Beim Lesen von Heise-Online komme ich ins Grübeln. Wenn die Geheimdienste jedes System angreifen, dessen sie habhaft werden können (nichts anderes erwartete ich von ihnen), um diese Systeme in ein Netzwerk zur Verschleierung ihrer Angreifer zu nutzen, dann entsteht daraus ein zivilrechtliches Problem: Jeder – wirklich jeder – der ein digitales Gerät sein Eigen nennt, welches in der Lage ist, mit dem Internet zu kommunizieren, könnte in illegale Machenschaften verwickelt werden, ohne dass er davon überhaupt etwas weiß.

Die Geheimdienste bedienen sich der Industriespionage, der Sabotage, der Diskreditierung von Aktivisten, Politikern und unliebsamen Wissenschaftlern, in dem ihnen illegales Material untergeschoben werden kann… und irgendwie muss ein solcher Angriff ja sein Zielobjekt erreichen? Genau: Er wird über diese hübsch verteilten ORBs geleitet, damit die wahre Position des Angreifers nicht festgestellt werden kann.

Statt dessen kann der Angriff dann womöglich auf einen unbeteiligten zurückgeführt werden? Wenn also demnächst bei Oma Erna, die das Internet nur nutzt, um per Skype mit ihrer Enkelin zu reden, die im Ausland studiert, eine Hausdurchsuchung stattfindet, weil ihr System für Industriespionage benutzt wurde, Ausgangspunkt eines DDoS-Angriffs war, die innere Sicherheit durch einen Zugriff auf Regierungssysteme gefährdete oder zur Verbreitung von Kinderpornografie verwendet wurde, würde mich das nicht im Geringsten wundern. Dann gehörte ihr Endgerät leider zum ORB-Netzwerk. Tja, schade.

Letztendlich heißt das nichts anderes, als dass wir alle zu unfreiwilligen Helfern bei illegalen Machenschaften werden.

Jeder von uns könnte damit rein zufällig als „Vermittler“ für einen Angriff auf ein Geheimdienstziel den Kopf hinhalten müssen. Die Argumentation, man selbst wär’s nicht gewesen, dürfte kaum aus der Patsche helfen, denn die illegalen Machenschaften gingen ja vom eigenen Rechner, Smartphone oder Tablet aus. Hinterlässt man dann die passenden Spuren (was ich voraussetze, denn schließlich möchte man ja den Angriff verschleiern – also so tun, als wär’s jemand anders gewesen), dann kann man das ORB-System auch so aussehen lassen, als wäre es wirklich das schuldige. Da fällt es dann schwer zu argumentieren, man wäre nicht derjenige gewesen, der den Hack auf einen Industrieserver durchgeführt hat, wenn auf dem eigenen Rechner dann auch noch die passende Software für einen solchen Angriff gefunden wird. „Ich weiß aucht nicht, wie die da hin kommt?!?“ wird dann vermutlich nicht als gerichtsfeste Argumentation gelten. Und da hier Zero-Day-Lücken ausgenutzt werden, kann man auch so viel patchen wie man will – man hat im Grunde keine Chance nicht zufällig als Mittäter und potenzielles Bauernofper dazustehen.

Politische Lösungen sind, wie man an der Untätigkeit der Bundesregierung sehen kann, offenbar gar nicht gewollt.

Möchte jemand Computer, Festplatten und Co. kaufen? Ich glaub, ich zieh in eine einsame Berghütte.

Tagged with:  

Portscans

On 1. Juni 2014, in Persönliches, by Ingo

Interessant, was einem so eine Software-Firewall so anzeigen kann. Unter anderem geblockte Portscans. Ich habe mir mal den Spaß gemacht, den zurück zu verfolgen. Das Ergebnis ist erstaunlich:

Portscan

Also irgendwo in Saudi-Arabien. Gestern auch schon – aber aus einem anderen Ort und die letzten beiden Nodes waren nicht unbedingt sicher. Jetzt habe ich sogar eine direkte Adresse. Mhm… Hat jemand eine Idee, was da sein könnte? 😉

Tagged with:  

In seiner Eröffnungsrede zum 30C3 sagte Tim Pritlove, dass das Internet neu erfunden werden müsste. Die Hacker hätten das Netz so geschaffen, wie es jetzt ist, aber ihre grundlegenden Prinzipien, Vertrauen und Freundschaft, hätten nicht ausgereicht. Nun, hier liegt ein Denkfehler vor, der genauer zu beleuchten gilt. Schließlich will ich versuchen, ein Teil der Lösung zu sein.

Meiner Ansicht nach liegen gleich zwei Irrtümer vor. Der erste: Vertrauen und Freundschaft würden nicht ausreichen, um ein menschenfreundliches Netz zu schaffen. Und der zweite: Es gibt eine technische Lösung für das Problem.

Beide Irrtümer hängen allerdings eng miteinander zusammen. Das fehlende Vertrauen ineinander macht Überwachung überhaupt erst möglich. Selbst wenn im Hintergrund gänzlich andere Interessen stehen (wie z. B. das Streben nach Macht und wirtschaftlichen Vorteilen), so ist es doch die Angst, mit der große Teile der heute vorhandenen Überwachungsmaßnahmen legitimiert wurden. Die Angst war schon immer eine gute (Be-)Herrscherin aber eine schlechte Ratgeberin. Nachdem uns ein Jahrzehnt lang Furcht vor dramatischen Terroranschlägen gemacht und Stück für Stück immer mehr Privatsphäre reduziert wurde, lassen wir uns von unserer Angst beherrschen. An dieser Stelle sei erklärt: Furcht und Angst sind zwei Seiten der gleichen Medaille. Furcht richtet sich gezielt auf etwa – nämlich den Terroranschlägen, mit denen die Einschränkungen der Privatsphäre gerechtfertigt werden. Angst ist dagegen diffus und nicht so einfach greifbar. Sie schwelt im Hintergrund, richtet sich nicht auf ein bestimmtes Etwas, sondern bleibt ungreifbar und damit nicht rational zu besiegen.

Diese Angst führt dazu, dass unser Vertrauen unterminiert wird. Ob bewusst oder unbewusst: Die ständige mediale Aufmerksamkeit für Dinge, die nur unserer Sicherheit dienen sollen und die uns vor grausamen Anschlägen schützen wollen, vergiftet unser Vertrauen ineinander massiv.

Und genau hier ist der Kern des Problems: Menschen, die einander vertrauen, müssen sich nicht kontrollieren.

Das führt dann auch direkt zu Problem Nummer zwei: Freundschaft basiert auf Vertrauen. Wird das aber durch gezielte Furcht angegriffen, kann das auch die stärkste Freundschaft erschüttern.

Richtige Fragen stellen

Das Netz muss nicht neu erfunden werden. Es funktioniert prächtig. „Wie lässt sich das technisch lösen?“ ist damit einfach die falsche Frage. Es braucht keine technische Lösung, denn die Technik ist nicht das Problem. Es braucht eine gesellschafliche, eine politische Lösung. An dieser Stelle, so denke ich, müssen wir einfach alle zusammenarbeiten und gemeinsam über das Problem nachdenken. Nicht darüber, wie man Überwachung technisch verhindern kann, sondern darüber, wie man sie gesellschaftlich überflüssig macht.

Die bessere Frage ist also: Wie lernen wir, einander wieder zu vertrauen? Denn nur ohne Angst und dafür mit gegenseitigem Vertrauen können wir den Überwachenden die gesellschaftliche Toleranz entziehen.

Worauf ich hinaus will, ist, dass es für das Geheimdienstproblem keine technische Lösung gibt. Es muss eine gesellschaftliche und politische Lösung gefunden werden. Überwachung als solche bedarf einer weitgehenden moralischen Ächtung. Und dazu braucht es eine großflächige Zusammenarbeit zwischen Hackern und Philosophen. Wir haben schließlich viel mehr gemeinsam, als beiden Seiten bewusst ist. Schließlich verstehen wir uns auf formale Sprachen und angewandte Logik. Und wir nehmen Dinge (Argumente, Software, Technik), spielen ein wenig damit herum und setzen sie in einen neuen Kontext.

Wir müssen also nicht die Technik neu erfinden, sondern die Gesellschaft revolutionieren. Wenn das Netz auf den Prinzipien von Vertrauen und Freundschaft aufgebaut wurde, dann ist es spätestens jetzt an der Zeit, auch eine Gesellschaft auf Vertrauen und Freundschaft aufzubauen. Eine Gesellschaft, in der auf Misstrauen, Hass und Gewalt verzichtet werden kann. Klingt utopisch? Nicht utopischer als vor dreißig Jahren etwas wie ein iPad geklungen hätte.

Tagged with:  

Vor einer Weile wurde das Tallinn-Manual der NATO veröffentlicht, in dem es hieß, dass Hacker, die sich an Kampfhandlungen beteiligen als legitime Angriffsziele gelten und getötet werden dürfen. Das hat offenbar für einigen Wirbel gesorgt, da nun viele Hacker um ihr Leben fürchten, sollte es mal zu einem irgendwie gearteten Konflikt kommen. Zu Unrecht, wie ich finde, denn diese Furcht basiert auf dem einen oder anderen groben Missverständnis. Ich will versuchen das in verständlichen Worten zu erklären.

Von gerechten Kriegen und ihren Teilnehmern
In der Philosophie gibt es verschiedene Arten, den Krieg zu betrachten. Eine über Jahrhunderte verbreitete Art, war die Weiterentwicklung der „Theorie des gerechten Krieges“. Hier mag der eine oder andere schon stocken und sagen: „Moment! Kriege sind nie gerecht! Es kommt immer zu Missetaten und brutaler Eskalation von Gewalt!“ Das ist grundsätzlich die erste Intuition, die die Leute trifft, wenn sie von „gerechten Kriegen“ hören. Es geht in der besagten Theorie aber nicht (zumindest nicht primär) um „Gerechtigkeit“ sondern um „Rechtfertigung“. Wie schon erwähnt, sind die Gedanken zum gerechten Krieg nicht neu – vielmehr gehen sie auf alte Kirchenväter wie Augustinus und Tomas von Aquin zurück (ja, genau – wir reden hier vom Mittelalter) und wurden im Laufe der Zeit immer weiter entwickelt. Wichtig zu bedenken ist, dass in der gesamten Theorie nur von Städten, später Ländern und dann Staaten die Rede ist. Asymmetrische Kriege, wie wir sie heute kennen, können mit der Theorie nur schwerlich bedacht werden und genau das ist eins der Probleme – aber dazu später.

Was braucht es nun, um einen gerechten Krieg zu führen? Nun, zum einen gibt es zwei verschiedene Rechte, die betrachtet werden müssen, nämlich das ius ad bello und das ius in bellum (also das Recht Krieg zu führen und das Recht im Krieg, denn entgegen dem Sprichwort schweigen die Gesetze im Krieg nicht – zumindest die moralischen).

1. Um einen Krieg einzuleiten braucht es zunächst eine legitime Autorität, die diesen Krieg erklären darf. Das kann ein Stammesoberhaupt, ein König oder ein demokratisch gewählter Herrscher sein. Wichtig ist, dass die kriegserklärende Autorität als Repräsentant des Landes/Staates da steht, welches den Krieg erklärt.

2. Als Nächstes braucht es einen grechten Grund, um Krieg führen zu dürfen. Als solcher Grund wird gemeinhin ein Vorfall angesehen, der durch keine andere Möglichkeit aus der Welt geschafft werden kann. Klassisches Beispiel: Bürger aus Land A laufen über die Grenze in Land B und vertreiben dessen Bürger von ihren Grundstücken, um sie sie in Besitz zu nehmen. Land B verlangt von Land A, dass das aufhört und verlangt Entschädigungen dafür. Seitens Land A erfolgt nun aber keine oder eine abschlägige Reaktion und da es keinen übergeordneten Gerichtshof gibt, um eine rechtliche Streitigkeit zwischen zwei Ländern zu bereinigen (denn Staaten und Länder genießen Autonomie, es gibt keine Instanz über ihnen, solange sie nicht freiwillig ihre Autonomie teilweise aufgeben – was dann zur kantischen Weltrepublik führen würde), ist Krieg ein legitimes Mittel um diese Streitigkeit zu beseitigen.

3. Wenn die ersten beiden Punkte zutreffen, muss es noch eine gerechte Absicht geben, mit der der Krieg geführt wird. Eine gerecht Absicht liegt dann vor, wenn es ein Übel gibt, das aus der Welt geschafft werden soll (nämlich der in Punkt 2 entstandene Schaden) und das Gute befördert werden. Allein die Bezeichnungen „Gut“ und „Übel“ machen schon die christlich-moralische Herkunft der Theorie klar – aber sie lassen sich auch durchaus in einem modernen, moralischen Kontext anwenden, sodass wir uns daran nicht weiter stören brauchen. Wie auch immer: Es muss durch den Krieg etwas Gutes entstehen – allein das Übel aus der Welt zu schaffen reicht nicht aus.

4. Wenn die Liste bis hier hin abgehakt ist, ist die Frage: Gibt es vielleicht eine ander Möglichkeit, um das Problem aus der Welt zu schaffen? Sind wirklich alle Möglichkeiten durchgespielt worden? Haben die Politiker wirklich alles bedacht? Der Krieg darf nur das letzte Mittel sein, um das Unrecht zu beseitigen. Wenn es wirklich keine andere Möglichkeit gibt… naja, dann: Feuer frei!

5. Allerdings muss bei der Kriegshandlung immer im Blick bleiben, dass es auf einen Frieden hinauslaufen muss. Einfach so einen Krieg führen, um ein Land zu erobern und das eigene Territorium zu vergrößern gehört also nicht dazu: Da ist dann nämlich niemand mehr übrig, mit dem sich Frieden schließen ließe (und ein gerechter Grund wäre es vermutlich auch nicht). Im Grunde muss schon bevor es überhaupt losgeht klar sein, dass es irgendwann endet. Eine unendlich lange Kriegsführung, wie es ebenfalls bei den asymmetrischen Kriegen der Neuzeit der Fall ist, die nur um ihrer selbst willen geführt werden, darf also zu Beginn der Kampfhandlungen nicht in Betracht gezogen werden.

6. Wenn auf eine Streitigkeit zwischen zwei Staaten mit Krieg reagiert wird, dann muss darauf geachtet werden, dass diese Reaktion auch wirklich angemessen ist. Angenommen Bürger aus Land A siedeln sich einfach so in Land B an – und Land B unternimmt nichts dagegen, um das zu ändern. Es wäre wohl oder übel übertrieben, wenn Land A gegenüber Land B gleich den Krieg erklärt. Die angemessenere Reaktion wäre, die Siedler schlicht und ergreifend wieder zu vertreiben. Es muss also bedacht werden, ob die Reaktion mit Krieg wirklich verhältnismäßig ist.

Es lässt sich nun vortrefflich darüber streiten, ob alle Punkte oder nur ein paar erfüllt werden müssen – aber darauf kommt es für die Betrachtung hier jetzt auch gar nicht an.

Der andere – hier interessantere – Teil der Theorie des gerechten Krieges ist das ius in bellum, also das Recht, im Krieg. Dabei geht es vor allem um zwei Punkte: Die im Krieg angewandten Mittel müssen verhältnismäßig sein und es muss zwischen Soldaten und Zivilisten unterschieden werden.

Das heißt: Wenn sich in einem Dorf, in dem 200 Menschen leben, drei Soldaten versteckt halten, dann ist es grob unverhältnismäßig, das Dorf zu bombardieren. Ebenso dürfen Zivilisten niemals als aktives Ziel ausgewählt werden, um beispielsweise den Feind zu demoralisieren. Wenn nun also ein Staat hergeht und wahllos eine Stadt des Feindes bombardiert um seinen Kampfeswillen zu brechen, dann ist das unrecht – ja geradezu ein terroristischer Akt. Aber: Es gibt durchaus die Möglichkeit, Zivlisten anzugreifen, nämlich dann, wenn sie an Kriegshandlungen beteiligt sind. Und genau hier setzt unser Problem an.

Der Hacker als Kombattant

Im internationalen Völkerrecht, zu dem auch das Kriegsrecht in Form der Genfer Konvention oder der Haager Landkriegsordnung zählt, gibt es zahlreiche Möglichkeiten, wie sich Menschen an bewaffneten Konflikten beteiligen können. Die Rede von „bewaffneten Konflikten“ ist heutzutage viel korrekter, denn es wurden schon lange kein echter Krieg mehr erklärt. Wie dem auch sei: Neben echten Soldaten (regulären Truppen), gibt es auch noch Guerilla-Kämpfer, Widerstandskämpfer, Aufständische, Terroristen und vieles andere mehr (irreguläre Truppen). Und: Es gibt Zivilisten, die sich an Kampfhandlungen beteiligen!

Wenn sich nun also ein Zivilist an Kampfhandlungen beteiligt, dann gilt für ihn der Kombattanten-Status und darf angegriffen werden. Er wird vom Schutz vor tödlicher Verletzung von diesem Moment an ausgenommen. An dieser Stelle sollte ich mit einem weit verbreiteten Mythos aufräumen: Soldaten haben kein Recht zu töten. Im Gegenteil: Die Tötung eines gegnerischen Kämpfers gilt als letztes Mittel innerhalb eines bewaffneten Konflikts. Prinzipiell gilt, dass ein Angreifer mit Gewalt zu stoppen ist. Für die Soldaten gilt also, dass sie vom „Schutz vor tödlicher Gewalt“ ausgenommen sind und für an Kampfhandlungen beteiligte Zivilisten gilt das Gleiche.

Aber Moment: Wann beteiligt sich ein Zivilist an Kampfhandlungen? Nun ja, nehmen wir folgendes Beispiel:

Ein Kampfverband marschiert durch ein Feld, um zu einer Position vorzurücken. Ein Ortsansässiger Bauer greift daraufhin zu seiner alten Schrotflinte und will seinen Grund und Boden vor den einmarschierenden Soldaten schützen. In dem Moment, in dem er zu einer scharfen, möglicherweise tötlichen Waffe gegriffen hat und die Absicht verfolgt, die Soldaten anzugreifen, ist er zu einer Gefahrenquelle geworden. Er verliert damit nicht seinen Status als Zivlist, aber den Schutz vor tödlicher Gewalt. Die Soldaten haben das Recht, diese Gefahr abzuwehren. Dabei ist es möglich, dass der Bauer getötet wird. Ich wiederhole nochmals: Die Soldaten haben zu keiner Zeit das Recht den Bauern zu töten. Sie haben lediglich das Recht, die Gefahr, die nunmehr aus einem Zivilisten, für den der Tötungsschutz nicht mehr gilt, auszuschalten.

Dürfen Hacker also innerhalb eines bewaffneten Konfliktes getötet werden?

Ganz klar: Nein! Ein Cyberwar stellt keinen Krieg dar, sondern nur eine Methode der Kriegsführung. Es handelt sich dabei sozusagen um eine Waffengattung. Übertragen wir das Beispiel mit den Soldaten und dem Bauern auf reguläre Truppen und Hacker, wird schnell klar, dass von dem Hacker keine tödliche Gefahr für die Soldaten ausgehen kann. Militärische Cyber-Angriffe dienen zur Störung der Kommandostruktur, dem Ausspähen von Informationen aus feidlichen Netzen und der Unterbrechung von gegnerischen Sensornetzen (Radar, Satellitenüberwachung, Laser-Peilsystemen etc.). Es handelt sich bei Cyber-Waffen somit ganz klar um nicht-tödliche Waffen!

Das heißt im Klartext: Selbst dann, wenn ein ziviler Hacker einen militärischen Hacker mit einer Cyber-Waffe angreift (DDoS), um seinen Server zu schützen, weil der militärische Hacker für seinen Angriff auf ein feindliches Informationsnetzwerk so viel Bandbreite benutzt, dass der zivile Server in Gefahr ist (der Bauer möchte nicht, dass die Soldaten seine Maispflanzen niedertrampeln), werden zu keiner Zeit tödliche Waffen eingesetzt. Der militärische Hacker schwebt nicht in umittelbarer Lebensgefahr. Der zivile Hacker stellt somit keine direkte Gefahrenquelle dar, womit sein Schutz vor tödlicher Gewalt nicht aufgehoben werdend darf.

Einen zivilen Hacker, der sich an Kampfhandlungen beteiligt als legitimes Ziel zu betrachten und ihn vom Schutz vor tödlicher Gewalt auszunehmen verstößt somit in eklatantem Maße gegen das internationale Völkerrecht.

Das ist nun aber auch noch nicht der Weisheit letzter Schluss. Wenn nun ein ziviler Hacker hergeht, und aus reinem Patriotismus sein Land verteidigen will, und die gegnerischen Informationsnetze mit Cyber-Waffen angreift, ändert sich die Sachlage minimal – aber wirklich nur ein wenig. Er ist dann durchaus als Beteiligter an Kampfhandlungen zu werten, aber immer noch nicht zu töten. Warum? Recht einfach: das ius in bellum verbietet es! Einen Angreifer, der nicht-tödliche Waffen einsetzt mit tödlichen Waffen anzugreifen ist schlicht und ergreifend unverhältnismäßig. Ich möchte mich weit aus dem Fenster lehnen: Es ist ein Kriegsverbrechen, einen zivilen Hacker mit tödlichen Waffen anzugreifen. Und die Aussage „Hacker dürfen getötet werden“ ist allein schon deswegen falsch, weil es kein Recht zu töten gibt.

Also liebe Hacker: Ihr schwebt nicht in direkter Lebensgefahr, wenn irgendwo ein Konflikt ausbricht und ihr irgendwie darin verwickelt werdet. Völkerrechtlich sollte gegen dieses Tallinn-Manual aber dringend angegangen werden.

%d Bloggern gefällt das: