Cyberangriffe: Beispiele und Definitionen
Die Unsicherheit, die mit der Digitalisierung und Vernetzung unseres Alltags entsteht, erwächst aus den Eigenschaften der ihr zugrunde liegenden technischen Infrastruktur (siehe auch Kapitel
In besonders komplexen Computerprogrammen können Millionen Zeilen an Code zusammenkommen. Es ist unvermeidlich, dass sich beim Schreiben Fehler einschleichen, die für sich genommen keine Auswirkungen auf die Funktionsfähigkeit der Software haben und deshalb für Jahre unentdeckt bleiben können.
QuellentextAngriffe auf Unternehmen
[...] Fast vollständig unbeobachtet sind bis heute die anonymen Foren der Hacker geblieben. In lediglich einer Handvoll solcher Plattformen tummelt sich die Weltelite der Codierer. Vorwiegend Russen, Chinesen, Iraner, Nordkoreaner und Nordafrikaner bieten auf diesen wenig bekannten Darknet-Plattformen [siehe auch S. 60 f.] ihre Ware an – fertig programmierte Hackersoftware, um in westliche Industrieanlagen einzudringen, diese lahmzulegen oder irgendwie zu schädigen. Einem schwarzen Brett gleich können Kunden ihre Aufrufe für einen Angriff auf eine Firma X deponieren – und Hacker liefern gegen Bezahlung auch mal ein Programm zum Test.
Längst sind Hackerangriffe bei mittleren und größeren Unternehmen zum Alltag geworden. Nur selten werden Attacken publik, denn die Unternehmen befürchten einen Reputationsschaden. Yahoo wurde innerhalb von zwei Jahren gleich zwei Mal Opfer. 2014 wurden die Daten von 500 Millionen Kunden gestohlen, im Oktober 2017 gab der Internetkonzern bekannt, dass 2013 die Daten von drei Milliarden Kunden entwendet wurden. Bei diesem […] Datenklau […] beschafften sich Unbekannte Namen, E-Mail-Adressen, Telefonnummern, Geburtstagsdaten und Passwörter. Die Urheber des riesigen Hacks konnten nie ermittelt werden. Die Liste der in den vergangenen Jahren gehackten Dienstleister, bei denen sensible Daten im zwei- oder dreistelligen Millionenbereich gestohlen wurden, ist ein Who is Who der Branche: LinkedIn, Adobe, Badoo, MySpace, River City Media, B2B USA, Dropbox, Ashley, Nexus, Snapchat, Money Bookers und viele mehr.
International für Aufsehen sorgte auch ein Angriff auf den Schweizer Rüstungskonzern RUAG: Russische Hacker sogen beim staatlichen Rüstungsunternehmen über 20 Gigabyte heikler Daten ab – und über ein Jahr lang bemerkte dies niemand. […] Den Ermittlern blieb nichts anderes übrig, als den Cyberangriff zu rekonstruieren und für die Zukunft mögliche Abwehrstrategien zu entwickeln.
Otto Hostettler, "Hilflose Ermittler. Warum Kriminelle im Darknet wenig zu befürchten haben", in: Darknet, Reihe Aus Politik und Zeitgeschichte/APuZ 46–47/2017 vom 13. November 2017, S. 11f.
QuellentextHacken im Auftrag von Unternehmen
Julien Ahrens, 34, [...] war von Anfang an auf Bounty-Plattformen für Hacker aktiv. Diese Plattformen zahlen Hacker dafür, dass sie Schwachstellen in Unternehmen finden. Für jede entdeckte Lücke bekommen sie [...] Preisgeld (englisch: bounty). Die bekannteste dieser Firmen, die zwischen Hackern und Unternehmen vermitteln, ist "HackerOne". […]
Wie kann ich mir Ihre Arbeit vorstellen? [...]
Ich mache das so, wie es ein klassischer Pentester machen würde. […] Das ist die Form der IT-Sicherheitsprüfung, die es seit Jahrzehnten gibt. Spezialisierte Unternehmen versuchen, sich mit Wissen der Unternehmensführung Zugang zum System zu verschaffen. Wir nennen das Pentesting, von Penetration-Testing: Und klassische Pentester erarbeiten sich erst mal ein umfangreiches Wissen über das Unternehmen oder die Applikation, um die es geht, bevor sie richtig loslegen. Das kostet Zeit.
Und Applikation heißt in dem Fall?
Das kann eine Webseite sein oder ein Server, ich habe auch schon Alexa-ähnliche Geräte getestet oder Notebooks […].
Wie viele Unternehmen haben Sie schon legal gehackt?
Ich mache das im Prinzip seit 2012 […]. Von damals bis heute waren es bestimmt so 30 bis 40 Unternehmen aus allen möglichen Branchen. Es waren Regierungen dabei, es waren Start-ups dabei, Autohersteller. […]
Was hat am meisten Spaß gemacht?
Ich mag es vor allem, wenn ich verschiedene Schwachstellen zu einer größeren kombinieren kann. Du hast irgendwie drei kleinere Lücken, die, wenn du sie separat meldest, weder dir viel Geld bringen, noch für das Business des Kunden relevant sind. Aber wenn du sie zusammenhängst, maximierst du die Auswirkungen auf eine kritische Schwachstelle. [...] Das ist etwas, was ich sehr gerne tue.
[…] Als "low" eingestufte Schwachstellen bringen vielleicht 150 Dollar, da gibt es kaum eine Plattform, die mehr zahlt. Kritische Schwachstellen, da sind die Beträge nach oben offen, da können schnell mehr als 3000 Dollar drin sein. […]
Das erinnert an Cyberkriminalität. Auch da gibt es ständig Schwachstellen, aber erst solche Ketten ermöglichen Dinge wie Privilege Escalation, also die Möglichkeit, Administratorenrechte zu bekommen. Das ist dann richtig gefährlich.
Das stimmt, wobei Dinge wie Privilege Escalation für uns meistens durch die Verträge der Programme verboten sind. Die wollen nicht, dass du weiter in ihre Systeme eindringst, um zu verhindern, dass du dort Daten abgreifst.
Für viele Unternehmen ist das vermutlich ein Grund, gar nicht erst Programme bei den Bounty-Plattformen zu starten: Wie soll man verhindern, dass da Leute mitmachen, die eigentlich Betriebsgeheimnisse stehlen wollen?
Da gibt es schon Prüfungen. Ich musste bei HackerOne einen Backgroundcheck machen, ein Führungszeugnis bringen, ich weiß natürlich nicht, wie tief das geht. Und das gilt auch nicht für alle Plattformen.
Können deutsche Unternehmen verlangen, dass sie nur von deutschen Hackern gehackt werden wollen, und nicht von Chinesen oder Russen?
Soweit ich weiß, geht das bei einigen Plattformen. Zum Beispiel konntest du nur an einer Bounty für das US-Verteidigungsministerium teilnehmen, wenn du aus einem sogenannten Five-Eyes-Land kommst. Das ist der Geheimdienstverbund von USA, Kanada, Großbritannien, Australien und Neuseeland. […]
Auf was müssen selbständige Berufshacker […] achten?
[…] Die [Aufträge] müssen zu deinen Fähigkeiten passen. Und dann ist auch die Frage, was du reportest. Ich hatte ja gesagt, dass die kleinen Lücken nur 150 Dollar bringen. Die melde ich zum Beispiel gar nicht. Um den Report zu schreiben, brauche ich Minimum eine Stunde, das lohnt sich nicht.
Das kennen auch andere Freiberufler, gibt es Besonderheiten?
Ich glaube, es gibt nirgendwo sonst eine kostenlose Gefängnis-frei-Karte. Die nennt sich "Safe Harbour". Im Endeffekt bedeutet das, dass ich für das Hacking nicht belangt werden kann.
[…] Das Unternehmen will ja diesen Service haben. Es würde ja keinen Sinn machen, dass die hinterher die Hacker verklagen. Aber es gibt Randfälle, zum Beispiel beim Copyright, wenn du eine kritische Lücke entdeckst und den Code von einem Unternehmen kopierst, um ihn weiter zu untersuchen. Da kann es sein, dass das FBI oder das BKA bei dir vorbeischaut. […]
"Ich finde immer eine Schwachstelle", Interview von Max Muth mit Julien Ahrens, Bounty-Hacker, in: Süddeutsche Zeitung vom 22. November 2019
Darüber hinaus gibt es weitere Umstände, die bei fortschreitender Digitalisierung für steigende Unsicherheit verantwortlich sind. Wenn Nutzerinnen und Nutzer ihre Computer oder Online-Konten mit Passwörtern schützen, die zu einfach gehalten sind, können diese erraten und Zugänge zu den gespeicherten Daten offen werden. Häufig ist Datendiebstahl die Folge.
Eine weitere beliebte Methode des Datendiebstahls ist das sogenannte
Ist eine Person erst einmal in ein fremdes Computersystem eingedrungen, hat sie vielerlei Möglichkeiten, um Schaden anzurichten: Sie kann private Daten löschen oder kopieren, beispielsweise, um mit diesen das Bankkonto des Opfers zu plündern oder das Opfer anhand intimer Informationen zu erpressen. Auch wichtige Daten von Unternehmen – wie Baupläne von Industrieprodukten oder Geschäftsstrategien – sind häufig das Ziel solcher Angriffe. Entsprechende Attacken können ein System herunterfahren oder sogar komplett funktionsunfähig machen, was in der Regel schwerwiegende Folgen hat. Das ist vor allem dann der Fall, wenn
Mit der Ausbreitung des
Je nachdem, welche Ziele eine Hackerin oder ein Hacker verfolgen und für wen sie im Einzelfall tätig sind, ist zwischen verschiedenen Kategorien zu unterscheiden, die in der öffentlichen Debatte oft nicht klar getrennt werden. Von
Geht es den Angreifenden um das Ausspähen von Daten, handelt es sich um
In den vergangenen Jahren hat die Zahl der Cyberangriffe weltweit stark zugenommen. Obwohl zuverlässige Statistiken, die sich auf alle Länder beziehen, schwer zugänglich sind, legen Untersuchungen wie "Die Lage der IT-Sicherheit in Deutschland 2019" des Bundesamts für Sicherheit in der Informationstechnik (siehe auch Interner Link: Deutschland als Ziel) nahe, dass sich der Umfang der Angriffe zwischen 2008 und 2019 vervielfachte. Im Jahr 2018 betrug die Zahl der entsprechenden, polizeilich erfassten Straftaten für Deutschland laut des zentralen Online-Portals Statista 87.106 Fälle.
Diese Angaben sind für sich genommen wenig aussagekräftig. Entscheidend ist, wie groß der durch einen Angriff verursachte Schaden war oder wie viele Personen davon betroffen waren. Ein einzelner
Dass Cyberangriffe immer häufiger werden, liegt mitunter daran, dass es aufgrund der technischen Beschaffenheit der vernetzten Infrastrukturen für begabte Hackerinnen und Hacker relativ einfach ist, ihre Spuren zu verwischen. Aus diesem Grund werden viele Attacken erst gar nicht als solche erkannt, da sie wie Fehlfunktionen des Computersystems aussehen. Selbst wenn eine angegriffene Person merkt, dass ihre Geräte gehackt wurden, ist es sogar für Sicherheitsunternehmen oder Strafverfolgungsbehörden oft schwierig, zuverlässig herauszufinden, wer dahintersteht. Angesichts nur langsamer Fortschritte in der
Deutschland als Ziel
Auch Deutschland gerät immer stärker ins Visier von Hackerinnen und Hackern. Die Informatikerin und Sicherheitsexpertin Constanze Kurz schreibt Cyberattacken in Deutschland eine große Gefahr für Industrie, Infrastruktur und Gesellschaft zu. Laut dem Bundesamt für Sicherheit in der Informationstechnik waren in den Jahren 2017 und 2018 knapp 70 Prozent der deutschen Industrieunternehmen Ziel von Cyberangriffen. Die tatsächlichen Zahlen dürften höher liegen, da die Dunkelziffer in diesem Bereich groß ist. Dabei entstand insgesamt ein Gesamtschaden von 43 Milliarden Euro.
Art der Angriffe auf deutsche Unternehmen und Institutionen. Eigene Darstellung auf Basis von: Bundesamt für Sicherheit in der Informationstechnik/ BSI (Hg.), Die Lage der IT-Sicherheit in Deutschland 2018 (© bpb)
Art der Angriffe auf deutsche Unternehmen und Institutionen. Eigene Darstellung auf Basis von: Bundesamt für Sicherheit in der Informationstechnik/ BSI (Hg.), Die Lage der IT-Sicherheit in Deutschland 2018 (© bpb)
Auch Unternehmen aus anderen Wirtschaftssektoren wurden Opfer von Cyberattacken. Als sich die Schadsoftware Wannacry im Jahr 2017 im Netz ausbreitete und reihenweise öffentliche und private Systeme lahmlegte, waren auch die Rechner der Deutschen Bahn betroffen – wenn auch nicht durch einen gezielten Angriff, sondern rein zufällig. Kritischer war die Attacke auf ein Krankenhaus in Neuss, das daraufhin 2016 für kurze Zeit den Betrieb einstellen musste. Der bisher wohl folgenschwerste Angriff in Deutschland wurde Ende 2014 bekannt: Hackerinnen und Hacker hatten in einem Stahlwerk die Steuerung eines Hochofens übernommen, was zu massiven physischen Schäden der Anlage führte.
Doch nicht nur die Wirtschaft ist betroffen: Staatliche Stellen und digitale Verwaltungsinfrastrukturen sind ebenfalls zum Ziel von Angriffen geworden. Im Frühjahr 2015 wurde das Netz des Deutschen Bundestages Opfer eines
Im Dezember 2018 veröffentlichte ein Schüler aus Hessen über Twitter massenhaft persönliche Daten von Politikerinnen und Politikern sowie anderen Personen des öffentlichen Lebens in Deutschland. Diese hatte er aus öffentlichen und – mittels Hacks – nicht-öffentlichen Quellen zusammengetragen. Der Fall löste eine große gesellschaftliche Debatte zur privaten
Obwohl in Deutschland eine Vielzahl staatlicher Akteurinnen und Akteure an der Cybersicherheit beteiligt ist – etwa Bundesministerien, Geheimdienste, das Bundeskriminalamt und sogar die Bundeswehr – ist das 1991 gegründete Bundesamt für Sicherheit in der Informationstechnik (BSI) heute die zentrale Anlaufstelle für Fragen in diesem Bereich. Es nimmt sich sämtlicher Belange der IT-Sicherheit von Bundes-, Landes- und kommunalen Behörden an, ist aber gleichermaßen eine zentrale Anlaufstelle für die Wirtschaft, für Forschungseinrichtungen sowie für private Nutzerinnen und Nutzer.
Die Aufgaben des an das Bundesministerium des Innern, für Bau und Heimat angegliederten Amtes sind vielfältig und werden ständig umfangreicher. Zentraler Auftrag ist es, die Netze des Bundes zu schützen, IT-Produkte und Dienstleistungen zu prüfen und zu zertifizieren sowie aktuelle Informationen zu Themen der Cybersicherheit zu verbreiten. Ein besonderer Schwerpunkt liegt dabei auf dem Schutz der kritischen Infrastrukturen, wie der Strom- und Wasserversorgung, großer Krankenhäuser, des Finanzwesens oder der öffentlichen Verkehrsbetriebe. Zugleich definiert das BSI, was einen IT-Grundschutz ausmacht und welche Standards er beinhaltet. Außerdem erstellt das Bundesamt einen jährlichen Bericht zur Lage der IT-Sicherheit in Deutschland.
Staatenkonflikte im Cyberspace
Immer mehr Staaten haben in den vergangenen zehn bis fünfzehn Jahren begonnen, ihre Konflikte untereinander auf den Cyberspace auszudehnen. Insbesondere die USA, Großbritannien, China, Russland, Israel, Iran, Nord- und Südkorea, Frankreich, aber auch Deutschland bauen ihre Kapazitäten auf diesem Gebiet ständig weiter aus, wie beispielsweise der Sozial- und Kulturwissenschaftler Klaus-Peter Saalbach darlegt. Manche dieser Länder bewiesen inzwischen wiederholt ihre Bereitschaft, die Möglichkeiten der digitalen Konfliktaustragung gegen andere Staaten einzusetzen, um ihre politischen Interessen geltend zu machen. Konfliktstrategien sind etwa (Wirtschafts-)Spionage und Sabotage von Industrieanlagen oder kritischen Infrastrukturen sowie Propaganda bis hin zur Manipulation der Meinungsbildung (siehe auch Kapitel
Diese Neuausrichtung birgt Gefahren für die Wahrung der internationalen Sicherheit, die bislang kaum abzuschätzen sind. Zwar hat die Gruppe der Regierungsexperten der Vereinten Nationen ausdrücklich festgehalten, dass die Regeln des Völkerrechts auch bei Cyberoperationen durch Staaten gelten. Allerdings ist weitgehend ungeklärt, was dies in der Praxis konkret bedeutet. Als größtes Hindernis erweist sich dabei das bereits angesprochene Problem, Cyberangriffe verlässlich und zeitnah aufzuklären und zuzuordnen. Viele Operationen erfolgen, ohne dass sich ein Staat für die Verletzung der Rechte eines anderen rechtfertigen müsste. Um Bedrohungen aus dem Cyberspace zu begegnen, haben einige Staaten jüngst verkündet, künftig auch bei unsicherer Beweislage gegen Cyberangriffe digital zurückzuschlagen.
Beispiele für Cyberangriffe:
Estland 2007: Erster größerer bekannt gewordener Cyberangriff der Geschichte. Nachdem ein sowjetisches Denkmal in Tallinn an einen neuen Ort versetzt wird, legen Hackerinnen und Hacker das öffentliche Leben im hoch digitalisierten Land wochenlang durch
Interner Link: DDoS-Attacken lahm; vermuteter Urheber: Russland.Stuxnet 2010: Ein Cyberangriff zerstört Uran-Zentrifugen in der iranischen Atomanlage in Natanz und wirft so das Atomprogramm des Landes um Jahre zurück; mutmaßliche Urheber: USA und Israel.
Sony 2014: Vermutlich um die Veröffentlichung des Films "The Interview" zu verhindern, einer Komödie über den nordkoreanischen Staatschef Kim Jong-Un, dringt eine Gruppe von Hackerinnen und Hackern in die Systeme der Produktionsfirma Sony ein und veröffentlicht sensible Informationen, woraufhin der Filmstart verschoben wurde; vermuteter Urheber: Nordkorea.
Ukraine 2015: Hackerinnen und Hackern gelingt es erstmals, durch einen Cyberangriff das Stromnetz eines Landes zeitweilig lahmzulegen; vermuteter Urheber: Russland.
US-amerikanische Präsidentschaftswahlen 2016: Im Vorfeld der Wahlen stehlen Hackerinnen und Hacker mithilfe einer Phishing-Attacke sensible Daten der Demokratischen Partei und veröffentlichen sie, um der Kandidatin Hillary Clinton zu schaden; vermuteter Urheber: Russland.
Autonome Waffensysteme
Die voranschreitende Entwicklung automatisierter Systeme, etwa der
Der Einsatz autonomer Waffensysteme wie Kampfdrohnen löst anhaltende Kontroversen in Wissenschaft, Öffentlichkeit und Politik aus. Diejenigen, welche die Technologie befürworten, wie etwa die Regierungen Russlands oder der USA, geben an, solche Geräte als Fortschritt hin zu "zivilisierteren" bewaffneten Konflikten zu sehen. "Kampfroboter" würden keine problematischen psychischen oder physischen Zustände kennen wie Angst, Wut, Hass oder Erschöpfung, deren Auftreten bei Soldatinnen und Soldaten erwiesenermaßen einen Hauptauslöser für Kriegsverbrechen darstellt. Aus diesem Grund seien sie im Zweifel besser als Menschen geeignet, rechtlich "saubere" Einsätze auszuführen, wie etwa die US-Regierung in Diskussionen der "Group of Governmental Experts", einer Arbeitsgruppe der Vereinten Nationen, darlegte. Das gelte umso mehr, als sie zielgenauer von der Waffe Gebrauch machten und es zu weniger Kollateralschäden käme, also getöteten oder verletzten Zivilpersonen.
Kritische Stimmen, wie etwa die Menschenrechtsorganisation Amnesty International, halten dem entgegen, dass selbst beim Zutreffen dieser Annahmen grundlegende ethische Bedenken gegen die Entwicklung und den Einsatz autonomer Waffensysteme sprächen. So sei es insbesondere nicht mit der Menschenwürde vereinbar, Maschinen die Entscheidung über Leben und Tod zu überlassen. Deutschland setzt sich für die weltweite Ächtung tödlicher vollautonomer Waffensysteme ein, heißt es auf der Website des Auswärtigen Amts. Um die rechtlichen, politischen und ethischen Implikationen der Technologie bewerten zu können, haben die Vereinten Nationen 2014 eine weitere Gruppe von Regierungs- und Rüstungsfachleuten eingesetzt. Bislang diskutieren sie weitgehend ergebnislos über ein Verbot autonomer Waffensysteme. Jedoch einigten sich bei der jährlichen Staatenkonferenz der VN-Waffenkonvention Ende 2019 125 Vertragsparteien erstmals darauf, Leitprinzipien für den Umgang mit autonomen Waffensystemen festzulegen.
Im Spannungsfeld von Sicherheit und Überwachung
Ein Aspekt der Sicherheit betrifft uns alle bereits täglich und stellt ein ganz zentrales, geradezu prägendes Merkmal der vernetzten Welt dar: die Überwachung und Auswertung von Kommunikationsdaten.
Dass sich Staaten die technischen Möglichkeiten der Digitalisierung zunutze machen, um ihre eigenen Bürgerinnen und Bürger oder diejenigen anderer Länder zu überwachen, ist spätestens seit den Enthüllungen des
Eine beachtliche Zahl anderer Staaten konzentriert sich in erster Linie darauf, die eigenen Bürgerinnen und Bürger zu überwachen. Dazu gehören vor allem solche mit autoritären oder totalitären Regierungen. Die Digitalisierung erleichtert die Überwachung nicht nur im Internet. Große Fortschritte bei Technologien für Gesichts- und Stimmerkennung haben auch dazu geführt, dass staatliche Kontrolle fernab des Internets wesentlich einfacher geworden ist. So ist es möglich, ganze Bevölkerungsgruppen spezifisch zu überwachen, messbar zu machen und damit zu kontrollieren und zu unterdrücken. So setzt beispielsweise die chinesische Regierung Gesichtserkennungssoftware ein und will so mithilfe biometrischer Daten Angehörige der uigurischen Minderheit im öffentlichen Raum erkennen und verfolgen.
QuellentextChina – Leben mit dem Code
[…] Seit Anfang Februar, eineinhalb Monate nachdem vermutlich auf dem Tiermarkt der zentralchinesischen Stadt Wuhan das neuartige Coronavirus ausgebrochen war, bestimmt die Farbe des Codes das Leben der Menschen in dem Land. Ist der Code grün, ist alles in Ordnung. Gelb heißt: ab in die heimische Quarantäne. Rot: sofortige Einweisung ins Krankenhaus [...]
[…] Yang Lei […] arbeitet in Schanghai als Buchhalterin. Im nur eine Stunde mit dem Hochgeschwindigkeitszug entfernten Hangzhou lebt eine Freundin, die sie besuchen will. [...]
An den Eingängen der U-Bahn-Stationen in Schanghai wird der Gesundheitscode nicht mehr verlangt, doch das Sicherheitspersonal prüft die Körpertemperatur eines jeden mit einer Messpistole. Im Waggon bittet ein Schild die Menschen, den abgebildeten QR-Code "freiwillig" zu scannen und so die eigenen Gesundheitsdaten des Codes zu hinterlassen, was Yang auch tut. Eine Internetseite der "Schanghaier U-Bahn-Registrierung zum Vorbeugen gegen die Epidemie" öffnet sich: "Der Wagen, in dem Sie nun fahren, trägt die Nummer 060273" heißt es sodann. Man solle bitte im untenstehenden Feld seine Telefonnummer eintragen. Am Fernbahnhof sortiert die Polizei alle aus, deren Wärmebild mehr als 37,3 Grad Celsius anzeigt.
In Hangzhou angekommen, steht als Erstes die Registrierung an: Alipay-App öffnen, "Health Code"-Funktion auswählen, und Yangs Schanghaier Code wird angezeigt. Nachdem sie die Ortseinstellung auf Hangzhou geändert hat, taucht die Registrierungsseite der Stadt auf: "Die Vorbeugung und Kontrolle der Epidemie ist die Verantwortung eines jeden Einzelnen. Gib deine Informationen ein, dann kannst du dich in der Stadt frei bewegen."
Doch davor sind eine Menge Fragen zu beantworten: Ob man gerade in Quarantäne sei? Ob man Kontakt zu Menschen gehabt habe, die der Infektion mit dem Virus verdächtig seien? Wie der eigene Zustand ist? Von Fieber, Müdigkeit, Husten bis zu einer laufenden Nase und Durchfall sind acht verschiedene Leiden einzutragen. Nach dem "Versprechen", sich gesetzestreu zu verhalten und die Behörden über jede Änderung der Gesundheit zu informieren, gibt es endlich den Code: Grün. Wäre er gelb, müsste Yang nun zurück nach Schanghai und für 14 Tage in Quarantäne. Sie hat gehört, dass sich die Farbe vor allem aufgrund des Aufenthaltsorts der vergangenen zwei Wochen bestimmt.
Tencent und Alibaba werten dazu riesige Datenmengen aus: was und wo Yang im Internet kaufte. Wo sie mit dem elektronischen Bezahlsystem Rechnungen beglich. Die Ortsangaben, die ihre Sim-Karte übermittelt. Und natürlich die Daten von allen Stellen, an denen Yang ihren Gesundheits-Code scannen ließ. Yang war die vergangenen zwei Wochen ausschließlich in Schanghai, dennoch ist sie jedes Mal besorgt, wenn sie ihren Code aufruft: Hoffentlich ist er nicht gelb! […]
Mitte April: [B]ei […] ausländischen Reportern in der Stadt war der Code auf Gelb gesprungen, ebenso bei Ausländern, die sich in Peking befanden. […] Nachdem sich die Ausländer beim Außenministerium beschwert hatten, teilte die Regierung mit, hier habe wohl ein technischer Fehler vorgelegen. Das mochte stimmen. Ein beklemmendes Gefühl aber blieb: Fortan, so die Angst, brauchte die Regierung Journalisten nicht mehr auszuweisen, um sie daran zu hindern, in China zu recherchieren. Mit dem Gesundheits-Code könnte sie diese einfach ausschalten. Die Farbe ändern auf Gelb, schon ist der Betroffene bewegungsunfähig. Kein Restaurant, kein Einkaufszentrum wird ihn mehr aufnehmen. Fahrten mit dem Zug sind unmöglich, in vielen Städten auch mit dem Bus. War das ein Anflug von Hysterie oder die berechtigte Angst vor dem allmächtigen Staat, die im Gegensatz zu Menschen aus dem Westen die allermeisten Chinesen gar nicht teilen?
Klar ist: seit dem Ausbruch des Virus hat die Überwachung in China noch einmal angezogen. 800.000 Kameras sind in Peking mittlerweile installiert, in Schanghai noch mehr. Je nach Schätzung hingen in China vor Beginn der Viruskrise zwischen 200 und 350 Millionen dieser elektronischen Augen. […]
Dass Ausländer in Peking darüber klagen, dass die Hausverwaltung Kameras direkt vor ihrer Wohnungstür installiert hat, deren Linsen 24 Stunden am Tag jeden Menschen erfassen, der dort ein- und ausgeht, können die meisten Chinesen nicht verstehen – schließlich dient die Überwachung doch nur dem Volkskampf gegen das Virus! Stolz verkünden denn auch Städte auf ihren Internetseiten, wie sie mit neuen Geräten kontrollieren, dass ihre Einwohner auch daheim die Quarantänevorschriften einhalten. Regierungsbeamte im ganzen Land wissen, dass sie ihre Karrieren vergessen können, wenn sie in der Überwachung der Menschen nicht engagiert [...] sind. […]
Klar scheint mittlerweile: Chinas Staat wird auf die in der Corona-Krise neu eingeführten Überwachungs-Technologien künftig nicht verzichten – und dieses wohl nicht nur, weil sich das Virus jederzeit wieder ausbreiten kann. Die kürzlich in den städtischen Bussen in Guangzhou installierten Tablets, die jeden Fahrgast fotografieren und dessen biometrische [Daten] speichern, werden mit großer Sicherheit bleiben. In vielen der "7-Eleven"-Eckläden im Land können Kunden schon heute einfach mit ihrem Gesicht zahlen, das eine mit Erkennungssoftware ausgestattete Kamera scannt […].
Einlass und Bezahlen per Gesichtserkennung oder Handabdruck, Identitätsüberprüfung per Iris-Abgleich in der China Construction Bank, selbst am Gang identifizieren Unternehmen in China mittlerweile mit ausgetüftelter Software jeden, der sich dem Werksgelände nähert. Bisher werde die Technologie noch für die eigenen Beschäftigten eingesetzt, heißt es. Doch die Sicherheitsbehörden haben längst Interesse daran angemeldet.
Dass Regierungen Krisen nutzen, um die eigene Bevölkerung stärker zu überwachen, ist indes wahrlich kein allein chinesisches Phänomen. Nach den Terror-Attentaten vom "Elften September" erließ der amerikanische Kongress den "Patriot Act", der den Behörden das massenhafte Sammeln von Telefondaten erlaubte und das Beantragen von Gerichtsbeschlüssen zur Herausgabe von Geschäftsgeheimnissen. Dass unabhängige Gerichte und eine wehrhafte Demokratie nötig sind, um den Kontrollwahn der Mächtigen einzugrenzen, hat nichts so eindrucksvoll belegt wie das globale Überwachungsnetz der Regierungen von Amerika, Großbritannien, Australien und Kanada, das der frühere amerikanische Geheimdienst-Mitarbeiter Edward Snowden enthüllte. Einen Rechtsstaat und eine aufgeklärte Öffentlichkeit gibt es in China aber eben nicht. […] Ob sich nun durch die Krise Alibaba, Tencent und zuallererst die Regierung mehr Daten sicherten als früher, treibt [...] [Yang Lei] kaum um. Schließlich hätten diese Institutionen das schon früher getan. "Der Gesundheits-Code ist nur ehrlicher", sagt sie. […]
Hendrik Ankenbrand, "Ein Code, sie alle zu finden", in: Frankfurter Allgemeine Zeitung vom 27. Mai 2020 © Alle Rechte vorbehalten. Frankfurter Allgemeine Zeitung GmbH, Frankfurt. Zur Verfügung gestellt vom Frankfurter Allgemeine Archiv
Es sind aber nicht ausschließlich autoritäre Staaten, die die Möglichkeiten digitaler Technologien nutzen, um ihre Bürgerinnen und Bürger zu überwachen. So traf etwa auch die Bundesrepublik in den vergangenen Jahren eine Reihe gesetzlicher und technischer Maßnahmen, um die Online-Überwachung auf den Weg zu bringen. Die bekannteste dieser Entwicklungen ist der sogenannte Bundes- oder Staatstrojaner. Dabei handelt es sich technisch gesehen um Malware, die Sicherheitslücken in der Software auf dem Computer oder Smartphone der Zielperson ausnutzt und so in das System eingeschleust wird. Ist die Malware dort erst einmal durch Sicherheitsbehörden, beispielsweise das Bundeskriminalamt, installiert, können diese unter anderem Telefongespräche mitschneiden, aber auch E-Mails, Chat- oder Messengerdienstnachrichten, etwa über Bildschirmfotos, kopieren und mitlesen. Da die Nachrichten direkt auf dem Computer oder Smartphone der überwachten Person abgefangen werden, kann sich diese auch nicht schützen, indem sie Daten verschlüsselt, da die Verschlüsselung erst beim Absenden und beim Empfang eingreift.
Rechtlich nennt sich ein solcher Vorgang
Doch trotz der rechtlichen Hürden steht die Quellen-TKÜ seit Jahren in der Kritik. Unter anderem Personen, die sich für Bürgerrechte einsetzen, beklagen die Methode: Die geringen Hürden für ihren Einsatz verletzten das Recht auf Privatsphäre und damit das grundrechtlich garantierte allgemeine Persönlichkeitsrecht. Viele IT-Expertinnen und -Experten bemängeln, dass die Strafverfolgungsbehörden Sicherheitslücken im Zielsystem ausnutzen müssen, damit die Überwachungssoftware ihren Zweck erfüllen kann. Das bedeutet unweigerlich, dass diese – den Herstellern und der Öffentlichkeit unbekannten – Schwachstellen in
Eine Möglichkeit, sich der Überwachung durch den Staat und private Unternehmen weitgehend zu entziehen, bietet das Tor ("The Onion Router") genannte Netzwerkprotokoll, das unter anderem auf eine Initiative der US-amerikanischen Regierung zurückgeht. Die Tor-Technologie verschlüsselt und anonymisiert Verbindungsdaten, was es ermöglicht, sich weitgehend unerkannt im Netz zu bewegen oder online zu kommunizieren. Die Möglichkeit, das Internet mit Diensten wie Tor weitgehend unerkannt nutzen zu können, ist besonders für Aktivistinnen und Aktivisten aus der Bürgerrechtsszene oder Personen auf der ganzen Welt, die (staatlicher) Verfolgung ausgesetzt sind, von großem Wert.
Das Tor-Netzwerk wird auch dazu genutzt, um eine Verbindung mit dem sogenannten
QuellentextTor – Anonymisierungstechnologie für das Darknet
[…] Ein Darknet ist ein digitales Netz, das sich vom sonstigen Internet abschirmt und mit technologischen Mitteln die Anonymität seiner Nutzer herstellt. […]
Etwa zehn verschiedene Darknets listet der gleichnamige englischsprachige Wikipedia-Artikel auf. Zu größerer Bekanntheit hat es bisher aber nur eine Lösung gebracht: das Darknet auf Basis der Anonymisierungstechnologie Tor.
Als eine Art digitale Tarnkappe ermöglicht Tor es, einfache Nutzer sowie Anbieter von Websites zu verstecken. Tor stand ursprünglich für "The Onion Router". Der Vater der Technologie hatte die Architektur seiner Erfindung mit dem Aufbau einer Zwiebel verglichen: Bei der Zwiebel ist der Kern unter mehreren Schalen versteckt, und bei Tor verberge sich der "Kern" aus Identität und Aktivität der jeweiligen Internetnutzer unter mehreren Anonymisierungsschichten.
Tor basiert auf einem simplen Prinzip: der mehrfachen Weiterleitung von Datenverkehr. Dafür steht ein Netzwerk von etwa 7000 unentgeltlich betriebenen Internetknoten zur Verfügung. Sie sind über die halbe Welt verteilt. 60 Prozent der Knoten befinden sich jedoch in den vier Ländern Deutschland, Frankreich, Holland und USA, wobei die Bundesrepublik mit etwa 1300 Knoten Spitzenreiterin ist.
Hinter vielen der großen Knoten, über die vergleichsweise viel Datenverkehr abgewickelt wird, stehen universitäre oder zivilgesellschaftliche Projekte – in der Bundesrepublik beispielsweise die NGO Reporter ohne Grenzen, der Tor-Unterstützerverein Zwiebelfreunde und die Hacker-Organisation Chaos Computer Club. Tor-Knoten lassen sich allerdings auch anonym betreiben. Somit können sich auch Geheimdienste oder Cyberkriminelle in die Infrastruktur einschleichen und mithilfe eigener Knoten den Datenverkehr mitschneiden oder manipulieren.
Tor nutzt die Grundstruktur des Internets, bei der IP-Adressen miteinander kommunizieren. Diese Ziffernfolgen machen einzelne Nutzer und auch Websites adressierbar und identifizierbar. Die zwiebelartige Anonymisierungstechnologie überlagert die Internetarchitektur jedoch mit einer weiteren Ebene: Ein Datenpaket, beispielsweise eine Anfrage nach einer Website, wird nicht mehr direkt von IP-Adresse zu IP-Adresse geschickt, sondern über eine Abfolge von jeweils drei Knoten geleitet. Dabei kennt jeder Knoten jeweils nur seinen Vorgänger, von dem er das Datenpaket entgegennimmt, und seinen Nachfolger, an den er es weitergibt.
Das sorgt für Anonymität: Die aufgerufene Website, sei es beispielsweise die von "Spiegel Online" oder die des Bundeskriminalamts, erfährt nicht, von wem die Anfrage eigentlich ausging. Und auch der Internetanbieter, zum Beispiel die Telekom, sieht nicht, welche Website aufgerufen werden soll.
Das Prinzip der anonymisierenden Weiterleitung wird von zwei Anwendungen genutzt. Die erste ist der Tor-Browser, eine Abwandlung des bekannten, nichtkommerziellen Firefox-Browsers. Er lässt sich kostenlos herunterladen und leitet den Datenverkehr über den beschriebenen Umweg von drei Tor-Knoten. […]
Die zweite Anwendung ermöglicht den anonymen Betrieb von Websites unter der inoffiziellen Darknet-Endung .onion. Diese Seiten werden, da ihr Standort von der Tor-Software versteckt wird, auch hidden services genannt. Die einzelnen .onion-Adressen werden auf Basis von Zufallszahlen von der Tor-Software berechnet und bestehen in der Regel aus einer kryptisch anmutenden Folge von 16 Zeichen. So lautet beispielsweise eine Darknet-Adresse: expyuzz4wqqyqhjn.onion.
Die Kommunikation mit einer Darknet-Seite geschieht über eine Art toten Briefkasten. Sowohl die User als auch die Seitenbetreiber kommunizieren mit dieser Zwischenstation über eine jeweils eigene Route aus drei Tor-Knoten. Die Seiten haben einige Vorzüge: Sie bewahren Nutzer davor, sich aus Unwissenheit zu de-anonymisieren, da sich .onion-Seiten nur per Tor-Browser betreten lassen. Zudem können .onion-Adressen weder zensiert noch von staatlichen Stellen gelöscht werden, was bei Adressen im klassischen Netz durchaus möglich ist. […]
Hinter Tor und somit auch hinter dem .onion-Darknet steht eine nicht profitorientierte Organisation mit Hauptsitz in Seattle: The Tor Project, Inc. Diese betreut die Software und entwickelt sie weiter. Ihr steht eine ehrenamtliche Community zur Seite, die die Infrastruktur aus Tausenden Tor-Knoten zur Verfügung stellt. […]
Bei der Nutzung von .onion-Adressen lassen sich drei Modelle unterscheiden:
Originäre .onion-Inhalte: [...] Eine nennenswerte inhaltliche Vielfalt gibt es lediglich auf der illegalen Seite des Darknet-Kosmos. Dort findet sich eine breite Palette an professionalisierten Marktplätzen, die verschiedene "Produkte" in ihren digitalen Regalen stehen haben. Hauptsächlich werden aber Drogen verkauft. Auf der legalen Seite finden sich vor allem selbstreferenzielle Inhalte, etwa Überblickslisten zum Darknet.
.onion als Programmbaustein: Beim zweiten Modell dient die .onion-Technologie als Baustein für spezielle Darknet-Programme. Das prominenteste Bespiel ist die Software OnionShare, über die sich Dateien tauschen lassen [...] – ohne dass Dritte zwischengeschaltet sind [...].
.onion als alternative Zugangstür: Bei der derzeit typischsten Nutzungsform von .onion jenseits der illegalen Darknet-Marktplätze haben sich Projekte aus dem klassischen Netz eine .onion-Adresse eingerichtet. [...] Facebook beispielsweise verfügt über eine parallele Darknet-Adresse, aber auch zivilgesellschaftliche Akteure wie der Chaos Computer Club. […] Auch einige große Medien verfügen über eine alternative Zugangstür. Der britische "Guardian", die "New York Times", die Nachrichtenagentur AP und in der Bundesrepublik "Heise online" haben sich im Darknet anonyme Postfächer für Whistleblower eingerichtet. […]
Stefan Mey, "‚Tor‘ in eine andere Welt? Begriffe, Technologien und Widersprüche des Dark-nets", in: Darknet, Reihe Aus Politik und Zeitgeschichte/APuZ 46–47/2017 vom 13. November 2017, S. 4 ff. – Der Beitrag basiert auf Recherchen für Stefan Meys Sachbuch "Darknet – Waffen, Drogen, Whistleblower. Wie die digitale Unterwelt funktioniert", München 2018
Staatliche Überwachungstätigkeiten werden meist damit begründet, es sei ureigene Aufgabe des Staates, die Sicherheit seiner Bürgerinnen und Bürger zu garantieren. Die grundrechtlich abgesicherte Freiheit jeder Person sei ohne Sicherheit wertlos. Manche Fachleute aus der Staatswissenschaft sowie Stimmen aus der Politik fordern deshalb sogar ein "Grundrecht auf Sicherheit", das auf den Staatsrechtler Josef Isensee zurückzuführen ist. Wer "nichts zu verbergen" habe, werde durch Überwachungsmaßnahmen nicht eingeschränkt.
Maßnahmen zur persönlichen Cybersicherheit. Eigene Darstellung (© bpb)
Maßnahmen zur persönlichen Cybersicherheit. Eigene Darstellung (© bpb)
Dem hat das Bundesverfassungsgericht schon 1983 in seinem Urteil zur Volkszählung entgegengehalten: "Wer unsicher ist, ob abweichende Verhaltensweisen jederzeit notiert und als Information dauerhaft gespeichert, verwendet oder weitergegeben werden, wird versuchen, nicht durch solche Verhaltensweisen aufzufallen" – ungeachtet dessen, ob diese illegal oder rechtens sind. Das gilt auch für unser Verhalten online. Deshalb ist es wichtig, stets in jedem Einzelfall abzuwägen, ob eine die Privatsphäre und damit die individuelle Freiheit beschränkende Maßnahme gerechtfertigt ist.
Gesetzlich eng gesteckte Grenzen und prozedurale Absicherungen wie der Richtervorbehalt, das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität sowie die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union sollen dafür Sorge tragen, dass das Pendel nicht zu sehr in Richtung Sicherheit ausschlägt (siehe auch Kapitel