Cybersicherheit in der Welt von James Bond 007

Der Kinostart des James-Bond-Filmes „Keine Zeit zu sterben“ läutet gleichzeitig das Ende der Daniel-Craig-Ära ein. Angesichts dessen werden wir uns alle fünf Bond-Filme mit Daniel Craig als Hauptdarsteller unter der Perspektive von Cybersicherheit genauer ansehen – unsere Ergebnisse werden Sie überraschen! Was alle fünf Filme gemeinsam haben – abgesehen von Craig natürlich – ist, dass die Mitarbeiter vom British Secret Intelligence Service (SIS), auch MI6 genannt, in den Filmen absolut keine Ahnung von den Grundlagen der Cybersicherheit haben.

Ob das absichtlich so dargestellt wird (um hervorzuheben, dass Bond und das ganze Konzept der 00-Abteilung inzwischen überholt ist) oder einfach nur an der Inkompetenz des Drehbuchautors und fehlender Cyberberatung liegt, ist nicht klar. Wie dem auch sei, folgend haben wir einige der Absurditäten der Reihe nach aufgelistet, die wir in den Filmen beobachtet haben. Spoiler-Alarm!

Casino Royale

In Graigs ersten Bond-Film ist folgende Szene zu sehen: Bond bricht in das Haus seiner Chefin M ein und verwendet ihren Laptop, um sich mit einer Art von Spionagesystem zu verbinden, denn er möchte herausfinden, woher eine bestimmte SMS stammt, die an das Smartphone eines Verbrechers gesendet wurde. In Wirklichkeit hätte Bond das nur unter einigen der folgenden Bedingungen geschafft:

• MI6 besteht nicht auf automatische Bildschirmsperre und Abmeldung. Deshalb lässt Bond-Chefin M ihren Laptop immer eingeschaltet und meldet sich grundsätzlich nicht ab.
• Bei MI6 zählt die Verwendung von starken Kennwörtern nicht zu den Sicherheitsrichtlinien und die Zugangsdaten von M können leicht erraten werden.
• M weiß nicht, wie sie ihre Zugangsdaten vor ihren Kollegen geheim halten kann oder sie verwendet kompromittierte Kennwörter.

Alle diese Szenarien bedeuten nichts anderes als Ärger. Wir sind der Meinung, dass das dritte Szenario am wahrscheinlichsten ist, weil ein bisschen später im Film Bond sich über Remote-Zugriff auf einer „sicheren Website“ mit den Zugangsdaten von M einloggt.

Bonds Passwort-Gewohnheiten sind keineswegs besser: Als er ein Passwort für ein geheimes Konto für seine Poker-Gewinne erstellte (mit mindestens sechs Zeichen), verwendete er den Namen seiner Kollegin Vesper (in die er sich verliebt hat). Darüber hinaus dient das Passwort auch als Erinnerungstechnik (wie die veralteten Telefoncodes bzw. Handycodes, bei denen die Buchstaben der Telefontasten verwendet werden, um sich die Zahlen zu merken). Außerdem handelt sich um ein 6-Zeichen-Kennwort, das einem Wort entspricht, das im Wörterbuch zu finden ist.

Ein Quantum Trost

Der Film James Bond 007: Ein Quantum Trost ist am wenigsten computerisiert. Trotzdem ist eine Szene dabei, die hier erwähnenswert ist. Zu Beginn des Films erfahren wir, dass Craig Mitchell, ein Mitarbeiter der seit acht Jahren bei der MI6 arbeitet – fünf Jahre als persönlicher Leibwächter von M – ein Doppelagent ist.

Das ist natürlich eher ein altes Problem der Sicherheit und nicht unbedingt der Cybersicherheit. Da wir allerdings im vorherigen Film gesehen haben, wie fahrlässig M mit Passwörtern umgeht, ist davon auszugehen, dass ihre Geheimnisse sich längst in den Händen der übelsten Schurken auf der ganzen Welt befinden.

Skyfall

Der Bond-Film Skyfall ist genau das Gegenteil, denn es ist der computerisierteste der fünf Leinwandklassiker. Diesmal übernimmt die Informationssicherheit eine wichtige Rolle in der Filmhandlung. Die Cyberwahnsinn ist ab der ersten Szene zu erkennen. Damit es überschaubar bleibt, werden wir unsere Analyse chronologisch erklären.

Datenleck in Istanbul

Ein unbekannter Verbrecher stiehlt die Festplatte eines Laptops, auf der sich „die Identitäten aller, in Terroristen-Organisationen eingeschleusten, NATO-Agenten auf der ganzen Welt befinden“. Noch nicht einmal die Partner von MI6 wissen von der Existenz dieser Liste (die es offiziell gar nicht gibt).

Schon allein die Idee einer solchen Festplatte ist eine schwerwiegende Schwachstelle. Gehen wir davon aus, dass die Datenbank extrem wichtig für MI6 ist (denn das ist tatsächlich der Fall). Warum wurde die Festplatte in einer Geheimwohnung aufbewahrt, wo sie nur von drei Agenten beschützt wurde? Selbst wenn die Festplatte verschlüsselt ist und MI6 über Entschlüsselungsversuche informiert wird, wie in dem Film zu sehen war?

Ein Angriff von Cyberterroristen auf SIS

Der erste richtige Cybervorfall geschieht erst ein wenig später: Ein Cyberterrorist greift das Hauptquartier des britischen Auslandsgeheimdienstes (SIS) an. Der Angreifer versucht die gestohlene Festplatte zu entschlüsseln – anscheinend, laut des Sicherheitssystems, über den PC von M. Die Verfechter des Gesetzes versuchen verzweifelt den Computer auszuschalten, aber die Übeltäter schießen das komplette SIS-Gebäude an der Themse in die Luft.

Die darauffolgende Ermittlung enthüllte, dass es dem Angreifer gelungen war das Umgebungskontrollsystem zu hacken, alle Sicherheitsprotokolle abzuschalten und den Gashahn aufzudrehen. Doch davor hackte der Verbrecher auch die Dateien von M, einschließlich der Kalender und erhielt Zugriff auf die Codes, mit denen die Entschlüsselung der gestohlenen Festplatte zum Kinderspiel wurde.

Gehen wir davon aus, dass die Warnung der gestohlenen Festplatte auf dem Computer von M ein Versuch zur Desinformation oder zum Trollen darstellt (zumal sich die Festplatte ja nicht im selben Gebäude befinden kann). Wir werden auch die Fragen zur Gasversorgung des Gebäudes ignorieren – wer weiß, möglicherweise werden die Flure des SIS-Hauptquartiers mit Gaslaternen aus den Zeiten von Jack the Ripper beleuchtet, Großbritannien ist schließlich ein Land der Traditionen und des Brauchtums …

Auf jeden Fall ist es durchaus möglich das Kontrollsystem der Steuerungstechnik zu hacken. Aber wie kam es dazu, dass sich das Kontrollsystem und der Computer von M – angeblich der sicherste Computer in ganz Großbritannien – im selben Netzwerk befanden? Das ist deutlich ein Problem der Netzwerksegmentierung. Abgesehen davon, dass es auch eine absolute Fahrlässigkeit ist, die Schlüssel für die Entschlüsselung der Festplatte auf dem Computer von M zu speichern. Sie hätten zumindest einen Passwortmanager verwenden sollen.

M erleidet Cyberbullying

Die Täter ärgern M, indem sie regelmäßig Namen der Geheimagenten veröffentlichen und es irgendwie schaffen ihre Nachrichten auf dem Laptop von M anzeigen zu lassen. (Anscheinend gibt es auf dem Laptop eine Backdoor, denn wie sollten die Bösewichte sonst in das Gerät gelangen?) Trotzdem untersuchen die MI6-Experten nicht den Laptop, sondern nur, woher die Nachrichten stammen.

Die MI6-Experten kamen zu dem Schluss, dass die Nachricht von einem asymmetrischen Sicherheitsalgorithmus gesendet wurde, der das Signal über die ganze Welt und über mehr als tausend Server geschickt hat. Diese Taktik gibt es tatsächlich. Was allerdings genau mit „asymmetrischen Sicherheitsalgorithmus“ in diesem Kontext gemeint ist, bleibt schleierhaft. In der echten Welt gibt es asymmetrische Verschlüsselungsalgorithmen, die allerdings nicht dazu dienen die Quelle einer Nachricht zu verbergen.

Insider-Angriff auf MI6

Bond findet und nimmt den Hacker fest (ein ehemaliger MI6-Agent namens Silva). Danach bringt Bond Silva und seinen Laptop zum neuen MI6-Hauptquartier ohne sich bewusst zu sein, dass Silva ihn austricksen möchte. Hier kommt Q ins Spiel: Dem Namen nach ist er Quartiermeister, fungiert als leitender Hacker bei MI6, doch in Wirklichkeit ist er ein Clown.

Welche logischen Gedanken dem zugrunde liegen ist auch hier nicht ganz klar. Ist er ein Clown, weil er lustig ist? Oder ist diese Entscheidung auch dem Cyber-Analphabetismus des Drehbuchautors zuzuschreiben? Q verbindet als Erstes den Laptop von Silva an das interne MI6-Netzwerk und beginnt ein Kauderwelsch von sich zu geben, dass wir versuchen werden zu entziffern.

• „(Silva) hat Notfallprotokolle erstellt, um die Daten im Speicher zu löschen, wenn jemand versucht auf bestimmte Dateien zuzugreifen.“ Aber wenn Q weiß, dass diese Protokolle installiert sind, warum fährt er mit der Analyse des Laptops fort? Denn ihm müsste eigentlich auch bewusst sein, dass dadurch alle gespeicherten Daten gelöscht werden könnten.
• „Es ist seine Omega-Site“. Diese Site verfügt über die stärkste Verschlüsselung, die er verwendet. Es sieht nach verschleiertem Code aus, der den echten Zweck verbergen soll. Sicherheit durch Verschleierung.“ Das ist eine Reihenfolge von zufällig zusammengewürfelten Begriffen, die überhaupt keinen Sinn ergeben. Ein Teil des Codes ist durch Verschlüsselung verschleiert (verändert, damit er nicht analysiert werden kann) – das ist durchaus möglich. Aber um den Code auszuführen, muss er erst mit etwas entziffert werden und jetzt wäre ein guter Zeitpunkt dafür herauszufinden, was dieses etwas ist. Der Ansatz Sicherheit durch Verschleierung wird tatsächlich im echten Leben angewendet, um Computersysteme abzusichern. Bei diesem Konzept werden anstatt robusten Sicherheitsmechanismen Verschleierungsmethoden verwendet, die potenziellen Angreifern das Entziffern der Daten erschweren. Diese Methode hat sich nicht bewährt. Was Q den Zuschauern genau sagen möchte, bleibt unklar.
• „Er verwendet einen Polymorphie-Programmgenerator für Codemutation. Jedes Mal, wenn ich versuche darauf zuzugreifen, ändert sich der Code.“ Das ist absoluter Blödsinn. Wo sich dieser Code befindet und wie Q versucht darauf zuzugreifen, wird im Film nicht verraten. Wenn es um die Dateien geht, besteht die Gefahr, dass alle Daten im Speicher gelöscht werden (wie im ersten Punkt angegeben ist). Es ist auch nicht klar, warum sie diesen fiktiven Programmgenerator und die Codemutation nicht stoppen können, bevor sie versuchen herauszufinden, wie es möglich ist an an den Code heranzukommen. Was die Polymorphie betrifft, handelt es sich um eine veraltete Methode, mit der im engeren Sinne schädlicher Code geändert wird, wenn neue Kopien von Computerviren erstellt werden. Das hat absolut nicht mit der Filmhandlung zu tun.

Visuell wird alles, was auf Silvas Laptop geschieht, als eine Art von Spaghetti-Diagramm von teuflischer Komplexität dargestellt, besprenkelt mit etwas, das wie ein hexadezimales Zahlensystem aussieht. Dank der Scharfsichtigkeit von Bond erkennt er in der alphanumerischen Suppe einen bekannten Namen. Granborough, eine stillgelegte U-Bahn-Station in London. Er schlägt vor, den Namen als Schlüssel zu verwenden.

Ein paar erfahrene Geheimdienstoffiziere hätten bestimmt sofort gemerkt, dass es sich bei einer wichtigen Information, die für alle sichtbar auf dem Bildschirm angezeigt wird, gewiss um eine Falle handelt. Warum sollte der Feind diese Informationen sonst dort hinterlassen? Aber der ratlose Q gibt den Schlüssel widerspruchslos ein. Mit der Schlüsseleingabe öffnen sich die Türen, die Warnung „Sicherheitsverletzung des Systems“ werden angezeigt und alles was Q macht ist, sich umdrehen und hilflos fragen „kann mir jemand sagen, wie er hier hereingekommen ist?“ Nach einigen Sekunden beschließt der „Experte“, dass es eventuell sinnvoll wäre, Silvas Laptop vom MI6-Netzwerk zu trennen.

Was uns am meisten interessiert ist: Stellt der Drehbuchautor Q absichtlich als unbeholfenen Amateur dar oder wollte er der Szene mehr Pfiff verleihen, indem er wie wild mit willkürlich ausgesuchten Cyberbegriffen um sich schmeißt, in der Hoffnung, dass Q dadurch als IT-Sicherheitsgenie betrachtet wird?

Spectre

Rein theoretisch sollte dieser Film die Aufmerksamkeit auf die Legalität, Moral und Sicherheit der Geheimdienstallianz „Nine Eyes“ ziehen, die sich u. A. dem Kampf gegen den Terrorismus widmet. Die Praxis sieht aber ganz anders aus: So wie das System im Film dargestellt wird, ist es nur nachteilig, wenn der Chef des britischen Geheimdienstausschusses (gegründet nach dem Zusammenschluss von MI5 und MI6) korrupt ist – d. h. wie im vorherigen Film ein Insider-Bösewicht, der für Bonds Todfeind Blofeld arbeitet, Zugriff auf das Informationssystem der britischen Regierung erhält. Andere potenzielle Nachteile des Systems werden gar nicht erst in Betracht gezogen.

Abgesehen vom Insider-Thema, geben Q und Moneypenny mehrmals im Film klassifizierte Informationen an Bond weiter, der offiziell suspendiert ist und eigentlich seinen Dienst nicht weiter verrichten darf. Darüber hinaus gaben sie den Behörden auch noch Fehlinformationen zu den Aufenthaltsorten von Bond. Dieses Verhalten mag zwar zum Gemeinwohl beitragen, aber im Rahmen des Geheimdienstes haben sie geheime Daten geleakt, was mindestens als berufliches Fehlverhalten eingestuft werden kann.

Keine Zeit zu sterben

Im letzten Bond-Film der Craig-Ära entwickelt MI6 insgeheim eine Super-Geheimwaffe namens Project Heracles – eine Biowaffe, die aus einem Schwarm von tödlichen Nanobots besteht, die auf eine spezifische DNA codiert werden und sowohl gezielte Attentate als auch groß angelegte Völkermorde ermöglicht. Mit Heracles ist es möglich jemanden zu beseitigen, indem die Nanobots in den Raum gesprayt werden, in dem sich die Person aufhält. Oder indem die Nanobots in das Blut einer Person eingeschleust werden, die mit dem Zielopfer in Kontakt kommt. Diese Waffe ist die Erfindung vom MI6-Wissenschaftler und Doppelagent (oder Dreifachagent – wer zählt schon mit?) Valdo Obruchev.

Obruchev kopiert die geheimen Dateien in einen USB-Stick und schluckt ihn herunter. Danach brechen einige Agenten (die wenigen, die im letzten Film nicht ums Leben gekommen sind) der nicht mehr so geheimen Spectre-Organisation in das Labor ein, stehlen einige Nanobots und entführen den verräterischen Wissenschaftler. Das mangelnde Bewerber-Screening ist uns bereits bekannt. Aber warum es in dem Labor, in dem geheime Waffen entwickelt werden, keine DLP-Lösung (Data Loss Prevention) installiert war, ist uns schleierhaft – besonders auf dem Computer von jemanden mit dem russischen Nachname Obruchev … (Auf Russisch bedeutet Obruchev Bösewicht).

Im Film wird auch kurz erwähnt, dass aufgrund mehreren Datenlecks massenhaft DNA-Daten geleakt wurden und die Waffe jetzt quasi gegen jede x-beliebige Person eingesetzt werden kann. Nebenbei bemerkt ist das nicht völlig an den Haaren herbeigezogen. Aber als wir erfuhren, dass auch die Daten von MI6-Agenten darunter waren, wurde die Geschichte doch unglaubwürdig. Denn um die geleakten DNA-Daten mit den Daten der MI6-Mitarbeiter abzugleichen, müsste die Liste der Mitarbeiter des britischen Geheimdienstes für die Öffentlichkeit zugänglich sein. Das ist ein bisschen weit hergeholt.

Die Krönung ist das künstliche Auge von Blofeld, das, während er die Jahre im Hochsicherheitsgefängnis verbrachte, 24 Stunden täglich mit einem ähnlichen Auge per Videolink verbunden war, das einer seiner Spießgesellen trug. Seien wir großzügig und gehen wir davon aus, dass ein Bioimplantat bei einem Häftling völlig unbemerkt bleibt. Damit das Auge die ganze Zeit über funktioniert, müsste es regelmäßig aufgeladen werden. Eine Aktivität, die in einem Hochsicherheitsgefängnis nicht so einfach vollkommen diskret durchgeführt werden kann. Was haben die Gefängniswärter die ganze Zeit über gemacht? Außerdem wurde Blofeld ohne das Augenimplantat festgenommen, d. h. jemand hat es ihm während der Haft im Gefängnis zugesteckt. Ein weiterer Insider?

Das ist kein Epilog

Man möchte daran glauben, dass alle diese Absurditäten auf mangelnder Recherche beim Schreiben des Drehbuches zurückzuführen sind und keine wahrhafte Betrachtung der Maßnahmen bezüglich Cybersicherheit bei MI6 darstellen. Auf jeden Fall hoffen wir, dass der echte britische Geheimdienst keine geheimen Informationen zu Superwaffen oder Code in Klartext über Geräte leakt, bei denen noch nicht einmal die Bildschirmsperre aktiviert ist. Als Schlussfolgerung können wir den Drehbuchautoren nur empfehlen, ihr persönliches Bewusstsein für Cybersicherheit zu stärken, indem sie an Cybersecurity-Schulungen teilnehmen.