Beitrag von Vlad Georgescu
Tatsächlich markiert der Monat Mai 2019 einen Wendepunkt. Denn zum ersten Mal gelangten Hacking Units nicht an die Daten von Millionen Nutzern, sondern an den Heiligen Gral eines jeden Softwareentwicklers: den Quellcode. Als reichte dies allein nicht aus, setzten die Hacker einen drauf – und klauten wichtige Programmierzeilen von Symantec, Trend Micro und McAfee, jenen Unternehmen also, die mit ihren Antiviren und Endpoint-Protection-Tools unzählige kritische Infrastrukturen weltweit absichern sollen. Und bislang als feste Größe im Kampf gegen die Organisierte Kriminalität galten.
Der Chat-Dienst WhatsApp wird weltweit von über 1,5 Milliarden Menschen genutzt.
Israelische Spionage-Software wurde durch Anruf installiert
So arbeitet Trend Micro "seit 2013 mit Interpol zur Bekämpfung von Cyberkriminalität zusammen", wie Wikipedia derzeit noch vollmundig beschreibt. Noch 2016 – im Zeitalter der Bits und Bytes eine digitale Ewigkeit – verkündete das japanische Unternehmen einen sensationellen Erfolg:
Der japanische IT-Sicherheitsanbieter Trend Micro hat zur Festnahme des Anführers eines internationalen kriminellen Netzwerks beigetragen. Dieser steht im Verdacht, mehr als 60 Millionen US-Dollar durch die cyberkriminellen Methoden 'Business Email Compromise' (BEC) und 'CEO Fraud' erbeutet zu haben", hieß es damals in der entsprechenden Mitteilung des global operierenden Cyberunternehmens.
Nicht minder selbstbewusst gab sich der US-amerikanische Gigant Symantec – und trug auf dem Interpol World Congress 2015 seine Sichtweise von Cyberstrategie vor. Dass Symantec zu den Speerspitzen der amerikanischen Cyberabwehr zählt, galt bis Mai dieses Jahres als Binsenweisheit. Ebenso seine Nähe zur National Security Agency (NSA). Schon vor einem Jahrzehnt dozierten Fachleute der privaten Firma vor Fachleuten der NSA – keinesfalls ungewöhnlich, denn auch russische und chinesische Privatunternehmen tauschen sich mit den Cyberbehörden ihrer Länder aus.
Denn einer Hackergruppe, die sich Fxmsp nennt, gelang es bereits im März dieses Jahres, ins Netz der Gebeutelten einzudringen, wie das IT-Portal BleepingComputer unlängst berichtete.
Damit gelangt womöglich unschätzbar wichtiger Quellcode, der auch hierzulande einen Großteil der kritischen Infrastrukturen schützt, in die Hände der gut betuchten Organisierten Kriminalität. Denn die von Fxmsp geforderten Summen liegen im Bereich von 250.000 bis eine Million US-Dollar, wenig Geld für Organisationen, die allein mit einer Bootsladung Kokain eine halbe Milliarde Dollar und mehr erwirtschaften. Den Code kaufen, um am Ende die Strafverfolger zu überwachen – was bislang hollywoodreif war, ist seit Mai 2019 Realität.
Große Zahl der Angriffe kommen aus den USA. Entscheidend für die potentiellen Käufer ist nämlich nicht der Code per se. Denn Hacker können, freilich illegal, mit Hilfe von ehemaligen NSA-Werkzeugen wie GHIDRA und anderen Tools ohnehin jene Teile des Codes sichtbar machen, die nicht verschlüsselt sind. Entscheidend für zahlungswillige Cyberkriminelle ist vielmehr der Eintrittsweg in die Heiligtümer von Symantec und Trend Micro oder McAfee – und die Erkenntnis, dass Fxmsp offenbar in der Lage ist, diesen Weg zu gehen. Mitunter auch als Auftragsarbeit.
Alles neu macht der Mai
Der Fxmsp-Angriff ist für sich allein betrachtet ein Desaster, doch zur Kernschmelze der Cybersicherheit tragen mehrere Faktoren und weitere aufgeflogene Cyberattacken bei.
So musste der deutsche Ableger des US-amerikanischen Spezialisten CITRIX zugeben, sechs Monate lang nicht den blassesten Schimmer davon gehabt zu haben, überhaupt angegriffen worden zu sein. Dass sich Angreifer ein halbes Jahr lang vollkommen unbemerkt im Firmennetzwerk bewegen und ganz nebenbei personengebundene Kundendaten absaugten, zeigt vor allem eins: Die Republik steht vor einem digitalen Trümmerhaufen.
Die jetzigen Cyberattacken betreffen praktisch alle IT-Strukturen des Westens, vor allem innerhalb Deutschlands.
Für die globalen Black-Hat-Angreifer sind das gute Nachrichten, scheint der letzte Damm doch gebrochen zu sein. Denn nahezu unbemerkt von der Öffentlichkeit – und nicht einmal von Edward Snowden publik preisgegeben –, basierte die Cyberabwehr vor allem auf einem elementaren Gedanken: Nicht der Schutz durch Software allein, sondern erst die "Kooperation" zwischen Prozessor und Software sollte Computer und Anlagen schützen – geheime Angriffsflächen auf den Prozessoren wiederum würden, so der ursprüngliche Gedanke, im Notfall eigene Cyberangriffe erleichtern.
Die US-amerikanische Dominanz sowohl auf dem Gebiet der Hardware als auch der Software schien auch die Dominanz der Cyberabwehr zu gewährleisten. Dass diese auf Prozessorebene aller Wahrscheinlichkeit von Beginn an konzipierten Eintrittspforten aufflogen, hat vor allem eine beunruhigende Komponente: Die NSA selbst scheint ihre Cyberwaffen und Dienstgeheimnisse nicht mehr unter Kontrolle halten zu können.
Insgesamt sollen 21 Millionen Passwörter vom Datenklau betroffen sein.
Mehr lesen:Größte jemals gestohlene Sammlung von Zugangsdaten im Netz aufgetaucht
Denn auch WannaCry und NotPetya, die 2017 die Welt im Atem hielten, sind eigentlich Abkömmlinge aus dem technisch betrachtet durchaus brillanten NSA-Repertoire – und gelten als erstes Indiz dafür, dass die US-Cyberabwehr auch ganz ohne Edward Snowdens Enthüllungen massiver wackelt denn je.
Die üblichen Verdächtigen – Cui bono?
Dass ausländische Cyberdienste aus Russland, China oder dem Iran technisch in der Lage sind, sogenannte APT-Angriffe (Advanced Persistent Threat) durchzuführen, ist altbekannt. Doch die jetzige Welle dürfte ihnen ebenso ungelegen kommen wie dem Westen. Denn anders als die organisierte Cyberkriminalität verfolgen ausländische Cyber-Nachrichtendienste in erster Linie die leise und unauffällige Übernahme von kritischen Infrastrukturen.
Auf diese Weise lassen sich Unternehmen und staatliche Einrichtungen ausspionieren oder, sofern es zu einem massiven Konflikt käme, auch mal lahmlegen. Nichts anderes betreiben auf der anderen Seite die NSA und ihre fachlich nicht minder bewanderten Cyberkrieger des britischen Government Communications Headquarters (GCHQ). Gerade für deutsche Unternehmen stellt sich ob solcher Konstellationen nicht mehr die Frage, ob sie gehackt werden wollen, sondern von wem.
Gleichwohl werden immer wieder die gleichen Muster bedient. So werden Unternehmen wie Kaspersky und Huawei im Westen auf Druck der USA argwöhnisch beäugt, obwohl sie wesentlich zur globalen Cyberabwehr und -kommunikation beitragen.