CyberWar – Die Gefahr aus dem Netz

Immer mehr Nationalstaaten vernetzten ihre zivile Infrastruktur und die Digitalisierung aller Bereiche nimmt weiter zu. Damit steigen auch die digitalen Angriffsmöglichkeiten und viele Staaten basteln weiter an ihren Cyberoffensivkapazitäten. Aber wie genau sehen diese aus, wie funktionieren Cyber-Angriffe, was erwartet uns zukünftig und wie können wir unsere Systeme wirklich sicher machen? Auf diesen Fragen geben die Autoren Constanze Kurz und Frank Rieger in ihrem Buch „CyberWar – Die Gefahr aus dem Netz“ Antwort.

Im ersten Kapitel simulieren die Autoren einen Cyber-Notstand in der Bundesrepublik. Die zuständigen Institutionen, z.B. das fiktive Gemeinsame Cyber-Lagezentrum Deutschlands, werden mit einem Denial-of-Service-Angriff, der später noch genauer erläutert wird, konfrontiert und versuchen die kritischen Infrastrukturen trotz völliger Netzüberlastung zu schützen. Dieser Einstieg bietet die Möglichkeit, sich einen solchen Cyber-Angriff und dessen Dimension vorzustellen. Darauf aufbauend geben die folgenden Kapitel Antworten auf verschiedene Sachfragen der Cyberwar-Thematik.

Wie funktionieren Cyber-Angriffe?

Cyber-Angriffe sind zumeist eine Kombination aus verschiedenen Angriffsmethoden. Häufige Angriffsmethoden sind z.B. das Ausnutzen von Programmierfehlern und Schwachstellen in einer Software, sogenannte Exploits. Weitere oft genutzte Schwachstellen sind auch die durch den Hersteller erstellten Fernwartungszugänge, um Tests oder Ähnliches zu ermöglichen. Teilweise werden solche Zugänge sogar absichtlich offengehalten, um z.B. Geheimdiensten den Zugriff zu erleichtern, so der Verdacht.

Die unsichere IT-Struktur und die freiwilligen und nicht-freiwilligen Kooperationen von Herstellern und Geheimdiensten führen zu einem Vertrauensverfall in der IT-Sicherheit. Die Anfälligkeit vor allem von Software-Systemen hat unterschiedliche Gründe. Zum einen ist die Software-Entwicklung extrem komplex, daher werden einfach Fehler beim Programmieren gemacht, und zum anderen wurden die wenigsten Softwareentwickler im sicheren Programmieren ausgebildet. Ziel der Software-Entwicklung ist anfangs vor allem, dass das System funktioniert und nicht, dass es besonders sicher ist. Die Autoren halten fest, dass eine Mischung aus Unwissenheit, Fahrlässigkeit. ökonomischen Zwängen und falscher Prioritätensetzung, häufig in Startups, zu Sicherheitsrisiken führen. Das Vertrauen in die Dienste geht verloren, da die Nutzer keine Möglichkeit haben zu erkennen, wo ein System solide, bedacht und unter Berücksichtigung des aktuellen Stands der Technik gebaut wurde. Diese „Fehler, Versäumnisse und Gedankenlosigkeit, die beim Programmieren Sicherheitslücken entstehen lassen, bilden die technische Grundlage für Cyberwaffen.“

Angriffswerkzeuge in Cyberkonflikten

Moderne Cyberwaffen werden APT (Advanced Persistent Threat) genannt und so konstruiert, dass sie sich im Zielsystem verstecken, um möglichst lange aktiv zu sein. Sie sind möglichst modular aufgebaut, um leicht übertragbar auf andere Anwendungen zu sein. Die Struktur entspricht dabei häufig sinnbildlichen Stufen. In der ersten Stufe versucht das Angriffswerkzeug die Kontrolle über einen Teil des anvisierten Systems, z.B. über einen Exploit, zu erlangen. In der zweiten Stufe muss der Angreifer eine sogenannte „Privilegien-Eskalation“ erzeugen, da heutige Betriebssysteme häufig über umfangreiche Abstufungen von Privilegien und Rechten verfügen, um am Ende die gewünschten Administratorrechte zu erlangen. In der dritten Stufe macht es sich die Cyberwaffe im System gemütlich und wartet auf den Einsatz.

Die Geheimdienste, z.B. die NSA, nutzen solche Waffen für verschiedenen Zwecke und infizieren weltweit Rechner. Daraus ergeben sich für die Geheimdienste verschiedene Möglichkeiten. Die NSA entwickelte z.B. eine von geheimdienstlichen Partnern mitgenutzte globale „Suchmaschine“, die nicht auf Websites, sondern in Nutzerdaten auf Festplatten nach Stichwörtern sucht.

Die Infiltrierung von Systemen kann auch über Hardware-Hintertüren erreicht werden. Dazu ist jedoch direkter Zugriff auf die Hardware notwendig, weswegen die NSA ganze Chipfabriken gekauft hat. Außerdem fing sie in einer groß angelegten Logistikoperation Produkte der Firma Cisco, einem großen US-amerikanischen Telekommunikationsunternehmen, auf dem Weg vom Hersteller zum Kunden ab und konnte so Manipulationen, die „Implant“ genannt werden, vornehmen.

Ein weiteres Angriffswerkzeug sind die Denial-of-Service-Angriffe, kurz DoS. DoS-Angriffe gehen meistens mit der Überlastung von Netzwerkverbindungen und Serverressourcen einher. Dafür werden sogenannte Botnets verwendet, die eine hohe Anzahl an leicht manipulierbaren, mit dem Internet verbundenen Geräten zu kontrollieren ersuchen. Diese stellen dann auf Befehl des Angreifers legitim aussehende Anfragen, die jedoch so konstruiert sind, dass sie möglichst viele Ressourcen verbrauchen, an die Server des Opfers. Schnell sind die Kapazitäten des Opfersystems erschöpft und die Website oder Dienstleistung nicht mehr erreichbar. Durch die steigende Anzahl an vernetzten Geräten und Haushalten wird das Schadenspotenzial bedeutend gesteigert und die Sorge vor DoS-Angriffen wächst.

Ziele von Angriffen können z.B. auch sensible Industriesteuerungen sein, wie beim berühmten Stuxnet-Angriff auf eine iranische Atomanreicherungsanlage 2010. Die den Amerikanern zugeschriebene Operation gilt als erfolgreichste Sabotageaktion gegen eine Produktionsanlage, ohne dass die Angreifer physisch anwesend waren. Durch den Trend zur Industrie 4.0 werden Angriffe wie Stuxnet vermutlich auch häufiger werden, so die Autoren.

Akteure und Attribution

Die eindeutige Zuordnung eines Angriffs zu einem oder mehreren Akteuren ist in der militärischen und nicht-militärischen Sicherheitspolitik zentral für die Koordinierung von Gegenmaßnahmen. Die sogenannte Attribution ist aber fast nie mit Sicherheit möglich, da Angreifer mit genügend Ressourcen viele Möglichkeiten zur Tarnung haben. Es bleibt mehr oder weniger Glückssache, ob ein Angreifer Fehler begeht und z.B. nicht getarnt oder unverschlüsselt agiert und Spuren hinterlässt. Die Geheimdienste rufen trotzdem nach immer mehr Überwachungskapazitäten, um die Attribution zu vereinfachen. Die Autoren sind sich aber einig: „Letztendlich ist „Cyberabwehr“ nur eine weitere Begründung für eine immer stärker ausufernde Überwachungsgier,“ denn wirklich zuverlässige Attribution ist auch mit mehr Überwachung kaum möglich.

Als wichtigste Akteure in der globalen Cyberwarfare werden unter anderem die „Five Eyes“, die Geheimdienste der USA, Kanada, Neuseeland, Australien und dem Vereinigten Königreich sowie Israel, Russland und China genannt.

Die US-amerikanischen Geheimdienste können dabei mit jährlich mehr als 50 Milliarden Dollar („Black Budget“) auf die größten finanziellen Ressourcen zurückgreifen. Zu ihren Aufgaben gehören die Benennung und Priorisierung von politischen und wirtschaftlichen Spionagezielen und die Forschung an digitalen Angriffswaffen.

Die israelischen Geheimdienste werden als „einer der aktivsten und kreativsten Akteure im globalen Cyberkrieg“ bezeichnet. Deren Strukturen zeichnen sich vor allem durch die enge Zusammenarbeit mit Tech-Firmen und die frühe Talentförderung von Cyberspezialisten in Schulen und dem Militärdienst aus.

Die „Besonderheit der russischen Geheimdienst-Hacker ist ihre enge Verflechtung mit den kriminellen Gruppen in ihrem Land.“ Das hat vor allem historische Gründe, da nach dem Ende der Sowjetunion viele naturwissenschaftlich-mathematisch hervorragend ausgebildete Menschen Berufswege in der Online-Kriminalität fanden. „Es entstand eine große, komplexe Szene mit hoher Arbeitsteilung, die immer wieder Innovationen bei krimineller Malware hervorbrachte.“ Die russischen Behörden machten sich diese Strukturen zu Nutze und gelten heute als „Meister der Täuschung und Irreführung.“

Die chinesischen Geheimdienste konzentrieren sich auf die Wirtschaftsspionage und auf die militärische und politische Informationsbeschaffung. Mit den Cyberfähigkeiten werden aber auch immer wieder Oppositionelle und Aktivisten im eigenen Land bekämpft. Aufgrund der hohen Anzahl an Personal haben die chinesischen Geheimdienste außerdem wahrscheinlich am meisten Cyberoperatoren überhaupt.

Die Autoren betonen im Weiteren die wachsende Relevanz der Überwachungs- und Hackingindustrie als Zulieferer und Dienstleister der Geheimdienste. Die wichtigsten Staaten, in denen sich solche Unternehmen auf einem wenig regulierten Markt etablieren konnten, sind die USA, Frankreich, Israel, die BRD und Großbritannien. Im „Surveillance Industry Index“ erfasst die NGO Privacy International regelmäßig das Wachstum der Branche. In Deutschland wurde vor allem die Firma FinFisher bekannt, sie lieferte eine Variante des Staatstrojaners zum Ausleiten der Daten von Smartphones und Computern.

Disclosure

Seitdem Software-Systeme entwickelt werden, werden Fehler bei der Entwicklung gemacht. Diese Fehler zu suchen ist das erklärte Ziel von IT-Sicherheitsforschern. Doch wie geht man damit um, wenn man eine Sicherheitslücke gefunden hat? Unmittelbar veröffentlichen oder doch den diskreten Austausch mit dem Hersteller suchen? Es besteht immerhin die Gefahr, dass ein Dritter das Wissen direkt ausnutzt und bedeutenden Schaden anrichtet. Bisher lautete die ungeschriebene Regel, die Sicherheitslücke erstmal geheimzuhalten, den Hersteller zu kontaktieren und es dann ggf. zu veröffentlichen. Einige Hersteller zahlen mittlerweile sogar eine Prämie für gefundene Sicherheitslücken, die sogenannte „Bug Bounty“. Diese Prämie stehen dem Geld, das Exploit-Dealer zahlen, die solche Sicherheitslücken an ihre Kunden wie Geheimdienste oder Kriminelle verkaufen, jedoch häufig nach. Als Beispiel dafür dient die Firma Apple, die vor einigen Jahren 200.000 Dollar denjenigen bot, die eine Lücke im Betriebssystem des damals aktuellen iPhones finden. Die auf den Handel mit Schwachstellen spezialisierte Firma Exodus Intelligence bot allerdings mehr als das Doppelte. Aktuell bietet der Exploit-Dealer 1,5 Millionen Dollar für das Eindringen in ein neues Apple-iPhone aus der Ferne.

Der Markt für Exploits wird mit dem Cloud-Computing und der Vernetzung aller möglichen elektronischen Objekte zukünftig auch noch weiter wachsen. Die Autoren empfehlen daher jedem Unternehmen, das Hard- und Softwaresysteme verwendet, die Initiierung eines zahlungskräftigen Bug-Bounty-Programms und eines Schadensbehebungsprozesses.

Die mitunter wichtigste Rolle in der globalen IT-Sicherheit kommt den Sicherheits- und Antivirus-Firmen zu, die oberflächlich betrachtet „Produkte [verkaufen], mit denen Schadsoftware erkannt und entfernt werden kann, mit denen sich Denial-of-Service Angriffe abwehren lassen und Botnetze lahmgelegt werden könne.“ Um ein System zu überwachen und zu schützen benötigt die Software aber Zugriff auf das gesamte System und die gespeicherten Daten. Dateien, die von der Software als verdächtig eingestuft werden, werden dann in die Cloud-Systeme des Anbieters übertragen. Dabei können mitunter auch andere Dateien übertragen werden, die hochsensible Informationen beinhalten. Aufgrund dieser interessanten Datenströme, die „permanent aus den Computern der Nutzer einer Sicherheitssoftware in die Cloud-Server des Herstellers fließen“, sind Sicherheits- und Antivirus-Firmen äußerst relevant für staatliche Geheimdienste. Alle staatlichen Akteure versuchen daher mindestens eine Partnerfirma zu haben. So z.B. Kaspersky in Russland, Symantec und FireEye in den USA, G Data und Avira in Deutschland und die NCC Group in Großbritannien.

Strategie und Taktik in Cyberkonflikten

Schon während des Kalten Krieges etablierten sich Konflikte, die unterhalb der Schwelle eines großen, offen erklärten Krieges lagen. Diese Art von Konflikten erkennen die Autoren auch heute wieder in denen, wo globale Großmächte ihre geopolitischen Interessen verfolgen und unterschiedliche bewaffnete Gruppen militärisch oder finanziell unterstützen oder bekämpfen. Genauso undurchsichtig ist auch die Struktur der Cyberkonflikte. Nur sehr selten ist eine klare Zuordnung möglich. Die Kurz und Krieger halten fest: „Die praktisch nahtlose Integration von Kommunikationsüberwachung, Satellitenbildern, klassischer Spionage, Desinformations- und psychologischen Operationen, Informationen, die aus Digitalgeräten von Gefangenen extrahiert werden, drohnen-gestützten Raketeneinsätzen und Spezialkräfte-Operationen sowie der ökonomischen Manipulation mit Bombenangriffen hat den klassischen Frontalkrieg mit dem massiven Einsatz von Bodentruppen faktisch bereits abgelöst.“ „Das grundlegende Problem dieser Art der Kriegsführung ist, dass das wichtigste Element jeder militärischen Strategie verloren geht: ein klares Ziel der Operation. In der Regel gibt es kein definiertes Ende, keinen Friedensschluss, keine Nachkriegsordnung, keine Kodifizierung der entstandenen Machtverschiebungen.“ Aus den zerrütteten Strukturen durch „nation-building“ wieder einen stabilen Staat zu formen, ist selten erfolgreich und hinterlässt in der Regel nur Chaos.

„Es gibt keine Cyberabschreckung“

Im Kalten Krieg lieferte die atomare Abschreckung klare Strategien und Überschaubarkeit. Im Cyberspace kann das aber nicht funktionieren, auch wenn unter anderem die US-Amerikaner sich das wünschen. Der 2010 durchgeführte Stuxnet-Angriff, der im Buch als neuzeitliches Äquivalent zum Atomwaffentest beschrieben wird, hätte dazu führen sollen, „dass niemand es wagen würde, US-Interessen mit digitalen Waffen zu attackieren.“ Stattdessen wurde Stuxnet so interpretiert, dass „es jetzt üblich, angemessen und akzeptiert sei, mit Cybermitteln verdeckte Angriffe gegen andere Staaten zu führen.“ Alle Staaten, die auf internationaler Bühne mitmischen möchten, entwickeln nun eigene Offensivkapazitäten. Die „Abschreckungstheorie ist ad absurdum geführt.“

Desinformation

Strategische Ziele liefern aber nicht nur Infrastruktur oder Datenbanken, Cyberwarfare kann auch benutzt werden, um gezielt Desinformation zu verbreiten und gesellschaftliche Debatten zu beeinflussen. „Die Manipulation dessen, was der Gegner für die Wahrheit hält, was er glaubt, was seine Sicht der Welt ist, also die Grundlage seiner Entscheidungen und Prioritäten, ist ein altes und gern genutztes Mittel in Auseinandersetzungen. In Cyberkonflikten finden Täuschungsmanöver und Desinformationskampagnen auf vielen Ebenen Anwendung.“ Dabei konzentriert sich der Gegner häufig auf die Manipulation von Meinungen und versucht gezielt Emotionen wie Angst, Ablehnung und Skepsis zu erzeugen. Moderne Beispiele für solche „alternativen Informationskanäle“ sind z.B. RT oder Sputnik. Diese bauen sich über Jahre Glaubwürdigkeit bei den Zuschauern auf, indem sie gezielt Themen in den Vordergrund rücken, über die z.B. in den deutschen Medien weniger oder gar nicht berichtet wird und inszenieren sich als ganzheitliche Journalisten. Gelegentlich eingestreute Desinformationsnachrichten können diese aufgebaute Glaubwürdigkeit, auch wenn sie offensichtlich falsch sind, nicht erschüttern. „Die kurzen Aufmerksamkeitsspannen der Zuschauer und die heute ohnehin hohe Geschwindigkeit des Nachrichtenflusses sorgen dafür, dass die Desinformationsnachricht ihre Wirkung entfalten kann.“

Ein wichtiger Kanal zur Einflussnahme sind die sozialen Netzwerke. Ihre Algorithmen sortieren Inhalte in den Feeds der Nutzer und werten diese auf. Die Einflussnahme läuft dann z.B. über Social Bots, die die relevanten Inhalte verbreiten und somit die Trend-Algorithmen der Netzwerke beeinflussen. Ein weiteres Mittel ist auch das Übertönen von Informationen z.B. durch das Aufblasen von anderen Ereignissen, englisch: drown out. Dieser Methode bedient sich unter anderem die chinesische Regierung, um ihre Bevölkerung zu beeinflussen. Statt einfach nur Inhalte zu sperren, was häufig eher zu Abneigung in der Bevölkerung führt, wird von bestimmten Inhalten und unerwünschten Themen abgelenkt. „Die Social-Media-Mechanismen sind wie geschaffen für diese Technik [drown out], insbesondere in Kombination mit Social Bots.“

Cyberwar im Inneren

Wie für den chinesischen, ist es für die meisten Sicherheitsapparate von großem Interesse, jegliche Information und Kommunikation im Netz zu beobachten. Die Rechtfertigung dessen liefert ein immer weiter gefasster Schutzauftrag des Staates gegenüber den Bürgern. Obwohl die digitale Verschlüsselung mittlerweile 40 Jahre alt ist, konnten die Ermittlungsbehörden lange jede digitale Kommunikation überwachen. Heute trifft der Nutzer jeden Tag auf verschiedenste Arten von Online-Verschlüsselungen. Für viele ist sogar die Ende-zu-Ende-Verschlüsselung von kommunizierenden Geräten alltäglich. Die Beschwerden der Sicherheitsapparate werden daher immer lauter. Bestes Beispiel ist das Protestpapier des FBI von 2016 mit dem Titel „Going Dark“, in dem sie die zunehmende Verschlüsselung kritisieren. Kurz und Rieger halten den Wunsch nach mehr Überwachung, z.B. in Form von offenen Hintertüren für die Geheimdienste, entgegen, dass eine echte Verschlüsselung für eine digitale Gesellschaft zentral ist. Vor allem Unternehmen müssten in ihrer Kommunikation z.B. vor Wirtschaftsspionage geschützt werden. Der Staat, die Bürger und die Unternehmen hätten eigentlich „erhebliches Interesse daran, sichere IT-Systeme zu nutzen“. Wenn der Staat dann aber absichtlich Sicherheitslücken für Überwachung und Angriffe offen lässt, „verletzt der Staat seine Fürsorgepflicht.“

Diese Verletzung wird spätestens seit der Diskussion um den sogenannten Staatstrojaner immer wieder heftig kritisiert. Offensichtlich wünscht der deutsche Staat eine Ausweitung digitaler Überwachung und Angriffe. Ein deutliches Zeichen dafür ist die Gründung der Zentralen Stelle für Informationstechnik im Sicherheitsbereich, kurz ZITis, 2017. Diese „Sicherheitsdienstleistungsstelle“ soll Sicherheitslücken finden, sowie Kryptografie und deren Schwachstellen analysieren. Die Autoren nehmen an, dass die ZITis auch als Dienstleister bei offensiven IT-Angriffen in Stellung gebracht wird. Ziel der Behörde und der staatlichen Bemühungen seien klar: „Der Staat will sich die Fähigkeiten schaffen, um nach Belieben in Digitalgeräte aller Art einzudringen, sie unter Kontrolle zu bringen und gewünschte Informationen zu extrahieren.“

„IT-Sicherheit ist kein Hexenwerk“

Im letzten Kapitel versuchen die Autoren Handlungsempfehlungen für die globale Steigerung der IT-Sicherheit zu geben. Dabei erkennen sie vor allem eine internationale Übereinkunft über Legitimität und Illegitimität digitaler Operationen als zentral an. Orientierungspunkte für die Regelbildung im Cyberwar würde das 150 Regeln umfassende „Tallin Manual“ der NATO liefern. Außerdem halten sie fest, dass Deutschland durch den bisher „unterbliebenen Ausbau von größeren Offensivfähigkeiten in einer hervorragenden moralischen Position wäre, [eine solche Übereinkunft] voranzutreiben.“ Der Schutz deutscher Unternehmen vor skrupelloseren Staaten, die in unmittelbarem Wettbewerb stehen, könne nur erreicht werden, wenn sich für eine sichere IT-Struktur eingesetzt würde. „Die Entscheidung muss hier klar zugunsten der Sicherheit von Bürgern und Wirtschaft und nicht im Sinne der Cyberkrieger und Spionageapparate getroffen werden.“
Außerdem plädieren die Autoren für eine Veröffentlichungspflicht von Sicherheitslücken, da durch gezwungene Offenheit die Unternehmen deutlich mehr in die IT-Sicherheit von vorneherein investieren würden.

Eine weitere Möglichkeit zur Steigerung der IT-Sicherheit sei deren Kennzeichnung. Normale Käufer und Nutzer von IT-Produkten müssten die Möglichkeit haben, sich auf Basis von verlässlichen Informationen für oder gegen das Produkt oder die Dienstleistung zu entscheiden. Beispielhaft steht dafür das US-amerikanische Cyber Independent Testing Lab, das nach dem Muster von „Stiftung-Warentest-artigen Bewertungen halbautomatische Analysen von Software-Paketen durchführt.“ Dabei wird beurteilt, „ob sich Entwickler an den aktuellen Stand der Technik halten, etwa sicher programmieren und die verfügbaren Methoden verwenden, um den erfolgreichen Einsatz von Exploits zu erschweren.“ Ein solche Bewertungssystem könnte eine starke Motivation für Hersteller und Softwareentwickler sein, sich an sichere Softwareentwicklungsmethoden zu halten.

Wichtig bleibt weiterhin die Frage der Haftung. Momentan lehnen Hersteller von Digitalprodukten jede Haftung ab, wodurch zwar die Innovations- und Entwicklungsgeschwindigkeit im Digitalbereich erst ermöglicht wurde, die Anwender aber auch zwingt, ein kaum abschätzbares Risiko einzugehen.

Ein konkretes Prüfsystem könnte auf drei Komponenten beruhen, „einem anerkannten Stand der Technik, Instanzen zur Überprüfung der Einhaltung dieses Stands der Technik und einer Verpflichtung zum Abschluss einer Versicherung, die im Zweifel für die Schäden aufkommt, die durch die risikogeneigte Technologie verursacht werden können.“ Die Autoren halt fest: „Standards einzuführen, um die Sicherheit gegen technisches Versagen zu verbessern, ist prinzipiell einfacher, als technische Systeme gegen Angriffe durch Menschen zu schützen.“ Dazu könnten rechtliche oder finanzielle Vorteile für die Hersteller kommen, die sich an den neuesten Stand halten.

Abschließend plädieren die Autoren für eine defensivere IT-Sicherheitspolitik, statt ausschließlich auf den Aufbau von Offensivkapazitäten zu setzen und damit die „Welt unsicherer und gefährlicher“ zu machen.

Das Buch von Constanze Kurz und Frank Rieger zeichnet sich durch ausgesprochen tiefgehende Expertise aus und versucht den aktuellen Stand bezüglich IT-Sicherheit und Cyberwar-Strukturen auch dem fachfremden Leser zu erklären. Dazu werden die einleitende Kurzgeschichte, aber auch immer wieder illustrierende Beispiele, wie z.B. das Haus, das zwar eine schöne Fassade hat, aber instabile Betonträger, als Sinnbild für unsichere IT-Produkte, genutzt. Durch die ausgewiesene Expertise von Kurz und Rieger eignet sich das Buch nicht nur für Laien, sondern bietet auch Experten fundierte Erkenntnisse und Zusammenhänge.

Bild: von Michael Schwarzenberger auf Pixabay