13.04.2017

Die Cyberwehr - Leserbrief

In letzter Zeit wird die Vorsilbe "cyber" immer wieder ge- und mißbraucht. Niemand weiß so richtig, was damit ausgedrückt werden soll. Erfunden hat diesen Begriff William Gibson für seine Bücher über virtuelle Realitäten und hat damit Kinofilme wie "Matrix" inspiriert. Echte Programmierer(tm) machen sich seit langem über diesen Begriff lustig und verwenden ihn mittlerweile massiv satirisch überzeichnet selbst für reale Ereignisse ("hacker terror cyber cyber") oder als Hinweis auf überschießende politische oder mediale Berichterstattung.

In letzter Zeit wird dieser Begriff immer mehr verwendet, wenn der Autor keine Ahnung von Computern hat, aber trotzdem modern wirken will. Leider schließt sich die Wetterauer Zeitung diesem Trend an und veröffentlicht Glossen über die geplante Bundeswehrtruppe zur digitalen Kampfführung und Abwehr, die etwas spöttisch als "Cyberwehr" bezeichnet wird. Ich habe meine Zweifel, dass daraus irgend etwas werden wird.
Leserbrief zu Glossen Hr. Junginger, 06.04.17, und Fr. Spiller, 12.04.17

Fr. Spiller macht sich lustig und packt alle Vorurteile über Computerspezialisten aus, die ihr einfallen. Leider ist kein einziges davon witzig oder auch nur ansatzweise in der Lage, das Thema zu streifen. Im Gegenteil sorgt Fr. Spiller mit ihren hämischen Bemerkungen dafür, dass sich die Vorurteile über "Nerds" weiter verfestigen. Hr. Junginger zitiert ominöse "Experten", die angeblich seit Jahren vor den Gefahren des Internets warnen. Leider liefert er keinerlei Belege, welche Experten welche Gefahren befürchten.

"Hacker dringen in Atomkraftwerk ein", befürchtet Hr. Junginger. Und dagegen soll uns die neue Cybertruppe der Bundeswehr schützen? Wie wäre es, wenn man ganz einfach die kritische Infrastruktur nicht ans öffentliche Internet anschließt? Oder wenn man es doch tut – warum auch immer – dann wenigstens richtig Geld für Fachleute in die Hand nimmt, um eine solche Verbindung abzusichern? Dazu braucht es keine Bundeswehr - das BSI hat eigentlich schon genug Empfehlungen auf Lager. Man sollte nur anfangen, sie fachkundig umzusetzen.

Die "Gefahren" im Internet entstehen nach meiner Meinung gerade und hauptsächlich durch die "nation-grade attackers", also die staatlich gut finanzierten Hacker der Geheimdienste und Behörden, die den Markt für unveröffentlichte Sicherheitslücken befeuern, indem sie Umsummen zahlen, die Hersteller aber nicht informieren. Dadurch wird die Zivilgesellschaft als Ganzes unsicherer. Das FBI zog kürzlich sogar eine Anklage gegen einen mutmaßlichen Pädophilen zurück, um nicht vor Gericht das Abhörwerkzeug offenlegen zu müssen. An diesem Beispiel sieht man besonders krass, dass es definitiv nicht um den Schutz der Gesellschaft vor Verbrechern und Hackern geht, sondern um Macht und darum, sie nicht aufzugeben.

Aber hauptsächlich das Geld ist das Problem. Die Industrie zahlt vernünftige Gehälter für gute Leute. Die "Cyberwehr" bezahlt vermutlich stur nach Bundesbesoldungsordnung, für einen Leutnant also A9 mit ca. 2.800 € brutto pro Monat. Das ist vergleichbar mit einem Lehrer. Das Anfangsgehalt in der Industrie für einen Informatiker direkt nach Ende des Studiums liegt bei ca. 4.000 € mit extrem guten Entwicklungsmöglichkeiten.

Seit kurzem wird es auch immer moderner, Alltagsgegenstände mit Internetanschluss zu versehen, vom Kühlschrank über Stromzähler bis hin zu Fernsehern, Autos und Vibratoren (kein Scherz!). Diese Geräte werden unter massivem Kostendruck produziert und der Hersteller kümmert sich nach der Markteinführung nicht mehr um Software-Updates. Hier ist die Gesetzgebung gefragt, den Firmen eine Pflicht zu Updates oder ein einprogrammiertes Verfallsdatum aufzugeben, um unsichere Produkte zu verhindern. Die Selbstregulierung funktioniert nicht. Die meisten Konsumenten wollen das billigste Gerät kaufen und verstehen die Notwendigkeit von Software-Updates nicht. Die Hersteller in China kümmern sich nicht um Sicherheitslücken, weil sie keinerlei Nachteile zu befürchten haben oder diese Lücken sogar gewollt oder geduldet werden. Wenn hier der Gesetzgeber nicht eingreift, wird das Desaster noch eine Größenordnung schlimmer als bei den billigen Android-Smartphones ohne Updatemöglichkeit.

Ursprünglich wurde das Internet dezentral entworfen, um einen Atomkrieg zu überstehen. Aber jedes Netz hat Kapazitätsgrenzen, und wenn jetzt mit Macht Milliarden Geräte der Kategorie "Internet of Things" auf den Markt kommen, wird das Internet demnächst von intelligenten Toastern zerstört, die jemand gehackt hat. Aber bei alldem hilft uns keine unterbezahlte Cyberwehr, die freitags um 14.00 Uhr nach Hause geht. Hier hilft nur ein Paradigmenwechsel in der gesamten Software-Industrie hin zum "Security by Design" mit rigorosen Tests und Zulassungsvorschriften inklusive Zwang zur Update-Garantie. Und da muss die Gesetzgebung schneller werden. Eine unterbezahlte Cyberwehr ist nicht die Lösung, sondern nur zielloses Herumdoktern an den Symptomen.