FANCY BEAR GOES PHISHING: Die dunkle Geschichte des Informationszeitalters, in fünf außergewöhnlichen Hacksvon Scott J. Shapiro
Lassen Sie sich nicht von dem bezaubernden Titel täuschen: Wie Scott J. Shapiro in „Fancy Bear Goes Phishing“, seinem neuen Buch über Cybersicherheit, einräumt, kann Hacking schrecklichen Schaden anrichten. Shapiro ist zusammen mit Oona A. Hathaway Autor von „The Internationalists“ (2017), das die Bemühungen des 20. Jahrhunderts zur Ächtung von Kriegen schildert; Zu den zahlreichen Fragen, die „Fancy Bear Goes Phishing“ umtreiben, gehört die Frage, ob Hacking mit anderen Mitteln die Tür zum Krieg geöffnet hat.
Schließlich beziehen sich „Fancy Bear“ und „Cozy Bear“ auf die mit dem russischen Geheimdienst verbundenen Cyberspionageeinheiten, die sich vor der Präsidentschaftswahl 2016 Zugang zu den Computersystemen des Demokratischen Nationalkomitees verschafften. Fancy Bear veröffentlichte eine Fülle von E-Mails, die Hillary Clintons Reden vor Goldman Sachs und die Risotto-Tipps ihres Wahlkampfleiters enthielten.
Der Hack war unbestreitbar peinlich und die Wahlergebnisse von 2016 waren am Ende so nah beieinander, dass es unmöglich ist zu sagen, ob das Tropfen-Tropfen-Tropfen der durchgesickerten E-Mails ein Faktor dafür war, dass sich das Blatt zugunsten von Donald J. Trump wendete. Ganz zu schweigen davon, dass das Hacken in die Systeme des DNC „ein normaler Akt der Spionage war“, schreibt Shapiro, und dass Spionage nach internationalem Recht legal ist. Spione gehen gerne Phishing durch – na und? Die eigentliche Frage ist, was sie mit ihrem Fang machen. Durch die „Freigabe der gestohlenen Informationen“, damit die Welt sie sehen könne, „könnte Fancy Bear eine kriegerische Handlung begangen haben.“
„Vielleicht“ – jetzt gibt es einen winzigen Satz mit viel Spielraum, und Shapiro hat es nicht eilig, ihn festzunageln. Eines seiner Themen ist, wie Hacker „das Dualitätsprinzip ausnutzen“ oder „die Mehrdeutigkeit zwischen Code und Daten“, die beide durch Zahlen dargestellt werden können. Ich würde behaupten, dass Shapiro, Professor für Recht und Philosophie an der Yale Law School, mit diesem Buch etwas Ähnliches tut – obwohl er im Gegensatz zu den meisten Hackern, die er beschreibt, Mehrdeutigkeit mit weitgehend wohlwollender Wirkung einsetzt. Bücher bestehen aus Wörtern, und wer nach Wörtern sucht, die einem umfassenden Leitfaden zur Cybersicherheit oder einem apokalyptischen Thriller über ein digitales Armageddon gleichkommen, wird woanders besser bedient. Shapiro hat vielleicht einiges über Cyberkriminalität und Cyberkrieg zu sagen, aber was er mit seinen Worten wirklich tun möchte, ist, uns die Geschichten von fünf Hackern zu erzählen.
Das Geschäft mit der DNC ist eines. Bei den anderen handelt es sich um den Morris-Wurm, der 1988 das frühe Internet infizierte und zufällig vom Sohn des Chefwissenschaftlers für Computersicherheit bei der National Security Agency entwickelt wurde; das Malware-Werk eines bulgarischen Hackers namens Dark Avenger aus den 1990er Jahren; der Hackerangriff auf das Mobiltelefon von Paris Hilton im Jahr 2005 durch einen 16-jährigen Jungen; und das „Mirai-Botnetz“, ein vernetzter Supercomputer, der 2016 von drei Teenagern entwickelt wurde und durch die heimliche Einberufung sogenannter intelligenter Geräte wie Überwachungskameras und Toaster an Stärke gewann.
Shapiro selbst begann als Student der Informatik am College und war dann als Technologieunternehmer tätig, wo er Datenbanken für Kunden erstellte, zu denen auch Time-Life Books gehörte. Er hackte seinen ersten Computer erst im Alter von 52 Jahren, machte die verlorene Zeit jedoch wett, indem er die Website der Yale Law School hackte, „eine Leistung, die mein Dekan nicht zu schätzen wusste“. Shapiro ist witzig und unermüdlich von seinem Thema fasziniert. Er lockt selbst Laien in technische Beschreibungen der Codierung, indem er Zusammenhänge zwischen Computerprogrammierung und beispielsweise dem Paradoxon von Achilles und der Schildkröte herausarbeitet. Er bietet Rousseau als aufschlussreichen Leitfaden für die Anfänge des Internets an. Ein einzelner Absatz bewegt sich flink von Putin über Descartes bis hin zu „Die Matrix“.
Das technologische Element ist nur die eine Hälfte des Hacking-Problems und läuft auf das hinaus, was Shapiro den „Downcode“ nennt. Die andere Hälfte ist der „Upcode“, der sich auf alles Menschliche bezieht: Gesetze, Normen, die kognitiven Vorurteile, die klugen Menschen glauben machen, sie könnten mit schlechter Cyberhygiene auskommen. Shapiro argumentiert, dass technische Lösungen wichtig sind, uns aber nur begrenzt schützen können. Der Downcode ist dem Upcode nachgeschaltet. „Cybersicherheit ist kein primär technologisches Problem, das eine primär technische Lösung erfordert“, schreibt er. „Es ist ein menschliches Problem, das ein Verständnis des menschlichen Verhaltens erfordert.“
Und solches menschliches Verhalten kann sich ändern, abhängig nicht nur von Anreizen und Strafen, sondern auch von den gewonnenen Erkenntnissen. Ein Virus, der im Jahr 2000 die Runde machte, war ILOVEYOU, der per E-Mail-Anhang verschickt wurde. Neben der Ausnutzung schwerwiegender technischer Schwachstellen im Betriebssystem von Microsoft wurde auch „unser ‚Liebes-Upcode‘ ausgenutzt“, erklärt Shapiro. “Leute wollen geliebt werden.” Zweifellos wollen die Menschen immer noch geliebt werden, aber 23 Jahre später sieht die infizierte E-Mail so offensichtlich verdächtig aus, dass sie sich wie eine Parodie auf eine infizierte E-Mail liest. Die meisten normalen Computernutzer sind mittlerweile wahrscheinlich zu abgebrüht und zynisch, um einen Anhang in einer E-Mail zu öffnen, in dem unbeholfen steht: „Bitte überprüfen Sie den LOVELETTER, der von mir kommt.“
Mit der Zeit bauen wir also Abwehrmechanismen auf, indem wir weniger unschuldig werden – wir neigen weniger dazu, seltsame Links anzuklicken, weniger geneigt, unsere Sozialversicherungsnummern preiszugeben, weniger geneigt zu glauben, ein gutes Passwort sei 12345. Aber wie Shapiro zeigt, kann die Regulierung immer noch sogar das verlassen Vorsichtiger Computerbenutzer ist anfälliger als nötig. Die undurchdringliche Rechtssprache endloser Lizenzvereinbarungen hat es Softwareunternehmen ermöglicht, sich der Haftung auf eine Weise zu entziehen, die beispielsweise der Hersteller eines defekten Toasters nicht konnte: „Keiner von uns hat die Lizenzvereinbarungen gelesen, weil (1) sie für Nichtjuristen undurchschaubar sind; (2) sie sind selbst für Anwälte undurchschaubar; (3) wir sind ungeduldig; und (4) wir haben keine Wahl.“
Außerdem, fügt Shapiro hinzu, leben wir heute in einer Welt des „Überwachungskapitalismus“, was bedeutet, dass viele unserer Daten von Unternehmen gespeichert und verkauft werden. Wir vertrauen ihnen sehr persönliche Informationen an und gehen davon aus, dass sie alles tun werden, um diese Informationen vor Hackerangriffen zu schützen. Dennoch sind die rechtlichen Konsequenzen, mit denen Unternehmen bei Datenschutzverstößen konfrontiert werden, „lächerlich gering“.
Härtere Strafen könnten helfen; auch eine bessere Gesetzgebung. Dennoch rät Shapiro auch davon ab, dem Glauben nachzugeben, dass es da draußen eine Wunderwaffe gibt, die unsere Cyberprobleme ein für alle Mal stoppen wird. „Wir brauchen keine perfekte Sicherheit“, schreibt er, „nur vernünftige Vorsichtsmaßnahmen.“ Leser, die dieses Buch in der Annahme beginnen, eine weitreichendere Schlussfolgerung zu erhalten, werden feststellen, dass ihre Erwartungen (unterhaltsam) untergraben wurden: Mit anderen Worten: Sie wurden gehackt.
FANCY BEAR GOES PHISHING: Die dunkle Geschichte des Informationszeitalters, in fünf außergewöhnlichen Hacks | Von Scott J. Shapiro | Illustriert | 420 S. | Farrar, Straus & Giroux | 30 $