Cyberangriffe: Die Grenze zwischen Spionage und Kriminalität verschwimmt

Vergangene Woche machte Petya Schlagzeilen. Der Verschlüsselungstrojaner legte ähnlich wie Wannacry im Mai Firmen lahm. Neben dem dänischen Logistikunternehmen Maersk traf es dieses Mal vor allem Unternehmen im postsowjetischen Raum. Wannacry und Petya deuten auf eine neue Eskalationsstufe im Cyber-Rüstungswettlauf hin.

Neben Hackern sind es vor allem Staaten, die diesen Wettlauf befeuern. Derzeit entwickeln mehr als 30 von ihnen Programme für offensive Cyber-Operationen, in deren Rahmen auch Schadsoftware programmiert wird, wie sie Wannacry oder Petya (von einigen Forschern auch Non-Petya genannt) zugrunde liegt. Zudem erhalten immer mehr staatliche Behörden die Lizenz zum Hacken und somit Zugriff auf staatliche Schadsoftware-Arsenale. Mit einer steigenden Anzahl offensiver Cyber-Akteure steigt auch die Wahrscheinlichkeit, dass diese selbst zum Ziel werden, weil zum Beispiel Cyber-Arsenale gestohlen oder von Insidern veröffentlicht werden. Die »Shadow Broker«- und »Vault 7«-Enthüllungen der Cyber-Arsenale von NSA und CIA haben sowohl bei staatlichen Cyber-Kriegern als auch bei Kriminellen Begehrlichkeiten um ähnliche Fähigkeiten geweckt. Leaks verstärken damit die Proliferation von Cyber-Angriffsfähigkeiten. Dabei verschwimmen zunehmend Trennlinien zwischen staatlicher Spionage und Überwachung auf der einen und Cyber-Kriminalität auf der anderen Seite. Wannacry und Petya basieren beide auf NSA-Sicherheitslücken. Einstmals für Spionage entwickelt, wurden sie für Cyber-Kriminalität umgerüstet. Zwar ist der Petya-Vorfall noch nicht abschließend analysiert, allerdings kristallisieren sich zwei Hypothesen heraus: Entweder benutzten Kriminelle staatliche Technologien, oder staatliche Akteure maskierten offensive Cyber-Operationen als kriminelle Aktivitäten.

Kombination verschiedener Malware verschärft das Risiko

Cyber-Operationen werden also tendenziell immer komplexer und heimtückischer. Anders als Wannacry verbreitete sich Petya unter anderem über die automatische Update-Funktion einer ukrainischen Software für Steuererklärungen ähnlich der deutschen WISO-Software. Ferner kann Petya auch neuere Windows-Systeme über das lokale Netzwerk infizieren. Das ist eine neue Qualität.

Ein anderes eindrucksvolles Beispiel ist »Brutal Kangaroo«, eine kürzlich veröffentlichtes CIA-Tool. Es erlaubt die Infektion von Systemen, die nicht an das Internet angeschlossen sind, indem die Software von USB-Laufwerk zu Laufwerk springt (ähnlich einem Känguru), bis sie schließlich ihr Ziel erreicht, etwa ein Hochsicherheitssystem. Ebenfalls erst seit kurzem bekannt ist »Crashoverride«, eine jüngst in der Ukraine getestete Angriffssoftware. Diese erlaubt das unerkannte Manipulieren von Überstromschutzeinrichtungen in Stromnetzen und verursacht somit theoretisch Stromausfälle. Eine Kombination dieser drei Tools in einer strategischen Cyber-Operation könnte fatale Konsequenzen haben.

Trotz dieser theoretischen Bedrohung sollten wir nicht in Panik verfallen. Die praktische Schadenswirkung der meisten Cyber-Angriffe ist verhältnismäßig gering. Wannacry und Petya hätten bei besserer Programmierung sehr viel mehr Schaden anrichten können. Auch hierzu gibt es verschiedene Erklärungen: Entweder haben die Hacker Fehler begangen, oder sie wollten bewusst größere Kollateralschäden vermeiden. Cyber-Angriffe sind in der Regel keine zufälligen Akte der Zerstörung, sondern folgen politischen oder wirtschaftlichen Kosten-Nutzen-Kalkülen. So sind beispielsweise großflächige Stromausfälle solange unwahrscheinlich, solange Cyber-Angreifer darin keinen dauerhaften politischen oder wirtschaftlichen Nutzen sehen. Die potenzielle Intensität von Cyber-Angriffen korreliert also mit der Intensität politischer oder gesellschaftlicher Konflikte.

Kritische Zeitspanne der Verwundbarkeit reduzieren

Was also ist zu tun? Vorfälle wie Wannacry oder Petya werden in Zukunft zunehmen und komplexer werden. Mit jedem zukünftigen Leak wird es einen Wettlauf von Hackern und Softwareherstellern geben, die veröffentlichten Tools oder Schwachstellen zu verwenden bzw. sie durch Patches zu schließen. Allerdings sind Angreifer in der Regel schneller, da das Bereitstellen von Patches durch Hersteller und das Updaten durch Endkunden im Schnitt drei Monate oder länger dauert. Die Schwachstelle, die Wannacry und Petya nutzten, war bereits mit dem Windows-Update vom März 2017 von Microsoft behoben worden. Neben veralteter Hardware war aber auch hier das Problem, dass das Update nicht überall eingespielt worden ist. Häufig sind es Kosten- oder Kompatibilitätsgründe, die zur Verzögerung führen. Es gilt also, diese kritische Zeitspanne der Verwundbarkeit zu reduzieren.

Dazu braucht es zunächst das Bewusstsein, dass diese Vorfälle eine neue Normalität und damit aktuelle Software sowie vorhandene Backups essenziell sind. Darüber hinaus sollten (staatliche) Anreize geschaffen werden, dass Unternehmen ihre veraltete Soft- und Hardware schneller aktualisieren, auch wenn dies Kosten oder Inkompatibilitäten verursacht. Softwarehersteller wiederum könnten in die Pflicht genommen werden, Sicherheitsupdates länger bereitzustellen. Der Staat könnte sie dabei unterstützen, ebenso wie er kleinen und mittleren Unternehmen unter die Arme greifen sollte, die sich keine umfassende IT-Sicherheit leisten können. Unternehmen, die ihre Systeme besonders schnell updaten oder ihre eigenen Produkte lange mit Updates versorgen, könnten durch Qualitätssiegel oder Rankings belohnt werden. Deutschland und die EU sollten verstärkt in die Erforschung von Sicherheitslücken investieren, und zwar ausdrücklich nicht, um sie für die Geheimdienstarbeit zu nutzen, sondern um sie zu schließen. Viele internationale Unternehmen bieten »Bug-Bounty«-Programme an, die sogenannte ethische Hacker finanziell belohnen, wenn sie Sicherheitslücken melden. »Bug-Bounty«-Programme könnten auch dazu beitragen, dem Fachkräftemangel in der IT-Sicherheit zu begegnen, indem sie zum Beispiel mit einer Stipendienförderung für Nachwuchsprogrammierer an Schulen und Hochschulen verknüpft werden.

Matthias Schulze forscht an der Stiftung Wissenschaft und Politik (SWP) zu Cyber-Sicherheit und Cyber-Konflikten. Die Stiftung berät Bundestag und Bundesregierung in allen Fragen der Außen- und Sicherheitspolitik. Der Artikel erschien zuerst auf der SWP-Homepage in der Rubrik Kurz gesagt.

Matthias Schulze