Ob Trump nun ein unsicheres Smartphone verwendet oder nicht, mag den einen oder anderen beschäftigen. Wirklich relevant ist die Frage aber streng genommen kaum, es würde aber ins Gesamtbild passen. Man muss sich nur mal anschauen, wer den Präsidenten beim Thema Cybersecurity beraten soll: Rudolph Giuliani. Der ehemalige Bürgermeister von New York hat inzwischen ein Beratungsunternehmen für IT-Security: Giuliani Partners. Der Webserver des Unternehmens wurde nach Bekanntgabe dieser Entscheidung von verschiedenen Security-Experten mal angeschaut und die Liste der gefundenen Lücken lässt den Verdacht aufkommen, dass die einen Honeypot als Website für das Unternehmen getarnt haben könnten:
– Expired SSL
– Doesn’t force https
– Exposed CMS login
– Uses Flash
– Using EOL’d PHP version (5.4.x)
– SSL Lab grade of F
– Using Joomla 3.1.1 (released in April, 2013 – current is 3.6.5)
– SSH exposed to public access
– FreeBSD 6 (released in 2008)
– Open ports, so many open ports…
Kurz nachdem diese Lücken in der Öffentlichkeit breit getreten wurden, war die Website auch schon offline – immerhin. Aber alleine diese Personalentscheidung sorgt mit Sicherheit dafür, dass man nicht auf den Verdacht kommen könnte, Trump könnte sein Team aufgrund von Kompetenz ausgewählt haben. Das war aber auch nicht die einzige Personalentscheidung, die unterstreicht, dass es um alles, nur nicht um Kompetenz ging, bei der Zusammenstellung des Teams.
Dann war da noch Twitter, der offenbar wichtigste, zumindest aber bevorzugte Kommunikationskanal von Trump. Neben seinem persönlichen Account haben er und sein Team ja nun auch den offiziellen Account des amtierenden US-Präsidenten @POTUS. Man sollte meinen, dass bei so einem Account die Sicherheitseinstellungen entsprechend gut gewählt sind und auch sollte man meinen, dass als Kontaktmail bei diesem Account offizielle Regierungsadressen hinterlegt sind. Nun, beides war nicht der Fall. Zwar wurde auch das zwischenzeitlich geändert, aber gerade in Hinblick auf die Attacken gegen Hillary Clinton im Wahlkampf, ist das schon verwunderlich. Immerhin ging es hier – unabhängig vom Inhalt irgendwelcher Mails aus ihrem Team – vor allem um die Frage, dass Hillary Clinton dienstliche Mails über private Systeme verschickt hat.
Und dann hinterlegt man für den offiziellen Twitter-Account des Präsidenten, also einen eindeutig offiziellen Kanal der US-Regierung eine Gmail-Adresse? Das war einfach herauszufinden, man muss nur einmal angeben, man hätte das Passwort für einen Account vergessen und schon zeigt Twitter einem die hinterlegten Kontaktinformationen. Dabei ersetzt Twitter zwar recht große Teile der Adresse, aber in vielen Fällen reicht das trotzdem aus, um zumindest Anhaltspunkte zu bekommen. Im Fall von @POTUS war es ganz klar eine Gmail-Adresse:
Und nicht nur @POTUS war betroffen, auch andere Accounts aus dem Trump-Team betraf das:
Change your emails & Fix Settings. @FLOTUS
[email protected]@PressSec
[email protected]@DanScavino
[email protected] pic.twitter.com/YLD4edBoOn— WauchulaGhost (@WauchulaGhost) January 24, 2017
Wenn dann darüber hinaus zusätzliche Sicherheitsoptionen, wie die Zwei-Faktor-Authentifizierung und die Abfrage persönlicher Daten beim Zurücksetzen des Passworts, deaktiviert sind, macht das einen Twitter-Account natürlich leichter angreifbar. Unverständlich dabei ist, dass diese zumindest beim Account seines Vorgängers und auch beim persönlichen Account von Trump aktiviert sind.
Wir können nun davon ausgehen, dass es in Zukunft noch viel mehr solche Veröffentlichungen gibt. Denn einerseits ist die Motivation vieler Menschen recht groß, seien es Hacker, die im staatlichen Auftrag unterwegs sind oder solche mit eigenen politischen Zielen oder einfach solche, die sich maximale Aufmerksamkeit von einem erfolgreichen Angriff versprechen.
Aber es gibt ja nicht nur die vorhandenen und möglichen Probleme im persönlichem Umfeld. Kaum jemand wird zum Beispiel erwarten, dass unter Trump die Bemühungen der NSA im Bereich der Schnüffelei runtergefahren werden könnten. Nach allem, was von Trump zu hören war, können wir eher davon ausgehen, dass hier in Zukunft noch viel mehr investiert wird. Mit den bekannten Folgen: Sicherheitslücken, die ausgenutzt und geheim gehalten werden, Einbrüche in Netzwerke und das Hinterlassen von Hintertüren und auch Versuche sich von Anfang an Hintertüren in Systemen offen zu halten.
Auch seine Drohungen in Richtung Apple, als es um das Knacken der Verschlüsselung eines iPhones ging, macht es nicht unwahrscheinlich, dass die Trump-Regierung demnächst mit einem Gesetz aufwartet, um Verschlüsselungsmechanismen zu schwächen oder den Einbau von Hintertüren vorzuschreiben. Das sind alles keine neuen Ideen und wer Folter für eine wirksame Methode zur Informationsgewinnung und Waterboarding für zu harmlos hält, der wird in Sachen Schnüffelei und Spionage kaum Zurückhaltung üben wollen. Nur schwer vorstellbar, dass Trump sich hier den existierenden Plänen einiger seiner Parteifreunde entgegenstellt.
Man sollte dabei aber auch nicht zu viel Hoffnung darauf setzen, dass Trump nicht die komplette Amtszeit durchsteht, schließlich steht sein Vize nicht unbedingt im Ruf, besonders liberal zu sein. Sollte Trump aber weiterhin solche Probleme mit der Realität haben, dann könnte tatsächlich einmal offiziell die Frage gestellt werden, ob er sich der Realität einfach bewusst verweigert und lügt oder ob er einfach geistig nicht die notwendigen Fähigkeiten besitzt, um zu unterscheiden, was Realität und was sein persönliches Wunschdenken ist.
Im zweiten Fall wären Zweifel an seiner Zurechnungsfähigkeit wohl angebracht. Die Frage, ob es eine gute Idee wäre, jemandem den „Football“ anzuvertrauen – also die Möglichkeit einen nuklearen Angriff zu starten – der sich so leicht provozieren lässt wie Trump, wurde ja bereits im Wahlkampf mehr als einmal gestellt. Er hatte ja auch schon laut darüber nachgedacht, welchen Sinn Atomwaffen ergeben würden, wenn man sie nicht einsetzt.
Aber vielleicht besteht da ja keine Gefahr: Möglicherweise hat er gar keinen Zugriff auf den „Football“, sondern man hat ihm erzählt, es gäbe da nun eine App für. Diese wäre die IFTTT-App Do, die auf seinem Smartphone installiert wurde. Wenn er nun diesen virtuellen Knopf drücken würde, dann würde kein Angriff mit Nuklearwaffen gestartet, sondern ein IFTTT-Rezept gestartet, das seinen Amazon Echo anweist den Text „Nein Donald, das ist wirklich kein Grund für einen atomaren Erstschlag…“ zu sprechen. Schön wäre es ja und man könnte deutlich ruhiger schlafen…
