Archiv

33. Chaos Communication Congress
"Massive Kritik am aktuellen Zustand von IT-Systemen"

Apps sollen gut aussehen und Geld einbringen. Ob sie wirklich sicher sind, sei den Entwicklern oft egal, kritisieren die Teilnehmer des aktuellen Chaos Communication Congresses in Hamburg. Bei Banking-Apps sei diese Entwicklung besonders gefährlich, berichtet Wissenschaftsjournalist Manfred Kloiber im DLF.

Manfred Kloiber im Gespräch mit Ralf Krauter |
    Ein Kongressbesucher arbeitet am 27.12.2016 in Hamburg beim Chaos Communication Congress (CCC) mit einem Lötkolben an einem Computerbauteil.
    Beim 33. Chaos Communication Congress wird kritisiert, dass viele IT-Systeme nur unter wirtschaftlichen Aspekten entwickelt werden. (dpa / picture-alliance / Axel Heimken)
    Ralf Krauter: Der Chaos Communication Congress steht in diesem Jahr unter dem Motto "Works for me" – was meinen die Hacker damit?
    Manfred Kloiber: Na ja, da ist schon ein bisschen ironisch gemeint. Works for me ist ein Spruch unter IT-Experten und er meint so ungefähr 'Was kümmert mich dein Problem, bei mir läuft doch alles.' Dahinter steckt natürlich eine ganz massive Kritik nicht nur an dem aktuellen Zustand des Internets und von IT-Systemen –nämlich dass Schwachstellen und massive Sicherheitslücken nicht richtig wahrgenommen und systematisch geschlossen werden – sondern dahinter steckt auch eine massive Kritik am Zustand der gesamten Republik, die mit ihren großen Problemen wie der Flüchtlingsproblematik oder dem zunehmenden Konflikt zwischen Freiheit und Sicherheit in den Augen vieler Hacker nicht offen und ehrlich umgeht. Für den CCC steht vieles einfach auf dem Kopf in unserer Gesellschaft.
    "Viele Systeme werden nur unter wirtschaftlichen Aspekten entwickelt"
    Krauter: Wenn man diese Kritik mal etwas enger auf die Probleme von IT-Systemen bezieht, was meinen denn die Hacker genau mit ihrer Kritik?
    Kloiber: Sie bemängeln ganz konkret, dass nach wie vor viele Systeme nur unter wirtschaftlichen Aspekten entwickelt werden und es etliche Entwicklern völlig egal ist, ob die Anwendung wirklich sicher ist, ob sie nur das tut, was sie tun soll und den Menschen wirklich hilft. In der Smartphone-App-Entwicklung beispielsweise zählt heute oft nur noch die sogenannte User-Experience – also das Erleben des Users. Die App muss gut aussehen, sie muss intuitiv sein und ein unmittelbares, positives Feedback an die User geben, damit sie Geld abwirft.
    Agiles Programmieren nennt sich die Methodik, mit der solche Anwendungen hergestellt werden – einige sagen schnell und schmutzig. Das wäre ja alles unkritisch, solange es um belanglose Unterhaltungs-Software geht. Aber – das Smartphone ist nun mal zum wichtigsten Gegenstand vieler Menschen geworden. Und wenn Banking-Apps eben genau so programmiert werden – dann wird es kritisch.
    Krauter: Sicherheitslücken in Bankings-Apps die stehen ja gleich auch auf dem Programm:
    Kloiber: Genau, und zwar unter dem schönen Titel "Shut up and take my money" – auf Deutsch: Halt’s Maul und nimm mein Geld. Ein Wissenschaftler von der Universität Erlangen-Nürnberg will dann dem Publikum demonstrieren, wie man mit der Banking-App einer sogenannten Start-Up-Bank eben jede Menge Schindluder treiben und sie für unberechtigte Transaktionen benutzen kann.
    Viel mehr ist bislang noch nicht bekannt geworden über die Sicherheitslücke – aber in Interviews und in der Kongress-Ankündigung lässt der Hacker uns wissen, dass es um Sicherheitslücken gehe, die nur deshalb entstünden, weil sich die verantwortlichen Manager schlicht für Sicherheit nicht interessieren.
    "Diese Doppelmoral ärgert die Hacker"
    Krauter: Mit dieser Kritik erklärt sich ja auch ein Hacker die massiven Probleme, die in einem weltweiten Flugbuchungssystem von ihm aufgedeckt wurden.
    Kloiber: Das stimmt, und wenn man sich ansieht, wie dieser Angriff abläuft dann, muss man sagen, er hat recht. Denn bei dem Angriff ging es einfach darum, eine Flugbuchung von einem Fremden mithilfe des sechsstelligen Buchungscodes aufzurufen und zu verändern. Dabei hat das Team um Karsten Nohl festgestellt, dass man einfach herumprobieren und beliebig viele Versuche unternehmen kann, um Codes auszuprobieren, bis sie passen. Die Codes werden auch noch nach gewissen Gesetzmäßigkeiten erzeugt, sodass die Möglichkeiten für den Code auch noch schrumpfen.
    Diese Methode, einfach auszuprobieren, bis man auf das Ticket zugreifen kann, ist uralt und eigentlich dürfte es sie nicht mehr geben. Aber es gibt sie, weil sich scheinbar niemand drum kümmert. Oder vielleicht auch nur deshalb, weil der Schaden kleiner ist, als die Kosten für die Beseitigung der Sicherheitslücke. Diese Doppelmoral ärgert die Hacker regelrecht.
    Krauter: Harsche Kritik äußern die Hacker ja auch an der Videoüberwachung.
    Kloiber: CCC-Sprecher Linus Neumann ist damit gestern an die Öffentlichkeit gegangen. Er zum Beispiel meint, mit der Forderung nach mehr Videoüberwachung würde nur vom Versagen der Ermittlungsbehörden abgelenkt werden. Die Videoüberwachung hätte den Anschlag in Berlin nicht verhindern können. Aber die Vollüberwachung der Bevölkerung würde damit möglich werden.
    Und ein anderer Sprecher befürchtet, dass Überwachungsmethoden, die jetzt noch in rechtsstaatlicher Hand sind, schon morgen auch in Deutschland in die Hand von autoritären Regierungen fallen könnten, die damit dann unliebsame Meinungen unterdrücken würden. Und eine einmal installierte Videokamera würde so schnell nicht mehr deinstalliert werden.