Zeitung Heute : „Das universell sichere Netz wird es nicht geben“

Das Internet funktioniert wie das Stromnetz – die Art der Daten ist ihm gleich. Dennoch können die Nutzer sich selber schützen – wenn sie wissen, wie

Kai Kolwitz

Trojaner, Phishing, Viren, Würmer, elektronische Einbrüche, Spam und noch viel mehr. Über das Internet lässt sich auf viele verschiedene Arten Unheil stiften. Doch wie kommt es, dass das Netz nicht mehr Sicherheit bietet?

Wer eine Antwort darauf sucht, der kann sie in der Geschichte und der grundsätzlichen Logik des Netzes finden. Denn die Wurzeln des Internet reichen zurück bis in die Sechziger Jahre. Das US-Militär war seinerzeit auf der Suche nach einer Möglichkeit, Computer so miteinander zu vernetzen, dass die Kommunikation auch dann noch funktionierte, wenn ein Teil der Rechner – etwa durch einen Angriff – zerstört war. Weiteres Interesse: Durch die Vernetzung sollten sich die Rechenkapazitäten der damals noch extrem teuren und nach heutigen Maßstäben nicht wirklich leistungsfähigen Großcomputer gebündelt werden, um so komplizierte Aufgaben schneller erledigen zu können – auch für zivile Zwecke.

Die Arbeit an dem Netz wurde bei der Advanced Research Project Agency, kurz Arpa, angesiedelt, einer Forschungseinrichtung des US-Militärs. Im Jahr 1969 konnte diese einen Erfolg melden: Das Arpanet war betriebsbereit. Um die gestellten Aufgaben zu erfüllen, hatten sich die Forscher ein Konzept überlegt: Daten, die übermittelt werden sollten, wurden in kleine Pakete zerlegt. Jedes dieser Pakete machte sich für sich allein über verschiedene Netzknoten auf den Weg zum Zielrechner, die gewählten Routen konnten dabei für verschiedene Teile einer Datei völlig unterschiedlich sein. Im Zielrechner wurden die Pakete wieder zu einem Ganzen zusammengefügt – fertig. Würden einzelne Netzknoten ausfallen, so hatten sich die Entwickler überlegt, so würden immer noch genug Alternativrouten übrig bleiben, um die Daten transferieren zu können.

Allerdings war der Zugang zu solchen Netzen nur auf verhältnismäßig wenige Großrechner beschränkt. An eine Anbindung für jedermann war nicht zu denken. Deshalb verwendete man keine Mühe auf Datenverschlüsselung oder auf Mechanismen, um überprüfen zu können, ob Daten wirklich vom angegebenen Absender stammten – man war ja schließlich unter sich. Das Netzkonzept wurde zum Erfolg, vor allem die Vorzüge des elektronischen Postversands lernten Menschen mit Zugriff auf die Rechner schnell zu schätzen. Doch auch hier galt: Die Mails kursierten im Netz standardmäßig unverschlüsselt. Wer wollte, konnte die Daten abfangen und mitlesen.

In den Siebziger und Achtziger Jahren wandelte sich das Netz immer mehr zum Wissenschaftsnetz. Am Kernforschungszentrum CERN in Genf entwickelte 1989 schließlich ein Wissenschaftler namens Tim Berners-Lee ein Konzept, das den Weg des Internet zum Massenmedium ebnete: Das World Wide Web, kurz WWW. Mit HTML stand nun eine Sprache zur Verfügung, mit der sich Forschungsergebnisse schnell und einfach in Form von Websites online stellen ließen. Wer sie lesen wollte, musste nur die entsprechende Adresse, genannt URL in ein Browser genanntes Darstellungsprogramm eingeben – über das Netz wurde die Seite abgerufen und auf dem Bildschirm des eigenen Computers dargestellt. Um die Navigation im Netz weiter zu erleichtern, band Berners-Lee zusätzlich die Möglichkeit in die Sprache ein, so genannte Links zu setzen, Verknüpfungen auf Websites also, die auf eine bestimmte andere Site verwiesen. Klickte man auf die entsprechende Stelle auf dem Bildschirm, wurde diese geladen, ohne dass es nötig war, die Adresse von Hand in das Browserprogramm einzugeben.

Berners-Lee und seine Kollegen hatten aber sich nur ein Werkzeug gebaut, um leichter kommunizieren und auf Wissenschaftsdaten zugreifen zu können. Zumindest dachten sie das. So ließ HTML es zum Beispiel zu, die Beschreibung eines Links frei zu wählen – man konnte die Verknüpfung durchaus „spezielle Relativitätstheorie“ schreiben und den Leser damit zu einer Seite schicken, auf der sich Fotos der letzten Physiker-Fete fanden. Mehr Gefahrenpotenzial als solche harmlosen Scherze sahen die Wissenschaftler nicht. Doch inzwischen bedienen sich zum Beispiel Phishing-Mails exakt dieser Tatsache.

Aus heutiger Sicht liegt das Kernproblem der Internet-Sicherheit damit darin, dass die Ideen der Arpa und von Berners-Lee einfach zu gut waren. Denn die Möglichkeit, leicht elektronisch kommunizieren und Inhalte veröffentlichen zu können, reizte, von den Universitäten ausgehend, in der ersten Hälfte der Neunziger Jahre immer mehr Menschen. Nach und nach wurde das Internet zum Massengut, Zugänge so selbstverständlich wie vorher nur der Telefonanschluss. Die technischen Standards sind nämlich im Jahr 2007 immer noch die gleichen, die für kleine, überschaubare Netze und die Kommunikation unter ehrbaren Wissenschaftlern entwickelt wurden.

„Vor 15 Jahren wusste noch niemand, für welche Anwendungen das Netz einmal verwendet werden würde“, meint Matthias Gärtner vom Bundesamt für Sicherheit in der Informationstechnik dazu. Mit fast 500 Mitarbeitern und einem Etat von 64 Millionen Euro im laufenden Jahr bemüht sich die dem Innenministerium unterstellte Behörde darum, das unsichere Netz im Nachgang in ein sicheres zu verwandeln. „Damals war die Vielfalt und der Sicherheitsbedarf der Internet-Anwendungen nicht abschätzbar“, so Gärtner weiter. „Somit wurden Sicherheitsaspekte bei den Protokollen aus heutiger Sicht nicht ausreichend berücksichtigt.“

Vor allem mit schädlicher Software, die sich via Netz auf dem heimischen PC breit macht, muss sich das BSI im Moment auseinandersetzen, also mit Viren und Trojanern. Denn auch die Autoren der gefährlichen Programme sind heute andere als in den Anfangstagen des Internet. Damals waren es in der Regel Computer-Cracks, die ihre Schädlinge aus Geltungsdrang und fehlgeleitetem Spieltrieb in die Welt entließen, wo sie mehr oder weniger ärgerliche Dinge verrichteten, wie etwa beim berüchtigten „I love you“-Virus aus dem Jahr 2000.

Heute hingegen werden die meisten schädlichen Programme in Umlauf gebracht, um damit Geld zu verdienen. „Das sind inzwischen ganze Geschäftsmodelle“, so Gärtner. „Damit werden die Angriffe technisch besser und heimtückischer.“

Eingeschleust durch schlechte Sicherung des PCs mit Firewall und Anti-Viren-Software oder über Sicherheitslücken in Anwendungsprogrammen können die Schädlinge neuer Prägung gleich auf mehrere Arten ihren Schöpfern Geld ins Portemonee spülen. So lässt sich mit dem richtigen Schädling eine Hintertür in den PC einbauen, der es ermöglicht, heimlich die Kontrolle zu übernehmen. „Botnets“ nennt man Netzwerke aus tausenden solcher zusammengeschalteter Rechner-Zombies. Wer ein solches Netz kontrolliert, kann die fremden PCs dazu benutzen, um Spam zu verschicken oder sie zum Beispiel massenweise und gleichzeitig die Website einer großen Firma aufrufen zu lassen und diese damit lahmzulegen – das kann die Grundlage für virtuelle Erpressungen bilden.Noch schlimmer wird es, wenn das eingeschleuste Malware-Programm Passwörter und Bankdaten ausspioniert und heimlich an seinen Herrn weitermeldet. Ebenfalls möglich in einem gekaperten Rechner: Den Internet-Browser so zu manipulieren, dass dieser dem Benutzer nur vorgaukelt, mit der Seite seines Geldinstituts verbunden zu sein und stattdessen eine gefälschte Website aufzurufen. PIN und TAN werden Internet-Kriminellen so direkt frei Haus geliefert. Deshalb gilt heute: Wenn der Rechner perfekt funktioniert, so muss das noch lange nicht heißen, dass er nicht befallen ist. Denn je länger ein Programm unbemerkt im Hintergrund vor sich hinläuft, ohne dass der Besitzer des Rechners Gegenmaßnahmen ergreift, desto besser für den Datendieb.

Aber was lässt sich nun tun, um das Netz nachträglich abzusichern? Sven Türpe vom Fraunhofer-Institut für Sicherheit in der Informationstechnologie SIT forscht an solchen Fragestellungen. Er sieht vor allem die Hersteller von Anwendungen in der Pflicht – also von Programmen wie Office oder Firefox: „Oft enthalten die Entwürfe der Programme viele Lücken, durch die schädliche Software in den Rechner eingeschleust werden kann.“ Das Bemühen um Absicherung ist dann wie das Rennen zwischen Hase und Igel: Ein Bösewicht entdeckt ein Leck, nutzt es aus, der Hersteller veröffentlicht eine Nachbesserung, einen so genannten Patch – und der Bösewicht sucht nach der nächsten Lücke.

Solche Patches zügig auf dem Rechner zu installieren, ist trotzdem absolut sinnvoll – denn geschieht das nicht, so können auch längst geflickte Lecks weiter ausgenutzt werden. Allerdings tun viele User das nicht, weil sie sich von der Technik überfordert fühlen oder weil Ihnen – etwa bei Viren in Mailanhängen oder Phishing-Mails – das Wissen fehlt, um gut von böse unterscheiden zu können. Hier wird Türpe durchaus selbstkritisch: „In der Vergangenheit hat man hier sehr oft nur rein fachlich gedacht und sich zu wenig Gedanken über die Nutzbarkeit solcher Features gemacht.“ Allerdings hat auch hier ein Umdenken eingesetzt, wie zum Beispiel Virenscanner zeigen, die sich heute in der Regel automatisch um Updates bemühen. Der User muss nichts mehr tun – und kann deshalb auch keinen Schaden mehr durch Unterlassen verursachen. Weitere Entlastung sollen Frühwarnsysteme schon auf Netzebene bringen, die anzeigen können, wenn sich Programme massenhaft selbst verteilen oder sich in den Leitungen sonst etwas Ungewöhnliches tut.

Was den Traum vom absolut sicheren Internet angeht, haben die Experten allerdings keine Illusionen: „Das universell sichere Netz wird es nicht geben“, stellt Türpe klar. Denn, so der Netz-Profi: „Dass es offen ist für Anwendungen aller Art, ist auch der Erfolgsfaktor des Netzes. Es ist nur ein Transportmechanismus wie ein Stromnetz. Welche Art von Daten übermittelt werden, ist ihm egal.“

Hintergründe und Expertisen zu aktuellen Diskussionen: Tagesspiegel Causa, das Debattenmagazin des Tagesspiegels.

Hier geht es zu Tagesspiegel Causa!

0 Kommentare

Neuester Kommentar
      Kommentar schreiben