SICHERHEIT
02/23/2011

"Wir sind auf dem Weg zum Cyberkrieg"

Der Showdown von Wikileaks-Gegnern und -Befürwortern mit gegenseitigen Server-Attacken war nur ein Vorgeschmack auf den drohenden Cyberkrieg. Zu diesem Schluss kommt der Schweizer Sicherheitsexperte Ivan Bütler, der mit einem Team von "ethischen" Hackern die Netzwerke von Unternehmen auf Schwachstellen durchforstet.

von Martin Stepanek

"Wikileaks hat eigentlich nichts mit Hacking zu tun", erklärt Bütler, CEO des Sicherheitsunternehmens Compass Security , im Gespräch mit der FUTUREZONE. Dass Hunderttausende Dokumente über zu laxe Zugangsberechtigungen nach außen gelangen konnten, sei aber sehr wohl ein Sicherheitsthema, mit dem sich auch andere Regierungen und Unternehmen auseinander setzen müssten.

Feind im eigenen Netzwerk

"Die schwierige Frage lautet: Wie schütze ich mich gegenüber jemandem, dem ich vertrauen muss", erklärt Bütler. Jahrelang habe das Paradigma "außen die Bösen - innen die Guten" gegolten. Das sei aber definitiv überholt. "Eine gute Firewall reicht nicht mehr. Man muss den Feind im eigenen Netzwerk erwarten", ist Bütler überzeugt.

Neben strengeren Zugangsprotokollen, etwa dass kritische Operationen von zumindest zwei Mitarbeitern bestätigt werden müssen, sieht der Security-Experte nur die Zonenbildung innerhalb von Netzwerken als Ausweg. "Das ist wie bei einem Atomkraftwerk: Die geheimsten Daten, sozusagen der Kern des Unternehmens, müssen einfach offline bleiben. Das geht zwar zu Lasten der Usability, aber in unserer vernetzten Welt wird früher oder später kein Weg daran vorbeiführen."

Trojaner isolieren

Aus sicherheitstechnischer Sicht sei heute mindestens genauso wichtig, dass die Kommunikation von innen nach außen kontrolliert und geschützt werde. Schaffe ein Trojaner über Internetzugang oder USB-Sticks den Weg ins interne Netzwerk, gelte es, nach dessen Aktivierung die Kommunikation zu seinem Initiator zu verhindern. Kann der Trojaner keine sensiblen Daten nach außen senden bzw. mit dem eigentlichen Angreifer kommunizieren, bleibt er für den Auftragsgeber meist wertlos.

Die derzeitigen Serverangriffe, aber auch das Unterbinden von elektronischen Transaktionen sieht Bütler als klare Vorboten eines Cyberkriegs, der im Ernstfall auch ganze Staaten außer Gefecht setzen könnte. "Man muss ja nur die Vorgehensweise von Mastercard, Visa und PayPal gegenüber Wikileaks auf einen ganzen Staat umlegen. Wird ein Land von heute auf morgen von Finanztransaktionen abgeschnitten, kann man dieses komplett von der Welt isolieren", sagt Bütler.

Cyberkrieg: Staaten rüsten auf

Dass Regierungen ihre Infrastruktur aufrüsten und aktiv im Cyberspace mitmischen, ist allerspätestens seit der letztjährigen öffentlichen Auseinandersetzung zwischen Google und China um Hackingangriffe auf Gmail-Accounts und andere sensible Daten kein Geheimnis mehr. Während China eine Involvierung in diesem Fall, wie auch bei anderen Vorkommnissen stets bestritt, warnte die USA etwa schon im Jahr 2008 in einem Kongressbericht davor, dass von der chinesischen Regierung über 250 Hacker-Gruppen zu Angriffen motiviert worden seien.

Für Aufregung sorgte bereits im Frühling 2007 ein Angriff auf die IT-Infrastruktur Estlands. Nach Protesten wegen einer umstrittenen Demontage eines russischen Kriegerdenkmals gingen eine Vielzahl von Behördenseiten, wie Regierung, Parlament und Polizei nach Distributed Denial-of-Service-Attacken offline. Estland beschuldigte den russischen Geheimdienst und forderte die NATO auf, derartige Aktionen als kriegerische Handlung anzuerkennen. Russland stritt seinerseits seine Involvierung vehement ab und darauf tauchten in russischen Medien Beweise auf, die Angriffe hätten von den USA und Vietnam aus stattgefunden. Nach einigen Monaten wurde in Estland schließlich ein Student mit russischen Wurzeln als Bauernopfer vor Gericht gestellt und zu einer Strafe von 1.100 US-Dollar verurteilt.

Stuxnet und Indien-Pakistan-Konflikt

In diesem Jahr beherrschte ab Juni der Trojaner Stuxnet sowie dessen Auswirkungen auf iranische Atomkraft-Anlagen die Diskussion. Die Herkunft und Hintergründe sind bis heute nicht gänzlich geklärt. Der Trojaner gilt als äußert komplex programmiert und zielt auf industrielle Steuerungssysteme ab. Während es aus dem Iran zunächst hieß, rund 30.000 Computer seien infiziert worden, dementierte das Außenministerium kurze Zeit später und tat die Berichte über den gefährlichen Trojaner als "Cyber-Propaganda" des Westens ab.

Ein weiterer Cyberwar-Schauplatz ist seit mehreren Jahren Indien und Pakistan, wo national bedingte Serverangriffe schon fast auf der Tagesordnung stehen. Zuletzt gelang es einer Hackergruppe namens "Pakistan Cyber Army" am 3. Dezember die Seite der indischen Kriminalpolizei (Central Bureau of Investigation, CBI) auszuschalten. Die Rache der "Indian Cyber Army" ließ nur einen Tag auf sich warten und legte die Seite des pakistanischen Öl- und Gasregulators (OGRA) lahm.

"Es ist sicher nicht unproblematisch, dass die Geheimdienste dieser Welt in diesem Bereich so stark auf das Know-how der Privatwirtschaft und anderer Kanäle angewiesen sind", meint Sicherheitsexperte Bütler. "Unternehmen, die auf diesem Gebiet tätig sind, müssen eine absolut weiße Weste haben."

Hacking nicht automatisch Cyberangriff

Dass Hacking nicht automatisch mit Cyberattacken gleichgesetzt werden darf, zeigt auch das Betätigungsfelds Bütlers. Als "ethischer Hacker" schleust Bütler mit seinem Unternehmen unter anderem Trojaner in Firmennetzwerke ein oder versucht, mit Hacking-Methoden potenzielle Angriffsszenarien und Schwachstellen aufzudecken.

Nicht immer muss ein System von außen gehackt werden. Meist genügt das Aufstellen eines Geschenkekorbs in der Kantine, in dem - als Werbeaktion getarnt - USB-Sticks zur freien Entnahme für alle Mitarbeiter bereit gestellt werden. Auf diesen findet sich neben zwei Gigabyte Speicher aber auch die Schadsoftware, die mithilfe der ahnungslosen Mitarbeiter auf das Netzwerk losgelassen wird.

Rekrutierung von "ethischen" Hackern

Die Verantwortung ist groß, denn anstatt dem Auftraggeber die Schwachstellen weiterzuleiten, könnten die gefährlichen Informationen theoretisch auch zurückgehalten und anschließend selbst missbraucht werden. Entsprechend vorsichtig geht man bei Unternehmen wie Compass Security auch beim Rekrutieren von neuen Mitarbeitern um. Neben der Einhaltung entsprechender Standards (etwa Cobit), die eine Prüfung der Unbescholtenheit voraussetzen, muss der angehende Profi-Hacker sich in einem Vorstellungsgespräch auch dem ganzen Team stellen.

"Wer ein ausgeprägtes Bedürfnis nach Anerkennung und Trophäensammeln hat und mit seinen erfolgreichen Hacks prahlt, hat bei uns eigentlich schon verloren", erklärt Bütler im FUTUREZONE-Gespräch. Auch die Definition von gutem und bösem Hacking fällt Bütler nicht schwer. "Gutes Hacking bedeutet für mich, dass kein Schaden angerichtet wird und nicht destruktiv vorgegangen wird."

Dass die Diskussion um Wikileaks und Gründer Julian Assange, der in den Medien zumindest in einem Nebensatz als Hacker referenziert wird, sich negativ auf das Image der Hacker-Community auswirkt, glaubt Bütler nicht. "Abgesehen davon, dass Wikileaks wie gesagt sehr wenig bis gar nichts mit Hacking zu tun hat, spürt man in der Öffentlichkeit schon eine gewisse Faszination bei dem Thema."

Suche nach bestem Hacker der Welt

Dies schlägt sich auch in den Rekordanmeldungen von Hobby- und Berufshackern beim von Bütler organisierten Security-Event Swiss Cyber Storm nieder, wo am Wochenende 14. - 15. Mai 2011 ein Auto als Hauptpreis für den besten Hacker der Welt wartet. Um teilnehmen zu können, müssen vorab in den kommenden Wochen und Monaten drei Hacker-Challenges online gelöst werden. Die Konferenz findet im Mai an der Hochschule für Technik im Schweizerischen Rapperswil statt.

(Martin Stepanek)