Cyberangriffe: Wichtiger als alternative Fakten ist das Wissen, wie man sich schützt

Verfasst von Martin Rösler am 20.02.2017 - 05:01

Mit dem Finger auf den politischen Gegner zu zeigen, scheint national wie international immer beliebter zu werden. Ohne der Öffentlichkeit handfeste Beweise vorzulegen, werden in der Regel "informierte Kreise" und "Cyberexperten" wohl aus dem Geheimdienstumfeld zitiert, um die vermeintlichen Hintermänner von Cyberspionage oder -angriffen zu brandmarken. Das muss den Bürgern als Beleg genügen. Allerdings reicht das nicht. Denn den Schuldigen eindeutig zu identifizieren, ist mit den Mitteln der IT nur in seltenen Fällen möglich.

Gastkommentar von Martin Rösler, Leiter der Bedrohungsforschung beim japanischen IT-Sicherheitsanbieter Trend Micro

Ich bin ein grosser Verfechter davon, dass Anbieter von IT-Sicherheitslösungen aktiv mit Strafverfolgungsbehörden zusammenarbeiten sollten, um Cyberkriminelle dingfest zu machen. So ist es meinem Team und mir in jahrelanger Kleinarbeit gelungen, unter anderem wertvolle Hinweise zur Ergreifung der Hintermänner des Botnetzes Esthost im Jahr 2011 zu liefern. Und um ein jüngeres Beispiel zu nennen, hat unsere Kooperation mit Interpol 2016 zur Verhaftung des Anführers einer nigerianischen Cyberbande geführt.

Mit diesen Beispielen will ich verdeutlichen, wie schwierig und aufwendig es ist, schon im Bereich der Cyberkriminalität Ermittlungserfolge zu erzielen. Im Bereich der politisch motivierten Cyberspionage ist das jedoch nahezu unmöglich, jedenfalls mit den der IT-Sicherheitsindustrie zur Verfügung stehenden Mitteln. Wir wissen zwar in der Tat eine Menge über die Spionagekampagne Pawn Storm, die bevorzugt – aber nicht nur – Behörden und Institutionen der westlichen Welt einschliesslich des Deutschen Bundestages ins Visier nimmt. Aber können wir deshalb eindeutig beweisen, dass die russische Regierung hinter diesen Angriffen steckt? Nein, das können wir nicht.

Und noch ein ganz aktuelles Beispiel soll die Schwierigkeiten der eindeutigen Schuldzuweisung im Cyberspace illustrieren: 87 GByte an gestohlen Daten, 18.000 angegriffene E-Mail-Konten, Opfer in Italien, aber auch in anderen europäischen Ländern wie Deutschland, Österreich und Frankreich sowie den USA und Japan – hinter einer so grossen Spionageaktion (die verwendete Spionagesoftware hiess Eyepyramid) müssen doch ein mächtiger Geheimdienst und politische Motive stecken. Vielleicht ist dem aber tatsächlich gar nicht so, handelte das mittlerweile festgenommene Geschwisterpaar nur auf eigene Rechnung, angetrieben von blanker Gier.

Die Hintermänner und Auftraggeber von politisch motivierter Cyberspionage eindeutig zu identifizieren, ist nur möglich, wenn die Mittel der IT-Forensik um andere Methoden wie das Abhören von Telefonen oder das Beschatten von Zielpersonen ergänzt werden. Denn die im Cyberspace zu beobachtenden Aktionen und Akteure sind in diesem Kontext einfach zu professionell.

Was soll die Öffentlichkeit also anfangen mit den von Politikern vorgebrachten Schuldzuweisungen? Ich fürchte wenig. Für die Bürger ist es nur schwer zu unterscheiden, was Fakten und was "alternative Fakten“ in diesem Bereich sind. Ist Propaganda wirklich das Privileg nur bestimmter Regime und Staaten?

Dennoch sind natürlich Analysen von Cyberattacken und auch Zuordnungen in den Fällen, in denen sie möglich sind, für alle und insbesondere für Unternehmen wertvoll. Denn die politisch motivierten Kampagnen unterscheiden sich sowohl in technischer als auch taktischer Hinsicht gar nicht so sehr von Angriffen auf Firmen – wenn überhaupt. Je mehr wir verstehen, wie Angriffe im Cyberspace geführt werden und welche Ziele dabei anvisiert werden – Finanzdaten, geistiges Eigentum, Geschäftsprozesse, Einzelpersonen etc. –, desto besser lassen sich Netzwerke und Geräte schon vorbeugend absichern, kann im Ernstfall schneller und effektiver reagiert werden, um den Schaden zu begrenzen. Das – und nicht Gegenangriffe – liefert langfristig den besten Schutz und hilft dabei, politisch motivierte Spekulationen zu vermeiden.

Gastkommentator Martin Rösler, Leiter der Bedrohungsforschung beim japanischen IT-Sicherheitsanbieter Trend Micro (Foto: Trend Micro)