2010-02: Sicher bis zum Stillstand
Angriff 1 – Justizministerin legt Justiz lahm
Justizministerin Brigitte Zypries engagiert sich sehr für die Interessen der Musikindustrie. Sie setzte denn auch deren Anspruch durch, Auskunft über die Benutzer von IP-Adressen zu erlangen. Das hehre Ziel: Illegalen Kopierern soll das Handwerk gelegt werden. Doch für Justitia ging der Schuss nach hinten los: Inzwischen liegen allein bei den 28 Kammern des Landgerichts Köln mehrere Zehntausend Zivilklagen gegen Tauschbörsenbenutzer vor. Ein klassischer DoS-Fall, denn bei diesen Gerichten geht in nächster Zeit garantiert „gar nichts mehr“.
Angriff 2 – Notebook blockiert Flughafen
Im Januar „flüchtete“ ein Mann mit verdächtigem Laptop Richtung Gateway – und ward nicht mehr gesehen. Zahlreichen Interpretationen zufolge wollte er nur seinen Flug erwischen. Aber er schaffte es damit, den kompletten Münchner Flughafen auf Stunden lahm zu legen. Ein DoS-Angriff wie aus dem Bilderbuch mit minimalen Mitteln.
Angriff 3 – Information Overflow
Die Attacke des Unterhosenbombers an Weihnachten ist eher einer Kategorie zuzuordnen, die jeder Administrator eines IDS unschwer als „Information overflow“ erkennt. Denn offensichtlich läuft inzwischen eine solche Fülle von Meldungen über „gefährdende Subjekte“ bei den Geheimdiensten ein, dass wichtige Infos untergehen. Terroristen sind gut beraten, noch ein paar Infos mehr zu streuen und damit ihre Geheimdienstgegenspieler wegen Informationsüberflutung gänzlich auszuschalten..
Clevere Terroristen
Clevere Terroristen erreichen also mit Angriffsvarianten der Sorte „Security 2.0“ ihre Ziele weit wirkungsvoller und subtiler als mit den bisher übliche Brachial-Methoden per Sprengstoff und Maschinenpistole – und mit weit weniger Gefahr für Leib und Leben: Dafür sollten sie sich bei unseren sicherheitsfanatischer Politikern und Beamten bedanken: Deren Hyperaktivität mit Eintritt des vermeintlichen Worst Case nämlich, schafft es, die Gesellschaft in kürzester Zeit lahm zu legen. Also, liebe Angreifer: Androhung genügt, Attacke rollt.
Ich als Security Consultant postuliere daher vehement ein weiteres Schutzziel zusätzlich zu denen der Verfügbarkeit, Vertraulichkeit und Integrität: Die „Verfügbarkeit von Recht“, also einer Rechtsprechung, ohne die eine Demokratie nicht funktionieren kann. Leider wird dieses Schutzziel ständig durch schnell installierte Schutzziele anderer Art, der „Verfügbarkeit von Unternehmensgewinnen“ oder der „Beibehaltung eines politischen Amts“ konsequent vereitelt.