Artikel-Schlagworte: „Cybersecurity“

Digitale Strafen

Samstag, 10. Dezember 2011

Dass Handlungen im Cyberspace sehr reale Strafen nach sich ziehen können (z.B. Geld- oder Gefängnisstrafen), dürfte inzwischen auch dem letzten Computerstraftäter klar sein – auch wenn die Täter (zum Teil zu Recht) davon ausgehen, dass die Chancen, entdeckt zu werden, in der Regel recht gering sind. In England wird jetzt über weitere Strafmaßnahmen nachgedacht.

In der UK Cyber Security Strategy wird u.a. ausgeführt, dass Richter in England ermutigt werden sollen, zukünftig bei online begangenen Straftaten (neben den regulären Strafen) verstärkt auch Online-Sanktionen zu verhängen. Hierzu gehören z.B. die Überwachung oder Einschränkung des Internetverkehrs nach der Haftentlassung, etwa um zu verhindern, dass eBay-Betrüger Online-Auktionen nutzen oder dass Cyber-Stalker zum Schutz der Allgemeinheit nur eingeschränkten Internetzugang erhalten. Diese Maßnahmen sind bereits nach geltendem britischen Recht möglich.

Darüber hinaus sollen zukünftig so genannte “cyber-tags” eingeführt werden. Darunter versteht die Regierung offenbar bestimmte Verhaltensweisen einer verurteilten Person im Internet, die Indikator dafür sein sollen, dass diese sich nicht an die gerichtlich vorgegebenen Verhaltensweisen hält (z.B.: ein verurteilter Betrüger stellt erneut Artikel auf eBay ein, obwohl der Richter dies untersagt hat). In diesem Fall soll automatisch die Polizei oder der Bewährungshelfer informiert werden. The Register spekuliert diesbezüglich schon über Twitter- und Facebook-Verbote für einschlägige Täter.

England hatte bereits im Jahr 2010 mit der Three-Strikes-Regelung als eines der ersten Länder Online-Sanktionen eingeführt. Das Three-Strikes-Modell erlaubt es, den Internet-Zugang mehrfach ertappter Urheberrechtsverletzer zu sperren oder die Bandbreite zu drosseln, um auf diese Weise künftige Taten zu unterbinden. Auch in Frankreich gibt es seit 2009 ein derartiges Verfahren. Angeblich droht dort momentan 60 Nutzern die letzte Stufe dieses Verfahrens.

Betrachtet man die Geschwindigkeit, mit der gefordert wurde, die englischen und französischen “Innovationen” (trotz aller Kritik) auch auf Deutschland zu übertragen, so dürfte es nicht lange dauern, bis auch hierzulande die ersten Forderungen nach “Online-Sanktionen” laut werden.

Sinnvoller erscheinen da die Begleitmaßnahmen, die nach der Cyber Security Strategie ebenfalls geplant sind. So sind etwa allgemeine Informationskampagnen vorgesehen, mit der grundlegende Sicherheitsmaßnahmen der breiten Bevölkerung und in der Privatwirtschaft vermittelt werden sollen. Nach Auffassung der britischen Regierung sollen sich so bis zu 80% der gegenwärtig begangenen Online-Taten verhindern lassen:

Because prevention is key, we will work to raise awareness and to educate and empower people and firms to protect themselves online. 80% or more of currently successful attacks exploit weakness that can be avoided by following simple best practice, such as updating anti-malware software regulary.

Hierfür sollen auch soziale Netzwerke eingesetzt werden, um auf diesem Weg schnell große Teile der Bevölkerung über erkannte Gefahren aus dem Internet (z.B. Betrugsmaschen) informieren zu können.

Im Übrigen spricht sich das Vereinigte Königreich an mehreren Stellen seiner (auch sonst durchaus lesenswerten) Cyber Security Strategie dafür aus, aktiv die Cybercrime-Konvention des Europarates zu unterstützen und deren weitere Verbreitung zu fördern. Insbesondere das 24/7-Netzwerk, das eine schnelle transnationale Kontaktaufnahmen bei Cybercrime-Fällen erlauben soll, wird hervorgehoben.

Kein Cyberterrorismus (diesmal)

Samstag, 3. Dezember 2011

Die Meldung klang dramatisch: Hacker hätten Zugriff auf das Kontrollsystem eines örtlichen Wasserwerks erhalten und dort eine Pumpanlage zerstört.

Ob solche Angriffe möglich bzw. ob sie wahrscheinlich sind, mit welcher Intention sie ausgeführt werden und wie häufig dies in der Vergangenheit bereits der Fall gewesen ist, darüber wird sowohl in der akademischen Community als auch in Regierungskreisen weltweit seit vielen Jahren erbittert diskutiert.

Angriffe auf kritische Infrastruktur

Einigkeit dürfte zumindest dahingehend bestehen, dass viele Kontrollsysteme (sog. Supervisory Control and Data Acquisition Systems, kurz SCADA) inzwischen über das Internet angebunden sind. Die Gründe hierfür liegen häufig in finanziellen Einsparungen begründet, die dadurch entstehen sollen, dass die Administration von Industrieanlagen nicht mehr vor Ort, sondern zentral von einer Stelle aus durchgeführt werden kann. In anderen Fällen sitzt zwar Personal vor Ort, gewährt aber Wartungsfirmen einen Online-Zugriff, damit deren Personal nicht aufwändig (und kostenträchtig) anreisen muss, sondern die notwendigen Anpassungen aus der Ferne vornehmen kann. Wenn ein solcher Online-Zugriff grundsätzlich möglich ist, bietet er ein attraktives Ziel für Hacker, die weltweit versuchen können darauf zuzugreifen und dann nicht nur digitale Schäden anrichten, sondern, indem sie auf die Industrieanlage zugreifen können, auch ganz reale Belästigungen oder sogar Schäden anrichten können. Horror-Szenarien, die immer wieder diskutiert werden, sind z.B. der Zugriff auf elektronisch zu öffnende Schleusentore (um so, die dahinterliegenden Gegenden zu überfluten), die Veränderung lebenswichtiger Parameter in Krankenhäusern oder die Herbeiführung ferngesteuerter Unfälle von Flugzeugen, Eisenbahnen oder sogar Satelliten. Angesichts der aufgezeigten Möglichkeiten würden Angriffe auf SCADA-Systeme auch ein spannendes Ziel für (Cyber-)Terroristen abgeben. Ob derartige Angriffe tatsächlich bereits erfolgt sind, darüber kann man trefflich streiten – insbesondere, da die Angreifer in der Regel nicht verraten, warum sie ein bestimmtes Ziel angegriffen haben und welches Fernziel sie damit verfolgen wollten.

Im eingangs erwähnten Fall wurde zunächst bekannt, dass im SCADA-System der Wasserwerke in der Stadt Springfield, Illinois ein Pumpsystem dabei war, sich ständig an- und wieder abzuschalten, worauf dieses System endgültig kaputt ging. Dies klang ganz ähnlich wie der gegen iranische Zentrifugen eingesetzte Stuxnet-Virus, der durch Veränderungen der Umdrehungszahlen dafür gesorgt hatte, dass sich die Lebenserwartung der angeschlossenen Geräte drastisch verringert hatte. Nachdem ein Wasserwerk in Illinois staatliche Aktionen eher nicht provoziert haben dürfte, lagen kriminelle oder sogar terroristische Motive nahe.

Kein Cyberterrorismus…

Eine nähere Untersuchung des SCADA-Systems ergab, dass Online-Zugriffe aus Russland erfolgt waren. Das U.S.-“Statewide Terrorism and Intelligence Center” verfasste anschließend einen “Public Water District Cyber Intrusion” Report, der an die Öffentlichkeit geriet. Danach wurde der Zugriff als Hacking-Angriff gewertet. Die Meldung verbreitete sich wie ein Lauffeuer. In On- und Offlinemedien wurde spekuliert, wer aus welchen Gründen den ersten SCADA-Zwischenfall nach Stuxnet herbeigeführt haben könnte.

Zwischenzeitlich liegt die – eher profane – Auflösung des mysteriösen Zwischenfalls vor: Die Pumpe hat ihren Geist aufgegeben, wie es Pumpen nun einmal von Zeit zu Zeit tun. Ein schlichter mechanisch-elektrischer Fehler war offenbar der Grund. Und auch der Zugriff von der russischen IP-Adresse konnte aufgeklärt werden. Anders als zunächst angenommen, handelte es sich um keinen Hacker, sondern um den verantwortlichen Mitarbeiter der Wartungsfirma, der sich gerade zum Urlaub in Russland aufhielt, als er darüber informiert wurde, dass es im SCADA-System ein Problem gebe. Er wählte sich – legal und durchaus erwünscht – ein und untersuchte den Vorgang (ebenso wie später auch einmal per Mobiltelefon aus Deutschland) aus der Ferne. Da nicht bekannt war, dass er sich zum Zeitpunkt des Anrufs gerade in Russland aufhielt und sich von da aus einwählte, galt diese IP-Adresse als wichtigstes Indiz für die weitere Untersuchung des Falles. Nachdem sie in Verbindung mit dem Username des Mitarbeiters in den Logfiles auftauchte, lag die Vermutung nahe, dass ein Angreifer sich dieser Daten bemächtigt hatte, um von Russland aus auf das SCADA-System zuzugreifen. Interessanterweise kam jedoch niemand auf die Idee, einmal bei dem betreffenden Mitarbeiter nachzufragen, von wo aus er sich eingeloggt hatte oder ob es eine andere plausible Erklärung für den Login-Vorgang gab. Andernfalls hätte sich die gesamte Geschichte innerhalb von fünf Minuten aufklären können, statt diverse Strafverfolgungs- und Anti-Terrorbehörden sowie die Presse zu beschäftigen.

Interessanterweise scheinen die im “Statewide Terrorism and Intelligence Center” zusammengeschlossenen Behörden ihren Fokus bei der aktuellen Aufklärung des Falles nicht darauf zu legen, warum ein Report ohne Hinweis auf seine Vorläufigkeit der Einschätzung erfolgt ist, oder warum niemand auf die naheliegende Idee gekommen ist, den Betroffenen zu kontaktieren. Auch keine Frage scheint es zu sein, warum überhaupt ein Report zusammengestellt worden ist, nachdem sich herausgestellt hat, dass die Fehlfunktion der Pumpe mit dem SCADA-System überhaupt nichts zu tun hatte, sondern es sich offenbar um eine elektrisch-mechanische Fehlfunktion gehandelt hat. Ziel Nummer eins ist es ganz offiziell stattdessen herauszufinden, wie es sein kann, dass der Report des Centers einem Unbefugten in die Hände gefallen ist. Spätestens seit Wikileaks sollte das eigentlich nichts ganz Ungewöhnliches mehr sein…

… aber auch keine Entwarnung

Ist mit der Auflösung dieses Falles die Gefahr gebannt? Eher nicht. Der ganze Vorfall zeigt, dass auch in sensiblen Bereichen der sog. kritischen Infrastruktur Zugriffe über das Internet möglich sind. Zumindest in einigen Fällen sind SCADA-Systeme nur unzureichend gesichert und verfügen zum Beispiel über festkodierte Passwörter. Angriffe werden damit übermäßig leicht gemacht. Dies versucht offenbar auch der Hacker “Pr0f” zu beweisen, der vier Screenshots von Steuerungsanlagen veröffentlicht hat, um zu zeigen, dass auch andere SCADA-Systeme anfällig für Angriffe sind. Einige Systeme sollen von Passwörtern geschützt sein, die lediglich aus drei Zeichen bestanden, was Angreife übermäßig erleichtern würde.

Derartige Einfallstore belasten nicht nur die Unternehmen selbst oder (bei kritischer Infrastruktur) auch die Kunden bzw. die Bevölkerung, sondern sie sind auch relevant für die Verteidigung eines Staates. Cyber-Komponenten sind bei militärischen Auseinandersetzungen kaum noch wegzudenken und sind daher nicht nur für Hacker oder Terroristen, sondern auch für fremde Staaten ein interessantes Angriffsziel. Die am Donnerstag abgeschlossene deutsche länderübergreifende Krisenmanagement-Übung “LÜKEX” war aus diesem Grund auch darauf ausgerichtet, ein Angriffsszenario auf die IT-Infrastruktur zu simulieren. Wie in Deutschland auf einen derartigen Fall reagiert würde, wird allerdings erst Mitte 2012 feststehen, wenn die Auswertung der LÜKEX 2011 abgeschlossen ist. So lange wird die Auswertung der 18 Monate lang geplanten Aktion dauern.

Stromversorgung und das Internet

Montag, 21. Juni 2010

Die (später als einfache technische Panne identifizierten) massiven Stromausfälle im Jahr 2003 an der Ostküste der USA haben der Welt die Verwundbarkeit vernetzter Industrieanlagen vor Augen geführt. Nach einer Studie der North American Electric Reliability Corp. (NERC) liegen im Jahr 2010 die drei größten Bedrohungen für das U.S. Stromnetz in Cyberangriffen, Pandemien und elektromagnetischen Störungen.

Anzumerken ist an dieser Stelle, dass es bei den Ausfällen im Jahr 2003 zwar zu massiven (insbesondere finanziellen) Schäden kam, z.B. durch ausgefallene Flüge, öffentlichen Nahverkehr u.v.m., eine oft befürchtete Panik blieb jedoch glücklicherweise aus. Die Auswirkungen eines solchen Ausfalls mit terroristischem Hintergrund sind damit immer noch eine Unbekannte. In methodischer Hinsicht ist die Studie kritisiert worden, da andere Risiken nicht ausreichend berücksichtigt worden seien. Einen interessanten Einblick die diese Gefährdungsbereich kann die Studie aber in jedem Fall liefern.

Gefahren von und für Drohnen

Freitag, 18. Juni 2010

Unbemannte Drohnen sind seit geraumer Zeit aus gefährlichen Einsätzen nicht mehr wegzudenken. Die riesigen Predator- und Reaper-Drohnen liefern beinahe kontinuierlich wichtiges Bildmaterial für militärische Einsätze, z.B. in Afghanistan und Irak. Gleichzeitig wird deutlich, welche Gefahren damit auch verbunden sein können. So wurde vor geraumer Zeit bekannt, dass z.B. das Bildmaterial, das die Drohnen un- oder nur leidlich verschlüsselt übertragen, in einigen Fällen abgehört wurden. Der Überraschungseffekt, z.B. bei einem anschließenden Raketenangriff auf eine mit Hilfe einer Drohne entdeckte Stellung, wird in diesem Fall merklich eingeschränkt.

Dramatischer könnten die Fälle werden, in denen die Steuerung für die Drohne übernommen werden kann und das Gerät z.B. als passives Geschoss auf eine Einrichtung zurückgelenkt wird. Bislang ist es offenbar noch nicht zu derartigen Fällen gekommen. Selbst wenn die Steuerung zu kompliziert für eine Übernahme sein sollte, bleibt die Gefahr von DoS-Angriffen, die zum Verlust der Funkverbindung führen könnten. Bei Stückkosten von ca. 10 bis 12 Millionen USD wäre auch der “einfache” Absturz einer Drohne nicht unbedeutend.

Dass der Steuerungsverlust auch ohne fremde Einwirkung zum Problem werden kann, musste jetzt die U.S. Navy feststellen. Bei einem Manöver kamen gleich vier der 13 eingesetzten Unterwasserdrohnen abhanden.  Die Bevölkerung musste aufgerufen werden, hilflos herumtreibende Drohnen bitte zu melden, damit sie geborgen werden können.

Schatten in der Wolke

Montag, 19. April 2010

In einem gemeinsamen Bericht von Information Warfare Monitor und der Shadowserver Foundation  werden neue Spionage-Aktivitäten des Shadow-Netzwerks vorgestellt. Das Netz, dessen Spuren in Richtung China deuten, war offenbar in der Lage, massiv Regierungseinrichtungen und Wirtschaftsunternehmen anzugreifen und heimlich auszuforschen. Für mediale Aufmerksamkeit haben besonders die Angriffe auf das Büro des Dalai Lama sowie der Vereinten Nationen gesorgt. Unter den entwendeten Dokumenten befanden sich verschlüsselte Diplomatenkorrespondenz, zwei als “Geheim” gekennzeichnete Papiere sowie weitere vertrauliche Dokumente.

Technisch scheint es sich um äußerst ausgereifte Strukturen zu handeln. Das Shadow-Netzwerk greift unter anderem auf soziale Netzwerke und Cloud-basierte Dienste zurück. Die Autoren weisen in diesem Zusammenhang auf viele Gemeinsamkeiten im Zusammenhang mit dem im letzten Jahr dokumentierten Ghostnet hin. Damals waren fast 1.300 Rechner in 103 Staaten infiltriert worden, um Zugriff auf vertrauliche Dokumente zu erhalten.

Der gelbe Post-it Zettel am Monitor

Dienstag, 30. März 2010

Bei einer Symantec-Umfrage mit ca. 400 Teilnehmern (von denen die meisten eher dem professionellen Umfeld zuzurechnen sein dürften) gaben immerhin 7% an, Passwörter auf Post-it Zetteln festzuhalten. 23% erklärten, hierfür die entsprechende Funktion im Browser zu nutzen. Fast die Hälfte gab zudem an, einen kleinen Satz an festen Passwörtern zu haben, die in unterschiedlicher Reihenfolge immer wieder bei unterschiedlichen Anbietern genutzt würde. Lediglich 8% verwenden offenbar überall das gleiche Passwort.

Spannend ist auch die Frage, an wen ein persönliches Passwort in der Vergangenheit weitergegeben wurde. 26% vertrauen diesbezüglich ihrem Partner, 12% dem eigenen Systemadministrator, 10% immerhin guten Freunden. Damit wird deutlich, dass selbst bei den Computerexperten grundlegende Regeln zum sicheren Umgang mit Passwörtern in wichtigen Bereichen ignoriert werden.

Sichere Passwörter

Samstag, 13. März 2010

Der erfolgreiche Angriff auf das E-Mail-Konto von Sarah Palin bei Yahoo hat gezeigt, dass die hinterlegten Sicherheitsfragen, mit denen die Identität eines Nutzers verifiziert werden soll, falls dieser einmal sein Account-Passwort vergessen hat, ein kritisches Einfallstor sein können. Eine Studie von Joseph Bonneau, von der Universität Cambridge und zwei Kollegen der Universität Edinburgh hat dies jetzt auch wissenschaftlich untermauert. Danach soll für einen Hacker eine etwa achtzigprozentige Chance bestehen, die richtige Antwort auf übliche Sicherheitsfragen, etwa nach dem Geburtsnamen der Mutter, innerhalb von drei Versuchen zu finden. In einem Interview der BBC erläuterte Bonneau, dass etwa die Frage nach dem Name des Grundschullehrers auf den ersten Blick sehr sicher wirke. Das Problem sei aber, dass es gleich eine ganze Reihe von Lehrerinnen mit dem Namen “Müller” gebe, was die Rate-Chance eines Hackers deutlich verbessere.

Eine bessere Absicherung, gerade von E-Mail-Konten, die häufig als Speicherort für per Mail zugesandte Passwörter zu weiteren Diensten ein lukratives Angriffsziel bieten, ist daher notwendig. In einem Bericht bei the Register, der bereits vor einiger Zeit über die Studie berichtete, werden etwa mehrere Fragen vorgeschlagen, die gleichzeitig beantwortet werden müssen oder Nachrichten auf eine hinterlegte Mobilfunknummer, die dann in ein Online-Formular übertragen werden müssen.

USA gibt Cybersicherheitsplan (teilweise) frei

Donnerstag, 4. März 2010

Unter Präsident Bush war im Jahr 2008 ein Plan für die Cybersicherheit der USA auf den Weg gebracht worden. In 12 Abschnitten sollte der Plan Vorgehensweisen und Kriterien für die Sicherheit amerikanischer Einrichtungen festlegen, z.B. militärischer, ziviler oder staatlicher Netzwerke, kritischer Infrastrukturen, aber auch für offensive Cyberwar-Strategien. Der Plan unterlag allerdings der Geheimhaltung.

Nach einem Statement des Cybersecurity Coordinators Howard A. Schmidt auf der RSA Konferenz in San Francisco, über das  Wired berichtet sind jetzt zumindest Teile des Plans freigegeben worden. Dies betrifft etwa die Einführung von Einstein II und III, Intrusion Detection Systemen für die staatlichen Netzwerke. Weiterhin unter Verschluss bleiben hingegen die Direktiven des Plans, die sich mit Cyberwar befassen.