Science
13.05.2015

“Große Firmen gehen offensiv gegen Hacker vor”

Der auf IT-Sicherheit spezialisierte Anwalt David Wilson ist der Meinung, dass Firmen im Notfall Cyber-Angreifer hacken sollen.

Keine Sicherheitsmaßnahme kann garantieren, dass Hacker es nicht schaffen, sich Zugriff zu einem System zu verschaffen. Neben passiven Schutzmaßnahmen haben die Opfer auch die Möglichkeit, zurückzuschlagen, indem sie versuchen, die Eindringlinge selbst zu hacken. Im Rahmen des diesjährigen Security Forums am Campus Hagenberg der FH Oberösterreich erklärt der IT-Rechtsexperte David Wilson, welche Möglichkeiten Firmen und Regierungen hier offenstehen.

“Im Falle von Angriffen auf Staaten ist es wichtig zu wissen, ob es sich um Spionage, Cyberattacken oder Cyberwar handelt. Darüber herrscht oft Uneinigkeit. Im Falle des Sony-Hacks etwa haben die USA mit einer Denial-of-Service-Attacke gegen Nordkorea reagiert. Für Firmen ist es allerdings oft schwieriger zu entscheiden, was sie tun können, um legal zurückzuhacken”, sagt Wilson. Als wichtigste Grundlage für Unternehmen nennt Wilson aber gute Verteidigung. Hier gebe es bei vielen Firmen noch einiges an Aufholbedarf. “Die Führungsetage muss eingebunden werden und sich mit den Systemen zumindest so weit auskennen, um in der Lage zu sein, im Notfall Entscheidungen zu treffen. In den meisten Firmen wird das derzeit auf die IT-Abteilung abgeschoben”, sagt Wilson.

Schuldfrage

Für Firmen ist das größte Problem meist Industriespionage. “Der kalte Krieg ist im elektronischen Zeitalter angekommen. Jeder spioniert jeden aus, auch wenn es sich um Freunde handelt. Üblicherweise gibt es hier selten Vergeltungsmaßnahmen”, erklärt Wilson. Das liegt auch daran, dass es oft schwierig ist festzustellen, wer hinter einer Attacke steckt. Das gilt auch für Regierungen. Im Falle des Angriffs auf eine US-Wasseraufbereitungsanlage wurde spekuliert, dass es sich um eine Demonstration der Hackerfähigkeiten der russischen Regierung gehandelt haben könnte. Ein Stromausfall in den USA wurde von einigen Experten mit Angreifern in Verbindung gebracht, die auf der Gehaltsliste von Peking gestanden haben sollen.

“Die Schuldfrage ist sehr schwer zu klären. Das Internet ist das beste Verschleierungswerkzeug aller Zeiten. Was aussieht wie ein Angriff durch russische Staats-Hacker könnte auch ein Einzeltäter gewesen sein”, sagt Wilson. Aus diesem Grund spricht der IT-Rechtsexperte auch ungern von Cyber War: “Wir haben derzeit Verbrecher und Spionage im Netz. In einem echten Cyberkrieg werden wir definitiv wissen, wer der Gegner ist. Die Angriffe werden sich auf militärische Infrastruktur konzentrieren.” Aber auch wenn der Angreifer bekannt ist, sind Gegenschläge nicht immer durchführbar. Im Fall von Stuxnet gab es trotz Drohungen des Iran gegen die USA nie einen Gegenschlag. Vermutlich, vermutlich weil die Fähigkeiten fehlten.

Firmen hacken Hacker

Das Starten eines Gegenangriffs ohne Sicherheit über die Hintermänner zu haben, ist meist kontraproduktiv. “Zuerst sind das Aufrechterhalten der Verteidigung und das Aufräumen wichtig. Dann sollte als erstes Kontakt aufgenommen werden. Wenn etwa Venezuela Infrastruktur in den USA angreift, sollten US-Behörden Kontakt aufnehmen. Erst, wenn es keine Reaktion gibt, kann ein Angriff erfolgen. Denn selbst wenn Venezuela nicht direkt verantwortlich ist, können sie sich nicht auf die Neutralität zurückziehen, wenn sie nicht reagieren”, sagt Wilson.

Für Firmen gestaltet sich die Reaktion noch schwieriger. “Hier ist ein Gegenangriff wirklich das allerletzte Mittel, nur für große Firmen und wenn es um hartnäckige Malware geht, der anders nicht beizukommen ist”, sagt Wilson. Ein erster Schritt wäre hier, den angreifenden Server zu identifizieren und eine Abschaltung zu veranlassen. Wenn dem nicht nachgekommen wird, könnten Firmenhacker den Server ausschalten. Hier ist nicht wichtig, wer der Angreifer ist, sondern dass die Attacke beendet werden kann. Diese Entscheidung muss vom Management getroffen werden.

“Die Behörden sind oft überarbeitet und können nicht immer helfen. Für Firmen steht viel Geld in Form von geistigem Eigentum auf dem Spiel. Hier gilt es immer abzuwägen, ob das Risiko sich lohnt”, sagt Wilson. Schließlich funktioniert der Gegenangriff nicht immer. Wilson ist glaubt aber, dass solche offensiven Verteidigungsmaßnahmen im Extremfall gerechtfertigt sind. “Große Firmen gehen heute regelmäßig offensiv gegen Hacker vor, auch wenn die Öffentlichkeit davon normalerwese nichts mitbekommt. Manchmal hacken sie selbst, manchmal engagieren sie Subunternehmen”, so Wilson.

Dieser Artikel ist im Rahmen einer Kooperation zwischen futurezone und FH Oberösterreich entstanden.

Beim Security Forum, das alljährlich im April am Campus Hagenberg der FH Oberösterreich stattfindet, halten Experten aus dem In- und Ausland Vorträge zu aktuellen Themen der IKT-Sicherheit. Organisiert wird die Veranstaltung vom Hagenberger Kreis zur Förderung der digitalen Sicherheit, dem Studentenverein der FH OÖ-Studiengänge „Sichere Informationssysteme“.