Die Bankrotterklärung von Airbus
(original gepostet am 30.04.2015 auf Google+)

Meldung des Tages ist wohl die Strafanzeige von Airbus, mit dem diese auf den "BND-Skandal" reagieren. Ich konnte da erst mal nur mit dem Kopf schütteln.

Als ich vor ca. 20 Jahren als Internet-Techniker begann, da war eines der der ersten Dinge, die man mir beibrachte: "Merk Dir, das Internet ist ein öffentliches Medium, bei dem im Prinzip jeder, der will, alles mitlesen kann. Du musst sensible Daten verschlüsseln, wenn Du sie über das Internet übertragen willst!"

Gut, die ganze Wahrheit ist wie immer komplexer, aber bei Datenübertragungen über das Internet hat ein relativ großer Personenkreis einen potentiellen Zugriff: Netzwerk-Administratoren, Telekommunikationsunternehmen, Hacker, Strafverfolgungsbehörden, und auch Geheimdienste. Die Gefahr, abgehört zu werden, war hoch genug, dass es zum Einmaleins der "Internet Security" zählte, sensible Daten ausschließlich verschlüsselt über das Internet zu senden.

Genauso zählte stets zum Einmaleins, dass immer wieder Schwächen in Algorithmen und Implementierungen bekannt werden, und darum ausschließlich aktuelle und starke Algorithmen und Implementierungen eingesetzt werden dürfen -- und die, nach menschlichem Ermessen, auch von einer NSA nicht geknackt werden konnten. Dass sie das tatsächlich nicht konnten, wissen wir nicht zuletzt durch Snowden und "seinen" Dokumenten. Snowden selbst sagte: "Encryption works. Properly implemented strong crypto systems are one of the few things that you can rely on." Und Bruce Schneier, der zeitweise Zugang zu den Dokumenten hatte, sagte: "The NSA is not made of magic."

Und nun kommt Airbus und sagt, dass sie Industriespionage befürchten, da möglicherweise jemand deren Internetverkehr abhörte. Das ist eine Bankrotterklärung, wie sie nur noch sprachlos machen kann. Eine selbstbewusste Reaktion eines selbstbewussten Unternehmens hätte eher wie folgte gelautet:

"Wir haben die Presseberichte mit Interesse verfolgt. Wir halten es auch für gut möglich, und es ist Teil unserer Risikoanalyse, dass Datenverkehr über das Internet abgehört werden kann, auch durch Geheimdienste. Deshalb setzen wir bei unseren Kommunikationen ausschließlich auf aktuelle und starke Sicherheitstechnologien, so dass wir es ausschließen können, dass auf diese Art erfolgreich Industriespionage bei uns betrieben wurde."

Airbus reagierte nicht so. Sie scheinen wenig Vertrauen in ihre eigene Sicherheitsvorkehrungen zu haben.

Was noch ergänzt werden sollte: Bei allen Vorsichtsmaßnahmen, bei aller Verschlüsselung, durch Abhören des Internetverkehrs kann man durchaus noch interessante Informationen erlangen: Durch die Metadaten, die einem bis zu einem gewissen Grad sagen können, wer wann mit wem kommunizierte. Zur Industriespionage sind diese Daten kaum hilfreich, können aber wertvolle Hinweise bei Verdacht auf Dinge wie Proliferation, Geldwäsche oder Korruption liefern. Liegt hier die wahre Angst von Airbus begraben? Aber jetzt bin ich es, der spekuliert. ;-)

Geteilt mit: Öffentlich, Thomas Schuback, Thomas Stadler

+1'd by: Tobias Weimer (Tobi)

Reshared by: Thomas Schuback

Thomas Stadler - 2015-05-01 07:37:29+0200

Du hast wieder mal den falschen Ansatz gewählt. Die Frage ist hier nicht, ob die IT-Sicherheit bei Airbus/EADS funktioniert, sondern ob man es als deutsch-französisches Unternehmen dulden muss, dass man mithilfe des BND von der NSA ausspioniert wird. Und die Antwort lautet sowohl juristisch als auch politisch nein. Ein solches Verhalten des BND wäre mangels gesetzlicher Ermächtigung nicht nur rechtswidrig, sondern für die Beteiligten BND-Mitarbeiter auch strafbar. Vor diesem Hintergrund ist es nachvollziehbar, dass Airbus eine Straftat verfolgt wissen will, die sich gegen das eigene Unternehmen richtet.

Rolf Weber - 2015-05-01 07:57:04+0200

+Thomas Stadler Ich betrachte es halt gerne von anderen Seiten als andere. ;-)
Auch wenn Du mit der politisch/juristischen Argumentation Recht hast, man kann rechtlich alle Trümpfe auf seiner Seite haben, und dennoch mit einer Anzeige eine Bankrotterklärung abliefern. Und das ist hier der Fall, denn mit Abhören des Internetverkehrs ist keine Industriespionage möglich, wenn man auch nur halbwegs Sicherheitsrichtlinien beachtet. Der Fall Gemalto war etwas anders gelagert, ab die reagierten sehr viel souveräner. Ich bin fest davon überzeugt, dass das für Airbus noch nach hinten los geht.

Vor allem auch, da die Erfolgsaussichten der Anzeige gleich Null sind. Wir wissen vom NSA-Untersuchungsausschuss, dass der BND alle Daten händig überprüfte, bevor sie zur NSA weiter geleitet wurden (vielleicht waren die "faulen" Selektoren die eigentliche Motivation hierfür, nicht übermäßge G10-Compliance). Da ging nichts über Airbus/EADS durch. Ansonsten hätte das die Bundesregierung auch kaum öffentlich gemacht.

Thomas Schuback - 2015-05-03 23:49:38+0200

Also bin ich Schuld, wenn in meine Wohnung eingebrochen worden ist? Weil ich zum Beispiel nur ein einfaches Schloss habe?

Thomas Schuback - 2015-05-03 23:51:31+0200

Wie will der BND Staatsangehörigkeiten bei einem multinationalen Konzern einwandfrei ermitteln? Nach Ihrer Definition müsste Merkel bei nur einem Fehler zurücktreten.

Thomas Schuback - 2015-05-04 00:52:47+0200

Darf ich klagen, wenn meine Bewerbungsunterlagen jetzt in London, Berlin oder Washington liegen sollten?

Rolf Weber - 2015-05-04 08:58:07+0200

+Thomas Schuback In meinem Post geht es überhaupt nicht um "schuld". Dafür ist bisher auch zu wenig bekannt. Wir wissen lediglich, dass die NSA versuchte, "faule" Selektoren einzustellen. Weder ist bekannt, ob und welche dieser Selektoren der BND überhaupt einstellte, noch -- und das ist viel wichtiger -- ob und welche Daten zu diesen Selektoren der BND an die NSA weiter leitete.
Es ist also bisher überhaupt nicht bekannt, ob es einen "Einbruch" gab. Nicht mal ob überhaupt ein Versuch (jedenfalls seitens des BND).

Mir ging es einzig darum, dass sich Airbus lächerlich macht, wenn sie fürchten, durch Abhörmaßnahmen an Internetknoten Opfer von Industriespionage zu werden.

Thomas Schuback - 2015-05-04 14:42:07+0200

Leider macht sich Deutschland lächerlich

Rolf Weber - 2015-05-04 15:07:55+0200

Nur Teile von Deutschland. Gewisse Politiker und Medien z. B.

Thomas Schuback - 2015-05-04 15:10:28+0200

Eine Frau Merkel will nicht abgehört werden und ihre Mitarbeiter hören die EU Kommission ab.

Rolf Weber - 2015-05-04 15:54:02+0200

Letzteres ist pure Spekulation.