# taz.de -- CCC-Kongress in Hamburg: Die Schwäche im System
       
       > Im großen Hype um den „Cyberwar“ fordern die „Informatiker für den
       > Frieden“ eine Verpflichtung von Staaten, ihre IT-Entwicklung nur defensiv
       > zu nutzen.
       
 (IMG) Bild: Defensiver Besucher des CCC-Kongresses.
       
       Kurz nach der Veröffentlichung der neuen Windows-Version gab die
       französische IT-Firma Vupen in
       [1][//twitter.com/cBekrar/status/263286109398773762:einem Tweet] bekannt,
       eine bislang unbekannte Schwachstelle gefunden zu haben. Schwachstellen in
       Software zu finden, gehört zum Geschäftsmodell von Vupen. Doch statt sie an
       die Hersteller zu melden, damit die Software sicherer wird, verkauft Vupen
       sie an zahlende Kunden, die diese Schwachstellen für Angriffe in
       Computersystemen ausnutzen können. Und die Käufer sind in der Regel nicht
       Kriminelle, sondern Staaten.
       
       „Es gibt zur Zeit einen großen Hype um das Schlagwort 'Cyberwar'“ sagt
       Sylvia Johnigk, Sprecherin des Forums InformatikerInnen für den Frieden
       (Fiff) in [2][einem Vortrag] auf dem Chaos Communications Congress.
       Cyberwar, das heißt für das Bundesverteidigungsministerium „Angriffe
       staatlicher Institutionen auf Computersysteme und IT-Netzwerke eines oder
       mehrerer anderer Staaten, die substanzielle Auswirkungen auf die
       Handlungsfähigkeit dieser Staaten haben“.
       
       Die Vorstellung, einen Feind über Computersysteme anzugreifen sei
       attraktiv, so Johnigk: Eigene Soldaten kämen nicht in Gefahr und es sei oft
       schwierig zurückzuverfolgen, wer verantwortlich war. Und sie macht Staaten
       zu Interessenten derselben Schwachstellen, die auch gewöhnliche Kriminelle
       ausnutzen.
       
       Dass mit Schadsoftware nicht nur Passwörter geklaut sondern auch
       Infrastruktur angegriffen werden kann, zeigte vor wenigen Jahren „Stuxnet“,
       als der Computervirus Zentrifugen im iranischen Atomprogramm zerstörte. Der
       Virus wurde geschrieben um Siemens-Industriesoftware anzugreifen und
       inzwischen wird angenommen, dass er durch Staaten, oder zumindest mit
       staatlicher Hilfe erstellt worden sein muss. Nach [3][unbestätigten
       Berichten]: die USA und Israel.
       
       Kurze Zeit darauf berichtete die iranische Regierung, sie baue nun eine
       eigene Militärabteilung auf, die solche Angriffe abwehren, aber auch selbst
       angreifen können soll. Auch in anderen Ländern bereiten sich Militärs auf
       Auseinandersetzungen in Computernetzwerken vor. In Deutschland wird schon
       seit fünf Jahren die Abteilung „Computernetzwerkoperationen“ aufgebaut, vor
       wenigen Monaten hieß es in einem Bericht an den Verteidigungsausschuss im
       Bundestag: „Eine Anfangsbefähigung zum Wirken in gegnerischen Netzwerken
       wurde erreicht“. Heißt: Es geht nicht mehr nur um Abwehr.
       
       ## Rüsten gegen die Sicherheit
       
       Es ist genau dieses Wettrüsten zwischen Staaten, dass Sylvia Johnigk und
       das Fiff kritisieren. Egal ob zur Kriminalität, zur Spionage oder für
       militärische Angriffe, Viren haben gemein, dass sie Schwachstellen in
       Computersystemen ausnutzen, um zu wirken: um Passwörter zu klauen, um Daten
       zu kopieren oder um Kraftwerke lahmzulegen. „Die Energie, die für
       Angriffswerkzeuge aufgewendet wird, fehlt bei der Entwicklung von
       Schutzmechanismen“, kritisierte Fiff-Sprecherin Sylvia Johnigk.
       
       Mehr noch: Wer aktiv solche Werkzeuge entwickele, habe kein Interesse daran
       die Schwachstellen in den Systemen zu beseitigen. Wer eine Schwachstelle
       kennt, nutze sie aus, statt sie zu melden und zu schließen. Im
       Umkehrschluss heißt das: Wer Schwachstellen schließt, macht nicht nur
       militärische Angriffe unwahrscheinlicher, sondern schützt Nutzer auch vor
       Viren, die Kontodaten auslesen oder Daten ausspähen sollen. Vor
       gewöhnlichen Cyberkriminellen also.
       
       Als Alternative fordert Fiff, eine globale Verpflichtung von Staaten ihre
       IT-Entwicklung nur defensiv zu nutzen und eine Offenlegungspflicht für
       Software-Schwachstellen einzuführen. Das Geschäftsmodell von VUPEN wäre
       damit illegal. Hier müssten außerdem alle Staaten miteinbezogen werden,
       denn: „Wenn wir Chips von den Chinesen benutzen, können wir sie nicht bei
       einer solchen Initiative ausschließen“, sagt Johnigk.
       
       27 Dec 2012
       
       ## LINKS
       
 (DIR) [1] http://(http
 (DIR) [2] http://events.ccc.de/congress/2012/Fahrplan/events/5221.en.html
 (DIR) [3] http://www.nytimes.com/2012/06/01/world/middleeast/obama-ordered-wave-of-cyberattacks-against-iran.html
       
       ## AUTOREN
       
 (DIR) Lalon Sander
       
       ## TAGS
       
 (DIR) Stuxnet
 (DIR) IT-Sicherheit
 (DIR) Schwerpunkt Chaos Computer Club
 (DIR) CCC-Kongress
 (DIR) Cyberattacke
 (DIR) Schwerpunkt Überwachung
       
       ## ARTIKEL ZUM THEMA
       
 (DIR) CCC-Kongress in Hamburg: Ein Atlas des „Filternets“
       
       Der Hacker Jacob Appelbaum fordert “konstruktive Alternativen” zu
       Überwachung durch Staaten und Firmen. Er arbeitet daran, Zensur weltweit zu
       dokumentieren.