Zu meinen vielfältigen Interessen gehören unter Anderem:

Geheimdienste

Sie sind so alt wie die Menschheit und so faszinierend wie es kein Hollywood Thriller sein könnte. Ihre geheimen Operationen wurden teils legendär Andere sind bis heute unter Verschluss. Manche sind geläufig von anderen wissen wir kaum den Namen doch eines haben alle gemeinsam - Skrupel sind ihnen eher fremd, Erpressung, Lüge und auch Mord gehören zu ihrem Handwerk und selbst die ärmsten Staaten leisten sich mindestens einen.Wer ihre Techniken, Tricks und Kniffe kennt verfügt über ein gutes Repertoire am Schutzmöglichkleiten seiner Privatsphäre.

Das Nachfolgende habe ich der internationalen Presse entnommen:

Geheimdienste sind meist Behörden und in den verschiedenen Herkunftsländern ganz unterschiedlich organisiert. Was sie alle gemeinsam haben: Sie sammeln Informationen mit nachrichtendienstlichen Mitteln - und werten diese aus. Dabei geht es meist um außen, innen- oder sicherheitspolitische Belange. Immer wieder wird Kritik an den Diensten laut. Geheimdienste wie die amerikanische NSA spionieren Millionen Menschen ohne Rücksicht auf Datenschutz oder Persönlichkeitsrechte aus.

Hier einmal eine kleine Auswahl der bekanntesten Vertreter dieser Zunft

CIA

NSA

MI5

MI6

DGSE

DST

MIT

FSB

MOSSAD

SHIN-BET

Ministerium für Staatssicherheit

ASIO

PET VEVAMA CSIS SREL AIVD BVT NDB

Merkwürdige Vorfälle und Forschungsprojekte

Die Operation Artischocke war ein umfangreiches, geheimes Forschungsprogramm der Central Intelligence Agency (CIA) über Möglichkeiten der Bewusstseinskontrolle vom 20. August 1951 bis 20. April 1953. Vorgängerprojekt war das Projekt BLUEBIRD, Nachfolger das Projekt MKULTRA.

Operation Mincemeat

Operation Mincemeat
was a successful British deception operation of the Second World War to disguise the 1943 Allied invasion of Sicily.

Der Wissenschaftler Frank Olson
arbeitete für die CIA an Versuchen zur Bewusstseinskontrolle. 1953 stürzte er aus dem 10. Stock eines Hotels in New York. Brachte ihn der Geheimdienst um?

False Flag Operationen

Operationen unter falscher Flagge, so genannte False Flag Operations, sind nichts Neues und werden seit jeher von allerlei Regierungen auf der ganzen Welt durchgeführt, um den Lauf der Dinge zum eigenen Zweck zu manipulieren. Meist werden diese Inside Jobs erst Jahrzehnte später oder überhaupt nie zugegeben, in einigen Fällen rutschen hochrangigen Abgeordneten, Militärs oder anderen Eingeweihten auch versehentlich Aussagen dazu heraus. Im Folgenden eine Liste von offiziell bestätigten False Flag Ops, die im Nachhinein freiwillig oder unfreiwillig zugegeben wurden.

Japan, 1931

Japanische Truppen lösten im Jahr 1931 eine kleine Explosion auf einer Bahnstrecke aus und schoben es auf China, um eine Invasion in der Mandschurei zu rechtfertigen. Dies ist bekannt als der „Mukden-Zwischenfall“. Vor einem internationalen Gericht wurde festgestellt: Einige der Teilnehmer des Plans, einschließlich Hashimoto [ein hochrangiger japanischer Offizier], erklärten bei verschiedenen Anlässen ihre Rolle und bestätigten, dass das Ziel der ‚Zwischenfall‘ gewesen sei.

Sowjetunion, 1939

Der sowjetische Führer Nikita Chruschtschow gab schriftlich zu, dass die Rote Armee das russische Dorf Mainila im Jahr 1939 selbst beschoss und man es Finnland in die Schuhe schob, als Grundlage für den „Winterkrieg“ gegen Finnland. Russlands Präsident Putin und dessen Vorgänger Boris Jelzin bestätigten, dass Russland der Aggressor war.

Sowjetunion, 1940

Das russische Parlament räumte ein, dass der sowjetische Führer Josef Stalin seiner Geheimpolizei den Befehl erteilte, 22.000 polnische Offiziere und Zivilisten im Jahr 1940 zu ermorden und es auf die Deutschen zu schieben. Putin wie auch der ehemalige sowjetische Staatschef Gorbatschow bestätigten beide, dass die Sowjets für das Massaker von Katyn verantwortlich waren.

Israel, 1954

Israel räumte ein , dass man während des Krieges gegen Ägypten Bomben in mehreren Gebäuden platzierte, darunter US-Botschaften, und hinterher Beweise lieferte, um es Arabern anzulasten.

USA, 1950er

Die CIA gibt zu, dass sie in den 1950er Jahren Iraner anheuerte, die sich als Kommunisten ausgeben und Bombenanschläge auf Ziele im Iran verüben sollten, um die Bevölkerung gegen den gewählten Präsidenten aufzubringen.

Türkei, 1955

Der türkische Ministerpräsident hat zugegeben , dass die türkische Regierung im Jahr 1955 einen Bombenanschlag auf ein türkisches Konsulat in Griechenland verübte, wodurch auch der Geburtsort Atatürks beschädigt wurde, und schob es auf die griechische Regierung.

Großbritannien, USA, 1957

Der britische Premierminister sagte, dass sein Verteidigungsminister und der amerikanische Präsident Dwight D. Eisenhower im Jahr 1957 einen Plan für Attentate in Syrien fertig gestellt hatten. Man wollte die Schuld der syrischen Regierung geben und einen Regimewechsel herbeiführen.

USA, 1950er

Der ehemalige italienische Ministerpräsident, ein italienischer Richter, und ehemaliger Leiter der italienischen Spionageabwehr gestand, dass die NATO mit Hilfe des Pentagon und der CIA Terroranschläge in Italien und anderen europäischen Ländern in den 1950er Jahren verübte, und die Schuld den Kommunisten gab. Man wollte eine antikommunistische Stimmung in Europa schaffen. So heißt es: „Man musste Zivilisten attackieren, Männer, Frauen, Kinder, unschuldige Menschen und unbekannte Leute, die weit entfernt des politischen Spiels waren. Der Grund war ganz einfach: Man wollte diese Menschen, die italienische Öffentlichkeit, dazu zwingen, sich an den Staat wenden, damit dieser für mehr Sicherheit sorgt.“

Auch in Frankreich, Belgien, Dänemark, Deutschland, Griechenland, den Niederlanden, Norwegen, Portugal, Großbritannien und anderen Ländern wurden Terroranschläge inszeniert.

USA, 1960

Im Jahr 1960 hat der amerikanische Senator George Smathers vorgeschlagen, dass die USA einen Angriff auf auf Guantanamo Bay inszenieren, um einen bewaffneten Konflikt herbeizuführen, um den USA eine Legitimation für den Sturz Castros zu geben.

USA, 1961

Im Jahr 1961 diskutierten hochrangige Beamte der US-Regierung die Sprengung eines Konsulats in der Dominikanischen Republik, um eine Invasion zu rechtfertigen. Die Pläne wurden nicht umgesetzt.

USA, 1962

Im Jahr 1962 sollten US-Flugzeuge in die Luft gesprengt und terroristische Aktivitäten auf amerikanischem Boden inszeniert werden, um Kuba dafür verantwortlich zu machen und einen Grund für einen Krieg zu erhalten.

USA, Operation Mongoose, 1962

Das US-Verteidigungsministerium hatte damals vorgeschlagen, einige Personen aus der Castro-Regierung zu bezahlen, damit Kuba die Vereinigten Staaten angreift.

USA, 1963

Im Jahr 1963 sollten Attentate auf amerikanische Staaten wie Trinidad-Tobago oder Jamaika durchgeführt werden, um es Kuba anzulasten.

GCHQ
Wie der Westen im Netz trickst und täuscht
Russland manipuliert soziale Medien? Westliche Geheimdienste nutzen die gleichen Methoden. Mustafa Al-Bassam hat es selbst erlebt, als er Ziel einer britischen Undercover-Aktion wurde. US-Geheimdienste sagen: Russische Trolle haben 2016 Debatten im Internet manipuliert, um Donald Trump zu helfen, Präsident zu werden. Getarnt hinter falschen Nutzerkonten sollen sie Vorwürfe gegen Hillary Clinton ins Maßlose übertrieben und versucht haben, die USA innenpolitisch weiter zu polarisieren. Angeblich geschah all das mit Rückendeckung des Kremls. Dabei greifen westliche Staaten zu ähnlichen Mitteln, um politischen Einfluss im Ausland auszuüben. Sie arbeiten mit falschen Identitäten und manipulieren Webseiten.

Joint Threat Research Intelligence Group (JTRIG) heißt die Unterabteilung des britischen Geheimdienstes GCHQ, die Al-Bassam für die Tricks verantwortlich macht. Ihre Existenz wurde 2013 von NSA-Whistleblower Edward Snowden enthüllt. Dokumente zeigten, dass die Einheit vor praktisch nichts zurückschreckt: Infiltration und Aktionen unter "falscher Flagge", "Disruption" und "Diskreditierung" stehen im Mittelpunkt ihrer Aktionen. Auch sexuelle "Honigfallen" gehören demnach zum Repertoire der Einheit. Außerdem bauten sie Facebook-Gruppen oder andere Online-Foren auf, um dort Debatten zu überwachen und zu steuern. Es gehe darum, "Misstrauen zu säen, abzuschrecken".

Hitlers Mann am Bosporus

Codename Cicero: Elyesa Bazna gilt als berühmtester türkischer Spion, ein neuer Film rankt weitere Legenden um ihn. Wer war der Arien singende Agent wirklich, der vor 50 Jahren in München starb? Geboren 1904 in Priština, heute Hauptstadt Kosovos, gestorben 1970 in München. Als Arbeitslosengeldempfänger, der sich um seinen Lohn, den Lohn der Angst, betrogen sah - und selbst ein Betrüger war. Ein Leben wie ein Schelmenroman oder ein orientalisches Schattenspiel. Und ein vergessenes Kapitel der deutsch-türkischen Geschichte. Auf dem Friedhof im Süden Münchens gibt es auch zwei Ehrenhaine für Opfer der Konzentrationslager und Gräber polnischer Soldaten aus dem Zweiten Weltkrieg. Dies war nicht Elyesa Baznas Krieg, aber er wurde in diesem Krieg dann doch Täter - und Opfer.

"Meine Lebensgier war unersättlich: Genuss, Gier und geheime Macht" Bazna war 1943 Kammerdiener des britischen Botschafters in Ankara. Die Türkei war ein neutrales Land, um dessen Gunst viele warben: Die Briten, sie hätten die Türkei gern auf ihre Seite gezogen; und die Deutschen, die genau das verhindern wollten und damit drohten, Istanbul und Izmir zu bombardieren, sollte die Türkei dem Dritten Reich den Krieg erklären. Die türkische Hauptstadt war damals voll von Agenten, und Eylesa Bazna entdeckte, dass er für diese Tätigkeit die besten Voraussetzungen mitbrachte. Niemand rekrutierte ihn, das machte er selbst, und er verkaufte sein Wissen sehr teuer an ein Land, mit dem ihn nicht wirklich etwas verband. Bazna war kein Nazi, aber er belieferte das Hitler-Regime mit geheimsten Dokumenten der Alliierten. Seiner Quelle, dem britischen Botschafter Sir Hughe Knatchbull-Hugessen, reichte er jeden Morgen eine frisch gebügelte Hose und ein gebürstetes Jackett und jeden Abend den Pyjama und dazu ein starkes Schlafmittel. Dann nahm er die geheimen Dokumente aus einer Kassette am Bett des Botschafters, fotografierte sie im Dienstbotenzimmer und legte sie zurück auf den Nachttisch. Oder er öffnete den Safe des Diplomaten, mit einem selbst angefertigten Nachschlüssel. Dabei plagte Bazna stets die Furcht, entdeckt zu werden. Wäre das geschehen, er hätte es wohl nicht überlebt. Das wusste der Spion in der Butleruniform, er erkannte schließlich die Brisanz der Papiere, die er kopierte und an den deutschen Botschafter in Ankara, den ehemaligen Reichskanzler Franz von Papen, weiterreichte. Warum riskiert einer alles für Kriegsherren, die ihm nichts bedeuten? Aus Abenteuerlust, der Gier nach Geld? Es gibt viele Versionen dieser Geschichte voller Geheimnisse - und seit Neuestem auch einen türkischen Spielfilm mit dem Titel "Çiçero". Der versucht das Husarenstück, den Spion zu einem Helden zu machen, ohne die Nazis, denen er diente, irgendwie gut aussehen zu lassen. Deshalb handelt der Agent hier in höherem Auftrag. Schemenhaft erscheint am Ende Kemal Atatürk, der Republikgründer. Der starb zwar schon 1938, aber so wie es der Film erzählt, soll er Bazna persönlich noch angewiesen haben, die Türkei aus einem neuen "schmutzigen Krieg" herauszuhalten, und zwar als Mitglied "der nationalen Geheimorganisation". Bazna, gespielt von dem blendend aussehenden, in der Türkei beliebten Erdal Besikçioglu, antwortet Atatürk: "Zu Befehl, mein Pascha." War Cicero also in Wahrheit ein türkischer Spion? Oder ein Doppelagent? Bazna schreibt in seinen Erinnerungen welch "seltsamen Weg" dieses Geld ging, er begann und endete auch in der Türkei: "Zu Beginn des Krieges lieferten türkische Webereien Leinen nach Deutschland." In ähnlicher Qualität ließ sich solcher Stoff andernorts nicht auftreiben. Dieses türkische Leinen sei dann zu Papier derselben Art verarbeitet worden, wie es die Bank von England benutzte. Davon erfuhr Bazna aber erst nach dem Krieg, als er tatsächlich wegen der Blüten aufgeflogen war, und zwar in Istanbul. Auch davon erzählt er in seinen Erinnerungen mit dem Titel "Ich war Cicero". Aufgezeichnet hat sie der deutsche Autor Hans Nogly in München, zuerst für die Illustrierte Revue. Das Buch erschien 1964 im Lichtenberg Verlag. Der erste Satz dieser Autobiografie klingt wie ein Bekenntnis: "Meine Lebensgier war unersättlich." Und Bazna erzählt auf 320 Seiten, was ihn bewegte: "Genuss, Geld, geheime Macht." Er beschreibt sich als "hässlich", klein, mit klobiger Nase, "bäurisch und auf den ersten Blick unbeholfen". Aber er liebte die Frauen, viele Frauen - zu viele für das türkische Leinwandepos, das sich sittsam auf eine einzige Liebesgeschichte beschränkt.

Pegasus, Trojaner, Exodus - Wie Staaten Handys ausspionieren

Wolfgang Schäuble war plötzlich überall. 2007 tauchte sein Kopf im Straßenbild auf, an Wände gesprüht, auf T-Shirts gedruckt. Dazu der polemische Slogan: "Stasi 2.0". Ein Mediengestalter hatte die "Schäublone" - die Schäuble-Schablone - entworfen, und damit eine virale Kampagne, die aus dem Netz ins analoge Deutschland schwappte. Sie richtete sich gegen die Pläne des damaligen Bundesinnenministers für die sogenannte Online-Durchsuchung. Ermittler sollten Computer, später auch Handys, mit Software infizieren können, um Daten aus den Geräten auszulesen. Schäubles Ideen sind heute in deutschen Gesetzen verankert. Allein das Bundeskriminalamt hat drei Formen von Trojaner-Software zur Verfügung, um Smartphones und Computer auszulesen. Neue Polizeigesetze ermöglichen auch Ländern wie Bayern oder Baden-Württemberg den Einsatz solcher Technik. Denn nicht nur in Staaten wie China interessieren sich Politiker dafür, heimlich Software auf die Handys von Menschen zu schleusen, um sie auszuhorchen. Der deutsche Staatstrojaner wird auf zweierlei Weise eingesetzt: Bei der Online-Durchsuchung inspiziert die Software das Handy wie eine Wohnung - ohne, dass der Betroffene etwas davon merkt. Eine andere Variante schneidet die Kommunikation praktisch live mit, ohne Fotos und Dokumente aus dem Speicher des Gerätes abzugreifen - so stellen es zumindest die Verantwortlichen dar. Diese sogenannte Quellen-Telekommunikationsüberwachung hat für die Überwacher den Vorteil, dass sie etwa Whatsapp-Nachrichten abgreift, bevor die Chat-App sie verschlüsselt und unlesbar zum Gesprächspartner schickt. Das Innenministerium verwahrt sich gegen die Benutzung des Begriffs "Trojaner" - der bezeichne " in der Regel Schadprogramme, die widerrechtlich auf informationstechnischen Systemen ausgeführt werden". Und das BKA setze ihn ja nur legal ein, das Bundesverfassungsgericht hat den Einsatz reglementiert. Auch gegen die Neufassung der Strafprozessordnung von 2017 liegen dem höchsten Gericht wieder Verfassungsbeschwerden vor. Die Änderungen erlauben die Methode für einen langen Katalog von Straftaten, darunter nicht nur Hochverrat, Vergewaltigung, Mord, Drogenhandel, Kriegsverbrechen. Die Beschwerde der Gesellschaft für Freiheitsrechte wendet sich dagegen, dass auch Verstöße gegen das Asyl- und Aufenthaltsgesetz sowie Hehlerei und Geldfälschung aufgenommen wurden. Die Straftaten seien nicht gravierend genug, die Überwachung privatester Daten zu rechtfertigen. Der Betroffene entsperrt sein Handy per Pin oder Fingerabdruck. Dann wird das Gerät an dein spezielles Terminal angeschlossen, dass das Innenministerium bei einem Unternehmen für IT-Forensik eingekauft hat. Nun fließen die Daten ab. Um Herkunft und Reiseroute eines Asylbewerbers zu überprüfen, nutzen die Beamten unter anderem die Sprache, in der Nachrichten verfasst sind, die Ländercodes der gespeicherten Kontakte, und Geodaten, die Auskunft darüber geben, wo die Person - genauer: das Handy - sich wann aufgehalten hat.

Operation „Honigbiene“

Wer über den Landweg nach China einreist, muss wissen, was ihm blüht: Die Grenzpolizei fällt über das Smartphone her, eine App saugt dann viele private Informationen ab. Eine Recherche aus einem beispiellosen Überwachungsstaat. Peter H muss seinen Koffer auspacken. Wäsche, Duschzeug, Souvenirs seiner bisherigen Reise auf der alten Seidenstraße durch Asien. Peter H, der in Wahrheit anders heißt, will weiter über die Grenze nach China, chinesische Beamte filzen ihn und sein Gepäck. H ist nervös, seine Hände zittern, als er Postkarten einer Moschee hervorholt. „Wo ist das?“, fragt ein Beamter, während ein anderer Hart filmt. Als Nächstes entdeckt der Grenzpolizist einen „Lonely Planet“-Reiseführer, den Hart dabei hat; darin ist ein Mann mit Turban zu sehen, offenbar ein Muslim. „Kennen Sie diesen Mann?“, fragt ihn der Polizist auf Chinesisch und deutet auf das Foto. Wie viele andere Touristen und Geschäftsreisende ging H davon aus, dass von der massiven chinesischen Überwachung in der Region nur Einzelne betroffen sind. Seinen Urlaub wollte er sich davon jedenfalls nicht ruinieren lassen. Es kam dann allerdings alles etwas anders. Die Kontrolle an diesem Checkpoint ist so aufwendig, dass die chinesische Polizei dafür eine Halle errichtet hat. H hat sich bereits im Nacktscanner dreimal drehen müssen, um von allen Seiten erfasst zu werden. Dann das Gepäck: Für seine mehrwöchige Asienreise hat er nur einen kleinen Koffer dabei, nach einer Viertelstunde sind die Beamten damit fertig. Aber die wichtigste Durchsuchung folgt noch: die des Smartphones. Ein Grenzpolizist verlangt H Handy, lässt ihn die PIN-Nummer eintippen und verlässt den Raum. An der Wand steht der Slogan der chinesischen Grenzpolizei, die sich „Sonnenschein-Service“ nennt und eine „bequeme, sofortige und intelligente“ Einreise verspricht. Peter H Handy wiegt nur einen Bruchteil dessen, was sein Koffer wiegt, aber es verrät mehr über ihn, als es ein Gepäckstück je könnte. Es verrät, wen er liebt und wen er hasst. Es verrät, wann er aufgestanden ist, wohin er reist, wen er getroffen hat und wen er treffen will. Keine Erfindung hat den Menschen so durchsichtig gemacht wie das permanent vernetzte Smartphone, dem jeder so viel anvertraut. H Smartphone liegt jetzt in einem Raum, der nicht viel größer ist als eine Abstellkammer. Hart darf diesen Raum nicht betreten, eine SZ-Reporterin aber bekommt Zugang. Auf einem Tisch liegen ein Dutzend Handys, jedes Gerät auf dem Pass seines jeweiligen Eigentümers. Mehr als ein Dutzend Personen haben an diesem Morgen die Grenze überquert – europäische und asiatische Touristen, kirgisische Lkw-Fahrer und chinesische Unternehmer haben ihre Smartphones, Tablets und Computer abgeben müssen. Weil der Polizist an vielen Geräten gleichzeitig arbeitet, verwechselt er sie öfters, später muss er Reisende darum bitten, ihm bei der Zuordnung zu helfen. Ein Grenzbeamter verbindet Harts Handy mit einem Wlan-Netz und lädt eine App auf das Gerät, 3,9 MB, so groß wie zwei Fotodateien. Auf Harts Bildschirm erscheint eine weiße Oberfläche mit zwei Feldern. Auf einem steht „Durchsuchung starten“, auf dem anderen „deinstallieren“. Der Polizist tippt auf „Durchsuchung starten“. Der Abfluss persönlicher Daten an den chinesischen Staat beginnt.

Doch wird dieser Staat jetzt selbst ein bisschen durchsichtiger?

Denn zum ersten Mal ist es gelungen, die chinesische Überwachungsapp zu durchleuchten. Die App zeigt, wie leicht sich das Leben eines Menschen durchforsten lässt, wenn man sein Mobiltelefon anzapft. Und sie gewährt einen Einblick in die Methoden und in die Denkweise des chinesischen Staats, der den wohl größten Überwachungsapparat der Welt betreibt. Chinas Präsident Xi Jinping hat diesen Apparat zuletzt massiv ausgeweitet. Das chinesische Internet gehört zu den am stärksten zensierten Netzen weltweit. Im ganzen Land hat die Regierung Kameras aufhängen lassen. Mithilfe eines Sozialkreditsystems will Chinas Regierung Menschen künftig nach ihrer Leistung, ihrem Verhalten sowie ihren Finanzen bewerten. Millionen Menschen dürfen bereits nicht mehr im Schnellzug fahren oder mit dem Flugzeug fliegen – als Strafe. Die App ist ein weiterer Baustein in diesem System. Ron Deibert vom Citizen Lab in Toronto nennt sie Teil des „dystopischen Plans“ Chinas, mit einer Kombination aus „Technologie und politischer und sozialer Kontrolle“ die Region Xinjiang in ein „digitales Gefängnis“ zu verwandeln. „Solche Apps sind eine große Gefahr für zivilgesellschaftliche Freiheiten, die Meinungs- und Versammlungsfreiheit“, sagt er. Die digitalen Forensiker der Berliner Firma Cure 53, die der Open Technology Fund beauftragt hat, kommen zu einem ähnlichen Ergebnis: Die App könne zweifellos enorme Mengen sehr spezifischer Daten sammeln. „Mit Sicherheit kann dieses Material die Grundlage dafür bilden, gegen eine bestimmte Gruppe (oder Gruppen) von Bürgern vorzugehen“, heißt es. Dies sei eine Menschenrechtsverletzung. Zu Anfragen für diese Recherche wollten sich weder Chinas Zentralregierung noch die Provinzregierung in Xinjiang äußern. Auch die Firma Nanjing Fiberhome Starry Sky Communication Development, die die App entwickelt hat, schweigt. Bekannt war bisher, dass chinesische Behörden die Bürger in der westchinesischen Provinz Xinjiang zwingen, Überwachungsapps auf ihre Handys zu spielen. Das Auswärtige Amt schreibt in seinen Reisehinweisen für die Provinz, dass mit der Kontrolle von Smartphone und Kameras zu rechnen sei. Neu ist, dass der Staat sämtliche Geräte von Ausländern ausforscht, die über den Landweg einreisen – offenbar ohne Anfangsverdacht. Betroffen sind Geschäftsleute und Touristen aus aller Welt, auch aus Deutschland, die über die Grenze zwischen Zentralasien und dem chinesischen Westen einreisen. Darunter mindestens beide Grenzübergänge in Kirgisistan. Fünf Stunden, bevor H sein Handy abgeben muss, ist er in der kirgisischen Siedlung Sarytasch, 70 Kilometer westlich der Grenze, aufgebrochen. Er will nicht, dass zu viele Details über ihn bekannt werden, aus Angst, nicht mehr nach China reisen zu dürfen. Seinen Namen hat die SZ-Redaktion zu seinem Schutz geändert. Zu Beginn seiner Reise war H einverstanden damit, dass ihn eine Reporterin begleitet, und er wollte sich auch zitieren lassen. Immerhin sei die staatliche Überwachung in China eine Sauerei, sagte er. In Europa, sagt er, würde man so etwas nie hinnehmen. Um sechs Uhr morgens ist H an diesem Tag aufgestanden, er isst eine Schale gesüßten Reisbrei und steigt ins Auto. Um nach China zu gelangen, wählt er den Weg über den 3700 Meter hohen Irkeschtam-Pass. Die Fahrbahn ist vereist, es schneit. Einige Lastwagen haben die gefährliche Fahrt entlang der Schluchten in der Nacht abgebrochen und am Straßenrand auf Tageslicht gewartet. Zwölf Checkpoints liegen zwischen H und China. Die ersten vier Kontrollen finden auf kirgisischer Seite statt, wo sich meist ein oder zwei gelangweilte Soldaten auf ihre Maschinengewehre stützen oder Hart darum bitten, Colaflaschen zum nächsten Grenzposten mitzunehmen. Erst die letzten Meter nach China wirken wie der Weg in den Überwachungsstaat. Nachdem H kirgisischen Boden verlassen hat, muss er einige Hundert Meter zu Fuß gehen. Begrüßt wird er auf der anderen Seite von drei bewaffneten Polizisten. Von nun an muss er an jedem Kontrollpunkt sein Gesicht, seinen Pass und sein Gepäck scannen lassen. Dem westlichen Ausländer bringen die Beamten zwar deutlich mehr Respekt entgegen als den kirgisischen Lastwagenfahrern, die sie meist nur anblaffen. Das Misstrauen ist aber das gleiche. Zwölf Stunden wird Hart am Ende brauchen, um den Grenzkorridor zu überwinden, der 140 Kilometer breit ist und zu den abgelegensten und am schwersten bewachten Grenzen der Welt gehört. Und kaum irgendwo auf der Welt werden Menschen so engmaschig kontrolliert wie in der Provinz, in die H einreist. Chinas Zentralregierung befürchtet, dass die etwa zehn Millionen turkstämmigen Muslime, die hier leben, die Unabhängigkeit anstreben könnten. In Xinjiang und anderen Teilen Chinas gab es wegen der Unterdrückung immer wieder Anschläge islamistischer Terrorgruppen und Separatisten auf Sicherheitskräfte und Zivilisten. Um die Provinz unter Kontrolle zu bringen, hat Peking den Ex-Parteisekretär Tibets, Chen Quanguo, in die Region versetzt. Seit seinem Amtsantritt hat er gut 90 000 neue Stellen im Sicherheitsapparat geschaffen und besetzt. Vor einem Jahrzehnt gab es nicht einmal ein Zehntel davon. Die Bevölkerung wird permanent durch Kameras überwacht, die Bewegungsprofile werden gespeichert. Menschen müssen zwangsweise Stimm- und DNA-Proben abgeben. Moscheen wurden abgerissen, andere stehen unter Beobachtung. Islamunterricht ist verboten, ebenso religiöse Zeichen wie Bart oder Kopftuch. Mindestens eine Million Menschen sollen nach Schätzungen der Vereinten Nationen in Arbeitslagern festgehalten werden – ohne Gerichtsverfahren. In den Lagern werden sie gezwungen, Chinesisch zu sprechen, Reden von Präsident Xi auswendig zu lernen und sich zu „sinisieren“, wie es die KP nennt. Das heißt, dass sie sich anpassen sollen an die Lebensweise der Han-Chinesen, die 90 Prozent der Bevölkerung ausmachen. Die Organisation Amnesty International spricht von einer der „größten Menschenrechtsverletzungen weltweit“. China nennt es einen Beitrag zum Kampf gegen den Terror. Der Tourist Hart aber ist kein Terrorist, sondern nur ein Reisender, der sich für Zentralasien interessiert, für die Moscheen, die Menschen und das Essen. Die App, die bei der Einreise auf seinem Handy installiert wird, ist für ihn erst auf den zweiten Blick zu erkennen. Sie taucht auf seinem Bildschirm inmitten anderer Apps auf, zwischen Facebook und Whatsapp. Das Logo der App ist unscheinbar, es ist der grüne Roboter mit Antennen auf dem Kopf, der das Google-Betriebssystem Android symbolisiert. Es sieht so aus, als gehöre das chinesische Spionageprogramm zur gewöhnlichen Ausstattung seines Smartphones. Sieht man genau hin, erkennt man unter dem Roboter den Namen der App, Fengcai, was in etwa „sammelnde Honigbienen“ bedeutet. Reiseagenturen in Kirgisistan berichten, dass diese Software mindestens seit 2018 auf die Handys von Touristen aufgespielt werde. Die SZ hat mit Betroffenen gesprochen, deren Einreise mehr als eineinhalb Jahre zurückliegt. Was also sammeln die Honigbienen? Die knappe Antwort: So gut wie alles. Die App fragt 20 Berechtigungen an; tatsächlich nutzt sie dann den Zugriff auf Kalender, SMS, Kontakte, Speicher, Standort, Anruflisten, Telefonnummer. Das sind fast alle wesentlichen Funktionen. Wie ein Bienenschwarm es auf einer Blumenwiese tun würde, ällt die Fengcai-App über das Gerät her und saugt möglichst viel Honig. Die App, die die SZ untersucht hat, läuft nur auf Geräten mit dem Google-Betriebssystem Android. iPhones dagegen liest der Staat offenbar aus, indem er ein externes Aggregat an die Ladebuchse des Handys anschließt, so legen es Beobachtungen am Grenzposten nahe. Die App sortiert die erlangten Daten, stellt sie in Tabellenform zusammen und sendet diese Übersichten bereits im Grenzposten als Teil eines „Reports“ über Wlan an einen Computer: An diesem Rechner können die Sicherheitsbeamten die Erstauswertung studieren. Diese beinhaltet sämtliche Kalendereinträge, Anruflisten, Kontakte und SMS. Übertragen werden auch die Profilbilder aller Kontakte auf dem Smartphone. Gleichzeitig bereitet die App die erlangten Informationen maschinell lesbar auf und sendet diese Datensätze mit den Informationen aller auf dem Gerät installierten Apps an den Computer im Grenzposten. Was damit geschieht, ist unklar, womöglich werden die Daten an eine zentrale Polizeidatenbank geschickt und dort systematisch ausgewertet. So ließe sich zum Beispiel feststellen, ob eine Kontaktperson des Reisenden ebenfalls eingereist ist. Ein Teil der App sucht zudem nach Log-ins von chinesischen sozialen Netzwerken sowie Daten einer Navigationsapp. Aber die „Honigbienen“ können noch mehr, wie ein Test zeigt. An der Ruhr-Universität Bochum legen die Experten ein Smartphone, auf dem die Überwachungsapp gespeichert ist, in eine Metallbox. Dieser Kasten soll das Gerät vom deutschen Mobilfunknetz abschirmen. Im Inneren der Metallbox wurde zugleich ein Wlan-Netz eingerichtet. Dieses Umfeld soll jenem an der chinesischen Grenze entsprechen, die chinesische App dürfte sich dementsprechend so verhalten, wie sie es am Grenzposten tun würde. Nun starten die Techniker den Scan-Modus der App. So sieht die Anwendung aus, wenn man sie startet. Und tatsächlich meldet diese sofort ein Ergebnis: eine verdächtige Datei, die auf dem Handy gespeichert wurde. Die App meldet den Fund mit einer Anzeige auf dem Bildschirm und einem Piepton, der von einem Computerspiel stammen könnte. So offenbart sich eine weitere Eigenschaft des chinesischen Überwachungs-Programms. Die „Sammelnde Honigbienen“-App durchsucht das Smartphone nämlich auch nach Inhalten, die aus Sicht der chinesischen Regierung verdächtig sind. Dazu nimmt die App eine Art Fingerabdruck von Dateien, die auf dem Smartphone gespeichert wurden. Diese sogenannten Hashwerte gleicht sie mit einer Datenbank innerhalb der App ab, die 73 315 Einträge enthält. Alle diese 73 315 Dateien sind aus Sicht der chinesischen Regierung dubios. Dazu gehören Inhalte, die klar terroristisch sind: Pamphlete der Organisation „Islamischer Staat“ oder dschihadistische Gewaltvideos. Die App sucht etwa nach Ausgaben des Dschihadisten-Magazins Inspire, das unter anderem erklärt, wie man zu Hause eine Bombe baut. Es finden sich auch Videos mit Enthauptungen aus dem Irak und Aufnahmen des deutschen Islamisten Denis Cuspert, der wohl vor mehr als einem Jahr in Syrien getötet wurde. Andere Videos zeigen Enthauptungen durch Mitglieder mexikanischer Drogenkartelle. Findet die App eine solche Datei auf dem Telefon, gibt sie einen Piepton ab, der die Grenzbeamten warnen soll. Außerdem zeigt sie auf dem Smartphone-Bildschirm mit roten Ziffern an, wie viele verdächtige Dateien sie ermittelt hat. Die SZ und ihre Partner haben aus dem Konvolut der 73 315 als verdächtig eingestuften Dateien gut 500 näher untersucht. Ergebnis: Der chinesische Staat sucht nicht nur nach islamistischen oder terroristischen Inhalten. Einige Dateien, in denen Arabisch gesprochen wird oder die auf Arabisch verfasst wurden, beinhalten harmlose Aufnahmen von Koran-Suren, die gläubige Muslime auf dem Handy speichern. Eine andere Datei, nach der die App sucht, ist die Aufnahme einer japanischen Metalband, eines ihrer Alben heißt: „Taiwan – another China“. Andere Dateien haben mit Tibet und dem Dalai Lama zu tun, etwa eine Biografie, die eine Organisation in Taiwan herausgegeben hat. Tibet gehört aus Pekinger Sicht zu China, der Status ist aber umstritten. Taiwan ist ein unabhängiger Staat, auf den Peking Anspruch erhebt. Folglich sucht die chinesische App auch nach Material, das in einem europäischen Land als völlig harmlos gelten würde, etwa über die drei verbotenen Ts – Taiwan, Tibet und Tiananmen (der Platz des Himmlischen Friedens in Peking, auf dem der chinesische Staat 1989 einen Studentenaufstand niederschlug) – sowie nach Inhalten, die auch in China zumindest offiziell von der Religionsfreiheit abgedeckt sein sollten. Es ist eine Sammlung, die belegt, wie groß die Paranoia im neuen China unter Präsident Xi Jinping inzwischen geworden ist, und wie sie sich gegen immer mehr Aspekte des gesellschaftlichen und kulturellen Lebens des Landes richtet. Natürlich nutzen auch westliche, demokratische Staaten Software, um die privaten Daten von Verdächtigen auszuspähen und an der Grenze zu durchsuchen. Um an vertrauliche Kommunikation auf Geräten zu kommen, nutzen deutsche Sicherheitsbehörden sogar eine Spionagesoftware, etwa den sogenannten Bundestrojaner, der ohne das Wissen des Besitzers auf dessen Geräte gespielt wird und im Verborgenen die Kommunikation protokolliert. Der Einsatz ist allerdings mit rechtsstaatlichen Garantien versehen. Peter Hart, der Tourist, hat die chinesischen Grenzkontrollen nach zwölf Stunden hinter sich. Die App hat in seinem Handy nichts gefunden. Er darf einreisen. Auf den Straßen der Stadt sieht man keine Frauen mehr mit Kopftüchern, Männer tragen keinen Bart. An jeder Straßenecke ist eine Polizeistation zu sehen. Dazwischen marschieren Polizisten in Dreierteams durch die Straßen. Sie tragen Helme, Schutzschilder und Schlagstöcke. Nachts erhellt Blaulicht den Himmel. Hart nimmt ein Taxi in Richtung der Stadt Kaschgar, in der er den Viehmarkt besuchen will. Der Fahrer hat eine Sondergenehmigung bei der Polizei abholen müssen, um den Ausländer zu fahren. Im Taxi sind drei Kameras angebracht, die Gespräche werden mitgeschnitten. Der Fahrer, ein Uigure, schweigt. Nach einigen Tagen in der Provinz wird art sich nicht mehr damit zitieren lassen wollen, was er über das System umfassender Überwachung denkt, und er bittet später darum, seinen wirklichen Namen nicht zu nennen.

Explodierender Tierdung
Im Zweiten Weltkrieg lernten britische Agenten Spezialwaffen in einer geheimen Ausstellung kennen. Die Erfindungen waren mitunter ziemlich kurios - wie später in Filmen von James Bond.
Sondertruppe für Sabotageakte
Die Sondertruppe wurde 1940 von Winston Churchill geschaffen für Sabotageakte in Deutschland und in besetzten Gebieten. Sie galt als seine Geheimarmee. Weil ihr Hauptquartier in der Baker Street lag, wurden ihre Mitglieder auch als "Baker Street Irregulars", als Baker-Street-Spezialeinheit, bezeichnet nach den Hilfsdetektiven, durch die Sherlock Holmes Informationen bekam.
Die SOE konnte wegen der Geheimhaltungsstufe mit unorthodoxen Mitteln operieren, anders als der offizielle Geheimdienst, der Secret Intelligence Service - Bond-Fans als MI6 bekannt. Der sprach sich wiederholt gegen die SOE aus, die er für ein Stümperkommando hielt. Die SOE wurde in den Neunzigerjahren bekannt, als die Regierung Geheimakten aus dem Zweiten Weltkrieg freigab. Doch dass es die Abteilung XVb gab, ebenjenen Raum im Natural History Museum, wurde zufällig 2004 aufgedeckt: Paul Clark, ein Experte für Einsiedlerkrebse, ging dem Hinweis seines Vaters nach, der einst geheime Versorgungsflüge für die französische Résistance unternommen hatte. Clark recherchierte im Museumsarchiv und stieß auf Fotos eines im Krieg geschlossenen Gebäudeflügels mit einer geheimen Spionageausstellung. Angehende Detektive sollten sich hier über den "State of the Art" der Ausrüstung informieren. Zugleich war die Sammlung ein PR-Instrument für die Einheit, die ständig ums Fortbestehen kämpfen musste. Fotos von König George und Königin Elisabeth belegen, dass sie der Einladung der SOE folgten, ein Eintrag im Tagebuch des Diplomaten Bruce Lockhart bezeichnete die Ausstellung als "good show". In sechs Räumen wurden nach Themen geordnet Exponate aus so aufregend klingenden Bereichen wie "Brandsätze und Sprengladungen" oder "Tarnung von Sprengstoffen" gezeigt: als Kohle oder Brennholz getarnte Bomben, die unters Brennmaterial von Zügen gemischt werden konnten, explodierender Tierdung - je nach Einsatzgebiet den Exkrementen von Pferden, Eseln oder Kamelen nachempfunden; auch Attrappen in Obst- und Gemüseform, um sie unter echte Lebensmittel zu schmuggeln. Zu den absurderen Erfindungen gehörten in ausgestopfte Ratten eingenähte Sprengsätze und Schuhe, die Barfußabdrücke hinterließen, um den Feind zu verwirren. Auch neue Maschinenpistolen, Revolver und Haftminen sowie Schwimmausrüstungen und mit Fallschirm abwerfbare Miniaturmotorräder waren zu sehen. Aus der Tarnabteilung kamen detaillierte Nachbildungen von landesspezifischer Kleidung - es sollte kein Spion auffliegen, nur weil seine Kragenknopflöcher horizontal genäht waren wie in Großbritannien üblich, und nicht vertikal wie auf dem Festland. Unglaublicherweise hielt die SOE einen illustrierten Katalog der verfügbaren Gadgets bereit, aus dem die Agenten direkt bestellen konnten. Ob sie auf der Bestellkarte ihren Decknamen oder ihren Klarnamen angeben mussten, ist nicht überliefert. Natürlich war die Ausrüstung wichtig, doch mussten die Agenten auch ein Sondertraining absolvieren, um ihre Tarnidentität zu verinnerlichen und auch als Gefangene und bei Folter aufrechterhalten zu können.

Honigfallen und Mordpläne

Berlin galt während des Kalten Krieges als Drehkreuz für Geheimdienste aus aller Welt. Deutsche Geheimdienstler weisen gerne darauf hin, dass das immer noch der Fall sei. So sollen ausländische Dienste weiterhin von der deutschen Hauptstadt aus Informationen über Oppositionelle in ihrem Heimatland sammeln. Wie im Film, so wurden früher auch in Wirklichkeit Abgeordnete gerne mit heimlich aufgenommenen Fotos von intimen Momenten erpresst, um so an Informationen zu kommen.
In der Welt der Geheimdienste gibt es viele spezielle Begriffe: Von A wie "anwerben" bis Z wie "Zugangslage". Dieser Ausdruck klingt ein wenig verstaubt, aber er passt ganz gut zu dem Fall, um den es hier geht.
Mit "Zugangslage" ist die Menge und die Qualität der Informationen bei einem sogenannten Beobachtungsobjekt gemeint. Parlamente waren schon immer bevorzugte Beobachtungsobjekte für Ausspäher und die chinesischen Geheimdienste gelten als sehr eifrig. In dem Milieu wurde früher auch die "Methode Honigfalle" praktiziert. Abgeordnete wurden von kontaktfreudigen Damen aufgetan und nach dem Liebesspiel mit den heimlich aufgenommenen Fotos kompromittiert. Es wurde erpresst, gelauscht, gespitzelt, desinformiert, entführt und auch gemordet. Berlin war im Kalten Krieg das Drehkreuz der Agentendienste.
Ganz besonders aktiv war der in Ost-Berlin ansässige DDR-Auslandsnachrichtendienst Hauptverwaltung Aufklärung (HVA), der im Bundestag diverse Quellen hatte. Etliche Sekretärinnen von Bundestagsabgeordneten arbeiteten auch für die HVA. Beim Misstrauensvotum gegen den damaligen Bundeskanzler Willy Brandt im Jahre 1972 war die HVA zur Rettung der Regierung Brandt im Einsatz.

Schmiedete Teheran Mordpläne?

Eine schwere innenpolitische Krise löste bald darauf der Fall des Agenten Günter Guillaume aus, der im Auftrag des Ost-Berliner Ministeriums für Staatssicherheit (MfS) im Westen spionierte und seit 1973 im Büro von Brandt als Referent saß. Nach der Enttarnung von Guillaume trat der Kanzler zurück.

Vor mehr als zwei Jahrzehnten wurde der Sozialdemokrat Karl Wienand wegen geheimdienstlicher Tätigkeit für das MfS v erurteilt. Der frühere Geschäftsführer der SPD-Bundestagsfraktion war wohl so etwas wie ein Einflussagent, aber er bestritt bis zu seinem Tod alle Vorwürfe und behauptete, er sei nur ein geduldeter Kontaktmann gewesen.

Deutsche Nachrichtendienstler weisen gerne darauf hin, dass Berlin weiter die europäische Hauptstadt der Agenten sei. Ausländische Dienste spionieren von dort deutsche Ziele und gegnerische Dienste aus oder sie sammeln Informationen gegen Oppositionelle ihrer Länder. Oppositionelle werden manchmal, wie im Film, gekidnappt und in ihre Heimatländer entführt und deutsche Parlamentarier werden schon mal ausspioniert.

Das ist beispielsweise dem SPD-Abgeordneten Reinhold Robbe widerfahren, der früher Präsident der Deutsch-Israelischen Gesellschaft war. Ein später zu mehr als vier Jahren Haft verurteilter Agent, der für einen iranischen Geheimdienst arbeitete, hatte Bewegungsprofile erstellt. Robbe warf Teheran vor, Mordpläne gegen ihn gehegt zu haben.

Menschliche Schwachstellen

"Der menschliche Faktor"
heißt ein alter Roman von Graham Greene über das Gewerbe, heute
aber haben alle Dienste technisch enorm aufgerüstet. Die sozialen Netzwerke eröffnen neue Möglichkeiten, Menschen mit Zugang zu wertvollen Informationen anzuwerben oder abzuschöpfen. Aber den menschlichen Faktor gibt es weiterhin. Vor Cyberangriffen versuchen Dienste etwa, menschliche Schwachstellen zu nutzen. Die vermeintlich freundliche Kontaktaufnahme mit jemand, der an einem interessanten Ort arbeitet, zieht immer noch.

Spionagezentrale in Rom ausgehoben

Italienische Ermittler haben eine Spionagezentrale ausgehoben. Von dort aus sollen Wirtschaftsvertreter und Politiker überwacht worden sein. Die Hauptverdächtigen sind ein Geschwisterpaar, das in Rom und London lebte. Ob sie aus wirtschaftlichen Gründen handelten oder Teil eines Netzwerks waren, ist noch unklar.
Ein graues Garagentor in Rom, dahinter ein Raum ohne Fenster, unverputzte Wände, ein grauer Boden und: Server, Computer, Umzugskartons voll mit vertraulichen Dokumenten. Das Lager soll die Zentrale eines Spionageduos sein, welches das "gesamte politische System Italiens katalogisiert" haben soll, wie Ermittler der italienischen Polizei feststellten. Seit 2011 sollen die heute verhafteten Geschwister Giulio und Francesca Occhionero insgesamt 18 327 Personen erfasst haben, in mehr als 1300 Fällen waren zu den digitalen Identitäten auch Passwörter hinterlegt, die vor allem Zugang zu Mail-Accounts erlaubten. Prominentester Fall: Beim früheren Premier Matteo Renzi habe das Duo dessen Apple-Account gehackt und so Zugang zu seinem Smartphone gehabt, lautet der Vorwurf.

So erbeuteten die beiden Verdächtigen "Informationen von nationaler Sicherheit", wie es in dem Haftbefehl heißt. Das Geschwisterpaar ging dabei extrem organisiert vor, es teilte die Spionageopfer in 122 Kategorien ein. Gespeichert wurden die Daten auf einem Server in den USA, der vom FBI sichergestellt wurde.

"Wirtschaftsrelevante Informationen" - oder Freimaurer?

Der Fokus der Geschwister Occhioneri lag dabei auf Informationen, die von "besonderem Interesse für Personen sind, die in bestimmten wirtschaftlichen Zirkeln arbeiten", wie die italienische Polizei mitteilte. War ihre Zentrale in Rom, so sollen sie auch einen Wohnsitz in London und Verbindungen in die Finanzwelt gehabt haben, Giulio Occhioneri l eitete eine Investmentfirma. Der Verdacht, dass die mutmaßlichen Täter von ihrer Aktion wirtschaftlich profitieren wollten, wird durch die Liste der Opfer erhärtet: Neben dem E-Mail-Konto des früheren Premiers Mario Monti wurden auch EZB-Chef Mario Draghi während seiner Zeit bei der italienischen Zentralbank, der ehemalige Chef der italienischen Finanzbehörden, General Saverio Capolupo, und verschiedene Banker ausspioniert.

Der Agentur Bloomberg zufolge sollen die Verdächtigen versucht haben, auch bei der Europäischen Zentralbank Zugang zu vertraulichen Daten zu bekommen. Im Haftbefehl wird die EZB jedoch offenbar nicht genannt. In der EZB wollte man den Vorfall nicht kommentieren. Laut den Ermittlern fingen die Geschwister zumindest teilweise sensible Informationen ab, die dann zu Dossiers verarbeitet wurden. So waren sie in der Lage, die Aktivitäten mehrerer italienischer Ministerien, der italienischen Zentralbank und zahlreicher Unternehmen nachzuverfolgen. Gleichzeitig ist in dem richterlichen Haftbefehl zu lesen, dass Mario Occhionero Mitglied bei der größten Freimaurergruppe Italiens ist, der Grande Oriente d'Italia. Auch andere Mitglieder der Gruppe wurden überwacht. Wie aus aufgezeichneten Unterhaltungen hervorgeht, befand Occhioneri sich in einem internen Machtkampf - Durch die Spionageaktivitäten hätte er belastendes Material sammeln können, um sich innerhalb der Gruppe einen Vorteil zu verschaffen. Ob die Informationen also aus rein wirtschaftlichen oder aber politischen Beweggründen beschafft wurden, muss noch geklärt werden. Genauso steht nach den Verbindungen zu den Freimauren die Frage im Raum, ob die Geschwister isoliert oder als Mitglieder einer größeren Organisation handelten. Hinweise darauf, dass die Loge hinter den Aktivitäten des Geschwisterpaars steckt, gibt es allerdings keine. Dennoch weckt die Entdeckung böse Erinnerungen: 1981 wurde bekannt, dass ein ehemaliges Freimaurernetzwerk unter dem Namen Propaganda Due (P2) die italienische Politik infiltriert hatte.

USA lassen israelischen Ex-Spion Pollard frei

Nach 30 Jahren in einem Hochsicherheitsgefängnis lassen die USA den Spion Jonathan Pollard im November frei. Pollard hatte als Nachrichtenoffizier der US-Marine für den israelischen und inzwischen aufgelösten Geheimdienst Lakam spioniert. Sein Fall trübte die Beziehungen zwischen den USA und Israel seit Jahren.

Jonathan Pollard, der als Nachrichtenoffizier der US-Marine für Israel spioniert hat und deswegen seit 30 Jahren in einem Hochsicherheitsgefängnis in North Carolina sitzt, soll am 21. November freikommen. Das teilten seine Anwälte am Dienstag mit. Bereits vor wenigen Tagen hatte das US-Justizministerium bestätigt, dass der 60-Jährige im November einen entsprechenden Antrag stellen könne. Pollard verbüßt eine lebenslange Haftstrafe, seit er 1985 in den USA festgenommen und wegen der Weitergabe von geheimen Dokumenten an einen israelischen Geheimdienst verurteilt worden war. Er soll militärische Erkenntnisse über arabische Streitkräfte sowie die Namen amerikanischer Agenten im Nahen Osten verraten haben. Dafür soll er ein monatliches Honorar plus Prämien erhalten haben. Die Details sind nicht bekannt, weil Pollard sich im nachfolgenden Prozess schuldig bekannte.

Verehrt wie ein Nationalheld in Israel

In Israel wurde er seither wie ein Nationalheld verehrt, beinah wöchentlich forderten verschiedene Petitionen seine Freilassung. Sein Fall trübte die Beziehungen zwischen den Alliierten USA und Israel. Gegner und Befürworter einer Freilassung stritten seit Jahren, ob Pollard zu hart bestraft worden sei. Pollard ist die einzige Person in der Geschichte der Vereinigten Staaten, die eine lebenslange Strafe für das Spionieren für einen Verbündeten erhalten hat. Im Jahr 1995 erhielt er die israelische Staatsbürgerschaft. In den vergangenen Jahren hatte sich mehrmals angedeutet, dass die Amerikaner Pollard freilassen könnten. Zuletzt wurde im April 2014 über einen Deal zwischen den USA und Israel spekuliert. Damals ging es um den stockenden Nahost-Friedensprozess, US-Außenminister John Kerry sollte durch die Entlassung Pollards Kompromissbereitschaft signalisieren. Dazu kam es jedoch nicht.

Die Freilassung Pollards zum jetzigen Zeitpunkt könnte ein politisches Zugeständnis der USA sein, um Spannungen mit Israel wegen des Atomabkommens mit Iran abzubauen. Die Beziehung zwischen Washington und Jerusalem befindet sich auf einem historischen Tiefpunkt. Pollards Anwälte widersprechen jedoch den Spekulationen: Die Entscheidung der Bewährungskommission der Vereinigten Staaten sei "unabhängig von anderen US-Regierungsstellen" gefallen und nicht an die "jüngsten Entwicklungen im Nahen Osten" geknüpft. Von Pollard selbst gibt es bislang kein Statement, sein Anwälte dürften indes für ihn gesprochen haben, als sie sagten: "Wir sind dankbar und erfreut, dass unser Mandant bald freikommt." Pollard wird nach seiner Freilassung noch fünf Jahre in den Vereinigten Staaten unter den entsprechenden Bewährungsauflagen bleiben müssen

Frankreich, entwanze dein eigenes Haus
Heuchelei? Frankreich empört sich über die NSA-Spionage und weitet zugleich die Rechte der eigenen Geheimdienste aus. Paris sollte vor der eigenen Tür kehren.
Spionage soll es bereits in der Steinzeit gegeben haben, angeblich ist sie das zweitälteste Gewerbe der Welt. Ihr Ruf hing stets vom Standpunkt des Betrachters ab. Eigene Spionage gilt den meisten Regierungen als nötig und durchaus ehrenwert, fremde als Vertrauensbruch wenn nicht als Verbrechen. Diese Ambivalenz zeigt sich gerade in Frankreich.

Während die Regierung ein Gesetz durchsetzen will, das das Ausspähen der Bürger in erschreckend weitem Umfang erlaubt, muss sie erfahren, dass der US-Geheimdienst NSA den französischen Präsidenten François Hollande und seine Vorgänger abhören ließ. Paris reagiert mit routinierter Empörung. Doch es muss sich fragen lassen, ob diese nicht geheuchelt ist.

Frankreich hat selbst eine lange Spionage-Tradition

Die französische Regierung wäre naiv, wenn sie nicht gewusst hätte, dass französische Politiker von den USA abgehört werden. Warum sonst hätte sich Washington so hartnäckig geweigert, ein Spionage-Abkommen mit Paris zu schließen? Auch die Affäre um das deutsche Kanzlerinnen-Handy musste die Franzosen lehren, dass ihr Präsidententelefon nicht sicher vor den Amerikanern ist.

Schließlich: Frankreich hat selbst eine lange Spionage-Tradition.

Schon Kardinal Richelieu und Napoleon Bonaparte festigten ihre Macht durch ein Netz aus Spionen. Der hochverehrte François Mitterrand ließ aus dem Élysée-Palast heraus ein sogenanntes schwarzes Kabinett steuern, das Politiker, Anwälte und Journalisten, Freund wie Feind, illegal aushorchte. Die Aktion wurde damals als Anti-Terror-Maßnahme verbrämt. Bis heute wird die französische Politik immer wieder von Abhöraffären überschattet, jüngst im Zusammenhang mit Nicolas Sarkozy. Frankreich rügt die USA - und will doch selber mehr lauschen
Die französische Regierung sollte also erst einmal das eigene Haus entwanzen und ihr geplantes Geheimdienstgesetz deutlich enger fassen. Danach könnte sie sich umso glaubwürdiger für mehr Fairness und Anstand unter Verbündeten einsetzen. Denn die Kritik an den USA ist im Kern ja berechtigt. Wie soll Vertrauen in der Politik entstehen, wenn eng miteinander verbündete Demokratien einander bespitzeln und belauschen? Wie sollen die Bürger wieder Vertrauen in die Politik gewinnen, wenn sie erleben, dass ihre Regierungen einander offenbar tief misstrauen? Der Mensch sei des Menschen Wolf, schrieb einst Thomas Hobbes und meinte damit das Verhältnis zwischen den Staaten. Doch muss das wirklich auch unter Freunden gelten?

Ja, Spionage ist auch und gerade für moderne Rechtsstaaten notwendig, um sich vor Terroristen, Mafia-Gruppen oder aggressiven Autokraten zu schützen. Sie ist jedoch verwerflich, wenn sie dazu dient, gläserne Bürger zu schaffen oder befreundete Regierungen auszuhorchen. Mag sein, dass dies immer so gemacht worden ist. Doch diese Gewohnheit schafft kein Recht. Nicht alles, was geht, ist erlaubt. Frankreich und die USA sind Nationen mit Sendungsbewusstsein. Sie sehen sich als Vorkämpfer für Freiheit und Menschenrechte. Hemmungslose Spionage, nach innen oder außen, macht diesen Nimbus kaputt.

Der Geist von Bad Aibling

Früher arbeiteten BND und NSA in Bad Aibling eng zusammen. Bad Aibling war mal einer der wichtigsten Lauschposten der Amerikaner im Kalten Krieg, Tausende US-Geheimdienstler arbeiteten dort. Heute sind nur noch zehn Mitarbeiter in einem fensterlosen Raum auf der Abhöranlage stationiert. Trotzdem erwecken die jüngsten Enthüllungen und Aussagen von BND-Mitarbeitern, dass die Amerikaner, obwohl sie in der Minderheit und die Deutschen die Hausherren sind, großen Einfluss auf den BND in Bad Aibling haben. Ohne die Amerikaner läuft wenig in Bad Aibling. Zwei- oder dreimal am Tag holt sich der BND von einem amerikanischen Server die Suchbegriffe ab, die dann eingestellt werden. Bei technischen Problemen werden immer wieder die Leute von der NSA konsultiert.
Der Bundesnachrichtendienst (BND) hat etwa 6000 Beschäftigte und auch jemanden, der sich um Datenschutz kümmert. Es gebe "eine Datenschutzbeauftragte", hat ein Nachrichtendienstler im NSA-Untersuchungsausschuss gesagt, "eine Dame." Die "Dame" hat im Sommer 2013 den Horchposten Bad Aibling besucht und danach war ihr offenbar, wie einem vertraulichen dreiseitigen Vermerk des Dienstes zu entnehmen ist, ein bisschen unwohl. "Trotz entsprechender Bitte" sei sie " nicht vollumfänglich" über die Arbeit in der BND-Liegenschaft 3D30, wie Bad Aibling hausintern heißt, informiert worden. Wichtige Themen seien "ausgeklammert" worden. Sie habe den "Eindruck gewonnen", dass die Abteilung Technische Aufklärung, die für Bad Aibling zuständig ist, "willentlich oder unwillentlich wichtige Informationen zurückgehalten" habe. Ein fachkundiger Kollege habe gesagt, die Abteilung neige dazu, "sensitive Dinge sehr kryptisch auszudrücken, beziehungsweise beschönigend zu formulieren". Von einer "absichtlichen Fehlinformation" gehe er allerdings nicht aus. Der Vermerk über die Heimsuchung durch die Datenschutzbeauftragte stammt vom 20. August 2013.

Nur sechs Tage vorher war es zu einer brisanten Entdeckung gekommen. Ein BND-Sachbearbeiter in Bad Aibling hatte herausgefunden, dass in einer aktiven Suchdatei der NSA Tausende von E-Mail-Accounts europäischer Politiker und europäischer Institutionen zu finden waren. Er hatte dann in einer Mail den Chef von 3D30 gefragt, was er mit seinem Fund machen solle, und der hatte ihm nur ein Wort zurückgeschrieben: "Löschen". Das war's.

So machen es manchmal Kinder

Den Beteuerungen und Erklärungen der BND-Spitze und des Kanzleramts zufolge sind die Oberen erst im März 2015 über den brisanten Fund in der eigenen Station informiert worden. Rätselhafter BND, rätselhafter Horchposten Bad Aibling. Natürlich lässt sich leicht darüber spekulieren, warum es so ist, wie es angeblich ist. Vielleicht ist die Bedeutung des Vorgangs vor Ort unterschätzt worden, oder da hat einer gemeint: gelöscht ist weg. So machen es manchmal Kinder, wenn sie Verstecken spielen. Sie halten sich die Hände vors Gesicht, damit sie nicht gesehen werden. Möglicherweise kommen bei der erst angelaufenen Aufklärung dieser Affäre noch andere Sachverhalte zum Vorschein, aber ein bisschen hat das alles schon mit dem Geist von Bad Aibling zu tun. Von "Amerikanisierung" hat ein Unterabteilungsleiter des BND in Bezug auf die Vorgänge in Bad Aibling gesprochen. Ein Kollege von ihm hat den Begriff "Stockholm" verwendet, um die Lage zu erklären. Der Begriff meint in diesem Zusammenhang, dass der eine vom anderen dessen Sicht übernimmt.

Die NSA war schon damals unersättlich

Bad Aibling war mal einer der wichtigsten Lauschposten der Amerikaner im Kalten Krieg. Tausende US-Geheimdienstler arbeiteten in der Anlage. Der Feind saß im Osten. Die NSA war schon damals unersättlich. Bei der Aufarbeitung der abgefangenen Unterlagen, das hat die Washington Post mal geschrieben, sei so viel Papier produziert worden, dass es "selbst der liebe Gott nicht durchsehen und verarbeiten könnte, wenn er nicht bereits wüsste, was der Russe vorhat".

Der BND war seit 1988 in Bad Aibling vertreten. 2004 gaben die Amerikaner das Gelände der Stadt zurück. Es gab eine Parade durch die Innenstadt. Feierlich wurde das Areal in die Obhut der Deutschen übergeben. Eine kleine Gruppe der NSA blieb. In dem Organigramm des BND tauchte ein neues Sachgebiet auf: BND und NSA gründeten eine Arbeitsgruppe zur gemeinsamen technischen Aufklärung namens JSA, das ist die Abkürzung für Joint SIGINT Activity, auf deutsch: gemeinsame elektronische Aufklärung. Daneben gab es noch das Joint Analysis Center, JAC abgekürzt, das die abgefangenen Signale gemeinsam auswertete.

Die Rollen schienen klar verteilt zu sein. Hausherren waren die Deutschen. Am Standort Bad Aibling hat der BND etwa 120 Mitarbeiter. Nicht einmal zehn hat dort die NSA. Die Gruppen JSA und JAC wurden vor ein paar Jahren aufgelöst. Aber die NSA blieb. Die Geheimdienstler arbeiten auf dem Gelände in einem fensterlosen Gebäude, das "Blechdose" genannt wird. Wenn BND-Mitarbeiter reinwollen, müssen sie an der Tür klingeln. Das gehört sich so.

Wie ein deutscher Geheimdienst die ganze Welt abhört

Die Datenüberwachung durch den BND muss von der sogenannten G-10-Kommission des Bundestags genehmigt werden. Mehrere Mitglieder des Gremiums fühlen sich inzwischen aber hintergangen. In Frankfurt befindet sich der weltweit größte Netz-Knotenpunkt. Dort fängt der Nachrichtendienst massenhaft E-Mails, Chatunterhaltungen und Gespräche ab. Ausländische Daten gelten dabei bislang nicht als schützenswert. Nach heftiger Kritik will die Bundesregierung jetzt einen Gesetzesvorschlag in den Bundestag einbringen, der die Abhörung von Ausländern regelt.
Einmal im Monat tritt in einem abhörsicheren Saal im Keller des Bundestages ein geheim tagendes Gremium zusammen. Acht Mitglieder der sogenannten G-10-Kommission treffen sich mit Spitzenbeamten der deutschen Geheimdienste und genehmigen, ähnlich einem Gericht, Abhörmaßnahmen. G-10 steht für den gleichnamigen Grundgesetzartikel Nummer 10, der das Fernmeldegeheimnis der Deutschen schützt. Ohne ein Ja der Kommission dürfen mutmaßliche Terroristen oder Waffenschieber nicht überwacht werden. An diesem Donnerstag findet die nächste Sitzung statt.

Traditionell gilt das Verhältnis zwischen Regierung, Geheimdiensten und der G-10-Kommission als gut. Heute muss man wohl sagen: Es galt als gut. Seit Monaten berichten Regierungsbeamte von einem zunehmend gestörten Verhältnis, von einer regelrechten Vertrauenskrise ist die Rede. So sehen es auch einige Mitglieder der Kommission, wie der frühere SPD-Bundestagsabgeordnete Frank Hofmann. Hofmanns Kritik ist hart, er spricht von "Trickserei" und einem "Missbrauch der Kommission" durch die Bundesregierung. "Die BND-Rechtsexperten haben das Grundrecht auf Bewahrung des Fernmeldegeheimnisses regelrecht zerschossen. Will die G-10-Kommission ihren beachtlich guten Ruf nicht verlieren, sollte sie auf eine neue gesetzliche Grundlage in dieser Legislaturperiode dringen und für den Übergang eine grundgesetzkonforme Regelung mit dem Kanzleramt aushandeln."

"Die G-10-Kommission wird als trojanisches Pferd missbraucht"

Hofmann, einst Kriminaloberrat im Bundeskriminalamt, ist alles andere als ein Geheimdienstkritiker. Mit seiner Kritik steht er nicht allein, bereits im vergangenen Jahr berichtete die Zeit über wachsende Zweifel in der Kommission. Jetzt spitzt sich die Lage zu: "Die Stimmung ist deutlich angespannt," sagt Berthold Huber, der stellvertretende Vorsitzende.

Der Streit ist eine direkte Folge der Snowden-Enthüllungen, er führt tief hinein in die ebenso komplizierte wie umstrittene Praxis der Massenüberwachung. Milliarden Telefonate, Chats und Mails werden abgegriffen und durch die Computer der Geheimdienste geleitet, die sie nach brauchbaren Informationen durchsuchen. Der frühere Chef der technischen Aufklärung des BND verglich diese Praxis vor dem NSA-Untersuchungsausschuss mit der Suche nach Gold, da müsse man auch Tonnen von Gestein bewegen, um auch nur ein Gramm Gold zu finden. "Es kommt nicht darauf an, wie mächtig ein durchsuchter Datenstrom ist, sondern wie zweckdienlich die erzielte Ausbeute ist."

Die Anzahl der Kritiker und Gegner dieser Methode wächst, verzichten will dennoch niemand darauf. BND-Präsident Gerhard Schindler sagte einmal in vertraulicher Runde, ohne Fernmeldeaufklärung "kann ich den Laden dichtmachen."

Die Daten von Ausländern gelten nicht als schützenswert

In der G-10-Kommission entzündet sich die Kritik vor allem an zwei Punkten: Wie alle anderen Länder hält auch Deutschland nur die Kommunikation seiner eigener Staatsbürger (und all jener, die in Deutschland leben) für schützenswert, ohne Genehmigung der Kommission darf nichts überwacht werden. Alle anderen aber sind vogelfrei. Im NSA-Untersuchungsausschuss sagte ein Zeuge des BND, solche Telekommunikations-Verkehre seien "zum Abschuss freigegeben."

Juristen wie der frühere Präsident des Bundesverfassungsgerichts, Hans-Jürgen Papier, argumentierten bereits vor Monaten, diese Praxis sei rechtswidrig. Der Schutz des Grundgesetzes müsse auch für Ausländer gelten, sonst sei der BND ja nicht anders als die NSA. Auf Aufforderung der Kommission legte die Regierung ein Kurzgutachten vor und verteidigte ihre Praxis: Spionage sei schließlich völkerrechtlich nicht verboten. Überzeugt hat sie damit offenbar nicht alle. Mitglieder der G-10-Kommission wie Hofmann und Huber bleiben bei ihrer Kritik. Und auch Hans de With, fast 15 Jahre lang Vorsitzender der Kommission, machte jüngst vor dem Untersuchungsausschuss Zweifel deutlich. Das BND-Vorgehen sei so "nicht mehr lange vertretbar. Man könnte und kann uns vorwerfen: Na, ihr betreibt ja auch Rasterfahndung im Ausland."

Mitglieder der Kommission fühlen sich von der Regierung betrogen

Der zweite Punkt ist noch heikler, Mitglieder der Kommission fühlen sich von der Regierung betrogen. Man sei über den wahren Zweck von Überwachungsmaßnahmen getäuscht worden. Deutschland ist eines der wichtigsten Transitländer weltweit für Kommunikation. Wegen der zentralen Lage fließen jeden Tag ungeheure Datenmengen aus Afrika, Asien, Amerika und Osteuropa über deutsche Leitungen. Es geht zu wie im Sommer auf den deutschen Autobahnen. Der BND macht sich diese Lage zunutze und zapft Datenmengen ab, vor allem am weltgrößten Internet-Knoten DE-CIX in Frankfurt, bei dem 1200 Glasfaserkabel aus aller Welt zusammenlaufen. Ein Teil der sogenannten Verkehre wird, wie es der BND nennt, "gespiegelt", eine Kopie wird erstellt und nach brauchbaren Informationen durchsucht. Erst durch Recherchen von Süddeutscher Zeitung, NDR und WDR wurde im vergangenen Oktober bekannt, dass der BND einen Teil der an einem anderen Frankfurter Internet-Knoten abgezapften Daten im Rahmen der Operation "Eikonal" an die NSA weiterleitete. Die G-10-Kommission hatte den Zugriff auf die Kabel genehmigt, aber offenbar nie etwas von der heiklen Kooperation erfahren. Die Kommission glaubte zudem, dass es nur darum ginge, in den riesigen Datenbeständen nach deutschen Verdächtigen zu suchen. Nun aber vermuten Kommissionsmitglieder, dass die Bundesregierung die Zustimmung missbrauchte, um die durch Deutschland verlaufende Transit-Kommunikation von Ausländern abzugreifen. In den BND-Akten findet sich die Formulierung "Türöffner." Die Bundesregierung jedoch bestreitet das, aber einigen im BND war das Risiko von Beginn an durchaus bewusst. In einem Vermerk warnte die zuständige Abteilung davor, was passieren könnte, wenn die Sache auffliegt: "Moratorium der G-10-Erfassung und parlamentarische Befassung mit unabsehbaren Folgen für FmA" (gemeint ist die Fernmeldeaufklärung, die Red.) des BND.

Deutschland muss nun eine gesetzliche Regelung für das Abhören von Ausländern schaffen

Diese unabsehbaren Folgen sind nun eingetreten. "Die G-10-Kommission wird als trojanisches Pferd missbraucht", behauptet Hofmann, das Ganze geschehe mit Wissen des Kanzleramts. Dort ist man über einen Vorschlag des stellvertretenden Vorsitzenden Huber alarmiert: Man solle dem BND Zugriffe auf Glasfaserkabel in Deutschland nur noch dann genehmigen, wenn der BND schriftlich zusichere, dass reine Transitverkehre von Ausländern dabei nicht abgegriffen werden. Kanzleramtsminister Peter Altmaier müsse die Garantie gegenzeichnen. Der BND würde eine seiner wichtigsten Informationsquellen verlieren. Weil DE-CIX nun ankündigt, vor dem Bundesverwaltungsgericht zu klagen und die BND-Praxis überprüfen zu lassen, eskaliert die Lage weiter.

Lange hatte die Regierung gehofft, die nach Edward Snowden losgebrochene Diskussion aussitzen zu können. Innenminister Thomas de Maizière erregte sich vor Vertrauten einmal über die Vorstellung, dass man für das Abhören von kolumbianischen Drogenbaronen die gleichen Maßstäbe anlegen solle, wie für deutsche Grundrechtsträger. Inzwischen hat das Kanzleramt den Widerstand aufgeben, man arbeitet an einer Gesetzesnovelle, die noch vor dem Sommer vorliegen soll. Der Kampf ist verloren. Auch der Koalitionspartner SPD hat intern angekündigt, dass er die bisherige Praxis nicht mehr mittragen mag.

Deutschland steht nun vor der Aufgabe als einziges Land der Welt eine ausdrückliche gesetzliche Regelung für das Abhören von Ausländern zu schaffen. Bei vielen in der Regierung ist der Ärger darüber groß, denn man will die eigenen Praktiken nicht mit denen der NSA gleichsetzen lassen. Vor dem Untersuchungsausschuss empörte sich ein ehemaliger leitender BND-Mann, er wisse nicht, "warum man nur allzu gerne glaubt, der BND wäre ein übermächtiger Nachfolger der Staatssicherheit der DDR oder eine Vereinigung von Tausenden Kriminellen. " Die Amerikaner, gleichsam ein "Google der Geheimdienste", würden riesige Mengen an Kommunikation abfangen und die Daten auf unbestimmte Zeit speichern. Wer weiß, wofür man sie einmal brauchen könne.

Das Kanzleramt will auf keinen Fall ein regelrechtes Spionage-Gesetz

Der BND - so sagt es die Bundesregierung - fängt auch viel ab, das Gros der Daten werde aber schon beim ersten Filtern sofort aussortiert. Vor dem Untersuchungsausschuss argumentierten BND-Experten, das Ganze geschehe in Echtzeit, wie bei einem Verdampfungsprozess - 99,9 Prozent der Kommunikation würden sofort vernichtet. Das dürfe man sich nicht als echten Eingriff in die Freiheit der Kommunikation vorstellen. Das kann man auch anders sehen, aber das Kanzleramt möchte den Aufstand von Opposition, Juristen, G-10-Kommission und DE-CIX am liebsten mit einem schlichten Satz im BND-Gesetz erledigen. Die elektronische Aufklärung von Ausländern wird ausdrücklich erlaubt. In keinem Fall möchte man ein regelrechtes Spionagegesetz in dem sich finden würde, was und wer überwacht werden darf.

Die SPD will die G-10-Kommission aufrüsten

Eine einfache Klarstellung aber ist dem Koalitionspartner zu wenig. Sie will eine Aufrüstung der G-10-Kommission. Der BND soll zumindest im Nachhinein offenlegen, was und wen er abhört. Es wäre das Ende einer jahrzehntelangen Praxis, in der nur Regierung und Geheimdienst darüber entscheiden, in welchem Umfang sie Bürger- und Freiheitsrechte von Ausländern einschränken. In der SPD kursiert die Idee, dass die Kommission ein umfangreiches Kontrollrecht erhält und jederzeit die Überwachungspraxis des BND überprüfen darf. Noch weitergehende Vorschläge präsentierte im Namen der Stiftung "Neue Verantwortung" der frühere Menschenrechtsbeauftragte der Bundesregierung, Markus Löning. Er will, dass die G-10-Kommission künftig jede Abhörmaßnahme weltweit genehmigen muss, ein Anwalt soll dabei auf die Wahrung der Grundrechte achten. Dabei werden vermutlich weder Regierung noch Parlament mitmachen. Aber ebenso fraglich ist, ob die Bundesregierung mit ihrem Plan einer möglichst geräuschlosen und dürren Gesetzesänderung durchkommen wird. Gesucht wird die Antwort auf die durch die Snowden-Enthüllungen aufgeworfene Frage: Wie kann man sicherstellen, dass Geheimdienste in demokratischen Staaten ihre legitimen Aufgaben erfüllen, ohne dabei die Kommunikation von Millionen von Menschen zu verletzen. Hofmann setzt auf den Bundestag: "Das wird ein äußerst spannender Gesetzgebungsprozess, in dem sich zeigen kann, wie eigenständig und stark das Parlament ist."

Krypto

Schon immer hat mich Kryptografie und Kryptologie und da ich wie die Meisten nicht mit den Weihen der höheren Mathemattik gesegnet bin habe ich nach Mitteln und Wegen gesucht dhinterzukommen wie Nachrichtne (Daten) verschlüsselt wurden und werden und wie Codes geknackt wurden und werden. Dabei hilft Phantasie oft mehr als Logik und Mathematik. Ebenfalls ist die menschliche Psyche dabei nicht zu unterschätzen. (Selbstüberschätung, Bequemlichkeit und Unwissenheit als auch mangelnder Informationsaustausch führten allzuoft dazu, dass angeblich unknackbare Codes geknackt wurden und das nicht immer von Mathematikern.
Kryptographie ist eine Wissenschaft zur Entwicklung von Kryptosystemen und neben der Kryptoanalyse ein Teilgebiet der Kryptologie. Mit Hilfe kryptographischer Verfahren wie Verschlüsselung sollen Daten vor unbefugtem Zugriff geschützt und sicher ausgetauscht werden.

Vertraulichkeit, Integrität, Authentizität und Verbindlichkeit

1. Vertraulichkeit: Es soll sichergestellt sein, dass wirklich nur der die Nachricht empfangt und lesen kann für den sie auch bestimmt war.

2. Integrität: Der Empfänger soll feststellen können, ob die Daten oder die Nachricht nach ihrer Erzeugung verändert wurden.

3. Authentizität: Absender oder Urheber von Daten bzw. Nachrichten sollen identifizierbar sein, bzw. der Empfänger soll dies nachprüfen können, wer der Urheber ist.

4. Verbindlichkeit: Der Urheber soll nicht abstreiten können, dass er auch der Urheber der Daten/Nachricht ist.

Zehn Schlüsselfragen der Kryptografie

Wie funktioniert Verschlüsselung?

Einfache Verschlüsselungsverfahren gab es bereits vor Tausenden von Jahren. So entwickelte schon der römische Kaiser Julius Cäsar 50 v. Chr. eine Methode, bei der man jeden Buchstaben durch denjenigen ersetzt, der 13 Stellen später im Alphabet kommt. Ein derart umgewandelter Text ist unlesbar für jeden, der die Verschlüsselungsmethode oder kurz den Schlüssel nicht kennt. Dieses später "Cäsar-Verschlüsselung" genannte Verfahren basiert auf einer symmetrischen Verschlüsselung. Der Text wird auf die gleiche Weise ver- wie entschlüsselt. Der Haken solcher Methoden: Alle Beteiligten müssen den Schlüssel kennen. Dazu muss man diesen möglichst sicher weitergegeben. Denn sobald ein Spion ihn bekommt, ist die Verschlüsselung wertlos. Dann muss man den alten Schlüssel ändern – und auch darüber wieder alle auf sicherem Weg informieren.

Um diese Probleme zu umgehen, verwendet man heute asymmetrische Verfahren: Die Daten werden mit einem Schlüssel chiffriert, der öffentlich zugänglich ist, und mit einem privaten Schlüssel dechriffiert, den nur der Empfänger der Nachricht hat. Man kann sich das vorstellen wie eine Kiste, die mit einem geöffneten Vorhängeschloss versehen ist: Jeder kann etwas in diese Kiste hineinlegen und das Schloss ohne Schlüssel zudrücken. Nur der Empfänger aber kann es mit seinem Schlüssel öffnen.

Mathematisch funktioniert das vereinfacht gesagt über Berechnungen, die in eine Richtung sehr leicht, in die andere hingegen schwierig zu lösen sind, wie beispielsweise die Multiplikation von Primzahlen. Der öffentliche Schlüssel ist das Ergebnis der Multiplikation. Um die Daten zu entschlüsseln, braucht man aber die beiden Ausgangsprimzahlen. Diese sind der private Schlüssel. Schon bei kleinen Zahlen wird der Effekt deutlich.

Was bedeutet Ende-zu-Ende-Verschlüsselung?

Bei der Ende-zu-Ende-Verschlüsselung werden die Daten beim Sender verschlüsselt und erst beim Empfänger wieder entschlüsselt. Sollten sie unterwegs abgefangen werden, sind sie ohne Schlüssel unlesbar. Und auch der Anbieter selbst, auf dessen Servern die Daten liegen, hat sie nur in verschlüsselter Form vorliegen. Wenn also Behörden beim Anbieter die Daten anfordern, kann dieser nur wertlose verschlüsselte Informationen herausgeben – ob er will oder nicht.

Das Gegenstück dazu ist die Transportverschlüsselung, auch Punkt-zu-Punkt-Verschlüsselung genannt. Dieses Verfahren wird oft als adäquat zur Ende-zu-Ende-Verschlüsselung beworben, obwohl nur der Weg zwischen den einzelnen Punkten – beispielsweise zwischen zwei Geräten in einem Rechnernetz – gesichert ist. Auf den Servern der Anbieter hingegen liegen die Mails unverschlüsselt vor.

Welche Faktoren machen eine Verschlüsselung sicher?

Die Länge des Schlüssels spielt eine Rolle dabei, wie kompliziert es ist, ihn zu erraten, und folglich auch wie rechenintensiv. Mit größeren Primzahlen steigt im Allgemeinen der Aufwand, den Kode zu knacken. Doch heutzutage ist weniger die Verschlüsselung an sich das Problem, sondern die richtige Anwendung und eine gute Implementierung. Ein Verschlüsselungsalgorithmus kann noch so gut sein: Wenn er schlecht in "Maschinensprache" übersetzt ist, die Computerprozessoren verstehen, hat er Lücken. Die nächste Hürde sind Fehler in der Nutzung. Verschlüsselung funktioniert nur, wenn man auch den richtigen Schlüssel nutzt (siehe auch den Abschnitt "Was ist eine Man-in-the-middle attack?"), was man eigentlich nachprüfen müsste, indem man den Kontakt persönlich trifft oder auf einem anderen Wege verifiziert, dass der Schlüssel auch zu der Person gehört, von der man es vermutet.
Objektive Faktoren, die eine gute Verschlüsselung ausmachen, sind außerdem: eine Ende-zu-Ende- und nicht nur eine Transportverschlüsselung, die der Anbieter selbst nicht durchbrechen kann, die Möglichkeit, Kontakte zu verifizieren, und ein Verfahren, das verhindert, dass ein Angreifer mit gestohlenen Schlüsseln Kommunikation aus der Vergangenheit entschlüsseln kann. Außerdem ist jede Maßnahme, den Kode überprüfbar zu machen, ein gutes Zeichen, beispielsweise die Veröffentlichung des Quellcodes.

Wovor kann Verschlüsselung nicht schützen?

Ein großer Schwachpunkt für die Sicherheit, der sich nicht einfach durch die Verschlüsselung von Nachrichten ausmerzen lässt, sind die so genannten Metadaten. Diese Daten begleiten jede digitale Kommunikation und beschreiben beispielsweise, zwischen wem, wann und gegebenenfalls von wo aus die Teilnehmer sich unterhalten. Das kann für Geheimdienste interessanter sein als der Inhalt der vielen Nachrichten, der aufwändig auszuwerten ist. Wie viel diese Metadaten über unser Leben verraten, zeigt ein mittlerweile berühmt gewordenes Experiment des Grünenpolitikers Malte Spitz in Zusammenarbeit mit dem Datenjournalismusbüro Open Data City und "Zeit Online": Spitz ließ sich freiwillig aushorchen, er stellte die Metadaten seines Mobiltelefons den Datenjournalisten zur Verfügung. Heraus kam ein ziemlich perfektes Persönlichkeits- und Bewegungsprofil – ohne dass die Datenspione den Inhalt von SMS, E-Mails oder Messengerchats überhaupt anschauen mussten. Im Fall von Spitz wussten alle Beteiligten über die Abhöraktion Bescheid. Unangenehm wird es, wenn jemand die übertragenen Informationen mitschneidet, ohne dass es die Ausspionierten überhaupt mitbekommen. Wer diese Gefahr umgehen will, muss sich auf anderem Weg treffen und die Schlüssel austauschen. Manche Messenger lösen das mittels eines QR-Codes, den man vom Smartphone des anderen einscannt und dann abgleicht. Darin ist der öffentliche Schlüssel kodiert. Oder es gibt eine elektronische Prüfsumme der Schlüssel in wenigen Zeichen, die man beispielsweise telefonisch vergleichen kann.

Wozu ist ein offener Quellcode gut?

Den Quellcode offenzulegen, gilt als zentrale Sicherheitsmaßnahme, da nur so Experten und Hacker die Qualität der Verschlüsselung überprüfen können. Sie können nicht nur testen, ob wirklich keine Hintertür für Geheimdienste eingebaut ist, sondern auch nach anderen Schwachstellen suchen und die Software so stetig verbessern. Viele Unternehmen weigern sich aus teils verständlichen Gründen, etwa weil die Software ihr Kerngeschäft ist und sie aus ihrer Sicht unter das Betriebsgeheimnis fällt. Das muss also nicht bedeuten, dass diese Firmen etwas zu verbergen haben.
"Ein offener Quellcode hilft dramatisch bei der Sicherheit". Andererseits ist er natürlich auch keine Garantie dafür, dass es keine Hintertüren gibt: "Es gibt keine perfekte Möglichkeit, einen Kode automatisch auf Hintertüren oder andere Schwachstellen zu prüfen." Bleibt nur die freiwillige Fleißarbeit der Hacker-Community. Schließlich sieht man Kodezeilen ihre Probleme nicht auf Anhieb an.

Software defined Radio

Was vor noch gar nicht allzulanger Zeit nur mit erheblichem Aufwand erreicht werden konnte (breitbandige Empfänger hoher Güte) lässt sich Dank der moderen Digitaltechnik heute mittels der Kombination aus einem kleinen HF Empfangsmodul (DVBT-Stick)und entsprechender Software recht einfach und preisgünstig realisieren. Dabei gibt es sowohl reine Empfänger als auch echte Transceiver, wenn auch mit sehr begrenzter Sendeleistung.Die Preisspanne reicht von ca 15€ für einen RTL-U28 DVBT Stick bis zu mehreren tausend Euro teuren ETTUS USRP mit entsprechenden Boards.

"Unter Software Defined Radio (SDR) fasst man Konzepte für Hochfrequenz-Sender und -Empfänger zusammen, bei denen kleinere oder größere Anteile der Signalverarbeitung mit Software verwirklicht werden. Die Analogkomponente kann ein Geradeausempfänger oder ein Überlagerungsempfänger (Superhet) sein. Vor allem Selektion und Modulation/Demodulation werden bei einem SDR mittels digitaler Signalverarbeitung verwirklicht." Wikipedia

Angriffstechniken auf Server und Netzwerke

Eine der wichtigsten Fragen , die uns Sysadmins so beschäftigt ist: Haben wir genügend Kaffee da? gefolgt von sind meine Systeme und mein Netzwerk auch sicher konfiguriert und abgesichert? Die erste Frage lässt sich immer leicht beantworten: Nein geh noch welchen holen, die zweite ist schon wesentlich komplexer zu beantworten. Was heisst sicher konfiguriert und abgesichert? Abgesichert gegen Was und gegen wen? Soll ich alles verbieten und nur erlauben was explizit aufgeführt ist oder soll ich nur verbieten was nicht sein darf. Wie sehen meine Firewall Regeln aus? Wie stelle ich die Spamfilter ein? Welche Passwort-Policy ist sinnvoll und welche Backup-Strategie sollte ich fahren? Um alle diese Fragen beantworten und eine entsprechende Maßnahmen ergreifen zu können ist ein gewisses Verständnis von Angriffstechniken als auch über Typen von Angreifern unerlässlich, denn "Wenn du dich und den Feind kennst, brauchst du den Ausgang von hundert Schlachten nicht zu fürchten." Szun Tzi "Die größte Leistung besteht darin, den Widerstand des Feindes ohne einen Kampf zu brechen."

Einer offenen Auseinandersetzung mit Angreifern (Hackback)) wirst Du immer unterliegen also lass es gleich sein. Solange Du weder deinen Anfreifer und seine Intension noch seine Taktik kennst kannst Du nichts anderes tun als ihn zu beobachten und in die Irre zu füren. Krieg ist vor allem die hohe Kunst der Täuschung. Lass ihn sehen was er sehen soll und denken was er denken soll und dann schlage oft und hart zu.

Honeypots

Es handelt sich um ein Computersystem, das gezielt Angriffe anlocken soll. Ziel des Honeypots ist es, den Angreifer in die Irre zu führen, ihn vom eigentlichen Angriffsziel abzulenken, seine Angriffsmethoden zu protokollieren und zu analysieren oder den Angreifer zu identifizieren. Das Scheinziel kann eine Software, ein PC, ein Server oder eine Netzwerkkomponente sein. Es stellt sich nach außen als ein interessantes Angriffsziel dar und ist unter Umständen wissentlich mit Sicherheitslücken versehen.

Absicherung eines Servers

Zu den wichtigsten zusätzlichen Maßnahmen gehören: Integritätsprüfung:

Die Aufgabe der Integritätsprüfung innerhalb der Grundarchitektur ist es, die Betriebssystem-relevanten Dateien zu überwachen. Die Integritätsprüfung erkennt inhaltliche Änderungen der Konfigurationsdateien und auch Änderungen an den Zugriffsberechtigungen dieser Dateien.

Benutzerverwaltung:

Um eine zentrale Pflege von Benutzern und Berechtigungen zu ermöglichen, ist die Benutzerverwaltung des Betriebssystems an eine zentrale Benutzerverwaltung angebunden. Bevor ein Benutzer auf Daten oder Ressourcen zugreifen kann, überprüft die Zugriffskontrolle die Berechtigung eines Benutzers anhand der Zugriffsrechte. Werden die Zugriffsberechtigungen nicht erfüllt, wird der Zugriff auf die Daten verweigert.

Patch- und Änderungsmanagement:

Um Sicherheitslücken oder Fehler in Betriebssystem und Diensten vorzubeugen, ist der Server an ein Patch- und Änderungsmanagement angebunden, das die Installation von Sicherheitsupdates und fehlerbereinigter Software durchführt. Hierdurch werden potenzielle Schwachstellen reduziert und die Systemstabilität (und dadurch die Verfügbarkeit) des Servers gesteigert.

Datensicherung: Die Datensicherung eines Servers sorgt dafür, dass bei einem Datenverlust eine Wiederherstellung der Daten aus dem Backup möglich ist. So kann der IT-Betrieb schnell wieder aufgenommen werden. Monitoring:

Gerade das Monitoring spielt bei dem Betrieb von Servern eine zentrale Rolle, da der Ausfall eines Servers nicht immer sofort bemerkt wird. Eine fehlerhafte Funktion oder der Ausfall einer Komponente wird häufig erst über andere Komponenten festgestellt, die nicht mehr einwandfrei funktionieren.

Ferner sollte auf einem Server nur das an Diensten laufen, was unbedingt benötigt wird und alles an Ports geschlossen sein, was nicht zum Betrieb geöffnet werden muss. Portnummern sollten nach Möglichkeit auf unpriviligierte ports verlagert werden (z.b. SSH) Programme wie fail2ban schützen hier vor Brute-Force Attacken. RKHUNTER und CHKROOTKIT helfen rootkits zu erkennen. Ein passender cronjob hält das System aktuell.

Ganz grob können die Angriffsszenarien im IP - Protokoll und den höheren Ebenen wie folgt eingeteilt werden:

IP - Ebene: IP - Spoofing ICMP - Angriffe Routing - Angriffe Broadcast - Stürme durch ARP - Missbrauch IP - Fragmentierungsangriffe Bombardierung mit Paketen TCP - Ebene: SYN - Flooding TCP - Sequenznummern - Angriff Abbruch von TCP - Verbindungen Übernahme von TCP - Verbindungen (Hijacking) UDP - Ebene: UDP - Spoofing Anwendungsebene: Angriffe auf das DNS - System Angriffe auf Mailsysteme Telnet - Angriffe FTP - Angriffe Angriffe auf Newsserver Angriffe auf Webserver

DDOS-Angriffe

"Es ist eine Kriegsdoktrin, nicht anzunehmen, dass der Feind nicht anrücken wird, sondern sich auf die eigene Bereitschaft zu verlassen, ihm entgegenzutreten; Nicht anzunehmen, dass er nicht angreifen wird, sondern Vorkehrungen zur eigenen Unbesiegbarkeit zu treffen." Der Distributed-Denial-of-Service< /strong>
(DDoS) Angriff ist ein „verteilter“ Denial-of-Service (DoS) Angriff, der wiederum eine Dienstblockade darstellt. Diese liegt vor, wenn ein angefragter Dienst nicht mehr bzw. nur noch stark eingeschränkt verfügbar ist. Auslöser ist in den meisten Fällen eine mutwillig herbeigeführte Überlastung der IT-Infrastruktur.

Wie sieht einDDoS-Angriff aus?

Bei einem DDoS-Angriff führen Angreifer die Nichtverfügbarkeit eines Dienstes oder Servers gezielt herbei. Einer der Wege ist das Infizieren von mehreren Rechnern mit Schadsoftware, mit der sie unbemerkt die Kontrolle über diese Computer übernehmen. Die Angreifer missbrauchen dieses infizierte Rechner-Netz, auch Botnetz genannt, ferngesteuert für ihre DDoS-Attacken. Mit dem Botnetz greifen sie parallel ihr Ziel an und beschießen dabei dessen Infrastruktur mit zahllosen Anfragen. Je mehr Rechner zusammengeschaltet werden, desto schlagkräftiger ist die Attacke. Angegriffene Server ohne DDoS-Schutz sind mit der enormen Anzahl von Anfragen überfordert, ihre Internetleitung ist überlastet. Websites bauen sich nur noch stark verlangsamt auf oder sind überhaupt nicht mehr verfügbar.

Wer sind die Angreifer?

Motive für einen DDoS-Angriff sind ebenfalls vielfältig:
Erpressung, Schädigung der Konkurrenz, Neid oder politischer Protest.

Welche Methoden setzen Angreifer ein?

Cyber-Kriminelle nutzen unterschiedliche Arten von DDoS-Angriffen. Die Methoden lassen sich nach den jeweiligen Schichten ordnen (gemäß dem Open Systems Interconnection Modell für Netzwerkprotokolle, kurz OSI-Modell), auf die der Angriff abzielt. Eine der häufigsten Methoden ist, Systemressourcen oder Netzwerkbandbreiten zu überlasten (Layer 3 und 4). Als Trend zeichnet sich unter den Cyber-Kriminellen in den letzten Jahren ab, die Angriffe auf die Anwendungsebene (Layer 7) zu verlagern. Muster und Bandbreiten von DDoS-Attacken ändern sich jedoch täglich.

Offene Ports finden

Ein PortScan scannt das Netzwerk nach offenen Ports. Dazu sendet der Portscanner TCP-Pakete an Ports des Ziel-Rechners und wartet, ob diese eine Verbindung akzeptieren und somit offen sind. Geschlossene Ports senden hingegen ein RST-Paket zurück und wenn keine Antwort erfolgt, weist dies auf einen Paketfilter hin. Ergänzend findet unter anderem ein FTP- und UDP-Scan, um weitere offene Ports zu finden. Neben den Informationen zu offenen Ports von Diensten wie HTTP, SMB, FTP, iSCSI, SMTP, SNMP, MySQL und MongoDB ermittelt der System- und Netzwerk-Scan Hostnamen und MAC-Adressen.

Das sollten Sie über die unterschiedlichen Techniken wissen

Das Ziel von TCP-Port-Scanning besteht darin, die von einem Zielsystem angebotenen Netzwerkdienste zu erkennen. Die Idee, die TCP-Port-Scanning zugrunde liegt, ist relativ simpel. Ein Testpaket wird an den Ziel-Port gesendet, und je nach Antwort – oder fehlender Antwort – des Zielsystems lässt sich einer der folgenden Zustände über den Ziel-Port ableiten: Der Port ist geöffnet, geschlossen oder gefiltert. Ein offener Port akzeptiert eingehende Verbindungen, um einen bestimmten Dienst zur Verfügung zu stellen. Für einen geschlossenen Port wiederum gibt es keine Anwendung, die eingehende Verbindungen akzeptiert. Infolgedessen weist ein solcher Port etwaige Verbindungsanfragen zurück. Falls eine Paketfilterung eingerichtet wurde, die an den Ziel-Port gesendete Pakete verwerfen soll, handelt es sich um einen gefilterten Port. In der Regel lässt sich in diesem Fall nicht feststellen, ob der Port geöffnet oder geschlossen ist. Um die für TCP-Port-Scanning eingesetzten Methoden zu verstehen, muss man über einen zentralen Mechanismus des Transmission Control Protocol Bescheid wissen: den TCP-Verbindungsaufbau. Es gibt im Wesentlichen zwei Szenarien für den TCP-Verbindungsaufbau, die sich folgendermaßen veranschaulichen lassen: m ersten Szenario (offener Port) lauscht eine Anwendung – auf Host B – auf eingehende Verbindungen auf einem bestimmten Port. Der Port gilt somit als offen. Genauer gesagt befindet er sich im Status TCP LISTEN. Beim Empfang einer eingehenden Verbindungsanfrage – in Form eines SYN- oder Synchronisationspakets – antwortet das Zielsystem (Host B) mit einem SYN/ACK-Paket, um die Synchronisation zu bestätigen. Sobald Host A – also der Host, von dem die Verbindungsanfrage ausging – mit einem ACK-Paket antwortet, ist die Verbindung auf beiden Seiten hergestellt. Im zweiten Szenario (geschlossener Port) lauscht keine Anwendung auf eingehende Verbindungen auf einem bestimmten Port auf Host B. Daher gilt der Port als geschlossen, er befindet sich im Status TCP CLOSED. Beim Empfang einer eingehenden Verbindungsanfrage weist das Zielsystem (Host B) die Verbindungsanfrage mit einem RST- oder Reset-Paket zurück. Der Einsatz einer Paketfilterung führt zu einem dritten möglichen Szenario. Hierbei werden an einen Zielknoten gesendete Pakete einfach verworfen – entweder auf einem Intermediate System oder dem Zielsystem selbst. Als Folge davon antwortet das Zielsystem nie. Da das Zielsystem nicht antwortet, wenn ein Testpaket an den Port geschickt wird, handelt es sich um einen gefilterten Port. In einigen Fällen kann die Paketfilterung so konfiguriert werden, dass sie die verworfenen Pakete durch ICMP-Fehlermeldungen (Internet Control Message Protocol) signalisiert. Für gefilterte Ports gelten die folgenden zwei Überlegungen. Erstens: Wenn auf ein Testpaket keine Antwort erfolgt, lässt sich daraus nicht schließen, ob der Port gefiltert wird oder ob das Testpaket einfach verworfen wurde – zum Beispiel als Folge eines überlasteten Netzwerks. Zweitens: Selbst wenn davon auszugehen ist, dass keine Pakete aufgrund eines überlasteten Netzwerks verworfen werden, muss man länger als bei offenen und geschlossenen Ports warten, um ableiten zu können, dass der Port gefiltert wird. Folgendes lässt sich also festhalten: Bei den ersten zwei Szenarien gibt es eine positive Antwort, die den Status des Ports eindeutig zeigt. Im Fall eines gefilterten Ports hingegen muss man länger abwarten, bis man sicher sein kann, dass vom Zi elsystem keine Antwort erfolgt.
Der Connect-Scan
Die einfachste Methode für TCP-Port-Scanning ist unter dem Namen TCP-Connect-Scan bekannt. Bei diesem Verfahren versucht das Scan-Tool einfach, eine normale TCP-Verbindung mit dem Ziel-Port aufzubauen und verwendet dazu die normalen Funktions- und Systemaufrufe. Der Zeitbedarf, um herauszufinden, in welchem Status sich der Ziel-Port befindet, lässt sich ungefähr folgendermaßen abschätzen: In geöffnetem oder geschlossenem Status: 1 * Round Trip Time – das bedeutet, das Tool muss warten, bis das SYN-Paket den Zielknoten erreicht hat und die SYN/ACK- oder RST-Pakete als Antwort auf die Verbindungsanfrage empfangen wurden. In gefiltertem Status: Üblicherweise mindestens 75 Sekunden. Hierbei handelt es sich um eine Zeitangabe, die abhängig von der jeweiligen Implementierung ist. Danach kommt es zu einem Time-out. Ein Scan-Tool kann allerdings möglicherweise den Wert für den Time-out reduzieren. Da sich der lokale TCP/IP-Stack – in der Regel im Kern des Betriebssystems – um die Verbindungsanfragen kümmert, besteht ein weiterer wichtiger Aspekt im Zusammenhang mit dem TCP-Connect-Scan darin, dass bei jedem gescannten Port Systemressourcen für die betreffende TCP-Verbindung gebunden werden. Dazu zählt unter anderem ein Eintrag in der Liste der bestehenden Verbindungen, was letztlich die maximale Anzahl der Ports beschränken kann, die sich zu einer bestimmten Zeit gleichzeitig scannen lassen. Ebenfalls wichtig zu wissen: Im Fall eines offenen Ports wird die TCP-Verbindung vollständig aufgebaut. Das heißt, dass ein Überwachungsgerät – zum Beispiel ein Intrusion Detection System (IDS) – die IP-Adresse des scannenden Knotens isolieren und ableiten könnte, dass sie nicht gefälscht oder anderweitig manipuliert wurde. Das kann unerwünscht sein, falls der TCP-Port-Scan tatsächlich das Ergebnis einer bösartigen Aktivität ist. Der TCP-Connect-Scan lässt sich mit Nmap folgendermaßen aufrufen: nmap -sT example.com
Der SYN-Scan
Wenn ein TCP-Port-Scan durchgeführt wird, sollte klar sein, dass kein Interesse daran besteht, tatsächlich eine Verbindung zum Zielsystem aufzubauen. Die Intention liegt vielmehr darin, eine Antwort, oder eben keine Antwort, auf das Testpaket zu erhalten – typischerweise ein SYN-Paket. Aus diesem Grund implementieren TCP-Scan-Tools im Allgemeinen den sogenannten SYN-Scan. Bei einem SYN-Scan ist das Testpaket ein eigens erstelltes SYN-Paket, das vom Scan-Tool gesendet wird, anstatt von der zugrunde liegenden TCP-Implementierung. Diese Methode besitzt eine Reihe von Vorteilen, unter anderem: Das Scannen eines TCP-Ports bindet nicht zwingenderweise lokale Ressourcen an die gescannten Ports – zum Beispiel merkt der Kern des Betriebssystems nichts vom versuchten Verbindungsaufbau. Da sogar im Fall von offenen Ports die TCP-Verbindungen nie komplett aufgebaut werden, kann der gescannte Knoten nicht erkennen, ob die Quelladresse der Testpakete gefälscht oder anderweitig manipuliert wurde. Dies gilt insbesondere dann, wenn vorgetäuschter Traffic – das heißt gefälschter Traffic, um den eigentlichen Scan-Traffic zu verbergen – eingesetzt wird, wie bei der Option -D von Nmap. Das führt üblicherweise zu weniger Paketen, weil die aufgrund von offenen Ports aufgebauten Verbindungen nicht geschlossen oder abgebrochen werden müssen. Da bei dieser Technik das Scan-Tool die TCP-Pakete erstellen muss, sind in der Regel Superuser-Berechtigungen notwendig. Das ist jedoch heutzutage keine Herausforderung mehr, denn die Nutzer haben im Allgemeinen die volle Kontrolle über das von ihnen verwendete System. Um mit Nmap einen SYN-Scan auszuführen, geben Sie Folgendes ein: nmap -sS example.com
Der FIN-, NULL- und XMAS-Scan
Die TCP-Spezifikation deckt die Verarbeitungsregeln von Paketen für alle möglichen Szenarien ab. Das gilt auch für solche, die – obwohl theoretisch denkbar – in der Praxis kaum vorkommen. Einige dieser Szenarien lassen sich zum Zwecke von TCP-Port-Scanning auslösen und nutzen. So besagt etwa die TCP-Spezifikation, dass wenn ein eingehendes TCP-Paket ohne gesetztes ACK-Bit empfangen wird und es sich um kein SYN- oder RST-Paket handelt, der Host folgendermaßen reagieren muss: Wenn der Port geschlossen ist – das heißt, sich im Status TCP CLOSED befindet –, soll als Antwort ein RST-Segment gesendet werden. Wenn der Port geöffnet ist – das heißt, sich im Status TCP LISTEN befindet –, soll das eingehende Paket automatisch verworfen werden. Da je nach Status des entsprechenden Ports ein bestimmtes Paket zu zwei unterschiedlichen Antworten führen kann, lassen sich die zuvor erwähnten Pakete zum Zwecke von TCP-Port-Scanning nutzen. Jedes Paket ohne gesetztes ACK-Bit – das zudem kein SYN- oder RST-Paket ist – kann verwendet werden, um eine der zwei oben beschriebenen Reaktionen auszulösen. Wenn beim Testpaket überhaupt kein TCP-Flag gesetzt ist, wird die Scan-Technik als TCP-NULL-Scan bezeichnet. Wenn beim Testpaket lediglich das FIN- oder Finish-Bit gesetzt ist, spricht man von einem TCP-FIN-Scan. Und wenn beim Testpaket nur das FIN-, PSH- (Push-) und URG- (Urgent-)Bit gesetzt sind, nennt man die Methode XMAS-Scan. Obwohl die Namen für die einzelnen Scan-Verfahren abhängig von den im TCP-Testpaket gesetzten Bits variieren, nutzen alle drei Methoden die gleichen TCP-Verarbeitungsregeln. Ein möglicher Vorteil dieser Techniken im Vergleich zum Connect- oder SYN-Scan liegt darin, dass dadurch der Port-Scan selbst dann funktioniert, wenn eine Paketfilterung eingehende Verbindungen verhindert, indem sie SYN-Pakete verwirft. Wie beim SYN-Scan kann auch hier ein Zielknoten nicht erkennen, ob die empfangenen Testpakete von einer gefälschten Quelladresse stammen oder nicht – besonders, wenn vorgetäuschter Traffic zum Einsatz kommt. Um die für TCP-Port-Scanning eingesetzten Methoden zu verstehen, muss man über einen zentralen Mechanismus des Transmission Control Protocol Bescheid wissen: den TCP-Verbindungsaufbau. Andererseits führen diese Methoden möglicherweise zu einer falschen Interpretation des Port-Status. Da bei einem Port-Scan eines der zwei möglichen Ergebnisse ein verworfenes Testpaket für einen offenen Port ist, kann beispielsweise ein Paket, das aufgrund eines überlasteten Netzwerks – oder aus anderen Gründen – verworfen wurde, entsprechend als offener Port fehlinterpretiert werden. Außerdem müsste das Scan-Tool, um ein verworfenes Paket zu erkennen, üblicherweise länger warten als wenn eine positive Antwort als Hinweis auf einen offenen Port empfangen würde. Weil diese Scan-Verfahren voraussetzen, dass das Scan-Tool extra erstellte TCP-Pakete sendet, muss das Scan-Tool normalerweise mit Superuser-Berechtigungen ausgeführt werden. Wie bereits für den SYN-Scan gilt aber auch hier: Dies stellt in der Regel keine Herausforderung dar. Wenn Sie Nmap verwenden, lässt sich der FIN-Scan folgendermaßen starten: nmap -sF example.com Anstatt mit der Option -sF für den FIN-Scan können der NULL- und der XMAS-Scan mit den Parametern -sN beziehungsweise -sX aufgerufen werden.
Der ACK-Scan
Beim ACK-Scan handelt es sich im eigentlichen Sinn nicht um eine Methode zum Port-Scanning. Es ist ein Verfahren, das dazu gedacht ist, festzustellen, ob ein bestimmter Port gefiltert wird oder nicht. Wenn ein Paket, bei dem nur das ACK-Bit gesetzt ist, an einen Ziel-Port gesendet wird, gibt es zwei mögliche Resultate, je nachdem, ob eine Portfilterung stattfindet oder nicht: Nicht gefiltert – das heißt, der Port ist geöffnet oder geschlossen. Als Antwort auf das Testpaket wird ein RST-Paket gesendet. Gefiltert. Als Reaktion auf das Testpaket wird keine Antwort gesendet. Wenn Verbindungen zu einem bestimmten Port unterbunden werden, indem eingehende SYN-Pakete verworfen werden, geschieht dies im Allgemeinen automatisch, unabhängig davon, ob der Port geöffnet oder geschlossen ist. ACK-Pakete jedoch lösen nach wie vor eine Antwort aus und helfen dabei, die Art der Paketfilterung, die eingehende Verbindungsanfragen verhindert, festzustellen. Wie bei den übrigen Scan-Techniken, die eigens erstellte TCP-Testpakete einschließen, lässt sich die Identität des scannenden Knotens leicht verbergen. Das gilt besonders dann, wenn während des Port-Scans vorgetäuschter Traffic zum Einsatz kommt – wie bei der Option -D von Nmap. Außerdem muss ‑ weil der ACK-Scan voraussetzt, dass das Scan-Tool extra erstellte TCP-Pakete sendet ‑ das Tool in der Regel mit Superuser-Berechtigungen ausgeführt werden. Das allerdings stellt, wie zuvor schon erwähnt, kein ernsthaftes Problem dar. Um mit Nmap einen ACK-Scan auszuführen, geben Sie den folgenden Befehl ein: nmap -sA example.com

A more detailed description of the several methods with nmap you can find below.

Port Scanning Techniques

Only one method may be used at a time, except that UDP scan (-sU) and any one of the SCTP scan types (-sY, -sZ) may be combined with any one of the TCP scan types. As a memory aid, port scan type options are of the form -s, where is a prominent character in the scan name, usually the first. The one exception to this is the deprecated FTP bounce scan (-b). By default, Nmap performs a SYN Scan, though it substitutes a connect scan if the user does not have proper privileges to send raw packets (requires root access on Unix). Of the scans listed in this section, unprivileged users can only execute connect and FTP bounce scans.
-sS (TCP SYN scan)
SYN scan is the default and most popular scan option for good reasons. It can be performed quickly, scanning thousands of ports per second on a fast network not hampered by restrictive firewalls. It is also relatively unobtrusive and stealthy since it never completes TCP connections. SYN scan works against any compliant TCP stack rather than depending on idiosyncrasies of specific platforms as Nmap's FIN/NULL/Xmas, Maimon and idle scans do. It also allows clear, reliable differentiation between the open, closed, and filtered states. This technique is often referred to as half-open scanning, because you don't open a full TCP connection. You send a SYN packet, as if you are going to open a real connection and then wait for a response. A SYN/ACK indicates the port is listening (open), while a RST (reset) is indicative of a non-listener. If no response is received after several retransmissions, the port is marked as filtered. The port is also marked filtered if an ICMP unreachable error (type 3, code 0, 1, 2, 3, 9, 10, or 13) is received. The port is also considered open if a SYN packet (without the ACK flag) is received in response. This can be due to an extremely rare TCP feature known as a simultaneous open or split handshake connection
-sT (TCP connect scan)
TCP connect scan is the default TCP scan type when SYN scan is not an option. This is the case when a user does not have raw packet privileges. Instead of writing raw packets as most other scan types do, Nmap asks the underlying operating system to establish a connection with the target machine and port by issuing the connect system call. This is the same high-level system call that web browsers, P2P clients, and most other network-enabled applications use to establish a connection. It is part of a programming interface known as the Berkeley Sockets API. Rather than read raw packet responses off the wire, Nmap uses this API to obtain status information on each connection attempt. When SYN scan is available, it is usually a better choice. Nmap has less control over the high level connect call than with raw packets, making it less efficient. The system call completes connections to open target ports rather than performing the half-open reset that SYN scan does. Not only does this take longer and require more packets to obtain the same information, but target machines are more likely to log the connection. A decent IDS will catch either, but most machines have no such alarm system. Many services on your average Unix system will add a note to syslog, and sometimes a cryptic error message, when Nmap connects and then closes the connection without sending data. Truly pathetic services crash when this happens, though that is uncommon. An administrator who sees a bunch of connection attempts in her logs from a single system should know that she has been connect scanned.
-sU (UDP scans)
While most popular services on the Internet run over the TCP protocol, UDP services are widely deployed. DNS, SNMP, and DHCP (registered ports 53, 161/162, and 67/68) are three of the most common. Because UDP scanning is generally slower and more difficult than TCP, some security auditors ignore these ports. This is a mistake, as exploitable UDP services are quite common and attackers certainly don't ignore the whole protocol. Fortunately, Nmap can help inventory UDP ports. UDP scan is activated with the -sU option. It can be combined with a TCP scan type such as SYN scan (-sS) to check both protocols during the same run. UDP scan works by sending a UDP packet to every targeted port. For some common ports such as 53 and 161, a protocol-specific payload is sent to increase response rate, but for most ports the packet is empty unless the --data, --data-string, or --data-length options are specified. If an ICMP port unreachable error (type 3, code 3) is returned, the port is closed. Other ICMP unreachable errors (type 3, codes 0, 1, 2, 9, 10, or 13) mark the port as filtered. Occasionally, a service will respond with a UDP packet, proving that it is open. If no response is received after retransmissions, the port is classified as open|filtered. This means that the port could be open, or perhaps packet filters are blocking the communication. Version detection (-sV) can be used to help differentiate the truly open ports from the filtered ones. A big challenge with UDP scanning is doing it quickly. Open and filtered ports rarely send any response, leaving Nmap to time out and then conduct retransmissions just in case the probe or response were lost. Closed ports are often an even bigger problem. They usually send back an ICMP port unreachable error. But unlike the RST packets sent by closed TCP ports in response to a SYN or connect scan, many hosts rate limit ICMP port unreachable messages by default. Linux and Solaris are particularly strict about this. For example, the Linux 2.4.20 kernel limits destination unreachable messages to one per second (in net/ipv4/icmp.c). Nmap detects rate limiting and slows down accordingly to avoid flooding the network with useless packets that the target machine will drop. Unfortunately, a Linux-style limit of one packet per second makes a 65,536-port scan take more than 18 hours. Ideas for speeding your UDP scans up include scanning more hosts in parallel, doing a quick scan of just the popular ports first, scanning from behind the firewall, and using --host-timeout to skip slow hosts.
sY (SCTP INIT scan) SCTP
is a relatively new alternative to the TCP and UDP protocols, combining most characteristics of TCP and UDP, and also adding new features like multi-homing and multi-streaming. It is mostly being used for SS7/SIGTRAN related services but has the potential to be used for other applications as well. SCTP INIT scan is the SCTP equivalent of a TCP SYN scan. It can be performed quickly, scanning thousands of ports per second on a fast network not hampered by restrictive firewalls. Like SYN scan, INIT scan is relatively unobtrusive and stealthy, since it never completes SCTP associations. It also allows clear, reliable differentiation between the open, closed, and filtered states. This technique is often referred to as half-open scanning, because you don't open a full SCTP association. You send an INIT chunk, as if you are going to open a real association and then wait for a response. An INIT-ACK chunk indicates the port is listening (open), while an ABORT chunk is indicative of a non-listener. If no response is received after several retransmissions, the port is marked as filtered. The port is also marked filtered if an ICMP unreachable error (type 3, code 0, 1, 2, 3, 9, 10, or 13) is received. -sN; -sF; -sX (TCP NULL, FIN, and Xmas scans) These three scan types (even more are possible with the --scanflags option described in the next section) exploit a subtle loophole in the TCP RFC to differentiate between open and closed ports. Page 65 of RFC 793 says that “if the [destination] port state is CLOSED .... an incoming segment not containing a RST causes a RST to be sent in response.” Then the next page discusses packets sent to open ports without the SYN, RST, or ACK bits set, stating that: “you are unlikely to get here, but if you do, drop the segment, and return.” When scanning systems compliant with this RFC text, any packet not containing SYN, RST, or ACK bits will result in a returned RST if the port is closed and no response at all if the port is open. As long as none of those three bits are included, any combination of the other three (FIN, PSH, and URG) are OK. Nmap exploits this with three scan types:
Null scan (-sN) Does not set any bits (TCP flag header is 0) FIN scan (-sF) Sets just the TCP FIN bit. Xmas scan (-sX)
Sets the FIN, PSH, and URG flags, lighting the packet up like a Christmas tree. These three scan types are exactly the same in behavior except for the TCP flags set in probe packets. If a RST packet is received, the port is considered closed, while no response means it is open|filtered. The port is marked filtered if an ICMP unreachable error (type 3, code 0, 1, 2, 3, 9, 10, or 13) is received. The key advantage to these scan types is that they can sneak through certain non-stateful firewalls and packet filtering routers. Another advantage is that these scan types are a little more stealthy than even a SYN scan. Don't count on this though—most modern IDS products can be configured to detect them. The big downside is that not all systems follow RFC 793 to the letter. A number of systems send RST responses to the probes regardless of whether the port is open or not. This causes all of the ports to be labeled closed. Major operating systems that do this are Microsoft Windows, many Cisco devices, BSDI, and IBM OS/400. This scan does work against most Unix-based systems though. Another downside of these scans is that they can't distinguish open ports from certain filtered ones, leaving you with the response open|filtered.
-sA (TCP ACK scan)
This scan is different than the others discussed so far in that it never determines open (or even open|filtered) ports. It is used to map out firewall rulesets, determining whether they are stateful or not and which ports are filtered. The ACK scan probe packet has only the ACK flag set (unless you use --scanflags). When scanning unfiltered systems, open and closed ports will both return a RST packet. Nmap then labels them as unfiltered, meaning that they are reachable by the ACK packet, but whether they are open or closed is undetermined. Ports that don't respond, or send certain ICMP error messages back (type 3, code 0, 1, 2, 3, 9, 10, or 13), are labeled filtered.
-sW (TCP Window scan)
Window scan is exactly the same as ACK scan except that it exploits an implementation detail of certain systems to differentiate open ports from closed ones, rather than always printing unfiltered when a RST is returned. It does this by examining the TCP Window field of the RST packets returned. On some systems, open ports use a positive window size (even for RST packets) while closed ones have a zero window. So instead of always listing a port as unfiltered when it receives a RST back, Window scan lists the port as open or closed if the TCP Window value in that reset is positive or zero, respectively. This scan relies on an implementation detail of a minority of systems out on the Internet, so you can't always trust it. Systems that don't support it will usually return all ports closed. Of course, it is possible that the machine really has no open ports. If most scanned ports are closed but a few common port numbers (such as 22, 25, 53) are filtered, the system is most likely susceptible. Occasionally, systems will even show the exact opposite behavior. If your scan shows 1,000 open ports and three closed or filtered ports, then those three may very well be the truly open ones.
-sM (TCP Maimon scan)
The Maimon scan is named after its discoverer, Uriel Maimon. He described the technique in Phrack Magazine issue #49 (November 1996). Nmap, which included this technique, was released two issues later. This technique is exactly the same as NULL, FIN, and Xmas scans, except that the probe is FIN/ACK. According to RFC 793 (TCP), a RST packet should be generated in response to such a probe whether the port is open or closed. However, Uriel noticed that many BSD-derived systems simply drop the packet if the port is open.
--scanflags (Custom TCP scan)
Truly advanced Nmap users need not limit themselves to the canned scan types offered. The --scanflags option allows you to design your own scan by specifying arbitrary TCP flags. Let your creative juices flow, while evading intrusion detection systems whose vendors simply paged through the Nmap man page adding specific rules! The --scanflags argument can be a numerical flag value such as 9 (PSH and FIN), but using symbolic names is easier. Just mash together any combination of URG, ACK, PSH, RST, SYN, and FIN. For example, --scanflags URGACKPSHRSTSYNFIN sets everything, though it's not very useful f or scanning. The order these are specified in is irrelevant. In addition to specifying the desired flags, you can specify a TCP scan type (such as -sA or -sF). That base type tells Nmap how to interpret responses. For example, a SYN scan considers no-response to indicate a filtered port, while a FIN scan treats the same as open|filtered. Nmap will behave t he same way it does for the base scan type, except that it will use the TCP flags you specify instead. If you don't specify a base type, SYN scan is used.
-sZ (SCTP COOKIE ECHO scan)
SCTP COOKIE ECHO scan is a more advanced SCTP scan. It takes advantage of the fact that SCTP implementations should silently drop packets containing COOKIE ECHO chunks on open ports, but send an ABORT if the port is closed. The advantage of this scan type is that it is not as obvious a port scan than an INIT scan. Also, there may be non-stateful firewall rulesets blocking INIT chunks, but not COOKIE ECHO chunks. Don't be fooled into thinking that this will make a port scan invisible; a good IDS will be able to detect SCTP COOKIE ECHO scans too. The downside is that SCTP COOKIE ECHO scans cannot differentiate between open and filtered ports, leaving you with the state open|filtered in both cases.
-sI [:] (idle scan)
This advanced scan method allows for a truly blind TCP port scan of the target (meaning no packets are sent to the target from your real IP address). Instead, a unique side-channel attack exploits predictable IP fragmentation ID sequence generation on the zombie host to glean information about the open ports on the target. IDS systems will display the scan as coming from the zombie machine you specify (which must be up and meet certain criteria). Full details of this fascinating scan type are in the section called “TCP Idle Scan (-sI)”.

Besides being extraordinarily stealthy (due to its blind nature), this scan type permits mapping out IP-based trust relationships between machines. The port listing shows open ports from the perspective of the zombie host. So you can try scanning a target using various zombies that you think might be trusted (via router/packet filter rules).

You can add a colon followed by a port number to the zombie host if you wish to probe a particular port on the zombie for IP ID changes. Otherwise Nmap will use the port it uses by default for TCP pings (80).
-sO (IP protocol scan)
IP protocol scan allows you to determine which IP protocols (TCP, ICMP, IGMP, etc.) re supported by target machines. This isn't technically a port scan, since it cycles through IP protocol numbers rather than TCP or UDP port numbers. Yet it still uses the -p option to select scanned protocol numbers, reports its results within the normal port table format, and even uses the same underlying scan engine as the true port scanning methods. So it is close enough to a port scan that it belongs here.

Besides being useful in its own right, protocol scan demonstrates the power of open-source software. While the fundamental idea is pretty simple, I had not thought to add it nor received any requests for such functionality. Then in the summer of 2000, Gerhard Rieger conceived the idea, wrote an excellent patch implementing it, and sent it to the announce mailing list (then called nmap-hackers). I incorporated that patch into the Nmap tree and released a new version the next day. Few pieces of commercial software have users enthusiastic enough to design and contribute their own improvements!

Protocol scan works in a similar fashion to UDP scan. Instead of iterating through the port number field of a UDP packet, it sends IP packet headers and iterates through the eight-bit IP protocol field. The headers are usually empty, containing no data and not even the proper header for the claimed protocol. The exceptions are TCP, UDP, ICMP, SCTP, and IGMP. A proper protocol header for those is included since some systems won't send them otherwise and because Nmap already has functions to create them. Instead of watching for ICMP port unreachable messages, protocol scan is on the lookout for ICMP protocol unreachable messages. If Nmap receives any response in any protocol from the target host, Nmap marks that protocol as open. An ICMP protocol unreachable error (type 3, code 2) causes the protocol to be marked as closed while port unreachable (type 3, code 3) marks the protocol open. Other ICMP unreachable errors (type 3, code 0, 1, 9, 10, or 13) cause the protocol to be marked filtered (though they prove that ICMP is open at the same time). If no response is received after retransmissions, the protocol is marked open|filtered
-b (FTP bounce scan)
An interesting feature of the FTP protocol (RFC 959) is support for so-called proxy FTP connections. This allows a user to connect to one FTP server, then ask that files be sent to a third-party server. Such a feature is ripe for abuse on many levels, so most servers have ceased supporting it. One of the abuses this feature allows is causing the FTP server to port scan other hosts. Simply ask the FTP server to send a file to each interesting port of a target host in turn. The error message will describe whether the port is open or not. This is a good way to bypass firewalls because organizational FTP servers are often placed where they have more access to other internal hosts than any old Internet host would. Nmap supports FTP bounce scan with the -b option. It takes an argument of the form :@:. is the name or IP address of a vulnerable FTP server. As with a normal URL, you may omit :, in which case anonymous login credentials (user: anonymous password:[email protected]) are used. The port number (and preceding colon) may be omitted as well, in which case the default FTP port (21) on is used.

Weitere Arten von Angriffen auf ein Netzwerk

Flood-Attacken

Der Land Angriff

Beim sog. Land-Angriff wird an einen offenen Port Ihres Computers eine Anfrage auf Verbindungsherstellung mit sich selbst gesendet. Der Angriff führt im angegriffenen Computer zu einer Endlosschleife, was eine stark erhöhte Prozessorbelastung zur Folge hat und bei bestimmten Betriebssystemen zum Absturz führen kann.

ICMP-Flood

Bei einem ICMP Flood wird eine große Anzahl von ICMP-Paketen an Ihr Netzwerk gesendet Da der betreende Computer auf jedes eintreffende Paket reagieren muss, kommt es zu einer erheblichen Erhöhung der Prozessorauslastung.

SYN-Flood

Beim SYN Flood wird eine große Menge von Verbindungsanfragen an Ihren Computer gesendet. Das System reserviert für jede dieser Verbindungen bestimmte Ressourcen, wodurch es seine Ressourcen vollständig verbraucht und nicht mehr auf andere Verbindungsversuche reagiert.

Angriffe zur “Übernahme

Internet - Routing - Angriffe

IP - Pakete können durch Angaben im 8 Bit langem Optionsfeld verschiedene Zusatzfunktionen erfüllen. Diese werden im allgemeinen lediglich vom Systemadministrator für Test- und Überwachungszwecke genutzt. Routing - Optionen wie "Loose Source Routing" können allerdings auch zu Angriffen auf das interne Netzwerk von außerhalb verwendet werden.
Der Source - Routing - Angriff
Die einfachste Routing - Attacke benutzt die Internet - Protokolloption 9 (Strict Source Routing) bzw. 3 (Loose Source Routing). In beiden Fällen kann die Route durch das Netzwerk vom Sender des IP - Routing - Paketes bestimmt werden. Im Fall von "Strict Source Routing" muss dabei jeder Vermittlungsknoten in der richtigen Reihenfolge angegeben werden. Zwei als aufeinanderfolgend eingetragene Knoten müssen tatsächlich direkt miteinander verbunden sein. Ist dies nicht der Fall, erfolgt eine Fehlermeldung. "Loose Source Routing" lässt hingegen auch zusätzliche Vermittlungen (Hops) zwischen zwei angegebenen IP - Adressknoten zu, ohne dass die komplette Route angegeben werden muss. Es bietet sich demnach geradezu an, als Hilfsmittel für einen Angreifer von außen missbraucht zu werden. Der Datenstrom der Zielstation kann damit problemlos an das Computersystem des Eindringlings "umgeleitet" werden. Dazu simuliert der Angreifer wiederum die IP - Adresse eines internen Systems (IP - Adress - Spoofing) und öffnet unter Aktivierung der Option "Loose Source Routing" eine Verbindung zur Zielstation, wobei als Route für die Antwortpakete ein Pfad, der über das angreifende System führt, angegeben wird. Damit stehen dem eingedrungenem System alle Möglichkeiten der simulierten, internen Station zur Verfügung. Wieder liegt die Ursache für erfolgreiche Attacken nach der beschriebenen Methode in der Durchlässigkeit der Gateways des betroffenen Netzwerkes für IP - Pakete mit internen Adressen überexterne Datenleitungen. Die Aktivierung entsprechender Input - Filter bzw. die Filterung von IP - Paketen mit aktivierter Source Routing - Option schließt dies Lücke.
Der RIP - Angriff
Mit Hilfe des RIP - Angriffes ist es möglich, unbemerkt ganze Kommunikationsbeziehungen zwischen zwei internen Stationen über einen externen Angreifer "umzuleiten". Der Angreifer (X) simuliert dabei eine interne Station (A) und sendet modifizierte RIP - Pakete (Routing Information Protocol) an die zweite zugreifende Station (B) sowie an die Gateways, die zwischen X und B liegen. Diese Pakete weisen B sowie die Gateways an, jedes Paket von B nach A - entsprechend der gefälschten Routen - Information - nicht nach A, sondern nach X zu vermitteln. Der Angreifer X wertet die für A eingehenden Pakete aus (Passwörter, Logins, etc.) und sendet sie, versehen mit der "Source - Route - Option", weiter an ihren eigentlichen Bestimmungsort A. durch die Aktivierung der "Source - Route - Option" stellt X sicher, dass auch alle Antwortpakete von A nach B überwacht werden können. Ähnlich wie im Fall des Source - Route - Angriffs werden RIP - Angriffe durch Gateways verhindert, die IP - Adress - Spoofing - Pakete blockieren. Darüber hinaus sollten alle internen Router so konfiguriert sein, dass ohne weiteres eine Änderung der bestehenden Routen nicht möglich ist.
Das Exterior Gateway Protocol (EGP)
Dieses Protokoll wird dazu benutzt, um zwischen zwei autonomen Systemen Routing - Informationen auszutauschen. Im Internet werden damit beispielsweise sog. "Mid - Level - Netzwerke" an das Internet - Backbone angebunden. Die in Europa zur Kommunikation zwischen den Internetprovidern übliche EGP Variante ist BGP -4 (Boarder Gateway Protocol 4). Angriffe auf Basis dieser EGP können mit einem Schlag mehrere hundert Netzwerke betreffen. Eine Angriffsvariante besteht darin, ein anderes autonomes Gateway vorzutäuschen (EGP - Spoofing) und damit beispielsweise den gesamten Verkehr zwischen zwei Internetprovidern über das eigene System umzuleiten.
Broadcast - Stürme durch ARP - Missbrauch
Eine Angriffsvariante, die der massiven Beeinträchtigung der Betriebsbereitschaft des Zielnetzwerkes dient, sind ARP - Angriffe. Sie dienen dazu, Netzkomponenten gezielt in Überlastsituationen zu bringen, in der Hoffnung, undefinierte Zustände hervorzurufen und im Anschluss daran einen Angriff starten zu können. Normalerweise dient das Adress - Resolution - Protocol in Netzwerken dazu, die einer Internet - Adresse zugeordnete Hardware - Adresse zu finden. Dazu werden ARP - Pakete in Form von Broadcasts an alle Netzwerkteilnehmer versendet. Kann eine Adresse innerhalb eines Netzsegmentes nicht gefunden werden, leiten Gateways die ARP - Anforderung per Broadcast an alle angeschlossenen Netzwerke weiter. Wenn künstlich generierte ARP - Pakete zur Suche von nicht existierenden IP - Adressen generiert werden, so führt dies daher rasch zu einem "Broadcast - Sturm" der Gateways. "Verbessert" werden kann dieser Effekt noch, dass nach dem ersten Broadcast - Sturm synthetische "ARP - Replies" der nicht existierenden Adresse versendet werden, die von den Gateways wiederum per Broadcast weiterverbreitet werden. solche Broadcast - Stürme belegen rasch über längere Zeiträume den größten Teil der verfügbaren Übertragungsbandbreite und stören die Funktionsfähigkeit der betroffenen Netzwerke empfindlich. Wichtig ist es, in diesem Zusammenhang auch zu untersuchen, wie sich die eingesetzten Netzwerkkomponenten im Fall von extremer Überlast verhalten, um Angriffen während solcher Situationen vorzubeugen.
Der IP - Fragment - Angriff
Die Fragmentierung von IP - Datenpaketen dient gewöhnlich dazu, Netzwerkabschnitte, die lediglich eine bestimmte maximale Paketlänge unterstützen, zu überwinden. So liegt die maximale Nutzlast, die ein Ethernet - Paket übertragen kann, bei 1500 Bytes, während die maximale IP - Paketgröße 65535 Bytes beträgt. Die betroffenen Datenpakete werden deshalb (falls erforderlich) vom jeweiligen Gateway in Fragmente unterteilt. Nach der Übertragung werden die einzelnen Fragmente nicht sofort wieder reassembiert, , sondern zunächst an ihr endgültiges Ziel vermittelt. Erst dort erfolgt dann die Zusammensetzung zum ursprünglichem IP - Paket. Jedes Paketfragment enthält im IP - Header eine Identifikationsnummer, eine Fragmentierungsflagge sowie einen Fragment - Offset, wodurch Identität und Reihenfolge der Fragmente eindeutig definiert sind. Für auf Paketfilterung basierende Firewall - Systeme, die Vermittlungsentscheidungen auf Basis von TCP - Portnummern treffen, stellen fragmentierte Pakete daher eine mögliche Gefährlichkeit dar, weil lediglich im ersten Fragment die TCP - Portnummer enthalten ist und Fragmente ohne TCP - Port nicht ausgefiltert werden können. Ist das erste IP - Paket allerdings so kurz, dass die TCP - Portnummer erst im zweiten Paket erscheint, haben Paketfilter große Probleme. Paketfilter kontrollieren außer den Portnummer die TCP - Flaggen. So werden häufig ankommende Verbindungen (SYN - Flagge gesetzt) nur von bestimmten IP - Adressen erlaubt. Mit zwei sich überlappenden Fragmenten eines SYN - Paketes (negativer Offset) passieren die IP - Pakete das Firewall - System. Mit IP - Fragmenten kann außerdem eine Unzahl von Denial of Service Attacken ausgelöst werden. einer dieser Angriffe ist z. B. der "Ping of Death". Viele andere Varianten von unregelmäßigen Fragmenten sind denkbar, die beim Zusammenbau zu Problemen führen können (je nach Implementierung des IP - Stacks). Anschließend werden einige Beispiele für diese große Klasse von Angriffen gezeigt, deren Vertreter so klangvolle Namen wie teardrop, newtear, bonk oder boink haben. Diese Angriffe können nur durch eine sorgfältige Programmierung des IP - Stacks bekämpft werden. die Kontrolle von Fragmenten vor dem Zusammenbau sollte eine höhere Priorität haben als die Schnelligkeit der Verarbeitung.
IP - Bombing
Eine wirkungsvolle Sabotagetechnik, die in der Regel der Angriffsvorbereitung dient, ist die Bombardierung fremder Rechner mit IP - Pakete nach dem Motto : Die größere Bandbreite gewinnt. Dazu muss das Opfer von einer möglichst großen Zahl von Angreifern attackiert werden. zu diesem Zweck wurde eine Reihe von Angriffstools programmiert(Stacheldraht, Trin00, etc.), die alle nach dem gleichen Prinzip arbeiten. Zunächst muss im Internet nach Rechnern Ausschau gehalten werden, auf denen (unter Ausnutzung von Sicherheitslöchern) kleine Programme installiert werden können, die sog. Agenten. Das sind in der Regel Rechner von Universitäten oder anderen Organisationen mit ungenügend abgesicherten Netzwerken. Diese Agenten warten an bestimmten TCP bzw. UDP - Ports auf das Signal zum Angriff. Über bestimmte Nachrichten werden sie vom Angreifer gleichzeitig aktiviert und senden Netzwerkpakete zu Opfer. Da diese Angriffe verteilt ausgeführt werden, bezeichnet man sie auch als "distributed Denial of Service" Angriffe (DDoS). Schutz bieten nur Filterprogramme, die nach wartenden Agenten suchen und diese deaktivieren.
Der TCP - Sequenznummern - Angriff
Das ist einer der gefährlichst und wirksamsten Methoden, um auf Paketfiltertechnik basierende Firewallsysteme zu überwinden. Unter Ausnutzung dieser bereits 1985 erkannten Sicherheitslücke können ALLE Sicherheitssysteme überwunden werden, deren Zugangsmanagement auf der Auswertung von IP - Sendeadressen beruht, überwunden werden. Der Ansatzpunkt dieses Angriffs liegt in der aus drei Schritten bestehenden Handshake - Sequenz während eines TCP - Verbindungsaufbaus. Voraussetzung ist, dass, wie beschrieben, mit Hilfe von IP Adress Spoofing gefälschte IP - Pakete von außen in das interne Datennetz gesendet werden können. Eine TCP - Handshake - Sequenz arbeitet im Detail folgendermaßen: Soll vom Client A eine Verbindung zum Remote - Shell - Server B aufgebaut werden, so wird dies mit dem Datenpaket A > B: SYN, A_SNa eingeleitet, in dem von A das Synchronisationsbit SYN gesetzt wird und B die Anfangssequenznummer (Initial Sequenz Number ISN) der aufzubauenden TCP - Verbindung A_Sny mitgeteilt wird. Server B antwortet darauf mit B > A: SYN, A_SNb. Dabei wird die Anfangssequenznummer A_SNb an den Client A übermittelt und gleichzeitig dessen Sequenznummer A_SNa bestätigt. A beendet mit der Bestätigung A > B: ACK (A_SNb) die Handshake - Sequenz. Die ab jetzt während der Verbindung anfallenden neuen Sequenznummer bzw. Bestätigungen errechnen sich aus den beiden Anfangssequenznummern und den bisher übertragenen Daten, so dass ein Angreifer, der die Anfangssequenznummern und die Daten kennt, die restlichen Sequenznummern leicht berechnen kann. Die Wahl der Anfangssequenznummern erfolgt dabei dem äußerem Anschein nach zufällig, wird tatsächlich aufgrund eines einfachen Algorithmus ermittelt. Im RCF 693 wird festgelegt, dass ein 32 - Bit - Zähler an der niederwertigsten Stelle alle 4 µs um den Wert 1 erhöht werden muss. In den Berkeley - TCP - Implementationen erfolgt die Erhöhung jedoch lediglich jede Sekunde, und zwar um den Wer 128 innerhalb einer Verbindung und um den Wert 64 für jede neue Verbindung. Damit ist es möglich, mit einer hohen Wahrscheinlichkeit vorauszusagen, welche Sequenznummer ein System für seinen nächsten Verbindungsaufbau benutzen wird. Dies wird beim Sequenznummern - Angriff ausgenutzt. Vom Angreifer X wird zunächst unter Benutzung einer beliebigen Sendeadresse eine zulässige Vorbereitungs - Verbindung auf ein harmloses TCP - Port (25,79, etc.) des Zielsystems aufgebaut: X>Z: SYN , A_SNx. Das Zielsystem antwortet mit Z > X: SYN, A_SNz , ACK(A_SNx). Nun täuscht der Angreifer die Identität eines internen Systems A vor (IP - Spoofing; Sendeadresse A) und sendet an ein "kritisches" TCP - Port wie dem Login - Server (Port 513): A > Z: SYN, A_SNx. Worauf Z mit Z > A: SYN, A_SNz+, ACK(A_SNx). antwortet. Obwohl diese letzte Nachricht an die interne Station A gerichtet ist und für den externen Angreifer nicht sichtbar ist, kann dieser die Anfangssequenznummer A_SNz+ des Zielsystems, ausgehend vom Wert A_SNz der Vorbereitungsverbindung, errechnen und wieder an das interne System A simulierend mit A > Z: ACK(A_SNz+) antworten. Das Zielsystem geht nun von einer gesicherten Verbindung zu der internen Station A aus. Der Angreifer kann weiter als Station A auftreten und auf dem Zielsystem beliebige Operationen durchführen. Einzige Einschränkung ist, dass die jeweiligen Antworten des Zielsystems für den Angreifer nicht sichtbar sind, da diese ja an den internen Client A gesendet werden. Nun ein kurzer Auszug aus demTCP Sequence Number Guessing Angriff von Kevin Mitnick auf die Workstation von Tsutomu Shimomura. Selbst wenn der Angreifer die Anfangssequenznummer des Opfers nur ungefähr voraussagen kann, ist der Angriff immer noch vielversprechend. Der Angreifer sendet nach seinem TCP -SYN - Paket mit der gespooften Adresse immer eine ganze Reihe von IP - Paketen mit gleichem Inhalt, aber unterschiedlicher Sequenznummer ab, so dass alle potentiellen Nummern angedeckt werden. Alle Pakete bis auf das richtige werden vom Opfer verworfen.
Als Maßnahme gegen diese Angriffe bieten sich die folgenden Strategien an.
Konfiguration, des Paketfilters (Input - Filterung). Vermeidung der Authentifikation eines Benutzers auf der Basis von IP Adressen. Firewallsysteme, die darauf aufbauen, sind als problematisch anzusehen. Benutzerauthentifikation mit Hilfe von Crypto - Systemen. Im Fall eines Verbindungsaufbaus erhält der Client (sofern er dazu autorisiert ist) in verschlüsselter Form einen Session - Key, mit dem eine einmalige Verbindung aufgebaut werden kann. Implementierung eines echten Zufallsgenerators zur Berechnung der Anfangssequenznummern
Abbruch und Übernahme von TCP - Verbindungen
Der vollständig TCP - Sequenznummernangriff ist schwierig durchzuführen. Ein einfacheres Angriffsszenario unter Ausnutzung der Sequenznummer ist der unfreiwillige Abbruch von TCP - Verbindungen. Hier wird (mitten in eine aktive TCP - Verbindung) zu einem der beiden Partner ein Paket mit der passenden Sequenznummer und gesetzter RST- oder FIN - Flagge gesendet. Die Verbindung wird beendet, die ankommenden Pakete des ahnungslosen zweiten Partners werden ignoriert (Denial of Service). Bei diesem Angriff müssen die Pakete am Rechner des Hackers vorbeikommen, wodurch diese Angriffe vorzugsweise aus dem Intranet oder von großen Providern aus vorgenommen werden können. Eine Variante des Verbindungsabbruch ist die komplette Übernahme der Verbindung durch den "Hacker" (Hijacking). H ier werden keine RST- oder FIN - Pakete, sondern gewöhnliche Datenpakete mit der richtigen Sequenznummer gesendet. Kommen die Pakete des "Hackers" früher am Zielrechner an als die des regulären Partners, werden die als gültig akzeptiert und die regulären Pakete verworden. Der Angreifer befindet sich mitten in der gerade aktiven TCP - Session. Handelt es sich dabei um eine ASCII - Übertragung wie bei Telnet oder Rlogin, können Befehle mit den Zugriffsrechten des gerade ausgebooteten Benutzers abgesetzt werden. Gute Programme zu Hijacking versuchen, nach Beendigung des Angriffs die beiden ursprünglichen Partner durch Absenden von Paketen mit passenden Sequenznummern wieder zu synchronisieren. Abgesehen von einem kurzzeitigen Stillstand bemerkt das Opfer nichts von der kurzfristigen Übernahme der Session durch den "Hacker". Hijacking verliert seinen Wert bei verschlüsselten Verbindungen, da hier keine sinnvolle Übernahme der Session möglich ist.
UDP - Spoofing
Kommunikationspartner im Rahmen von UDP - Verbindungen sind grundsätzlich immer als nicht vertrauenswürdig einzustufen, da sich dieses Protokoll außerordentlich leicht simulieren lässt. Da weder Sequenznummer noch Bestätigungspakete vorgesehen sind, sollten darauf aufsetzende Applikationen die Netzwerkadressen der jeweiligen Hosts unbedingt einem Authentifikationsprozess unterziehen. Potentielle Angreifer sind andernfalls in der Lage, mit Hilfe von synthetischen UDP - Datenpaketen mit verfälschter Internet - Adresse einen internen Benutzer vorzutäuschen und entsprechende Applikationen zu nutzen. Eine trickreiche Simulation von Handshake - Sequenzen wie im Fall des TCP - Sequenznummernangriffs ist ja bei UDP erst gar nicht notwendig. Genauso können bestehende UDP - Verbindungen von Angreifern übernommen werden, ohne dass die Server - Applikation die Möglichkeit hat, dies zu bemerken. Auf exponierten Systemen sollte das UDP - Protokoll daher möglichst ganz vermieden werden.
Sicherheitsrisiko DNS
In den meisten Fällen erden DNS - Angriffe als Vorbereitung für einen nachfolgenden Einbruch unter Nutzung der Remote - Dienst (rsh, rlogin, etc.) durchgeführt. Gelingt es einem Angreifer die "in-addr.arpa" - Tabelle de betreffenden DNS so zu modifizieren, dass dem Domainnamen des Trusted - Host, den er vortäuschen möchte, seine eigene, tatsächliche Internetadresse zugeordnet wird, so kann er darauffolgend erfolgreich mit rlogin oder rsh das Zielsystem angreifen. Überprüft die betreffende "r - Applikation" die Internetadresse nochmals in der Gegenrichtung, und fordert per DNS auch ausgehend von der ermittelten numerischen Adresse den zugeordneten Domainnamen an, wie dies in aktuellen Versionen häufig der Falle ist, si kann diese Täuschung allerdings entdeckt werden. Um diese Barriere zu umgehen, verschaffen sich gewiefte Hacker deshalb auch Zugang zum DNS - Cache. Durch einen entsprechenden Eintrag hält die Authentifikation der Internetadresse des Angreifers auch der zweimaligen Sicherheitsüberprüfung stand, und der Angriff kann fortgesetzt werden. Authentifikationsverfahren sollten deshalb grundsätzlich nicht auf Domain - Namen, sonder auf Internetadressen beruhen. Dies bietet zwar auch keine Sicherheitsgarantie, aber es erschwert immerhin potentielle Einbruchsversuche. Zweites Ziel von DNS- Attacken sind die Zonen - Daten, die Angreifer wertvolle Informationen über Aufbau, Struktur und Adressierung des internen Netzwerks liefern. Der Zugriff auf die Zonen - Dateien (TCP - Port 53) sollte deshalb ausschließlich auf den oder die definierten Secondary DNS - Server möglich sein.
Sicherheitsrisiko SMTP
Das Simple Mail Transport Protocol wird im Internet dazu benutzt, elektronische Nachrichten zu übertragen. Eines der offensichtlichsten Sicherheitsprobleme bei der Analyse des Protokolls ist die Tatsache, dass die Authentizität der Sendeadresse nicht verifiziert werden kann. Als weitere potentielle Schwachstelle dieses Dienstes stellte sich während der vergangenen Jahre die weit verbreitete Unix - Implementierung des SMTP - Dämons, das Programm "sendmail" ,heraus. Die zuverlässige Identifikation von elektronischen Nachrichten ist damit ausschließlich durch den Einsatz von elektronischen Unterschriften möglich, wie sie beispielsweise mit Hilfe von Public - Key - Verfahren (PGP, etc.) realisiert werden können. Weitere Angriffsmethoden, bei denen der E - Mail - Dienst eine entscheidende Rolle spielt, sind MIME- und Postscript - Angriffe sowie das Einschleusen von Trojanischen Pferden und evtl. Viren.

Alt und immer noch gefährlich
Telnet - Angriffe
Telnet basiert auf der Übertragung von ASCII - Sequenzen. Der gesamte Ablauf einer Telnet - Verbindung wird daher im Klartext übertragen. Damit ist es für einen Angreifer ein leichtes, mit Hilfe von Monitorprogrammen (Ethload, Esniff, Snoop etc.) in den Besitz von Telnet - Logins und Passwörtern zu kommen. Wird ein solcher Protokollmonitor auf einem Netzwerk - Backbone installiert, kann damit in kürzester Zeit eine große Anzahl von Zugangsberechtigungen enttarnt werden. Eine weitere Angriffmethode besteht darin, die Client - Telnet - Applikation durch ein Trojanisches Pferd zu ersetzen. Eine solche trojanisierte Telnet - Version zeichnet, für den Benutzer unbemerkt, Benutzeridentifikationen und Passwörter auf und legt diese in einer getarnten Datei ab. wirksame Abhilfe gegen diese Art von Angriffen schafft lediglich die Benutzung eines leistungsfähigen Authentifikationsmechanismus. Eine solcher kann entweder mit Hilfe eines Einmalpassworts - Systems oder durch den Einsatz eines Authentifikationsservers geschaffen werden.
FTP - Angriff FTP basiert auf dem Internet - Protokoll TCP und benötigt zur Durchführung einer Dateiübertragung zwei gleichzeitig aktive Verbindungen. Für jede weitere Datenübertragung muss erneut eine Verbindung aufgebaut werden, die, aufgrund einer Eigenheit des TCP - Protokolls, allerdings eine andere (Client-) Portnummer besitzen muss. Damit ist nicht mehr eindeutig vorhersehbar, über welches Port eine FTP - Datenübertragung abgewickelt wird, was die Implementation des FTP - Dienstes über Firewalls hinweg wesentlich kompliziert. Weitere potentielle Sicherheitsprobleme des FTP - Dienstes sind:
Der Server benutzt für die Datenübertragung das privilegierte Port 20 und wird daher als "root" gestartet, diese Sicherheitslücke kann durch passives FTP geschlossen werden. Im Laufe der Jahre wurden eine Reihe von Sicherheitslücken in diversen FTP - Serverdämons entdeckt, die immer wieder zu massive Einbrüchen geführt haben.
Fehler bei der Konfiguration als "Anonymer Fileserver" Als wichtigste Sicherheitsvorkehrung gegen FTP - Angriffe gilt es, den Datenbereich für anonymes FTP vor jeglichem Schreibzugriff zu schützen. Ist dies nicht der Fall, genügt es unter Linux, eine rhosts Datei auf das Zielsystem zu kopieren, um über einen nachfolgenden rlogin - Angriff einzudringen. Des weiteren sollte sich, ie bereits im Abschnitt über Zugangsberechtigungen erwähnt, keinesfalls eine authentische V ersion einer Passwortdatei in Reichweite des Anonymen - FTP - Dienstes befinden. Ein verheerender Implementationsfehler im weit verbreitetem FTP - Serverprogramm "wuftpd" wurde Mitte 1994 bekannt. Über eine Telnetverbindung auf das FTP - Port 21 und die Eingabe des Befehls SITE EXEC konnten unmittelbar Superuserrechte auf dem betreffenden System erlangt werden.

Angriffe auf Server und Clients

Design- und Programmierfehler in Applikationen
Leider ist nicht nur das Netzwerk eine unendliche Quelle von Sicherheitslücken und Angriffsmöglichkeiten, auch auf Applikationsebene öffnen sich für Hacker durch schlampiges Design oder unzureichender Sorgfalt bei der Programmierung zahlreiche Möglichkeiten zum unerlaubten Zugriff. Die Grenze zwischen Netzwerk und Applikationen ist fließend, einige Probleme wirken sich unmittelbar auf das Netzwerk aus. Im folgenden Teil sollen die immer wiederkehrenden Mechanismen für Angriffe auf Applikationen etwas genauer beleuchtet werden. einige der geschilderten Szenarien finden sich allerdings auch bei Problemen im Netzwerkstack wieder (Ping of Death oder Pufferüberlauf).

Der Pufferüberlauf

Der Pufferüberlauf ist ein einfach zu verstehendes Phänomen, obwohl die Programmierung von solchen Angriffen oft sehr schwierig ist. Er beruht auf der Tatsache, dass an unzähligen Stellen eines Programms bestimmte Längen für Variablen reserviert werden, die maximale Länge der Variablen aber nicht eingehalten wird und so benachbarte Bereiche des Speichers überschrieben werden. Kann dieses Verhalten von außen provoziert werden, liegt ein Angriff auf Basis des Pufferüberlaufs vor. Pufferüberläufe sind immer auf einen schlechten Programmierstil zurückzuführen, bei dem Eingaben von außen vor dem Verschieben der Daten in den Puffer nicht auf ihre maximale Länge hin überprüft werden. Das erste Problem bei der Entwicklung eines auf dem Pufferüberlauf basierenden Angriffs ist die Suche nach dem Fehler im Programm. Der Puffer muss von außen zugreifbar sein und darf nicht durch Längenkontrollen geschützt werden. der einfachst Angriff ist das Überschreiben das Puffers mit sinnlosen Daten, wobei der angegriffene Rechner bzw. Dienst seinen Dienst meist einstellt. Die hohe Kunst des Pufferüberlaufs ist aber nicht das unkontrollierte Zerschießen von Datenstrukturen, sondern die Manipulation des Puffers, dass sich dort nach dem Überschreiben ein ausführbarer Code befindet. Dieser wird dann vom angegriffenem System ausgeführt, mit den jeweiligen Privilegien des Prozesses. Da viele Serverprozesse mit Root- oder Adminrechten ablaufen, kann so das System nach Belieben manipuliert werden. Der kontrollierte Pufferüberlauf gilt daher als "hohe Kunst" der Angriffsszenarien und soll deshalb noch etwas näher betrachtet werden. Der von einem Angriff betroffene Speicherbereich des Programms ist fast immer der Stack, selten der Heap. Beide Bereiche haben den Vorteil, dass sie zur Laufzeit des Programms beschrieben werden können und sich ausführbare Befehle dort befinden dürfen. Die anderen Speicherbereiche eines Programms haben diese Vorteile nicht, der Textbereich (Programmcode) ist immer read-only und der Datenbereich ist zwar beschreibbar, kann aber keinen ausführbaren Code enthalten. Auf dem Stack befinden sich die Returnadresse zum Rücksprung nach Beendigung des Unterprogramms, ein Bereich für lokale Variablen, die nach dem Rücksprung des Programms wieder verschwinden. Ziel des Angriffs ist es, eine lokale Variable durch Eingabe von außen so zu überschreiben, dass die Returnadresse verändert wird. Diese zeigt dann nicht mehr zum aufrufenden Programm, sondern in den soeben überschriebenen Puffer selbst. Dort befindet sich, passend dimensioniert, ein Stück Programmcode, welcher vom Prozessor ohne zu Zögern verarbeitet wird. Angriffsprogramme sind in der Praxis sehr schwierig zu programmieren, muss doch der von außen eingeschobene Programmcode bis aufs Bit genau passen, sonst ergibt sich nur ein DoS. Es sind nur recht wenig Hacker in der Lage, einen solchen Angriff selbst zu programmieren. Sind solche Tools allerdings erst einmal entwickelt, werden sie im Internet publiziert und auch die sog. "Script - Kiddies" können sie bedienen. Puffer - Überlauf - Programme werden stets nach dem selben Muster programmiert. Sie bestehen aus drei Teilen mit den unterschiedlichen Funktionen:
Kodierung des Angriffsprogramms, das auf dem Opfer ablaufen soll Aufbau des Puffers, der neben dem reinem Programmcode noch andere Bytes enthält, z. B. NOP - Befehle, wenn die Lage des Puffers im Speicher nicht genau bekannt ist Zuweisung des Puffers an einen Parameter und Start des Angriffs.

Mangelhafter Syntax - Check

Ist der Pufferüberlauf auf eine fehlende Kontrolle der Länge von externen Eingaben zurückzuführen, liegt eine andere Quelle potentieller Angriffe in der unzureichenden Überprüfung der Syntax von externen Eingaben. Diese Überprüfung wird von sogenannten Parsern durchgeführt, die den externen Bytestrom untersuchen und in Befehle und Parameter zerlegen. Leider sind viele dieser Parser mangelhaft programmiert. Besonders im Umgang mit Sonderzeichen. Enthält der zerlegt Eingangsstrom noch Sonderzeichen, können diese bei den anschließenden Operationen von Applikation und Betriebssystem unerwünschte Nebeneffekte erzeugen. So wurden in einigen Versionen des Apache- bz. NCSA - Webservers die Zeichen %A (newline) und %20 (Space) nicht herausgefiltert, was zu fatalen Folgen bei der Ausführung des anschließenden CGI - Scriptes führte.

Die passwd - Datei mit den Passwort - Hashes wurde so auf dem Browser der Angreifers angezeigt. Die denkbaren Angriffe unter Ausnutzung von Fehlern im Parser sind vielfältig. Bekannt ist auch ein Problem vieler Webserver, die die Eingabe von ..\ oder ../ als Wechsel in ein höheres Verzeichnis interpretieren. So kann der Angreifer aus dem virtuellen Root - Verzeichnis auf dem Webserver ausbrechen und die Platte des Opfers einer genauen Inspektion unterziehen. Auch die Zeichen | und ; werden gerne übersehen und dann vom OS in unangenehmer Weise als Output - Redirection oder dem Start eines zweiten Programms interpretiert. Besonders gefährdet sind CGI - Scripte, die oft von unzureichend ausgebildeten Programmierern erstellt werden.

Race Condition

Wie der Name schon sagt, findet ein Wettrennen statt, hier zwischen zwei Programmen. Dabei belegt ein Programm bestimmte Ressourcen (Dateien, Speicherbereiche, Interrupts, etc.), sichert sie aber nur ungenügend gegen Missbrauch ab. Ein zweites Programm, vom Angreifer gestartet, bedient sich dieser Ressource in unzulässiger Weise. Der Zugriff muss allerdings genau im richtigen Moment erfolgen. Ein klassisches Beispiel ist der Zugriff auf temporäre Dateien, die von einer Applikation zeitweilig mit Daten gefüllt, später aber gelöscht werden. Oft ist ein Zugriff aus diese Dateien ohne besondere Privilegien möglich, so dass die Daten gelesen und/oder verändert werden können.

"Die größte Verwundbarkeit ist die Unwissenheit."

Stun Tzu - chin. General ca. 3000 v.Chr.

Ich bin Uli Kleemann Linux Admin aus Überzeugung