Themen
Tipp des Monats
Machen Sie in nur zehn Minuten den IT-Sicherheitscheck von Deutschland sicher im Netz. Der Test liefert Handlungsempfehlungen, mit denen Sie die eigene IT-Sicherheitslage verbessern können.
Newsletter
Um neue Beiträge regelmäßig zu erhalten, können Sie hier unseren Newsletter abonnieren:
Cyberbatman
Cyberbatman oder Selbstjustiz im Internet
Das Internet ist ein merkwürdiger Ort. In der digitalen Realität scheinen die Uhren anders zu ticken; die Technik hilft bei disruptiven Geschäftsmodellen und bringt Neuerungen, mit denen keiner gerechnet hat. Ein neuer Trend ist der zum disruptiven Rechtsverständnis; und, auch wenn ich kein Anwalt bin, das kann eigentlich nur schief gehen.
Ich beziehe mich auf Forderungen von Politik und Industrie, bei Cyberangriffen “zurückschlagen” zu dürfen. Hier ist als Beispiel ein Spiegel Online-Artikel , wo sich Verfassungsschutzpräsident Maaßen bezüglich der Cyberkapazitäten Deutschlands wie folgt äußert: “Wir halten es für notwendig, dass wir nicht nur rein defensiv tätig sind. […] Sondern wir müssen auch in der Lage sein, den Gegner anzugreifen, damit er aufhört, uns weiter zu attackieren.”.
Es gibt genügend Zitate, die in eine ähnliche Richtung zielen, sowohl aus Deutschland (“Wenn wir identifiziert haben, woher ein Cyber-Angriff kommt, müssen wir ihn auch aktiv bekämpfen können.”, de Maizière) als auch aus dem Ausland, aus Politik und Industrie.
Das Thema bringt einige kritische Fragen mit sich, die ungeklärt sind. Ist das denn Notwehr, oder Selbstjustiz? Keine Frage, dass ein laufender Angriff geblockt und abgewehrt werden muss; aber das Starten eines Gegenangriffs ist eine andere Kategorie. Dafür braucht man auch offensive Kapazitäten, die normale Firmen nicht zur Verfügung haben — warum auch?
Welches Problem löst ein Gegenangriff? Der eigentliche, ursprüngliche Angriff wird dadurch nicht zwangsläufig gestoppt. Der Angreifer ist meist nicht darauf angewiesen, dass bestimmte Webseiten gerade funktionieren, so wie Firmen und deren Internetauftritte. Server für Angriffe sind oft genug virtuell, und wenn eine virtuelle Maschine gekapert oder ausgeschaltet wird, weicht man auf eine andere Maschine aus.
Dann hat man auf Angreiferseite sogar ein weiteres wichtiges Ziel erreicht: man hat weitere Ressourcen des Opfers gebunden. Wer auch angreift, hat weniger Zeit für die Abwehr.
Wo man sich dabei im rechtlichen Raum aufhält, sollte man vorher prüfen oder prüfen lassen. Gesetze schützen in der westlichen Gesellschaft jeden, und ein Angriff ist ‑unabhängig von der Intention- ein Angriff. Wie gesagt, ich bin kein Rechtsanwalt. Batman ist auch ein gefeierter Held und handelt außerhalb des Gesetzes, wenn er die Bösewichte verfolgt, verprügelt und dabei für massiven Kollateralschaden sorgt. Andererseits ist Batman aber auch nur eine Comicfigur.
Es gibt aber noch ein wesentlich stärkeres Argument, welches gegen einen Gegenangriff spricht: das der Zuordnung, oder Attribution. Was in der regulären Forensik schwierig sein kann, ist im Cyberraum nahezu unmöglich: innerhalb kurzer Zeit eine eindeutige Identifikation z.B. des Angreifers herzustellen.
Ein Angriff über das Internet erfolgt so gut wie nie direkt; mehrfache VPN-Tunnel, das Ausnutzen von in vorherigen Angriffen gekaperten Servern oder auch die Verwendung von Botnetzen machen es dem Angegriffenen ohne externe Hilfe unmöglich, den Angreifer zu ermitteln. Vielfach sind die offensichtlich angreifenden Maschinen selbst Opfer; wer also gewinnt bei einem Gegenschlag?
Den Angreifern geht es heutzutage kaum noch um das eigene Ego oder um Selbstdarstellung; diese Absichten treten zunehmend in den Hintergrund und wirtschaftliche oder politische Interessen herrschen vor. Die Angreifer sind durchaus ergebnisorientiert und denken wirtschaftlich. Ausschlaggebend ist das Ergebnis. Wenn Nation A ein Wahlergebnis einer anderen Nation B manipulieren will, damit der Wunschkandidat dort regiert, dann ist das Ergebnis wichtig. Ob jemand danach weiß oder nicht, dass der Verursacher Nation A war, tritt dabei völlig in den Hintergrund; in dem Fall ist es sogar ein Bonus, wenn die genaue Quelle unerkannt bleibt.
Für die Durchführung haben die Angreifer möglicherweise sogar eine Infrastruktur, die ausschließlich für diese eine Operation da ist und danach nie mehr zum Einsatz kommt — je nachdem, wieviel Risiko und wieviel Gewinn zu erwarten ist. Letzten Endes haben eben auch kriminelle Organisationen ein gewisses Budget und denken über den Return of Invest nach.
Es gibt auch keine Ehre unter Dieben — verschiedene hochspezialisierte Angreifergruppen verwenden mitunter die Infrastruktur von technisch weniger versierten Kleinkriminellen, damit die digitale Spur bei jemand aufhört, der ein Motiv haben könnte. Diese Verschleierungstaktiken kann man ebenfalls mehrfach anwenden, und damit wird die Spurensuche weiter erschwert.
Um also als Angegriffener die Spur bis zum tatsächlichen Angreifer zurückverfolgen zu können, braucht man Mithilfe von Anderen (z.B. Providern etc.) und Einsicht in Logfiles verschiedenster Plattformen. Datenschutz und Rechtslage in anderen Ländern machen die Aufgabe sehr schwer bis unmöglich, zumindest in vertretbarer Zeit.
Das Militär brauche keine Sicherheit von 100%, um einen Gegenschlag auszuführen, sagte die Cybersecurity-Spezialistin Mara Tam anlässlich der Konferenz “Troopers”; aber damit wird nur betont, dass ‑übrigens wie vielleicht auch bei Handgranaten, Panzern oder Kampfhubschraubern- für das Militär insgesamt andere Regeln gelten als für die Privatwirtschaft.
Zu guter Letzt ist es meiner Meinung nach immer eine schlechte Idee, skrupellose Gesetzesbrecher weiter zu provozieren. Als Firma hat man davon nicht viel, außer vielleicht mehr Ärger. Und wer braucht den schon?

Beschäftigt sich seit den späten 80ern mit Themen rund um Cyber-Security. Beruflich erfolgte die Fokussierung auf die Absicherung von Netzwerken sowie Bedrohungen aus dem Internet in 1999, mit Arbeitsplätzen in Schottland und Deutschland. Seit 2010 tätig für die DATEV in Themengebieten rund um Netzwerksicherheit und Internet-Security.

Neueste Kommentare