Mit dem Finger auf den politischen Gegner zu zeigen, scheint national wie international immer beliebter zu werden. Ohne der Öffentlichkeit handfeste Beweise vorzulegen, werden in der Regel „informierte Kreise“ und „Cyberexperten“ wohl aus dem Geheimdienstumfeld zitiert, um die vermeintlichen Hintermänner von Cyberspionage oder -angriffen zu brandmarken. Das muss den Bürgerinnen und Bürgern als Beleg genügen. Als jemand, der seit vielen Jahren Bedrohungen und Spionageangriffe im Cyberspace zusammen mit seinem Team analysiert, kann ich nur sagen: Mir reicht das nicht. Denn den Schuldigen eindeutig zu identifizieren, ist mit den Mitteln der IT nur in seltenen Fällen möglich.
Ich bin ein großer Verfechter davon, dass Anbieter von IT-Sicherheitslösungen aktiv mit Strafverfolgungsbehörden zusammenarbeiten sollten, um Cyberkriminelle dingfest zu machen. So ist es meinem Team und mir in jahrelanger Kleinarbeit gelungen, unter anderem wertvolle Hinweise zur Ergreifung der Hintermänner des Botnetzes Esthost im Jahr 2011 zu liefern. Und um ein jüngeres Beispiel zu nennen, hat unsere Kooperation mit Interpol 2016 zur Verhaftung des Anführers einer nigerianischen Cyberbande geführt.
Mit diesen Beispielen will ich verdeutlichen, wie schwierig und aufwendig es ist, schon im Bereich der Cyberkriminalität Ermittlungserfolge zu erzielen. Im Bereich der politisch motivierten Cyberspionage ist das jedoch nahezu unmöglich, jedenfalls mit den der IT-Sicherheitsindustrie zur Verfügung stehenden Mitteln. Wir wissen zwar in der Tat eine Menge über die Spionagekampagne Pawn Storm, die bevorzugt – aber nicht nur – Behörden und Institutionen der westlichen Welt einschließlich des Deutschen Bundestages ins Visier nimmt. Aber können wir deshalb eindeutig beweisen, dass die russische Regierung hinter diesen Angriffen steckt? Nein, das können wir nicht.
Und noch ein ganz aktuelles Beispiel soll die Schwierigkeiten der eindeutigen Schuldzuweisung im Cyberspace illustrieren: 87 GByte an gestohlen Daten, 18.000 angegriffene E-Mail-Konten, Opfer in Italien, aber auch in anderen europäischen Ländern wie Deutschland, Österreich und Frankreich sowie den USA und Japan – hinter einer so großen Spionageaktion (die verwendete Spionagesoftware hieß EyePyramid) müssen doch ein mächtiger Geheimdienst und politische Motive stecken. Vielleicht ist dem aber tatsächlich gar nicht so, handelte das mittlerweile festgenommene Geschwisterpaar nur auf eigene Rechnung, angetrieben von blanker Gier.
IT-Forensik reicht in der Regel nicht aus
Die Hintermänner und Auftraggeber von politisch motivierter Cyberspionage eindeutig zu identifizieren, ist nur möglich, wenn die Mittel der IT-Forensik um andere Methoden wie das Abhören von Telefonen oder das Beschatten von Zielpersonen ergänzt werden. Denn die im Cyberspace zu beobachtenden Aktionen und Akteure sind in diesem Kontext einfach zu professionell.
Was soll die Öffentlichkeit also anfangen mit den von Politikern vorgebrachten Schuldzuweisungen? Ich fürchte wenig. Für die Bürgerinnen und Bürger ist es nur schwer zu unterscheiden, was Fakten und was „alternative Fakten“ in diesem Bereich sind. Ist Propaganda wirklich das Privileg nur bestimmter Regime und Staaten?
… aber sie hilft die Verteidigung zu optimieren
Dennoch sind natürlich Analysen von Cyberattacken und auch Zuordnungen in den Fällen, in denen sie möglich sind, für alle und insbesondere für Unternehmen wertvoll. Denn die politisch motivierten Kampagnen unterscheiden sich sowohl in technischer als auch taktischer Hinsicht gar nicht so sehr von Angriffen auf Firmen – wenn überhaupt. Je mehr wir verstehen, wie Angriffe im Cyberspace geführt werden und welche Ziele dabei anvisiert werden – Finanzdaten, geistiges Eigentum, Geschäftsprozesse, Einzelpersonen etc. –, desto besser lassen sich Netzwerke und Geräte schon vorbeugend absichern, kann im Ernstfall schneller und effektiver reagiert werden, um den Schaden zu begrenzen. Das – und nicht Gegenangriffe – liefert langfristig den besten Schutz und hilft dabei, politisch motivierte Spekulationen zu vermeiden.
Weitere Informationen
Weitere Informationen zum Thema sind im deutschsprachigen Trend-Micro-Blog abrufbar.
Über Martin Rösler
Als „Director Threat Research“ ist Martin Rösler beim japanischen IT-Sicherheitsanbieter Trend Micro verantwortlich für ein Team aus weltweit tätigen Sicherheitsforschern, das täglich die Aktivitäten der Cyberkriminellen beobachtet und die Bedrohungslage im Internet analysiert. Dabei geht es zum einen darum, Angriffe zu verhindern und neue Abwehrmethoden zu erarbeiten, zum anderen darum, den sicheren Austausch digitaler Daten zu ermöglichen und neue Technologien zu entwickeln.
Ich bin ein großer Verfechter davon, dass Anbieter von IT-Sicherheitslösungen aktiv mit Strafverfolgungsbehörden zusammenarbeiten sollten, um Cyberkriminelle dingfest zu machen. So ist es meinem Team und mir in jahrelanger Kleinarbeit gelungen, unter anderem wertvolle Hinweise zur Ergreifung der Hintermänner des Botnetzes Esthost im Jahr 2011 zu liefern. Und um ein jüngeres Beispiel zu nennen, hat unsere Kooperation mit Interpol 2016 zur Verhaftung des Anführers einer nigerianischen Cyberbande geführt.
Mit diesen Beispielen will ich verdeutlichen, wie schwierig und aufwendig es ist, schon im Bereich der Cyberkriminalität Ermittlungserfolge zu erzielen. Im Bereich der politisch motivierten Cyberspionage ist das jedoch nahezu unmöglich, jedenfalls mit den der IT-Sicherheitsindustrie zur Verfügung stehenden Mitteln. Wir wissen zwar in der Tat eine Menge über die Spionagekampagne Pawn Storm, die bevorzugt – aber nicht nur – Behörden und Institutionen der westlichen Welt einschließlich des Deutschen Bundestages ins Visier nimmt. Aber können wir deshalb eindeutig beweisen, dass die russische Regierung hinter diesen Angriffen steckt? Nein, das können wir nicht.
Und noch ein ganz aktuelles Beispiel soll die Schwierigkeiten der eindeutigen Schuldzuweisung im Cyberspace illustrieren: 87 GByte an gestohlen Daten, 18.000 angegriffene E-Mail-Konten, Opfer in Italien, aber auch in anderen europäischen Ländern wie Deutschland, Österreich und Frankreich sowie den USA und Japan – hinter einer so großen Spionageaktion (die verwendete Spionagesoftware hieß EyePyramid) müssen doch ein mächtiger Geheimdienst und politische Motive stecken. Vielleicht ist dem aber tatsächlich gar nicht so, handelte das mittlerweile festgenommene Geschwisterpaar nur auf eigene Rechnung, angetrieben von blanker Gier.
IT-Forensik reicht in der Regel nicht aus
Die Hintermänner und Auftraggeber von politisch motivierter Cyberspionage eindeutig zu identifizieren, ist nur möglich, wenn die Mittel der IT-Forensik um andere Methoden wie das Abhören von Telefonen oder das Beschatten von Zielpersonen ergänzt werden. Denn die im Cyberspace zu beobachtenden Aktionen und Akteure sind in diesem Kontext einfach zu professionell.
Was soll die Öffentlichkeit also anfangen mit den von Politikern vorgebrachten Schuldzuweisungen? Ich fürchte wenig. Für die Bürgerinnen und Bürger ist es nur schwer zu unterscheiden, was Fakten und was „alternative Fakten“ in diesem Bereich sind. Ist Propaganda wirklich das Privileg nur bestimmter Regime und Staaten?
… aber sie hilft die Verteidigung zu optimieren
Dennoch sind natürlich Analysen von Cyberattacken und auch Zuordnungen in den Fällen, in denen sie möglich sind, für alle und insbesondere für Unternehmen wertvoll. Denn die politisch motivierten Kampagnen unterscheiden sich sowohl in technischer als auch taktischer Hinsicht gar nicht so sehr von Angriffen auf Firmen – wenn überhaupt. Je mehr wir verstehen, wie Angriffe im Cyberspace geführt werden und welche Ziele dabei anvisiert werden – Finanzdaten, geistiges Eigentum, Geschäftsprozesse, Einzelpersonen etc. –, desto besser lassen sich Netzwerke und Geräte schon vorbeugend absichern, kann im Ernstfall schneller und effektiver reagiert werden, um den Schaden zu begrenzen. Das – und nicht Gegenangriffe – liefert langfristig den besten Schutz und hilft dabei, politisch motivierte Spekulationen zu vermeiden.
Weitere Informationen
Weitere Informationen zum Thema sind im deutschsprachigen Trend-Micro-Blog abrufbar.
Über Martin Rösler
Als „Director Threat Research“ ist Martin Rösler beim japanischen IT-Sicherheitsanbieter Trend Micro verantwortlich für ein Team aus weltweit tätigen Sicherheitsforschern, das täglich die Aktivitäten der Cyberkriminellen beobachtet und die Bedrohungslage im Internet analysiert. Dabei geht es zum einen darum, Angriffe zu verhindern und neue Abwehrmethoden zu erarbeiten, zum anderen darum, den sicheren Austausch digitaler Daten zu ermöglichen und neue Technologien zu entwickeln.
