Internet-Attacken: Auf dem Schlachtfeld der Cyber-Krieger

Rüstungskonzerne, Regierungen, Großunternehmen: Es vergeht kaum ein Tag ohne Meldung über eine spektakuläre Internet-Attacke. Und immer wird Hackern die Schuld zugeschrieben. Doch der Begriff ist viel zu unscharf. Neben der Spaßguerilla sind im Web längst hochprofessionelle Cyber-Krieger im Einsatz.

Hamburg - Die Angriffe laufen fast immer gleich ab. Ein Beamter, Angestellter, Politiker mit Zugang zu sensiblen Informationen bekommt eine E-Mail.

Augenscheinlich stammt sie von einem Bekannten, einem Kollegen oder jemandem, den der Angeschriebene einmal bei einer Konferenz kennengelernt hat. Die E-Mail nimmt Bezug auf gemeinsame Interessen oder verspricht weitergehende Informationen zu einem interessanten Thema. Wird der Anhang geöffnet, nistet sich ein Schädling auf dem Rechner des arglosen Empfängers ein. Dieser Schädling öffnet Hintertürchen oder protokolliert Tasteneingaben - zum Beispiel Passwörter für die gesicherten internen Bereiche des Firmen- oder Behördennetzwerks - und sendet sie an seinen Auftraggeber.

Mit dieser Methode wurden beispielsweise die privaten E-Mail-Accounts vieler Menschen aus dem Umfeld der US-Regierung angegangen. Einfacher als mit einem solchen fingierten Anhang einer scheinbar privaten E-Mail, kann man die in der Regel hohen Sicherheitshürden behördeneigener Systeme kaum umgehen.

Diese Art von Angriff zielt auf die größte Schwachstelle eines jeden Sicherheitssystems: seine Anwender. Seit Jahren benutzen mutmaßlich von China aus operierende Computerspione diese Methode, um an möglichst heiße Informationen aus dem Umfeld der US-Regierung, aus Rüstungs-, Sicherheits- oder Geheimdienstkreisen zu kommen. Auch die Attacke auf das IT-Sicherheitsunternehmen RSA, dessen SecurID-Tokens weltweit eingesetzt werden, um externe Zugriffe auf Firmen- und Behördennetze abzusichern, begann mit solchen Trick-E-Mails.

Systematisch und geduldig vorgehende Profi-Hacker

Was danach geschah, zeigt vor allem eins: Der allzu unspezifische Begriff "Hacker" ist für diejenigen, die da am Werk sind, längst nicht mehr ausreichend. Hier sind strategisch operierende Angreifer zu Gange, die Geduld haben, jede Menge Zeit und offenbar ausreichende Ressourcen, um Sicherheitssysteme nach Schwachstellen abzusuchen. Bei RSA verschafften sich die Angreifer mit Hilfe der via Phishing erschnüffelten Informationen Zugang zu gesicherten Teilen des Firmennetzwerkes. Entwendet wurden dann offenbar Informationen, die sich dazu benutzen lassen, um das SecurID-System auszutricksen, allerdings nur mit einigem zusätzlichen Aufwand und detaillierten Kenntnissen über das RSA-Sicherheitssystem.

Die so erbeuteten Informationen wurden dann genutzt, um eine weitere Lücke ins Sicherheitssystem eines ganz anderen Unternehmens zu reißen: des Rüstungskonzerns Lockheed-Martin. Nun will RSA an die 40 Millionen SecurID-Tokens austauschen, Firmenkunden rund um den Globus sind betroffen. In diversen Betrieben mit geheimen militärischen Projekten dürften die IT-Verantwortlichen momentan äußerst nervös sein. Denn wer sagt, dass die geduldigen, methodisch vorgehenden Angreifer nicht noch diverse andere Ziele attackiert haben?

Die Angriffsschritte, die in diesem Fall zum Einsatz kamen, sind eindrucksvoll:

• Effektives, gezieltes Phishing (also keine schludrig übersetzten E-Mails mit unfreiwillig komischen Formulierungen, sondern glaubwürdiges Social Engineering)
• Gezielte Durchsuchung einer Firmendatenbank nach einer ganz bestimmten Information
• Weiterverarbeitung dieser Information als Angriffswaffe gegen ein anderes Unternehmen
• Schließlich der Einbruch in dessen Netzwerk; entwendet wurden bei Lockheed-Martin allerdings angeblich keine sensiblen Informationen.

Wer so viel Aufwand betreibt, der handelt nicht aus Spaß am digitalen Schlösserknacken. Hier sind Profis am Werk, Fachleute für IT-Sicherheit, die methodisch und organisiert vorgehen, um bestimmte Informationen in ihren Besitz zu bringen. Bezahlte, womöglich festangestellte Cyber-Kriminelle, vielleicht im Dienste eines ausländischen Geheimdienstes. In den USA ist man überzeugt, dass die Angreifer in China sitzen, wo dies stets heftig und zunehmend wütend bestritten wird. Dass sich jedoch ein erfolgreicher Angreifer zu Wort meldet, womöglich auf einer Website mit seinem Coup prahlt - das passiert in solchen Fällen nie. Diskretion ist Trumpf im Geschäft mit den Sicherheitslücken.

Spaß-Hacker

Ganz anders stellen sich die Attacken dar, durch die derzeit das lautstark agierende, ostentativ ohne finanzielle Motivation agierende Hackerkollektiv LulzSec von sich reden macht: Hier laufen die Angriffe in der Regel über Sicherheitslücken in Datenbank-Software. Mit sogenannten SQL Injections lässt sich die Datenbank-Software mancher Web-Anwendungen so manipulieren, dass sie Informationen ausspuckt, die eigentlich nicht für Nutzer von außerhalb zugänglich sein sollten. So entwendete LulzSec eigenen Angaben zufolge beispielsweise eine Million Datensätze von Sony-Servern.

Anschließend prahlte die LulzSec-Truppe online mit dem eigenen Erfolg: "Wir sind kürzlich bei SonyPictures.com eingebrochen", dort habe man persönliche Informationen einschließlich Passwörtern, E-Mail-Adressen, Postadressen, Geburtsdaten" und andere Informationen von "über 1.000.000 Nutzern" entwendet.

Jeff Moss, Organisator der Hacker-Konferenz Defcon, sagte der "Huffington Post": "Soweit ich das beurteilen kann, stehlen sie keine Geheimnisse und versuchen dann, sie zu verkaufen, wie Industriespione. Und soweit ich weiß, erpressen sie auch niemanden." Man könne die LulzSec-Truppe vielleicht als "Grey Hats" einstufen, so Moss, als Hacker, die zwar Regeln und Gesetze brechen, aber nicht zum eigenen Vorteil.

Definitionsprobleme

Angesichts der Bandbreite dessen, was sich in den vergangenen Monaten an Hack-Attacken ereignet hat, erscheint die Einteilung von Hackern in gute "White Hats", böse "Black Hats" und irgendwo dazwischen angesiedelte "Grey Hats" allerdings zunehmend überholt. "White Hats" sind Hacker, die das Aufdecken von Sicherheitslücken als eine Art Sport und gleichzeitig Dienst an der Menschheit betrachten. Wenn sie eine Lücke entdecken, machen sie das betroffene Unternehmen darauf aufmerksam. Viele stehen längst im Dienst von Firmen oder Behörden.

Sinnvoller erscheint da schon eine Einteilung nach Motivation, Ziel und Vorgehensweise. Da sind die Hacker, die mutmaßlich im Regierungsauftrag gezielt Lücken in Sicherheitssystemen suchen und ausnutzen, so wie im Fall RSA/Lockheed - oder aber im Fall Stuxnet, wo ebenfalls mit viel Aufwand und großen finanziellen Ressourcen eine Cyberwaffe entwickelt wurde, die schließlich gewaltige Schäden in der iranischen Uranaufbereitungsanlage Natanz verursachte. Sind das jetzt White Hats, weil Iran ja der Feind ist, oder Black Hats, weil sie in offensichtlich zerstörerischer Absicht handelten?

Dann gibt es da die anderen Hacker, die augenscheinlich aus kriminell-finanzieller Motivation heraus Systeme knacken und sich dort Datensätze verschaffen, die sie anschließend meistbietend verkaufen - etwa Kreditkarten- oder Adressdatensätze. So wie die Angreifer, die vor wenigen Wochen Sony bis auf die Knochen blamierten, als sie aus dem Konsolennetzwerk PSN etwa 100 Millionen Nutzerdatensätze entwendeten. In speziellen Foren oder verschlüsselten Chats verkaufen solche Cyber-Kriminellen ihre Beute, etwa an andere organisierte Kriminelle, die aus noch gültigen Kreditkartendaten Profit schlagen können.

Und dann gibt es da die Spaß-Hacker, Guerilleros ohne patriotische Motivation und konkretes Ziel außer dem, Aufmerksamkeit zu erregen und vielleicht einer missliebigen Behörde oder einem Unternehmen nebenbei ein bisschen Schaden zuzufügen. Die LulzSec-Gruppe beispielsweise macht sich einen Spaß daraus, Sony nach dem katastrophalen PSN-Leck eine weitere Sicherheitslücke nach der anderen nachzuweisen.

Die dabei erbeuteten Daten werden aber nicht verkauft - sondern per BitTorrent für jedermann zum Download angeboten.

Was ist ein Hacker wirklich?

In aller Bescheidenheit verwiesen die LulzSec-Angreifer sogar darauf, dass all das nicht besonders schwierig gewesen sei: "Wir versuchen hier gar nicht, als Meister-Hacker zu erscheinen, deshalb erklären wir: SonyPictures.com wurde mit einer sehr einfachen SQL Injection übernommen, einer der primitivsten und am weitesten verbreiteten Sicherheitslücken." Mit einer einzigen "Injection" habe man "ALLE" Daten erreichen können.

LulzSec attackierte nicht nur Sony, sondern auch eine FBI-nahe Organisation namens InfraGard, den TV-Sender PBS (mutmaßlich wegen eines WikiLeaks-kritischen Berichts), das Videospielunternehmen Nintendo (allerdings, ohne größere Schäden anzurichten) und die Website von Rupert Murdochs Fox News. Die Auswahl der Ziele erscheint weitgehend willkürlich, begründet werden die Angriffe wahlweise mit "weil sie es verdient haben" oder "weil wir es konnten".

Das Netz hat viele neue Varianten von Regelverstößen ermöglicht, sie reichen von Vandalismus über organisierte Kriminalität bis hin zu Industrie- und Rüstungsspionage. Der Begriff "Hacker" hat angesichts dieser Entwicklung in diesem Zusammenhang kaum noch eine sinnvolle Bedeutung. Vielleicht wäre es am besten, man kehrte zum ursprünglichen Gebrauch zurück - als Hacker einfach Tüftler, Bastler, Problemlöser hieß.