Herr Guarnieri, Sie bitten darum, dass man Ihnen verschlüsselte E-Mails schreibt. Behörden und Politiker tun das nie – unterschätzen sie die Bedrohung?
Ja. Es fehlt an Wissen und Bewusstsein, aber ich führe das eher auf einen Fehler der Tech-Community zurück. Es ist unglaublich schwierig, E-Mails zu verschlüsseln. Es ist ein großes Problem, dass die vorhandenen Sicherheitstools überhaupt nicht benutzerfreundlich sind. Sicherheit sollte eine Voreinstellung, keine Wahlmöglichkeit sein.
IT-Experte Jewgenij Kaspersky sagte dem „Spiegel“: „Wenn es im deutschen Wahlkampf einen Cyberangriff gibt, dann wundert mich das nicht“ – Sie?
Nein. Es ist aber wichtig, sich eines vor Augen zu führen: Die Rede ist vielfach vom „Hacken einer Wahl“, aber dieser Begriff ist missverständlich.
Warum?
Technisch betrachtet bedeutet es, dass es einen unmittelbaren Eingriff in den demokratischen Wahlprozess gibt. Das hat es bislang nicht gegeben. Das könnte erst dann passieren, wenn Deutschland das E-Voting einführen würde. Das ist, Gott sei Dank, nicht der Fall.
Sind Sie gegen E-Voting?
Ja, ich bin total dagegen, da unter den gegenwärtigen technologischen Bedingungen nicht sichergestellt werden kann, dass Wahlgeräte nicht manipuliert werden. Wir sind noch nicht soweit, diese Technologie anzuwenden.
Könnte es Hacker-Angriffe auf Bundestagskandidaten geben?
Ja, das ist gut möglich. Attacken wie die gegen die US-Demokraten oder den Bundestag haben gezeigt, wie stark Politiker und das politische Geschehen im Fokus stehen. 2016 ginge es bei allen darum, Geheimdiensterkenntnisse und Zugang zu bestimmten Informationen für politische Einflussnahme zu nutzen.
Wer steht im Visier?
Im Visier stehen ganz klar Kandidaten, der Bundestag, der Bundeswahlleiter oder das Bundesamt für Verfassungsschutz. Außerdem gibt es immer mehr Attacken gegen Einzelpersonen und deren persönliche Geräte und Accounts.
Warum?
Was Sicherheit angeht, sind Einzelpersonen die Schwachstelle, da ihre Infrastruktur oft schlechter geschützt ist.
Claudio Guarnieri ist ein international bekannter Hacker und IT-Sicherheitsforscher, genannt NEX. Er arbeitet für Amnesty International und hat 2016 die Organisation „Security without Borders“ gegründet. Guarnieri ist auf die Analyse von Malware, Botnetzen und Computerattacken spezialisiert. 2016 zählte er zu den „30 unter 30“ von „Forbes“. Er lebt in Berlin. (c) Laurin Schmid
Könnte der Hacker-Angriff auf den Bundestag von 2015 noch ein Nachspiel haben?
Wir wissen immer noch nicht, wer genau hinter dem Angriff steckte, welches Ziel verfolgt wurde, was für Material erbeutet wurde und ob es dazu geeignet ist, Menschen zu schaden oder zu erpressen. Aber ja: Es ist wahrscheinlicher, dass bei früheren Angriffen erbeutetes Material jetzt genutzt wird als dass neue Attacken erfolgen.
Kompromittierendes Material könnte schon in den falschen Händen sein?
Absolut.
Sie sagen, Bundestagskandidaten stehen im Visier. Was könnte passieren?
Zum Beispiel das, was dem Chef der Clinton-Kampagne, John Podesta, passiert ist. Sein E-Mail-Account wurde gehackt. Es ist nicht davon auszugehen, dass sämtliche E-Mails eines Bundestagskandidaten online veröffentlicht werden, aber Informationen in einem persönlichen E-Mail-Account können immer zu einem bestimmten Grad als Hebel genutzt werden, um Druck auszuüben.
Wenn Sie Partei- oder Kampagnenchef wären, was würden Sie tun?
Als erstes würde ich sicherstellen, dass die persönlichen Geräte von Kandidaten ausschließlich für persönliche Zwecke und Dienstgeräte ausschließlich für berufliche Zwecke genutzt werden. Der Kampagnenchef muss eine Umgebung schaffen, die er sicherheitstechnisch kontrollieren und in der der Kandidat operieren kann. Wenn man die Kommunikation des Kandidaten und dessen Geräte nicht unter Kontrolle hat, kann man, was Sicherheit angeht, nichts für ihn tun. Sobald es ein funktionierendes internes Sicherheitsmodell gibt, kann man über persönliche Geräte nachdenken.
Viele Leute machen sich keine Gedanken über diese Dinge. Selbst Donald Trump soll ein fünf Jahre altes Android-Gerät nutzen. Warum ist das gefährlich?
Grundsätzlich ist ein I-Phone viel sicherer, weil es ein vereinheitlichtes Produkt mit hohem Sicherheitsstandard ist. Android-Geräte sind da ganz anders. Es gibt verschiedene Versionen von einem Hersteller zum nächsten, Provider haben weitere – es ist ein Alptraum. Diese Software-Versionen sind anfällig für alle möglichen Sicherheitsrisiken. Es gibt frei verfügbare Tools, um Android-Geräte zu kompromittieren. Und wenn ein Smartphone erst einmal gehackt ist, hat man auf vielen Ebenen ein gewaltiges Problem.
Wie meinen Sie das?
Übers Smartphone hat man auf alles Mögliche Zugriff: E-Mails, Social Media, Kontakte, Nachrichten, Anrufe. Aber es gibt eine zweite Ebene: Ein Smartphone registriert zu jedem Zeitpunkt präzise, wo sich eine Person aufhält. Es kann in eine Wanze verwandelt werden oder die Kamera einschalten. Das Gerät an sich ist ein Risiko. Es ist das invasivste Stück Technik, das wir mit uns herumtragen.
Sind SMS ein sicherer Kanal, um zu kommunizieren?
Nein, niemals. SMS sind mit Abstand der unsicherste Weg, Nachrichten zu verschicken. Sie bieten keinerlei Verschlüsselung und können einfach abgefangen werden, vom Provider, vom Staat oder jemandem auf der Straße – es braucht nur simples Equipment. SMS sind ein ebenso unsicherer Kommunikationskanal wie einfache Telefongespräche. Beide Technologien basieren auf veralteten Grundlagen.
Was ist mit Alternativen wie Whatsapp?
Es gibt diverse Messaging-Anbieter: Whatsapp, Signal, Skype, I-Message. Ich empfehle die Open-Source-App Signal, die sichere Nachrichten, Anrufe und Videogespräche ermöglicht. Dank Ende-zu-Ende-Verschlüsselung gibt es keine Möglichkeit, den Inhalt ohne Umweg über die Geräte zu kompromittieren. Whatsapp ist auch in Ordnung. Es ist sicherer als die meisten Anbieter, ironischerweise da es auf der Technologie von Signal beruht.
Viktoria Bittmann und Claudio Guarnieri im Gespräch. Foto: Laurin Schmid
Was sollte ich als Bundestagskandidat tun, um meine E-Mail- und Social-Media-Accounts zu schützen?
Das Wichtigste sind vernünftige Passwörter. Passwort-Manager helfen einem dabei, komplexe Passwörter zu generieren und sie sicher abzuspeichern. Mithilfe solcher Tools kann man für jeden Account ein anderes Passwort haben. Außerdem sollte man überall, wo es verfügbar ist, Zwei-Faktor-Authentifizierung nutzen.
Was ist Zwei-Faktor-Authentifizierung?
Das ist das, was John Podesta nicht hatte (lacht). Es reduziert das Risiko, dass ein Account gehackt wird, beträchtlich. Es gibt das auch für Facebook, Google oder Twitter. Wenn man sein Passwort zum Einloggen eingibt, wird man aufgefordert, sich ein zweites Mal zu authentifizieren. In der Regel ist das eine Nummer, die einem per SMS oder vorzugsweise via App zugestellt wird.
Was kann man tun, um seine Geräte zu schützen?
Jeder sollte eine ordentliche digitale Hygiene an den Tag legen: Sind Software und Betriebssystem aktuell? Wurden alle Updates für Windows oder Mac gemacht? Diese Dinge sollten so normal wie Händewaschen sein.
Viele Politiker geben ihren Teams Login-Daten, damit diese ihre Accounts bespielen – ist das ein Problem?
Ja. Es ist nicht ratsam, seine Passwörter zu vielen Menschen mitzuteilen, schon allein deshalb, weil Passwörter dann schnell sehr simpel werden. Aber soweit muss es nicht kommen. Um eine Facebook-Fanpage zu verwalten, muss man keine Passwörter teilen. Bei Twitter ist es komplizierter, weil es dort nicht die Möglichkeit gibt, über persönliche Accounts auf Fanseiten zuzugreifen. Aber auch dort gibt es Tools wie Tweetdeck, die das ermöglichen.
Das Problem auf Twitter sind Bots. Wie viele gibt es?
Wir können sie nicht zählen, aber ich schätze, dass es zig Millionen von ihnen gibt. Es ist so einfach, Bots zu erschaffen! Morgen kann es 500.000 neue Bots geben für eine neue politische Kampagne und übermorgen sterben sie alle.
Wie teuer ist es, 1.000 Bots zu kaufen?
Es kommt darauf an, was man mit ihnen machen will. 10.000 Twitter-Follower kosten vielleicht 50 Euro. Aber die tun nichts, außer einem zu folgen. Komplexere Bots, die eine bestimmte Kampagne unterstützen, wären etwas teurer, vielleicht ein paar tausend Euro.
Überschätzen wir die Gefahr, die von Bots ausgeht?
Ich bin nicht sicher, ob Bots ein großes Problem sind. Es betrifft ja vor allem die Plattformbetreiber. Aber es hängt natürlich davon ab, was man als Bedrohung empfindet.
Beispiel: Dass sie Debatten manipulieren können.
Die Fähigkeit von Bots, falsche Informationen zu verbreiten, ist ein Problem. Dennoch ist die Frage, ob wir technische oder politische Gegenmaßnahmen benötigen. Ich sehe Überregulierung von Kommunikationsplattformen sehr kritisch.
Die Grünen wollen Bots verbieten. Funktioniert das?
Ich begrüße die Selbstverpflichtung politischer Parteien, solche Technologien nicht für politisches Campaigning zu nutzen. Das ist das Mindeste. Dennoch gibt es praktisch keinen Weg, den Einsatz von Bots zu verhindern. Man kann ihn rechtlich verbieten, aber das kann wiederum unbeabsichtigte Konsequenzen haben.
Was kann ich tun, wenn mich Bots online angreifen?
Es gibt zwei Fälle: Wenn einen eine Bot-Armee direkt attackiert, muss man sich an Twitter wenden, damit diese Bots abgeschaltet werden. Was das angeht, hat Twitter in der Vergangenheit keinen guten Job gemacht, aber sie werden besser. Im zweiten Fall verbreiten Bots Falschinformationen über einen. Eine Antwort besteht darin, Medienkompetenz und ein Bewusstsein für das Vorhandensein von Bots zu schaffen, aber man muss sich gleichzeitig aktiv wehren, indem man der Kampagne der Bots korrekte Fakten entgegensetzt.
Die Verbreitung von Fake Facts stoppt das nicht.
Das stimmt. Aber ich bin überzeugt, dass eine Person mit tausenden Followern viel mehr Legitimität und Einfluss hat als tausend Bots mit je zwei Followern.
Ich muss mich also auf mein Netzwerk verlassen?
Natürlich! Das ist Teil des Informationskriegs. Fake News und Falschinformationen hat es immer gegeben. Sie wurden früher über andere Medien verbreitet, aber das Phänomen ist nicht neu. Um sich zur Wehr zu setzen, muss man sein „soziales Kapital“, seinen Einfluss und seine Reputation nutzen. Man muss sagen: Das ist falsch, hier sind die richtigen Fakten, Punkt. Es ist nicht richtig, in Panik zu verfallen und auf Überregulierung oder Zensur zu setzen.
Journalisten nutzen die „Trending Topics“ oft als Indikator für Relevanz. Sind die einfach zu manipulieren?
Ja. Die Manipulation der „Trending Topics“ ist wohl einer der wenigen wirklich beunruhigenden Effekte von Social Bots, eben weil sie oft als Indikator für die Stimmung in der Bevölkerung genutzt werden. Das zeigt übrigens, dass es vielfach noch an der nötigen Medienkompetenz fehlt.
Sind Likes und Shares auf Facebook vertrauenswürdigere KPIs?
Die sind ebenso leicht zu fälschen. Aber es gibt oft Unstimmigkeiten, die man leicht erkennen kann. Manchmal twittern mich Accounts an oder retweeten mich und ich merke sofort, dass es sich um Bots handelt.
Foto: Laurin Schmid
Woran erkennt man Bots?
Wenn eine Person hunderte Retweets für einen Tweet bekommt, der weder Bedeutung noch Relevanz hat, und diese Person hat keine Follower in der Community, in der sie sich bewegt – dann ist dieser Account verdächtig. Man braucht nur ein geschultes Auge, um Bots zu identifizieren.
Was passiert, wenn Bots unerkannt bleiben?
Dann besteht das Risiko einer verzerrten Wahrnehmung. Ich habe mal einen interessanten Vortrag des niederländischen Künstlers Constant Dullaart über den Einfluss von Instagram auf Künstlerkarrieren gehört. Galerien, Käufer und Sammler gucken oft auf die Followerzahl, die ein Künstler auf Instagram hat, um dessen Wert zu bemessen. Constant Dullaart entschied also, für viele Künstler Follower zu kaufen, sodass sie alle gleich viele haben. Dieses Beispiel zeigt, was online passiert und dass das offline ernsthafte Implikationen haben kann.
Sollten Organisationen und Politiker Hacker einstellen, um sich zu wappnen?
Ja, das müssen sie sogar, wenn sie online überleben wollen. Organisationen mit einer gewissen Größe und Rolle in der Gesellschaft benötigen Personal mit technischer Expertise. Aber es werden immer noch nicht die nötigen Ressourcen bereitgestellt, vor allem in der öffentlichen Verwaltung und in der Regierung. Ich bin auch selbstkritisch, was die Sicherheitsindustrie angeht. Meiner Meinung nach sind Techies überbezahlt. Und weil Firmen ihren viel mehr bezahlen als NGOs oder die Verwaltung, gibt es ein Ungleichgewicht in der Verteilung der Expertise.
Sollten mehr Hacker im Bundestag sitzen?
Absolut. Aber beide Seiten müssen sich bewegen: Wir Hacker müssen uns mehr in die öffentliche Debatte und in die Politik einbringen. Gleichzeitig sollten Politiker noch mehr auf die Expertise von Organisationen wie dem Chaos Computer Club zurückgreifen. Deutschland ist in der glücklichen Situation, den CCC zu haben.
Bundesinnenminister Thomas de Maizière sagt: „Wenn wir identifiziert haben, woher ein Cyberangriff kommt, müssen wir ihn auch aktiv bekämpfen können.“ Was halten Sie davon?
Hier stoßen wir auf das Problem, das wir im Falle von Russland haben. Ich finde es nicht gut, wie bestimmte Dinge in der Öffentlichkeit dargestellt werden. Wenn man analysiert, was bei einer Computerattacke passiert ist und wer dahinter stecken könnte, gibt es verschiedene Ebenen der Bewertung. Es gibt eine Interpretation, die fast ausschließlich auf technischer Evidenz basiert. Das bringt aber nur einen gewissen Grad an Sicherheit.
Was heißt das, „ein gewisser Grad an Sicherheit“?
Die Angriffe auf den Bundestag oder auf die US-Demokraten sind laut technischer Evidenz verbunden mit einer Reihe früherer Attacken, die auf die Ukraine oder die Nato abzielten. Also könnte man denken, dass es einen gemeinsamen Nenner zwischen ihnen gibt, der mit den politischen Interessen Russlands übereinstimmt. Es könnte auch technische Indikatoren geben, die darauf hindeuten, dass jemand russischen Ursprungs dahintersteckt. So weit kann man gehen. Aber: Diese Bewertungen sind kontextbezogen und extrem spekulativ. Ich habe kein gutes Gefühl dabei, wenn sie in der internationalen Diplomatie, für politische Entscheidungen, geschweige denn als Grundlage für weitere Aggressionen herangezogen werden.
Worin liegt das Problem?
Ich kann mir zu 90 Prozent sicher sein, dass der Angriff auf den Bundestag repräsentativ für ein bestimmtes Interesse einer Regierung ist. Dennoch ist das meine Interpretation, die auf kontextbezogenen Informationen basiert, die ich mithilfe einer technischen Analyse gewonnen habe. IT-Sicherheitsforschung kann keine Beweise liefern, die direkt auf den Verantwortlichen hinweisen – das gehört bei Cyberangriffen einfach zum Spiel dazu. Man kann zwar sagen: Das muss die russische Regierung gewesen sein, denn wer zur Hölle sollte sonst ein Interesse daran haben? Okay, aber reicht das wirklich, um eine diplomatische Krise auszulösen?
Was geschieht, wenn Vergeltungsschläge, wie von de Maizière gefordert, institutionalisiert werden?
Natürlich ist es möglich, dass technische Evidenz durch Geheimdiensterkenntnisse bestätigt werden. Ich sehe allerdings das Risiko, dass jemand bewusst Operationen unter falscher Flagge startet, um einen Vergeltungsschlag auszulösen.
Würde das Risiko von Cyberattacken also steigen?
Ja. Institutionalisierte Vergeltung würde die Anreize dazu verdoppeln. Daher finde ich die Idee sehr besorgniserregend.
Was macht Ihnen Angst mit Blick auf die Zukunft des Internets?
Erstens: „Data hoarding“, also das massive Sammeln von Daten, um sie vor allem für kommerzielle Zwecke zu nutzen. Zweitens: die Unsicherheit, die von Geräten ausgeht, die plötzlich digitalisiert werden, wie wir es beim „Internet der Dinge“ sehen. Wir sollten auch über Risiken nachdenken, die damit verbunden sind. Drittens und das ist der für mich wichtigste Punkt: Die Debatten der vergangenen Jahre über Verschlüsselung und Überwachung hatten signifikante Wirkung und Kommunikationsnetzwerke werden immer sicherer. Das lässt Regierungen und andere Gruppen noch aggressivere Attacken unternehmen. Da es immer schwieriger wird, den Datenverkehr abzufangen, um den Inhalt einer Kommunikation zu lesen, werden die Geräte selbst attackiert. Darauf sind wir nicht vorbereitet.
Würden Sie eines Tages offline bleiben, weil Sie Ihre Kommunikation nicht mehr kontrollieren können?
Sind wir nicht längst an diesem Punkt? Ich kann nicht garantieren, dass mein Laptop nicht gehackt ist. Ich hoffe, dass das nicht der Fall ist und ich bin mir auch ziemlich sicher. Aber ich misstraue Technik schon jetzt sehr stark. Ich betrachte sie als eine feindliche Umgebung.
Irgendetwas Positives?
Die Dinge werden sich bessern. Hoffentlich.
Aus dem Englischen übersetzt.
Dieser Beitrag erschien zuerst in der gedruckten Ausgabe N° 118 – Thema: Bundestagswahl 2017. Das Heft können Sie hier bestellen.