Digitales Armageddon : Geknackte Quellcodes bedrohen kritische Infrastruktur


von Vlad Geor­ge­scu 

Tat­säch­lich mar­kiert der Monat Mai 2019 einen Wen­de­punkt. Denn zum ers­ten Mal gelang­ten Hacking Units nicht an die Daten von Mil­lio­nen Nut­zern, son­dern an den Hei­li­gen Gral eines jeden Soft­ware­ent­wick­lers : den Quell­code. Als reich­te dies allein nicht aus, setz­ten die Hacker einen drauf – und klau­ten wich­ti­ge Pro­gram­mier­zei­len von Syman­tec, Trend Micro und McA­fee, jenen Unter­neh­men also, die mit ihren Anti­vi­ren und End­point-Pro­tec­tion-Tools unzäh­li­ge kri­ti­sche Infra­struk­tu­ren welt­weit absi­chern sol­len. Und bis­lang als fes­te Grö­ße im Kampf gegen die Orga­ni­sier­te Kri­mi­na­li­tät gal­ten.

So arbei­tet Trend Micro “seit 2013 mit Inter­pol zur Bekämp­fung von Cyber­kri­mi­na­li­tät zusam­men”, wie Wiki­pe­dia der­zeit noch voll­mun­dig beschreibt. Noch 2016 – im Zeit­al­ter der Bits und Bytes eine digi­ta­le Ewig­keit – ver­kün­de­te das japa­ni­sche Unter­neh­men einen sen­sa­tio­nel­len Erfolg :

Der japa­ni­sche IT-Sicher­heits­an­bie­ter Trend Micro hat zur Fest­nah­me des Anfüh­rers eines inter­na­tio­na­len kri­mi­nel­len Netz­werks bei­getra­gen. Die­ser steht im Ver­dacht, mehr als 60 Mil­lio­nen US-Dol­lar durch die cyber­kri­mi­nel­len Metho­den ‘Busi­ness Email Com­pro­mi­se’ (BEC) und ‘CEO Fraud’ erbeu­tet zu haben”, hieß es damals in der ent­spre­chen­den Mit­tei­lung des glo­bal ope­rie­ren­den Cyber­un­ter­neh­mens.

Nicht min­der selbst­be­wusst gab sich der US-ame­ri­ka­ni­sche Gigant Syman­tec – und trug auf dem Inter­pol World Con­gress 2015 sei­ne Sicht­wei­se von Cyber­stra­te­gie vor. Dass Syman­tec zu den Speer­spit­zen der ame­ri­ka­ni­schen Cyber­ab­wehr zählt, galt bis Mai die­ses Jah­res als Bin­sen­weis­heit. Eben­so sei­ne Nähe zur Natio­nal Secu­ri­ty Agen­cy (NSA). Schon vor einem Jahr­zehnt dozier­ten Fach­leu­te der pri­va­ten Fir­ma vor Fach­leu­ten der NSA – kei­nes­falls unge­wöhn­lich, denn auch rus­si­sche und chi­ne­si­sche Pri­vat­un­ter­neh­men tau­schen sich mit den Cyber­be­hör­den ihrer Län­der aus.

Was jedoch heu­te unter Cyber­ex­per­ten als digi­ta­les Arma­ged­don zählt, ist die Tat­sa­che, dass aus­ge­rech­net jene Cyber­ab­wehr-Gigan­ten des Wes­tens ihre eige­nen Quell­codes nicht vor dem Zugriff durch exter­ne Hacker zu schüt­zen ver­moch­ten, die bis­lang selbst der NSA und Inter­pol bera­tend zur Sei­te stan­den.

Denn einer Hacker­grup­pe, die sich Fxmsp nennt, gelang es bereits im März die­ses Jah­res, ins Netz der Gebeu­tel­ten ein­zu­drin­gen, wie das IT-Por­tal Blee­ping­Com­pu­ter unlängst berich­te­te.

Damit gelangt womög­lich unschätz­bar wich­ti­ger Quell­code, der auch hier­zu­lan­de einen Groß­teil der kri­ti­schen Infra­struk­tu­ren schützt, in die Hän­de der gut betuch­ten Orga­ni­sier­ten Kri­mi­na­li­tät. Denn die von Fxmsp gefor­der­ten Sum­men lie­gen im Bereich von 250.000 bis eine Mil­li­on US-Dol­lar, wenig Geld für Orga­ni­sa­tio­nen, die allein mit einer Boot­la­dung Koka­in eine hal­be Mil­li­ar­de Dol­lar und mehr erwirt­schaf­ten. Den Code kau­fen, um am Ende die Straf­ver­fol­ger zu über­wa­chen – was bis­lang hol­ly­woodreif war, ist seit Mai 2019 Rea­li­tät.

Ent­schei­dend für die poten­ti­el­len Käu­fer ist näm­lich nicht der Code per se. Denn Hacker kön­nen, frei­lich ille­gal, mit Hil­fe von ehe­ma­li­gen NSA-Werk­zeu­gen wie GHIDRA und ande­ren Tools ohne­hin jene Tei­le des Codes sicht­bar machen, die nicht ver­schlüs­selt sind. Ent­schei­dend für zah­lungs­wil­li­ge Cyber­kri­mi­nel­le ist viel­mehr der Ein­tritts­weg in die Hei­lig­tü­mer von Syman­tec und Trend Micro oder McA­fee – und die Erkennt­nis, dass Fxmsp offen­bar in der Lage ist, die­sen Weg zu gehen. Mit­un­ter auch als Auf­trags­ar­beit.

Alles neu macht der Mai

Der Fxmsp-Angriff ist für sich allein betrach­tet ein Desas­ter, doch zur Kern­schmel­ze der Cyber­si­cher­heit tra­gen meh­re­re Fak­to­ren und wei­te­re auf­ge­flo­ge­ne Cyber­at­ta­cken bei.

So muss­te der deut­sche Spe­zia­list CITRIX zuge­ben, sechs Mona­te lang nicht den blas­ses­ten Schim­mer davon gehabt zu haben, über­haupt ange­grif­fen wor­den zu sein. Dass sich Angrei­fer ein hal­bes Jahr lang voll­kom­men unbe­merkt im Fir­men­netz­werk bewe­gen und ganz neben­bei per­so­nen­ge­bun­de­ne Kun­den­da­ten absaug­ten, zeigt vor allem eins : Die Repu­blik steht vor einem digi­ta­len Trüm­mer­hau­fen.

Schlim­mer geht’s nim­mer, möch­te man mei­nen. Mit­nich­ten. Auch City­comp, zu des­sen Kun­den Por­sche und VW zäh­len, sah sich die­sen Monat mit dem digi­ta­len GAU kon­fron­tiert – der deut­sche IT-Spe­zia­list muss­te ein­räu­men, Kun­den­da­ten an die Angrei­fer ver­lo­ren zu haben.

Die jet­zi­gen Cyber­at­ta­cken betref­fen prak­tisch alle IT-Struk­tu­ren des Wes­tens, vor allem inner­halb Deutsch­lands.

Für die glo­ba­len Black-Hat-Angrei­fer sind das gute Nach­rich­ten, scheint der letz­te Damm doch gebro­chen zu sein. Denn nahe­zu unbe­merkt von der Öffent­lich­keit – und nicht ein­mal von Edward Snow­den publik preis­ge­ge­ben –, basier­te die Cyber­ab­wehr vor allem auf einem ele­men­ta­ren Gedan­ken : Nicht der Schutz durch Soft­ware allein, son­dern erst die “Koope­ra­ti­on” zwi­schen Pro­zes­sor und Soft­ware soll­te Com­pu­ter und Anla­gen schüt­zen – gehei­me Angriffs­flä­chen auf den Pro­zes­so­ren wie­der­um wür­den, so der ursprüng­li­che Gedan­ke, im Not­fall eige­ne Cyber­an­grif­fe erleich­tern.

Die US-ame­ri­ka­ni­sche Domi­nanz sowohl auf dem Gebiet der Hard­ware als auch der Soft­ware schien auch die Domi­nanz der Cyber­ab­wehr zu gewähr­leis­ten. Dass die­se auf Pro­zes­sor­ebe­ne aller Wahr­schein­lich­keit von Beginn an kon­zi­pier­ten Ein­tritts­pfor­ten auf­flo­gen, hat vor allem eine beun­ru­hi­gen­de Kom­po­nen­te : Die NSA selbst scheint ihre Cyber­waf­fen und Dienst­ge­heim­nis­se nicht mehr unter Kon­trol­le hal­ten zu kön­nen.

Denn auch Wan­naCry und Not­Pet­ya, die 2017 die Welt im Atem hiel­ten, sind eigent­lich Abkömm­lin­ge aus dem tech­nisch betrach­tet durch­aus bril­lan­ten NSA-Reper­toire – und gel­ten als ers­tes Indiz dafür, dass die US-Cyber­ab­wehr ohne Edward Snow­dens Ent­hül­lun­gen mas­si­ver wackelt denn je.

Die übli­chen Ver­däch­ti­gen – Cui bono ?

Dass aus­län­di­sche Cyber­diens­te aus Russ­land, Chi­na oder dem Iran tech­nisch in der Lage sind, soge­nann­te APT-Angrif­fe (Advan­ced Per­sis­tent Thre­at) durch­zu­füh­ren, ist alt­be­kannt. Doch die jet­zi­ge Wel­le dürf­te ihnen eben­so unge­le­gen kom­men wie dem Wes­ten. Denn anders als die orga­ni­sier­te Cyber­kri­mi­na­li­tät ver­fol­gen aus­län­di­sche Cyber-Nach­rich­ten­diens­te in ers­ter Linie die lei­se und unauf­fäl­li­ge Über­nah­me von kri­ti­schen Infra­struk­tu­ren.

Auf die­se Wei­se las­sen sich Unter­neh­men und staat­li­che Ein­rich­tun­gen aus­spio­nie­ren oder, sofern es zu einem mas­si­ven Kon­flikt käme, auch mal lahm­le­gen. Nichts ande­res betrei­ben auf der ande­ren Sei­te die NSA und ihre fach­lich nicht min­der bewan­der­ten Cyber­krie­ger des bri­ti­schen Government Com­mu­ni­ca­ti­ons Head­quar­ters (GCHQ). Gera­de für deut­sche Unter­neh­men stellt sich ob sol­cher Kon­stel­la­tio­nen nicht mehr die Fra­ge, ob sie gehackt wer­den wol­len, son­dern von wem.

Gleich­wohl wer­den immer wie­der die glei­chen Mus­ter bedient. So wer­den Unter­neh­men wie Kas­pers­ky und Hua­wei im Wes­ten auf Druck der USA arg­wöh­nisch beäugt, obwohl sie wesent­lich zur glo­ba­len Cyber­ab­wehr und ‑kom­mu­ni­ka­ti­on bei­tra­gen. 

Doch die jet­zi­ge Angriffs­wel­le trifft alle. Den Wes­ten, weil er ganz offen­sicht­lich zu gro­ßen Tei­len sei­ne Cyber­ab­wehr­fä­hig­keit ver­lo­ren hat, und sei­ne Gegen­spie­ler, weil es am Ende nichts mehr aus­zu­spio­nie­ren gibt, wenn der Trend anhält, son­dern bri­san­tes Mate­ri­al schlicht­weg gegen BTC ver­scher­belt wird. 

Womög­lich geht es am Ende somit nur um eine so pro­fa­ne Sache wie ums Geld. Das eben­so fit­te wie berüch­tig­te Hacker­kol­lek­tiv Dark Over­lord jeden­falls sucht mit pro­fes­sio­nel­len Stel­len­an­zei­gen im Dar­knet Mit­ar­bei­ter – und bezahlt ihnen nach Sich­tung der Bewer­bungs­un­ter­la­gen rund 77.000 Euro pro Monat.

Man darf es auch anders sagen : Wes­ten hin, Osten her – Pecu­nia non olet.

RT Deutsch bemüht sich um ein brei­tes Mei­nungs­spek­trum. Gast­bei­trä­ge und Mei­nungs­ar­ti­kel müs­sen nicht die Sicht­wei­se der Redak­ti­on wider­spie­geln.

Mehr zum The­ma — Aus­ge­rech­net Kas­pers­ky half der NSA auf die Spur zum Mega­da­ten­klau

RT Deutsch


Kommentar verfassen

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.