentraler Erwartungen“ eben auch eine Beschränkung von Willkür dar, und die rationale Vorausplanung ihrer Informationsverarbeitungs- und Entscheidungsverfahren ermöglicht nicht nur deren Formalisierung und Automation, sondern bietet gerade auch einen Ansatzpunkt für die rechtliche Regelung und die Kontrolle von Regeleinhaltung. Besonders deutlich wird dies einerseits in der Konstruktion der Phasenorientierung des Datenschutzrechts, andererseits in der Institutionalisierung der vormals Vorabkontrolle genannten Datenschutz-Folgenabschätzung.

Das Angreifermodell der Datenschutztheorie ist damit schon auf der Akteursebene sehr viel umgrenzter als das der meisten anderen Theorien, auch wenn es weder angemessen anschlussfähig dargestellt noch von allen Beteiligten konsequent zugrunde gelegt und konsistent genutzt wurde. Aus Datenschutzsicht sind damit die Organisationen Angreiferinnen, während Personen grundsätzlich kein Datenschutzproblem erzeugen. Insoweit Datenschutz eine Grenze zwischen dem, was er unter Bedingungen stellen will, und dem, was er nicht betrachten will, zieht, sind Personen, die sich nicht unter Kontrolle der Organisation befinden und die von der Organisation gesetzten Regeln einhalten, als „undichte Dritte“ zu betrachten und auszuschließen. Und die Umsetzung dieses Ausschlusses und seine Gewährleistung ist dann Aufgabe der IT-Sicherheit.

Dennoch ist zu fragen, ob und inwieweit das zugrunde gelegte Organisationsmodell tragfähig ist. In der Praxis hat sich schon vor Jahrzehnten deutlich gezeigt, dass die Rationalität der Organisationen sich nicht automatisch in eine Rationalität ihrer Informationsverarbeitungs- und Entscheidungsfindungsprozesse oder die zugrunde liegenden Informationen oder die darauf basierenden Entscheidungen übersetzen. In der Wissenschaft gilt jedenfalls das Webersche Organisationsmodell als überholt, und gerade die Vorstellung in der frühen Datenschutzdebatte ist sehr mechanistisch. Unabhängig von diesen grundlegenden Kritiken stellt sich aber die Frage, ob diese Modellvorstellungen auch für kleine Organisationen gelten. Die meisten Beschreibungen von Organisationen in der Frühzeit der Datenschutzdiskussion beziehen sich auf große Organisationen in Staat wie Wirtschaft, kleine – und damit tendenziell nicht rationale oder nicht rationalisierte – wurden an keiner Stelle explizit problematisiert. Die Frage ist auch, ob „Größe“ ein sinnvolles Maß ist, um die „Rationalität“ und das Bedrohungspotenzial der Organisation und ihrer Informationsverarbeitung zu operationalisieren. Aus informatischer Sicht ist, wie das Beispiel der berühmten Zwei-Personen-„Klitschen“, die in Garagen gegründet werden und „Revolutionen“ auslösen, zeigt, Größe jedenfalls kein sinnvoller Maßstab.

 

3.2.2 Der Charakter der Informationsverarbeitung

In der Vorstellung der Datenschutztheorie hängen Organisation und Information eng zusammen. Organisationen werden – genauso wie Menschen – als informationsverarbeitende Systeme – auch „Informationssysteme“ – verstanden. Computer sind hingegen datenverarbeitende Systeme, die aber zur Unterstützung der Informationsverarbeitung eingesetzt werden können. Organisationen, die Computer zur Unterstützung ihrer Informationsverarbeitung einsetzen, werden dann als soziotechnische oder techno-soziale Systeme verstanden. Im Gegensatz zu fast allen anderen Theorien in diesem Feld legt die Datenschutztheorie einen ausgearbeiteten und auf Angemessenheit zur Analyse und Lösung des Datenschutzproblems untersuchten Informationsbegriff zugrunde. Vor allem weil der Begriff „Datenschutz“ bereits eingeführt war, als die eigentliche Theoriearbeit gerade erst begann, wurde „Information“ für den juristischen Sprachgebrauch und die Umsetzung im Recht als „Datum“ bezeichnet, was bis heute Verwirrung stiftet. Allerdings ist zuzugeben, dass es in der damaligen Zeit wahrscheinlich auch nicht besser gewesen wäre, am Begriff „Information“ festzuhalten, weil einer der wesentlichen Bezugsrahmen der Debatte – die Informatik – selbst auch einen Informationsbegriff als zentralen Anknüpfungspunkt nutzt, den Informationsbegriff von Shannon – und der ist gerade wegen seiner Beschränkung auf technische Kommunikationssysteme auch unbrauchbar.

Information dient der Produktion von Entscheidung – für oder gegen eine Handlung – oder Information – als Material für weitere Entscheidungen. Entscheidung ist „erzeugte Information“. Entscheiden ist mithin Informationsverarbeitung. Organisationen entscheiden „in formalisierten systeminternen Verfahrensschritten unter bloßer Orientierung an Programmen und Entscheidungsrastern“ – „organisationseigenen Programmen“ –, wobei die Informationen aus der Umwelt schon nur über diese „Programme“ in die Organisation kommen, indem sie intern als Modell erzeugt werden. Solche Modelle sind prinzipiell immer reduktionistisch, aber sie sind dabei nicht falsch, sondern zweckmäßig.

Vor diesem Hintergrund wird verständlich, warum die Datenschützerinnen der ersten Generation eine „modelltheoretische Interpretation des Informationsbegriffs“ zugrunde legten. Danach sind Informationen Modelle von Objekten, also Abbildungen. Der Informationsbegriff selbst wurde aus der Semiotik übernommen und besitzt vier Dimensionen: Syntax, Semantik, Pragmatik und Sigmatik. Mit Syntax wird dabei die konkrete, meist zeichenmäßige Repräsentation, mit Semantik die Bedeutung und mithin der Kontext, mit Pragmatik der Zweck und mit Sigmatik der Verweis auf das Objekt – den Menschen, das Ding, das Konzept, das Ereignis oder den Prozess –, das die Information abbildet, bezeichnet.

Diese Abbildungen werden durch die Organisation erzeugt, für ihre eigenen Zwecke und auf ihre Zwecke zugeschnitten. Hier wird der zentrale Unterschied zu Daten deutlich, denn Daten können von Organisationen einfach kopiert werden, Informationen nicht. Die Organisation besitzt damit „Modellierungshoheit“: Sie gibt den Zweck vor, mit der die Modelle beschränkt werden, sie entscheidet über die zugrunde zu legenden Modellannahmen und sie kontrolliert die Prozesse der Modellbildung selbst, also die Entscheidungen, welche Ereignisse oder Zustände entweder analysiert oder gerade von der Analyse ausgeschlossen werden, wie sie gemessen und quantifiziert werden, wie sie mit bereits vorhandenen Informationen in Beziehung gesetzt und eingeordnet werden. Information ist damit immer Zuschreibung und kann damit nie objektiv oder neutral sein, aber eben auch nicht sensitiv oder harmlos – sie ist, wie die Organisation sie macht und was sie aus und mit ihr macht und machen will. In der Folge sind die gleichen Daten – unterstellt, dass die Datenformate und Kodierungen gleich sind – für unterschiedliche Organisationen, für unterschiedliche Zwecke, aber auch für unterschiedliche Objekte jeweils grundsätzlich unterschiedliche Informationen.

Zwar werden in der Debatte nicht nur Personenmodelle – „personenbezogene Informationen“ im Sprachgebrauch der Rechtsinformatik und „personenbezogene Daten“ im Sprachgebrauch des Datenschutzrechts – betrachtet, aber erstens liegt darauf der Schwerpunkt und zweitens werden nur diese – genauer: der Umgang mit ihnen – später im Datenschutzrecht geregelt. Die in den Modellen abgebildeten Personen werden dann in der Sprache des Datenschutzrechts als Betroffene bezeichnet. Die Entscheidung für eine Selbstbeschränkung auf Personenmodelle geht dabei – wie in Bezug auf andere Aspekte auch – der eingehenden Analyse des Datenschutzproblems im Laufe der 1970er Jahre voraus. In den nicht so sehr im Zentrum der Aufmerksamkeit stehenden Debatten werden aber auch Gruppenmodelle, Bevölkerungsmodelle und allgemeine Planungsmodelle adressiert und hinsichtlich der Folgen ihrer Verwendung in Organisationen analysiert.

Moderne Organisationen versuchen schon immer, die Grenzen des technisch Machbaren auszuloten und tendenziell alle Informationen zu sammeln, derer sie habhaft werden können, denn wegen des technischen Fortschritts und des damit einhergehenden Preisverfalls ist eine Ausweitung der Informationsspeicherung tendenziell billiger als Löschen, auch weil sich Organisationen damit Entscheidungsmöglichkeiten – und darauf aufbauend organisatorische Entwicklungsmöglichkeiten – offenhalten wollen. So überrascht es auch nicht, dass Einmalerhebung, unbeschränkte Verbreitung innerhalb der Verwaltung und Mehrfach- und Vielfachnutzung personenbezogener Informationen erklärte Ziele der Verwaltungsautomation waren. Die Datenschutzdiskussion hat das durchaus wahrgenommen und als Problem markiert, obwohl das von den Automationsbefürworterinnen propagierte Ziel in deutlichem Widerspruch zur Annahme steht, es handele sich um zweckrationale Organisation.

Die Automation setzt auf der in rationalen Organisation schon stattfindenden Rationalisierung

– Formalisierung und Standardisierung der Verfahren, Typisierung der Modelle, Transformation subjektiver in objektive Prozesse – auf. Vergleichbar zur Industrialisierung der physischen Arbeit wird versucht, die Informationsverarbeitung der Organisationen zu „maschinisieren“, also in „maschinen“-verarbeitbare Prozesse zu transformieren. Dazu werden sowohl die Informationen

– als Daten – wie auch die Entscheidungsprogramme – auf der Prozessebene als Algorithmen oder Heuristiken, aus der Systemsicht als Software – in informationstechnische Systeme übertragen. Diese können dann zur Unterstützung menschlicher Entscheidungsfindung dienen oder die Entscheidungen selbst treffen. Dabei werden die Typisierungen danach ausgewählt, dass sie sich möglichst gut technisch umsetzen und nutzen lassen. Kriterien aus der Technik bedingen also die Gestaltung der Modelle.

Auch wenn in den verschiedenen Arbeiten nicht immer deutlich gemacht wird, für wie mächtig die Maschine tatsächlich gehalten wird, scheint doch zumindest die Annahme verbreitet zu sein, dass der Computer sich in Richtung eines Informationsverarbeitungssystems – und nicht nur eines Datenverarbeitungssystems – entwickeln werde. Zumindest aber ist allgemeine Ansicht, dass der Computer die Beschränkungen der menschlichen Datenverarbeitungsfähigkeiten aufhebt. Damit einher geht dann aber eben ein qualitativer Sprung in der Informationsverarbeitungs- und Entscheidungskapazität von Organisationen, die diese Maschinen einsetzen. Dieser Sprung wird an vielen Stellen als „radikal“ bezeichnet oder – von Fiedler – als „Übergang zu einer neuen Stufe der Rationalität.“

Im Gegensatz zum Organisationsmodell überzeugt der Informationsbegriff bis heute, auch weil er hervorragende Anschlussmöglichkeiten für alle – oder zumindest die meisten – an der Debatte beteiligten Disziplinen bietet, insbesondere für die Soziologie, die Rechtswissenschaft und natürlich die Informatik. Sowohl Verarbeiterinnenwechsel, Zweck- und Kontextveränderungen wie auch Ketten von Interpretationen, Verdatungen und Re- oder Neu-Interpretationen lassen sich damit konsistent unter Bezugnahme auf einen gemeinsamen Informationsbegriff adressieren. Gleiches gilt für die Erkenntnis, dass das Maschinenmodell der Informatik, der Automat, und da-mit eine Bezugnahme nur auf informationstechnische Systeme für die Analyse der individuellen und gesellschaftlichen Risiken moderner Informationsverarbeitung zu kurz greift. Problematisch ist hingegen die in der Datenschutzdebatte weit verbreitete – und sehr wahrscheinlich direkt aus der Vorstellung von Zweckrationalität abgeleitete – Unterstellung, Organisationen würden versuchen, ihre Umwelt möglichst auf der Basis von explizierten Modellannahmen zu beobachten, ausschließlich oder vorwiegend kausalitätsbasierte Abbildungen vorzunehmen und deshalb einem objektiven Zwang zur Datenqualität zu unterliegen, an den sich dann das Datenschutzrecht einfach ankoppeln kann, um aus „Fehl“-Interpretationen von Informationen folgende Erwartungsverletzungen auf Seiten der abgebildeten Personen zu verhindern. Aus der Sicht der Organisation ist das aber egal, solange es ihr gelingt, die daraus sich ergebenden Risiken für sich selbst im Rahmen zu halten oder sie auf ihre Klientel abzuwälzen.

 

3.2.3 Das Technikbild

Der Analyse des Datenschutzproblems liegt fast durchgängig ein instrumentelles Verständnis von Datenverarbeitungstechnik zugrunde, jedenfalls in Bezug auf die Organisation. Informationstechnische Systeme werden als Werkzeug verstanden, die von ihren Beherrscherinnen – ob Herstellerinnen, Eigentümerinnen oder Betreiberinnen – nach ihren Interessen gestaltet und eingesetzt werden. Den Betrachtungen ihrer Folgen – oder besser: den Folgen ihres Gebrauchs – für die Betroffenen liegt aber eher ein relationales Verständnis zugrunde. Die Technik werde nicht nur nach den Interessen der Datenverarbeiterinnen gestaltet, in der Technik verkörperten sich dann auch diese Interessen und in ihrem Einsatz diene sie ihnen. Das sei auch nicht überraschend, denn die Gestalterinnen und Betreiberinnen seien selbst von einem instrumentellen Rationalismus geprägt.

Aus Sicht der Datenschutzdebatte ist Technik in großem Maße gestaltbar. Bei „technischen Zwängen“ handele es sich in den meisten Fällen schlicht um Rechtfertigungsformeln für Eigenschaften, die – ob bewusst oder unbewusst – in informationstechnische Systemen im Interesse ihrer Beherrscherinnen hineinkonstruiert wurden. Sie dienen dazu, sowohl die Tatsache dieses Hineinkonstruierens selbst wie auch die hineinkonstruierten Interessen nicht diskutieren zu müssen. Die Gründe für dieses Nicht-diskutieren-Wollen können vielfältig sein – es kann etwa schlicht sein, dass eine Explikation der Interessen zur Aufkündigung eines vorher mühsam erkämpften Konsenses, der vielleicht auch nur in einer „Unterstellung der Gleichsinnigkeit“ bestand, zu führen droht. Für die Datenschützerinnen zählen in erster Linie die Folgen für die Betroffenen, denn die Informationstechnik wird als Machtverstärker verstanden, und daher sei relevant, welche Interessen in der Technik verkörpert werden. Und natürlich, wie die Systeme eingesetzt werden.

Wenn aber die Technik gestaltbar sei und von den Organisationen gestaltet werde, und die Organisationen und ihr Handeln dem Recht unterworfen seien, dann müsste Recht grundsätzlich auch in der Lage sein, so die Argumentation der Datenschützerinnen, die Gestaltung und den Gebrauch informationstechnischer Systeme zu steuern. Beides war daher immer auch explizites Ziel der Datenschutzdebatte. Und insoweit Organisationen zum Zwecke der Optimierung und Rationalisierung von Tätigkeiten diese automatisierten – und vor dem Hintergrund der Diskussion um automationsgerechte Gesetze in den 1960er Jahren –, konnte durchaus erwartet werden

– und Fiedler hat sogar explizit gefordert, dass die Gesetze dazu automationsgerecht gestaltet werden sollen –, dass Organisationen Datenschutz in Technik umsetzen – und genau darauf zielte dann auch eine Regelung im Bundesdatenschutzgesetz 1977. Zwei Oberziele wurden dabei formuliert: Technik müsse machen, was sie solle, und Technik dürfe nicht können, was sie nicht dürfe. Oder etwas überspitzter: Wenn die Organisation schon eine (Webersche) Maschine sei, dann könne der (informationstechnischen) Maschine ganz sicher beigebracht werden, sich wie eine sich rechtmäßig verhaltende Organisation zu verhalten.

So zwingend sich diese Argumentation auch anhören mag, so voraussetzungsvoll ist sie doch gleichzeitig – und nur in einem geringen Umfang wurde das in den ersten beiden Jahrzehnten reflektiert. Sehr früh war zumindest schon klar, dass Informationssysteme grundsätzlich zweckfrei seien, und ihre „Multifunktionalität“ wurde breit diskutiert. Und genau deshalb wurde die Einführung des zugleich kontrafaktischen wie normativen Prinzips der Zweckbindung gefordert, wenn es auch erst im BDSG 1990 umgesetzt wurde.

Dieses Zweckfreiheitsproblem wurde später differenzierter betrachtet: Computer und Netze seien grundsätzlich zweckfrei, aber mit Programmen – und nur mit diesen – könne der Computer zweckbeschränkt werden. Gleichzeitig sind aber diese Systeme durchgängig nur als sehr geschlossene, ja fast schon totale Systeme imaginiert worden. Das zeigen etwa die umfassenderen Gestaltungsvorschläge, die im Laufe der Debatte vorgelegt wurden, so etwa Podlechs Vorschlag zur Trennung von politischer, technischer und fachlicher Verantwortung direkt im System, wobei die Benutzerinnen (fachliche Verantwortung) nur über definierte Schnittstellen auf die Systeme (der Unternehmerinnen, technische Verantwortung) mit den Daten zugreifen dürfen, auf denen dann die mittels Programmkontrolle kontrollierbare Datenverarbeitung abläuft, Steinmüller et al. mit einem System, das alle Aufgaben einer Institution abbildet und nur genau deshalb kontrollierbar gemacht werden kann, Bräutigam et al. mit dem Vorschlag für eine von keinem Programm umgehbare Middleware oder Hammer et al. mit einem extrem abgeschlossenen System, das gestaltet werden soll, nämlich einem betrieblichen Telefonsystem. In allen diesen Fällen tritt die Technik damit deutlich als reines Instrument der Organisation auf.

Diese Vorstellung mag bis in die 1980er Jahre für den Computer und seinen Einsatz in Organisationen vor allem aufgrund seines Preises, der daraus resultierenden relativ geringen Verbreitung und der Anforderungen an seine Programmierung und Bedienung noch einen gewissen Wirklichkeitsbezug gehabt haben. Aber jedenfalls mit dem Aufkommen des PCs, der breiten Verfügbarkeit von Software – vor allem solcher Programme wie VisiCalc, Microsoft Multiplan und Lotus 1–2–3 –, mit dem Erscheinen der ersten einfach nutzbaren grafischen Benutzeroberflächen und mit der zunehmenden Vernetzung der Endgeräte – sogenannten „offenen Netzen“, im Gegensatz zur seit den 1960ern schon problematisierten Vernetzung („Integration“) von Informationssystemen – verlor der Computer seinen instrumentellen Charakter auch in der Praxis. Und damit wird eben gerade fraglich, inwieweit Organisationen tatsächlich in der Lage sind, ihre automationsunterstützten Informationsverarbeitungsverfahren zu kontrollieren, oder ob es sich dabei – analog etwa zu den Fiktionen im Bereich der informierten Einwilligung (Wahlfreiheitsfiktion, Marktfiktion, Transparenz- bzw. Bestimmtheitsfiktion, Aufsichtsfiktion) – nicht schlicht um eine Kontrollierbarkeitsfiktion handelt. Die Datenschützerinnen der ersten Generation haben diese Diskussion dann schon nicht mehr geführt, auch wenn sie den Bedarf dafür wahrgenommen haben.

 

3.2.4 Schlussfolgerungen

Vor diesem Hintergrund zeigt gerade die Verbindung zwischen dem unterstellten zweckrationalen Charakter von Organisation und dem ebenso unterstellten instrumentellen Charakter von informationstechnischen Systemen, dass die heute gerne bemühte Behauptung, das Datenschutz-recht basiere auf der Vorstellung des klassischen Großrechners der 1970er Jahre, fehl geht und zu kurz greift. Richtig ist hingegen, dass sich Datenschutz nach der Vorstellung der damaligen Debatte offensichtlich nur in von kontrollierbaren und sich selbst kontrollierenden Organisationen kontrollierten Informatiksystemen direkt umsetzen lässt. Diese Kontrollierbarkeitsfiktion prägt aber auch stark die informatische Debatte um die datenschutzfreundliche oder privacy-enhancing Technikgestaltung, so etwa im Bereich der nutzerinnenkontrollierten Identitätsmanagementsysteme oder bei Apps auf Endnutzerinnengeräten. Gestaltungsziel ist in diesen Fällen offensichtlich immer die – eventuell sogar beweisbare – Garantie von bestimmten Eigenschaften der technischen Systeme. Diese Zielvorstellung, die in Anlehnung an Troncoso als „harter Datenschutz“ bezeichnet werden kann, lässt sich damit aber eben offensichtlich nur in einem Teil von Systemen umsetzen, die dann aber datenschutzgarantierend sind. Wenn die Annahme, dass Organisationen zweckrational sind, Technik unter ihrer vollen Kontrolle steht und die Verfahren nur in oder mit dieser Technik stattfinden, fallen gelassen wird, dann lassen sich allenfalls schwächere Formen des Datenschutzes in Technik und durch Technik umsetzen. Das Ziel ist dann, Technik zu gestalten, die den Datenschutz – als Eigenschaft einer Praxis der Informationsverarbeitung und Entscheidungsfindung – fördert und seine Einhaltung sehr viel wahrscheinlicher macht als seine Nichteinhaltung.

 

Jörg Pohle; Humboldt-Universität zu Berlin; 2019

Open-Access-Erklärung: https://edoc-info.hu-berlin.de/de/nutzung/oa_hu

https://edoc.hu-berlin.de/handle/18452/19886

Zur leichteren Lesbarkeit wurden die Quellenverweise entfernt. Bei Interesse finden Sie sie im obigen Link.

 

Datenschutz

 

Datenschutz


Datenschutz greift auch in unsere Lebensprozesse ein

Datenschutz ist allgegenwärtig und begleitet uns im Berufsalltag wie auch im Privatleben. Erfahren Sie bei uns alles über Beratung, Ausbildung und Services im Fachbereich Datenschutz und wie wir Sie als erfahrene Datenschutzspezialisten unterstützen können.

Kontaktieren Sie uns, denn wir wissen, welche Daten wie zu schützen sind!

Wir beraten Sie gerne. +41 41 984 12 12, infosec@infosec.ch

Mehr lesen
 
Mehr lesen

10/2021

 

3.3 Das Problem des Datenschutzes

In der frühen Datenschutzdiskussion gab es nicht eine konsentierte Problembeschreibung, sondern eher eine Sammlung von als konzeptionell verbunden verstandenen Problemfeldern, die von unterschiedlichen Beteiligten als mehr oder weniger eng zusammenhängend verstanden wurden.

Das zeigt sich etwa schon an der Trennung zwischen Datenschutz im engeren Sinne und Daten-schutz im weiteren Sinne. Einer der Hauptgründe dafür liegt wohl darin, dass diese Diskussion vorwiegend von Juristinnen geführt wurde, von denen viele nicht sauber zwischen Problem-beschreibung, Problemlösung und der Umsetzung dieser Lösung im Recht unterschieden, und deshalb die jeweils als Prämisse spezifisch gesetzte Regelungsintention die Problembeschreibung selbst notwendig beschränkte – vergleichbar zum Grundproblem aller Privatheitsdebatten, die sich geradezu sklavisch an den Begriff „privat“ gebunden haben und binden, und insoweit nur Probleme sehen können, die sich als „privat“ markieren lassen.

Als die Datenschutzdebatte begann, war der „Organisationsvorsprung“, also der spezifische Machtvorsprung der Organisationen als Organisationen – begründet in der strukturell besseren Fähigkeit, Informationen zu verarbeiten und Entscheidungen zu treffen –, gesellschaftlich, vor allem durch das Recht, bereits eingehegt. Immer deutlicher wurde jedoch, dass die überkommenen Einhegungsmechanismen, also die Mechanismen, wie sie im Recht konkretisiert und umgesetzt worden waren, unter den Bedingungen der automationsgestützten Informationsverarbeitung nicht mehr funktionierten. Die Datenschutzdebatte versucht, auf dieses Problem eine Antwort zu finden und stellt dabei relativ schnell fest, dass es nicht ausreichen würde, ein paar Änderungen an einzelnen bestehenden Regelungen vorzunehmen. Stattdessen musste das Verhältnis zwischen Organisation, Information, Informationsverarbeitung und Macht grundlegend neu analysiert und auf die Folgen untersucht werden, die entstehen, wenn die Freiheits- und Partizipationsversprechen sowie die Strukturschutzprinzipien und -mechanismen der modernen bürgerlichen Gesellschaft auf Organisationen treffen, die im Zuge und mit Hilfe moderner Informationsverarbeitung diese Versprechen, Prinzipien und Mechanismen strukturell unterminieren.

Vor diesem Hintergrund soll nachfolgend das in der damaligen Debatte oft nur aspektbezogen diskutierte Datenschutzproblem, das sich als Folge der Rationalisierung, Maschinisierung und Automation der Informationsverarbeitung und Entscheidungsfindung in Organisationen ergibt, strukturiert rekonstruiert werden. In einem ersten Schritt werden dazu die dadurch erzeugten oder verbesserten und tendenziell auf Dauer gestellten Potentiale moderner Organisationen zur Steuerung oder Beeinflussung individueller, kollektiver oder institutioneller Betroffener und ihrer Handlungen sowie der Prästrukturierung ihrer Handlungsmöglichkeiten dargestellt. Anschließend werden solche Folgen betrachtet, die sich aus der konkreten Art und Weise der Informationsverarbeitung und Entscheidungsfindung in Organisationen ergeben. Dabei handelt es sich etwa um die Folgen, die sich daraus ergeben, dass Organisationen der Informationsverarbeitung Modellannahmen zugrunde legen (müssen), über die sie selbst die Modellierungshoheit haben, die Informationsverarbeitung grundsätzlich nur gemäß ihrer eigenen Programme und der dieser zugrunde liegenden Funktions- und Verfahrenslogik durchführen können und sie dabei tendenziell zur Aufhebung getrennter Kontexte mit deren jeweiligen Eigenlogiken und spezifischen Rollen und Rollenerwartungen neigen.

 

3.3.1 Das Problem der Datenmacht

Die durch Rationalisierung, Maschinisierung und Automation verbesserten Informationsverarbeitungs- und Entscheidungsfähigkeiten von Organisationen führen zu einer gegenüber dem schon vorhandenen, sich etwa bereits aus der Arbeitsteilung ergebenden, Organisationsvorsprung nochmals deutlich gesteigerten Leistungsfähigkeit der Organisationen, ihre jeweilige Umwelt wahrzunehmen und in dieser Umwelt – aus ihrer Sicht und in ihrem Interesse – angemessen zu agieren. Es verbessert sich die Fähigkeit der Organisation, Sachverhalte, vergangene und gegenwärtige Ereignisse, die daran beteiligten Akteurinnen und deren Beziehungen zu den Ereignissen und zueinander sowie deren Auswirkungen zugleich umfassender und in höherer Detailschärfe, schneller und effizienter zu erfassen, intern als Modelle – Informationen – abzubilden und als Daten zu speichern, zu verbreiten, mit anderen Informationen in Zusammenhang zu setzen und zu vergleichen, zu bewerten und darauf basierend Entscheidungen darüber zu treffen, wie sie damit umgeht oder darauf reagiert. Darüber hinaus steigt ihre Fähigkeit, das zukünftige Verhalten der modellierten Objekte vorherzusagen – genauer: sie können die Treffsicherheit ihrer Vorhersagen steigern –, und damit steigen die Erfolgsaussichten, dieses Verhalten zu beeinflussen, zu beschränken oder gar zu verhindern. Die Verdateten – Personen, Gruppen, ganze Bevölkerungen, aber auch andere Organisationen oder Institutionen – werden also, während sie durchleuchtet, verdatet, wahlweise entindividualisiert oder versippenhaftet, jedenfalls aber objektiviert und nummeriert werden, tendenziell unvergessen in Bezug auf die Vergangenheit, vorhersagbar in Bezug auf die Zukunft und mithin kontrollierbar in der Gegenwart. Für eine Einschränkung der Handlungsfreiheit reicht es, wenn die Verdateten damit rechnen müssen – oder auch nur nicht ausschließen können –, dass ihnen diese Handlungen später in solchen vermachteten Verhältnissen zum Vorwurf gemacht werden oder anderweitig Nachteile bescheren. Die konkreten Folgen sind jeweils davon abhängig, in welchem Verhältnis die Organisationen zu den von ihren Entscheidungen Betroffenen stehen. Zu den damals diskutierten Beispielen gehören die Möglichkeit, zum Ziel staatlicher, vor allem polizeilicher Maßnahmen zu werden, neue oder gerichtsfeste Ablehnungsgründe, die sich für eine öffentliche Verwaltung gegenüber Antragstellerinnen eröffnen, Preisdiskriminierungsmöglichkeiten für Unternehmen gegenüber ihren Kundinnen, Entscheidungsmöglichkeiten für Arbeitsgeberinnen über die Begründung oder Beendigung von Arbeitsverhältnissen, für Finanzinstitute über die Kreditkonditionen sowie für Versicherungen über die Versicherungskonditionen. Andere in der Debatte problematisierte Be-reiche betreffen Marktbeeinflussung und Monopolisierungstendenzen im Wirtschaftsbereich, das Verhältnis zwischen Arbeitsgeberinnen und Belegschaften in Mitbestimmungsfragen, zwischen Politik und Öffentlichkeit, zwischen Legislative und Exekutive oder zwischen zentralen und de-zentralen Organisationseinheiten des Staates.

Einige Eigenschaften dieser Folgenbetrachtung verdienen besondere Aufmerksamkeit: Erstens lädt die abstrakte Beschreibung des Problems dazu ein, es als nur abstrakt existierendes Problem zu ignorieren oder ihm die praktische Relevanz abzusprechen. Zweitens lädt sie dazu ein, es auf der gleichen abstrakten Ebene lösen zu wollen. Das ist etwa beim Code of Fair Information Practices oder bei den OECD Guideline geschehen, die deshalb statuieren, dass die Informationsverarbeitung „fair“ zu erfolgen habe. Drittens transformiert auch die am häufigsten umgesetzte Antwort des Rechts auf eine solche Klasse von Problemen, die Prozeduralisierung, das Problem nur: Wer entscheidet dann nach welchen Maßstäben, und wie sind der Entscheidungsprozess, die konkrete Abwägung und das Ergebnis für wen überprüfbar? Die Maßstäbe sind dann gerade das vierte Problem, denn die Bewertung der Folgen in jedem Einzelfall ist hochgradig interessen- und wertgebunden. Und selbst eine Systematisierung nach „Verwendungszusammenhängen“ kann fünftens nicht verhindern, dass die spezifische Systematik – vor allem im privaten Bereich – immer hochgradig umstritten bleiben wird, und darüber hinaus, wie jetzt im öffentlichen Be reich bereits zu beobachten, zu einer Flut von im Verhältnis zueinander immer inkonsistenter werdenden Regelungen führt.

 

3.3.2 Das Problem der Rationalitätsverschiebung

Der zweite Aspekt, der in der historischen Datenschutzdebatte breit diskutiert wurde, betrifft die Rationalitätsverschiebung und deren Folgen. Organisationen bilden die Objekte aus der Umwelt auf der Basis von Modellannahmen, die unter Modellierungshoheit der Organisationen gemäß den organisationseigenen Zwecken produziert werden, intern ab, unterwerfen sie dann der organisationseigenen Funktions- und Verfahrenslogik und verarbeiten sie entsprechend ihrer eigenen Programme. Sie entscheiden dabei zugleich selbst, welche Objekte sie abbilden und welche nicht. Die Folgen fehlender, falscher, veralteter oder für die intendierten Entscheidungen anderweitig unpassender Informationen tragen jedoch in erster Linie die Betroffenen. Gleiches gilt für die damals wie heute weitverbreitete Unterstellung, dass Informationen in Akten und informationstechnischen Systemen sowohl objektiv wie auch korrekt seien, weil sie in Akten stehen oder in Computern gespeichert sind. Das liegt auch daran, dass Organisationen zum Ignorieren, Verschweigen oder Verstecken ihrer Modellierungshoheit tendieren. Deutlich wird dies etwa bei Statistiken, aber auch Simulationen: Eine Organisation entscheidet, welche Rohdaten auf der Basis welcher Fragestellungen und mit welchen Methoden erhoben werden – und welche nicht –, wie sie gefiltert, verarbeitet, verknüpft und analysiert werden – und dann wird damit „Politik“ gemacht, etwa mit der Polizeilichen Kriminalstatistik oder Bevölkerungsprognosen, oder „Wissenschaft“ wie bei Google Trends. Mehr noch: Weil die Zwecke die Modellannahmen (mit-)produzieren, kann Korrektheit grundsätzlich allenfalls für den Zweck sichergestellt werden, der den Modellannahmen zugrunde gelegt wurde. Auch über Sachverhalte treffen Organisationen Vorentscheidungen in einer Weise, die dazu führten, dass nur noch entschieden werden kann, was die Organisationen an Entscheidungsspielraum noch übrig gelassen haben. Ob es sich dabei um Kundinnen gegenüber Unternehmen, Rezipientinnen gegenüber Inhaltsanbieterinnen, Gerichte gegenüber Geheimdiensten, politische Gremien gegenüber der öffentlichen Verwaltung oder die Wahlbevölkerung gegenüber dem Staat handelt, führt strukturell zum gleichen Ergebnis: Ohne Aufdeckung der Vorentscheidungen und der zugrunde liegenden Entscheidungsprämissen lässt sich für die Betroffenen nicht effektiv prüfen, welche Entscheidungsalternativen weggefallen sind und ob die verbleibenden nicht zufällig alle die Eigenschaft haben, den Interessen der Organisationen zu dienen. Im Ergebnis okkupieren damit die Organisationen die ursprünglich den Betroffenen gehörenden Entscheidungsräume – ein Problem, das in den 1970ern vor allem am Beispiel der Machtverschiebung zwischen Parlament und Ministerialbürokratie in Gesetzgebungsverfahren diskutiert wurde. Hinzu kommt, dass die in diesen Informationsverarbeitungsprozessen erzeugten „Datenschatten“ nicht an das Objekt gebunden sind, das sie „hervorgebracht“ hat. Ihrer beliebigen Speicherung, Verwendung und Weitergabe steht damit nichts mehr im Weg. Sie verstetigen damit nicht nur alte – und möglicherweise überholte – Sachverhalte, sondern sie ersetzen zugleich das Objekt, das sie repräsentieren, und ermöglichen es damit der Organisation, Entscheidungen über die verdateten Betroffene zu treffen, ohne mit der Betroffenen interagieren zu müssen.

Dieses von der Organisation erzeugte Problem findet seine Entsprechung im Bereich der in-formationstechnischen Systeme. Während die Debatte in den Anfangsjahren vor allem auf die Substitution menschlicher Informations- durch technische Datenverarbeitung in den Organisationen zielte und dabei etwa problematisierte, dass Code an die Stelle von Recht trete, aber nicht öffentlich und damit auch nicht überprüfbar sei, sind später auch Endnutzerinnensysteme in den Blick genommen worden, etwa als mit ISDN plötzlich für Angerufene sichtbar wurde, wer anruft – Verwaltungen konnten nun vor dem Abheben schon zwischen erwünschten und unerwünschten Anruferinnen, etwa Journalistinnen und anderen Querulantinnen, unterscheiden. Inzwischen haben sich die Bereiche, in denen Probleme mit versteckten Modellannahmen und der Entscheidungsraumokkupation auftreten können, bedeutend ausgeweitet – von Googles Entscheidung, aus Berechenbarkeitsgründen Relevanz aus Empfängerinnensicht durch Relevanz aus Senderinnensicht zu ersetzen, bis zu Facebooks Kontrolle über die Auswahl der Quellen für den Newsfeed und die Trending Topics.

 

3.3.3 Das Problem der Entdifferenzierung

Die zunehmende Integration von Informationssystemen führt, so lässt sich der dritte große Diskussionsgegenstand der Datenschutzdebatte zusammenfassen, zur tendenziellen Aufhebung der die moderne, funktional differenzierte Gesellschaft prägenden Trennung zwischen gesellschaftlichen Subsystemen, Feldern oder Kontexten mit jeweils spezifischen Eigenlogiken. Die Versuche der Organisationen, die differenzierten Rollen, in denen Menschen in modernen Gesellschaften mit Organisationen interagieren, zusammenzuführen, um „das »Eigentliche« der Person“ aufzudecken und zur Grundlage der eigenen Informationsverarbeitung und Entscheidungsfindung zu machen, gefährdet dabei nicht nur die Menschen, die sich in der Folge mit rollenfremden Erwartungen konfrontiert sehen. Sie gefährdet auch die moderne Gesellschaft und die Existenz der gesellschaftlichen Autonomiebereiche schlechthin, denn diese basieren gerade auf der Aufrechterhaltung ihrer jeweiligen Eigenlogiken gegenüber den Eigenlogiken anderer Bereiche – „sachwidrige Koppelung“ ist ein Gesellschaftsstruktur-Problem, nicht nur ein individuelles. Als besonders schweres, nämlich als Problem des Schutzes der Menschenwürde wird das Problem der Aufhebung der Rollentrennung gefasst, wo es in individualisierter Form als Problem der Erstellung umfassender Persönlichkeitsbilder adressiert wird, denn den Menschen in seiner ganzen Persönlichkeit zu erfassen, degradiere ihn zum Objekt. Aus Sicht der Datenverarbeiterin jedenfalls bestimmt sich, so viel dürfte heute klar sein, die Umfassendheit eines Profils nach dem Zweck, den die Datenverarbeiterin verfolgt, und das liegt mindestens dann vor, wenn „es das künftige Verhalten der Person prognostizierbar macht oder den Rollenwechsel des einzelnen [. . . ] unmöglich macht.“ 

 

3.3.4 Schlussfolgerungen

Der Kern des Datenschutzproblems sind also die strukturellen Machtimbalancen, die durch die Rationalisierung, Maschinisierung und Automation gesellschaftlicher Informationsverarbeitungs-prozesse erzeugt, verstärkt oder verfestigt werden, und deren Folgen für Individuen, Gruppen, Organisationen und die Gesellschaft insgesamt. Der gesellschaftliche Bedarf nach Datenschutz als „Lösung“ des Datenschutzproblems entsteht demnach, wenn die Freiheits- und Partizipationsversprechen sowie die Strukturschutzprinzipien und -mechanismen der modernen bürgerlichen Gesellschaft auf Organisationen treffen, die im Zuge und mit der Industrialisierung der gesellschaftlichen Informationsverarbeitung diese Ver-sprechen strukturell unterminieren. Datenschutz ist demnach die informationelle Dimension der „Lösung“ des allgemeinen gesellschaftlichen Machtproblems.

Die einzelnen Problembereiche wurden für verschiedene Konstellationen unterschiedlich um-fassend und tiefgehend analysiert. Schon damals bildeten Analysen, die Personen als Betroffene in den Blick nehmen, mit großem Abstand die Mehrheit der Ausarbeitungen, und inzwischen wird fast nichts anderes mehr betrachtet. Das Problem des Gruppendatenschutzes, im 1971er Gut-achten noch ein wichtiger Teil des Individualdatenschutzes, blieb lange eher unterbelichtet oder wurde in Nebensätzen abgehandelt, die sich im Kern mit Personendatenschutz beschäftigten. Inzwischen scheint dem Gruppendatenschutz jedenfalls wieder ein wenig mehr Aufmerksamkeit zuteil zu werden. Wenn überhaupt eine Diskussion zu Organisationen oder Institutionen als Betroffenen von Datenmacht stattfand oder stattfindet, dann fast nie im Rahmen der Datenschutzdebatte, jedenfalls nicht nach den 1970er Jahren. Das Gleiche gilt für die Gesellschaft als Ganzes.

Ein Grund für diese Schlagseite der Debatte findet sich darin, dass gerade die Arbeiten, die die ganze Breite der Betroffenen in den Blick genommen haben, den Fokus der Analyse auf die Datenverarbeiterinnen legen und versuchen zu ermitteln, wie sich aus welchen Gründen welche Machtverschiebungen zugunsten dieser Organisationen ergeben. Es handelt sich hier in gewisser Weise um das ebenso problematische Gegenstück zu einem Großteil der privacy- und Privatheitsdebatte: Indem in Akteurskonstellationen ein zu starker Fokus auf eine Seite dieser Konstellationen gelegt wird – in der Datenschutzdebatte auf Organisationen als Datenverarbeiterinnen, in der privacy-Debatte auf Personen als Betroffene –, bleibt die andere Seite fast notwendig unterbelichtet. Im organisationsfixierten Teil der Datenschutzdebatte sind die Betroffenen oft dann einfach nur „Alle“, während in der personenfixierten privacy-Debatte dieses „Alle“ auf die Angreiferinnen verweist.

Ein zweites – und fast noch größeres – Problem liegt im inzwischen ausnahmslosen Fokus auf ein spezielles Mittel, das in den Angriffen der Organisationen auf die Betroffenen verwendet wird: den personenbezogenen Informationen. Diese, jeder Analyse schon vorausgehende, Fixierung auf personenbezogene Informationen stellt eine mehr als fragwürdige Selbstbeschränkung hinsichtlich des Untersuchungsgegenstandes dar und produziert dabei fast schon absurde Konsequenzen: Es wird als privacy-, surveillance- und Datenschutzproblem für Alice und ihre Freiheitsausübung wahrgenommen, wenn diese Freiheitsausübung im Zuge oder infolge der Verarbeitung personenbezogener Informationen über Alice beschränkt wird, nicht aber, wenn das im Zuge oder infolge der Verarbeitung personenbezogener Informationen über Bob geschieht. Diese Selbstbeschränkung, die in der wissenschaftlichen Debatte schon konsentiert war, bevor die Datenschutzdiskussion Ende der 1960er Jahre begann, ist zwar an einigen Stellen „umgangen“ worden, etwa wenn die Machtverschiebungen mit einem ausschließlichen Fokus auf die Organisationen, die diese Machtverschiebung verursachen, beschrieben wurden, aber in der Mehrzahl der Arbeiten wurde sie einfach unreflektiert übernommen, wenn nicht sogar gepriesen.

Im Grunde ist für die Grenzziehung zwischen Informationen, deren Umgang problematisiert werden soll, und solchen, die aus dem zu betrachteten Gegenstandsbereich ausgeschlossen werden, nur für die innere Grenze, also die Einbeziehung von bestimmten Informationen, eine Begründung – ob wissenschaftlich oder politisch – gegeben worden. Die Außengrenze jedoch wurde nie begründet, sondern nur statuiert. Die hingegen wahrlich oft zu findende Aussage, die ausgeschlossenen Informationen würden gerade ausgeschlossen, weil sie nicht personenbezogen seien, ist gerade keine Begründung dafür, dass nur personenbezogene Informationen betrachtet werden, sondern schlicht das Ergebnis der notwendig scheiternden Subsumtion dieser Informationen unter den Personenbezugsbegriff.

 

Jörg Pohle; Humboldt-Universität zu Berlin; 2019

Open-Access-Erklärung: https://edoc-info.hu-berlin.de/de/nutzung/oa_hu

https://edoc.hu-berlin.de/handle/18452/19886

Zur leichteren Lesbarkeit wurden die Quellenverweise entfernt. Bei Interesse finden Sie sie im obigen Link.

 

Datenschutz

 

Datenschutz


Datenschutz greift auch in unsere Lebensprozesse ein

Datenschutz ist allgegenwärtig und begleitet uns im Berufsalltag wie auch im Privatleben. Erfahren Sie bei uns alles über Beratung, Ausbildung und Services im Fachbereich Datenschutz und wie wir Sie als erfahrene Datenschutzspezialisten unterstützen können.

Kontaktieren Sie uns, denn wir wissen, welche Daten wie zu schützen sind!

Wir beraten Sie gerne. +41 41 984 12 12, infosec@infosec.ch

Mehr lesen
 
Mehr lesen

10/2021

 

Die gesellschaftliche Dimension von Privatheit

 

Der soziale Wert von Privatheit

»Märkte diskriminieren und sind unfair.«

»Konzerne erzeugen Kundenprofile. […] Auf Grund dieser Profile erhalten Kunden zum Beispiel sehr unterschiedliche und unterschiedlich attraktive Angebote, ohne sich dessen bewusst zu sein, dass die Angebote auf ihre gesamte finanzielle, soziale und private Situation personalisiert sind.«

Um den Schutz vor solchen Diskriminierungen geht es u.a. in diesem Abschnitt. Beate Rössler, Professorin für praktische Philosophie an der Universität von Amsterdam, spricht hier von der Vermarktung der Privatsphäre und plädiert für moralische Grenzen.

Je mehr man über eine Person weiß, desto genauer kann man einschätzen, welche besonderen Vorlieben sie hat, worauf sie vermutlich reagieren wird, was ihr wichtig ist, was sie ablehnt usw. Die Vielzahl der verfügbaren Daten ermöglicht eine gezielte, individualisierte Ansprache einzelner Personen. Das wird bereits mit Erfolg bei der Werbung eingesetzt.

Nun kostet Werbung Geld, und sie soll natürlich erfolgreich sein, was bedeutet, dass sie Gewinn bringen soll. Das führt dann fast automatisch zu einer Kategorisierung der Benutzer. Diejenigen Kunden, die als gewinnversprechend eingestuft werden, werden entsprechend bevorzugt behandelt, während diejenigen, die mehr kosten, als sie bringen, in die Kategorie »waste« einsortiert werden, was so viel bedeutet wie »nicht profitabel«, »Abfall«. Diese Kunden werden wohl kaum lukrative Angebote, Rabatte oder dergleichen mehr bekommen.

Ein bekanntes Beispiel hierfür ist das US-Reiseunternehmen Orbitz, das Nutzern von Apple-Computern teurere Hotelzimmer anbot mit der Begründung, dass diese gern etwas mehr zahlen als Windows-User.

Eine Untersuchung der George Washington University in Washington hat herausgefunden, dass Dienste wie z.B. Uber und Lyft, mit denen Benutzer bequem von ihrem Telefon aus Fahrten zu einem bestimmten Ort bestellen können, einen höheren Preis pro Meile für eine Reise berechnen, wenn der Abholpunkt oder das Ziel ein Viertel mit einem höheren Anteil an Bewohnern ethnischer Minderheiten ist als diejenigen mit überwiegend weißen Bewohnern.

Ein weiteres Beispiel ist der Versuch von Airlines, Flugpreise erst nach der Anmeldung des Kunden individuell zu berechnen.

»Wenn Sie also immer am Montag berufsbedingt von A nach B fliegen müssen, zahlen Sie eben etwas mehr, während der Student neben Ihnen das gleiche Ticket für den halben Preis bekommt.«

Ein anderes Beispiel sei hier noch erwähnt:

»[Zwei Wirtschaftsauskunfteien] haben offenbar Konzepte für Datenpools entwickelt, in denen Energieversorger Informationen über Kund:innen sammeln könnten. Die Anbieter könnten die Daten nutzen, um Verbraucher:innen systematisch am Vertragswechsel zu hindern.«

Durch solche Datensammlungen besteht die Gefahr einer Diskriminierung, sei es auf Grund des Kaufverhaltens, des Geschlechtes, des Alters, des Einkommens oder anderer Komponenten. Die Auswirkung einer solchen Diskriminierung mag in Bezug auf Werbung noch vergleichsweise harmlos erscheinen. Anders sieht es aus, wenn solche Daten z.B. in den Besitz von Versicherungen gelangen. Da kann es durchaus zu gravierenden Diskriminierungen und Benachteiligungen kommen, sei es, dass höhere Beiträge erhoben werden, oder sei es, dass im Extremfall sogar das Versicherungsverhältnis gekündigt wird. Ähnlich verheerend können solche Daten sein, wenn Kreditauskunfteien darauf Zugriff erhalten.

»Die Geschichte hat uns immer wieder gezeigt, dass riesi-ge Datenregister autokratisches Denken verstärken.« (Kate Crawford)

Kate Crawford, leitende Wissenschaftlerin bei Microsoft Research, weist so auf die Risiken hin, die diese riesigen Datenregister mit sich bringen. Sie bringt Beispiele aus der Geschichte, die zeigen, welch verheerende Wirkung solche Datenregister haben können. So ermöglichte etwa IBM während der Nazizeit durch seine Hollerith-Maschinen die Verfolgung von Juden, Romas und anderen ethnischen Gruppen.

Wenn Donald Trump ein Register für Muslime einrichten möchte, so hält ihm Crawford entgegen, dass Facebook bereits so etwas wie ein Muslim-Register der Welt geworden ist.

Crawford erwähnt Untersuchungen der Universität Cambridge, die zeigen, dass es möglich ist, die religiösen Überzeugungen der Menschen auf der Grundlage dessen, was sie im sozialen Netzwerk »liken«, vorherzusagen. Christen und Muslime wurden in 82 % der Fälle korrekt klassifiziert, und ähnliche Ergebnisse wurden für Demokraten und Republikaner erzielt (85 %). Obiger Studie kann man ebenfalls entnehmen, dass man allein durch eine Analyse von Facebook Likes auch sehr genaue Aussagen machen kann über ethnische Zugehörigkeit, sexuelle Orientierung und vieles mehr. Die Möglichkeit zur Diskriminierung ist hier offensichtlich.

Ein Beispiel für eine solche Diskriminierung findet man bei Facebook und Instagram. Lange Zeit konnten dort Werbetreibende ihre Anzeigen auf bestimmte Nationalitäten oder kulturelle Hintergründe zuschneiden. Das führte dazu, dass in den USA Afroamerikaner und Hispanics von Anzeigen für Jobs und Wohnungen ausgeschlossen wurden. Nach Protesten, Gerichtsverfahren und etlichen Besserungsversprechen musste die Funktion entfernt werden.

Diese Datenprofile können jedoch nicht nur eine Diskriminierung zur Folge haben. Sie ermöglichen auch Manipulationen. Die Technik, die hier eingesetzt wird, ist das Microtargeting. Damit werden Benutzerprofile genauer erforscht und gezielte Einflussnahmen organisiert.

Beate Rössler, Professorin für praktische Philosophie an der Universität von Amsterdam, warnt eindringlich vor den Möglichkeiten einer Manipulation aufgrund der detaillierten Datenprofile.

»Je genauer die Profile sind, die auf Millionen von personenbezogenen Daten basieren, um so vorhersehbarer und anfälliger sind die betreffenden Personen für eine Manipulation.«

Eine Manipulation der Entscheidung zum Brexit oder der Wahl von Donald Trump durch Cambridge Analytica mag zurzeit in den Bereich der Spekulation fallen. Doch könnte es durch die Verwendung von tausenden von Datenpunkten in einigen Jahren tatsächlich möglich sein, die Ansichten von Menschen zu manipulieren. Dies ist für Crawford durchaus realistisch.

»Privatsphäre hat auch einen sozialen Wert. Wenn sie das Individuum schützt, tut sie dies um der Gesellschaft willen.«

Folgen wir der Argumentation von Daniel Solove, Professor an der juristischen Fakultät der George Washington Universität und vehementer Kämpfer für den Erhalt der Privatsphäre, so sollte eine Gesellschaft nicht nur vor Diskriminierung und Manipulation schützen, sondern auch vor übermäßiger Zudringlichkeit und der Neugierde anderer.

Seiner Ansicht nach ist Privatsphäre zu haben ein Stück Lebensqualität, die eine Gesellschaft ermöglichen sollte. Indem eine Gesellschaft individuelle Rechte schützt, entscheidet sie sich dazu, sich als Gesellschaft zurückzunehmen, um so einen Freiraum zu schaffen, in dem der Einzelne gedeihen kann. Eine Gesellschaft ohne Privatsphäre wäre erdrückend. Sie wäre wohl kaum der Ort, an dem man leben wollte.

Privatheit und Demokratie

»Privatheit ist eine wichtige Bedingung für Demokratie, Rechtsstaatlichkeit und informationelle Selbstbestimmung.«

Obigen Satz findet man auf der Homepage des Forums Privatheit. Das Forum wirbt dort für ein selbstbestimmtes Leben in einer digitalen Welt. Den Hinweis, dass der Schutz der Privatsphäre von entscheiden-der Bedeutung für das Bestehen einer Demokratie ist, findet man immer wieder, und das nicht nur in der heutigen Zeit.

»Die Wahrung der Privatsphäre ist entscheidend für einen demokratischen politischen Prozess.«

Dieser Satz stammt aus dem Buch »Privacy On The Line«. Er ist sehr ernst zu nehmen, denn die Autoren Whitfield Diffie, der Mitbegründer des sogenannten Diffie-Hellman-Schlüsselaustausch, einer bahnbrechenden Erfindung in der Kryptographie, die den sicheren Austausch kryptographischer Schlüssel über eine unsichere Verbindung ermöglicht, und Susan Landau, die nicht nur – wie bereits erwähnt – Professorin für Politik der Computer- und Netzsicherheit am Worcester Polytechnic Institute (Massachusetts), sondern auch Visiting Professor of Computer Science am University College London ist, sind Experten auf diesem Gebiet. Sie begründen ihre Aussage damit, dass Änderungen oft zaghaft beginnen, und eine politische Diskussion häufig im privaten Bereich startet. Für Journalisten gilt, dass sie im privaten Bereich aktiv sein müssen, wenn sie Quellen schützen wollen. Und Anwälte können ihre Klienten nicht wirklich verteidigen, wenn ihre Kommunikation nicht geschützt ist.

»Die Privatsphäre wird geschützt, weil sie für die Freiheit und das Streben nach Glück unerlässlich ist. Unsere Verfassung prüft die Macht der Regierung zum Schutz der Rechte von Einzelpersonen, damit alle unsere Bürger in einer freien und gerechten Gesellschaft leben können. Im Gegensatz zu totalitären Staaten glauben wir nicht, dass eine Regierung ein Monopol auf die Wahrheit hat.«

Es ist beeindruckend, wie aktuell obige Aussage ist, obwohl sie bereits 1976 gemacht wurde. Diese Zeilen stammen aus dem Abschlussbericht des Church Committee. Das Church Committee war ein Sonderausschuss des US-Senats zur Untersuchung des Regierungshandelns mit Bezug zu Aktivitäten der Nachrichtendienste (u.a. geheime Operationen zur Ermordung ausländischer Staatschefs und Putsche). Den Vor-sitz dieses Ausschusses hatte Senator Frank Church.

Dieses Church Committee hat bereits 1976 darauf hingewiesen, wie wichtig der Schutz der Privatsphäre für eine freie demokratische Gesellschaft ist. Dieses Committee untersuchte auch, inwieweit die Rechte amerikanischer Bürger durch die Techniken der Geheimdienste verletzt wurden. Sein Bericht liest sich wie ein Lehrstück in Bürgerrechte und Demokratie.

»Wir haben gesehen, dass Teile unserer Regierung in ihren Einstellungen und Handlungen Taktiken anwenden, die einer Demokratie nicht würdig sind und gelegentlich an die Taktiken totalitärer Regime erinnern.«

Während des Kalten Krieges verwendeten die Geheimdienste verdeckte Techniken, die in die Privatsphäre eindrangen, um ihr vages, unkontrolliertes und zu weit gefasstes Mandat zum Sammeln von Informationen auszuführen.

Das Wesen der Demokratie ist der Glaube, dass das Volk frei sein muss, um Entscheidungen über Fragen der öffentlichen Ordnung zu treffen. Die Maßnahmen des FBI störten den demokratischen Prozess, da die Einstellungen des Präsidiums zum sozialen Wandel zu der Überzeugung führten, dass ein solches Eingreifen Teil seiner Verpflichtung zum Schutz der Gesellschaft war. Wenn eine Regierungsbehörde heimlich versucht, dem amerikanischen Volk ihre Ansichten darüber aufzuzwingen, was richtig ist, wird der demokratische Prozess untergraben.

In einem Fernsehinterview äußert sich Church noch sehr viel drastischer zu diesem Thema: »Sollte dieser Staat jemals zu einer Tyrannei werden, […] dann könnten ihn die von den Geheimdiensten entwickelten technischen Möglichkeiten in die Lage versetzen, eine totale Schreckensherrschaft zu errichten, und man könnte nichts dagegen unternehmen, weil auch selbst der umsichtigste Versuch, sich zum Widerstand zu vereinen […] dem Staat zur Kenntnis kommen würde. So groß ist die Macht dieser Techniken.«

Die Bedrohung, die von den Geheimdiensten ausgeht, hat Senator Frank Church bereits 1975 erkannt. Die Bedeutung seiner Worte hat damals wohl niemand begriffen.

Eine Warnung, die in die gleiche Richtung geht, findet man in der Abschiedsrede von Dwight Eisenhower, Präsident der USA 1953-1961, aus dem Jahr 1961.

»Wir müssen auf der Hut sein vor unberechtigten Einflüssen des militärisch-industriellen Komplexes, ob diese gewollt oder ungewollt sind. Die Gefahr für ein katastrophales Anwachsen unbefugter Macht besteht und wird weiter bestehen. Wir dürfen niemals zulassen, dass das Gewicht dieser Kombination unsere Freiheiten oder unseren demokratischen Prozess bedroht. […] Nur eine aufmerksame und kenntnisreiche Bürgerschaft kann eine angemessene Verbindung der riesigen industriellen und militärischen Maschinerie der Verteidigung mit unseren friedlichen Zielen und Methoden sicherstellen, so dass Sicherheit und Freiheit zusammen gedeihen können.«

Bemerkenswert an dieser Rede aus dem Jahre 1961 ist die Warnung vor dem militärisch-industriellen Komplex, der sich heute z.B. in der engen Verbindung zwischen US-Nachrichtendiensten, der US-Armee und den IT-Unternehmen des Silicon Valley manifestiert.

Auch in neuerer Zeit fehlt es nicht an Warnungen vor Angriffen auf die Demokratie. So beschreiben bei der Laudatio zum BigBrother-Award 2013 in der Kategorie Globales Datensammeln, der an Google ging, Rena Tangens & padeluun die Gefahr, die u.a. von Google für die Demokratie ausgeht:

»Wer sich ständig beobachtet fühlt und annimmt, dass die gespeicherten Informationen ihm oder ihr irgendwann schaden könnten, wird zögern, Grundrechte wie freie Meinungsäußerung oder Versammlungsfreiheit wahrzunehmen. Wenn das passiert, ist das keine Privatsache mehr, sondern das schadet der Allgemeinheit und einer lebendigen Demokratie.«

Die hier angeführten Argumente dafür, dass die globale Überwachung die Demokratie gefährdet, gehören zu den ganz fundamentalen Aussagen, mit denen immer wieder für mehr Privatheit und weniger Überwachung aufgerufen wird.

Ein weiterer ganz wesentlicher Bestandteil für Demokratie sind u.a. freie und faire Wahlen. Jede Beeinflussung von Wählern ist damit eine Gefahr für die Demokratie. Heute wissen wir, dass die Chance, Personen zu kontrollieren und zu beeinflussen umso größer ist, je mehr private Details man von diesen Personen besitzt. Genau diese Form von Beeinflussung erleben wir heute in ganz großem Stil, und das nicht nur bei den amerikanischen Präsidentschaftswahlen 2016 und bei der Abstimmung zum Brexit. Bei Letzterem basierte die Arbeit von Cambridge Analytica auf den privaten Daten von ca. 87 Millionen Facebook-Nutzern, die illegal beschafft wurden.

Für die Möglichkeit, Kunden zu beeinflussen – und das können natürlich auch Wähler sein – warb Cambridge Analytica auf seiner Homepage: »Wir sammeln Daten aus öffentlichen Quellen und seriösen Datenanbietern und kombinieren sie mit Ihren eigenen Daten, um tiefere und umfassendere Erkenntnisse zu gewinnen. Diese Datenbestände werden dann zentralisiert, damit Sie Ihre Kunden schnell und effizient finden und überzeugen können.«

Der Verhaltensforscher Robert Epstein vom American Institute for Behavioral Research and Technology in Kalifornien hat in einer Studie den Einfluss von Suchmaschinen auf Wahlverhalten untersucht und kommt dabei zu dem Schluss:

»Unsere Untersuchung legt nahe, dass, selbst wenn Google nicht absichtlich Wahlen manipuliert, die Suchalgorithmen des Konzerns seit Jahren die Gewinner von Wahlen auf der ganzen Welt bestimmen, mit wachsendem Einfluss jedes Jahr.«

Die Einflussmöglichkeiten großer Internetkonzerne und vor allem der Sozialen Netzwerke nicht nur auf Wahlergebnisse ist erschreckend.

»Algorithmen entscheiden, wer die Macht hat, sie wirken als mächtige Verstärker und können einen Bias, eine Mehrheitsumkehr, herbeiführen. […] ›Es wird immer einen Bias geben‹, doch das eigentliche Problem, das noch nie zuvor in diesem Ausmaß existierte, ist, dass der Bias über mächtige Einflussquellen auftritt, die komplett in privater Hand sind, ohne öffentliche Verantwortbarkeit und Transparenz.«

»Menschen müssen auch verstehen, dass Demokratie kein Zuschauersport ist. Du musst mitmachen und aktiv sein, und das kontinuierlich, um sicher zu stellen, dass Du deine Rechte und Freiheiten behältst.«

»Dass etwas von so gewaltigen Dimensionen – die Umwandlung des Internets in ein Reich der Massenüberwachung, die Schaffung des größten je dagewesenen Systems der Überwachung ohne Anfangsverdacht – vollkommen im Dunkeln vollzogen werden konnte, ließ die Demokratie illusorisch erscheinen.«

Das letztgenannte Zitat findet man im Vorwort der Taschenausgabe des Buches »Die globale Überwachung« von Glenn Greenwald. Der Autor berichtet darin über die illegalen Praktiken der amerikanischen Geheimdienste anhand der Unterlagen des Whistleblowers Edward Snowden. Insofern kann man dieses Buch auch als einen Beitrag zur Erhaltung der Demokratie verstehen, da Greenwald schonungslos aufdeckt, was die Demokratie gefährdet. Die Enthüllungen von Snowden über die Überwachungspraktiken der amerikanischen Geheimdienste hat weltweit für Empörung gesorgt. Es erfolgte ein Aufschrei gegen diese Überwachungsaktivitäten. Die Snowden-Dokumente sind ein ganz wichtiger Meilenstein im Kampf gegen Überwachung. Dieser Kampf ist damit aber nicht beendet. Er muss fortgesetzt werden.

»Democracy Dies in Darkness.«

Dieser Slogan, den man derzeit auf der Homepage der Washington Post findet, unterstreicht die Bedeutung des obigen Zitates von Glenn Greenwald.

 

Barbara Wiesner; 2021

https://www.transcript-verlag.de/media/pdf/de/f0/88/oa9783839456057.pdf

https://creativecommons.org/licenses/by-sa/4.0/deed.de

Zur einfacheren Lesbarkeit wurden die Quellenverweise entfernt.

 

Datenschutz

 

Datenschutz


Datenschutz greift auch in unsere Lebensprozesse ein

Datenschutz ist allgegenwärtig und begleitet uns im Berufsalltag wie auch im Privatleben. Erfahren Sie bei uns alles über Beratung, Ausbildung und Services im Fachbereich Datenschutz und wie wir Sie als erfahrene Datenschutzspezialisten unterstützen können.

Kontaktieren Sie uns, denn wir wissen, welche Daten wie zu schützen sind!

Wir beraten Sie gerne. +41 41 984 12 12, infosec@infosec.ch

Mehr lesen
 
Mehr lesen
Mehr lesen

Informationssicherheits-Managementsystem ISMS

Informationssicherheitsprozesse, die sich risikobasiert managen lassen.

  • Aufbau und Umsetzung eines Informationssicherheits-Managementsystems nach ISO 27001
  • Optimierung der Sicherheitsorganisation mit klaren Aufgaben, Verantwortlichkeiten und Kompetenzen
  • Erarbeitung und Review von Vorgabedokumenten und Richtlinien
  • Erarbeitung von Sicherheitsverfahren und -prozessen
  • Zertifizierungsvorbereitung und -begleitungen
  • Privacy Information Management System (PIMS) nach ISO 27701 als Ergänzung des ISMS


Angebot anfordern

Strategie, Richtlinien und Konzeptionen

Genau so viel, wie Sie brauchen, und genau so viel, wie angemessen ist

  • Schaffung adäquater Management Attention
  • Durchführung von Audits und Gap-Analysen zum Sicherheitsniveau
  • Durchführung von Informationssicherheits-Risikoanalysen
  • Definition von Sicherheitsprinzipien
  • Erarbeitung von Sicherheitskonzepten
  • Durchführung von Schutzbedarfsanalysen
  • Erarbeitung von Informationssicherheits- und Datenschutzkonzepten (ISDS)
  • Erarbeitung von Key Performance- Indikatoren KPI
  • Planung und Begleitung von Massnahmen
  • Erstellung von Roadmaps

Angebot anfordern

Informationssicherheitsgesetz

Was lange währt, wird endlich gut? Zum neuen Informationssicherheitsgesetz ISG bieten wir Ihnen

  • Beratung, ob und in welcher Form das Gesetz Ihre Organisation betreffen könnte.
  • Beratung von betroffenen Unternehmen bezüglich Umsetzung der Anforderungen

 

Angebot anfordern

Informationssicherheitsaudits

Der Health Check Informationssicherheit oder eine umfassende Prüfung Ihres Informationssicherheits-Managementsystem (ISMS) liefert zusätzliches Steuerungswissen und ist ein nützliches Managementinstrument für die Unternehmensleitung.

  • Durchführung von Standortbestimmungen und Audits in jeder Breite und Tiefe
  • Durchführung Gap-Analyse zu ISO 27001 zur Bestimmung des konkreten Handlungsbedarfs

Angebot anfordern

 

Unverbindliche Anfrage

 

Natürlich 100% vertraulich, kostenfrei und unverbindlich!