Artikel-Schlagworte: „Cyberkrieg“

Kein Cyberterrorismus (diesmal)

Samstag, 3. Dezember 2011

Die Meldung klang dramatisch: Hacker hätten Zugriff auf das Kontrollsystem eines örtlichen Wasserwerks erhalten und dort eine Pumpanlage zerstört.

Ob solche Angriffe möglich bzw. ob sie wahrscheinlich sind, mit welcher Intention sie ausgeführt werden und wie häufig dies in der Vergangenheit bereits der Fall gewesen ist, darüber wird sowohl in der akademischen Community als auch in Regierungskreisen weltweit seit vielen Jahren erbittert diskutiert.

Angriffe auf kritische Infrastruktur

Einigkeit dürfte zumindest dahingehend bestehen, dass viele Kontrollsysteme (sog. Supervisory Control and Data Acquisition Systems, kurz SCADA) inzwischen über das Internet angebunden sind. Die Gründe hierfür liegen häufig in finanziellen Einsparungen begründet, die dadurch entstehen sollen, dass die Administration von Industrieanlagen nicht mehr vor Ort, sondern zentral von einer Stelle aus durchgeführt werden kann. In anderen Fällen sitzt zwar Personal vor Ort, gewährt aber Wartungsfirmen einen Online-Zugriff, damit deren Personal nicht aufwändig (und kostenträchtig) anreisen muss, sondern die notwendigen Anpassungen aus der Ferne vornehmen kann. Wenn ein solcher Online-Zugriff grundsätzlich möglich ist, bietet er ein attraktives Ziel für Hacker, die weltweit versuchen können darauf zuzugreifen und dann nicht nur digitale Schäden anrichten, sondern, indem sie auf die Industrieanlage zugreifen können, auch ganz reale Belästigungen oder sogar Schäden anrichten können. Horror-Szenarien, die immer wieder diskutiert werden, sind z.B. der Zugriff auf elektronisch zu öffnende Schleusentore (um so, die dahinterliegenden Gegenden zu überfluten), die Veränderung lebenswichtiger Parameter in Krankenhäusern oder die Herbeiführung ferngesteuerter Unfälle von Flugzeugen, Eisenbahnen oder sogar Satelliten. Angesichts der aufgezeigten Möglichkeiten würden Angriffe auf SCADA-Systeme auch ein spannendes Ziel für (Cyber-)Terroristen abgeben. Ob derartige Angriffe tatsächlich bereits erfolgt sind, darüber kann man trefflich streiten – insbesondere, da die Angreifer in der Regel nicht verraten, warum sie ein bestimmtes Ziel angegriffen haben und welches Fernziel sie damit verfolgen wollten.

Im eingangs erwähnten Fall wurde zunächst bekannt, dass im SCADA-System der Wasserwerke in der Stadt Springfield, Illinois ein Pumpsystem dabei war, sich ständig an- und wieder abzuschalten, worauf dieses System endgültig kaputt ging. Dies klang ganz ähnlich wie der gegen iranische Zentrifugen eingesetzte Stuxnet-Virus, der durch Veränderungen der Umdrehungszahlen dafür gesorgt hatte, dass sich die Lebenserwartung der angeschlossenen Geräte drastisch verringert hatte. Nachdem ein Wasserwerk in Illinois staatliche Aktionen eher nicht provoziert haben dürfte, lagen kriminelle oder sogar terroristische Motive nahe.

Kein Cyberterrorismus…

Eine nähere Untersuchung des SCADA-Systems ergab, dass Online-Zugriffe aus Russland erfolgt waren. Das U.S.-“Statewide Terrorism and Intelligence Center” verfasste anschließend einen “Public Water District Cyber Intrusion” Report, der an die Öffentlichkeit geriet. Danach wurde der Zugriff als Hacking-Angriff gewertet. Die Meldung verbreitete sich wie ein Lauffeuer. In On- und Offlinemedien wurde spekuliert, wer aus welchen Gründen den ersten SCADA-Zwischenfall nach Stuxnet herbeigeführt haben könnte.

Zwischenzeitlich liegt die – eher profane – Auflösung des mysteriösen Zwischenfalls vor: Die Pumpe hat ihren Geist aufgegeben, wie es Pumpen nun einmal von Zeit zu Zeit tun. Ein schlichter mechanisch-elektrischer Fehler war offenbar der Grund. Und auch der Zugriff von der russischen IP-Adresse konnte aufgeklärt werden. Anders als zunächst angenommen, handelte es sich um keinen Hacker, sondern um den verantwortlichen Mitarbeiter der Wartungsfirma, der sich gerade zum Urlaub in Russland aufhielt, als er darüber informiert wurde, dass es im SCADA-System ein Problem gebe. Er wählte sich – legal und durchaus erwünscht – ein und untersuchte den Vorgang (ebenso wie später auch einmal per Mobiltelefon aus Deutschland) aus der Ferne. Da nicht bekannt war, dass er sich zum Zeitpunkt des Anrufs gerade in Russland aufhielt und sich von da aus einwählte, galt diese IP-Adresse als wichtigstes Indiz für die weitere Untersuchung des Falles. Nachdem sie in Verbindung mit dem Username des Mitarbeiters in den Logfiles auftauchte, lag die Vermutung nahe, dass ein Angreifer sich dieser Daten bemächtigt hatte, um von Russland aus auf das SCADA-System zuzugreifen. Interessanterweise kam jedoch niemand auf die Idee, einmal bei dem betreffenden Mitarbeiter nachzufragen, von wo aus er sich eingeloggt hatte oder ob es eine andere plausible Erklärung für den Login-Vorgang gab. Andernfalls hätte sich die gesamte Geschichte innerhalb von fünf Minuten aufklären können, statt diverse Strafverfolgungs- und Anti-Terrorbehörden sowie die Presse zu beschäftigen.

Interessanterweise scheinen die im “Statewide Terrorism and Intelligence Center” zusammengeschlossenen Behörden ihren Fokus bei der aktuellen Aufklärung des Falles nicht darauf zu legen, warum ein Report ohne Hinweis auf seine Vorläufigkeit der Einschätzung erfolgt ist, oder warum niemand auf die naheliegende Idee gekommen ist, den Betroffenen zu kontaktieren. Auch keine Frage scheint es zu sein, warum überhaupt ein Report zusammengestellt worden ist, nachdem sich herausgestellt hat, dass die Fehlfunktion der Pumpe mit dem SCADA-System überhaupt nichts zu tun hatte, sondern es sich offenbar um eine elektrisch-mechanische Fehlfunktion gehandelt hat. Ziel Nummer eins ist es ganz offiziell stattdessen herauszufinden, wie es sein kann, dass der Report des Centers einem Unbefugten in die Hände gefallen ist. Spätestens seit Wikileaks sollte das eigentlich nichts ganz Ungewöhnliches mehr sein…

… aber auch keine Entwarnung

Ist mit der Auflösung dieses Falles die Gefahr gebannt? Eher nicht. Der ganze Vorfall zeigt, dass auch in sensiblen Bereichen der sog. kritischen Infrastruktur Zugriffe über das Internet möglich sind. Zumindest in einigen Fällen sind SCADA-Systeme nur unzureichend gesichert und verfügen zum Beispiel über festkodierte Passwörter. Angriffe werden damit übermäßig leicht gemacht. Dies versucht offenbar auch der Hacker “Pr0f” zu beweisen, der vier Screenshots von Steuerungsanlagen veröffentlicht hat, um zu zeigen, dass auch andere SCADA-Systeme anfällig für Angriffe sind. Einige Systeme sollen von Passwörtern geschützt sein, die lediglich aus drei Zeichen bestanden, was Angreife übermäßig erleichtern würde.

Derartige Einfallstore belasten nicht nur die Unternehmen selbst oder (bei kritischer Infrastruktur) auch die Kunden bzw. die Bevölkerung, sondern sie sind auch relevant für die Verteidigung eines Staates. Cyber-Komponenten sind bei militärischen Auseinandersetzungen kaum noch wegzudenken und sind daher nicht nur für Hacker oder Terroristen, sondern auch für fremde Staaten ein interessantes Angriffsziel. Die am Donnerstag abgeschlossene deutsche länderübergreifende Krisenmanagement-Übung “LÜKEX” war aus diesem Grund auch darauf ausgerichtet, ein Angriffsszenario auf die IT-Infrastruktur zu simulieren. Wie in Deutschland auf einen derartigen Fall reagiert würde, wird allerdings erst Mitte 2012 feststehen, wenn die Auswertung der LÜKEX 2011 abgeschlossen ist. So lange wird die Auswertung der 18 Monate lang geplanten Aktion dauern.

Auch die Armee ist verwundbar

Dienstag, 14. September 2010

Über die Bedeutung von Cyberkriegen wird viel diskutiert. Insbesondere zwei Problemkomplexe tauchen dabei immer wieder auf, die sich auch in einem aktuellen Beitrag auf Heise Online wiederfinden.

Zum einen geht es um die Frage der Verwundbarkeit und welche Ziele ein Angreifer (sei es ein anderer Staats oder auch eine Gruppe von Terroristen) elektronisch attackieren könnte. Zumindest der erste Punkt ist jetzt um einen Erfahrungsbericht aus der Schweiz reicher. Das “Eidgenössische Departement des Äußeren” (EDA) sei “mit Erfolg” aus dem Internet angegriffen worden. Den unbekannten Tätern sei es dabei gelungen, Daten aus dem internen Kommunikationsnetzwerken zu stehen. Der Schweizer Armeechef André Blattmann wird in diesem Zusammenhang mit den Worten zitiert

Wir würden an unserem Lebensnerv getroffen, wenn die Codes zur Auslösung unserer Waffensysteme in die falschen Hände geraten würden.

Dem mag man noch entgegenhalten, dass es vielleicht keine gute Idee ist, Zugriffcodes für Waffensysteme in einem an das Internet angeschlossenen Systeme zu speichern. Gerade für sensible Systeme gilt nach wie vor der Grundsatz, dass nur ein “Airgapping”, d.h. das Unterlassen physischer Verbindungen zwischen einem internen und einem externen Netzwerk, sicherstellen kann, dass es zu keinen erfolgreichen Angriffen aus dem Internet kommen kann.

Der zweite Aspekt, der gerade die militärischen Überlegungen immer wieder antreibt ist die Frage, wie man sich gegen einen Cyberangriff wehren kann. Es geht dabei weniger um die Frage, ob ein Land in der Lage ist, ebenfalls erfolgreich Cyber-Vergeltungsschläge auszuführen oder das System, von dem der Angriff ausgeht, elektronisch abzuschalten. Vielmehr ist die entscheidende Frage, ob dieses System tatsächlich der Angreifer ist, oder ob der eigentliche Täter nur geschickt seine Spuren so gelegt hat, dass sich zwei Nationen gegenseitig beschießen. Der Fall von Estland hat recht eindrucksvoll gezeigt, wie leicht man so etwas provozieren könnte.

Im gleichen Heise-Artikel wird auch ein im US-Verteidigungsministerium diskutiertes Konzept angesprochen, was unter dem Stichwort Active Defense diskutiert wird und schlicht die Beweislast versucht umzukehren. Kann ein Cyber-Angriff auf ein bestimmtes Land zurückgeführt werden, so “muss dieses Land innerhalb einer festgelegten Zeit entweder beweisen, dass es nur zur Weiterleitung missbraucht wurde oder, falls Cyber-Kriminelle aus dem Land agiert haben, muss es die Angreifer ausliefern.” Sofern das Land hierzu nicht in der Lage ist, so wird “seine Unfähigkeit als feindlicher Akt” interpretiert. Ein Angriff soll dann zulässig sein. Gerade im Fall von Estland war jedoch deutlich erkennbar, dass Russland sich schlicht nicht herablassen wollte, von seinem kleinen Nachbarn unter Druck setzen zu lassen.  Ein solches Vorgehen ließe sich dann durch einen geschickt handelnden Täter ausnutzen, um weitere staatliche Spannungen zu interpretieren. Es verwundert daher kaum, dass die Antwort auf die Frage des US-Senats an Keith Alexander, den Oberkommandeur des US-Cybercommand, wie er mit derartigen Fällen umzugehen gedenke, als geheim eingestuft wurde.

Die Tiefebene in Cyberland

Mittwoch, 4. August 2010

Nach Luft, Wasser, Boden und Weltall verdient der Cyberspace als weiteres mögliches Kriegsgebiet verstärkte Aufmerksamkeit, so General Michael Hayden, ehemaliger Direktor von CIA und NSA auf der diesjährigen Black Hat in Las Vegas. In seinem Vortrag führte Hayden aus, das Internet sei flach wie die norddeutsche Tiefebene angelegt und daher besonders verwundbar. Es benötige – so die Analogie weiter – Flüsse, Berge und geografische Grenzen, die bei der Verteidigung helfen könnten. Rechtlich sei daher eine Ächtung z.B. von DDoS-Attacken und anderen kriegerischen Aktionen notwendig.

Der jüngst durch General Keith Alexander angedeutete mögliche Kurswechsel sei hierfür ein guter Schritt in die richtige Richtung. Allerdings seien G8 oder G20 ein besseres Forum als die Vereinten Nationen. Damit bringt Hayden zwei weitere mögliche Foren ins Rennen. Bislang war vor allem diskutiert worden, ob der Europarat mit seiner Cybercrime Konvention oder die Vereinten Nationen mit ihrer großen Anzahl von weltweit verteilten Mitgliedern das richtige Forum für ein internationales Instrument im Kampf gegen derartige Maßnahmen sei.

Gefahren von und für Drohnen

Freitag, 18. Juni 2010

Unbemannte Drohnen sind seit geraumer Zeit aus gefährlichen Einsätzen nicht mehr wegzudenken. Die riesigen Predator- und Reaper-Drohnen liefern beinahe kontinuierlich wichtiges Bildmaterial für militärische Einsätze, z.B. in Afghanistan und Irak. Gleichzeitig wird deutlich, welche Gefahren damit auch verbunden sein können. So wurde vor geraumer Zeit bekannt, dass z.B. das Bildmaterial, das die Drohnen un- oder nur leidlich verschlüsselt übertragen, in einigen Fällen abgehört wurden. Der Überraschungseffekt, z.B. bei einem anschließenden Raketenangriff auf eine mit Hilfe einer Drohne entdeckte Stellung, wird in diesem Fall merklich eingeschränkt.

Dramatischer könnten die Fälle werden, in denen die Steuerung für die Drohne übernommen werden kann und das Gerät z.B. als passives Geschoss auf eine Einrichtung zurückgelenkt wird. Bislang ist es offenbar noch nicht zu derartigen Fällen gekommen. Selbst wenn die Steuerung zu kompliziert für eine Übernahme sein sollte, bleibt die Gefahr von DoS-Angriffen, die zum Verlust der Funkverbindung führen könnten. Bei Stückkosten von ca. 10 bis 12 Millionen USD wäre auch der “einfache” Absturz einer Drohne nicht unbedeutend.

Dass der Steuerungsverlust auch ohne fremde Einwirkung zum Problem werden kann, musste jetzt die U.S. Navy feststellen. Bei einem Manöver kamen gleich vier der 13 eingesetzten Unterwasserdrohnen abhanden.  Die Bevölkerung musste aufgerufen werden, hilflos herumtreibende Drohnen bitte zu melden, damit sie geborgen werden können.

Die linke Hand und die rechte Hand

Freitag, 26. März 2010

Drei Dinge sind seit langem bekannt. Erstens, dass Terroristen und solche, die es gerne einmal werden möchten, sich im Internet in mehr oder weniger gut abgeschotteten Foren treffen, um über Pläne und Ansichten zu diskutieren. Zweitens, dass einige Nachrichtendienste selber solche Kommunikationsplattformen im Internet anbieten, um besser verfolgen zu können, welche Themen momentan in der Szene diskutiert werden. Drittens, dass – zumindest in einigen Ländern – die Doktrin verfolgt wird, dass unerwünschte Webseiten gewaltsam geschlossen werden – selbst für den Fall, dass diese sich in einem anderen Land befinden. Eher selten wird jedoch bekannt, dass sich diese drei Entwicklungen auch in die Quere kommen können.

Die Washington Post berichtete vor kurzem über einen Fall, der sich bereits im Jahr 2008 zugetragen hatte, offenbar aber erst jetzt an die Öffentlichkeit gedrungen ist. Der Saudische Nachrichtendienst hatte offenbar zusammen mit der amerikanischen CIA ein Webforum als Honeypot aufgesetzt, um Informationen zu sammeln und ggf. Anschläge rechtzeitig aufdecken und vereiteln zu können. Um welche Seite es sich dabei gehandelt haben könnte, wird inzwischen an anderer Stelle diskutiert. Das U.S. Militär war allerdings zwischenzeitlich offenbar zu der Ansicht gelangt, dass Extremisten das Forum für Anschläge gegen amerikanische Truppen im Irak nutzten. Militärspezialisten schalteten daher mit einem Cyberangriff das Forum gegen den Widerspruch der CIA ab. Die saudischen Verbünden sollen hierüber nicht gerade erfreut gewesen sein…

In diesem Zusammenhang stellt sich vor allem die Frage, wie zwischen nachrichtendienstlichen Ermittlungen einerseits und (militärischen) Verteidigungsaktivitäten andererseits zu unterscheiden ist, um derartige Konflikte vermeiden zu können. In den U.S.A. gibt es jedenfalls nach der Darstellung der Washington Post bislang noch keine klaren Richtlinien für derartige Einsätze. Ein namentlich nicht näher benannter Mitarbeiter einer amerikanischen Anti-Terrorismusbehörde bringt die Auswirkungen, der Aktion jedenfalls schon einmal klar auf den Punkt:

Die CIA war der Auffassung, dass nachrichtendienstliche Informationen verlorengehen würden, was sie dann auch taten; dass die Beziehungen zu kooperierenden anderen Diensten beschädigt werden würden, was dann auch der Fall war; und dass die Terroristen zu anderen Webforen weiterziehen würden, was auch geschah.

Neben diesen Schäden wird als ein zentrales Argument gegen die Zerstörung von Internetangeboten mit Hilfe von Cyberangriffen (insbesondere auf fremden Territorium) häufig vorgebracht, dass die über das eigentliche Ziel hinausgehenden Auswirkungen kaum abzuschätzen sind. Die Estland-Angriffe von 2007, bei denen zunächst von einem staatlich gelenkten Angriff russischen Ursprungs ausgegangen wurde, die sich später als haltlos erwiesen, sind hierfür ein gutes Beispiel. Auch der Angriff auf das Forum blieb nicht ohne Folgen: mehr als 300 Server in Saudi-Arabien, Deutschland und Texas sollen durch den Angriff betroffen worden sein. Es stellt sich daher die Frage, ob derartige Angriffe zukünftig noch Sinn machen und tatsächlich in einem nationalen Alleingang durchgeführt werden können, statt in einer abgestimmten internationalen Aktion.

USA verlieren Cyberkrieg

Sonntag, 28. Februar 2010

Nach Ansicht des ehemaligen Vize-Admirals und führeren Leiters der National Intelligence Michael McConnell würden die USA einen möglichen Cyberkrieg gegen feindliche Mächte verlieren. Dies liege jedoch nicht an fehlender oder schlechter Technik, sondern daran, dass die USA das am besten vernetzte Land sei und man daher am meisten zu verlieren habe. James Lewis vom CSIS stimmt dieser Einschätzung zu. Länder wie China und Russland würden bereits Möglichkeiten recherchieren, etwa das amerikanische Stromnetz abzuschalten. 

Lewis ist weiterhin der Auffassung, terroristische Angriffe auf Energienetze seien gegenwärtig nicht zu befürchten. Wären Terroristen tatsächlich in der Lage hierzu, so hätten sie dies bereits getan. Heise Online zitiert Lewis, die Annahme Terroristen seien zwar in der Lage, hätten sich aber aus bestimmten Gründen bislang zurückgehalten sei “lächerlich”.

Die große Abhängigkeit von vernetzten Informationsnetzen und Steuerungssystemen musste bereits Estland im Jahr 2007 schmerzlich erfahren. In den USA soll nun der “Cybersecurity Enhancement Act” aus dem Jahr 2009 für Verbesserung der IT-Sicherheit sorgen.