Der Freund hört mit

Die Sor­gen deut­scher Un­ter­neh­men vor In­dus­trie­spio­na­ge sind be­rech­tigt.

Computerwoche - - Vorderseite - Von Flo­ri­an Oel­mai­er, Lei­ter des Fach­ge­biets IT-Sicherheit und Com­pu­ter­kri­mi­na­li­tät bei der Cor­po­ra­te Trust, Bu­si­ness Risk & Cri­sis Ma­nage­ment Gm­bH, und Fried­rich Wim­mer, Lei­ter IT-Fo­ren­sik und Cyber Se­cu­ri­ty Re­se­arch bei Cor­po­ra­te Trust

Die Se­cu­ri­ty-Ex­per­ten der Un­ter­neh­mens­be­ra­tung Cor­po­ra­te Trust ha­ben die Do­ku­men­te der NSA-Whist­leb­lo­wer erst­ma­lig auf ih­re Aus­sa­ge­kraft für die IT-Si­cher­heits­la­ge in der deut­schen Wirt­schaft un­ter­sucht. Die Er­geb­nis­se sind er­schre­ckend. Die US-Ge­heim­diens­te at­ta­ckie­ren un­ge­niert Ser­ver und Net­ze und be­trei­ben Wirt­schafts­spio­na­ge. Da die deut­schen Ge­heim­diens­te und Be­hör­den im in­ter­na­tio­na­len Ver­gleich denk­bar schwach auf­ge­stellt sind, müs­sen sich die Fir­men selbst hel­fen.

Es ist un­se­re Ab­sicht, das vol­le Spek­trum des Cyber-Po­ten­zi­als aus­zu­schöp­fen, um un­se­re Po­li­ti­ker und Be­fehls­ha­ber mit ei­ner mög­lichst gro­ßen Band­brei­te an Op­tio­nen zu ver­sor­gen, falls sie die­se nut­zen wol­len.“Die­ses Zi­tat von NSA-Di­rek­tor Micha­el Ro­gers ver­deut­licht das Selbst­bild der Or­ga­ni­sa­ti­on: Man sieht sich als Werk­zeug der Po­li­tik und des Mi­li­tärs. Da­zu ge­hört auch die Un­ter­stüt­zung bei Ver­trags­ver­hand­lun­gen und in­ter­na­tio­na­len Kon­fe­ren­zen. So be­dankt sich im Jahr 2009 ein Mit­ar­bei­ter des US-Au­ßen­mi­nis­te­ri­ums of­fi­zi­ell bei der NSA: „Die mehr als hun­dert Be­rich­te, die wir von der NSA be­ka­men, ha­ben uns ei­nen tie­fen Ein­blick in die Plä­ne und Zu­sam­men­hän­ge an­de­rer Gip­fel­teil­neh­mer ver­schafft. Dies hat si­cher­ge­stellt, dass un­se­re Di­plo­ma­ten gut vor­be­rei­tet wa­ren, um Prä­si­dent Oba­ma und Mi­nis­te­rin Cl­in­ton bei um­strit­te­nen The­men, wie zum Bei­spiel Ku­ba, und im Um­gang mit schwie­ri­gen Ge­sprächs­part­nern, wie zum Bei­spiel dem ve­ne­zo­la­ni­schen Prä­si­den­ten Chá­vez, rich­tig zu be­ra­ten.“

In den Hän­den ei­nes US-Prä­si­den­ten, der sol­che Macht­op­tio­nen zu nut­zen weiß, ist die NSA ein sehr mäch­ti­ges In­stru­ment. Aber nicht nur die Po­li­tik ge­hört zu den Kun­den der NSA, son­dern auch US-Han­dels­ver­tre­tun­gen so­wie das Fi­nanz-, Han­dels- und Ener­gie­mi­nis­te­ri­um. Ob­wohl die NSA da­mit nicht di­rekt für ame­ri­ka­ni­sche Un­ter­neh­men ar­bei­tet, scheint den­noch klar, dass Er­mitt­lungs­auf­trä­ge von Un­ter­neh­men über Lob­by­grup­pen und die ent­spre­chen­den Mi­nis­te­ri­al­bü­ro­kra­ti­en be­zie­hungs­wei­se die US-Han­dels­ver­tre­tun­gen bei der NSA ein­ge­steu­ert wer­den kön­nen.

Das pro­ble­ma­ti­sche Selbst­ver­ständ­nis der NSA

Die NSA hat ins­ge­samt 40.000 Mit­ar­bei­ter und ist im US-Bun­des­staat Ma­ry­land ei­ner der größ­ten Ar­beit­ge­ber. Gleich­zei­tig ist die Mis­si­on der NSA schwie­rig. Die Snow­denDo­ku­men­te „SIGINT Stra­te­gy 2012-2016“und „SIGINT Mis­si­on Stra­te­gic Plan FY2008-2013“so­wie die Prä­sen­ta­ti­ons­fo­lie „New Collec­tion Pos­tu­re“zei­gen das Selbst­ver­ständ­nis: „Wir er­mit­teln In­for­ma­tio­nen und ge­ben Ant­wor­ten zu Staa­ten, Or­ga­ni­sa­tio­nen und Ein­zel­per­so­nen und de­ren ver­bor­ge­nen Ak­ti­vi­tä­ten. Un­ser An­spruch gilt welt­weit, DER Ge­heim­dienst mit tech­ni­schem Fo­kus zu sein, der glo­ba­le Do­mi­nanz in al­len Netz­wer­ken hat. Da­zu grei­fen wir al­les ab, wis­sen wir al­les, sam­meln wir al­les, be­ar­bei­ten wir al­les und nut­zen wir al­les aus.“Ei­ne sol­che Auf­ga­ben­stel­lung er­for­dert ei­ne wohl­durch­dach­te Or­ga­ni­sa­ti­on.

NSA-Spio­na­ge­ab­tei­lung: Or­ga­ni­siert wie ein Un­ter­neh­men

Die Spio­na­ge­ab­tei­lung der NSA (Haupt­ab­tei­lung S) ist or­ga­ni­siert wie ein Wirt­schafts­un­ter­neh­men. Es gibt ei­ne Ab­tei­lung für Ver­trieb und Kun­den­kom­mu­ni­ka­ti­on (S1), die Kun­den­auf­trä­ge ent­ge­gen­nimmt und sich um die Ver­tei­lung der fer­ti­gen Pro­duk­te küm­mert. Die Pro­duk­ti­on (S2) über­nimmt die Er­stel­lung von Ana­ly­sen in Form von „Pro­dukt­li­ni­en“– hier ar­bei­ten Ana­lys­ten auf den rie­si­gen Da­ten­ban­ken der NSA, zum Bei­spiel auch mit der durch den BND-Un­ter­su­chungs­aus­schuss be­kannt ge­wor­de­nen Soft­ware XKey­score. Das Ziel: die In­for­ma­ti­ons­wün­sche der Kun­den er­fül­len. Um die Be­fül­lung der Da­ten­ban­ken küm­mert sich die Ab­tei­lung S3: Ih­re Auf­ga­be ist es, ste­tig ver­bes­ser­te Me­tho­den zur Samm­lung von Da­ten zu ent­wi­ckeln.

Da­bei müs­sen nur in Aus­nah­me­fäl­len die Ab­tei­lun­gen des Be­reichs S32 „Ge­ziel­tes Ein­drin­gen“die Da­ten­samm­lung er­gän­zen. Zwar sind auch in die­sem Be­reich die Fä­hig­kei­ten der NSA viel­fäl­tig und rei­chen vom klas­si­schen Ein­drin­gen über Vi­ren bis hin zur Ve­rän­de­rung von Ser­ver- oder Netz­hard­ware auf dem Post­weg zum Kun­den – doch der Schwer­punkt der NSA liegt auf dem Ab­hö­ren al­ler Netz­wer­ke. Im Ge­gen­satz zu den di­rek­ten Hacking-An­grif­fen auf Fir­men, die oft dem chi­ne­si­schen oder rus­si­schen Ge­heim­dienst zu­ge­rech­net wer­den, setzt die NSA ih­ren Fo­kus auf ein Netz welt­wei­ter Ab­hör­sta­tio­nen.

NSA über­wacht 90 Pro­zent der In­ter­net-Ka­pa­zi­tä­ten

Be­trach­tet man die 90 größ­ten In­ter­net-Kno­ten und die 360 wich­tigs­ten Un­ter­see­ka­bel, dann kann die NSA wohl mehr als 90 Pro­zent die­ser In­ter­net-Ka­pa­zi­tä­ten über­wa­chen. Selbst in Russ­land oder Chi­na gibt es kei­ne grö­ße­ren In­stal­la­tio­nen von Ab­hör­tech­no­lo­gie. Auf der Welt­kar­te mit den Stand­or­ten wird klar, wie nah die NSA ih­rem er­klär­ten Ziel ist: „glo­bal net­work do­mi­nan­ce“. Ein gu­tes Bei­spiel für die Ar­beits­wei­se der NSA ist die gro­ße XKey­scoreIn­stal­la­ti­on am Ufer des Ro­ten Mee­res, in der Nä­he der sau­di-ara­bi­schen Ha­fen­stadt Dschi­d­da. Die In­stal­la­ti­on mit­ten in der Wüs­te leuch­tet erst ein, wenn man den Ver­lauf der Un­ter­see­ka­bel be­denkt: Na­he­zu al­le Un­ter­see­ka­bel, die von Eu­ro­pa nach In­di­en oder Chi­na füh­ren, füh­ren na­he Dschi­d­da an Land – um die nö­ti­gen Ver­stär­ker­sta­tio­nen nicht im­mer un­ter Was­ser bau­en zu müs­sen. Da­mit bie­tet sich die­ser Punkt für ei­nen zen­tra­len Zu­griff an.

Da­mit die NSA an sol­chen Stel­len Zu­griff be­kommt, wer­den Part­ner­schaf­ten ge­pflegt – strikt nach dem Mot­to „Quid pro quo“(„Ei­ne Hand wäscht die an­de­re“). Den meis­ten Staa­ten ste­hen weit we­ni­ger tech­ni­sche Mit­tel zur Ver­fü­gung als der NSA. Und das Ab­hö­ren von Glas­fa­ser­ka­beln in­klu­si­ve des Aus­fil­terns von Such­be­grif­fen in Echt­zeit so­wie de­ren in­di­zier­ter Spei­che­rung ist we­der ein­fach noch bil­lig zu ha­ben. Die NSA bie­tet ih­ren Part­nern all das kos­ten­los an: Je­der Part­ner­dienst er­hält Tech­no­lo­gi­en wie XKey­score zur frei­en Ver­wen­dung, ein­schließ­lich Schu­lung und Ein­wei­sung, so dass er die­se In­stal­la­ti­on an wich­ti­gen Punk­ten im ei­ge­nen Land an­brin­gen und mit ei­ge­nen Such­be­grif­fen den Ver­kehr ab­hö­ren kann. Ein­zi­ge Be­din­gung: Die NSA darf eben­falls Such­be­grif­fe ein­spie­len, und al­le ge­sam­mel­ten Da­ten wan­dern auch in ih­re Da­ten­ban­ken. Auf die­se Wei­se ist al­len ge­hol­fen: Die Part­ner­diens­te er­hal­ten güns­tig Zu­griff auf fort­ge­schrit­te­ne Tech­no­lo­gi­en, und die NSA kann ih­ren Ab­hör­be­reich wei­ter aus­bau­en.

Auch deut­sche Un­ter­neh­men ste­hen im Vi­sier der NSA

Auch bei der In­for­ma­ti­ons­aus­wer­tung ent­wi­ckelt sich die NSA wei­ter. Das Ziel für die Jah­re 2012 bis 2016 lau­te­te, ei­ne grund­le­gen­de Än­de­rung des Ana­ly­se­an­sat­zes um­zu­set­zen: ei­nen Um­bau der Analyse weg von ei­nem Pro­duk­ti­ons- und hin zu ei­nem Ent­de­ckungs­an­satz. An­ge­rei­chert mit ei­ner in­no­va­ti­ven Kun­den-/Part­ner­ein­bin­dung soll­te die NSA ge­mein­sam mit den Kun­den ge­sam­mel­te Da­ten nach in­ter­es­san­ten Er­kennt­nis­sen durch­fors­ten und nicht mehr erst Auf­klä­rungs­zie­le fest­le­gen und dar­auf auf­bau­end pas­sen­de Da­ten sam­meln müs­sen. Bis zur Um­set­zung die­ses Plans wa­ren die Auf­klä­rungs­zie­le die wich­tigs­ten Steue­rungs­do­ku­men­te der NSA.

Ein von Wi­ki­leaks ver­öf­fent­lich­ter Spio­na­ge­auf­trag der NSA von 2012 ge­gen Frank­reich zeigt ein brei­tes In­ter­es­se an wirt­schaft­li­chen Vor­gän­gen, et­wa an be­vor­ste­hen­den Auf­trags­ver­ga­ben, Mach­bar­keits­stu­di­en oder Groß­pro­jek­ten im All­ge­mei­nen. Bis­her wur­den noch nicht ein­mal drei Pro­zent der Snow­den-Do­ku­men­te ver­öf­fent­licht. Es wä­re fahr­läs­sig, zu glau­ben, die deut­sche Wirt­schaft sei von der NSA-Spio­na­ge nicht be­trof­fen – vor al­lem, da ei­ne stra­te­gi­sche Lis­te von Spio­na­ge­zie­len im Ja­nu­ar 2007 Deutsch­land ne­ben neun wei­te­ren Län­dern nennt, die al­le­samt „neu ent­ste­hen­de stra­te­gi­sche Tech­no­lo­gi­en“ent­wi­ckeln und her­stel­len. Die­se könn­ten „ei­nen stra­te­gi­schen mi­li­tä­ri­schen, wirt­schaft­li­chen oder po­li­ti­schen Vor­teil lie­fern“, heißt es in dem NSADo­ku­ment. Es ist da­von aus­zu­ge­hen, dass die Be­deu­tung der deut­schen Wirt­schaft seit­dem glo­bal eher zu- als ab­ge­nom­men hat und deut­sche Fir­men so­mit durch­aus im Fo­kus der NSA ste­hen.

Aus den Snow­den-Do­ku­men­ten wird klar, dass im Jahr 2007 Raum­fahrt, Elektro­op­tik, Na­no­tech­no­lo­gie und en­er­ge­ti­sche Ma­te­ria­li­en auf der stra­te­gi­schen Mis­si­ons­lis­te der NSA stan­den. Die Fall­pra­xis der Cor­po­ra­te Trust hat dies

be­stä­tigt. Heu­te sind bei ge­heim­dienst­li­chen Spio­na­ge­an­grif­fen zu­sätz­lich die Be­rei­che Bio­tech­no­lo­gie, Ge­trie­be­tech­no­lo­gi­en und al­ter­na­ti­ve An­trie­be be­trof­fen. Die NSA zieht au­ßer­dem E-Com­mer­ce, elek­tro­ni­sche Wah­len so­wie die netz­ba­sier­te Steue­rung von In­dus­trie­an­la­gen und In­fra­struk­tu­ren als Zie­le in Be­tracht. Wäh­rend die rus­si­sche oder chi­ne­si­sche Wirt­schaft in vie­len Be­rei­chen das tech­ni­sche Know-how deut­scher Un­ter­neh­men sucht, ge­hen die In­ter­es­sen der Ame­ri­ka­ner in an­de­re Rich­tun­gen: Hier liegt der Fo­kus oft auf Un­ter­neh­mens­stra­te­gi­en, Zu­sam­men­schlüs­sen, Groß­auf­trä­gen und an­de­ren Ma­nage­men­tIn­for­ma­tio­nen. Zu­neh­mend rü­cken auch ju­ris­tisch ver­wert­ba­re In­for­ma­tio­nen in den Vor­der­grund. Wie von US-Sei­te ge­ne­rell be­stä­tigt wur­de, gibt die NSA ge­won­ne­ne Da­ten un­ter Ein­hal­tung von Vor­schrif­ten auch an an­de­re Be­hör­den au­ßer­halb des Ge­heim­dienst­krei­ses wei­ter, wenn An­halts­punk­te für straf­ba­res Ver­hal­ten ge­fun­den wer­den.

Wie die NSA zen­tra­le IT-Sys­te­me an­greift

Durch den um­fas­sen­den Zu­griff auf die Netz­struk­tu­ren des In­ter­nets kann die NSA selbst den in­ter­nen Da­ten­ver­kehr zwi­schen ein­zel­nen Fir­men­stand­or­ten ab­hö­ren. Die Fä­hig­kei­ten der NSA, die durch Snow­dens Do­ku­men­te be­kannt wur­den, ha­ben die Welt be­ein­druckt. Die meis­ten tech­ni­schen Do­ku­men­te stam­men je­doch aus den Jah­ren 2007 bis 2010. Dass die NSA ih­re Tech­no­lo­gi­en auf die seit­dem hin­zu­ge­kom­me­nen Smart­pho­nes und Apps ad­ap­tiert hat, gilt als si­cher; als Be­weis da­für kann auch der ak­tu­el­le Vault-7-Leak die­nen. Die fol­gen­den Bei­spie­le sol­len dies ver­deut­li­chen.

Bei­spiel 1: Start­punkt des NSA-Skan­dals war PRISM. Mit die­sem Pro­jekt ver­schaff­te sich die NSA Zu­griff auf die Pro­duk­te al­ler gro­ßen ame­ri­ka­ni­schen In­ter­net-Di­ens­te: Mi­cro­soft, Goog­le, Face­book, Youtube, Sky­pe, AOL und App­le. Ka­ta­lo­gi­siert wer­den Such­an­fra­gen, Chats, E-Mails, Te­le­fo­nie (Voice-over-IP), Vi­de­os und sons­ti­ge Da­ten. Das Wis­sen über PRISM stammt aus dem Jahr 2010. In den ver­gan­ge­nen sie­ben Jah­ren ist die Cloud-Nut­zung in Fir­men laut ver­schie­de­nen Um­fra­gen von zehn bis 20 Pro­zent auf über 50 Pro­zent ge­stie­gen – das heißt, im­mer mehr IT-Sys­te­me wer­den in gro­ßen Re­chen­zen­tren kon­zen­triert. Es ist da­von aus­zu­ge­hen, dass die NSA mitt­ler­wei­le je­des grö­ße­re Clou­dRe­chen­zen­trum mit ge­eig­ne­tem Equip­ment im­plan­tiert hat, um ei­ne Kom­plett­über­wa­chung si­cher­stel­len zu kön­nen. Dies dürf­te sich kaum auf die USA und ih­re Part­ner­län­der be­schrän­ken: An­ge­sichts der tech­ni­schen Fä­hig­kei­ten der NSA ist mit ei­ner zu­min­dest un­frei­wil­li­gen und mit­tel­ba­ren Im­plan­tie­rung, zum Bei­spiel durch ma­ni­pu­lier­te Rou­ter, bei je­dem Clou­dPro­vi­der welt­weit zu rech­nen.

NSA greift Ser­ver, Cli­ents und Net­ze ge­zielt an

Bei­spiel 2: Je­der Pro­zes­sor be­sitzt meh­re­re Ebe­nen, auf de­nen er Pro­gram­me aus­füh­ren

kann. Da­bei kann je­weils die über­ge­ord­ne­te Ebe­ne auf die un­te­ren Ebe­nen zu­grei­fen. Dies soll den Be­triebs­sys­tem-Kern, die Trei­ber und nor­ma­le Soft­ware von­ein­an­der tren­nen. Mo­der­ne Pro­zes­so­ren ken­nen je­doch un­ter der Be­triebs­sys­tem-Ebe­ne noch den Sys­te­mMa­nage­ment-Mo­dus, mit dem be­stimm­te Hard­ware­funk­tio­nen ge­steu­ert wer­den kön­nen. Aus den Snow­den-Leaks wis­sen wir, dass die NSA für Dell-Ser­ver (Pro­jekt „Dei­ty­boun­ce“) seit 2006 und für HP-Ser­ver (Pro­jekt „Iron­chef“) seit 2007 die Mög­lich­kei­ten hat, durch Ma­ni­pu­la­ti­on des BIOS dau­er­haft und un­be­merkt vom Be­triebs­sys­tem ei­ge­ne Pro­gram­me aus­zu­füh­ren. Mit zu­neh­men­der Ver­brei­tung von Win­dows 8 und 10 ist die Ver­wen­dung ei­nes Stan­dard-UEFI-BIOS der Re­gel­fall ge­wor­den. Neu sind die Zu­griffs­op­tio­nen auf das Netz und die Mög­lich­keit, wäh­rend der ge­sam­ten Nut­zung des Rech­ners Co­de­tei­le auch par­al­lel zum Be­triebs­sys­tem aus­zu­füh­ren. Fer­ner grei­fen na­he­zu al­le UEFI-Ver­sio­nen auf die ge­mein­sa­me Co­de­ba­sis In­tel Tia­noCo­re zu­rück. Es ist da­von aus­zu­ge­hen, dass Ge­heim­diens­te auf die­ser Grund­la­ge über Soft­ware­im­plan­ta­te für fak­tisch je­de Platt­form (Ser­ver oder Cli­ents) ver­fü­gen. Die jüngs­ten Vault-7Leaks zu den Prak­ti­ken der CIA ge­ben ei­nen Ein­blick, wie fort­ge­schrit­ten die­se An­griffs­tech­no­lo­gie be­reits ist. NSA, CIA und Co. ent­wi­ckeln Waf­fen für den Cyber-Raum

Eben­so wie ver­schie­de­ne an­de­re Di­ens­te und Mi­li­tär­ein­hei­ten auf der gan­zen Welt nutzt auch die NSA ihr tech­ni­sches Know-how, um „Waf­fen“für ih­re Ope­ra­tio­nen im Cyber-Raum zu pro­du­zie­ren. Da­bei han­delt es sich um Soft­ware­stü­cke, mit de­nen man in ge­schütz­te IT-Sys­te­me ein­drin­gen, In­for­ma­tio­nen steh­len oder Com­pu­ter lahm­le­gen kann, im Fach­jar­gon „Ex­ploits“ge­nannt. Da die­se Waf­fen im Ein­satz von ver­schie­de­nen Per­so­nen be­nutzt wer­den sol­len, sind sie in der Be­die­nung mög­lichst ein­fach und ent­spre­chend gut do­ku­men­tiert.

Die Wer­tig­keit ei­ner Cyber-Ein­heit be­misst sich an der An­zahl und Qua­li­tät der Ex­ploits in ih­rem Ar­senal. Das Po­ten­zi­al die­ser Cyber-Waf­fen wächst mit je­der neu­en IT-Re­vo­lu­ti­on und wird im Zeit­al­ter von In­dus­trie 4.0, selbst­fah­ren­den Au­tos, com­pu­ter­ge­steu­er­ten Strom­net­zen und dem In­ter­net of Things die Zer­stö­rungs­kraft von Atom­waf­fen er­rei­chen. Cyber-Waf­fen be­sit­zen je­doch ei­ne Rei­he wei­te­rer be­son­de­rer Ei­gen­schaf­ten: Man­che hin­ter­las­sen Spu­ren, durch de­ren Analyse sich die Idee hin­ter der Waf­fe her­aus­fin­den lässt; ein Ex­per­te kann sie dann nach­bau­en oder ei­ne Ver­tei­di­gungs­mög­lich­keit da­ge­gen ent­wi­ckeln. Da­mit be­steht die Ge­fahr, dass ei­ne sol­che Waf­fe durch ih­ren Ein­satz in fal­sche Hän­de ge­rät oder nutz­los wird. Au­ßer­dem ist ei­ne Cyber-Waf­fe am En­de ein­fach nur ein Stück Soft­ware und kann dem­nach leicht ko­piert wer­den. Bricht al­so ein Ha­cker in das Netz ei­ner Cyber-Ein­heit ein, kann er de­ren ge­sam­tes Waf­fen­ar­se­nal steh­len.

Ha­cker steh­len Cyber-Waf­fen und ver­kau­fen sie wei­ter

Dies ist be­reits Rea­li­tät: Ei­ne Grup­pe na­mens „Sha­dow Bro­kers“ver­kauf­te im Jahr 2016 Cyber-Waf­fen ei­ner NSA-Ein­heit an den Meist­bie­ten­den. Und auch in den Vault-7-Leaks sind ei­ni­ge Cyber-Waf­fen ent­hal­ten. So­lan­ge staat­li­che Cyber-Ein­hei­ten über­all auf der Welt

Mehr zum The­ma Se­cu­ri­ty fin­den Sie auf der Web­site der COMPUTERWOCHE: Pass­ge­naue Sicherheit für den Mit­tel­stand www.co­wo.de/a/3330025 Wi­ki­leaks und die CIA-Ent­hül­lun­gen www.co­wo.de/a/3330162 Mehr IT-Sicherheit durch Ko­ope­ra­ti­on www.co­wo.de/a/3330139 Was Sie über Ver­schlüs­se­lung wis­sen soll­ten www.co­wo.de/a/2074636 Bu­si­ness küm­mert sich zu we­nig um IT-Sicherheit www.co­wo.de/a/3329985 Die wil­des­ten Ver­schwö­rungs­theo­ri­en al­ler Zei­ten www.co­wo.de/a/3323612

auf­rüs­ten und gleich­zei­tig Ha­cker-Grup­pen de­ren Ar­sena­le steh­len kön­nen, wird sich die Wirt­schaft stän­dig hoch­ent­wi­ckel­ten Cy­ber­Waf­fen ge­gen­über­se­hen.

Oft wird be­haup­tet, ge­gen die NSA be­zie­hungs­wei­se ge­gen Cyber-Waf­fen die­ser Qua­li­tät kön­ne man sich nicht schüt­zen – das ist nicht kor­rekt. Fakt ist: Um sich ge­gen die NSA zu schüt­zen, muss man mit meh­re­ren gän­gi­gen Pa­ra­dig­men bre­chen.

NSA-An­grif­fe: Wie Un­ter­neh­men ih­re Kron­ju­we­len schüt­zen kön­nen

Ein Schutz ge­gen An­grei­fer auf dem Ni­veau der NSA ist nicht für al­le Da­ten und Ap­pli­ka­tio­nen mög­lich. Rea­lis­tisch ge­se­hen kann ein Un­ter­neh­men höchs­tens ein bis zwei Pro­zent sei­ner In­for­ma­tio­nen auf die­ser Ebe­ne ab­si­chern – wir spre­chen al­so vom Schutz der „Kron­ju­we­len“. Die­se müs­sen dem­ent­spre­chend zu­erst iden­ti­fi­ziert wer­den.

Die IT ei­nes Un­ter­neh­mens muss da­für Zu­ge­ständ­nis­se ma­chen: Kos­ten, Ver­füg­bar­keits­an­for­de­run­gen und Be­nut­zer­freund­lich­keit müs­sen ge­gen den Schutz der Ver­trau­lich­keit ab­ge­wo­gen und ein Kom­pro­miss ge­fun­den wer­den. Auf 98 Pro­zent der Da­ten trifft dies wei­ter­hin zu – für die Kron­ju­we­len gel­ten fol­gen­de drei Re­geln: 1. Ver­trau­lich­keit kommt vor Ver­füg­bar­keit. 2. Die Be­nut­zer­freund­lich­keit muss min­des­tens so hoch sein wie in der „nor­ma­len“IT. 3. Die Kos­ten für Kon­zep­ti­on, An­schaf­fung und lau­fen­den Be­trieb müs­sen ak­zep­ta­bel sein, dür­fen aber – re­la­tiv zur Grö­ße der Um­ge­bung – hö­her sein als in der nor­ma­len IT.

Hin­zu kom­men ei­ni­ge ope­ra­ti­ve Ve­rän­de­run­gen: Al­le Be­nut­zer­ak­ti­vi­tä­ten rund um die Kron­ju­we­len wer­den vollständig auf­ge­zeich­net, sind kom­plett rück­ver­folg­bar, und die Pro­to­koll­da­tei­en wer­den auf un­be­stimm­te Zeit ar­chi­viert. Es fin­det kei­ne An­ony­mi­sie­rung statt – dies wird je­dem User klar mit­ge­teilt, und al­le müs­sen dem ex­pli­zit zu­stim­men. Je­der Be­nut­zer muss au­ßer­dem ei­ne ge­son­der­te Ver­trau­lich­keits­er­klä­rung un­ter­zeich­nen und ein po­li­zei­li­ches Füh­rungs­zeug­nis vor­le­gen. Al­le Be­rech­ti­gun­gen wer­den für ma­xi­mal sechs Mo­na­te ver­ge­ben und ver­lie­ren zum En­de die­ses Zei­t­raums au­to­ma­tisch ih­re Gül­tig­keit. Al­le aus­ge­hen­den be­zie­hungs­wei­se ver­ar­bei­te­ten Da­ten wer­den pro­to­kol­liert und ve­ri­fi­ziert (Full Da­ta Loss Preven­ti­on). Ad­mi­nis­tra­to­ren kön­nen nicht auf die Da­ten zu­grei­fen, son­dern nur die Sys­te­me ad­mi­nis­trie­ren und die Rech­te ver­ge­ben. Kon­zep­ti­ons­ar­bei­ten und tief­ge­hen­de Ad­mi­nis­tra­ti­ons­ein­grif­fe dür­fen nur di­rekt am Ge­rät und nach dem Vier-Au­gen-Prin­zip durch­ge­führt wer­den. Al­le Kron­ju­we­len-Sys­te­me müs­sen ro­bust, sta­bil, selbst­hei­lend und aut­ark ar­bei­ten. Die An­zahl der not­wen­di­gen ad­mi­nis­tra­ti­ven Ak­tio­nen ist durch kon­se­quen­te Sim­pli­fi­zie­rung und Au­to­ma­ti­sie­rung auf ein Mi­ni­mum zu re­du­zie­ren.

Al­le IT-Sys­te­me für die Kron­ju­we­len be­fin­den sich in ei­ner phy­si­ka­lisch hoch­ge­si­cher­ten Um­ge­bung – ei­nem „Ser­ver­safe“– und sind vi­deo­über­wacht. Der Vi­deo­ser­ver be­fin­det sich wie­der­um im Ser­ver­safe. In die­sen füh­ren al­so zwei Ka­bel: ein Strom- und ein Netz­ka­bel. Ei­ne Mo­ni­to­ring-Mann­schaft über­wacht sämt­li­che Vor­gän­ge im Sa­fe, sinn­voll un­ter­stützt durch Tools und Alarm­sys­te­me – am En­de zählt aber die mensch­li­che In­tel­li­genz. Die Mo­ni­to­rin­gMann­schaft sieht nur die Logs, nicht die Da­ten. Kein Ad­mi­nis­tra­tor ist in der Mo­ni­to­rin­gMann­schaft und um­ge­kehrt.

Nur wirk­lich ein­fa­che Sys­te­me kön­nen ab­ge­si­chert wer­den. Die Sys­te­me, auf de­nen Kron- ju­we­len la­gern, sind auf die ab­so­lut es­sen­zi­el­len Kom­po­nen­ten be­schränkt, ma­xi­mal ge­här­tet, ma­xi­mal ver­ein­facht und in ih­rer Funk­ti­ons­viel­falt ma­xi­mal re­du­ziert. Zu­grif­fe auf die Kron­ju­we­len-Sys­te­me sind im­mer ver­schlüs­selt und mit ei­ner Zwei-Fak­tor-Au­then­ti­fi­zie­rung ge­schützt. Die Um­ge­bung ist voll seg­men­tiert, mit ei­nem streng de­fi­nier­ten Fi­re­wall-Re­gel­werk. Je­des Seg­ment hat de­di­zier­te Ser­ver und Hard­ware, es gibt kei­ne seg­ment­über­grei­fen­de Vir­tua­li­sie­rung be­zie­hungs­wei­se Ser­ver­b­lades.

Die­se An­for­de­rungs­lis­te schreckt die meis­ten Fir­men ab. In­so­fern ist es nun an der Zeit, die ei­ge­nen Pro­zes­se, das ei­ge­ne Per­so­nal und die ei­ge­ne Tech­no­lo­gie auf den Prüf­stand zu stel­len. Die Gret­chen­fra­ge lau­tet: Wie viel Geld müs­sen wir in Cyber-Sicherheit in­ves­tie­ren, da­mit wir für die Zu­kunft ge­rüs­tet sind?

Deutsch­land ist auf Cyber-An­grif­fe schlecht vor­be­rei­tet

Im gren­zen­lo­sen Cyber-Raum exis­tie­ren kei­ne Lo­gis­tik-, Nach­schub- oder Ver­sor­gungs­pro­ble­me wie in tra­di­tio­nel­len Ar­me­en. Cy­ber­At­ta­cken ska­lie­ren gut, Team­ar­beit macht so­wohl An­griff als auch Ver­tei­di­gung ef­fi­zi­en­ter. In den klas­si­schen Mi­li­tär­dis­zi­pli­nen (Land, Meer, Luft) spie­len Trans­port, Lo­gis­tik, Nach­schub und Ver­sor­gung ei­ne gro­ße Rol­le; die Kom­ple­xi­tät die­ser Auf­ga­ben steigt über­pro­por­tio­nal zur Per­so­nal­stär­ke. Da sol­che The­men im Cyber-Raum kei­ne Be­deu­tung ha­ben, gilt hier die For­mel „Der Grö­ße­re ge­winnt“um­so mehr. Hin­zu kommt, dass die Fä­hig­kei­ten ein­zel­ner Top­leu­te gut von an­de­ren, we­ni­ger qua­li­fi­zier­ten Cyber-Sol­da­ten du­pli­ziert wer­den kön­nen.

Die­ses Mus­ter wird in den ak­tu­el­len An­grif­fen eben­so deut­lich wie in der or­ga­ni­sier­ten Kri­mi­na­li­tät. Ein To­pha­cker ent­wi­ckelt ein Vor­ge­hen, zeigt dies dann ei­ner Grup­pe von Leu­ten, die wie­der­um die­se Me­tho­dik – si­tua­ti­ons­be­dingt manch­mal leicht ab­ge­än­dert – breit ge­fä­chert auf Hun­der­te Zie­le an­wen­den. Ähn­li­ches gilt auch für die Ver­tei­di­gung: Wur­de ein An­griff ein­mal ent­deckt und ana­ly­siert, ist er meist leicht zu kon­tern – so­fern die Ver­tei­di­gung schnell ge­nug in die Flä­che ge­bracht wer­den kann.

Die Grö­ße der Cyber-Ein­hei­ten hat aber auch noch ei­nen zwei­ten, nach­ge­la­ger­ten Ef­fekt. Egal ob di­rekt bei den Mit­ar­bei­tern ei­nes Di­ens­tes oder bei den Mit­ar­bei­tern von Tech­no­lo­gie­part­nern, am En­de wird mit den Geld­mit­teln im­mer das Know-how von Men­schen ge­för­dert – und die­se ar­bei­ten über kurz oder lang auch in der frei­en Wirt­schaft. In­ves­ti­tio­nen in Ge­heim­diens­te sind al­so au­to­ma­tisch

auch ein Kon­junk­tur­pro­gramm für IT-Si­cher­heits­ex­per­ten in der In­dus­trie. Ei­ne Volks­wirt­schaft, die hier ins Hin­ter­tref­fen ge­rät, wird auch be­züg­lich der ei­ge­nen Ab­si­che­rung nicht mehr auf­ho­len kön­nen. In­ner­halb von pri­vat­wirt­schaft­li­chen Struk­tu­ren lässt sich ein der­art kon­zen­trier­ter Know-how-Auf­bau, wie ihn zum Bei­spiel die NSA be­treibt, nicht or­ga­ni­sie­ren.

NSA, BND, GCHQ: IT-Ex­per­ten sind un­gleich ver­teilt

Die Analyse der Auf­ga­ben und Cyber-Ein­hei­ten der Di­ens­te er­folgt un­ter fol­gen­den Ab­gren­zun­gen: Es gibt in vie­len Be­hör­den IT-Ab­tei­lun­gen. Je­de die­ser Ab­tei­lun­gen hat Per­so­nal für IT-Sicherheit, das für die ope­ra­ti­ve Ab­si­che­rung der ei­ge­nen Net­ze ver­ant­wort­lich ist. Oft wer­den in den of­fi­zi­el­len Sta­tis­ti­ken die­se Mit­ar­bei­ter als „Cyber-Ein­hei­ten“ge­zählt – was na­tür­lich ei­ne ge­wis­se Be­rech­ti­gung hat. Für die­sen Ver­gleich wur­de ver­sucht, sol­che Mit­ar­bei­ter her­aus­zu­rech­nen. Zum an­de­ren er­for­dern vie­le klas­si­sche nach­rich­ten­dienst­li­che Auf­ga­ben zu­neh­mend IT-Kennt­nis­se, so dass „Cyber-Fä­hig­kei­ten“oft in vie­len Be­rei­chen ei­nes Di­ens­tes zu fin­den sind. Für die­sen Ver­gleich wer­den nur Mit­ar­bei­ter ge­zählt, de­ren Tä­tig­keits­feld aus­schließ­lich der Cy­berRaum ist. Ein Ver­gleich der na­tio­na­len Cy­berFä­hig­kei­ten wird nie all­um­fas­send ge­lin­gen, al­ler­dings bie­ten sich das zur Ver­fü­gung ste­hen­de Bud­get, der or­ga­ni­sa­to­ri­sche Auf­bau und die Per­so­nal­aus­stat­tung durch­aus als brauch­ba­re Leis­tungs­in­di­ka­to­ren an.

Per­so­nal­aus­stat­tung: Im in­ter­na­tio­na­len Ver­gleich der Cyber-Fä­hig­kei­ten der ein­zel­nen Di­ens­te ist die Zahl der Be­schäf­tig­ten von In­ter­es­se, die sich haupt­amt­lich mit dem The­ma Cyber be­fas­sen. Et­wa 800 Mit­ar­bei­ter von Ver­fas­sungs­schutz und Bun­des­amt für Sicherheit in der In­for­ma­ti­ons­tech­nik (BSI) schüt­zen die Bun­des­re­pu­blik, da­zu kom­men et­wa 500 Stel­len beim Bun­des­nach­rich­ten­dienst (BND) und dem Kom­man­do „Di­gi­ta­le Kräf­te“. Dem ge­gen-

über ste­hen ge­schätzt 46.000 Mit­ar­bei­ter von U.S. Cyber Com­mand und NSA, min­des­tens 50.000 bei den rus­si­schen Nach­rich­ten­diens­ten und schlimms­ten­falls 130.000 beim chi­ne­si­schen Mi­nis­te­ri­um für Staats­si­cher­heit.

Ver­gleicht man Deutsch­land mit dem Ver­ei­nig­ten Kö­nig­reich, so sind dort al­lein 6000 Mit­ar­bei­ter beim Go­vern­ment Com­mu­ni­ca­ti­ons Head­quar­ter (GCHQ) be­schäf­tigt, plus et­wa 500 Cyber-Spe­zia­lis­ten der Roy­al Ar­my.

Auch wenn ge­naue Zah­len kaum ver­füg­bar sind, las­sen sich Rück­schlüs­se aus ge­si­cher­ten Er­kennt­nis­sen zie­hen, zum Bei­spiel in Pres­se­mit­tei­lun­gen ge­nann­te Stel­len­zah­len (auch wenn die Stel­len noch nicht be­setzt sind) und Ge­rüch­te aus den letz­ten vier Jah­ren. Vor al­lem die Zah­len zu Russ­land und Chi­na sind Schät­zun­gen, da sie auf ein­zel­nen Qu­el­len be­ru­hen.

Die rus­si­sche Fö­de­ra­le Agen­tur für Re­gie­rungs­fern­mel­de­we­sen und In­for­ma­ti­on (FAPSI) hat­te vor ih­rer Ein­glie­de­rung in FSO (als Ab­tei­lung SSSI) und FSB vor 13 Jah­ren et­wa 50.000 Mann. Wäh­rend der Ein­glie­de­rung ver­lie­ßen vie­le Ex­per­ten den Di­enst, und Russ­land setz­te zu­neh­mend auf pri­va­te, staats­na­he Ha­cker. Wäh­rend des Cyber-An­griffs auf Est­land stell­te sich je­doch her­aus, dass die­se schlecht zu füh­ren sind. Russ­land bau­te da­her die ei­ge­nen Cyber-Fä­hig­kei­ten wie­der stär­ker aus.

Da uns aber die rus­si­sche or­ga­ni­sier­te Kri­mi­na­li­tät fast täg­lich vor Au­gen führt, dass Cyber-Se­cu­ri­ty-Know-how in aus­rei­chen­dem Ma­ße im Land vor­han­den ist, er­scheint die ge­schätz­te Mit­ar­bei­ter­zahl rea­lis­tisch. Russ­land be­treibt zwei Ha­cker­schu­len in Wo­ro­nesch und Moskau, de­ren Ab­sol­ven­ten fast al­le in den Staats­dienst über­nom­men wer­den.

Be­züg­lich Chi­na ist die La­ge schwie­ri­ger: Ab­tei­lung 3 be­schäf­tigt vie­le Sprach­ex­per­ten, was die Zah­len na­tür­lich in die Hö­he treibt. Auch die nach in­nen ge­rich­te­te Über­wa­chung des In­ter­nets – Stich­wort: „Gre­at Fi­re­wall“– könn­te hier an­ge­sie­delt sein. An­de­rer­seits wer­den of­fen­bar im­mer wie­der ex­ter­ne Ha­cker-Grup­pen re­kru­tiert, und Ab­tei­lung 4 über­nimmt zu­neh­mend Auf­ga­ben im Be­reich des Cyber-An­griffs. Bei­des wur­de in den Zah­len nicht be­rück­sich­tigt und könn­te die­se noch wei­ter er­hö­hen.

Auf­schluss­reich: An wen die Ge­heim­diens­te be­rich­ten

Or­ga­ni­sa­to­ri­scher Auf­bau: Ein In­diz für den Auf­ga­ben­be­reich ei­ner Or­ga­ni­sa­ti­on ist die Fra­ge nach dem Di­enst­herrn. Di­ens­te, die dem In­nen­mi­nis­te­ri­um be­rich­ten, sind ten­den­zi­ell eher mit der Ver­tei­di­gung be­traut. Be­hör­den, die an den Re­gie­rungs­chef oder das Au­ßen­mi­nis­te­ri­um be­rich­ten, sind mehr auf das Aus­land fo­kus­siert. Be­rich­tet hin­ge­gen ei­ne Cy­berEin­heit an den Ver­tei­di­gungs­mi­nis­ter, ist dies ge­wöhn­lich ein eher of­fen­siv aus­ge­rich­te­ter Be­reich. In den meis­ten Staa­ten be­rich­tet der Groß­teil der Cyber-Ein­hei­ten an den Re­gie­rungs­chef (im Ver­ei­nig­ten Kö­nig­reich an den Au­ßen­mi­nis­ter mit en­ger Bin­dung an den Re­gie­rungs­chef).

Ein Son­der­fall ist Chi­na, wo al­le Cyber-Kräf­te in der Ar­mee zu­sam­men­ge­zo­gen sind: „Oh­ne zu wis­sen, wie man an­greift, kann man nicht wis­sen, wie man sich ver­tei­di­gen soll.“Die USA ge­hen ei­nen Mit­tel­weg: Das der Ar­mee zu­ge­ord­ne­te U.S. Cyber Com­mand (An­griff) und die an das Wei­ße Haus be­rich­ten­de NSA (Spio­na­ge und Ver­tei­di­gung) ha­ben per De­kret den­sel­ben Chef und ar­bei­ten eng zu­sam­men. In Deutsch­land be­rich­tet der BND zwar auch an den Re­gie­rungs­chef, den­noch sind die meis­ten Cyber-Kräf­te dem In­nen­mi­nis­ter zu­ge­ord­net, im Ein­zel­nen dem BSI und dem Bun­des­amt für Ver­fas­sungs­schutz (BfV). Auch die ge­plan­te Be­hör­de ZITIS, die ne­ben dem Bun­des­kri­mi­nal­amt und den Lan­des­kri­mi­nal­äm­tern (Fo­kus Cy­ber­cri­me) auch das BfV und die Lan­des­äm­ter für Ver­fas­sungs­schutz (LfV) un­ter­stüt­zen soll, be­rich­tet an den In­nen­mi­nis­ter.

Ge­heim­dienst­bud­gets: Deutsch­land un­ter fer­ner lie­fen

Bud­get: Un­ge­schön­te Ein­bli­cke in die Fi­nan­zie­rung frem­der Ge­heim­diens­te er­hält man nur sehr sel­ten. In den Snow­den-Ar­chi­ven fin­den sich al­ler­dings Do­ku­men­te, die für die 16 Nach­rich­ten­diens­te der Ver­ei­nig­ten Staa­ten ein Bud­get von 52,6 Mil­li­ar­den Dol­lar für das Jahr 2013 aus­wei­sen. Dem ste­hen zu­sam­men­ge­nom­men gera­de ein­mal 1,1 Mil­li­ar­den Eu­ro bei den deut­schen Nach­rich­ten­diens­ten (BND, BfV, Mi­li­tä­ri­scher Ab­schirm­dienst, LfV) ge­gen­über, in­klu­si­ve BSI-Bud­get. Im Jahr 2016 be­trug das deut­sche Bud­get et­was über 1,3 Mil­li­ar­den Eu­ro.

Auf­grund der un­ter­schied­li­chen wirt­schaft­li­chen Stär­ke der bei­den Län­der liegt es auf der Hand, dass die fi­nan­zi­el­len Mit­tel der US-Ge­heim­diens­te we­sent­lich hö­her sind als die der deut­schen Nach­rich­ten­diens­te. Setzt man die Aus­ga­ben al­ler­dings ins Ver­hält­nis zum je­wei­li­gen Brut­to­in­lands­pro­dukt (BIP), schnei­det Deutsch­land noch schlech­ter ab: Ge­mes­sen an der Grö­ße sei­ner Wirt­schaft in­ves­tiert Deutsch­land we­sent­lich we­ni­ger in Cy­berFä­hig­kei­ten als die USA. Im Jahr 2013 lag die US-Quo­te über 0,31 Pro­zent des BIP, die deut­sche Quo­te bei un­ter 0,04 Pro­zent. Im Jahr 2016 er­höh­te sich die deut­sche Quo­te auf an­nä­hernd 0,05 Pro­zent. Wo­mög­lich ha­ben je­doch die Mit­tel für die „Stra­te­gi­sche Initia­ti­ve Tech­nik“und Um­zugs­kos­ten ei­nen we­sent­li­chen An­teil an der Er­hö­hung. Auch wenn der Ver­gleich der US In­tel­li­gence Com­mu­ni­ty mit den deut­schen Nach­rich­ten­diens­ten plus BSI hinkt, wird er­sicht­lich, wel­ches Ge­fäl­le zwi­schen den bei­den Län­dern be­steht. Die­ses Bild bleibt im We­sent­li­chen auch dann un­ver­än­dert, wenn man US-Di­ens­te mit Fo­kus auf wirt­schaft­li­che Vor­gän­ge und deut­sche Nach­rich­ten­diens­te mit Wirt­schafts­schutz­auf­ga­ben plus BSI ver­gleicht.

IT-Se­cu­ri­ty-Ex­per­ten: Deutsch­land ver­liert den An­schluss

Un­ter­neh­men soll­ten sich nicht dar­auf ver­las­sen, dass deut­sche Nach­rich­ten­diens­te und Be­hör­den in der La­ge sind, ih­re wirt­schaft­li­chen In­ter­es­sen en­er­gisch zu schüt­zen – denn es feh­len schlicht­weg die Mit­tel, um auf Au­gen­hö­he agie­ren zu kön­nen. Auch bei der Mit­ar­bei­ter­zahl lie­gen die deut­schen Si­cher­heits­be­hör­den im in­ter­na­tio­na­len Ver­gleich weit hin­ten.

Un­ter­neh­men müs­sen des­halb aus ei­ge­nem In­ter­es­se selbst für die Ab­wehr von Späh­an­grif­fen sor­gen. Auch aus volks­wirt­schaft­li­cher Sicht soll­te Deutsch­land das Bud­get für die Aus­bil­dung von (staat­li­chen) Cyber-Spe­zia­lis­ten er­hö­hen: Die ame­ri­ka­ni­schen Aus­ga­ben für staat­li­che Cyber-Ein­hei­ten wir­ken wie ein Kon­junk­tur­pro­gramm für Cyber-Sicherheit. Es gibt in­ter­na­tio­nal ope­rie­ren­de deut­sche Kon­zer­ne, die ih­re Si­cher­heits­ab­tei­lun­gen in den USA an­sie­deln, weil dort IT-Si­cher­heits­ex­per­ten ein­fa­cher re­kru­tiert wer­den kön­nen. Deutsch­land ver­liert in die­sem Kon­text gera­de mas­siv den An­schluss bei der Schlüs­sel­tech­no­lo­gie IT, die heu­te al­les und je­den mit­ein­an­der ver­bin­det. Das hat zur Fol­ge, dass wir in Zu­kunft auf die­sem Ge­biet höchst­wahr­schein­lich zu­neh­mend von aus­län­di­schen An­bie­tern und de­ren Know-how ab­hän­gig sein wer­den, wenn wir nicht bald um­steu­ern.

Die Kun­den der NSA – ei­ne Prä­sen­ta­ti­ons­fo­lie aus den Snow­den-Un­ter­la­gen zu Kun­den und in­ter­nen In­ter­es­sen­grup­pen der NSA. Dar­aus lässt sich ab­le­sen, dass die Kun­den der NSA in Tei­len durch­aus ein In­ter­es­se an öko­no­mi­schen Aspek­ten ha­ben könn­ten.

Newspapers in German

Newspapers from Germany

© PressReader. All rights reserved.