von Toralv Dirro, Security Strategist McAfee Labs
Das Wort Cyberwar ist seit längerem regelmäßig in den Schlagzeilen und wird gerne schnell und leichtfertig benutzt. Gerade seit der Entdeckung des „Stuxnet“-Wurms, der einen gezielten Angriff auf eine Industrieanlage ausführt, nimmt die Berichterstattung hysterische Züge an. Vanity Fair ging in einem Artikel über „Stuxnet“ sogar so weit, von einer Erklärung des Cyberkriegs zu reden und den Wurm als ‚Hiroshima of Cyberwar‘ zu bezeichnen. So weit sind wir sicher noch nicht, aber was ist denn jetzt wirklich dran am Cyberwar?
In einer Zeit, in der sich weltweit die Regierungen, die Wirtschaft und auch das Militär zunehmend auf IT-Systeme in allen Bereichen – von der Produktionsstraße bis zum Empfang – und eine funktionierende Kommunikation über das Internet verlassen, wird die IT natürlich auch zu einem potentiellen Ziel für Angriffe. Dies wurde schon vor langem erkannt und einige Staaten bereiten sich bereits seit den 90er Jahren auf diese Möglichkeit vor, sowohl auf Angriff und Verteidigung. Es hat nun noch keinen heißen Cyberwar zwischen Staaten gegeben, aber durchaus einige Angriffe die üblicherweise als Cyberwar bezeichnet wurden. Am bekanntesten ist dabei ein Angriff auf Webseiten und Netzwerke in Estland im April 2007, der zum nahezu vollständigen Ausfall des Internets führte. Diesen und einige weitere Vorfälle hatten wir in unserem Virtual Criminology Report 2009 zum Thema Cyberwar genauer beleuchtet und nach den Kriterien der Quelle der Angriffe, der Motivation, den Auswirkungen und dem technischen Stand bewertet. Dabei gab es keine oder nur geringe Hinweise auf eine staatliche Beteiligung, weshalb man kaum von einem Krieg als Auseinandersetzung zweier Staaten reden kann. Etwas anders sieht es bei Internetangriffen während des Kriegs in Südossetien im Jahr 2008 aus, die zwar geringere Auswirkungen hatten aber einen höheren technischen Stand und deutlich Hinweise auf staatliche Unterstützung zeigen.
Deutlich wurde aber durch diese Vorfälle, wie anfällig Staaten und ihre kritische Infrastruktur für solche Angriffe sind und es wurden Pläne erstellt, wie man staatliche Stellen und kritische Unternehmen, vor allem Finanzinstitute, Stromnetze, Telekommunikationssysteme und weitere Einrichtungen, im Falle eines Angriffs schützen kann. Dies mündete in einigen groß angelegten Übungen, um die Verteidigungsfähigkeit gegen Angriffe zu testen: in den USA die „Operation Cyber Storm“, die Ende 2010 zum dritten Mal durchgeführt wurde und in Europa die „Cyber Europe 2010“. Bei der europäischen Übung waren nur verschiedene Behörden eingebunden, bei der Operation Cyber Storm auch unterschiedliche Unternehmen und Vertreter der Sicherheitsanbieter, u.a. auch McAfee. Details der verschiedenen Übungen sind nicht publiziert, aber es wird erwartet, dass die meisten Staaten und Bündnisse auf einen Angriff derzeit schlecht vorbereitet sind.
Cyberwar lässt sich allerdings nicht nur auf den reinen Angriff auf Systeme und Netzwerke, mit dem Ziel diese unverfügbar zu machen, reduzieren. Ein Beispiel hierfür ist der Wurm Stuxnet. Stuxnet war ein gezielter Angriff auf eine ganz bestimmte Industrieanlage. Nach heutigem Kenntnisstand wird vermutet, es waren die Zentrifugen zur Urananreicherung in Natanz, mit dem Ziel das iranische Atomprogramm zu sabotieren. Wer hinter diesem Angriff steht, also Stuxnet entwickelt und zum Einsatz gebracht hat, ist nach wie vor nicht klar und Gegenstand von Spekulationen. Dies zeigt einen gravierenden Unterschied von digitalen und physischen Angriffen: Die Quelle lässt sich nur sehr schwer mit Sicherheit feststellen. Bei einem Flugzeug ist klar, von wo es kommt und wem es zuzuordnen ist, bei Cyber-Angriffen wird der Angreifer durch die Anonymität des Internets verborgen. Und selbst wenn man einen bestimmten Computer als Quelle eines Angriffs bestimmen kann, so kann der Besitzer des Systems immer noch behaupten, dass dieser gehackt worden sei und der Angriff von ganz anderen Personen ausgeführt wurde.
Deutlich gezeigt wurden durch Stuxnet aber, welche Möglichkeiten heutzutage bestehen, um digitale Angriffe durchzuführen und auch wie anfällig gerade kritische Systeme zur Steuerung von Anlagen und Prozessen sind. Häufig werden solche Systeme heutzutage vernetzt und bieten eine breite Angriffsfläche. Es ist oft nicht möglich diese Computer mit normalen Sicherheitsupdates zu versorgen und sie sind für eine lange Betriebszeit ausgelegt, d.h. möglicherweise ist das wichtigste System für den Betrieb einer Anlage ein seit zehn Jahren laufender und niemals aktualisierter Rechner. Unternehmen sollten sich solche Teile des Netzes genau anschauen und sorgfältig überlegen, wie man sie am besten vor Angriffen schützen kann.
Als einen weiteren Bereich von Cyberwarfare betrachten viele auch die Spionage mit dem Ziel politische, militärische oder ökonomische Vorteile zu erringen. Und von diesem Bereich aus gehen für Unternehmen und Behörden heutzutage auch die größten Bedrohungen aus. Die Angriffe sind staatlich gesponsert und entsprechend viele Ressourcen und Zeit stehen für die Angriffe zur Verfügung. Allgemein werden diese Angriffe als „Advanced Persistent Threat (APT)“ bezeichnet und einige spektakuläre Fälle wurden bereits bekannt: Angriffe auf Systeme der deutschen Regierung im Jahre 2007, die „Operation Buckshot Yankee“ in den USA, die als „bedeutendster Einbruch in US-Militärsysteme jemals“ bezeichnet wurde, oder auch die „Operation Aurora“, ein Angriff auf Dutzende von High-Tech-Unternehmen. Dies ist nur ein ganz kleiner Teil der Spitze eines Eisbergs. Angriffe, erst recht erfolgreiche Angriffe werden nur in den allerseltensten Fällen gemeldet. Viele Unternehmen, die betroffen waren, verpflichten alle an der Aufklärung und Bereinigung Beteiligten zu Stillschweigen und involvieren keine Behörden aus Angst vor schlechter Publicity. Eine große Zahl vor allem kleinerer Unternehmen hat nicht einmal eine Ahnung, dass sie Opfer eines derartigen Angriffs geworden sind.
Verdeutlicht wird die Gefahr durch ein Statement des Bundesinnenministers: „Wir registrieren statistisch gesehen alle zwei Sekunden einen Angriff auf das deutsche Internet. Wöchentlich erfolgt ein erfolgreicher Angriff auf eine Bundesbehörde, nahezu täglich erleben wir Angriffe, die vermutlich von ausländischen Staaten ausgehen.“
Unter diesem Hintergrund ist dann auch die Ankündigung der Cyber-Sicherheitsstrategie in Deutschland und die Einrichtung eines Nationalen-Cyber-Abwehrzentrums als guter Schritt zu einer besseren Absicherung sehr zu begrüßen.
Alexander Tsolkas
