Die Soziologie hinter LulzSec Marc Ruef | 05.09.2011 Es schien, als wäre Computersicherheit noch nie so in den Massenmedien präsent gewesen, wie zwischen Ende 2009 und 2010. Die Gruppierung LulzSec machte sich mit einer Vielzahl an Übergriffen von sich reden. Sei dies nun das Umsetzen eines Datendiebstahls (z.B. Sony), Denial of Service Attacken oder schiere Provokationen gegen Strafverfolgungsbehörden (z.B. FBI). IT Security Professionals stehen derartigen Aktionen eigentlich stets sehr kritisch gegenüber. Schliesslich handelt es sich um eine Straftat und solche widerspricht der Arbeitsethik eines Whitehats (und die meisten IT Security Professionals sehen sich als solche). Und doch blieb die grosse Kritik am Vorgehen von LulzSec aus. Die grosse Frage ist: Wieso? Ich selbst habe mich immer als Whitehat gesehen, handelte stets nach dem kategorischen Imperativ. Das Ausüben einer Straftat habe ich nie akzeptiert, denn selbst der Zweck vermag nicht die Mittel zu heiligen. In einem Rechtsstaat haben anarchistische Handlungen und Selbstjustiz nichts zu suchen. Und doch kann ich sehr gut nachvollziehen, warum die Rezeption von LulzSec so ausgefallen ist. Alle Leute, die professionell im Bereich der Informationssicherheit arbeiten, sind ständig mit einer latenten Ignoranz von Kunden und Partnern konfrontiert. Oftmals wird aus purer Faulheit auf eine Risikokalkulation verzichtet. Und wenn eine gemacht wird, dann werden monetäre Nachteile bedeutend höher gewertet, als sicherheitstechnische Bedenken. Es heisst dann oft: "Es ist ja bisher auch noch nie was passiert. Wieso sollte nun etwas passieren?" Doch eines der Prinzipien angewandten Computersicherheit besagt, dass umso länger nichts passiert, desto grösser wird die Chance, dass etwas passieren wird (da sich Angriffstechniken stets verbessern und dadurch durch eine grösse Anzahl an potentiellen Angreifern erschlossen wird). Für uns Sicherheitsberater ist es also ein ständiger Kampf gegen Windmühlen, Kunden und Partner von den drohenden Gefahren, die erst bei ihrem Eintreten greifbar werden, zu überzeugen. Nicht selten wird man als verbohrter Pessimist, der mit der Angst anderer Geld verdienen will, wahrgenommen. Erscheinungen wie LulzSec sind nur die logische Konsequenz dieser Ignoranz. Die Gruppierung schreibt sich als "lulz" den Spass an der Sache auf die Flaggen. Es sind keine monetären Anreize vorhanden. Es wird - wenigstens nicht direkt - die egozentrische Aufmerksamkeit gesucht. Viel mehr will man Spass daran haben, die Ignoranten ein bisschen aufzuschrecken und zu zeigen, dass die stetigen Warnungen nicht nur Hirngespinste einiger weniger waren. LulzSec steht dabei mitunter auch in der Kritik, weil sie schamlos Schwachstellen von Anbietern ausnutzen und dadurch betroffene Kunden exponieren (Kundendaten und Passwörter). Spätestens an dieser Stelle kann die Diskussion über moralische und ethische Grundsätze losgetreten werden. Denn die Kunden haben ja eigentlich nichts gemacht und sind sowohl Opfer der schlechten Dienstleistung als auch der Kompromittierung durch Dritte. Indirekt versucht LulzSec damit natürlich die Gruppendynamik zu ihrem Vorteil zu nutzen. Umso mehr wütende Kunden auf die Anbieter losgehen, desto eher werden sich letztere um die Umsetzung einer sicheren Umgebung bemühen. Die Sicherheit der Kunden wird dann zwangsweise früher oder später über den eigenen Profit gestellt. Im gegenwärtigen Gefüge wäre es also ungünstig, würden die tangierten Kunden die fehlbaren Anbieter in Schutz nehmen. Stattdessen sollte ihnen als erstes - und in zweiter Instanz vielleicht auch LulzSec - Groll entgegengebracht werden. Denn Ignoranz und Fahrlässigkeit haben erst zu diesem Dilemma geführt. Eine meiner Lehren aus der ganzen Sache ist jedenfalls, dass ich die nächsten Jahre keine Produkte von Sony mehr kaufen werde. Meine Daten im Playstation Network PSN waren ihnen scheinbar nicht genug wert, um sie auch vor der Einsicht Dritter zu schützen!