1. keg-bayern.de
  2. Publikationen
  3. Bildungsmagazin CB
  4. CB 03/2021
  5. Hackerangriff via Microsoft

Hackerangriff via Microsoft Exchange trifft deutsche Behörden und SchulenWas will man mit unseren privaten Daten anfangen?

Hackerangriff via Microsoft Exchange

Die FAZ meldete am 9. März 2021: Von den Hacker-Angriffen auf E-Mail-Programme von Microsoft sind nach Angaben des Bundesamts für Sicherheit in der Informationstechnik (BSI) sechs Bundesbehörden betroffen. Welche Behörden betroffen sind, war zunächst nicht klar. Das BSI erklärte, es habe allen diesen Behörden Hilfe angeboten und unterstützte auch einzelne von ihnen. “Die Zahl der dem BSI Lagezentrum gemeldeten kompromittierten Exchange-Systeme steigt kontinuierlich“, teilte die Behörde mit. Es gelte weiterhin, dass die durch Microsoft bereitgestellten Sicherheitsupdates möglichst sofort installiert werden sollten. Die Hacker zielten auf Microsofts E-Mail-Software Exchange und zwar die Version, die Unternehmen, Behörden und Schulen in eigenen Rechenzentren installiert haben, also nicht die „Cloud Computing“- Variante, die über die Systeme von Microsoft selbst läuft. Der Konzern machte die Attacke schnell publik, er identifizierte staatliche chinesische Stellen als Drahtzieher und gab ihnen den Namen „Hafnium“. Microsoft hatte mitgeteilt, eine CyberSpionage-Gruppe mit Verbindungen zu China habe über bisher unbekannte Schwachstellen E-Mails von Kunden gehackt.

Die Angriffe richteten sich nicht nur gegen amerikanische Forschungseinrichtungen, die sich mit Pandemien beschäftigten, Hochschulen, Behörden, Anwaltsfirmen oder Organisationen aus dem Rüstungssektor. „Deutsche Unternehmen, Schulen und Behörden sind im internationalen Vergleich besonders stark von dieser Microsoft-Exchange-Lücke betroffen“, sagte Rüdiger Trost von der IT-Sicherheitsfirma F-Secure. Der Grund: „Deutsche Unternehmen, Behörden und Schulen fürchten die Cloud und betreiben Dienste wie Exchange daher häufig lokal.“ Betroffen sind laut Microsoft die Exchange-Server-Versionen 2013, 2016 und 2019. Microsoft hat bereits vor einigen Jahren angekündigt, dass Exchange ab 2025 nur noch in der Cloud verfügbar ist. Der MS-Support für alle Versionen von Exchange wird dann eingestellt. Heißt im Klartext, ab 2025 kann Exchange nur noch in der MS-Cloud genutzt werden. Das bedeutet wiederum: ab 2025 hat Microsoft zu jeder Zeit vollen Zugriff auf alle E-Mail- und Lerninhalte, die über Exchange verschickt werden!

Hier ist wiederum an den US-Cloud Act zu erinnern, der amerikanischen Behörden den Zugriff auf die Daten ermöglicht und die DSGVO negiert. Microsoft Exchange ist das „Rückgrat“ des weltweiten E-Mail-Verkehrs und wird von vielen Unternehmen, Behörden und Bildungseinrichtungen als E-Mail- oder Lernplattform genutzt. Bei einer erfolgreichen Attacke über die Schwachstellen ist es möglich, Daten aus dem System abzugreifen. Microsoft wurde auf die Sicherheitslücken von IT-Sicherheitsforschern aufmerksam gemacht. Die Regierung in Peking wies die Vorwürfe zurück.

Hackerangriff via Microsoft Exchange
Hackerangriff via Microsoft Exchange

Aber warum ist dieser Angriff so schlimm?
Haben wir Geheimnisse? Erfolgreiche soziale Netzwerke und Software Programme wie Microsoft entwickeln stetig ihre Dienste weiter. Neben der “reinen” Anwendung stellen Plattformen wie Facebook, Amazon oder eben auch Microsoft Möglichkeiten bereit, Meinungen oder Daten auszutauschen, Profile anzulegen, Inhalte zu gestalten und zu individualisieren. Ein Phänomen sind dabei nicht nur soziale Anwendungen und Applikationen, sondern auch die gesammelten individuellen Daten der Nutzer – Ihre Daten. Von FarmVille, oder YouNow über Clubhouse bis hin zu Microsoft, diese sozialen Netzwerke und Software Lösungen nutzen die gewonne Daten und vorhandene Informationen, wie die Telefonnummer, Bilder, Lebensläufe und Audioaufnahmen sowie die Struktur der Plattform, um mit dem virtuellen und digitalen Umfeld gegen Freunde, Familie und Bekannte anzutreten. Diese Identität nennt man virtuelle Identität und bietet den Vorteil einer heilen (Werbe-) Welt, und hat den Nachteil der Abhängigkeit. Im Internet gibt es für jede Anwendung zudem viele Monopole.

Die Anbieter – ob Microsoft, Facebook oder Clubhouse - die vordergründig die Förderung sozialer Beziehungen, tollen Anwendungen und die Schaffung von sozialer Anerkennung im Internet aufbauen wollen, etablieren, aufbauend auf den menschlichen Grundbedürfnissen von Maslow 1946, neue Geschäftsmodelle mit den privaten Daten. Denn angesichts der niedrigen Klickrate auf Werbeflächen von Plattformen wie Google, Amazon oder anderen sozialen Netzwerken, welche das Hauptfinanzierungsmodell darstellen, sinkenden Einnahmen in der Spielindustrie sowie der Mentalität der Nutzung kostenloser Dienste, konzentriert man sich zunehmend auf die Bedürfnisse der User und nutzt diese Daten als Geschäftsmodell. Die eigenen digitalen Daten, auch virtuelle Güter genannt, existieren daher auch nach Abschalten des Computers, nach dem eigenen Tod und selbst nach der Löschung.

Mit genau diesem Thema beschäftigte sich auch Greg Danials, der Autor, der mit unzähligen Geschichten Fernsehgeschichte schrieb, schon 1990. Er spazierte damals durch New York und kam an einem Elektronikgeschäft vorbei, in dessen Schaufenster die damals revolutionären Compact Discs auslagen. Er fragte sich, was man wohl alles digitalisieren könnte und dachte hierbei an sich selbst und wie man aus sich selbst ein virtuelles Gut – also ein virtuelles Ich- machen könne. Wie wäre es, in einem Computer zu leben? Und wie würde es aussehen, wenn wir unser eigenes Jenseits entwerfen könnten bzw. es bereits dort gespeichert ist? Er schrieb die Gedanken in sein Notizbuch, dachte während des Hollywood-Autorenstreiks 2008 darüber nach, einen Roman zu schreiben und brachte das Projekt 2015 zu HBO, bevor er es im Jahr darauf an Amazon verkaufte. Im Jahr 2020 feiert sein Notizbuch mit dem Namen „Upload“ Premiere und ist nicht so weit weg von der aktuellen Realität. Die Serie ist vieles zugleich und nicht zuletzt auch kritisch zu sehen, denn sie beschreibt die Tatsache, dass man sich nach dem irdischen Tod in eine virtuelle Welt uploaden kann (oder dort bereits existiert) und von dort als Avatar Kontakt zur irdischen Welt halten kann. Unsere Daten sind also sehr viel wert.

„Upload“ erinnert streckenweise an düstere Zukunftsversionen, etwa an die „Black Mirror“-Episoden „San Junipero“ und „Nosedive“, die sich um ein simuliertes Nachleben und den Bewertungswahn drehen, aber auch an Satiren wie „The Good Place“, das von Daniels „Parks and Recreation“-Mitschöpfer Michael Schur geschrieben wurde. Dennoch ist die Serie „Upload“ ein gutes Beispiel dafür, was Firmen mit den Daten von uns anstellen können und welche Geschäftsmodelle hier zukünftig möglich und denkbar sind. Diese Daten wecken also Begehrlichkeiten auch für zukünftige Geschäftsmodelle. – Eine Krise muss eben auch finanziert werden. – Tesla-Chef Elon Musk hat bereits im Jahr 2019 das Projekt Neuralink vorgestellt. Die Firma, in die Musk bereits über 100 Millionen Doller investiert hat, soll Schnittstellen zwischen Gehirn und Computer entwickeln. Ende 2020 sind nach SZ Informationen erste Projekte mit Querschnittsgelähmten geplant.

Es ist also immer entscheidender, dass schon junge Menschen frühzeitig in „Medienkompetenz“ geschult werden - damit ist gemeint, dass Schülerinnen und Schüler wissen, wie sie das Internet und die Programme möglichst sinnvoll und verantwortungsbewusst nutzen können, wo entscheidende Risiken und Gefahren liegen, wie sie mit ihren persönlichen Daten umgehen, wie sie Informationen im Netz richtig suchen und bewerten können und „seriöse“ (also glaubhafte und ernstzunehmende) von „weniger seriösen“ Quellen im Internet unterscheiden können. Am wichtigsten ist es allerdings, den Wert der eigenen privaten Daten zu kennen. Hier ist auch die Regierung gefragt.