Studie von FireEye: Wie sich Staaten für den Cyber War rüsten

Studie von FireEye: Wie sich Staaten für den Cyber War rüsten
Die James Bonds der siebziger und achtziger Jahre des vergangenen Jahrhunderts, alias Sean
Connery und Roger Moore, würden heute wohl umgehend ihre Versetzung in den einstweiligen
Ruhestand beantragen, wenn sie es mit den bösen Mächten des Cyber-Zeitalters zu tun bekämen.
Denn statt mit Ninja-Killern, raketenbestückten Hubschraubern oder Blondinen mit Gift-Cocktails
müssten sie sich heute mit ganz anderen Gegnern herumschlagen: Spear Phishing, Trojanern und
Brute-Force-Attacken. Diese Waffen werden laut der Studie "World War C: Understanding NationState Motives Behind Today’s Advanced Cyber Attacks" von FireEye in den Auseinandersetzungen
zwischen Staaten und Geheimdiensten eine zentrale Rolle spielen.
Doch nicht nur Behörden, das Militär und strategisch wichtige Einrichtungen wie Kraftwerke,
Stromnetze und Wasserwerke sind ins Visier von Cyber-War-Spezialisten geraten. Etliche Länder
betrachten auch das technische Know-how ausländischer Unternehmen als legitime Ziele im
Rahmen eines "World War C". Das belegen auch Untersuchungen des Bundesamts für Sicherheit in
der Informationstechnik (BSI) oder des Bundesamts für Verfassungsschutz. Demnach sind in
Deutschland vor allem mittelständische High-Tech-Firmen ein beliebtes Ziel von Cyber-Attacken.
Solche Angriffe werden teils von Cyber-Kriminellen, teils von "Staats-Hackern" aus anderen
Ländern lanciert.
Problem: Wer ist der Angreifer?
Ein Kernproblem im Zusammenhang mit Cyber-Angriffen und Cyber War besteht darin, die
Angreifer zweifelsfrei zu ermitteln. Laut den Untersuchungen von FireEye vertuschen HackerGruppen ihre Aktivitäten oder geben sich sogar als fremde Gruppierungen aus, um ihre Spuren zu
verwischen. Dennoch lassen sich mithilfe von IT-Sicherheitslösungen wie der FireEye Threat
Protection Platform solche Angriffe nicht nur abwehren, sondern in vielen Fällen auch deren
Urheber identifizieren.
Kein Geheimnis ist, dass derzeit für einen Großteil der Cyber-Attacken Hacker aus China
verantwortlich sind. Sie führten beispielsweise im laufenden Jahr 23 erfolgreiche Angriffe auf
amerikanische Erdgasfirmen durch. Zudem verschafften sie sich Zugang zu Rechnern des U.S. Army
Corps of Engineers, das unter anderem für die Absicherung der Dämme in den USA verantwortlich
ist. Weiterhin waren Medien wie die Washington Post sowie High-Tech- und Rüstungsfirmen
beliebte Ziel, von Google über Intel und Adobe bis hin zu Northrop Grumman und Lockheed
Martin.
Chinesische Hacker-Bürokratie
Eine interessante Erkenntnis der Untersuchungen von FireEye betrifft die Organisationsstruktur
chinesischer Hacker-Gruppen. Diese sind straff organisiert, ähnlich wie ein Unternehmen: mit
einigen Vordenken und genialen Köpfen an der Spitze und darunter angesiedelten Fachleuten,
welche Malware entwickeln. Aufgabe von "Fußsoldaten" ist es, die "Waffen" in der Praxis
einzusetzen und Ziele zu attackieren.
Diese Arbeitsteilung ist zwar effizient, hat aber auch Nachteile. So wurden etliche Cyber-Angriffe
"Made in China" von den genannten "Fußsoldaten" derart dilettantisch ausgeführt, dass sie leicht
als solche erkennbar waren. Dazu zählten gezielte (Spear Phishing) Attacken auf einzelne Manager,
Fachleute oder Politiker. Dennoch ist das World-War-C-Potenzial, über das China verfügt, nicht zu
unterschätzen.
Russland fischt im Verborgenen
Im Gegensatz zu ihren Kollegen in China legen (Staats-)Hacker aus Russland großen Wert darauf,
dass ihre Angriffe und deren Ziele möglichst lange unentdeckt bleiben. Das spiegelt sich in einem
komplexeren Programmcode der eingesetzten Malware wider. Fachleute stufen die Attacken, die
von Russland aus gestartet werden, als hoch gefährlich ein. So gelang es russischen Angreifern, das
U.S. Central Command (CENTCOM) zu infiltrieren, die für Afrika, Asien und den Nahen Osten
zuständige militärische Kommandobehörde.
Eine der wichtigsten Zielgruppen russischer Malware-Spezialisten und Staatshacker scheint jedoch
die eigene Bevölkerung zu sein. Ein Großteil der Schadsoftware, speziell für Mobilgeräte wie
Android-Smartphones, wurde in den Ländern der ehemaligen Sowjetunion verbreitet. Allerdings
befanden sich nach Erkenntnissen von FireEye unter den Schädlingen auch Exemplare, die gezielt
Militäreinrichtungen, Botschaften, Industrieanlagen und Kraftwerke von Staaten wie Georgien,
Aserbeidschan und anderen ehemaligen Sowjet-Republiken infiltrieren sollten.
In einigen Fällen, etwa im Tschetschenien-Konflikt, setzte Russland zudem gezielt Cyber-Waffen
ein, um Internet-Verbindungen, die Kommunikationsinfrastruktur und Web-Seiten des Gegners
lahmzulegen.
High-Tech-Attacken aus den USA
Und die westlichen Nationen? Sind sie im Cyber-War-Wettrüsten nur Zuschauer? Nicht ganz, wenn
man die Enthüllungen über die Aktivitäten der NSA und des britischen Geheimdienstes GCHQ
betrachtet. Allerdings wurden bislang keine Cyber-Angriffe bekannt, die von EU-Staaten, inklusive
Deutschland, durchgeführt wurden. Die Aktivitäten der EU und der NATO konzentrieren sich
derzeit darauf, Abwehrmethoden gegen solche Attacken zu entwickeln.
Anders die USA: Sie verfügen über das Know-how und die Mittel, um hoch komplexe CyberAngriffe durchzuführen. Ein Beispiel dafür ist die Malware Stuxnet, die zeitweilig iranische
Nuklearanlagen lahmlegte. Stuxnet zählt nach Analysen von FireEye zu den ausgefeiltesten
Schadsoftware-Varianten, die jemals in Erscheinung traten. Die Software transportierte ihre
bösartige Fracht in verschlüsselter Form, um dadurch Virenschutzprogrammen zu entkommen.
Zudem war sie so konzipiert, dass sie nur wenige Ziele attackierte, die von ihren "Schöpfern"
vorgegeben wurden, in diesem Fall Uran-Zentrifugen.
Fazit: Staaten und Unternehmen müssen gerüstet sein
Ein zentrales Ergebnis der Untersuchung von FireEye ist: Länder, aber auch Unternehmen und
Betreiber von "kritischen Infrastrukturen" wie Kraftwerken müssen sich damit auseinandersetzen,
dass Cyber-Angriffe von Kriminellen, aber auch von Staaten lanciert werden. Somit sind wirksame
Gegenmaßnahmen ein Muss. Dies schließt nicht nur die Implementierung von ITSicherheitslösungen mit ein, sondern auch die Schulung und Aufklärung von Mitarbeitern
bezüglich Cyber-Bedrohungen.
Eine Besserung der Situation ist nicht zu erwarten. Im Gegenteil: "Newcomer" wie Nordkorea,
Brasilien, Indien, Polen oder Taiwan sind dabei, ihre Aktivitäten im Cyber-Crime- und Cyber-WarUmfeld zu verstärken. Mangel an motivierten und talentierten Programmieren und IT-Spezialisten
besteht in diesen Länder nicht. Somit muss Cyber Security zur Chefsache werden, in Regierungen,
aber auch Unternehmen.