(Norlando Pobre / Flickr / cc-by-2.0)
Sowohl die Bundestagsverwaltung als auch der IT-Sicherheitsspezialist Kaspersky mussten einräumen, dass Hacker monatelang unbemerkt Daten aus ihren Netzen absaugten. Die Antwort kann nicht heißen „mehr Technik“, sondern: „mehr Mensch“.
Uli Ries ist IT-Journalist in München. Er schreibt neben der TR unter anderem für c’t.
Wie immer bei Cyber-Attacken gibt es mehr offene als beantwortete Fragen: Wer steckt hinter der Attacke? Wie wurde die Schadsoftware eingeschleust? Was wurde nach draußen transferiert? Was haben die Angreifer mit den Daten vor? Fest steht jedoch, dass Kriminelle über mehrere Wochen gigabyteweise Daten aus dem Netz des Bundestages absaugen konnten. Die verwendete Schadsoftware scheint so widerstandsfähig, dass die Fachleute sie auch nach der Entdeckung nicht im Zaum halten können. Von einer teilweisen Neuinstallation der Netzwerkinfrastruktur ist jetzt die Rede, um die Hinterlassenschaften aus dem System zu kehren.
Wer jetzt ob der vermeintlichen Dummheit der Bundestagsangestellten die Augen rollt, verkennt die Qualität solcher Angriffe: Selbst der IT-Sicherheitsgigant Kaspersky ist nicht vor ihnen gefeit, wie die zweite einschlägige Nachricht dieser Tage zeigt. Ein Doppelklick auf den Anhang einer Phishing-E-Mail schleuste den Schädling in das wahrscheinlich sehr gut gesicherte Netz der in Russland ansässigen Spezialisten ein. Menschliches Versagen? Gewiss.
Aber selbst James Lyne, oberster Virenjäger beim IT-Sicherheitsanbieter Sophos, gut informiert und stets (über)vorsichtig, ist nach eigener Auskunft einem Spear-Phishing-Angriff nur durch Zufall entgangen. Nichts an der E-Mail erregte sein Misstrauen. Wenn also weder die mit Steuergeldern finanzierten Verteidigungslinien des Bundestags halten noch IT-Sicherheitsanbieter Angriffe verhindern können ? was heißt das für die Zukunft einer vernetzten Welt? Ist der Kampf gegen Cyber-Kriminelle, Cyber-Spionage und Cyberwar verloren?
Die schlechte Nachricht: Ja, Widerstand ist zwecklos. Netze werden auch weiterhin infiziert, Kriminelle saugen weiterhin Daten ab ? im besten Fall. Im schlechtesten Fall sabotieren die Eindringlinge die Systeme und korrumpieren Daten. Anbieter von IT-Schutzprodukten wissen und predigen dies seit Jahren. Die gute Nachricht: Auch wenn es keinen 100-prozentigen Schutz vor erfolgreichen Angriffen gibt, die Folgen lassen sich sehr wohl bekämpfen.
IT-Sicherheitsfirmen versuchen immer wieder aufs Neue, Unternehmen Komponenten schmackhaft zu machen, die trotz erfolgreichem Angriff ein Abfließen von Daten verhindern. Was aber bisher viel zu selten beherzigt wird: Zu ihrer Wirksamkeit gehört mehr als die bloße Installation eines solchen Produkts. Wer glaubt, seine Abwehr vollständig an Computer auslagern zu können, wird scheitern. Der Mensch muss mithelfen und sich beispielsweise mit der Analyse von Logfiles befassen.
Immer wieder stellen Forensiker beim Aufklären von Cyber-Einbrüchen fest, dass sich dort reichlich Hinweise auf den Angriff finden ? die aber viel zu selten Beachtung finden. Unternehmen investieren also falsch, wenn sie zwar Schutztechnik anschaffen, gleichzeitig aber nichts für gute Mitarbeiter ausgeben, die die Produkte sinnvoll einsetzen können.
Dieser Weg würde zudem die Verteidigung über die Unternehmensgrenzen hinaus verbessern. Denn je mehr geschulte Experten über den Modus Operandi und eventuell die Hintermänner des Angriffs in Erfahrung bringen, desto besser können Strafverfolger agieren. Heute dagegen müssen sie oft ohne derartige Informationen ermitteln, wer hinter einem Angriff steckt. Gänzlich unmöglich wird ihre Aufgabe, wenn panische IT-Mitarbeiter infizierte Rechner säubern und somit wertvolle Anhaltspunkte zerstören.
Die Methode hat natürlich Grenzen, wenn staatliche Angreifer im Spiel sind. Selbst wenn sich ihre Täterschaft einwandfrei ermitteln ließe, wer soll sie festnehmen? Experten vermuten beispielsweise, dass hinter dem Angriff auf Kaspersky die Macher von Duqu und Stuxnet stehen ? und damit wahrscheinlich israelische Sicherheitsbehörden. In solchen Fällen, zu denen auch der Angriff auf den Bundestag gehören dürfte, helfen nur politische Maßnahmen. Es wird also höchste Zeit, dass sich Regierungen über Spielregeln beim Cyber-Krieg einigen.
Der Ruf nach völkerrechtlichen Absprachen für den Online-Kampf ist schon seit Jahren zu hören. Zuletzt recht laut im März, als sich Hans-Georg Maaßen, der Präsident des Bundesamtes für Verfassungsschutz, für ein solches Reglement aussprach.
Das klingt naiv, und selbst Maaßen schränkte sofort ein: Angreifer würden sich wohl nicht dran halten. Zu groß sind die Schlupflöcher. Denn das Pendant zur Haager Landkriegsordnung würde ein Problem nicht aus der Welt schaffen: IP-Adressen lassen sich leicht verstecken und die Täterschaft somit leugnen ? anders als bei Panzern oder Raketen-Abschussrampen. Aber was wäre die Alternative?
Eine international ausgehandelte Vereinbarung könnte immerhin für mehr Klarheit und weniger Rätselraten sorgen, wenn sich Experten ans Aufklären einer Attacke machen. Denn dann könnten zumindest Bündnispartner ausschließen, dass ihre Vertragspartner hinter dem Angriff stecken. Eine Garantie ist das nicht. Aber sie gab es auch bei früheren Abrüstungs-abkommen nicht. Dennoch haben sie oft funktioniert. (Uli Ries) / (bsc)
Dieser Text ist der Zeitschriften-Ausgabe 07/2015 von Technology Review entnommen. Das Heft kann, genauso wie die aktuelle Ausgabe, hier online bestellt werden.