Cyberwar: Durch die Hintertür

Foto: Mario Sixtus. Es lebt! (4) / CC BY-NC-SA 2.0

Politische Konflikte verlagern sich immer mehr ins Netz und gefährden so auch unsere alltägliche Infrastruktur. Der Cyberwar ist zwar noch nicht da, die Aufrüstung aber hat schon längst begonnen.

In diesem Jahr wurden auf der ganzen Welt diplomatische Vertretungen und Ministerien angegriffen – digital angegriffen. Die Schadsoftware-Kampagne Pawnstorm hatte es auf zahlreiche staatliche Einrichtungen abgesehen. Mithilfe gefälschter E-Mails veschickten die Angreifer infizierte Dateianhänge oder Links zu infizierten Webseiten an ihre potentiellen Opfer und hofften darauf, dass die Mitarbeiter diese öffnen würden. Die Sicherheitslücke war die weit verbreitete Flash-Software.

Genau so soll es auch im Bundestag abgelaufen sein: Das deutsche Parlament wurde offenbar mithilfe gefälschter Mails, die angeblich von den Vereinten Nationen stammten, gehackt. Trotz intensiver Nachforschungen gibt es bis heute kaum Klarheit darüber, wer was wann und vor allem warum getan hat. Der Angriff zeigt aber: Das größte Problem im sogenannten Cyberwar ist die Zuordnung von Angriffen – die Attribution. Angreifer können ihre Spuren verwischen – besonders, wenn sie über die massiven Ressourcen eines Nationalstaats verfügen. Die Zuordnung von Angreifern erfolgt daher meist über eine detaillierte Analyse des Schadcodes. Wurde dieser Code in früheren Angriffen benutzt? Gibt es bestimmte wiederkehrende Taktiken? Aus welcher Zeitzone scheint der Angriff zu stammen? Alle diese Fragen können Indizien liefern – aber keine definitiven Antworten.

Besondere Aufmerksamkeit wird dabei immer wieder den offensiven Hacking-Einheiten verschiedener Staaten zuteil. In China ist dies die fast schon sagenumwobene Einheit 61398, die in Shanghai stationiert sein soll. In den USA ist es die Tailored Access Operations-Einheit (TAO) der NSA. Auch Israel soll über eine solche Einheit mit dem Namen Einheit 8200 verfügen. In Deutschland wird der Aufbau offensiver Fähigkeiten für die Bundeswehr im Cyberspace immer wieder diskutiert, es gibt sogar schon einen offiziellen Plan von Verteidigungsministerin Ursula von der Leyen. Die Netzwerkspezialisten der Bundeswehr sind in der Mangfall-Kaserne in der Nähe des BND-Standorts Bad Aibling stationiert.

Doch auch wenn diesen Einheiten viel Aufmerksamkeit zuteil wird, wirklich verlässliche Informationen gibt es über sie kaum. Die vermutliche Aufgabenbeschreibung der Gruppen umfasst Industriespionage, die Manipulation gegnerischer kritischer Infrastruktur und die Entwicklung offensiver Cyberwaffen, was immer das sein soll. In den USA wird befürchtet, dass Gegner mit sogenannten Smart Bombs versuchen könnten, wesentliche Teile des US-Stromnetzes auszuschalten. Verlässliche Informationen sind aber auch hier Fehlanzeige.

Der bislang bekannteste Angriff eines Staates gegen einen anderen war vermutlich Stuxnet im Jahr 2010. Die USA und möglicherweise auch Israel versuchten damals, das iranische Atomprogramm zu verhindern oder zumindest um mehre Jahre zu verzögern. Dazu bedienten sie sich einer ganzen Reihe von Schwachstellen in Windows NT, dem damaligen Betriebssystem der iranischen Anlagen. Für den Angriff mussten sie den sogenannte Air Gap überwinden, denn die kritischen Systeme selbst waren aus Sicherheitsgründen nicht mit dem Internet verbunden. Deshalb infizierten sie die Notebooks der Mitarbeiter des Atomprogramms über USB-Sticks mit Malware und warteten darauf, dass diese ihre Geräte bei der Arbeit mit dem Zielsystem verbanden.

Die Ziele: Wasser, Strom und Verkehr

Schwachstellen in industriellen Steuerungsanlagen (auch Scada genannt: Supervisory Control and Data Aquisition) sind ein besonderes Problem für die IT-Sicherheit, auch von Staaten. Viele dieser Anlagen werden in Fabriken und Kraftwerken über Jahre hinweg eingesetzt. Die Geräte lassen sich jedoch nicht – wie die Windows-Installation zuhause – einfach mit Updates auf den neuesten Stand bringen. Manche Hersteller gibt es nicht mehr, andere Produktlinien werden nicht mehr unterstützt. Und selbst wenn es Updates gibt, werden sie nicht von allen Anlagenbetreibern kurzfristig eingespielt, um Produktionsausfälle zu verhindern. Scada-Systeme sind wichtig, weil sie die Basis vieler moderner kritischer Infrastrukturen bilden – Wasser, Strom, Verkehr und so weiter.

Ein anderer bekannter Angriff traf bereits im Jahr 2007 Estland. Informationsinfrastrukturen des Landes wurden mithilfe gezielter Überlastungsangriffe lahmgelegt, mit sogenannten Denial-of-Service-Angriffen. Bei dieser Art von Attacken schickt ein Angreifer eine Vielzahl von Anfragen an einen Server, um ihn so zum Absturz zu bringen. Meist nutzen die Angreifer dabei ein sogenanntes Botnetz. Das ist ein Netzwerk von Rechnern, die mit Trojanern infiziert wurden. Diese Botnetze stehen nicht nur staatlichen Angreifern zur Verfügung. Auch Kriminelle können sie für verschiedene Arten von Angriffen mieten.

Im Zusammenhang mit staatlichen und privaten Angriffen auf IT-Systeme und Spionagetätigkeiten taucht auch immer wieder der Begriff 0-day auf. Bei solchen 0-day-Schwachstellen handelt es sich um Sicherheitslücken in einer Software, die zuvor noch nicht entdeckt wurden. Weil diese also auch dem Hersteller nicht bekannt sind, sind alle Nutzer der Software potenziell bei Angriffen auf diese Schwachstelle verwundbar. Sicherheitsforscher kritisieren jedoch, dass in der öffentlichen Diskussion deutlich zu viel über diese Schwachstellen geredet wird, denn die meisten Angreifer würden auf andere Methoden setzen.

Eine davon wurde in diesem Artikel bereits implizit erwähnt: das sogenannte Spear-Phishing. Dabei versenden Angreifer E-Mails mit infizierten Dateianhängen oder Links zu entsprechend präparierten Webseiten. Öffnet das potentielle Opfer den Anhang oder klickt auf den Link, wird der Rechner unter Umständen infiziert und kann nun vom Angreifer manipuliert werden. Um Webseiten zu infizieren, können Angreifer entweder selbst Malware schreiben – was bei Nationalstaaten die wahrscheinlichere Option ist – oder kommerzielle Angebote wie das Angler-Exploit-Kit nutzen, die verschiedene Schwachstellen kombinieren.

Auch der Einbau von Hintertüren in die Hardware ist ein denkbares Angriffszenario. Die chinesische Firma Huawei hat deswegen mit großen Vorbehalten in verschiedenen westlichen Ländern zu kämpfen. Angeblich soll die chinesische Regierung Hintertüren in Geräte eingebaut haben, die einen Zugriff auf die durchgeleiteten Informationen ermöglichen würden. Doch bewiesen ist auch das nicht. Es gibt Hinweise darauf, dass auch die NSA möglicherweise Geräte verschiedener Hersteller auf dem Postweg abfängt und mit zusätzlichen Chips Hintertüren einbaut. Von Edward Snowden geleakte Folien sollen entsprechende Operationen dokumentieren.

Es geht um die Informationshoheit

Nicht immer ist es das Ziel der Angreifer, Infrastrukturen zu zerstören oder geheime Daten zu kopieren. Im Konflikt zwischen Russland und der Ukraine wird das besonders deutlich. Der klassischerweise über Medien ausgetragene Propagandakrieg findet immer mehr im Internet statt. Russland betreibt sogar eine eigene Agentur, in der mehrere hundert Mitarbeiter jeden Tag im Auftrag der russischen Führung Kommentare in sozialen Netzwerken wie Facebook veröffentlichen.

Einen ähnlichen Informationskrieg führt der „Islamische Staat“. In sozialen Netzwerken posten die selbsternannten Gotteskrieger Propagandavideos, Bilder von Enthauptungen und andere grausame Fotos. Sie nutzen dabei häufig populäre Hashtags, um möglichst viele Menschen in Angst und Schrecken zu versetzen. Unternehmen wie Facebook und Twitter reagieren auf diese Form des Cyberwars mit Teams, die gewaltverherrlichende Bilder löschen. Und sie arbeiten auch mit Nutzern zusammen, die anstößige Inhalte melden.

Diese Beispiele zeigen: Wirkliche kriegerische Auseinandersetzungen im Internet gibt es bislang nicht. Vielmehr versuchen alle Seiten, auf ihre Weise die Hoheit über Informationen zu erlangen. Der Cyberwar ist also kein eigener Kriegsschauplatz, sondern dient derzeit vor allem der Unterstützung verschiedener militärischer Operationen und anderer strategischer Ziele von Regierungen.

Hauke Gierow

Hauke Gierow

Hauke Gierow ist Journalist mit dem Schwerpunkt IT-Sicherheit bei Golem.de. Zuvor arbeitete er für Reporter ohne Grenzen und das Mercator-Institut für China-Studien (Merics), dem er als Senior Policy Fellow weiterhin verbunden ist. Er studierte Politikwissenschaft und Sinologie in Trier.

Foto: Martin Wolf / golem.de
Hauke Gierow

Letzte Artikel von Hauke Gierow (Alle anzeigen)