11-02-41 
Gezielte Angriffe, Hacktivismus, Whistleblowing, Kritische Infrastrukturen und der Cyberwar sind beherrschende aktuelle Themen, denen sich auch der Cyberfahnder widmet. Seine Beiträge werden in dem digitalen Arbeitspapier zusammengefasst und bewertet.

Dieter Kochheim, Eskalationen, 19.02.2011
 

 
 Tor und andere Anonymisierer oder Proxy-Server stellen Techniken zur Verfügung, um digitale Kommunikationsbeziehungen zu verschleiern. Ohne sie könnte es Whistleblowing-Plattformen wie WikiLeaks nicht geben. Sie müssen die Wege verschleiern, auf denen ihnen geheime Dokumente zugespielt werden können.

Es ist vorauszusehen, dass die Security-Industrie Gegenstrategien entwickeln wird. Das werden zunächst solche Methoden sein, die McAfee im Zusammenhang mit dem Schutz von Kritischen Infrastrukturen vorgestellt hat, also der Zugriffsschutz. Ihre Alarmsysteme werden künftig auch auf ungewöhnliche Häufungen von Informationsabrufen, Kopien und mobilen Speichern reagieren, um Informationsabflüsse zu erkennen und zu verhindern. Dazu müssen nur die vorhandenen Systeme zur Intrusion-Prevention und Intrusion-Detection angepasst und sensibilisiert werden.

Darüber hinaus kann ich mir vorstellen, dass die schon bekannten Verfahren zur Einrichtung von Wasserzeichen verfeinert werden. Überall dort, wo Dokumente nicht nur Text, sondern auch Format-Kommandos enthalten, lassen sich auch aktive Funktionen einbinden, die Alarm geben können. Sie könnten ihre IT-Umgebungen dazu nutzen, um sich bei ihrem „Herrchen“ bemerkbar zu machen. Soweit zur Zukunftsmusik.

WikiLeaks bekommt die vertraulichen Dokumente nicht von irgendwelchen Trenchcoatträgern in dunklen Ecken zugespielt, sondern über die Kommunikationsnetze. Das folgt aus seiner Tradition als Plattform, die weltweit Regimekritikern in totalitären Staaten die Veröffentlichung subversiver, peinlicher und auch gefährlicher Informationen ermöglicht.

 
 Die Cybercrime hat es vorgemacht. Zunächst mit Dialern und heute mit Onlinebanking-Malware und Würmern für den Identitätsdiebstahl oder für Botnetze hat sie das digitale Umfeld genutzt, um sehr reale Wirkungen zu erzielen. Gewinn. Ihn kann man in der digitalen Welt bewegen, wie die grauen Bezahlsysteme beweisen, aber nicht in Gänze für die Befriedigung aller natürlichen Bedürfnisse nutzen. Dazu bedarf es schon der Schnittstellen in der realen Welt, also zum Beispiel der von Paysafecard oder Webmoney gespeisten Kreditkarten auf Guthabenbasis. Mit ihnen kann die Beute am Geldautomaten an der nächsten Ecke realisiert werden.

Die digitale Netzwelt ist zum kommerziellen Marktplatz geworden und die Verlagerung von Geschäftsprozessen jeder Art lässt sich nicht mehr vermeiden.

 Das sind die guten Gründe dafür, dass Paget und seine Kollegen bei McAfee davon ausgehen, dass die Erscheinungsformen der Wirtschaftskriminalität, vor allem der Geldwäsche, und der Cybercrime immer weiter zusammenwachsen werden. Der Trend zum Zusammenwachsen kommt aus beiden Richtungen. Die Cyber-Kriminellen entdecken immer häufiger die klassischen Formen der Beutesicherung für sich und in der traditionellen Sparte werden zunehmend die Vorteile der Internetkommunikation und der digitalen Zahlungssysteme erkannt.

 
Die Masse der als geheim angesehenen Informationen, die WikiLeaks 2010 veröffentlicht hat, übertrifft – jedenfalls quantitativ – alles vorher Bekannte. Damit hat sich sein Sprachrohr Assange, ungeachtet aller klebrigen Vorwürfe, die sonst noch im Raum stehen, zum Abschuss freigegeben. Der US-amerikanische Empörungs- und Verteidigungsapparat ist verlässlich und wird WikiLeaks vernichten. Begleitschäden wie der Abschuss von HBGary Federal sind dabei womöglich nur lästig und nicht einmal schmerzhaft.

Schon jetzt ist sicher, dass die Vernichtung von WikiLeaks kein bleibender Erfolg sein wird. Längst haben sich neue Whistleblowing-Plattformen gebildet und ihre Betreiber haben aus dem Fall gelernt. Sie werden mehr technische Sicherungen einbauen, auf schillernde und angreifbare Exzentriker wie Assange verzichten und an seiner Stelle projektbezogene Aushängeschilder auftreten lassen, die gleich wieder aus dem Verkehr gezogen werden. Die unvermeidbare Vernichtung von WikiLeaks wird die Subversion vorantreiben.

 Das hat Anonymous bewiesen. Im Gegensatz zum typisch deutschen CCC-Verein, der sich als letzter Fahnenträger der akademischen Hackerkultur und Retter aller Freiheitsrechte versteht, oder der amerikanische Cult of the Dead Cow, der eigentlich lieber ein Motorradclub geworden wäre, ist Anonymous eine modulare Bewegung, die unerwartet ihre Schlagkraft bewiesen hat mit mächtigen DDoS-Angriffen und einer professionellen Hacking-Kompetenz, die alle gängigen Methoden erfolgreich anwendet. Anonymous präsentiert eine zivile Gegenmacht, die sich der Administration und dem kommerziellen Establishment erfolgreich entgegen stellt. Das ist keine kleine verschworene Gruppe, sondern eine weltweite Bewegung mit eigenen politischen und Moralvorstellung, die sich bislang als bemerkenswert stabil herausgestellt hat.
 

 Ob man die WikiLeaks-Veröffentlichungen und die Anonymous-Aktionen vorbehaltlos befürworten kann, ist eine andere Frage. Ich neige bekanntlich zum abwägenden „Ja Aber“. Beide zeigen ungeachtet dessen einen selbstgerechten Freiheitsanspruch, der sich erfrischend von den Heimlichkeiten, Munkeleien und Seilschaften in der Tagespolitik und der Ökonomie im Mainstream abhebt.

 Eine institutionelle Selbstgerechtigkeit kennen wir sonst nur aus der Wirtschaft und von ihren Verbänden. Sie stilisieren gelegentlich Software- oder Kunstdiebe zu blutrünstigen Piraten und Verbrechern, kümmern sich um ihr Kerngeschäft und halten sich in gesellschaftlichen und politischen Fragen ganz neutral. Das waren sie nie, weil jedenfalls ihre Verbände mit großem Aufwand Lobby-Politik betreiben.

Das Image als Saubermänner kratzen die Beispiele Stuxnet, Exploit-Händler und das Dreigestirn Berico-HBGary Federal-Palantir nachhaltig an. Wer sind denn die Geldgeber für Stuxnet? Woher stammen das Knowhow über industrielle Steuerungsanlagen und über Exploits, die noch nach drei Jahren völlig unbekannt waren? Woher kommen die Programmiererteams, die für mindestens zwei Jahre angeheuert wurden? Die Analysen der Sicherheitsunternehmen, allen voran Symantec, sprechen dafür, dass sie jedenfalls nicht aus der kriminellen Malwareszene kommen.
 

Der Cyberspace kennt – für sich betrachtet – keine zwingenden und justiziablen Regeln. Sie und ihre Sanktionen setzen gewöhnlich erst dann ein, wenn die Cyberrealität in die gewohnte Realität schwappt und in ihr Wirkungen hinterlässt. Beide Welten sind inzwischen so stark miteinander verwoben, dass sie sich nicht mehr – weder tatsächlich noch per bemühter Definition – voneinander trennen lassen.

Das bedeutet aber auch, dass wir die materielle und die digitale Welt als eine Einheit ansehen müssen. In der einen mag es abgelegene Bergdörfer ohne Zugang zu Kommunikationsnetzen und in der anderen hochgesicherte und abgeschottete Zirkel geben. Die großen Flächen in beiden sind aber schon heute Schnittflächen, die sich gegenseitig durchdringen.

Diese Erkenntnis hat mehrere Konsequenzen, die ich keineswegs abschließend anreiße:

Sicherheit ist unteilbar. Es gibt keine materielle Sicherheit, die von der digitalen unabhängig ist; und umgekehrt.

Moral und Recht sind unteilbar. Sie verlangen nach Pflichten und geben Schutz. Auch gegen haltlos spekulierende Cyberkämpfer aus dem Mainstream.

Die duale Welt kennt keine Nationalstaaten, keine bezöllnerten Grenzen und keine materiellen Schranken mehr. Ihr digitaler Teil durchdringt sie alle.

Grundbedürfnisse können nur in der realen Welt erlebt werden. Essen, Trinken, Abscheiden und Sex funktionieren nur bedingt, wenn man sie virtuell erledigen will. Das ist auch die Schwäche der digitalen Welt: Sie ist ein Parasit an der materiellen Welt, ohne die sie nicht existieren kann.
 

 
Die Prognosen fallen mir schwerer als in der Vergangenheit, als ich mir eigentlich nur Gedanken über die Entwicklungen in der Cybercrime machen musste. Insoweit bin ich auch nicht unzufrieden, weil ich vieles im Zusammenhang mit der Cybercrime, ihren Organisationsprozessen und Entwicklungslinien entdeckt habe und durch neue Fakten bestätigen konnte.

Die neuen Prozesslinien, die von WikiLeaks, Anonymous und den falschen Saubermännern aus dem Mainstream ausgehen, nehme ich zunächst erst wahr und werde sie verfolgen, ohne schon jetzt erkennen zu können, wohin sie sich entwickeln werden.

Als Paget vor einem Jahr von der zunehmenden Gefahr des Hacktivismus sprach, hatte er nur wenige und eher harmlose Beispiele für das Defacement und die politisch motivierten DDoS-Angriffe zu bieten. Die jüngsten Entwicklungen haben ihm recht gegeben.

Mir geht es ähnlich: Ich habe zunehmend organisierte, nicht monolithische, aber modulare Strukturen in der Cybercrime vorausgesagt. Genau das trifft jetzt auch auf Anonymous zu.
 

 
Es fällt leicht, sich über die Cybercrime zu entrüsten. Bei ihr haben wir auf der einen Seite die auf ihren kriminellen Gewinn bedachten Täter und auf der anderen Seite die Geschädigten. In diesem Bild reichen wenige Grautöne aus, um den Zwischenbereich zu zeichnen.

Beim Whistleblowing und beim Hacktivismus, bei den Gegenmaßnahmen aus der US-Verwaltung, den eingebundenen Unternehmen und schließlich den IT-Söldnern ist das schwieriger.

Kriminelle, Hacker und IT-Söldner nutzen dieselben Methoden, um ihre Ziele zu erreichen. Ob sie hacken, Malware einsetzen oder Social Engineering, sie unterscheiden sich nur wegen der Motive der Handelnden.

Die Motive der Verwaltungsleute und der IT-Söldner können für sich beanspruchen, auf böswillige Gefahren zu reagieren. Die Lehren aus dem letzten Golfkrieg und die Reaktionen auf den 11. September 2001 gebieten Vorsicht. Sie sind zu häufig aufgebauscht und mit falschen Informationen unterfüttert gewesen. Eine nüchterne Analyse ist gefordert.

Zu häufig sind gerade die, die sich im Recht der Entrüstung glauben, mit ihren Forderungen und Reaktionen weit über das Ziel hinaus geschossen. Säbelgerassel kennt keine Verhältnismäßigkeit.
 

 
Das gilt gleichermaßen für die Hacktivismus-Szene. DDoS und gezieltes Hacking sind keine einfachen Regelverstöße, sondern kriminelle Handlungen. Für sie mag es vereinzelt Rechtfertigungen geben, die im Ausnahmefall bis zur Notwehr, zur Nothilfe oder zur Wahrnehmung berechtigter Interessen reichen. Das kann ihre kriminelle Natur aber nicht ausräumen.

WikiLeaks und andere Whistleblower können für sich die Meinungs- und Pressefreiheit sowie die Forderung nach Informationsfreiheit in Anspruch nehmen. Auch diese Rechte sind nicht grenzenlos. Allein die Masse der von WikiLeaks veröffentlichten Dokumente spricht gegen eine verantwortungsvolle Auswahl und Bewertung.

Auch die kommerzielle IT-Branche hat ihre schwarzen Schafe. Ohne kriminelle Regelverstöße wie die von Anonymous kämen sie kaum ans Tageslicht.

Man mag mir widersprüchliches Verhalten vorwerfen, wenn ich einerseits die kriminelle Natur einer Methode benenne und andererseits ihre Früchte dennoch verwerte. Stimmt! Damit handele ich genau so wie die Finanzverwaltung und Strafverfolgung, die geklaute Daten über Steuersünder aus der Schweiz und aus Liechtenstein verwerten.