Nach Ermittlungen von Microsofts Digital Crime Unit hat der mutmaßliche Betreiber des Kelihos-Botnets in der Vergangenheit bei einem Hersteller von "Firewalls, Virenscannern und Sicherheitssoftware" als Projektmanager und Entwickler gearbeitet. (1)
 

Zwei ungleiche Werke geben Anlass zu einer Auseinandersetzung mit den aktuellen Gefährdungen der IT-Sicherheit. Trotz ihrer unterschiedlichen Ausrichtungen ergänzen sie sich bestens.

Die Rede ist zunächst von dem Register aktueller Cyber-Gefährdungen, das jüngst vom Bundesamt für Sicherheit in der Informationstechnik herausgegeben wurde. Es wird die Diskussionen über die IT-Sicherheit standardisieren und präzisieren, weil es ein einheitliches Schema (Phasenmodell) setzt und ihm klar definierte Begriffe zuordnet. Das wird vor allem dem Wildwuchs der ausufernden Fachbegriffe entgegen wirken, bei dem jeder nur leicht abweichenden Erscheinungsform ein neuer Begriff zugeordnet wird, der nur selten die Nähe zu nahe verwandten Formen erkennen lässt.

Das zweite Werk, auf das zunächst eingegangen wird, ist die Studie von McAfee über die
Bedrohungen 2012. Sie widmet sich nicht nur den üblichen Tendenzen (starke Individualisierung von Angriffen, zunehmende Angriffe auf die mobile Kommunikation und Informationsverarbeitung), sondern setzt einen Schwerpunkt bei den Entwicklungen des Hacktivismus.

Nach einer notwendigen Kritik an dem Register steht am Ende eine Gesamtbetrachtung, die eine Verbindung zwischen beiden Werken herstellt.
 

 
hat jüngst die Studie über die Bedrohungen 2012 herausgegeben (2). Darüber und vor allem über das Problem der "eingebetteten Hardware" (produktive Komponenten, die mit üblichen informationsverarbeitenden Systemen vernetzt sind) habe ich bereits kurz berichtet (3).

erwartet, dass die Angriffe gegen industrielle Steuerungssysteme zunehmen werden (Supervisory Control and Data Acquisition - SCADA), und reagiert damit vor Allem auf Stuxnet. SCADA sind deshalb einfache  Ziele, weil sie ursprünglich nicht für Netzwerkumgebungen entwickelt wurden und Sicherheitsstrukturen in ihrer Umgebung häufig fehlen.

Auch virtuelle Bezahlsysteme wie Bitcoins (4) können durch Botnetze, die sich auf das verteilte Rechnen spezialisieren (5), kompromittiert werden. Mobilgeräte dürften immer mehr Angriffen ausgesetzt sein. Sie werden sich voraussichtlich auf das Homebanking (mTAN-Verfahren), die Bildung von mobilen Botnetzen und klassischen Funktionen von Malware konzentrieren: Spam, Abruf von Premium-SMS und Spyware.

Auf jeden Fall ist zu erwarten, dass die Rootkits zum Tarnen der eingenisteten Malware ausgereifter und immer tiefer in den Kernel (Hardwareebene des Betriebssystems) eingebettet werden. Diese Tendenz im Bereich der "großen" IT erwartet McAfee auch bei den Mobilgeräten. Sie sind noch besonders anfällig gegen Bootkits, also Malware-Formen, die die Systemstartfunktionen ersetzen oder umgehen (Deaktivierung von Boot-Loadern, wobei der Angreifer ein eigenes verändertes Betriebssystem laden kann). Die verbreiteten Malware- und Botnetz-Systeme Zeus und SpyEye setzen bereits Applikationen für Mobilgeräte ein, um die zweistufige Authentifizierung beim Onlinebanking zu umgehen und um Zugriff auf das Konto des Opfers zu nehmen.

Digitale Zertifikate dienen der Authentifizierung von Web-Standorten und Download-Quellen, wenn die Zertifizierungsstellen vertrauenswürdig sind. Im zurückliegenden Jahr sind mehrere Angriffe gegen Zertifizierungsstellen bekannt geworden, bei denen der Diebstahl digitaler Signaturen sicher ist. Sie lassen sich nur in Grenzen missbrauchen. Die Einbrüche zeigen aber auch, dass es prinzipiell möglich ist, dabei beliebige Zertifikate zu erstellen und damit ungeprüfte und gefährliche Angebote zu adeln. McAfee befürchtet, dass damit das Vertrauen in die Signatur-Technologie beschädigt wird <S. 10>: Wir machen uns große Sorgen über die Auswirkungen umfassender unautorisierter Zertifikate für Whitelist- und Anwendungssteuerungstechnologien, die auf solchen Zertifikaten aufbauen. Zu Recht.

Beim Spamming zeigt sich ein interessanter Wandel <S. 8 >: Es ist billiger und weniger riskant, Internetnutzer über eine Werbeagentur mit Spam zu belästigen, als ein Botnet einzusetzen. Diese Aktivitäten, die auch als Snowshoe Spamming (Schneeschuh-Spam) bekannt sind, haben derart zugenommen, dass zum Zeitpunkt der Erstellung dieses Berichts die 10 häufigsten Spam-E-Mails eine Benachrichtigung über den Zustellstatus, eine Botnet-Spam-Nachricht für gefälschte Rolex-Uhren, einen Nigeria-Betrug und ganze sieben Snowshoe-Spam-Nachrichten umfassten. Solcher Datenverkehr wird schneller wachsen als Phishing und Nigeria-Betrug, während Botnet-Spam zurückgehen wird, weil die Botnet-Betreiber bessere und sicherere Mittel und Wege finden werden, aus ihren Armeen ferngesteuerter Computer Profit zu schlagen. Es ist nur eine Frage der Zeit, bis der größte Teil des weltweiten Spam-Aufkommens von kriminell agierenden, aber technisch gesehen „legalen“ Unternehmen stammt.

Die eine Folge davon ist, dass sich die Botnetz-Betreiber mehr auf das DDoS-Geschäft und auf das Ausspähen profitabler Daten konzentrieren werden. Die andere lässt eine Professionalisierung des Spamming erwarten, weil die hier tätigen Werbeargenturen mit den einschlägigen kaufmännischen Handlungen und Techniken vertraut sind: Kauf und Qualitätskontrolle von E-Mail-Adressenlisten, Kundendatenbanken und beim E-Pending <S. 8>. Hierbei werden mithilfe von Algorithmen die E-Mail-Adressen von Benutzern gesucht, die sich wahrscheinlich für Werbung interessieren würden.

Das wiederum hätte zwei Folgen und davon eine gute: Die Belastungen der technischen Infrastruktur mit den gießkannenweise verteilten Spams hätte ein Ende und die Belastung des Anwenders beim Löschen der durchgekommenden Nachrichten auch.

Die weniger gute Folge ist: Spams werden zielsicherer platziert und präziser auf die Opfer abgestimmt. Diese Tendenz zeigt sich bereits im Spear-Phishing, also dem gezielten Ansprechen eines Personenkreises oder einzelner Personen, um Zugangsrechte oder vertrauliche Informationen zu erlangen. Darauf ist eine neue Qualität von Guerilla-Werbung zu erwarten, die mit individualisierten Psychotricks (also: Social Engineering) Hemmungen und das gesunde Misstrauen der Opfer durchbricht. Das ist bereits bekannt von den Enkeltrick- und Schockanrufen, bei denen mit professionellen Methoden der Suggestion und Manipulation die Betroffenen dazu gebracht werden, Geld locker zu machen, was sie sonst nie machen würden.

Das hat Grusel-Qualität. Gegen doofes Spamming kann man sich leicht wehren. Wenn man das Gehirn nur ein wenig einschaltet, dann ist der Button ganz schnell betätigt. Gegen fein abgestimmte und flirtende Liebeleien, Koketterie und Schmeichelei fällt es schon schwerer, brüsk die Reaktion zu verweigern. Welche Chance vergibt man sich? [Dass der Text zum Bild einer slawischen Schönheit von einem bärtigen Schmerbauch stammt, sieht man nicht.]
 

 
Das Bundesamt für Sicherheit in der Informationstechnik - BSI - wirkt häufig etwas kopflastig. Fraglos hat es sich mit seinen Grundschutz-Standards (6) eine internationale Anerkennung erarbeitet und verdient, die gegen Zweifel erhaben ist. Mit dem jetzt erschienenen Register aktueller Cyber-Gefährdungen und -Angriffsformen (7) hat es die Grundlagen für die künftigen Auseinandesetzungen mit der organisatorischen IT-Security und der Cybercrime geschaffen. Es baut dazu auf seiner Materialsammlung auf, die bereits Gegenstand der Gefährdungskataloge ist (8).
 

 Das Register definiert ein Phasenmodell (siehe links), dem mehrere Stufen zugeordnet sind. Mit ihnen setzen sich die Anhänge des Registers im einzelnen auseinander.

Die Struktur und klare Zuordnung von Gefahren und Vorgehensweisen bei Angriffen gegen die IT ist beachtlich und bislang einzigartig. Aus der strafrechtlichen und Ermittlungs-Sicht weist das Modell nur wenige Lücken oder Unklarheiten auf, die nach geringfügigen Ergänzungen verlangen. Grundsätzlich in Frage gestellt wird es dadurch nicht.

Eine Schwäche, die das Register hat, sind die verwendeten Schlag- und Fachworte, die nicht immer selbsterklärend sind und der Erläuterung bedürfen. Daran arbeite ich gerade und merke, welchen Aufwand das macht. Ein schneller Abschluss steht nicht in Sicht.

Einen Eindruck geben die Entwürfe für drei Kapitel, die als Leseprobe zur Verfügung stehen.

Dieter Kochheim, Gefahren in der Dualen Welt (Arbeitstitel):

Einleitung (1 S.)
Aufbau des Gefährdungs-Registers vom BSI (3 S.)
Angreifer (10 S.)

 
 Auch mit den verwendeten Schlagworten hat das Register eine wichtige Ordnungsfunktion. Es signalisiert deutlich, dass die Materie nicht ohne - durchweg englischsprachige - Fachworte erfasst und durchdrungen werden kann und begrenzt dadurch den üblichen Wildwuchs, indem es einen sprachlichen Standard setzt. Ich erwarte, dass das Register dadurch zu eine Art "Duden" für die anerkannten Fachworte im Bereich der IT-Sicherheit wird.

Das Phasenmodell hat seine Stärke, wenn es bei der Betrachtung gezielter Angriffe verwendet wird, die sich gegen die Funktionstüchtigkeit der IT richten oder zur Spionage dienen. Der einleitende Text weist darauf hin, dass es daneben auch ungezielte und breit angelegte Angriffe zur Verbreitung von Spam und Malware gibt. Für diese ist das Modell womöglich zu feingliedrig. Das muss im paktischen Einsatz geklärt werden.

Als Schwachpunkt könnte sich auch herausstellen, dass immer häufiger Angriffe mit selbsttätiger Malware ausgeführt werden, wobei das menschliche Handeln bei der Einrichtung der Infrastruktur des Angriffs (Pharmen, Malware, C & C-Server, Verbreitung) zunächst endet und erst wieder einsetzt, wenn sich die Malware eingenistet und ihre Funktion aufgenommen hat. "Aurora" ist dafür ein Beispiel (9): Die eingesetzte Malware errichtete von selbst eine Backdoor, die die Angreifer dann zur eigenhändigen Spionage nutzen konnten.

Diesen Aspekt scheint das Register nicht oder nur knapp zu betrachten. Die Auswirkungen davon wird die Zukunft zeigen müssen.
 

  
 Eine knapp gehaltene Übersicht über die verschiedenen Angreifer stellt das Register den Angriffsphasen voran:

Cyber-Aktivisten (Hacktivisten)
Cyber-Kriminelle
Wirtschaftsspione im Cyber-Raum
Staatliche Nachrichtendienste im Cyber-Raum
Staatliche Akteure im Cyber-War (Militär)
Cyber-Terroristen
Skript-Kiddies

In Anbetracht der Diskussionen um den Begriff "Cyberwar", die vor einem Jahr ihren Höhepunkt hatten (10), überrascht die vorbehaltlose Verwendung dieses Begriffes. Selbst in den strategischen Planungen des Militärs wird eher zurückhaltend von den "Bedrohungen gegen den Cyberspace" gesprochen (11).

 Das Modell vom BSI ist zwar breiter als die klassische Typenlehre von McAfee (12) und dennoch zu ungenau. Es beschränkt sich zunächst auf die mit Vorsatz Handelnden und schließt damit absichtlich die aus Unwissenheit oder Bequemlichkeit handelnden Mitarbeiter aus. Die Typenlehre von 2006 hat noch zwischen den "ruhmgierigen Amateuren" und den "Nachahmern" unterschieden. Sie werden im Register unter den Skript-Kiddies unglücklich zusammengefasst. Die böswilligen Insider mit Exklusivwissen (Mitarbeiter, Subunternehmer) erscheinen im Register gar nicht oder allenfalls als nicht definierte Untergruppe der "Cyber-Kriminellen".

"Hacker" in ihren verschiedenen Ausprägungen benennt das Register ebenfalls nicht. Insoweit war auch die Typenlehre noch zu knapp, weil sie sich auf die "Innovatoren" mit hohem Fachwissen und Verantwortungsbewusstsein beschränkte.

 Die Cyber-Kriminellen unterscheidet das Register nur wegen der "Einfachen" und "Organisierten Cyber-Kriminalität" und insoweit nach dem Grad der Professionalität. Das führt zu einem äußerst verwaschenem Begriff der Organisierten Kriminalität, die schon viel klarer definiert wurde (13). Den verschiedenen kriminellen Erscheinungsformen wird das Register nicht gerecht. Operation Groups (14), Koordinatoren (15) und Schurkenprovider (16) lassen sich damit nicht genau genug unterscheiden und landen wahllos bei der Organisierten Cyber-Kriminalität.

Diese Kritik stellt das Register nicht in Frage. Sie zeigt aber, dass an seiner Gestalt noch gearbeitet werden muss, wenn man es auf die Betrachtung der Cybercrime anwenden will. Dasselbe Problem stellt sich im Hinblick auf das Einnisten der Malware, wobei das materielle Strafrecht eine genauere Unterscheidung zwischen dem Anliefern, der Injektion, der Infektion und der Installation von Malware verlangt.

Im Zuge der weiteren Diskussionen muss das Betrachtungsmodell des Registers ausgebaut und auf die Bedürfnisse des Strafrechts erweitert werden. Es liefert dafür einen vernünftigen Rahmen.
 

 
 Eine Verfeinerung benötigt das Register vor Allem auch wegen der undifferenzierten Behandlung der Cyber-Aktivisten. Sie weisen eine große Spannbreite vom "Club of the Dead Cow", auf den der Begriff "Hacktivismus" zurück geht, über Anonymous und regionale Gruppen in Konfliktregionen bis hin zu regierungsnahen Gruppen in den GUS-Staaten und Hackerarmeen in China und anderswo auf.

Der Hacktivismus ist ein Thema, das seit der wichtigen Studie von Paget (17) dem Sicherheitsunternehmen McAfee am Herzen liegt. Auch im Hinblick auf die Bedrohungen 1012 nimmt das Thema einen breiten Raum ein.

Das gilt zunächst für Anonymous (18). McAfee fordert, das "kopflose Kollektiv" ernst zu nehmen, und mahnt (19): Wenn sich die einflussreichen Kreise innerhalb der Anonymous-Bewegung nicht durch konzertierte und verantwortungsbewusste Aktionen organisieren können, laufen alle, die sich als Anonymous ausgeben, letztendlich Gefahr, marginalisiert zu werden.
 

 Auf absehbare Zeit erwartet McAfee ein Zusammenwachsen der "weltlichen" Occupy-Bewegung und Anonymous (Cyberoccupier), wobei ich glaube, dass diese Aussage längst keine Prognose mehr ist. Ungeachtet dessen, ob sich die Gruppen namentlich zusammenschließen werden, werden jedenfalls die Protestbewegungen zunehmend auch zu den (begleitenden) Mitteln des Hacktivismus greifen. Hinweise darauf gibt es spätestens seit einem Jahr (20).

Etwas unklar sprechen die "Bedrohungen 2012" auch von der Entwicklung über "Selbsternannte Internetarmeen" zu patriotischen "Echten Internetarmeen". Dafür gibt es noch keine aussagekräftigen Beispiele.

McAfee zeigt in seinen Schriften schon seit Jahren die Neigung, soziale, politische und kriminelle Entwicklungen im Zusammenhang mit dem Internet begreifbar zu machen und dafür Schemata zu entwickeln. Die dabei entstandenen Definitionen und Gedankenbilder sind nicht glücklich gewählt, was sich auch bei Paget gezeigt hat, dem das kriminalistische Fachwissen fehlt. Das ist kein Vorwurf. Das von mir angesprochene Fachwissen kann man nicht voraussetzen und insbesondere die Analysten, die Neuland betreten, müssen selber erst einmal ein Schema entwickeln, wenn sie nicht auf bewährte Definitionen zurückgreifen können.

Die Chance auf ein geschlossenes analytisches Modell eröffnet jetzt das Register vom BSI. Es kann zweifellos auf die Betrachtung von Cyber-Angriffen angewendet und muss allenfalls mit Blick auf die kriminalisten und strafrechtlichen Anforderungen erweitert werden.

Ich hoffe, dass diese Chance in der weiteren Diskussion wahrgenommen wird. Eine juristische und kriminalistische Diskussion auf der Grundlage des Registers wird gradliniger und präziser zu führen sein, als das jetzt noch der Fall ist.
 

 
 Ein letztes Wort gilt den Skript-Kiddies, die im Schaubild bei McAfee sogar als Bindeglied zwischen den Internetarmeen und den Cyberoccupiern herhalten müssen. Der Begriff beschreibt eigentlich Kinder und Jugendliche, die spielerisch mit gefährlichen Werkzeugen hantieren, ohne zu begreifen, was sie damit anrichten können. Wenn McAfee von ihren "Albernheiten" spricht, dann meinen die Autoren auch die Leute im Netz, die sich Spontaneität und Kreativität bewahrt, aber nicht immer Weitblick erworben haben (21).

Insoweit wird zwischen den echten "Kiddies" im jugendlichen Alter und den Spontis neuer Art zu unterscheiden sein. Ich bin fast so weit, eine Welpenschutzorganisation für Skript-Kiddies zu gründen, um auf diesen Missstand hinzuweisen!
 

 
(1) Botnetz-Betreiber soll bei Antivirus-Firma gearbeitet haben, Heise online 24.01.2012

(2) , McAfee 20.12.2011

(3) : Bedrohungen 2012,, 15.01.2012

(4) gefährliches Spielgeld, 12.06.2011 (Bitcoin)

(5) Ticker, 16.10.2011

(6) BSI, IT-Grundschutz-Kataloge, 12. Erg.lieferung, September 2011 (51 MB).
Onlineversion: BSI, IT-Grundschutz-Kataloge.

(7) BSI, Register aktueller Cyber-Gefährdungen und -Angriffsformen, 16.01.2012

(8) G 5 Vorsätzliche Handlungen

(9) Aurora, 13.02.2011

(10) Streit um den Cyberwar, 05.02.2011

(11) Bedrohungen gegen den Cyberspace, 06.02.2011

(12) erste Typenlehre, 27.07.2008

(13) neue Definition der Cybercrime, 07.08.2008

(14) Operation Groups, 13.07.2008

(15) Koordinatoren, 07.08.2008

(16) Rogue-Provider, 13.07.2008

(17) François Paget, Cybercrime and Hacktivism, McAfee 15.03.2010;
Dieter Kochheim, Cybercrime und politisch motiviertes Hacking. Über ein Whitepaper von François Paget von den McAfee Labs, 20.10.2010.

(18) kopfloses Kollektiv: Anonymous, 15.02.2011

(19) Besetzer (Occupy-Bewegung), 15.01.2012

(20) Molotowcocktails im Internet, 05.02.2011

(21) Sponti-Hacking: LulzSec, 13.06.2011