Cyberwar & Spionage

Das Kreuz mit der Infrastruktur

Im Oktober 2011 identifizierten Malware-Spezialisten zielgerichtete Attacken des Duqu-Wurms im Iran und Sudan. Das Schadprogramm ähnelt in einigen Merkmalen dem gefährlichen Stuxnet-Wurm, der im Jahr zuvor Industrieanlagen im Iran im Visier hatte. Doch die Analysen tappen im Dunkeln. Welche Ziele genau die Cyber-Kriminellen bei Duqu im Blick haben, ist noch unbekannt.

Klar ist: Das gefährliche Schadprogramm ist ein universelles Werkzeug, um gezielte Attacken durchzuführen. Wenn es erst einmal in den Computer eingeschleust ist, modifiziert er die Sicherheitsprogramme so, dass es nicht mehr erkannt wird und unbemerkt bleibt. Alles in allem kann der Wurm je nach Einsatz für ein vordefiniertes Ziel modifiziert werden, so Tillmann Werner, Senior Virus Analyst bei Kaspersky Lab: »Bei Duqu deutet vieles darauf hin, dass die Angreifer es auf den Diebstahl von Informationen aus Unternehmen oder politischen Organisationen abgesehen haben. Wir haben keine destruktiven Eigenschaften entdeckt. Duqu ist noch komplexer als Stuxnet. Wer auch immer so ein Schadprogramm entwickelt, verfügt über viel Geld, Zeit und Wissen.«

Nitro-Attacken. Kurz darauf berichteten die Virenjäger von Symantec von einem Schädling namens PoisonIvy, mit dem offenbar große Chemiekonzerne und Rüstungsunternehmen ausgespäht wurden. Mit einem zielgerichteten, langfristigen Schadcode-Angriff gelang es, Design-Dokumente, Formeln und Informationen über Fertigungsprozesse zu stehlen. Betroffen von dieser Spionagekampagne waren vorwiegend internationale Rüstungs- und Chemiefirmen und ihre Niederlassungen in den USA, Bangladesch und Großbritannien. Symantec geht nicht davon aus, dass Firmen eines bestimmten Landes bevorzugt angegriffen wurden.

Ins Ziel gerieten wohl Firmen, die entweder leichte Opfer abgaben oder bei denen der oder die Angreifer wertvolle Beute erwarteten. Der Angriff, so die Analyse, war nur Teil einer größer angelegten Kampagne gegen internationale Firmen und Menschenrechts-Organisationen.

PoisonIvy ist kein Supervirus vom Kaliber eines Stuxnet oder Duqu. Stattdessen wird er offen im Internet als Schadsoftware-Baukasten angeboten und gilt zwar als gefährlich – aber nicht als Programmier-Hexenwerk. Den Symantec-Spezialisten gelang es, den Angriff auf einen chinesischen Mann zurückzuführen, der sogar auf eine Kontaktaufnahme reagierte.

Der Symantec-Bericht hält fest: »Wir wissen nicht, ob ›Covert Grove‹ (so nennen die Autoren den Kontaktmann, Red.) Einzeltäter ist und eine direkte oder indirekte Rolle spielte. Und wir wissen auch nicht, ob die Hackangriffe im Auftrag einer oder mehrerer anderer erfolgte.«

»Am oberen Ende des Cyber-Risikospektrums steht der Cyberwar«, Walter Unger, Leiter IKT-Sicherheit im BMLVS.

Ob im Staats-, Firmen oder Privatauftrag, die so genannten Nitro-Attacken könnte also jeder ausgeführt haben: Ein Hacker-Söldner im Auftrag der Konkurrenz oder eines Staates oder jemand der seine Knowhow-Funde höchstbietend verkaufen will, egal an wen.

Cyberwarfare. Die Horrormeldungen reißen seit geraumer Zeit nicht mehr ab. Der Cyberwar ist längst Realität. Das US-Verteidigungsministerium ist indes darauf vorbereitet, im Ernstfall Cyber-Angriffe auf Telekommunikationsinfrastrukturen durchzuführen, sollte feindliches Handeln die Regierung, das Militär oder die Wirtschaft des Landes bedrohen – so ein jüngst veröffentlichtes Regierungsdokument an den US-Kongress.

Wie die Washington Post meldete, handelt es sich dabei um den bislang detailliertesten Bericht zum Cyberwarfare-Programm der Regierung. Demnach würden Länder oder kriminelle Organisationen, die einen Schlag gegen US-Infrastrukturen planen, »ein gravierendes Risiko eingehen«. Das Pentagon habe die Fähigkeit, »offensive Operationen im Cyberspace« durchführen zu können, um »unser Land, unsere Alliierten und Interessen zu verteidigen«.

Risikomatrix für Österreich (v.l.): Univ.-Prof. Karl Rose, Innenministerin Johanna Mikl-Leitner, KSÖ-Präsident Erwin Hameseder.

Zuvor war bekannt geworden, dass die Obama-Administration bereits im März 2011 erwogen hatte, eine Cyber-Offensive gegen das Gaddafi-Regime zu starten. Die Firewalls der libyschen Computer-Netzwerke sollten lahm gelegt werden, um die militärische Kommunikation zu unterbinden und das Frühwarnsystem, das angreifende Flugzeuge erkennen soll, zu zerstören. Allerdings entschieden sich Regierung und Militär dagegen, da sie befürchteten, dass andere Länder in Zukunft ebenfalls zu diesem Mittel greifen können, wie die New York Times berichtete.

Blitzkrieg. Immer wieder tun sich neue Fronten auf. Ein Blitzkrieg jagt den nächsten. Nach Hacker-Angriffen auf israelische Websites haben sich israelische Hacker Mitte Jänner laut dem Nachrichtenportal Ynet Zugang zu den Netzwerken arabischer Börsen verschafft. Dabei gelang es, die Websites der Börsen in Riad sowie in Abu Dhabi zu stören – der zwischenzeitliche Höhepunkt eines abgestuften Vorspiels: Am 11. Jänner hatte ein israelischer Hacker mitgeteilt, er habe die Daten von 217 Kreditkarten von Saudiarabern veröffentlicht. Zuvor hatten saudiarabische und palästinensische Hacker die Daten von mehr als 20.000 israelischen Kreditkartenbesitzern offengelegt und die Websites öffentlicher Dienste wie der Feuerwehr angegriffen. Auf Grund der zunehmenden Cyber-Attacken betreibt Israel nun seit Anfang des Jahres ein eigenes Abwehrsystem gegen solche Angriffe.

Alpenrepublik. Österreich ist inmitten dieser Szenarien keine Insel der Seligen. Das Jahr 2011 brachte eine steil nach oben zeigende Kurve bei der Zahl der Anzeigen im Bereich Cybercrime. Das Innenministerium arbeitet seit Monaten daran, Strategien zum Schutz von Bürger und Staat zu entwickeln. Für 2012 soll die bereits vom Kuratorium Sicheres Österreich (KSÖ) erarbeitete Cyber-Risikomatrix weiterentwickelt und aus den aufgezeigten Risiken eine Cyberstrategie für ganz Österreich abgeleitet werden. Planspiele und nationale Sicherheitsübungen stehen 2012 am Programm, betonte Innenministerin Johanna Mikl-Leitner bei einem Hintergrundgespräch mit Journalisten: »Das Cyberspace hat uns mit neuen modernen Waffen im Visier. Die Attacken finden virtuell statt, die Auswirkungen sind aber real. Angriffe nehmen permanent zu – das signalisiert uns, dass wir Handlungsbedarf haben.«

Risikomatrix. Bereits vergangenen September haben Experten im Rahmen einer Cybersecurity-Konferenz das Risikopotenzial von im Internet lauernden Gefahren für Österreich analysiert und daraus eine Risikomatrix erstellt. Diese soll nun weiterentwickelt und im April 2012 präsentiert werden. Bei der Ausarbeitung der Cyber-Risikomatrix haben sich »nicht erkannte Anomalien« als größtes Risiko gezeigt. Das heißt, »wenn man nicht erkennt, dass man angegriffen wird«, betonte Karl Rose, Geschäftsführer von Strategy Lab. »Die Ausgangslage ist äußerst komplex. Wir müssen Methoden verwenden, die dieser Komplexität gerecht werden.« In der zweiten Phase sollen nun identifizierte Risiken mit Experten vertieft und die Frage nach den Verantwortlichen dafür beantwortet werden.

70% aller Erwachsenen hatten bereits in irgendeiner Form mit Internetkriminalität zu tun, weiß KSÖ-Präsident Erwin Hameseder. Das Thema sei dennoch zu wenig in den Köpfen der Bevölkerung angekommen. Unternehmen würden derzeit 20% ihres EDV-Budgets in Schutz von Firmen-und Kundendaten investieren, in Zukunft soll der finanzielle Aufwand dafür in Richtung 30% gehen, empfiehlt Hameseder. Die Arbeit des KSÖ fokussiere sich nun auf die Vernetzung aller Beteiligten, dazu zählen Politik, Verwaltung, Wirtschaft und Wissenschaft. Die Zusammenarbeit soll auf Wunsch der Ministerin »intensiviert und institutionalisiert« werden. Für reale Droh-Szenarien will man sich in Planspielen und nationalen Sicherheitsübungen wappnen. »Unsere Aufgabe ist, jeden einzelnen und den Staat vor Sabotage und Kriminalität zu schützen«, betonte die Ministerin. Das Innenministerium hat dafür bereits im Frühjahr 2011 ein »Competence Center« für die Bekämpfung der wachsenden Internetkriminalität gegründet.

Nationale Drehscheibe. »Österreich widmet der IT-Sicherheit größte Aufmerksamkeit«, bekannte auch Ing. Roland Ledinger, Bereichsleiter IKT-Strategie des Bundes, im November anlässlich der Präsentation des Zusammenschlusses der österreichischen Computer Emergency Response Teams (CERTs). In diesem nationalen Verbund sollen alle Kräfte zum Schutz der kritischen Informationsstrukturen in Österreich ideal gebündelt und das gemeinsame Knowhow genutzt werden. »Der gemeinsame Auftritt bildet außerdem eine solide Basis für internationale Kooperationen«, so Ledinger. »Schließlich lebt die Arbeit der Sicherheitsteams vom Dialog, vom Austausch und von Erfahrungen.«

»Strategie, sich nach außen abzuschotten, funktioniert nicht«, Robert Schischka, Leiter des CERT.at.

Mit dabei im CERT-Verbund sind u.a. das nationale CERT.at, das GovCERT.at, das BRZ (Bundesrechenzentrum), das Wien-CERT, das R-IT CERT Raiffeisen), das österreichische Wissenschaftsnetz ACOnet (2003 als erstes CERT in Österreich gegründet) wie auch das sich im Aufbau befindliche MilCERT des Verteidigungsministeriums.

Strategische Infrastrukturen. Letzteres will damit nicht nur seine eigenen IKT-Strukturen bestmöglich schützen, sondern auch Schutz und Hilfe für andere leisten können, erklärt ObstdG Mag. Walter Unger, Leiter der IKT-Sicherheit im Abwehramt des BMLVS: »Am oberen Ende des Cyber-Risikospektrums steht der Cyberwar: Gut koordinierte Cyber-Angriffe gegen die strategische IKT-Infrastruktur und auf andere von IKT abhängige strategische Infrastrukturen könnten jeden technologisch hoch entwickelten Staat enorme Schäden zufügen. National ist einerseits der Schutz der kritischen Infrastrukturen zu verbessern. Andererseits sind auf der Basis einer Cyber-Sicherheitsstrategie ein Cyber-Sicherheitsrat zur Beratung der Regierung und eine Stelle zur Koordinierung aller mit proaktiven, präventiven und reaktiven Fähigkeiten befassten Organisationen einzurichten.«

Dem stimmt DI Johann Mittheisz, CIO der Stadt Wien, kopfnickend zu: »Eine Vielzahl der Prozesse und Verfahren der Stadt Wien ist ohne IKT nicht mehr denkbar. Gleichzeitig nehmen die Bedrohungsszenarien in der digitalen Welt und die Versuche, Sicherheitslücken aktiv auszunutzen, kontinuierlich zu. Die Stadt Wien ist Träger strategischer IKT-Infrastruktur, die es zu schützen gilt.«

Gesunkenes Interesse. So weit jedoch die Bereitschaft im öffentlichen Bereich zur Zusammenarbeit reicht, so solitär scheint sie in der Privatwirtschaft zu sein. Das Interesse an der Teilnahme an staatlichen Programmen zum Schutz kritischer Infrastrukturen ist im Vorjahr in Unternehmen im Vergleich zu 2010 weltweit gesunken. In Deutschland wissen nur 34% der Firmen von derartigen Programmen. Dies ist das Ergebnis der »Critical Infrastructure Protection (CIP) Survey 2011«, bei der Symantec knapp 3.500 Unternehmen in 37 Ländern aus Schlüsselindustrien befragte (Österreich war nicht im Sample).

Hinzu kommt, so das CIP-Survey, dass Unternehmen weniger Ressourcen für die Sicherheit ihrer IT bereitstellen. Die Betreiber müssen ihre Anstrengungen zum Schutz kritischer Netze wegen Personal- und Budgetmangel stark einschränken, konzentrieren sich primär auf aktuelle Bedrohungen und vernachlässigen dadurch weitreichendere Schutzmaßnahmen. Eine besorgniserregende Entwicklung, so die Studienautoren. Unternehmen und Regierungen weltweit sollten den Schutz dieser für Wirtschaft und Gesellschaft wichtigen Netzwerke stärker forcieren und in das Zentrum ihrer Bemühungen stellen.

Damokles-Schwert. Während 2010 die CIP-Programme der Regierungen noch gut angenommen wurden, sank 2011 das Interesse der Unternehmen. Gerade einmal 36% der weltweit Befragten wussten überhaupt von den Regierungsplänen zum Schutz kritischer Infrastrukturen oder hatten sich zumindest teilweise um Einblick bemüht. Im Jahr zuvor waren es immerhin 55%. Generell zeigten Unternehmen im Vergleich zu 2010 eine geringere Bereitschaft, sich an CIP-Programmen ihrer Regierung zu beteiligen (57% in 2011, gegenüber 66% in 2010) – auch wenn sich Unternehmen 2011 auf einen Cyber-Angriff grundsätzlich weniger gut vorbereitet fühlten als in 2010.

Mag. Robert Schischka, Leiter des CERT.at und Koordinator des CERT-Verbundes, mahnt eindringlich: »Angesichts der komplexen Bedrohungslage kommt dem Informationsaustausch zwischen Betreibern von IT-Systemen eine immer stärkere Bedeutung zu. Die beliebte Strategie, möglichst alle Informationen über Vorfälle im Unternehmen zu halten und sich nach außen abzuschotten, in der Hoffnung, dass möglichst nichts publik wird, funktioniert in Zeiten eines gerade auf Publicity gerichteten Hacktivism nicht.«

Das Cyber-Schwert des Damokles schwebt über allen Köpfen: »Jeden wird es einmal erwischen«, so Schischka.

No Comments Yet.

Leave a Comment

You must be logged in to post a comment.