Achillesferse der Republik: IT-Netzwerke?!

[Andi]

Moin moin,

in letzter Zeit häufen sich "Ausfälle" größerer und kleinerer Netzwerke in Deutschland - so zumindest meine subjektive Wahrnehmung. Medial wurde davon aber bisher meiner Kenntnis nach nichts aufgearbeitet, dabei kann dieses Thema auf Grund unserer allumfassenden Abhängigkeit von Telefonie und Internet wohl kaum relevanter sein.

Angesichts der Tatsache, dass wir mittlerweile fast alle via Voice over IP telefonieren müssen, da klassische Telefonie als erklärtes Ziel der Telekom und anderer Anbieter verschwinden soll sind wir zudem auch noch auf eine ständige Stromversorgung angewiesen, um überhaupt noch telefonieren zu können. Ist der Strom weg, ist das Internet weg, ist das Telefon tot - und man kann dementsprechend nicht mal den Provider anrufen (führt sicherlich zu einer spürbaren Absenkung von Störumgsmeldungen) oder den Notruf. Wer schon mal an Sylvester in Ballungsräumen mit dem Handy telefoniert hat weiß, wie schnell diese alternative Infrastruktur bei zu vielen Nutzern in die Knie geht. Über dauerhafte Stromausfälle und ihre Auswirkungen will ich hier an sich auch gar nicht spekulieren, aber über die Auswirkungen dauerhafter Netz- und Systemausfälle bei den Telekommunikationsunternehmen.

Der Bundestag hat sich 2011 im Ausschuss für Bildung, Forschung und Technikfolgenabschätzung (18. Ausschuss) mal mit dem Thema Technikfolgeabschätzung-Projekt: Gefährdung und Verletzbarkeit moderner Gesellschaften – am Beispiel eines großräumigen und langandauernden Ausfalls der Stromversorgung beschäftigt. Der Inhalt hat an seiner Relevanz nichts verloren, nur dass ich es durchaus interessant finde, dass man sich zwar mit den Szenarien "Terror", "Naturkatastrophen" oder "besonders schweren Unglücksfällen" hantiert wird, aber nicht mit dem nach wie vor viel wahrscheinlicheren Szenario "Einfluss von fremden Nachrichtendiensten" bzw. "Organisierte Kriminalität" oder dem hoffentlich unwahrscheinlicheren "bewaffneter Konflikt".
Wer sich mit dem Thema beschäftigen will, dem kann ich diese Drucksache als eine Grundlage dafür nur empfehlen.

Was mich stutzig macht ist, dass die Angriffe auf den Bundestag 2015, die späteren virtuellen Angriffe auf militärische Infrastruktur und im Verteidigungsbereich agierenden Unternehmen ebenfalls in 2015 offenbar medial als nicht relevant und für die weitere Berichterstattung geeignet gesehen werden - früher gab es auch mal "Nachberichterstattung". Die zunehmenden großflächigen Netzausfälle - z.B. Anfang Juni bei D1 und gestern im Kabelnetz von Vodafone - kann man natürlich auch auf Technikprobleme zurückführen, man kann aber auch auf die Idee kommen, dass diese Probleme von außen herbeigeführt worden sein könnten.

Auf allestörungen.de kann man sich einen relativ umfassenden Überblick über erfasste Netz- und Systemstörungen verschaffen, wenn man etwas Zeit mitbringt. Deutlich wird dort auch die offensichtlich vorhandene gegenseitige Abhängigkeit der unterschiedlichen Mobilfunknetze voneinander - ist eines gestört, sind auch immer öfter mehrere gestört. Zudem wird auch klar, dass Netzausfälle oder Einschränkungen nicht wirklich so selten sind, wie man wohl gemeinhin denkt.

Es hat sicherlich seinen Grund, dass wir immer mehr Behörden schaffen, die sich mit Datensicherheit und aktiven Gegenmaßnahmen befassen sollen - ja jetzt in der Bundeswehr auch mit aktiven virtuellen Angriffen -, allerdings ist denke ich auch klar, dass wir da Jahrzehnte lang geschlafen haben und es noch gar nicht absehbar ist, wann Deutschland hier überhaupt wirkungsvolle Schutzmechanismen aufgebaut hat. Es ist ja nicht so, dass staatliche Hacker bisher eher der Kunst des "freien Marktes" hinterhergelaufen sind.


Wie sollten wir als Gesellschaft mit dem Thema umgehen?
Wie sollten die Medien das Thema aufarbeiten?
Wie die Politik?
Und welche Sofortmaßnahmen für die Infrastruktur wären erforderlich?
Ist VoIP wirklich sinnvoll?

Gruß Andi

[StOPfr]

Mit der digitalen Zukunft des Landes - Deutschland ist nur Mittelmaß - beschäftigt sich der Spiegel in der aktuellen Ausgabe 26/2016 vom 25. Juni 2016 ab Seite 18:

Dorfhain ist überall

Der Artikel (Quelle) kann zurzeit nur im Heft oder online (Langsames Internet: So verspielt die Regierung die digitale Zukunft unseres Landes) gegen Bezahlung gelesen werden. Ein Link folgt später.


Zum Thema in diesem Spiegel-Heft auf Seite 59 auch eine

Ho­me­sto­ry
Unplugged


Zitat: Wenn Internet, Telefon und Fernsehen ausfallen im Haus, kommt auch das Leben zum Erliegen. (Quelle)

Für die Homestory gilt das zuvor zum Zugang geschriebene ebenfalls.

[Merowig]

Packetstorm nutze ich seit Jahren fuer Updates zu Exploits, etc
Hat auch eine News Section
https://packetstormsecurity.com/news/

Fuer Otto-Normal-Verbraucher von Nutzen
https://www.bsi-fuer-buerger.de/BSIFB/DE/Home/home_node.html
https://www.bsi.bund.de/DE/Home/home_node.html

Das die Bundeswehr sich dieser Thematik vermehrt annimmt (CIR) http://www.bundeswehrforum.de/forum/index.php?topic=56312.0  ist begruessenswert und laengst ueberfaellig, aber ich bin gespannt wie genau das umgesetzt wird.

Da Digital nicht wirklich greifbar ist, bei einem Angriff jedoch bisher nicht direkt Menschen umkommen/verletzt werden, bleibt dies fuer viele Abstrakt.

Zum Hackerangriff 2015 gab es auch weitere "Nach-Berichterstattung"
http://www.n-tv.de/politik/Hackerangriff-kam-aus-Russland-article16893581.html
Aber was soll man sonst noch Berichten? Jemand hat den Bundestag gehackt, Monate spaeter wird dann berichtet, dass es wohl die Russen wahren. Und das wars dann auch mit Berichterstattung. Case Closed.
Beschliesst der Bundestag jetzt einen Einsatz der CIR Trupp als Vergeltung (Parlamentsvorbehalt! ) ?  Natuerlich nicht.
Wer weiss ob / in welchem Unfang nicht einer unserer Dienste irgendwie Daten bei den Russen im Gegenzug abfaengt - sowas sollte dann aber auch nicht in der Presse erscheinen.

Sofortmassnahme - ich wuerde nach Moeglichkeit chinesische Hardware vermeiden

[ToMA]

Hatte vor einem Jahr das Buch Blackout gelesen. Ein passender und spannender Roman zu diesem Thema.

"Der Roman erzählt über zwei Wochen die katastrophalen Auswirkungen eines großflächigen Stromausfalls in Europa."

[MMG-2.0]

[...]

Was mich stutzig macht ist, dass die Angriffe auf den Bundestag 2015, die späteren virtuellen Angriffe auf militärische Infrastruktur und im Verteidigungsbereich agierenden Unternehmen ebenfalls in 2015 offenbar medial als nicht relevant und für die weitere Berichterstattung geeignet gesehen werden - früher gab es auch mal "Nachberichterstattung". Die zunehmenden großflächigen Netzausfälle - z.B. Anfang Juni bei D1 und gestern im Kabelnetz von Vodafone - kann man natürlich auch auf Technikprobleme zurückführen, man kann aber auch auf die Idee kommen, dass diese Probleme von außen herbeigeführt worden sein könnten.

[...]

War zu erwarten (Quelle v. 2008)!

Ein harter Verdrängungswettbewerb sorgt aber derzeit für einen Konzentrationsprozess unter den IP-Carriern. Immer weniger Tier-1- und Tier-2-Systeme versorgen den Markt mit immer mehr Transit-Bandbreite. Der Ausfall eines großen AS könnte also bald wesentlich mehr Schaden anrichten, als es bisher zu beobachten war. Kritische Stimmen, auch aus dem Internet-Mutterland USA, bezweifeln vermehrt, ob die reine Marktwirtschaft nicht auf Dauer zur Destabilisierung des Netzverbunds führen könnte.

Sie fordern staatliche Eingriffe in die Vernetzungsstrategien der IP-Carrier, sogar staatlich verordnete Zwangs-Peerings werden diskutiert. Noch existiert nicht einmal eine Instanz, die die Themen Ausfallsicherheit und Redundanz-Anbindungen regelmäßig überwacht und bei kritischen Veränderungen auf Probleme aufmerksam machen kann.

http://www.heise.de/netze/artikel/Ausblick-223808.html

[FoxtrotUniform]

Zu 4.) Sehr komplexe Thematik. Im Wesentlichen Dezentralisierung von Servern, Knotenpunkten, Speicherkapazitäten und Stromversorgungen sowie bei kritischen Netzen Drehstuhlschnittstellen wenn vom Datenvolumen realisierbar. Zudem gilt der Grundsatz, dass weniger manchmal mehr ist und die Erforderlichkeit von Systemen wie VoIP kritisch zu hinterfragen ist. Außerdem sind neben Backup Kommunikationswegen auch Offlinespeicher vorzusehen, damit im Fall der Fälle ein Zugriff auf relevante Daten gewährleistet wird. Und über all dem schwebt die Doktrin der Absicherung gegen Zugriffe von Außen (Firewalls, Virenscanner...).

Zu 5.) Zu VoIP stelle ich eine Gegenfrage: Was ist denn der Nutzen innerhalb der Behördennetze? Ich sehe keinen Benefit, von daher halte ich es für wenig sinnvoll diese Technologie weiter zu verfolgen. Das hängt aber auch davon ab, ob die Hersteller zukünftig noch Alternativen anbieten, sonst wird es unendlich teuer. Aber in diesem Kontext werfe ich auch einen weiteren Aspekt ins Rennen: Unsere Telefone sind von Cisco; dieser Anbieter stand im Zusammenhang mit dem NSA-Skandal sehr im Rampenlicht. Und nun steht in jedem Büro ein solches Telefon...

[funker07]

Angesichts der Tatsache, dass wir mittlerweile fast alle via Voice over IP telefonieren müssen, da klassische Telefonie als erklärtes Ziel der Telekom und anderer Anbieter verschwinden soll sind wir zudem auch noch auf eine ständige Stromversorgung angewiesen, um überhaupt noch telefonieren zu können.

Das war vorher meist auch schon so.
Haushalte mit einem notspeisefähigen ISDN-Telefon an der passenden Telefonanlage oder einem nicht-DECT Analogtelefon direkt an der Dose kenne ich seit Jahren nicht mehr.
Der Normalfall war bisher, diverse analoge Telefone an einer Telefonanlage zu haben, die mit ISDN gespeist wird. Da geht ohne Strom auch nichts.

Zu 5.) Zu VoIP stelle ich eine Gegenfrage: Was ist denn der Nutzen innerhalb der Behördennetze? Ich sehe keinen Benefit, von daher halte ich es für wenig sinnvoll diese Technologie weiter zu verfolgen. Das hängt aber auch davon ab, ob die Hersteller zukünftig noch Alternativen anbieten, sonst wird es unendlich teuer. Aber in diesem Kontext werfe ich auch einen weiteren Aspekt ins Rennen: Unsere Telefone sind von Cisco; dieser Anbieter stand im Zusammenhang mit dem NSA-Skandal sehr im Rampenlicht. Und nun steht in jedem Büro ein solches Telefon...

Cisco ist dadurch aufgefallen, dass der US Zoll Geräte abgefangen hat und mit Hintertüren versehen hat. Ein recht deutliches Zeichen für die Seriosität von Cisco. Dazu kommt, dass die einzelnen Telefone in einem getrennten, nicht öffentlich erreichbaren, Netz liegen.

Ich administriere dienstliche entsprechende Netze und sehe durch VoIP diverse Vorteile: Flexiblität, keine doppelte Verkabelung, nur 1-2x Glasfaser statt x mal Kupfer zum Gebäude, Redundanz der Gebäudeanbindung möglich, Verschlüsselung bis zum Telefon möglich...
Dazu kommt, dass kaum ein Hersteller noch Support für alte Telefonanlagen bietet, d.h. Ersatzteile sind nicht zu bekommen, Fachwissen zu seltenen Fehlern wird nicht mehr angeboten und Sicherheitslücken (die es auch bei alten Geräten gibt) werden nicht geschlossen.

[FoxtrotUniform]

Klare Admin Vorteile und dass die Betreiber die bisherigen Technologien ablösen wollen ist unlängst kein Geheimnis mehr.

Gibt es bei uns denn hinreichende Redundanzen für den Fall von Komponentenausfall? Andernfalls legt man schnell weite Netzabschnitte lahm. Ein weiterer Aspekt ist, dass Ports für eingehende Anrufe dauerhaft geöffnet sein müssen und mittlerweile doch Intranet und IP-Telefone gekoppelt sind, also eine neue Herausforderung hinsichtlich der Sicherheit besteht.

[1602]

Klare Admin Vorteile und dass die Betreiber die bisherigen Technologien ablösen wollen ist unlängst kein Geheimnis mehr.

Gibt es bei uns denn hinreichende Redundanzen für den Fall von Komponentenausfall? Andernfalls legt man schnell weite Netzabschnitte lahm. Ein weiterer Aspekt ist, dass Ports für eingehende Anrufe dauerhaft geöffnet sein müssen und mittlerweile doch Intranet und IP-Telefone gekoppelt sind, also eine neue Herausforderung hinsichtlich der Sicherheit besteht.

Ziviles Vorwissen an:

Intranet und IP-Telefone sind vielleicht physikalisch gekoppelt, aber nicht logisch. Diese Trennung kann man ganz einfach mit VLANs lösen.

Hab bis jetzt wenig Erfahrung mit IP-Telefonen, aber ich WLAN Bereich, kann man sich z.B mit einem Zertifikat authentifizieren. Denke, dass es bei IP-Telefonen auch so eine Möglichkeit gibt.

[funker07]

Die Netze werden min. auf VLAN-Basis getrennt. Ein direktes Routing findet auch nicht statt, dafür gibt es Zwischenelemente, die den Anruf komplett neu aufbauen und damit sauber filtern.
Es ist also nicht möglich, dass Telefon oder den Callmanager aus dem Intranet (welches ja nochmal von Internet und fremden Netzen getrennt ist) anzugreifen.

Bei allen Lösungen, die ich kenne ist im Kern alles redundant und idR so ausgelegt, dass die wichtigen Komponenten in getrennten Gebäuden untergebracht werden können.
Wenn dann ein Teil der ITZ ausfällt, merkt der Nutzer im besten Falle gar nichts. Das ging so mit analoger Telefonie nicht.

[Gerd]

Moin moin,

in letzter Zeit häufen sich "Ausfälle" größerer und kleinerer Netzwerke in Deutschland - so zumindest meine subjektive Wahrnehmung. Medial wurde davon aber bisher meiner Kenntnis nach nichts aufgearbeitet, dabei kann dieses Thema auf Grund unserer allumfassenden Abhängigkeit von Telefonie und Internet wohl kaum relevanter sein.

Angesichts der Tatsache, dass wir mittlerweile fast alle via Voice over IP telefonieren müssen, da klassische Telefonie als erklärtes Ziel der Telekom und anderer Anbieter verschwinden soll sind wir zudem auch noch auf eine ständige Stromversorgung angewiesen, um überhaupt noch telefonieren zu können.
[...]
Wie sollten wir als Gesellschaft mit dem Thema umgehen?
Wie sollten die Medien das Thema aufarbeiten?
Wie die Politik?
Und welche Sofortmaßnahmen für die Infrastruktur wären erforderlich?
Ist VoIP wirklich sinnvoll?

Gruß Andi

Grüße zurück! Als persönlich Betroffener möchte ich insbesondere zu den Punkten 3 und 4 Stellung nehmen:

Meiner Ansicht nach sollte die Politik in der Art und Weise reagieren, dass Sie insbesondere marktbeherrschende Unternehmen dazu verpflichtet, Teile kritischer Infrastruktur weiterhin vorzuhalten und nicht abzubauen. So kann ich mir durchaus vorstellen, dass es irgendeine Art Selbstkostenerstattungs-Vertrag für das Aufrechterhalten kabelgebundener Telefonie-Netze geben könnte.

Damit wird zumindest die Inlands-Sprachtelefonie und die Festnetz-Internetkommunikation vom Zwang zum Vorhandensein bzw. der Nicht-Störung von Satellitenverbindungen befreit. Wenn ich mich richtig erinnere sind es vier bis fünf große Unternehmen wie die Deutsche Telekom AG, Colt, British Telecom und noch einige weitere, die ein fast flächendeckendes Glasfaser-Netz gelegt haben. Wenn jetzt plötzlich die Satelliten-Kommunikation oder Richtfunk-Strecken günstiger sind: Der Staat könnte den Weiterbetrieb eines flächendeckenden Telefonie-Kabelnetzes bezuschussen. Also ähnlich wie eine Eisenbahn-Infrastruktur.

Welche Sofortmaßnahmen sind erforderlich?

1.) Die Aufsichtsbehörden müssen einen Katalog von bestimmten Dienstleistungen definieren, die die Unternehmen auch erbringen können müssen, sofern ihr Zugang zur Langstrecken-Kommunikation abgeschnitten wird. An der früheren ec-Karte (heutigen Girocard) wird dies deutlich: Die frühere ec-Karte hatte ein "absolutes" Zahlungsversprechen für Papierschecks oder auch Bankautomaten-Abhebungen von 400 D-Mark (ca. 204,52 Euro). Auf den Karteninformationen war dieses geladen, so dass immer dann, wenn der Geldautomat keine Verbindung zur Zentrale hatte, trotzdem eine Verfügung am Tag möglich blieb. Ist heute das Geldautomatennetz gestört, geht nichts mehr.

Ich habe sogar schon eine Sparkassen-Filiale erlebt, bei denen die Schaltermitarbeiter nicht mal mehr einen Kassentresor am Schalter hatten. Ist hier das Netzwerk "platt", geht nichts mehr. 

2.) Die zweite Vorsichtsmaßnahme ist etwas weitgehender und bedeutet auch eine Rückbesinnung auf die frühere Gesetzeslage vor 2005: Das massenhafte Speichern von Personalausweisdaten und personenbezogenen Daten bei Privatunternehmen (PayTV-Anbieter, Telefonfirmen) auch zweifelhafter Größe und mit nicht ausreichenden Schutzmaßnahmen müsste sofort gesetzlich beendet werden. Datensparsamkeit senkt das Angriffsrisiko dadurch, dass einfach weniger lukrative Daten abzugreifen sind. Also keine Ausweiskopien für den simplen Abschluß von Telefonverträgen etc. speichern. Das einzige was dann eben nicht mehr funktioniert sind Smartphones ohne Anzahlung.

Auch die Angabe eines Geburtsjahres beim simplen Einkauf in Online Shops ist einigermaßen sinnfrei. Die "frühere" Interpretation nur notwendige Daten zu erheben macht den durch Angriff zu gewinnenden Datensatz beinahe wertlos. Wenn der Hacker bei einem Unternehmen nur die Adressdaten findet ohne Geburtsdatum und insbesondere Bonitätseinstufung, dann sind diese beinahe wertlos. Die "angereicherten" Daten sind ein wesentlich lohnenderes Angriffsziel.

3.) Die dritte Vorsichtsmaßnahme ist etwas, was in den USA schon gang und gäbe ist. Präventive Abwehrmaßnahmen aufbauen, weil neben Boden, Wasser und Luft nunmehr auch der Cyberspace ein potenzielles Schlachtfeld sein kann. In N24 gibt es eine interssante Reportagereihe, die immer mal wieder von interessanter Technik wie B2-Bombern, den Amphibienfahrzeugen (gepanzerte Fahrzeuge) oder auch dem Senkrechtstarter von Boeing berichtet. Eine Sendung befasste sich mit Gegenmaßnahmen im Cyberspace:

Und nannte das "US Army Cyber Command" (http://www.arcyber.army.mil/), das zusammen mit dem "National Reconnaissance Office" stets wachsam sein würde. Den Titel weiß ich nicht mehr, es war irgendwie in der Reihe "USA Top Secret" bzw. wenn es ein geheimes Buch des Präsidentgen geben würde.

Erste Ansatzpunkte und Ideen wären deshalb:

• die Aufrechterhaltung einer halbwegs digitalen, bodengebundenen Infrastruktur
• Kostenerstattung für Unternehmen, die diese dem Staat bereitstellen
• rechtzeitige Aufrüstung der Sicherheitsorgane wie Bundeswehr oder Nachrichtendiensten

Unter anderem könnten diese Aufgaben auch durch eine Art dritten Mehrwertsteuersatz finanziert werden. Wenn Amazon & Co. digitale Infrastruktur zu günstigsten Preisen nutzen (Marktversagen), dann könnte ein zusätzlicher Mehrwertsteuerprozentpunkt die Abwehrmaßnahmen gegenfinanzieren.

So würde ich das als Bürger sehen und gerne auch mitfinanzieren.

[Andi]

Was den Infrastrukturerhalt im Sinne der (staatlichen Aufgabe) Daseinsvorsorge angeht muss ich gestehen, dass ich nach 150 Jahren Erfahrung der Gesellschaft(en - es ist ja jedes Land betroffen) mit der "Verlässlichkeit" von gewerblichen Betreibern davon überzeugt bin, dass diese niemals die Daseinsvorsorge sicherstellen können, wollen und werden. Da das letztliche Risiko immer bei staatlichen Akteuren liegt tragen diese auch immer das Risiko eines Rückkaufs desolater Infrastruktur, um diese dann auf Staatskosten wieder sanieren zu müssen.
Das "Netz" sollte also in allen kritischen Infrastrukturbereichen in Staatsbesitz sein (Strom, Wasser, Gas, Bahn, Straßen, Telekommunikation, usw.) und Erhalt, Investitionen und Nutzung finden auf Kosten der netznutzenden gewerblichen Unternehmen statt. Nur so ist der Erhalt nachhaltig, nach einem staatlichen Krisenmanagement jederzeit sichergestellt. Derzeit ist nur eins sichergestellt: Gewinne werden privatisiert, Verluste verstaatlicht.

Was das Thema angeht kann man sich gerne mal die wechselvolle und - für den Bürger - irrsinnig teure Geschichte der Berliner Wasserversorgung vor Augen führen.

Gruß Andi

[theodor_rannt]

Passt ganz gut zum Thema.

http://www.spiegel.de/netzwelt/netzpolitik/rechnungshof-gefaehrliche-sicherheitslecks-im-datennetz-der-bundeswehr-a-1101530.html

Es wurden Sicherheitslücken in den Datennetzen der BW vom Bundesrechnungshof aufgedeckt.

[Gerd]

[...]
Was das Thema angeht kann man sich gerne mal die wechselvolle und - für den Bürger - irrsinnig teure Geschichte der Berliner Wasserversorgung vor Augen führen.

Gruß Andi

Zustimmung.

Oder auch die Privatisierung des Netzbetreibers (Schienennetz) Railtrack in Großbritannien und die folgende Verstaatlichung:

http://www.handelsblatt.com/archiv/privatisierung-der-britischen-bahn-gescheitert-railtrack-endgueltig-aus-der-spur/2105308.html
Aus dem Handelsblatt, Online-Ausgabe vom 07.10.2001

Vielleicht ist es sogar so, dass manche Netze nur staatlich betrieben werden können, weil es ein von allen gefürchtetes Marktversagen gibt.

[StOPfr]

...kann zurzeit nur im Heft oder online (Langsames Internet: So verspielt die Regierung die digitale Zukunft unseres Landes) gegen Bezahlung gelesen werden. Ein Link folgt später.

Die Spiegel-Artikel sind offenbar im Internet in voller Länge nur noch gegen Bezahlung verfügbar. Die Nachlieferung fällt daher aus.