Stuxnet - Der erste Schritt zum Cyberwar?
Anscheinend wurde mit Stuxnet tatsächlich das iranische Atomwaffenprogramm sabotiert, die restlichen verseuchten Windows-Rechner wären dann sozusagen "Kollateralschäden". Auf der Virus Bulletin International Conference, die vom 29. September bis 1. Oktober im kanadischen Vancouver stattfindet, wollen auf zwei Vorträgen Mitarbeiter von Symantec ("An indepth look into Stuxnet") sowie Microsoft und Kaspersky ("Unravelling Stuxnet") ihre Erkenntnisse über Stuxnet vorstellen. Angeblich soll es auch Hinweise auf den oder die Urheber geben. Von ESET gibt es bereits eine ausführliche Analyse. Wirklich fest steht aber eigentlich nur eines: Schützen kann man sich vor derartig aufwändigen gezielten Angriffen kaum. Aber was macht man dann?
Cyber-Abschreckung ist unmöglich
Im Kalten Krieg hat sich ja die Abschreckung bewährt, frei nach dem Motto " Ihr könnt uns zwar x Mal in die Steinzeit bomben, aber wir halten mit und legen noch ein Mal drauf". Damals war das ja auch einfach: Die Anzahl möglicher Angreifer war sehr überschaubar, und im Falle eines Angriffs hätte man sofort gewusst, wer der Angreifer war. Außerdem wußte man, was man zu erwarten hatte und womit man reagieren wollte: Atombomben in allen Größen und Arten. Ob man da im Ernstfall nun ein paar Tonnen mehr oder weniger als der Angreifer los geschickt hätte, wäre ziemlich egal gewesen, kaputter als völlig kaputt geht nun mal nicht.
Wer ist der Angreifer? Und wen will er angreifen?
Dummerweise ist das im Cyberwar alles ganz und gar nicht so einfach und eindeutig. Wer wirklich hinter einem Angriff steckt, kann man nie mit letzter Sicherheit feststellen. Selbst wenn man den Angriff bis zu einem eindeutig identifizierten Rechner zurückverfolgen kann, weiß man nicht, wer diesen Rechner bedient hat und in wessen Auftrag er evtl. gehandelt hat. Und evtl. kann man nicht mal sicher sein, wirklich gezielt angegriffen worden zu sein. Im Fall von Stuxnet sind z.B. Graham Cluley von Sophos und David Harley von ESET nicht unbedingt davon überzeugt, dass der Angriff wirklich dem Iran galt. Das ist für die Entwicklung einer Abschreckungsstrategie auf dem ersten Blick egal, da man dann nach dem Motto "Wenn wir angegriffen werden, schlagen wir zurück - auch, wenn der Angriff nur ein Versehen war" handeln könnte. Auf dem zweiten Blick macht es aber schon einen Unterschied, ob man gezielt angegriffen wurde oder nur ein weiteres Opfer ist. Bei einem gezielten Angriff kann man den Kreis möglicher Urheber i.A. eingrenzen, wird man nur zufällig ebenfalls ein Opfer (und weiß womöglich nicht mal, wem der Angriff eigentlich galt) kommen aber ganz andere Urheber in Frage, während andere dafür vielleicht ausscheiden. Mal abgesehen davon, dass ein geschickter Angreifer es so einrichten wird, dass es aussieht, als wäre ein ganz anderer der Angreifer. Wem soll man also mit einem Gegenangriff beglücken?
Wie schlägt man zurück?
Und selbst wenn man weiß, wer der Angreifer ist - wie schlägt man dann zurück? "Stromversorgung um Stromversorgung, Bank um Bank"? Das klingt vielleicht wie eine brauchbare Drohung, ist es aber nicht wirklich. Wie soll das funktionieren? Gibt es dann eine Sammlung an Schädlingen, die die jeweiligen Staatsoberhäupter zusammen mit einem Smartphone immer bei sich tragen und im Fall eines Angriffs damit in die Welt setzen? Dann müsste es für alle möglichen Angreifer und alle möglichen Ziele ständig aktuell gehaltene Schädlinge geben. Mal abgesehen davon, dass das technisch kaum möglich ist, wäre die Gefahr durch so ein Schädlingsarsenal kaum zu beherrschen. Wie will man zuverlässig verhindern, dass so ein Schädling geklaut wird? Wird die Schadsoftware also erst nach dem Angriff entwickelt oder angepasst und die Abschreckung besteht im Bereithalten entsprechender Spezialisten? Dann wirkt sie aber kaum, denn bis der "Gegenschlags-Schädling" entwickelt ist hat der Angreifer längst sämtliche IT-Systeme des Opfers lahm gelegt. Eine Abschreckung ist im Cyberwar also kaum möglich.
Gibt es einen Ersatz für die Abschreckung?
Wenn man die Angriffe kaum verhindern und mögliche Angreifer auch nicht abschrecken kann, welche Möglichkeiten gibt es dann? Eigentlich nur eine: Man muss dafür sorgen, dass der Angreifer unter einem Angriff genau so leiden würde wie das Opfer. Stuxnet hat außer dem Zielsystem (sofern er das erreicht hat, aber davon können wir beim getriebenen Aufwand wohl ausgehen) auch sehr viele unbeteiligte Systeme infiziert. Je stärker alle Systeme miteinander vernetzt sind, desto größer ist für einen Angreifer die Gefahr, selbst unter dem Angriff zu leiden. Einen entsprechenden Vorschlag hat der ehemalige Chef der US-amerikanischen National Security Agency (NSA) einem Bericht zu Folge auf der Sicherheitskonferenz DEF CON gemacht. Prinzipiell ist das ein guter Ansatz, aber er funktioniert nur gegen staatlichen Cyberwar, kein Land wird ein anderes angreifen, wenn es selbst ebenso stark unter dem Angriff zu leiden hätte wie das Opfer.
Cyberterror lässt sich damit aber wohl kaum verhindern. Terroristen dürfte es ziemlich egal sein, wenn sie statt einem Land mehrere terrorisieren. Allerdings werden Terroristen sehr wahrscheinlich nicht derartig aufwändige Angriffe wie Stuxnet durchführen, so dass man deren Angriffe mit entsprechenden Schutzmaßnahmen abwehren kann. Nicht, weil sie die aufwändigen Angriffe nicht zustande brächten, das notwendige Wissen kann sich jeder kaufen. Aber das ist teuer, und ich bezweifle, dass so ein Angriff Terroristen so viel Geld wert ist. Bei Staaten sieht das etwas anders aus. Nicht nur, weil die sowieso ständig Geld für allen möglichen Unsinn ausgeben, prinzipiell sowieso und wenn es in den Verteidigungshaushalt passt erst recht, da kann ein noch so teurer Cyberangriff im Endeffekt tatsächlich günstiger sein als einer mit herkömmlichen Waffen. Allein schon, weil es zumindest zur Zeit keine eigenen Verluste gibt und niemand "Holt unsere Bits und Bytes da raus!" fordern wird.
Bundesinnenminister fördert IT-Unsicherheit
Nachdem es nun sehr wahrscheinlich den ersten gezielten "Cyberwar-Angriff" gab, wären die Politiker gut beraten, wenn sie sich um das Thema IT-Sicherheit kümmern würden. Zumindest unsere Bundesregierung macht zur Zeit aber mal wieder das Gegenteil und propagiert die IT-Unsicherheit. Zumindest unser Innenminister, der die Online-Durchsuchung am liebsten sofort, generell, immer und überall haben möchte. Eine wirklich hervorragende Idee, sofern man auf virtuelle Ohrfeigen vom Bundesverfassungsgericht scharf ist. Oder hat man Herrn de Maizière etwa nicht verraten, dass das die Online-Durchsuchung stark eingeschränkt und dabei das "Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme" formuliert hat? Vielleicht hat er auch noch gar nicht bemerkt, mit wem er da am Regierungstisch sitzt? Nachdem die FDP vor der Wahl die Stärkung der Bürgerrechte gefordert und dann nach der Wahl fast nichts erreicht hat, muss sie diesmal punkten, wenn sie bei den nächsten Wahlen noch irgend wo ernst genommen werden will. Aber vielleicht arbeiten die ja auch am "Projekt 0,nichts"? Zumindest entsteht ja des öfteren der Eindruck, das Ziel dieser Bundesregierung sei es, garantiert nicht wiedergewählt zu werden.
Bundestrojaner kommt rein, Terrortrojaner nicht?
Aber zurück zur Technik: Mal angenommen, Herr de Maizière bekäme seinen schon von seinen Vorgängern heißgeliebten Bundestrojaner. Wie geht es dann weiter? Der muss ja irgendwie auf die online zu durchsuchenden Rechner, die dürfen also nicht sicher sein. Gleichzeitig müssen sie aber so sicher sein, dass Cyberterroristen (ebenso natürlich normale Cyberkriminelle und potentielle feindliche Cyberkrieger) nicht eindringen können. Wie stellt Herr de Maizière sich das vor? Das BSI gibt dann Ratschläge zum Absichern der IT-Systeme, an die sich die online zu durchsuchenden Kriminellen, Terroristen etc. nicht halten dürfen? Oder sind die Ratschläge dann so formuliert, dass sie für den Bundestrojaner eine Lücke lassen oder gar erst aufreißen? Also ich würde dann sicherheitshalber Ratschlägen des BSI (und Bundesbehörden allgemein) nicht mehr vertrauen, womöglich machen die mein System dann ja unsicher. Und staatlich entwickelte oder geförderte Software, insbesondere natürlich die liebe Elster, muss dann natürlich als potentielle Schadsoftware betrachtet werden, schließlich könnte sie den Bundestrojaner oder einen Downloader dafür im Gepäck haben.
Nein, so geht das nicht, IT-Sicherheit ist kein Wunschkonzert. Entweder, wir wollen sichere Systeme, ohne wenn und aber, und dann müssen alle an einem Strang ziehen. Oder die Sicherheitspolitiker wollen lieber schnüffeln können, dann gibt es eben potentiell unsichere Systeme, in die natürlich auch die Bösen eindringen können. Aber so weit denken Politiker ja i.A. nicht, da ist ja keine Wahl zu gewinnen und keinem Lobbyisten ein Gefallen zu tun. Die Meinung der Bürger zählt ja nicht, wie Frau Merkel deutlich zum Ausdruck gebracht hat. Wie war das mit dem Volk?
Übersicht über alle Artikel zum Thema
- Stuxnet - Ein paar Fakten
- Standpunkt: Stuxnet - Wer will da wem an die Produktion?
- Standpunkt: Stuxnet - Der erste Schritt zum Cyberwar?
- Standpunkt: Stuxnet - Ein Überblick über die Entwicklung
- Standpunkt: Stuxnet: Kaum neue Fakten, ein neues Gerücht
- Standpunkt: Stuxnet - Stand der Dinge
- Standpunkt: Der Wink mit dem Stuxnet
- Standpunkt: Neues zu Stuxnet, Android-Trojanern, USB-Keyloggern und Facebook
- Standpunkt: Conficker ist wieder da. Und was macht Stuxnet?
- Das RAT, das aus dem Stuxnet kam
- Standpunkt: Clickjacking gegen Flash, urchin.js und Duqu - nichts als Wiederholungen!
- Standpunkt: Neues zu SSL und Duqu
- Standpunkt: Wie gefährlich ist die Duqu-0-Day-Schwachstelle?
- Standpunkt: Neues zu Duqu
Trackbacks
Dipl.-Inform. Carsten Eilers am : 2010 - Ein Rückblick auf ein ereignisreiches Jahr
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : SSL-Angriff mit Folgen
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Gezielter Angriff auf RSA mit unabsehbaren Folgen
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Vom Cyberwar zum Krieg?
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : SCADA - Wasser aus, Knasttüren auf, sonst noch Wünsche?
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Kommentare zu diesem und jenem...
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Macs im Visier
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Ein bekannter Advanced Persistent Threat: Operation Aurora
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Ein weiterer bekannter Advanced Persistent Threat: Stuxnet
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Noch ein bekannter Advanced Persistent Threat: Der Angriff auf RSA
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Die 0-Day-Exploits und die Angriffe auf Apple, Microsoft und Co.
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Cyberkrieger? Cyberkriminelle!
Vorschau anzeigen