Wie sicher ist die Republik?

Der Bundestag-Hack und die Folgen

Dr. Oliver Brdiczka arbeitet als IT-Sicherheitsexperte und Principal Data Scientist bei Vectra Networks, einem Sicherheitsunternehmen im Silicon Valley in Kalifornien, und ist dort für die Forschung im Bereich "Insider Threat" zuständig. Zuvor war er Director of Contextual Intelligence bei Xerox und leitete dort ein Projekt zur Entwicklung neuer Methoden maschinellen Lernens, um bösartige Insider sowie Cyberbedrohungen zu erkennen.
Hacker installieren Schadsoftware auf Computern des Bundestages sowie des Kanzleramts und greifen über Monate hinweg sensible Daten ab, ohne bemerkt zu werden. Welche Bedrohungen existieren für deutsche Unternehmen und Verbraucher? Und wie kann man sich schützen, wenn überhaupt?

Die Bilanz des kürzlichen Hackerangriffs auf den deutschen Bundestag ist verheerend. 15 Rechner wurden infiziert und über Monate hinweg ausspioniert, ohne dass der Datenabfluss bemerkt wurde. Und selbst nach der Erkennung, ist es bisher nicht möglich, die betroffenen Rechner zu säubern und wieder ans Netz zu nehmen.

Tarnen und Täuschen: Nicht hinter jedem E-Mail-Absender steckt die Person, die man erwartet.
Tarnen und Täuschen: Nicht hinter jedem E-Mail-Absender steckt die Person, die man erwartet.
Foto: IIra2studio - shutterstock.com

Die Hacker, wohl von einem ausländischen Geheimdienst beauftragt, setzten eine raffinierte Kombination aus "social engineering" und Schadsoftware ein. Zuerst wurde ein Rechner im Kanzleramt infiziert und von dort aus Emails mit Absenderadresse "Angela Merkel" an Parlamentarier verschickt. Die Emails enthielten einen Link, der auf dem betroffenen Rechner Schadsoftware installierte, die Daten aufzeichnet und später an unbekannte Endziele im Internet weitergibt. Offensichtlich klickten einige Parlamentarier auf diese harmlos erscheinenden Links, da sie ja von einer bekannten internen Emailadresse stammten. Was wie ein Szenario aus einem James Bond Film anmutet, ist zum Alltag geworden. Gezielte Angriffe dieser Art treten in Firmen- und Privatnetzwerken weltweit mittlerweile tagtäglich auf, und deren technische sowie soziale Raffiniertheit nimmt ständig zu. Ist dies nun der Anfang vom Ende von sicheren Intra- und Internets? Können sich Unternehmen und Verbraucher denn überhaupt schützen?

Festungen und Steckbriefe nützen wenig

Der bisherige klassische Schutz vor Cyberbedrohungen aller Art sind Perimeter- und Signatur-basierte Sicherheitslösungen. Perimeter-Lösungen beziehen sich auf Firewalls oder ähnliche Produkte, die das interne private oder Firmennetzwerk nach außen abschirmen und Angreifer vor dem Eintritt abhalten sollen. Technisch gelingt dies durch die Kontrolle des Verkehrs in und aus dem internen Netzwerk.
Offensichtlich ist es ein leichtes für Hacker, sich trotzdem an solchen Lösungen vorbeizuschmuggeln, im schlimmsten Fall durch "social engineering". Typisches Beispiel ist der arglose Angestellte, der nach einer Geschäftsreise nach China seinen Laptop wieder im Firmennetzwerk anschließt - und unwissentlich dort die neuste Schadsoftware installiert.

Im Gegensatz hierzu versuchen Signatur-basierte Lösungen wie zum Beispiel Virenscanner, Schadsoftware durch deren typische Signatur oder Aussehen zu erkennen. Der Binärcode von Trojanern und Viren wird hierzu von Herstellern analysiert und deren Produkte ständig auf den neusten Stand gebracht. Offensichtlich ist es auch hier Hackern möglich, die Signatur ihrer Schadprogramme schnell zu verändern, so dass sie nicht erkannt werden.

In beiden Fällen bieten die Lösungen nur begrenzten Schutz, da Hacker immer kreativer und schneller werden, ihre Angriffe abzuwandeln und zu verfeinern. In einer immer digitaleren Welt nutzten Festungsbau und Steckbriefsuche kaum angesichts von Bedrohungen ohne Gesicht und von variabler Form.

Nur die Spitze des Eisbergs

Eine zunehmende Bedrohung kommt von neuartigen internen Angriffsflächen und Insiderbedrohungen. Die traditionelle Büroarbeit ist flexibleren Arbeitszeiten, Heimarbeit und Work "on the go" gewichen. Angestellte nutzen zunehmend Laptops und Mobiltelefone, um auf Email und sensible Arbeitsdokumente zuzugreifen und vergrößern so die Angriffsfläche eines Firmen- oder Privatnetzwerks.

Es ist ein leichtes für Hacker einen Laptop oder ein Mobiltelefon in einem öffentlichen Wifi-Netzwerk zu infizieren und so in interessante Firmennetze vorzudringen. Eine noch größere Bedrohung rührt von bösartigen Insiders, d.h. autorisierte Angestellte mit zweifelhaften Absichten, her. Wer hier an Edward Snowdens Enthüllungen denkt, der liegt falsch. Nur die wenigsten bösartigen Insider geben vor, die Menschheit zu retten, sondern wollen mit der Weitergabe von Firmengeheimnissen Geld verdienen. Da es sich um Firmengeheimnisse handelt, werden die meisten Fälle nicht veröffentlicht und es existiert keine genau Statistik. Leider nehmen diese Fälle aber in den letzten Jahren stark zu, was man auch zunehmend an Presseartikeln ablesen kann.

Quo vadis?

Sind denn die Hacker- und Insider-Angriffe überhaupt noch aufzuhalten? Obgleich die Bedrohungen immer mehr zunehmen, gibt es auch neue Lösungen, die Hoffnung machen. In den letzten Jahren gab es einen Durchbruch im Bereich der Künstlichen Intelligenz. Neue Algorithmen sind nun in der Lage menschliches Verhalten zu verstehen und in einigen Bereichen verlässlich vorherzusagen. Fahrerlose Autos oder Apples SIRI Assistent sind praktische Beispiele hierfür.

Ähnliche Ansätze werden nun seit neuestem von einigen Firmen im Bereich der Sicherheitstechnik angewendet, mit bemerkenswertem Erfolg. Die Idee ist hierbei, einen Angriff innerhalb eines geschützten Netzwerks zu erkennen und aufzuhalten, ohne den Perimeter zu überwachen oder spezifische Signaturen zu suchen, sondern das aktuelle Verhalten von Rechnern zu beobachten und zu lernen. Wenn ein Angriff passiert, muss der Hacker ein spezifisches Verhalten an den Tag legen, um zum Beispiel das interne Netzwerk auszukundschaften, oder seine Schadsoftware von einem Rechner auf einen anderen zu kopieren. Dieses Verhalten ist universell und kann im Netzwerk beobachtet und durch maschinelles Lernen (KI) von "normalem" Netzwerkverhalten unterschieden werden.

Genau diese Teile eines Cyberangriffs - dasAuskundschaften und Kopieren von Schadsoftware im Netzwerk - wurden im Netzwerk des Bundestages nicht erkannt. Da ermöglichte es den Angreifern, sich im Netzwerk auszubreiten, eine große Anzahl an Rechnern zu infizieren und letztendlich Daten über einen Zeitraum von Monaten zu stehlen, bevor sie entdeckt wurden. Neue Algorithmen und maschinelles Lernen auf großen Datenmengen in Echtzeit macht es jedoch möglich, (fast) so schnell wie Hacker zu agieren und zu reagieren. Aber die Angreifer schlafen nicht, und es bleibt abzuwarten, wer den Wettlauf gewinnt. (bw)