Informationsschutz, Innere Sicherheit

Der digitale Feind: Gefahren im virtuellen Raum

Von: Kai Hirschmann

Die Brisanz des Themas 'Bedrohungen im virtuellen Raum' wird in der Zukunft an Intensität zu-nehmen. Das wirtschaftliche und soziale Leben hochentwickelter Gesellschaften spielt sich inner-halb vernetzter Informationssysteme ab. Sogar Mobilfunkgeräte der neusten Generation ermöglichen die globale Teilnahme am Internet. Die erhebliche Bedrohung, die im virtuellen Raum generiert werden kann, wurde in der Vergangenheit häufig nicht erkannt. Das Internet wird zum Kriegsschauplatz der Zukunft, wie Fachleute prognostizieren. Und in der öffentlichen Debatte haben die Medien ein Schlagwort dafür gefunden: 'Cyberwar'.

Das Ausmaß der Bedrohung

Die Angreifer kommen scheinbar aus dem Nichts und ohne Vorwarnung. Ein Beispiel-Szenario, das immer realistischer wird: Innerhalb von Sekunden werden Kommunikationsnetze gekappt, Webseiten sind nicht mehr erreichbar und die Energieversorgung ist gestört. Züge und öffentlicher Nahverkehr funktionieren nicht mehr nach Plan. Was würde passieren, wenn plötzlich auch in Industrieanlagen die Steuerung ganz oder teilweise versagt und dadurch Prozesse unkontrollierbar werden? Ist es für einen unsichtbaren Feind wirklich unmöglich, solche Störungen in vernetzten Systemen herbeizuführen? Die Antwort lautet 'Nein'.

Als 'Cyberwar' kann die anhaltende, vorsätzliche und geplant herbeigeführte Schädigung des Gegners/Konkurrenten über den virtuellen Raum bezeichnet werden. Bei mehr als der Hälfte der Unternehmen, die 2010 Opfer von Wirtschaftskriminalität wurden, spielte Informationstechnologie (IT) eine entscheidende Rolle. 2006 lag der Wert der verzeichneten Schäden durch IT-Kriminalität noch bei 23 Prozent.

Das Bundeskriminalamtes führt für 2009 50.254 derartiger Fälle in seiner Statistik auf. Gegenüber dem Vorjahr bedeutete das einen Anstieg von 33 Prozent (12.354 Fälle). Die Schäden beliefen sich auf 36,9 Millionen Euro. Hinzu kommt eine erhebliche Dunkelziffer, da es nicht selten vorkommt, dass Geschädigte nicht merken, dass sie Opfer einer IT-Straftat wurden oder diese aus Reputationsgründen nicht offenlegen möchten. Für Privatpersonen ist der Diebstahl digitaler Identitäten das größte Problem. Die BKA-Statistik erfasst hier 6.800 Fälle, die durch Phishing und Missbrauch von Zugangsdaten entstehen; ein Zuwachs von 64% gegenüber 2008. Betroffen können neben EMail- und Bankkonten auch Zugangsdaten von Vertriebsplattformen wie z.B. eBay oder von sozialen Netzwerken wie z.B. Facebook sein.

IT-Vergehen und Cyber-Angriffe richten sich neben Privatakteuren hauptsächlich gegen sogenannte 'Kritische Infrastrukturen', die von essentieller Bedeutung für das störungsfreie Funktionieren von Staat, Wirtschaft und Gesellschaft sind. Ein grundsätzliches Risiko ist hierbei die steigende Verlagerung von Funktionen vom Individuum auf vernetzte IT-Systeme. Hierzu zählen insbesondere Systeme in den Bereichen Transport und Verkehr (Flughäfen, Leitsysteme, Häfen, Eisenbahnen, Öffentlicher Nahverkehr), Energieanlagen und -netze (Strom, Öl, Gas), Telekommunikation, Finanz-, Geld- und Versicherungswesen, Gesundheitswesen (Krankenhäuser, Rettungswesen, Pharmaindustrie, Blutversorgung, Laboratorien), Versorgung (Lebensmittel, Wasser) und Verwaltung. Solche Systeme sind nicht nur in sich elektronisch vernetzt, sondern häufig zudem interdependent miteinander verflochten und damit voneinander abhängig.

Cyberwar war zunächst ein Thema in der militärischen Welt. Mit sinkenden Preisen und steigender Verfügbarkeit von Technologien auch im privaten Bereich bedienten sich jedoch immer mehr organisierte Kriminelle ähnlicher Mittel. Für Unternehmen wird es deshalb immer wichtiger, sich dem Thema 'Cybersecurity' zuzuwenden und ihr Unternehmen durch geeignete Maßnahmen vor solchen Angriffen zu schützen. Solche Angriffe, egal aus welcher Quelle und mit welcher Motivation, schädigen nicht nur den Ruf des Unternehmens, sondern haben auch große finanzielle Schäden und eine Schwächung der Wettbewerbsposition zur Folge.

 

Grundsätzliche Fragen

Was sind die Absichten von virtuellen Angriffen? Es geht um

  • Destruktion,
  • Manipulation von Daten, oder
  • Teilhabe an Wissen

auf regionaler und globaler Ebene.

Was wird angegriffen? Hier sind die sogenannten 3 I von entscheidender Bedeutung:

  • Informationen
  • Infrastrukturen
  • Identitäten

Mit welcher Motivation wird angegriffen? Grundsätzliche finden virtuelle Angriffe aus politischer oder wirtschaftlicher Motivation statt:

  • Politisch: a) Herbeiführen strategischer oder militärischer Schäden oder b) politische Gewalt (Terrorismus).
  • Wirtschaftlich: a) Organisierte (Internet-)Kriminalität, oder b) Wirtschaftsspionage.

Welches sind die Methoden? Die Haupttechniken des Cyberwar sind:

  • Spionage: Illegales Eindringen in fremde Computernetze zwecks Diebstahls von Informationen.
  • Defacement: Die Veränderung von Webside-Inhalten, um Propaganda zu verbreiten oder den Ruf des Betreibers zu schädigen.
  • Social Engineering: Die Erschleichung des Vertrauens von Menschen mit Ziel, Zugangsinformationen für IT-Systeme zu erlangen (Passwörter, Kredit- und Finanzdaten etc.)
  • Datenmanipulation: Die Zerstörung oder Veränderung von Daten ohne Wissen des Benutzers mit dem Ziel, falsche Computeroperationen oder fehlerhafte Ergebnisse herbeizuführen.
  • DDoS-Angriffe (Distributed Denial of Services): Durch eine große Zahl zusammengeschlossener Rechner (z.B. in Bot-Netzen) werden innerhalb kurzer Zeit massenhaft Anfragen an Rechner/Server verschickt, damit diese unter der Last kollabieren und somit z.B. Internetdiensten zwischenzeitlich nicht mehr erreichbar sind oder sensitiver Infrastruktureinrichtungen manipuliert bzw. zerstört werden.
  • Übernahme der Kontrolle in Computern/Netzwerken oder Herbeiführen von Funktionsstörungen durch Schadsoftware (Viren, Würmer, Trojaner etc.) oder nachträglich installierte Hard- oder Softwarekomponenten.

 

Beispiele für Cyberattacken

Estland war Mitte 2007 einer Cyberattacke ausgesetzt. Anlass war die Verlegung eines russischen Kriegerdenkmals in der Hauptstadt Tallinn, die einen zweiwöchigen Cyberangriff auf Estland aus-löste. Ziele waren u.a. Server der estnischen Regierung und der politischen Parteien. Aber auch Banken, Medien und viele Unternehmen wurden angegriffen. Notrufnummern funktionierten nicht mehr und der internationale Zahlungsverkehr musste für zwei Tage eingestellt werden. Die Täter und Hintermänner werden in Russland vermutet.

Ein weiteres Beispiel ist die Sabotagesoftware 'Stuxnet'. Mit hoher Wahrscheinlichkeit wurde sie von Amerikanern und Israelis 2009 entwickelt. Bei 'Stuxnet' handelt es sich um ein komplexes Programm, um in Steuerungscomputer für Industrieanlagen einzudringen, die von der Firma Siemens hergestellt werden. Die Entwickler nutzten Sicherheitslücken im Betriebssystem Microsoft Windows, um die Schutzmechanismen der befallen Rechner auszuschalten. Der Compu-tervirus war so konstruiert, dass er sich zwar über viele Rechner verbreitete, aber nur die Steuerung einer ganz bestimmten Urananreicherungsanlage im Iran angreifen sollte. Was er tatsächlich auch schaffte: Inspektoren der Internationalen Atomenergie-Organisation (IAEO) berichteten 2009 über Schäden an Zentrifugen im iranischen Natans.

Eine Antwort aus dem Iran kam im März 2011. Einem Partnerunternehmen der IT-Sicherheits-firma Comodo wurden Internet-Zertifikate gestohlen worden, mit denen Angreifer im schlimmsten Fall die gesamte E-Mail-Kommunikation einer Region über Google, Yahoo und Microsoft mitlesen können. Der Angreifer hat sich gefälschte Internet-Sicherheitszertifikate ver-schafft, die dazu dienen, Websites gegenüber Internetnutzern als echt kenntlich zu machen. Dabei handelte es sich um gefälschte SSL-Zertifikate für Googles E-Mail-Dienst Gmail, Yahoos Login-Seite, den Internet-Telefoniedienst Skype, Seiten von Microsoft und des Firefox-Herstellers Mozilla. SSL-Zertifikate werden dazu verwendet, Verbindungen zu Webseiten zu verschlüsseln. Der Internet-User kennt diesen Vorgang als sogenannte 'sichere Verbindung'. Comodo gibt SSL-Zertifikate aus und arbeitet dabei mit Partnerunternehmen zusammen. Mit solchen Zertifikaten ist es möglich, im Internet eine bestimmte Website täuschend ähnlich zu imitieren und dem Nutzer mit dem SSL-Zertifikat vorzuspielen, dass er sich in einer sicheren Umgebung befindet. Tat-sächlich aber führt die gefälschte Seite eine Phishing-Attacke durch: Sie speichert eingegebene Nutzernamen und Passwörter. Die Browser-Firmen, z.B. Mozilla und Microsoft, haben zwar um-gehend Updates zum Schließen der Sicherheitslücke zur Verfügung gestellt, aber dennoch zeigt diese Attacke wieder einmal, wie Angriffe in der virtuellen Welt aussehen.

Ende März 2011 hat sich im Internet jemand zu Wort gemeldet, der sich selbst 'Comodo Hacker' nennt und behauptet, hinter der Aktion zu stehen. Der 'Comodo Hacker' erklärte, in die Website GlobalTrust.it des italienischen Vertriebspartners von Comodo eingedrungen zu sein. Er habe ins-gesamt neun SSL-Zertifikate in 10 bis 15 Minuten erstellt. Der 'Comodo-Hacker' gibt an, er sei Iraner und 21 Jahre alt. Er habe nach eigenen Angaben keine Verbindungen zu einer 'Iranischen Cyber-Armee'. Wie glaubwürdig dies ist, ist kaum abschließend zu beurteilen. Er prahlt zudem mit seinen Kenntnissen und Fähigkeiten: Er sei so gut wie eintausend Hacker. Abschließend lässt er anklingen, die Aktion sei auch als Rache für Stuxnet zu verstehen. Der Vorfall ist in jedem Fall sehr beunruhigend: Glaubt man dem 'Comodo-Hacker', zeigt dies, welches Schadpotential bereits Privatpersonen haben. Glaubt man ihm nicht und es steckt doch der iranische Staat dahinter, deutet dies an, wie virtuelle Kriege der Zukunft aussehen werden.

Ein weiteres Opfer von Cyberattacken wurde wiederum die Firma 'Google'. Sie wehrte sich Ende 2009 gegen die Internet-Zensur in China, die von ihr verlangte, zahlreiche Zugänge und Internet-Seiten zu sperren. Die Reaktion, vermutlich aus China, bestand Mitte Dezember 2009 aus einem gezielten Angriff auf die Server-Infrastruktur von Google. Der Angriff der Hacker umfasste darüber hinaus 20 weitere Unternehmen insbesondere im Internetbereich, aber auch aus der Finanz- und Technologiebranche. Hauptsächlich ging es bei den Angriffen auf Google um den Zugang zu deren Email-Dienst, um mittels Phishing und gefälschten Login-Seiten Zugang zu In-formationen über chinesische Oppositionelle zu erhalten.

Auch in Ruhe spielen wird immer schwieriger, wenn Unternehmen sensible Daten nicht ausreichend sichern. So erging es Sony Mitte April 2011: Die Daten von Millionen Sony-Kunden sind in die Hände von Hackern gefallen. Betroffen sind Nutzer des 'Playstation'-Netzwerks (PSN) und des Video- und Musikservices 'Qriocity'. Entwendet wurden Adressen, Passwörter und unter Umständen auch Kreditkartennummern von Kunden. Die Hacker waren vom 17. bis zum 19. April 2011 in die Kundendatenbanken von Sony eingedrungen. Das 'Playstation' Netzwerk und der 'Qriocity'-Service haben weltweit mehr als 75 Millionen Kunden.

Anfang Juni 2011 kam ebenfalls heraus, dass der Internationale Weltwährungsfonds (IWF) Opfer einer Cyber-Attacke geworden ist. Das Computersystem des IWF mit vertrauliche Daten über die Finanzsituation verschiedener Länder ist seit Beginn des Jahres 2011 mehrfach von Hackern mit großangelegten und komplexen Cyber-Attacken angegriffen worden.

Bei diesen Beispielen handelt es sich nur um eine Auswahl der spektakulären, öffentlich diskutierten Fälle. Die Entwicklung zeigt, dass Cyber-Security in rasantem Tempo an Bedeutung gewinnt.

 

Mögliche Gegenmaßnahmen

Angriffe auf Informationsinfrastrukturen sind in den letzten Jahren immer zahlreicher und komplexer geworden. Das deutsche Internet wird alle zwei bis drei Sekunden angegriffen, das Regierungsnetz vier bis fünf Mal am Tag. Bedrohung + Schwachstelle = Gefährdung; so lautet die Kernformel. Schwachstellen werden durch Hacker, Spione und jegliche Form von Schadsoftware wie Viren, Würmern und Trojanischen Pferden ausgenutzt. Das, was möglich ist und einen Vorteil verspricht, wird auch gemacht. So wie der neueste Trend im virtuellen Raum: Cybermobbing. Daher ist es besonders wichtig, durch richtiges Verhalten Schwachstellen zu minimieren.

Die Schwächen des Internets und von IT-Systemen sind dabei offensichtlich. Die starke Vernetzung mit vielen Schnittstellen, der dezentrale Aufbau und das Fehlen verschlüsselter Systeme spielen Angreifern in die Karten. Mängelbehaftete Soft- und Hardware tragen ebenfalls zur Fragilität der Systeme bei. Im Bereich der 'Kritischen Infrastrukturen' kommt erschwerend hinzu, dass es kostenbedingt kaum Redundanzen in den Systemen gibt. Wenn ein System angegriffen wird und ausfällt, gibt es kein weiteres System, dass verzugslos dessen Aufgabe übernehmen könnte. Daher fordern nicht wenige Experten, zumindest in sensiblen Teilbereichen über eine Entnetzung nachzudenken. Computer und Daten können letztlich niemals zu 100 Prozent gegen Angriffe von Außen geschützt werden, wenn sie nicht vom Netz getrennt werden. Daher gehen inzwischen einige Staaten dazu über, ihre wichtige Rechner mit empfindlichen Daten dauerhaft vom Internet abzukoppeln.

Für Unternehmen muss es darum gehen, zunächst eine Sensibilität für Gefahren im virtuellen Raum bei den Mitarbeitern aufzubauen, was z.B. durch Schulungen, verbindliche Sicherheitsrichtlinien (z.B. in Bezug auf mobile Datenträger, Surfverhalten im Internet und die Nutzung sozialer Dienste wie Facebook) und Verhaltenskontrollen erreichbar ist. Über den Privat- und Unternehmensbereich hinaus muss es allerdings auch staatliche Detektions- und Schutzmechanismen geben.

Die Bundesregierung will IT-Systeme und kritische Infrastrukturen besser schützen und zu diesem Zweck u.a. 'Nationales Cyber-Abwehrzentrum' (NCAZ) aufbauen und einen 'Nationalen Cyber-Sicherheitsrat' einrichten. Die Wirtschaft soll hier eingebunden werden. Das 'Nationale Cyber-Abwehrzentrum' (NCAZ) wurde am 16. Juni 2011 in Bonn eröffnet und ist beim Bundesamt für Sicherheit in der Informationstechnik (BSI) angesiedelt. Es umfasst Experten des 'Bundesamtes für Sicherheit in der Informationstechnik' (BSI), des Bundeskriminalamtes (BKA), des Bundesnachrichtendienstes (BND), des Bundesamtes für Verfassungsschutz (BfV) sowie des 'Bundesamtes für Bevölkerungs- und Katastrophenschutz' (BBK). Die Mitarbeiter des NCAZ sollen bei einem Cyber-Angriff schnell ein Lagebild erstellen, Informationen bündeln und Abwehraktionen koordinieren.

Empfehlenswerte Literatur zum Thema:

Richard Clarke, Robert Knake: World Wide War. Angriff aus dem Internet,
Hoffmann und Campe Verlag, Hamburg 2011, 352 Seiten, 22 Euro
ISBN-10: 3455501869, ISBN-13: 978-3455501865

Sandro Gaycken: Cyberwar: Das Internet als Kriegsschauplatz
Open Source Press 2011, 248 Seiten, 19,90 Euro
ISBN-10: 9783941841239, ISBN-13: 978-3941841239

Empfehlenswerte Web-Links zum Thema:

26.07.2011

© Alle Rechte vorbehalten.
consulting plus
Beratung GmbH
Girardetstraße 1-5
45131 Essen
Tel.: +49 201 27 90 40