Skip to content

Stuxnet - Der erste Schritt zum Cyberwar?

Anscheinend wurde mit Stuxnet tatsächlich das iranische Atomwaffenprogramm sabotiert, die restlichen verseuchten Windows-Rechner wären dann sozusagen "Kollateralschäden". Auf der Virus Bulletin International Conference, die vom 29. September bis 1. Oktober im kanadischen Vancouver stattfindet, wollen auf zwei Vorträgen Mitarbeiter von Symantec ("An indepth look into Stuxnet") sowie Microsoft und Kaspersky ("Unravelling Stuxnet") ihre Erkenntnisse über Stuxnet vorstellen. Angeblich soll es auch Hinweise auf den oder die Urheber geben. Von ESET gibt es bereits eine ausführliche Analyse. Wirklich fest steht aber eigentlich nur eines: Schützen kann man sich vor derartig aufwändigen gezielten Angriffen kaum. Aber was macht man dann?

Cyber-Abschreckung ist unmöglich

Im Kalten Krieg hat sich ja die Abschreckung bewährt, frei nach dem Motto " Ihr könnt uns zwar x Mal in die Steinzeit bomben, aber wir halten mit und legen noch ein Mal drauf". Damals war das ja auch einfach: Die Anzahl möglicher Angreifer war sehr überschaubar, und im Falle eines Angriffs hätte man sofort gewusst, wer der Angreifer war. Außerdem wußte man, was man zu erwarten hatte und womit man reagieren wollte: Atombomben in allen Größen und Arten. Ob man da im Ernstfall nun ein paar Tonnen mehr oder weniger als der Angreifer los geschickt hätte, wäre ziemlich egal gewesen, kaputter als völlig kaputt geht nun mal nicht.

Wer ist der Angreifer? Und wen will er angreifen?

Dummerweise ist das im Cyberwar alles ganz und gar nicht so einfach und eindeutig. Wer wirklich hinter einem Angriff steckt, kann man nie mit letzter Sicherheit feststellen. Selbst wenn man den Angriff bis zu einem eindeutig identifizierten Rechner zurückverfolgen kann, weiß man nicht, wer diesen Rechner bedient hat und in wessen Auftrag er evtl. gehandelt hat. Und evtl. kann man nicht mal sicher sein, wirklich gezielt angegriffen worden zu sein. Im Fall von Stuxnet sind z.B. Graham Cluley von Sophos und David Harley von ESET nicht unbedingt davon überzeugt, dass der Angriff wirklich dem Iran galt. Das ist für die Entwicklung einer Abschreckungsstrategie auf dem ersten Blick egal, da man dann nach dem Motto "Wenn wir angegriffen werden, schlagen wir zurück - auch, wenn der Angriff nur ein Versehen war" handeln könnte. Auf dem zweiten Blick macht es aber schon einen Unterschied, ob man gezielt angegriffen wurde oder nur ein weiteres Opfer ist. Bei einem gezielten Angriff kann man den Kreis möglicher Urheber i.A. eingrenzen, wird man nur zufällig ebenfalls ein Opfer (und weiß womöglich nicht mal, wem der Angriff eigentlich galt) kommen aber ganz andere Urheber in Frage, während andere dafür vielleicht ausscheiden. Mal abgesehen davon, dass ein geschickter Angreifer es so einrichten wird, dass es aussieht, als wäre ein ganz anderer der Angreifer. Wem soll man also mit einem Gegenangriff beglücken?

Wie schlägt man zurück?

Und selbst wenn man weiß, wer der Angreifer ist - wie schlägt man dann zurück? "Stromversorgung um Stromversorgung, Bank um Bank"? Das klingt vielleicht wie eine brauchbare Drohung, ist es aber nicht wirklich. Wie soll das funktionieren? Gibt es dann eine Sammlung an Schädlingen, die die jeweiligen Staatsoberhäupter zusammen mit einem Smartphone immer bei sich tragen und im Fall eines Angriffs damit in die Welt setzen? Dann müsste es für alle möglichen Angreifer und alle möglichen Ziele ständig aktuell gehaltene Schädlinge geben. Mal abgesehen davon, dass das technisch kaum möglich ist, wäre die Gefahr durch so ein Schädlingsarsenal kaum zu beherrschen. Wie will man zuverlässig verhindern, dass so ein Schädling geklaut wird? Wird die Schadsoftware also erst nach dem Angriff entwickelt oder angepasst und die Abschreckung besteht im Bereithalten entsprechender Spezialisten? Dann wirkt sie aber kaum, denn bis der "Gegenschlags-Schädling" entwickelt ist hat der Angreifer längst sämtliche IT-Systeme des Opfers lahm gelegt. Eine Abschreckung ist im Cyberwar also kaum möglich.

Gibt es einen Ersatz für die Abschreckung?

Wenn man die Angriffe kaum verhindern und mögliche Angreifer auch nicht abschrecken kann, welche Möglichkeiten gibt es dann? Eigentlich nur eine: Man muss dafür sorgen, dass der Angreifer unter einem Angriff genau so leiden würde wie das Opfer. Stuxnet hat außer dem Zielsystem (sofern er das erreicht hat, aber davon können wir beim getriebenen Aufwand wohl ausgehen) auch sehr viele unbeteiligte Systeme infiziert. Je stärker alle Systeme miteinander vernetzt sind, desto größer ist für einen Angreifer die Gefahr, selbst unter dem Angriff zu leiden. Einen entsprechenden Vorschlag hat der ehemalige Chef der US-amerikanischen National Security Agency (NSA) einem Bericht zu Folge auf der Sicherheitskonferenz DEF CON gemacht. Prinzipiell ist das ein guter Ansatz, aber er funktioniert nur gegen staatlichen Cyberwar, kein Land wird ein anderes angreifen, wenn es selbst ebenso stark unter dem Angriff zu leiden hätte wie das Opfer.

Cyberterror lässt sich damit aber wohl kaum verhindern. Terroristen dürfte es ziemlich egal sein, wenn sie statt einem Land mehrere terrorisieren. Allerdings werden Terroristen sehr wahrscheinlich nicht derartig aufwändige Angriffe wie Stuxnet durchführen, so dass man deren Angriffe mit entsprechenden Schutzmaßnahmen abwehren kann. Nicht, weil sie die aufwändigen Angriffe nicht zustande brächten, das notwendige Wissen kann sich jeder kaufen. Aber das ist teuer, und ich bezweifle, dass so ein Angriff Terroristen so viel Geld wert ist. Bei Staaten sieht das etwas anders aus. Nicht nur, weil die sowieso ständig Geld für allen möglichen Unsinn ausgeben, prinzipiell sowieso und wenn es in den Verteidigungshaushalt passt erst recht, da kann ein noch so teurer Cyberangriff im Endeffekt tatsächlich günstiger sein als einer mit herkömmlichen Waffen. Allein schon, weil es zumindest zur Zeit keine eigenen Verluste gibt und niemand "Holt unsere Bits und Bytes da raus!" fordern wird.

Bundesinnenminister fördert IT-Unsicherheit

Nachdem es nun sehr wahrscheinlich den ersten gezielten "Cyberwar-Angriff" gab, wären die Politiker gut beraten, wenn sie sich um das Thema IT-Sicherheit kümmern würden. Zumindest unsere Bundesregierung macht zur Zeit aber mal wieder das Gegenteil und propagiert die IT-Unsicherheit. Zumindest unser Innenminister, der die Online-Durchsuchung am liebsten sofort, generell, immer und überall haben möchte. Eine wirklich hervorragende Idee, sofern man auf virtuelle Ohrfeigen vom Bundesverfassungsgericht scharf ist. Oder hat man Herrn de Maizière etwa nicht verraten, dass das die Online-Durchsuchung stark eingeschränkt und dabei das "Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme" formuliert hat? Vielleicht hat er auch noch gar nicht bemerkt, mit wem er da am Regierungstisch sitzt? Nachdem die FDP vor der Wahl die Stärkung der Bürgerrechte gefordert und dann nach der Wahl fast nichts erreicht hat, muss sie diesmal punkten, wenn sie bei den nächsten Wahlen noch irgend wo ernst genommen werden will. Aber vielleicht arbeiten die ja auch am "Projekt 0,nichts"? Zumindest entsteht ja des öfteren der Eindruck, das Ziel dieser Bundesregierung sei es, garantiert nicht wiedergewählt zu werden.

Bundestrojaner kommt rein, Terrortrojaner nicht?

Aber zurück zur Technik: Mal angenommen, Herr de Maizière bekäme seinen schon von seinen Vorgängern heißgeliebten Bundestrojaner. Wie geht es dann weiter? Der muss ja irgendwie auf die online zu durchsuchenden Rechner, die dürfen also nicht sicher sein. Gleichzeitig müssen sie aber so sicher sein, dass Cyberterroristen (ebenso natürlich normale Cyberkriminelle und potentielle feindliche Cyberkrieger) nicht eindringen können. Wie stellt Herr de Maizière sich das vor? Das BSI gibt dann Ratschläge zum Absichern der IT-Systeme, an die sich die online zu durchsuchenden Kriminellen, Terroristen etc. nicht halten dürfen? Oder sind die Ratschläge dann so formuliert, dass sie für den Bundestrojaner eine Lücke lassen oder gar erst aufreißen? Also ich würde dann sicherheitshalber Ratschlägen des BSI (und Bundesbehörden allgemein) nicht mehr vertrauen, womöglich machen die mein System dann ja unsicher. Und staatlich entwickelte oder geförderte Software, insbesondere natürlich die liebe Elster, muss dann natürlich als potentielle Schadsoftware betrachtet werden, schließlich könnte sie den Bundestrojaner oder einen Downloader dafür im Gepäck haben.

Nein, so geht das nicht, IT-Sicherheit ist kein Wunschkonzert. Entweder, wir wollen sichere Systeme, ohne wenn und aber, und dann müssen alle an einem Strang ziehen. Oder die Sicherheitspolitiker wollen lieber schnüffeln können, dann gibt es eben potentiell unsichere Systeme, in die natürlich auch die Bösen eindringen können. Aber so weit denken Politiker ja i.A. nicht, da ist ja keine Wahl zu gewinnen und keinem Lobbyisten ein Gefallen zu tun. Die Meinung der Bürger zählt ja nicht, wie Frau Merkel deutlich zum Ausdruck gebracht hat. Wie war das mit dem Volk?

Carsten Eilers


Übersicht über alle Artikel zum Thema

Stuxnet - Ein paar Fakten
Standpunkt: Stuxnet - Wer will da wem an die Produktion?
Standpunkt: Stuxnet - Der erste Schritt zum Cyberwar?
Standpunkt: Stuxnet - Ein Überblick über die Entwicklung
Standpunkt: Stuxnet: Kaum neue Fakten, ein neues Gerücht
Standpunkt: Stuxnet - Stand der Dinge
Standpunkt: Der Wink mit dem Stuxnet
Standpunkt: Neues zu Stuxnet, Android-Trojanern, USB-Keyloggern und Facebook
Standpunkt: Conficker ist wieder da. Und was macht Stuxnet?
Das RAT, das aus dem Stuxnet kam
Standpunkt: Clickjacking gegen Flash, urchin.js und Duqu - nichts als Wiederholungen!
Standpunkt: Neues zu SSL und Duqu
Standpunkt: Wie gefährlich ist die Duqu-0-Day-Schwachstelle?
Standpunkt: Neues zu Duqu

Trackbacks

Dipl.-Inform. Carsten Eilers am : 2010 - Ein Rückblick auf ein ereignisreiches Jahr

Vorschau anzeigen
2010 war ein gerade aus Sicht der IT-Sicherheit ereignisreiches Jahr. 2011 kann es gerne ruhiger zugehen, aber vermutlich gilt wie immer die Regel von Bernd dem Brot: "Alles ist wie immer, nur schlimmer! Einige Beispiele: So hat z.B. das Bund

Dipl.-Inform. Carsten Eilers am : SSL-Angriff mit Folgen

Vorschau anzeigen
Seit knapp 2 Wochen besitzt irgend jemand "gefälschte" SSL-Zertifikate für einige prominente Domainnamen. Wobei "gefälscht" nicht ganz richtig ist, denn die Zertifikate an sich wurden vom herausgebenden Zertifizierungsdienst völl

Dipl.-Inform. Carsten Eilers am : Gezielter Angriff auf RSA mit unabsehbaren Folgen

Vorschau anzeigen
Mitte März meldete RSA einen gezielten Angriff, bei dem nicht näher beschriebene Daten ausgespäht wurden. Darunter befanden sich auch Informationen über die SecurID-Token zur Zwei-Faktor-Authentifizierung. Ebenfalls Mitte M&aum

Dipl.-Inform. Carsten Eilers am : Vom Cyberwar zum Krieg?

Vorschau anzeigen
Man sollte der US-Regierung mal zwei alte Sprichwörter erklären: "Wer im Glashaus sitzt, sollte nicht mit Steinen werfen" (und mit Bomben erst recht nicht) und "Wer anderen eine Grube gräbt, fällt selbst hinein". Vielleicht &uuml

Dipl.-Inform. Carsten Eilers am : SCADA - Wasser aus, Knasttüren auf, sonst noch Wünsche?

Vorschau anzeigen
Bei manchen Meldungen stellt sich mir zuerst immer die Frage "Wieso zum Kuckuck ist das überhaupt ans Internet angeschlossen?". Zum Beispiel auch bei den beiden aktuellen Meldungen zu SCADA-Systemen. Wasserwerk mit Fernsteuerung In Sp

Dipl.-Inform. Carsten Eilers am : Kommentare zu diesem und jenem...

Vorschau anzeigen
Wie angekündigt ändert der "Standpunkt" sein Format bzw. wird durch ein anderes Format ersetzt - dies ist die erste offizielle Folge dieser neuen Serie "Kommentierter Links". Die Themen: Ein plötzlich kritischer Patch, beratungsre

Dipl.-Inform. Carsten Eilers am : Macs im Visier

Vorschau anzeigen
Mac OS X wird immer beliebter. Auch bei den Cyberkriminellen. Und dann gibt es da wohl auch noch mindestens einen Staat, der es auf Mac-Benutzer abgesehen hat. Aber fangen wir mit den normalen Cyberkriminellen an. Flashback - Erstinfektion ohn

Dipl.-Inform. Carsten Eilers am : Ein bekannter Advanced Persistent Threat: Operation Aurora

Vorschau anzeigen
Nachdem geklärt ist, was ein APT ist, wollen wir jetzt einen Blick auf den Ablauf so eines Angriffs richten. Als erstes Beispiel dient der Angriff, der den Begriff "Advanced Persistent Threat" im Januar 2010 bekannt gemacht hat: Operation

Dipl.-Inform. Carsten Eilers am : Ein weiterer bekannter Advanced Persistent Threat: Stuxnet

Vorschau anzeigen
Sie haben bereits erfahren, was ein Advanced Persistent Threat (APT) ist, und mit der Operation Aurora haben Sie bereits den Angriff kennen gelernt, der den Begriff bekannt gemacht hat. In dieser Folge geht es um einen weiteren bekannten APT-Ang

Dipl.-Inform. Carsten Eilers am : Noch ein bekannter Advanced Persistent Threat: Der Angriff auf RSA

Vorschau anzeigen
Der Angriff auf RSA zum Ausspähen der Seeds der SecurID-Token ist ein weiterer bekannter Advanced Persistent Threat (APT), der noch dazu relativ gut dokumentiert ist. Zumindest wissen wir, wie der Angreifer "den Fuss in die Tür bekommen

Dipl.-Inform. Carsten Eilers am : Die 0-Day-Exploits und die Angriffe auf Apple, Microsoft und Co.

Vorschau anzeigen
Wie angekündigt geht es heute um die aktuellen 0-Day-Exploits, die Angriffe auf Unternehmen wie Facebook, Apple und Microsoft und was sonst noch so alles damit zusammen hängt. Das folgende basiert lose auf der "Timeline: Hacks Rela

Dipl.-Inform. Carsten Eilers am : Cyberkrieger? Cyberkriminelle!

Vorschau anzeigen
Ein paar Worte zum Patch für die aktuelle 0-Day-Schwachstelle im Internet Explorer 8 führt zum Schluss, dass Cyberkrieger Cyberkriminelle unterstützen. Ein Patch für die 0-Day-Schwachstelle im IE8? Microsoft bemüh