Am 5. März vorigen Jahres schrieb ich angesichts des Erpressungstrojaners, der die Stadtverwaltung von Dettelbach gepwnt hat, unter anderem Folgendes zum Umgang mit E-Mail:
Jeder E-Mail-Anhang ist mit äußerster Vorsicht zu behandeln. Niemals einen Anhang öffnen, der nicht vorher über einen anderen Kanal als E-Mail ausdrücklich mit dem Absender abgesprochen wurde […] Der Absender einer E-Mail ist beliebig fälschbar […] Richtige »E-Mail-Profis« verwenden digitale Signaturen, um den Absender jenseits jedes vernünftigen Zweifels sicherzustellen. Das kostet nicht einmal Geld. Und es ist auch nicht schwierig. Warum ihre Bank, ihr Händler, ihr Chef das nicht tut, müssen sie ihre Bank, ihren Händler oder ihren Chef fragen. Meist handelt es sich um Unwissen und den Unwillen, dieses Unwissen zu beenden, um verantwortungsvoll handeln zu können, also um Dummheit
Und, hat jetzt wenigstens jemand innerbetrieblich irgendwo digitale Signaturen für E-Mail eingeführt? Nein. Natürlich nicht. Heiliger Sankt Florian / Verschon’ mein Haus / Zünd’ and’re an! Es ist doch viel zu weitgehend und zu kompliziert, fertige Software zu nutzen, die Schutz vor dieser Art Angriff auf Betriebe bieten kann.
Und so gingen anderthalb Jahre ins Land, und die Menschen in der Bundesrepublik Neuland verwendeten weiterhin allerorten das Medium E-Mail ungefähr so, wie unerfahrene Teenager an den Geschlechtsverkehr herangehen: Schnell, einfach und gefährlich.
Von daher empfinde ich die gegenwärtige Schreckensmeldung auf Heise Online auch als gar nicht als so erschreckend, sondern eher als erwartungsgemäß und leicht überfällig:
Akute Gefahr geht von einer Schädlingswelle aus, die per E-Mail anrollt. Durch eine clevere Wahl der Absender könnten auch versierte Anwender verleitet werden, dem darin enthaltenen Link zu folgen […] Eine aktuelle Spam-Kampagne setzt auf starke Personalisierung: Sie täuscht als Absender reale E-Mail-Adressen von Mitarbeitern desselben Unternehmens vor
Und wer glaubt, dass spätestens jetzt mindestens digitale Signaturen für die innerbetriebliche Kommunikation eingeführt würden, wird in anderthalb Jahren feststellen, dass auch bis dahin nichts dergleichen geschehen ist. Außerdem hat man ja überall schmiere schmiere Schlangenöl auf den Arbeitsplatzrechnern installiert, das schützt doch, steht doch in der Reklame und im journalistischen Reklamegeschreibe. Den derben Spruch mit den Teenagern habe ich in diesem Text leider schon gebracht.
Wo die Gesellschaft so voller informationstechnischer Analphabeten ist wie die gegenwärtige deutsche, da wird eine so genannte »Cyber-Attacke« durch andere Staaten gar nicht mehr benötigt, um massiven Schaden anzurichten. Da hilft übrigens auch keine Cyberwehr, die zum Appell in adretter Uniform stramm ihre Tastaturen präsentiert.
Das einzige, was hülfe, wäre, wenn möglichst viele Menschen halbwegs zutreffend abzuschätzen wüssten, was die von ihnen verwendete Technik leisten kann, welchen Aufwand das bedeutet, und was diese Technik nicht leisten kann. Aber woher sollten sie das abzuschätzen wissen? Dafür müssten sie Wissen haben, im Idealfall sogar Freude am Wissen. Und das nehmen sie weder aus Schulen mit – die Freude schon gar nicht – in welchen heute die Erwachsenen von morgen auf die Herausforderungen von gestern vorbereitet werden; noch erfahren sie es aus den Ausflüssen einer contentindustriellen journalistischen Tätigkeit, die sich in erster Linie als möglichst breite Werbeplatzvermarktung versteht und deshalb bevorzugt intellektuelle Magerkost (oft neben mutmaßlich bezahlter Schleichwerbung) verfüttert. Wenn die Leser nicht gar in Fragen der Computersicherheit systematisch von journalistischen Medien, die zu Unrecht viel zu hoch angesehen sind, belogen werden. So bleiben sie halt unwissend, wenn man mal von ein paar verachteten Sonderlingen absieht, die sich entweder aus kecker Freude am Wissen und Verstehen oder auch aus nachvollziehbarem Interesse an gutbezahlter, körperlich nicht so anstrengender Arbeit derartiges Wissen angeeignet haben.
Es ist also zu erwarten, dass auch dieser Knall nicht gehört wird. Unterdessen steht jedem interessierten Kleinkriminellen sowie ebenfalls interessierten Kreisen aus der Organisierten Kriminalität ein gehöriger »Datenreichtum« zur Verfügung, mit dem sich derartige Kampagnen sehr fein personalisieren ließen. Wenn es um gezielte Angriffe (zum Beispiel zum Zweck der Sabotage oder Erpressung) auf Unternehmen oder Behörden geht, wird dieser eh schon beeindruckende Datenbestand um öffentlich zugängliche und leicht auffindbare Informationen auf halbseidenen Websites wie LinkedIn oder Facebook ergänzt. (Die verlinkten Machenschaften der soeben benannten Unternehmen hatten übrigens keine nennenswerten juristischen Konsequenzen.) Damit kriegt jeder Kriminelle mit einem Intelligenzquotienten oberhalb der Raumtemperatur eine gezielte E-Mail an Mitarbeiter eines Unternehmens (oder einer Behörde) verfasst, die auch geöffnet wird und deren vergifteter Anhang auch ausgeführt wird. Im Falle eines Erpressungstrojaners sind das leicht verdiente Bitcoin. Das Antivirus-Schlangenöl wird nicht helfen. Auch nicht, wenn euch der Werber und sein hässlicher Bruder, der Journalist, etwas ganz anderes erzählen. Es hilft nämlich nur gegen bereits bekannte Schadsoftware, und dann oft schon nicht einmal mehr gegen eine lediglich trivial modifizierte Version.
Die Erkennungsrate beim Online-Scandienst VirusTotal liegt für den Download-Link aktuell noch bei Null
Digitale Signaturen von E-Mail nebst der Angewohnheit oder Dienstvorschrift, die Signatur einer E-Mail auch zu überprüfen, erschweren das Fälschen eines innerbetrieblichen Absenders erheblich¹. Und das kostet nicht einmal Geld. Auch die ohne jeglichen technischen Aufwand zu erledigende telefonische Rückfrage vor dem Öffnen eines Mailanhanges kostet kein Geld. Es ist nur ein bisschen angemessene Vorsicht. Den Spruch mit den Teenagern hatte ich ja schon… 🙁
Nichts von alledem wird geschehen. Man ist dumm und handelt dumm in der Bundesrepublik Neuland. »Und diesen Kryptokram kann doch eh keiner verstehen« … BEIM HL. LATTENJUPP, MARIAS UNPERFORIERTEM HYMEN UND ALLEN SCHWEFELKACKENDEN HÖLLENHUNDEN NOCHMAL! Es geht nicht ums Verstehen! Es geht ums schlichte Benutzen längst verfügbarer Software, die zu allem Überfluss auch noch Frei ist und nichts kostet! Ihr versteht auch nicht, wie man eine Textverarbeitung codet und was die dabei auftretenden, teils schwierigen Probleme sind, und ihr könnt sie trotzdem für eure alltäglichen Zwecke einsetzen. Ihr seid dumm, wollt dumm bleiben und seid auch noch stolz drauf! Wie die Vollidioten! Au, mein armer Blutdruck…
Niemand wird diese idiotische Dummheit, die eine ganze Gesellschaft von der Politik über die große Wirtschaft bis hinunter zu nahezu jedem einzelnen Menschen durchzieht, als ein Problem bezeichnen – jedenfalls niemand mit einer Stimme, die von einem nennenswerten Anteil der Bevölkerung vernommen wird.
Von daher bin ich schlechter Dinge.
Ein paar im Grunde mies gemachte, aber gut personalisierte Spams mit geschickt gefälschtem Absender sind erst der Anfang.
Die Dummheit und der informationstechnische Analphabetismus in Deutschland sind leider Konstanten, auf die man sich verlassen kann.
Auch Verbrecher können sich darauf verlassen.
¹Es ist ungleich schwieriger, etwa mit einem Crackerangriff an einen private key zu kommen, als einen E-Mail-Absender zu fälschen. Letzteres kann jeder aufgeweckte Achtjährige. Man kann nämlich einfach jeden beliebigen Absender in die E-Mail eintragen.