- Aus Sicherheits-Sicht liegt eines der größten Probleme darin, dass eine Anwendung / Layer / Schicht etwas macht, aber nicht mitteilt, was und wie sie das macht. Man spricht hierbei völlig euphemistisch von
transparent
. Es ist jedoch nicht durchschaubar, sondern unsichtbar. De facto ist alles eine Blackbox, der man meist blind vertraut. - Diese Schichten und deren einzelne Module (Bausteine) kommunizieren über Protokolle und werden durch schriftlich fixierte Standards definiert. Man schätzt inzwischen die Anzahl der nur zum Kernbereich des Internets gehörenden Protokolle auf etwa 500. So genau weiß das niemand mehr. Hinzu kommt, dass diese dann jeweils selbst wieder aus zahlreichen Modulen / Bausteinen bestehen. Aber die Protokolle / Regeln sind keineswegs so klar formuliert, dass man sie nicht missverstehen oder zweckentfremden kann.
- Da das gesamte Internet aus einer kaum mehr überschaubaren Anzahl derartiger
Schwarzer Kisten
besteht, existieren auch nur noch wenige IT-Spezialisten, die wirklich einen Überblick und vor allem Durchblick besitzen. In der Tat ist es bereits sehr schwer, auch nur die notwendigen Schnittstellen zur Datenübergabe eines einzigen Moduls / Layers perfekt zu verstehen. - Exakt hier setzen viele Sicherheitsdienste sowie Kriminelle an.
- Wer eine Schicht, oder auch nur wichtige autarke Bausteine in einer Schicht durch Hintertürchen kontrolliert, kontrolliert de facto alles darüber im Schichtaufbau.
- Nun wird auch verständlich, warum Sicherheitsdienste Zugangsdaten / Hintertürchen in fast alle Elemente - vor allem auf den tiefen Schichten - einbauen oder knallhart von den nationalen Herstellern diese Einbauten für sie selbst fordern.
- Hinzu kommt, dass neue (vermeintlich sicherere) Protokolle sowie Hard- und Software neben weiterhin laufenden alten (unsicheren) arbeiten. Das Netz ist historisch gewachsen, und man kann alte Teilnehmer nicht so einfach ausschließen. Der Haken liegt nun jedoch darin, dass man neue mit alten Protokollen gezielt mischen und somit sicherheitstechnisch austricksen kann. Plötzlich kann sogar weniger Sicherheit als jemals zuvor das Ergebnis sein.
- Die Komplexität ist in den letzten Jahrzehnten sogar stets weiter gewachsen.
Aber:
- Stellen Sie sich das Internet wie ein Schachspiel vor. Die Regeln wurden halbwegs fair aufgestellt und haben sich deshalb lange gehalten. Alle ehrlichen Spieler halten sich daran. Die Feldgröße und die Figuren sowie deren Bewegungen sind fest-gelegt.
- Hacken oder cracken besteht nun darin, diese Spielregeln als Spielverderber bewusst zu missachten.
- So kann man das Spielfeld der erlaubten 8*8 Zellen erweitern, indem man (rein zweidimensional) rund herum 8 weitere Spielfelder aufbaut, um Spielregeln im wahrsten Sinne des Wortes zu umgehen. Begabtere Leser dürfen sich dies auch gerne räumlich mit 3 Dimensionen von Spielfeldern vorstellen, und Mathematiker gerne auch in weiteren beliebig vielen Dimensionen als Matrix.
- Auf den neuen Spielfeldern kann man auch neue Figuren einführen - mit ganz anderen Möglichkeiten, die erlaubten Figuren im Zentralfeld zu schädigen, zu manipulieren etc.
Hinzu kommt noch der Faktor "Mensch":
- In vielen Firmen und Institutionen werden Millionen an Euro/Dollar in Sicherheits-Hardware und -Software investiert. Da spielt Geld oft keine Rolle.
- Bei den Menschen, welche damit arbeiten (z.B. die Systemadministratoren), wird hingegen teilweise mit der Lupe nach Einsparmöglichkeiten gesucht.
- Die Menschen sind jedoch die leichtesten Opfer im klassischen wie modernen Spionagesystem aller Akteure.
- Wer einen Maulwurf einschleusen kann, oder angesichts des knappen Gehaltes und hoher Lebenshaltungskosten in Großstädten einen für Geld empfänglichen Menschen innerhalb des Sicherheitssystems umdrehen kann, hat leichten und direkten Zugang zu allem.
- Oft reicht es aus, wenn dieser Menschen einmal ein einziges Programm in das System einspielt. Der Rest erfolgt dann von außen.
- Die klassischen Sicherheitskontrollen reichen hierbei nicht aus. Denn seit langem wird hier nicht mehr ein offensichtliches Schadprogramm eingeschleust, sondern oft ein bekanntes und überall verwendetes und zwingend erforderliches Nutzprogramm (z.B. eine sogenannte Bibliothek für HTTPS), welche seine Arbeit perfekt und zu aller Zufriedenheit erledigt. Nur hin und wieder macht die Software auch etwas anderes. De facto reicht es aus, wenn sie dies einmal durchführt.
- Jeder entgegnet mir, dass so etwas unmöglich sei, da heute alle Programme durch andere überwacht würden. Das klingt in der Theorie immer beeindruckend. In der Computerpraxis ist dies reines Wunschdenken. Mir sind namhafte Firmen bekannt, welche jeden Detaileinblick in die aktuell laufenden Programme verloren haben - ein Zustand, der schon seit Jahrzehnten anhält. Mir sagte einmal ein Rechenzentrumsleiter:
Wir schätzen, dass von den zehntausenden ständig laufenden Programmen, vermutlich bis zu 25% überflüssig sind. Aber wir wissen nicht welche.
- Und wehe dem, der ein wichtiges Programm aus Versehen abschaltet. - Im seit Jahrzehnten gewachsenen Internet, in dem die Gründer und z.T. bereits die zweite Generation an Programmierern schon im Ruhestand sind, ist dies nicht besser. Man weiß schlichtweg in vielen Details nicht mehr, wer wann was wo wie wozu gemacht hat.
Wenn man diese Regeln versteht, kann man sie ausnutzen und ändern:
- Am höchsten bezahlt sind jedoch die Logikgenies, welche die Spielregeln durch sich selbst aushebeln.
- Wer logischer denkt gewinnt.
- Wer weiter vorausdenkt gewinnt. D.h. wer alle Komponenten der Spielregeln (im Internet: Protokolle) über dutzende oder gar hunderte Züge im Voraus berechnen kann, gewinnt.
- Da sowohl bei Schach als auch bei Go inzwischen lernende Systeme (= Künstliche Intelligenz) - Software auf Computern - die besten Menschen geschlagen haben, handelt es sich somit beim besseren Ausnutzen der Spielregeln um reine Fragen der Rechenleistung und der Intelligenz beim Programmieren von KI-Programmen (KI - künstliche Intelligenz = AI - artificial intelligence).
- Man kann davon ausgehen, dass weltweit die Sicherheitsdienste an derartigen AI-/KI-Systemen und ML (= machine learning) zum Übertrumpfen der Spielregeln des Internets arbeiten.
- Da immer wieder Anfragen zu den Auswirkungen kommen, hier im Klartext: Zukünftig werden Computer mit Spezialsoftware alle Regeln des Internets selbständig erlernen und ausnutzen - schneller als jeder Hacker oder geniale Programmierer es jemals könnte und bald sogar schneller, als alle Programmierer der Welt zusammen es jemals in ihrer ganzen Lebenszeit könnten. Das Einzige, worüber man sich derzeit noch streitet, sind die Fragen, ob es sich um komplett autarke Systeme handeln soll, oder ob der Mensch die letzte Kontrolle über Entscheidungen behält. - Alle Analytiker sind sich einig, dass diese AI sogar die nationale Sicherheitstechnologie völlig verändert - und damit Ihre private sowieso.
Einwände:
- Meist erfolgt der Einwand:
Dann ändern wir die Spielregeln!
- Das ist in der Tat ein guter Vorschlag, der jedoch schnell an Grenzen stößt.
- Nehmen wir das in Diskussionen mir oft genannte viel einfachere Beispiel Fußball zum Vergleich. Dort würden angeblich auch ständig die Regeln verändert.
- Das ist korrekt. Aber das Spiel ist anders geartet:
- Von den 7 Milliarden Menschen spielt nicht einmal 1% aktiv das Spiel. Die anderen 99% sind passive Zuschauer. Die 1% Spieler kann man mit massivem internationalen Druck durchaus zum Erlernen der neuen Spielregeln zwingen.
- Aber beim Internet sind die Verhältnisse deutlich anders. Es wäre schon eine Erleichterung, wenn nur alle 7 Milliarden Menschen daran aktiv teilnehmen würden. De facto liegt die Zahl weit über 100%, wenn man alle Geräte des Internets der Dinge hinzuzählt (Häuser, Kühlschränke, Armbanduhren, Autos, ...). Viele davon haben eine lange Lebensdauer und sind nicht einfach auf die neuen Spielregeln umprogrammierbar. Vor allem beim weitgehend schutzlosen Internet der Dinge setzen deshalb inzwischen die meisten Hacker an. Es handelt sich um eine Art Neben-Schachbrett, über das man dann wieder die Figuren auf dem zentralen Schachbrett angreifen kann.
- Beim vermeintlich leichter verständlichen Fußballspiel werden jedoch ebenfalls schnell die Grenzen der Änderungsmöglichkeiten der Spielregeln sichtbar. Wer genau hinsieht, erkennt, dass nur minimale Details veränderbar sind. Bereits die von der Werbebranche geforderte Änderung der Spielzeiten (2 Hälften) in sagen wir 4 mit 3 Werbepausen dazwischen, dürfte vermutlich scheitern, weil die Zuschauer das nicht akzeptieren. Oder die Vergrößerung der Spielfläche - sagen wir um 10 Meter in jede Richtung, dürfte an den immensen Investitionen in die bisherigen Stadien scheitern. Oder die Änderung der Form des Spielfeldes - sagen wir von dem klassischen Rechteck zu einem Sechseck mit drei Toren und drei gleichzeitig spielenden Mannschaften. Vermutlich dürfte bereits die kleine Regeländerung scheitern, dass zukünftig alle Fußballer auch ihre Hände verwenden dürfen. Dann wäre es nämlich ein anderes Spiel (Handball).
- Sie erkennen es selbst: Einmal etablierte Spielregeln sind in zentralen Punkten sehr schwer zu verändern. - Exakt so ist es im seit Jahrzehnten gewachsenen Internet. Deshalb baut man lieber etwas Halbgares oben drauf (z.B. HTTPS), als die Grundlagen zu erschüttern.
- Man kann heute identische Lebewesen Klonen. Aber nach ein paar Jahren Entwicklung sind sie kaum mehr umerziehbar. Jeder, der eigene Kinder hat, weiß das. Mit IT-Systemen ist es ähnlich: Gewachsene Systeme sind langlebig.
- Es bleibt somit dabei: Wer die Spielregeln am besten versteht, beherrscht das Internet - und zwar von unten.