Dipl.-Inform. Carsten Eilers

Fangen wir mit der ersten Lektion an: Wenn man etwas geheim halten will, darf man es nicht weltweit verbreiten. Wenn die Depeschen geheim sind - wieso konnte dann gefühlt jeder Mitarbeiter darauf zugreifen? OK, vielleicht nicht jeder, Hausmeister und Reinigungspersonal hatten vermutlich keinen Zugriff. Aber jeder, der an einem Computer saß, konnte wohl darauf zugreifen. Auf alle Depeschen, wohlgemerkt, und nicht nur auf die für die jeweilige Aufgabe nötigen. Wer braucht denn wirklich 2010 noch Depeschen von 1966? Ein paar Historiker vielleicht, aber die kämen ja wohl kaum an die geheimem Dokumente ran. Dafür aber viel zu viele Mitarbeiter. Und jetzt wundern die US-Politiker sich wirklich, dass die Daten "geklaut" wurden? Also ich wundere mich ja viel mehr, dass das erst jetzt passiert ist. Und frage mich, was da wohl noch alles frei zugänglich war oder auch ist.

Digitale Daten lassen sich einfach kopieren

Was eigentlich jedem vernünftig denkenden Menschen sofort auffallen sollte, hat das US-Außenministerium jetzt vermutlich gelernt: Geheime Daten muss man entsprechend dem Geheimhaltungsbedarf schützen. Tut man das nicht, landen sie womöglich irgendwann bei der Konkurrenz, Wikileaks, Kriminellen, ...

Wenn Daten wirklich geheim bleiben sollen, darf eigentlich gar niemand darauf zugreifen können. Ansonsten besteht immer die Gefahr, dass sie kopiert und weiter gegeben werden. Am besten verhindert man dass, indem man die Daten gar nicht erst erhebt oder zumindest nicht digital speichert. Hätte es die Depeschen nicht als Dateien im internen Netz gegeben sondern nur als Briefe in irgend einem Aktenordner in irgend einem Lagerraum, hätte sich wohl niemand die Mühe gemacht, die alle abzutippen oder einzuscannen (Google mal außen vor gelassen, die sammeln ja grundsätzlich alles). Allerdings wäre dann die Arbeit damit ebenfalls nicht oder nur schwer möglich, so dass diese "Lösung" meist ausscheidet. Also muss man für einen angemessenen Schutz der Daten sorgen. Insbesondere, wenn die digital vorliegen und dadurch besonders einfach kopiert werden können.

Risiko minimieren

Um die Gefahr eines "Datendiebstahls" zu minimieren, dürfen die Benutzer nur auf die Daten zugreifen können, die sie für ihre Arbeit wirklich benötigen. Zusätzliche Maßnahmen, um das Kopieren der Daten zumindest zu erschweren, runden den Schutz ab. Vor ein paar Jahren haben Marketingstrategen dafür die schöne Bezeichnung "Data Loss Prevention" bzw. "Data Leak / Leakage Prevention" geprägt. Eigentlich hätte ich ja erwartet, dass sowas zumindest in Regierungskreisen schon vorher ein Thema war, aber da habe ich mich wohl getäuscht. Wer meint, jeder müsse auf alles zugreifen können, darf sich hinterher nicht beschweren, wenn genau das auch wirklich passiert. Ich weiß nicht, wer für das Datenleck letztendlich verantwortlich ist, aber derjenige, der die Daten kopiert und an Wikileaks weitergeleitet hat, ist es mit Sicherheit nicht. Stattdessen sollte man nach demjenigen suchen, der die Daten ungeschützt ins interne Netz gestellt hat. Wozu bei den Depeschen aus den 60er und 70er Jahren sehr wahrscheinlich noch eine vorherige Digitalisierung nötig war, es kann sich also zumindest niemand damit rausreden, diese alten Daten seien zufällig im Netz gelandet.

Aus Schaden wird man klug, die US-Regierung nicht

Um Datenlecks zu verhindern oder zumindest zu erschweren, gibt es verschiedene organisatorische und technische Maßnahmen. Wer die nicht einsetzt, darf sich über die Folgen nicht beschweren. Und es war ja nicht das erste Datenleck der US-Regierung, man war also vorgewarnt. Und wie heißt es so schön: "Wer nicht hören will, muss fühlen", bzw. in diesem Fall "Wer aus seinen Fehlern nicht lernt, wiederholt sie".

Falls Sie also vertrauliche Daten in ihren Netzen haben: Sorgen Sie dafür, dass sie da auch drin bleiben und nicht heimlich kopiert werden. Denn das ist das große Problem jedes "Datendiebstahls": Die Daten sind nicht weg, man sieht ihnen i.A. nicht mal an, dass sie kopiert wurden. Erst wenn sie irgendwo anders auftauchen, fällt die Kopie auf. Und einmal "gestohlene" Daten kann man auch nicht zurück holen. Was einmal veröffentlicht wurde, bleibt öffentlich. Darum halte ich die Bezeichnung Diebstahl auch für ziemlich irreführend, ja sogar verharmlosend. Klingt es doch so, als könne man das "gestohlene" einfach zurück holen und alles wäre in Ordnung. Das ist ganz und gar nicht so.

Die Cloud - Problemlösung oder selbst Problem?

Die zweite Lektion betrifft die Nutzung von Cloud-Diensten. Wikileaks hat die Cloud-Dienste von Amazon benutzt - bis man dort der Meinung war, das unterbinden zu müssen. Ob das nun auf Druck der US-Regierung oder aus eigener Entscheidung passiert ist, ist irrelevant. Es wirft auf jedem Fall die Frage aus, wie verlässlich diese "Cloud" denn ist. So, wie Amazon Wikileaks rausgeschmissen hat, kann jeder andere Anbieter jederzeit jeden anderen Kunden rauswerfen und damit u.U. dessen Geschäft vernichten. Man sollte es sich also sehr genau überlegen, was man in die bzw. eine "Cloud" auslagert und was man doch lieber selbst erledigt. Auch wenn es gerade modern ist, Dienste in die "Cloud" auszulagern, muss das nicht immer die beste Lösung sein. Man begibt sich dabei evtl. in Abhängigkeiten, in die man eigentlich gar nicht will.

Wie vertrauenswürdig sind Paypal und Kreditkartenunternehmen?

Lektion 3 betrifft die Nutzung von Dienstleistern zum Empfang von Zahlungen. Wie vertrauenswürdig sind eigentlich Paypal und bestimmte Kreditkartenunternehmen, wenn die einfach so, ohne jedes Gerichtsurteil, einem Kunden den Geldhahn zudrehen? Paypal ist in der Hinsicht bekanntlich sowieso etwas problematisch, aber wenn manche Kreditkartenunternehmen Geschäfte mit dem Ku-Klux-Klan und anderen extremistischen Organisationen machen, aber nicht mit Wikileaks, stellt sich die Frage, ob man mit denen wirklich Geschäfte machen sollte. Wer weiß schon, wen die als nächstes aus fadenscheinigen Gründen raus schmeißen? Und bei der Gelegenheit dann erst mal das vorhandene Guthaben einfrieren?

DDoS-Angriffe können ein Problem sein

Die vierte Lektion: DDoS-Angriffe können wirksam sein - oder auch nicht. Oder anders formuliert: Vor DDoS-Angriffen kann man sich schützen - oder auch nicht. Die DDoS-Angriffe der "Operation: Payback" waren ziemlich erfolgreich, von erfolgreichen Angriffen auf Wikileaks hat man außer kurz vor Veröffentlichung der ersten Depeschen nichts gehört. Die wären inzwischen auch ziemlich schwierig, es gibt zu viele Mirror der Daten. Während sich die Angreifer bei den Angriffen auf Paypal, Mastercard usw. auf einige wenige Server beschränken konnten, müsste ein DDoS-Angriff auf Wikileaks sehr viele Server in sehr vielen verschiedenen Netzen lahm legen. Generell ist es kein Problem, mit einem DDoS-Angriff einen oder wenige Server zu überlasten, aber wenn es zu viele Ziele werden, verpufft der Angriff quasi: Es ist nicht genug Leistung da, um alle Ziele auszuschalten, und damit wäre die gesamte Aktion zwecklos.

Im Fall von DDoS-Angriffen gilt im Prinzip "Der Stärkere gewinnt!": Je nachdem, ob die Angreifer mehr Traffic erzeugen können als der angegriffene Server verarbeiten kann oder nicht ist der Angriff erfolgreich oder schlägt fehl. Auch noch so ausgefeilte Maßnahmen gegen DDoS-Angriffe sind nutzlos, wenn die Angreifer genug Leistung aufbieten können, um die Leitung(en) zum Server zu überlasten. Und wenn man sich dann so wie Paypal, Mastercard und Co. quasi das gesamte Internet zum Feind macht, bekommt man schnell Probleme. Das auch die Angreifer rechtliche Schwierigkeiten zu erwarten haben (und das zu Recht), steht dabei auf einem anderen Blatt. Und für Redefreiheit und gegen Zensur zu protestieren, indem Server lahm gelegt werden, ist doch eigentlich sowieso ein Widerspruch in sich, oder? Da gibt es sicher kreativere und dazu noch legale Protestformen.

Carsten Eilers