blog.fohrn.com

Wurde die Nürnberger U-Bahn gehackt?

Wer vorgestern den Report aus München im ersten Programm gesehen hat der mochte seinen Augen nicht trauen: Eine U-Bahn in „einer deutschen Großstadt“ wurde demonstrationshalber von einem Herren namens Marco di Filippo gehackt – oder scheinbar doch nicht, so genau weiß man das nicht. Zweck der Übung war, zu demonstrieren, wie verwundbar wichtige Infrastruktur für islamistische Angriffe eines „Cyber-Terrorangriffs“ sei. Bei der U-Bahn, die als Demonstrationsobjekt herhielt, handelte es sich um die Nürnberger U-Bahn, genauer: Ziel des Angriffs war die Steuerung der vollautomatischen, fahrerlosen U-Bahnen der Linien 2 und 3.

Der Bericht ist übrigens auf den Seiten das Bayerischen Rundfunks zu sehen.

Bevor ich mich mit der VAG beschäftige, möchte ich einmal etwas auftrennen, was in meinen Augen nicht ursächlich zusammenhängt, nämlich den islamisch motivierte Terrorismus auf der einen Seite und die Angreifbarkeit von Infrastruktur – sofern ihre Steuerung vernetzt oder fernwartbar ist – auf der anderen Seite: Beides hat nicht zwingend etwas miteinander zu tun, denn der reine Umstand, dass ein technisches Netzwerk immer angreifbar ist, hat noch nichts mit der Motivation den Angreifer zu tun. Insofern sehe ich auch nicht, dass die Nürnberger U-Bahn ein besonders beliebtes Angriffsziel sein sollte – warum auch?

Interessant ist für mich noch ein anderer Aspekt: Wenn jemand „aus Hackerkreisen“ eine entsprechende Demonstration fährt, dann ist – aller Erfahrung nach – zuallermeißt mindestens einer der folgenden zwei Punkte gegeben, die dem Demonstrationsgegenstad innewohnen: Entweder ist das Demo-Objekt leicht zu hacken oder aber der Hack ist echt spektakulär. Zu letzteren Fällen zähle ich auch Hacks, die für sich genommen keine per se spektakulären Objekte betreffen, sondern Objekte die vielverbreitet, omnipräsent sind. Nun kann ich an dieser Stelle nur mutmaßen, allerdings drängt sich mir die Frage auf, ob im Falle der Steuerung der fahrerlosen U-Bahn in Nürnberg nicht tatsächlich beides der Fall war. Wer den entsprechenden Bericht der Nürnberger Zeitung zwischen den Zeilen liest und das Video des BR mitsamt den Kommentaren von Herrn Filippo einmal aus dieser Perspektive auf sich wirken lässt, der könnte unter Umständen zu so einem Schluss kommen.

Zahllose computerbasierte Systemsteuerungen seien so schlecht gesichert, dass sie von außen problemlos angegriffen, ja übernommen werden könnten. (Quelle: NZ)

Das für sich genommen ist nichts Neues; das es die Nürnberger U-Bahn getroffen hat, ist angesichts der Komplexität ihrer Steuerung aber auch nicht verwunderlich. Je komplexer eine Steuerung ist, je mehr Hierarchien auf diese Steuerung zugreifen können, desto größer ist die Wahrscheinlichkeit, dass ein Angreifer eine Sicherheitslücke findet und zu nutzen versteht. Die möglichst exakte und kleinteilige Fernwartbarkeit und ein möglichst lückenloses Monitoring begünstigen genau diesen Umstand.
Und: An dieser Stelle muss ich leider etwas ätzen: Schon bei Stuxnet war es eine Siemens-Steuerung, die Kern des Angriffs war. Und im Video zu sehen ist die Softwaresteuerung einer Simatic. Ich gehe davon aus, dass man beim BR so sorgfältig arbeitet, dass das keine „Symbolscreenshots“ waren.

Über die Reaktion der VAG wundere ich mich sehr. Ich kann das Beschwichtigen der Pressesprecherin nicht verstehen. Eine gute Krisen-PR sieht erst mal anders aus, außerdem ist auch die VAG vor einem generell existierenden Problemkomplex nicht gefeit. Dies einfach zu behaupten trägt im Übrigen nichts zur Erhöhung der Sicherheit bei. Ich hätte mir als Statement seitens der Verkehrsbetriebe erstens ein klares Bekenntnis zu in solchen Fällen einzuleitenden unabhängigen Audits von absoluten Profis erwartet (nicht nur von VAG-Leuten, Betriebsblindheit, wissenschon, sowas muss extern bearbeitet werden). Ich hätte weiterhin erwartet, dass man Herrn di Filippo – öffentlich – einlädt und ihn seinen Hack seine Simulation demonstrieren lässt. Außerdem hätte ich mir die Demut gewünscht, einzugestehen, dass es eine wirklich sichere Anlagensteuerung nicht geben kann. Nichts dergleichen ist passiert. Stattdessen wird die VAG-Pressesprecherin wie folgt zitiert:

Er hat uns nicht gehackt. Dies wäre auch strafbar. (Quelle)

Ohgottohgottohgott!! „Dies wäre auch strafbar“ – einmal Naivität für 500, bitte! Der BR zeichnete im Groben folgendes Szenario: Wir sind von islamistischen Cyber-Terror verwundbar, weil unsere Infrastruktur angreifbar ist (wie gesagt, ich halte das für einen Fehlschluss, wir sind nicht von Islamisten allein angreifbar, wir sind von jedem angreifbar, der die Technik beherrscht – und darunter fallen logischerweise als Teilmenge auch Islamisten, klar). Dem cyber-terrorisierenden Taliban, liebe VAG, dürfte es allem Ermessen nach scheißegal sein, ob dies auch strafbar wäre.

Um gleich dem nächsten Fehlschluss hinterherzusteigen: Der NZ-Journalist resümiert am Ende seines Artikels:

So oder so: Viele kommunale IT-Systeme sind offenbar sehr verwundbar. Ob die U-Bahn-Steuerung VAG dazu- gehört, die Kraftwerks-Steuerung N-Ergie oder gar die Stadt Nürnberg selbst, bleibt vorerst offen.  (Quelle)

Wieso? Wieso sollen gerade die kommunalen Systeme sich für derartige Angriffe besonders anbieten? Was hat das Kraftwerk der N-ERGIE oder gar die Stadt selbst nun mit den (möglicherweise vorhandenen) Sicherheitslücken der RUBIN-U-Bahn zu tun? Ich sehe da keinen zwingenden Zusammenhang. Ich bin tatsächlich der Meinung: Es kann leider jeden treffen. Wichtig ist, seine eigenen Security auf möglichst hohem Niveau zu halten, um nicht die grinsende Beute potenzieller Angreifer zu werden. Wichtig ist auch, zu begreifen, dass IT-Sicherheit ein prozesshaftes Ding ist und tagtäglich erstritten und gewahr werden will.

Weiterhin: Wirklich kritische Infrastruktur gehört, auch wenn die Alternative im Zweifel sauteuer ist (z.B. Standleitungen) einfach nicht ans Internet. Und auch nicht zwingend ans öffentliche Telefonnetz (Anachronismusalarm! Das öffentliche Telefonnetz ist ja quasi das Internet. Ich prangere das an, ernsthaft!). Der Aufwand, den dann ein Angreifer betreiben müsste, wäre nämlich ungleich höher und würde auch die Anwesenheit des Angreifers vor Ort voraussetzen, was Ergreifbarkeit oder Verhinderung ermöglicht – und für den Angreifer ungleich höhere Risiken mit sich bringt. Einfach nur zu behaupten, die eigenen Systeme seien sicher, bringt: Nichts.

Btw.: Ich bin kein IT-Sicherheitsexperte. Das was ich hier zum Thema IT-Sicherheit fallen lasse, sind allgemein anerkannte und ganz basale Axiome. Sie sind so geläufig, dass sie schon fast wie Plattitüden wirken. Ich bin mir dessen vollauf bewusst. Umso mehr erschreckt es mich, dass dieses Basiswissen weder bei den Damen und Herren Journalisten noch bei Unternehmen wie der VAG gesetzt ist. Vielleicht ist ja genau dieser Umstand die eigentliche, gravierendere Sicherheitslücke.

Update, 17.01.2015, 17:40: Der Herr Felme von der Stadt Nürnberg hat´s übrigens begriffen.

Rotgrünfunk.

Kurz mal einen weglachen?

Der Bayernkurier (Kampfblatt der CSU) behauptet allen Ernstes, der Bayerische Rundfunk sei tendenzioös – mit Tendenz zu Rot-Grün.

Wer sich in Bayern die Welt aus Sicht von SPD und Grünen erklären lassen will, der kann SZ oder AZ lesen – oder die BR-Nachrichten einschalten. Man muss es so hart sagen: Der Bayerische Rundfunk, vor allem der Hörfunk, hat sich in den vergangenen Jahrzehnten zum Bayerischen Rotfunk entwickelt – genauer gesagt: zum Rot-Grün-Funk. (Quelle: Bayernkurier)

BWAHAHAHAHA!! BWAHAHA! HAHAHAHAHAHA!! Es kommt nicht oft vor, dass man derartig absurden Blödsinn lesen muss. Der BR ist durch und durch schwarz, liebe Redakteure des Bayerkuriers.

Wenn ihr das nicht glauben wollt, dann hört doch mal „Sonntags um 11“ mit Max Stocker auf B5. Das ist so schwarzbraun wie die Haselnuss, wenn Euch da keiner abgeht, dann weiß ich auch nicht. Rotfunk? Schwachsinn!! Aufs Bayerische Fernsehen will ich gar nicht erst eingehen…

BR, brr, brrrr.

Quo vadis, ÖRR? Gestern Abend höre ich schnell noch „Das war der Tag“ auf D-Radio und dann war das auch der Tag: Verkündet wurde, dass einer von Merkels Schoßhunden, der CSU-Politiker und derzeitige Regierungssprecher Ulrich Wilhelm Intendant des Bayerischen Rundfunks wird.

Wilhelm, Sohn des langjährigen Landtagsabgeordneten Paul Wilhelm (CSU) weist die typische Karriere eines CSU-Journalisten auf: Begonnen hat er, wer erräts? Beim Bayerischen Fernsehen. Als Chefredakteur (Gut, vorher war er ein „Freier“ – aber das soll mal nicht stören). Dann kam er mit Stoiber in die Bayerische Staatskanzlei, hernach wurde er Pressesprecher des Ministerpräsidenten und der Bayerischen Staatsregierung und dann, 2004 wurde er Ministerialdirektor bei Goppel. Der Sprung nach Berlin gelang, weil Merkel ihn ein Jahr später holte, als Regierungssprecher und Chef des Presse- und Informationsamtes der Bundesregierung. Und gestern? Gestern wurde er vom Rundfunkrat zum neuen Intendanten gewählt.

Staatsferne? Dass ich nicht lache. Wer sich den gestrigen Artikel der taz durchliest, der sieht, aus welchem Holz der Herr Wilhelm geschnitzt ist. Beim Absägen Bredners hatte er die Finger im Spiel. Kurz von der Wahl in Sachsen wollte er Merkel klammheimlich und leise zum Exklusivinterview ins MDR-Fernsehen lancieren (was ihm zum Glück nicht gelungen ist). Nach der gescheiterten Mission habe er wohl auch heftig nachgetreten.

Da kann – schon vor der Wahl – auch der sonst eher nachdenklich gestimmte und stilsichere Bredner nicht mehr an sich halten:

Kurz vor der Wahl, wird die Kritik an der Kandidatur Wilhelms nun auch schärfer. Vor dem Bremer Presse-Club äußerte sich nun auch der geschasste ZDF-Chefredakteur Brender. Er finde es verwunderlich, dass sich die Empörung bislang „nur so gezügelt“ zeige. Er finde es hoch erstaunlich, dass Wilhelm „ohne Zwischending vom Regierungssessel auf den Intendantensessel wechseln“ könne, sagte Brender laut Radio Bremen. Durch diesen Fall bekämen erneut die Kritiker recht, die dem öffentlich-rechtlichen Rundfunk Staatsnähe attestierten. (Quelle: DWDL.de)

Und auch bei den Piraten sieht man die Wahl Wilhelms kritisch:

Damit erweitert sich erneut die Einflussnahme der Politik auf den öffentlich-rechtlichen Rundfunk. Im letzten Jahr hatte bereits die hessische CDU die Absetzung des ihr nicht genehmen ZDF-Chefredakteurs Brender durchgesetzt und dadurch für Irritationen gesorgt.

Im Blog Web-Quantensprung bringt man es unter der Überschrift „Merkelgate: Die Alte macht den Berlusconi“ auf den Punkt:

Damit ist eine weitere Medienstation eindeutig in den Händen der CDU. Das ist Merkelgate, mich packt die Wut.

Ich bin mal gespannt, wie er sich machen wird. Etliche sagen ja, dass es schlimmer als beim Gruber nicht werden kann. Wenn man sich aber mal ansieht, wie sich das „lächelnde Fallbeil“ (taz) in der Vergangenheit so gerierte, wäre ich mir da nicht mehr so sicher.