Security Nightmares auf dem 26C3: dunkle Wolken über Cloud Computing

Kurz vor Ende des Chaos Communication Congress packten CCC-Vertreter wieder ihre mit viel Hackerironie geschärfte Glaskugel aus und gaben einen Ausblick auf 2010 erwartete "Sicherheits-Albträume".

Lesezeit: 3 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 88 Beiträge
Von
  • Stefan Krempl

Kurz vor Ende des 26. Chaos Communication Congress (26C3) packten Vertreter des Chaos Computer Clubs (CCC) am gestrigen Mittwoch in Berlin wieder ihre mit viel Hackerironie geschärfte Glaskugel aus und gaben einen Ausblick auf 2010 erwartete "Sicherheits-Albträume". An erster Stelle stand dabei das von ihnen als "Cloudy Computing" bezeichnete Abwandern von Rechenkraft und Computerdienstleistungen ins Internet und auf weltweit verteilte Server-Farmen, das die Netzbürger im kommenden Jahr "einholen" werde. Gängige Hackerangriffe, Cracking und die Kontrolle von Botnetzen werde direkt aus der Cloud erfolgen, meinte der frühere CCC-Sprecher "Ron". Der Sicherheitsexperte "Fefe" bezeichnete die ferngesteuerten Gruppen von Computer-Schädlingen und das Cloud Computing gar als "konvergierende Technologien".

CCC-Veteran Frank Rieger warnte vor funktionierenden "Hypervisor-Rootkits" in den Rechnerwolken. Wenn man die zwischen den virtualisierten Maschinen aufgebauten Grenzzäune durchbreche, könne man "in anderer Leute Computer gucken". Entsprechende Hacks seien zwar "nicht ganz trivial". Es würden sich aber "die Gerüchte verdichten, dass hier einiges passiert". Auch seien die System-Grundeinstellungen häufig schlecht konfiguriert. Ron sah dabei zudem neue Entwicklungen: So könne man die Verantwortung für einen Hack auf die Cloud schieben oder sich beim Anklopfen an eine Firewall hinter Kennungen großer Anbieter wie Google verbergen.

Generell prophezeite der Hamburger, dass eifrige Surfer im kommenden Jahr einen "Lifestyle-Berater" fürs politisch korrekte Online-Suchen bräuchten. Derzeit gebe es keine "ehrlichere" Kommunikation auf dem Planeten als die "zwischen dem Mensch und seiner Suchmaschine". Da man eine "ehrliche" Antwort wolle, gebe man möglichst viel Kontext preis. Doch man müsse auch die Frage aufwerfen, was dies für das Wissen von Google über die Nutzer bedeute. Um zumindest nicht aufzufallen und keine zu großen statistischen Abweichungen zu erzeugen, empfehle es sich daher, "ab und an in die 'Google Trends' zu gucken" und hin und wieder etwa nach "Britney Spears" zu suchen.

Als weitere kommende Berufsfelder machte Rieger "Beobachtungsbehinderungsberater" etwa zur Abwehr von Google-Street-View-Kamerawagen, "Account-Betreuer" für die Verwaltung zunehmender E-Mail-Adressen oder Nachrichtenströme aus Blogs und sozialen Netzwerken, "Flashmobvermieter" zur Beeinflussung der öffentlichen Meinung sowie "Botnetzbekämpfungsbundesbetreuer" aus. Mit dem letzten Wortungetüm belächelte der Hacker die überraschende Ankündigung von Bundesregierung und dem Providerverband eco, eine Hotline zur PC-Schädlingsbekämpfung einzurichten. Fefe unkte, dass man die Einladung zur Abladung sämtlicher Computerprobleme der Nutzer über eine eventuell gar noch kostenlose Telefonnummer höchstens als Beitrag zur Debatte über die Vollbeschäftigung betrachten könne.

Nach zahlreichen erneuten "Datenverbrechen" im auslaufenden Jahr und dem weiteren Wachstum von sozialen Netzwerken, aus denen "alles irgendwann wegkommen oder gegen einen verwendet" werde, hielt Ron ein Plädoyer für "Datenhygiene 2.0" im kommenden Jahr. Dabei müsse man das Rad nicht neu erfinden. Vielmehr gelte es, die aus der Offline-Welt abgeleitete Ansage "ungeschützter Datenverkehr mit oft wechselnden Partnern ist gefährlich" zu beachten. Rieger freute sich zudem, dass den Hackern pünktlich für die kommende Jahreskonferenz im November der elektronische Personalausweis "geliefert" werden solle. Ron ergänzte, dass das bereits ausgegebene Pendant aus England den britischen Humor herausgefordert habe: Einem Sicherheitstester sei es gelungen, auf dem eingebauten Chip einfach ein paar Parameter zu ändern und der Karte den gewagten Spruch "I'm a terrorist, shoot me on site" gleichsam einzubrennen.

Weiter machte Rieger einen wachsenden Zielkonflikt zwischen Umwelt- und Datenschutz aus, der mit den ab 2010 zu bekommenden intelligenten Stromzählern beginne und mit neuen Möglichkeiten für das Veranstalten von "Blinkenlights" in ganzen Stadteilen weitergehen könnte. Dass man die Auswirkungen des Anschaltens einzelner Stromfresser auf den Energieverbrauch im Haushalt fast live verfolgen können solle, sei eine Idee mit vielen potenziellen Nebenfolgen (siehe dazu den Artikel "Das Strom-Netz" in der kommenden Ausgabe 2/2010 von c't).

Nicht fehlen durfte in der Sitzung der Rückblick auf in Vorjahren prognostizierten und nun mehr oder weniger eingetretenen Sicherheitsdebakel. In der Kategorie "Super Worms" habe sich hier wieder einiges getan, berichtete Ron. So habe Conficker mittlerweile neun Millionen Domains verseucht und beim Nachladen seine Frequenz von 250 infizierten Rechnern pro Tag auf 50.000 gesteigert. Bei anderem programmierten Schädlingsgetier haben sich deren Entwickler und Antiviren-Firmen laut Rieger dank schlechter Verschlüsselung auf Updatezyklen von einer Woche eingependelt. Im Rahmen dieser arbeitsteiligen Symbiose bleibe den Cybergangstern genügend Zeit, ihr Unwesen zu treiben, während die andere Seite regelmäßig ihre Aktualisierungen verkaufen könne. Ron rechnete ferner vor, dass es in diesem Jahr zweieinhalbmal mehr Viren gegeben habe als 2008 und fünf Prozent von Unternehmens-PCs Drohnen von Botnetzen darstellten.

Nicht ohne Genugtuung stellten die Hacker zudem fest, dass 2009 die elektronische Gesundheitskarte "verröchelt" sei und sich E-Government verstärkt in seinen ambitionierten Ansätzen selbst aufgelöst habe. Auch dass US-amerikanische Predator-Drohnen nun als Videospiele für Erwachsene zu gebrauchen seien, sei nicht wirklich überraschend gewesen. Als Grund für die unverschlüsselte Übertragung des Video-Downstreams sei von Militärkreisen angegeben worden, dass es bei der Vielzahl der offiziellen Empfänger der Überwachungsbilder mit dem Schlüsselmanagement gehapert habe. Der Verkehr auf dem Kontrollkanal zur Steuerung der unbemannten Flugobjekte sei aber kryptographisch abgesichert. (jk)