MDR Podcastreihe »You are fucked« über Deutschlands erste Cyberkatastrophe im Landkreis Anhalt Bitterfeld

Gütersloh, 28. August 2023

Der Mitteldeutsche Rundfunk (MDR) dokumentiert in einer True Crime Podcastreihe Deutschlands ersten Cyberkatastrophenfall. 210 Tage lang hat sich der Landkreis Anhalt Bitterfeld in Sachsen Anhalt ab Juli 2021 im Katastrophenfall befunden. Anlass war ein Hackerangriff, der die Kreisverwaltung vollständig lahmlegte. Die erste Nachricht der Hacker, die alle Daten der Landkreisverwaltung verschlüsselt hatten, war »You are fucked«. Sie forderten ein Lösegeld in Höhe von 500.000 Euro in der Kryptowährung Monero.

Cyberangriffe auf deutsche Behörden und Unternehmen sind kein Einzelfall. Das Ziel solcher Cyberangriffe ist oft der Zugriff auf Daten oder Erpressung – unter Umständen aber auch einfache Sabotage zum Spaß der Hacker.

Russen, Hacker, Hoodies

Klischeehaft geht man meist von russischen Hackern aus. Die aus irgendeinem Grund offenbar als hochkompetent gelten. Wenn man also hacken würde, wäre es wohl das Sinnvollste, so zu tun, als spräche man Russisch, und russische Namen und Begriffe zu verwenden. Ob wirklich Russen dahinterstecken, weiß kein Mensch. Das kann eine gezielte Irreführung sein, die man gerade solchen Hackern wohl zutrauen muss. Hinzu kommt das Klischee des Hackers (siehe Foto): Mitte 20 oder Mitte 30, Hoodie, dunkle, geheimnisvolle Räume, mehrere Monitore am Rechner – man kennt das aus Hollywoodfilmen. Mutmaßlich ist also genau das Gegenteil der Fall (keine Russen, keine Hoodies, keine dunklen Räume).

#Digitalisierung und #Antifragilität

Man will sich gar nicht ausmalen, was passiert, wenn in Kompetentistan (Deutschland) das Gesundheitssystem »digitalisiert« ist. Wenn alle Gesundheitsdaten zentralisiert und »im Netz« gespeichert werden. Das Stichwort lautet »Antifragilität«. Solche Konzepte sind per se fragil. Es klingt alles wunderbar, plausibel, hervorragend … aber wenn doch einmal etwas schiefgeht, dann richtig. Wie man am Beispiel Anhalt Bitterfeld sieht. Und wie sicher kann so etwas sein, wenn »Experten« wie die Firma »Gematik« involviert sind? Die Millionen mit absurden »Konnektoren« abgreifen – salopp gesagt Internetrouter, in denen die SSL/TSL Zertifikate salopp gesagt per Speicherchip fest eingebaut sind. Bevor es überhaupt richtig losging, waren diese Zertifikate abgelaufen, und es hieß, sämtliche »Konnektoren« müssten nun neu angeschafft werden. Während der Chaos Computer Club (CCC) bewies, dass sich die besagten Speicherchips mit wenigen Handgriffen für ein paar Euro hätten austauschen lassen. Das klingt alles recht absurd und ist es auch. Hinzu kommt, dass stärkere Verschlüsselungen als AES 256 Bit verboten sind, weil Geheimdienste sie dann nicht »knacken« können. In den USA sollen gar Backdoors verpflichtend sein, sodass Regierungsbehörden alles entschlüsseln können, wenn sie wollen. Freilich ist es denkbar, dass die Causa Snowden inszeniert war, um einen falschen Eindruck von Allmacht zu erwecken. Wäre das wirklich wahr, würde Snowden dann noch leben? Wenn dem so wäre, würde das hingegen nur die völlige Inkompetenz aller Beteiligten unterstreichen. Ein gewisser Kompetenzlevel wird offenbar nur durch die Vernetzung und die große Anzahl der Beteiligten erreicht – als Emergenzeffekt. Dem steht wiederum entgegen, dass Hackangriffe im großen Ausmaß stattfinden (falls tatsächlich Hacker dahinterstecken sollten).

Bürokratie und Zuständigkeiten

Im Podcast lässt sich erleben, wie Bürokratie funktioniert. Niemand ist verantwortlich, niemand ist kompetent. Der »IT Experte« des Landkreises »fährt« erst einmal alles »herunter« und lässt alle Netzwerkkabel ziehen. Man hat die Hoffnung, dass man lediglich 2 Stunden warten müsse, danach liefe es dann schon wieder. Aber aufgrund einer völlig falschen Backupstrategie waren sogar die Backups kompromittiert worden. Im Podcast ist die Rede davon, dass 30 Jahre alte Datenbestände vollständig verloren sind.

Backup Strategien

Man kennt das allenthalben: Backups werden lax gehandhabt – nach dem Motto »Es wird schon gutgehen«. Es gibt Unternehmen, in denen #Backups mit veralteter #Hardware gemacht werden, und die Bänder dann im Serverraum im Regal stehen. Falls es dort einmal brennt, ist alles verloren. Eine vernünftige Strategie würde hingegen so aussehen, dass Backups konsequent nach einem strikten Zeitplan gemacht werden. Und zwar mehrere, auf mehreren Datenträgern, die von verschiedenen Leuten mit nach Hause genommen werden. Das ist eine »antifragile« Strategie im Sinne von Nassim Nicholas Taleb. Die Idee der »Vernetzung« hat eben große Vorteile, aber auch große Nachteile und große Risiken. Und als »IT Experte« gilt nicht selten, wer auf einen #Update #Button klicken kann. Mit Unix oder Linux wäre das alles übrigens wahrscheinlich nicht passiert.

Das Darknet und Virtual Private Networks (VPN)

Zur Sprache kommt im #MDR #Podcast auch der Tor Browser, der für viele »User« geheimnisumwoben ist und meist mit »Aha! Das Darknet« in kommentiert wird. Die Wahrheit ist natürlich eine ganz andere. »Das« Darknet ist ein abstrakter Begriff. Und das Tor Netzwerk ist letztlich nichts anderes als die seit geraumer Zeit propagierte, sogenannte »VPN« Software – nur besser. Denn (angeblich – und wahrscheinlich stimmt das auch) werden auf den Tor Proxy Servern keine Protokolle gespeichert. Der Tor Browser ist salopp gesagt ein ganz normaler Browser, der über 3 »Hops« (also 3 Proxy Server) aufs Internet zugreift, sodass sich die Spur zum Benutzer nur schwer oder gar nicht verfolgen lässt. Theoretisch hingegen schon – denn die Datenpakete haben denselben Inhalt – in Verbindung mit der Uhrzeit wäre es denkbar, sie doch verfolgen zu können. Allerdings nur mit erheblichem Aufwand. Die bekannten »VPN« Programme wie Nord VPN, Surfshark, Privado & Co. tun letztlich nichts anderes, allerdings nutzen sie nur einen Proxyserver. Und protokollieren möglicherweise alles. Davon abgesehen ist ein »VPN« eigentlich etwas ganz anderes. Ein »Virtual Private Network« ist ursprünglich ein Konzept, mit dem sich übers Internet ein lokales Netzwerk simulieren lässt. Die Geräte können sich an beliebigen Orten befinden, alles verhält sich dabei aber so, als wären sie mit einem lokalen Netzwerk verbunden. Im Grunde genommen ist ein wirkliches »VPN« also praktisch das Gegenteil von dem, was Nord VPN & Co. tun.

O Töne, #Inkompetenz und #Imperten

Der Podcast bestätigt mit zahlreichen O Tönen auf beeindruckende Weise die obige These der völligen Inkompetenz und emergenten Gruppenkompetenz. Die Leute, die zu Wort kommen, haben so gut wie keine Ahnung von gar nichts. Aber alle zusammen haben es geschafft, eine gewaltige IT Infrastruktur aufzubauen, die aber eben – wie der »Cyberkatastrophenfall« beweist, extrem fragil ist. In einer Pressekonferenz spricht ein hochrangiger Beamter sogar von einer »Züberkatastrophe«. Dabei ist die #Kybernetik ursprünglich etwas ganz anderes. Der modernistische, englische Begriff »Cyber« wird derweil aktuell für alles, was irgendwie mit Computern zu tun hat, verwendet. Seit kurzem wird bekanntlich alles, was einen Stecker hat, als »KI« bezeichnet. Eine wahre Künstliche Intelligenz (KI) müsste hingegen entweder ein Bewusstsein haben, oder zumindest eine Emergenz aufweisen. Tut sie aber aktuell selten. Sogar beim berühmtem #ChatGPT lassen sich abstrakte Muster erkennen, und das ganze basiert auf »Deep Learning« beziehungsweise »Machine Learning«. Es ist zwar strukturell dynamisch und in gewisser Hinsicht selbstorganisierend, aber das alles ist sehr begrenzt und um eine wahre Emergenz zu erkennen, muss man es sehr wohlwollend betrachten. Zumal sämtliche KI aktuell nicht aus sich heraus handelt und agiert und die Muster vorgegeben sind. Was allerdings auch sinnvoll ist, denn ansonsten würde (vielleicht) irgendetwas stattfinden, das der Mensch gar nicht versteht, mit dem er nichts anfangen kann, das vielleicht gar nicht erkennbar ist – oder womöglich sogar gar nicht stattfindet. Denn im Grunde genommen müsste auch gar nichts stattfinden – zu welchem Zweck sollte es denn stattfinden? Es handelt sich um Technik, und die ist nicht lebendig. Es ist schwer vorstellbar, dass irgendeine Technik zum Selbstzweck handelt. Jedenfalls ist das (noch?) eine Utopie, bei der allerdings völlig unklar ist, ob es nicht eher eine Dystopie ist. Darüber nachgedacht haben schon vor vielen Jahrzehnten große Geister wie Lem und Kishon, aber auch der völlig überschätzte Isaac Asimov mit seinen »Robotergesetzen«, die zwar toll und leicht pathetisch klingen, aber wer sagt denn, dass ich irgendein Gerät daran halten müsse (oder wollte)?

Stanisław Lem und Ephraim Kishon

Die beiden witzigsten Geschichten sind von den besagten Autoren Lem und Kishon. Bei Lem gibt es ein großes Gerichtsverfahren gegen aufgemotzte Waschmaschinen, die sich als Roboter mit Künstlicher Intelligenz darstellen. Im Laufe der Verhandlung stellt sich heraus, dass alle Beteiligten, alle Personen im Gerichtssaal Waschmaschinen sind. Kishon hat eine Kurzgeschichte gebracht, in der eine #Maschine den #Acker bestellt, Kartoffeln setzt, sie hegt und pflegt, bewässert, erntet, geschmackvoll und kreativ zubereitet, und dann selbst aufisst.

Zu den #MDR #Podcast Folgen geht es hier