Der Feind meines Feindes ist mein Freund

Das ist ein altes Sprichwort, das besagt, dass zwei Parteien gegen einen gemeinsamen Feind zusammenarbeiten können oder sollten.

Ein Satz, den manche Leute für ähnlich halten, findet sich in einer Sanskrit- Abhandlung über Staatskunst, der Arthashastra , die um das 4. Jahrhundert v. Chr. datiert.

Die genaue Bedeutung der modernen Phrase wurde zuerst in der lateinischen Phrase “Amicus meus, inimicus inimici mei” (“mein Freund, der Feind meines Feindes”) ausgedrückt.
(Quelle: wikipedia)

Nun haben wir einen Krieg in Europa und auch diverse Aktivisten haben sich zu Wort gemeldet.

Eine der Gruppen ist „Anonymus“.

Anonymous; von altgriechisch ἀνώνυμος anōnymos, deutsch ‚ohne Namen, unbenannt‘) ist ein Internetphänomen, das weltweit von verschiedenen Gruppen und Einzelpersonen innerhalb der Netzkultur verwendet wird, um – mit oder ohne Abstimmung mit anderen – unter diesem Namen Hacktivismus und öffentliche Demonstrationen zu betreiben und über verschiedene Internetplattformen zu veröffentlichen.
(Quelle: wikipedia)

In youtube finden sich diverse Videos, in denen der “Krieg gegen Putin” kommuniziert wurde.
(Quelle: youtube)

Wie gehen wir nun damit aus der Sicht der Informationssicherheit um?

Zunächst einmal lohnt sich ein Blick auf die Liste der Aktionen, für die Anonymus verantwortlich war.

Der oben verlinkte wikipedia Beitrag hat eine gute Übersicht erstellt.

Ganz klar Verstoßen die Mitglieder von Anonymus gegen diverse Gesetze und haben sich damit auch strafbar gemacht.

Für den Gesetzgeber spielt es keine Rolle, ob man eine Cyberattacke gegen ein “gutes” oder gegen ein “bößes” Unternehmen führt.

Neben der rein juristischen Sicht haben wir aber alle auch eine persönliche Sicht.

Ich denke, viele sehen die angekündigten Strafaktionen gegen Putin in der aktuellen Situation als gerechtfertigt an.

Und es sieht so aus, als ob sich Anonymous von den anderen Hackern dieser Welt unterscheidet, weil man primär die “bößen Jungs” angreift.

Da haben wir also unsere “Feinde” in der Informationssicherheit, die sich nun mit uns gegen einen anderen Feind verbünden.

Oder auch nicht – weil Anonymus hier klar eigene Ziele verfolgt.

Wahrscheinlich haben wir aktuell einfach eine große Welle von Solidarität mit der Ukraine, die zum Spielball eines komplett durchgeknallten, verrückten Präsidenten geworden ist.

Jeder, der sich damit nicht einverstanden erklärt, hat also auch das moralische Recht, sich einzumischen.

Wie stark Anonymus tatsächlich ist und welche Auswirkungen das hat – wir werden es sehen.

Klar ist aber eine ganz andere Seite der Medaille.

Die offizielle Ankündigung einen Cyberkrieg gegen Putin zu führen, wird ihm den Grund geben auch von seiner Seite aus anzugreifen.

Sein Ziel werden nicht die anonymen Mitglieder von Cyberangreifern sein.

Sein Ziel sind Infrastrukturen und Unternehmen.

In den letzten Tagen häufen sich Berichte zu einer besonderen Risikogruppe – den Krankenhäusern.

Akuter Geldmangel und teils blauäugige Vorgehensweisen sind der Grund dafür, dass Krankenhäuser oft auch sehr konkrete Schwachstellen haben.

Jedes Gerät, jede Software und jeder Mitarbeiter sind angreifbar.

Gleichzeitig gibt es bereits durch das IT-Sicherheitsgesetz klare Forderungen, die nur leider nicht immer gelebt werden.

Es ist kein Problem, mit der ISO 27001 ein “Potemkinsches Dorf” (Quelle: wikipedia) aufzubauen.

Das kann leicht auch einige Audits überstehen.

Die Entscheider sollten deshalb verstehen, dass nur eine gelebte Umsetzung von Informationssicherheit auch den notwendigen Schutz bieten kann.

Kommt es zu einem erfolgreichen Angriff, drohen empfindliche Strafen, die oft auch höher sind als die Einsparungen durch eine oberflächliche Umsetzung der Informationssicherheit.

Der “Cyberwar” ist jetzt eröffnet. An vielen Stellen warten schon die langjährig vorbereiteten Hintertüren darauf geöffnet zu werden.

Jetzt ist die Zeit gekommen, Informationssicherheit zu leben und nicht nur durch ein inhaltsloses Zertifikat zu glänzen.

In dieser Sekunde laufen mit Sicherheit bereits diverse Planungen oder vielleicht schon konkrete Angriffe.