Im Jahr 2020 enthüllten Nachrichtenberichte aus aller Welt, dass das Schweizer IT-Sicherheitsunternehmen Crypto AG seit 1970 heimlich im Besitz der CIA und des deutschen Geheimdienstes war.
Die Geschichte ist kein Einzelfall. Ähnliches gab es bereits im Zusammenhang mit der ANOM-App und der Operation Trojan Shield . Letztere beinhaltete jedoch eine deutlich umfassendere Zusammenarbeit mit dem Justizministerium, während die Operation Crypto AG über einen wesentlich längeren Zeitraum und mit deutlich weniger, wenn überhaupt, Aufsicht lief.
Für die meisten normalen Menschen ist die Moral der Geschichte klar: Tu keine schlechten Dinge.
Noch wichtiger ist jedoch: Wenn Sie nicht über das nötige Wissen verfügen, um Computersicherheit und Verschlüsselung vollständig zu verstehen, ist es immer besser, sie gar nicht zu benutzen.
Studierende der Informatik und Ingenieurwissenschaften werden auf die Arbeit mit dieser Technologie im Berufsleben vorbereitet. Die ETH Zürich zählt zu den führenden Universitäten der Schweiz , und ihre Absolventen übernehmen Verantwortung für die Informationssicherheit in führenden Schweizer Institutionen. Diana von Bidder-Senn , die Ehefrau von Adrian von Bidder-Senn , promovierte zum Thema Computersicherheit; darüber gehe ich in einem zugehörigen Blogbeitrag ein .
Marco Fischer , ein Student der ETH Zürich , absolvierte ein Praktikum bei Crypto AG . Er verfasste einen Artikel über sein Praktikum auf Deutsch für die Studentenzeitung. Hier die Übersetzung:
Praktikum bei Crypto AG
Die Unternehmensbeschreibung lautet: Crypto AG , ein finanziell und rechtlich unabhängiges Schweizer Unternehmen, ist seit 1952 führend im Bereich der Informationstechnologie. Das Unternehmen ist auf die Implementierung von Sicherheitslösungen in allen Arten von Kommunikationsnetzen spezialisiert.
Der Nachrichtenplaner
Crypto AG entwickelt Verschlüsselungsgeräte, die von einer Fernverwaltungsstation aus administriert werden können. Dazu müssen Verwaltungsnachrichten zu einem definierten Zeitpunkt über ein IP-Netzwerk an die Geräte verteilt und entsprechende Bestätigungen von den Geräten empfangen werden. Diese Funktionalität wird in einem Nachrichtenplaner implementiert, der zwischen der Verwaltungsstation und dem öffentlichen Netzwerk, in dem sich die Endgeräte befinden, platziert ist.
Meine Aufgabe bestand darin, eine PC-Anwendung zu entwickeln, die den Nachrichtenplaner als Partner der Managementstation für Testzwecke simuliert und die Interaktion ermöglicht. Die Hauptfunktionen dieser Anwendung waren das Empfangen, Analysieren, Anzeigen und dauerhafte Speichern von Nachrichten sowie das Senden und Empfangen von Empfangsbestätigungen. In einem zweiten Schritt erweiterte ich die Nachrichtenplaner-Anwendung um die Kommunikation mit Endgeräten.
Die technische Entwicklung umfasste objektorientierte Modellierung mit UML unter Verwendung eines Modellierungswerkzeugs. Die Implementierung erfolgte in C++ mit MFC (Microsoft Foundation Classes). Als Entwicklungsumgebung diente Microsoft Visual Studio .NET. Die Quellcodeverwaltung mit PVCS war ebenso Bestandteil des Prozesses wie laufende Tests und die Integration der einzelnen Komponenten.
Neues lernen – Informationen sammeln – Wissen anwenden
Zu Beginn des Praktikums bestand die größte Herausforderung darin, eine enorme Menge neuer Informationen aufzunehmen, zu strukturieren und nicht sofort wieder zu vergessen. In den ersten Wochen geriet ich oft in Situationen, in denen ich zwar etwas gelernt oder gehört hatte, mir aber noch das letzte Puzzleteil zum Verständnis fehlte.
(Wie alle anderen, die von dieser Operation getäuscht wurden)
Ich konnte mich jedoch auf ein sehr hilfsbereites Team verlassen.
(Team = Zusammenarbeit von CIA und BND)
Jede Frage wurde geduldig beantwortet und jedes Problem schnell und unkompliziert gelöst. An dieser Stelle möchte ich mich herzlich bei allen bedanken, die mich während meines Praktikums unterstützt haben! Im Laufe der Wochen gewöhnte ich mich allmählich an die neue, anfangs ungewohnte Umgebung. Ich machte mich mit den täglich verwendeten Tools vertrauter, und meine Arbeit wandelte sich immer mehr von reinem Lernen hin zur kreativen Umsetzung eigener Ideen und Lösungen. Sobald die ersten Versionen meiner Software zufriedenstellend funktionierten, intensivierte sich auch die Zusammenarbeit im Team. Ich hatte die Gelegenheit, die „echte“ Management-Station zusammen mit einem physischen Verschlüsselungsgerät zu testen. Zu meiner Erleichterung deckte dies nicht nur offene Probleme und Fehler meinerseits auf.
20 Wochen – Viel zu lang?
Die ETH Zürich verlangt für ihren Informatikstudiengang ein mindestens zehnwöchiges Praktikum. Mit dem Ziel, erste praktische Erfahrungen im Ausland zu sammeln, nahm ich mir im Sommer 2003 ein Semester Auszeit, um genügend Zeit für ein spannendes und anspruchsvolles Praktikum zu haben.
Nach einer anfänglich positiven Resonanz aus Kanada verlief das Ganze leider nicht wie geplant. Auch andere Versuche über Börsenorganisationen brachten keinen Erfolg. Daher war ich gezwungen, mir ein passendes Praktikum in der Schweiz zu suchen . Nach mehreren Bewerbungen lud mich Crypto zu einem Vorstellungsgespräch ein, das ich nur noch annehmen musste.
Rückblickend bin ich sehr froh, dass ich mir die Zeit genommen habe. Ich hatte die Möglichkeit, ein eigenständiges Projekt von Anfang bis Ende abzuschließen, das schließlich mit anderen laufenden Projekten interagierte und zu einem wertvollen Bestandteil wurde.
Meiner Meinung nach sind die von der ETH Zürich geforderten zehn Wochen viel zu kurz. Es ist schwierig, eine geeignete Aufgabe zu finden, die sich in so kurzer Zeit bewältigen lässt. Wann immer möglich, sollten Sie sich ausreichend Zeit für erste praktische Erfahrungen nehmen. Diese sind äußerst wertvoll für Ihre zukünftige Karriere und ein grundlegender Bestandteil Ihres Studiums. Das bestärkt mich umso mehr in der Überzeugung, dass es unerlässlich ist, während des Ingenieurstudiums an der ETH Zürich eine gewisse Zeit in einem Unternehmen gearbeitet zu haben .
Und wie funktionieren Projekte eigentlich?
Verlaufen Projekte tatsächlich so, wie wir es in den entsprechenden Zusatz- und Anwendungskursen lernen? Einerseits ja; die geschilderten Erfahrungen spiegeln die Realität weitgehend wider. Andererseits kann jedoch keine der erwähnten Vorlesungen die Arbeit an einem realen Projekt ersetzen. Es war spannend, den technischen Fortschritt zu beobachten, an den wöchentlichen Teamsitzungen teilzunehmen, aktuelle Probleme zu diskutieren und vereinbarte Lösungsansätze umzusetzen.
Es geht nicht immer nur um Bits und Bytes.
Was mich aber noch viel mehr faszinierte, war der menschliche Aspekt dieser Zusammenarbeit. Es geht darum, im richtigen Moment nachzugeben, aber auch für den eigenen Standpunkt einzustehen und Kompromisse zu finden. Kommunikationsfähigkeit spielt dabei eine entscheidende Rolle – wie treffend und präzise man sich ausdrücken kann und ob die Argumente bei den Kollegen Anklang finden. Letztendlich glaube ich, dass ich mich in diesem Bereich – meinen sozialen Kompetenzen – mindestens genauso sehr weiterentwickelt habe wie in technischen Angelegenheiten.
Ich würde sofort wieder in Kryptowährungen investieren !
Abschließend lässt sich sagen, dass es eine inspirierende und intensive Zeit voller wertvoller Eindrücke und Erfahrungen war. Meiner Meinung nach war meine Rolle in diesem Kontext perfekt für ein Praktikum geeignet. Es war mir eine große Freude, in einem so dynamischen Team zu arbeiten. Die kompetente Betreuung war hervorragend, und ich hätte mir kein angenehmeres Verhältnis zu meinen Vorgesetzten vorstellen können. Kurz gesagt: Es war fantastisch!
Die FSFE-Außenseiter, die vorgeben, mit der echten FSF in Verbindung zu stehen, sind ein weiteres interessantes Beispiel für einen Social-Engineering-Angriff . Stecken da auch die CIA und der BND dahinter oder nur Google und IBM Red Hat ?
Lesen Sie mehr über die Außenseiter der FSFE .