Digitales Armageddon: Geknackte Quellcodes bedrohen kritische Infrastruktur
von Vlad Georgescu
Tatsächlich markiert der Monat Mai 2019 einen Wendepunkt. Denn zum ersten Mal gelangten Hacking Units nicht an die Daten von Millionen Nutzern, sondern an den Heiligen Gral eines jeden Softwareentwicklers: den Quellcode. Als reichte dies allein nicht aus, setzten die Hacker einen drauf – und klauten wichtige Programmierzeilen von Trend Micro und McAfee, jenen Unternehmen also, die mit ihren Antiviren und Endpoint-Protection-Tools unzählige kritische Infrastrukturen weltweit absichern sollen. Und bislang als feste Größe im Kampf gegen die Organisierte Kriminalität galten.
So arbeitet Trend Micro "seit 2013 mit Interpol zur Bekämpfung von Cyberkriminalität zusammen", wie Wikipedia derzeit noch vollmundig beschreibt. Noch 2016 – im Zeitalter der Bits und Bytes eine digitale Ewigkeit – verkündete das japanische Unternehmen einen sensationellen Erfolg:
Der japanische IT-Sicherheitsanbieter Trend Micro hat zur Festnahme des Anführers eines internationalen kriminellen Netzwerks beigetragen. Dieser steht im Verdacht, mehr als 60 Millionen US-Dollar durch die cyberkriminellen Methoden 'Business Email Compromise' (BEC) und 'CEO Fraud' erbeutet zu haben", hieß es damals in der entsprechenden Mitteilung des global operierenden Cyberunternehmens.
Was jedoch heute unter Cyberexperten als digitales Armageddon zählt, ist die Tatsache, dass ausgerechnet jene Cyberabwehr-Giganten des Westens ihre eigenen Quellcodes nicht vor dem Zugriff durch externe Hacker zu schützen vermochten, die bislang Sicherheitsbehörden beratend zur Seite standen.
Denn einer Hackergruppe, die sich Fxmsp nennt, gelang es bereits im März dieses Jahres, ins Netz der Gebeutelten einzudringen, wie das IT-Portal BleepingComputer unlängst berichtete.
Damit gelangt womöglich unschätzbar wichtiger Quellcode, der auch hierzulande einen Großteil der kritischen Infrastrukturen schützt, in die Hände der gut betuchten Organisierten Kriminalität. Denn die von Fxmsp geforderten Summen liegen im Bereich von 250.000 bis eine Million US-Dollar, wenig Geld für Organisationen, die allein mit einer Bootsladung Kokain eine halbe Milliarde Dollar und mehr erwirtschaften. Den Code kaufen, um am Ende die Strafverfolger zu überwachen – was bislang hollywoodreif war, ist seit Mai 2019 Realität.
Entscheidend für die potentiellen Käufer ist nämlich nicht der Code per se. Denn Hacker können, freilich illegal, mit Hilfe von ehemaligen NSA-Werkzeugen wie GHIDRA und anderen Tools ohnehin jene Teile des Codes sichtbar machen, die nicht verschlüsselt sind. Entscheidend für zahlungswillige Cyberkriminelle ist vielmehr der Eintrittsweg in die Heiligtümer von Trend Micro oder McAfee – und die Erkenntnis, dass Fxmsp offenbar in der Lage ist, diesen Weg zu gehen. Mitunter auch als Auftragsarbeit.
Alles neu macht der Mai
Der Fxmsp-Angriff ist für sich allein betrachtet ein Desaster, doch zur Kernschmelze der Cybersicherheit tragen mehrere Faktoren und weitere aufgeflogene Cyberattacken bei.
So musste der deutsche Ableger des US-amerikanischen Spezialisten CITRIX zugeben, sechs Monate lang nicht den blassesten Schimmer davon gehabt zu haben, überhaupt angegriffen worden zu sein. Dass sich Angreifer ein halbes Jahr lang vollkommen unbemerkt im Firmennetzwerk bewegen und ganz nebenbei personengebundene Kundendaten absaugten, zeigt vor allem eins: Die Republik steht vor einem digitalen Trümmerhaufen.
Schlimmer geht’s nimmer, möchte man meinen. Mitnichten. Auch Citycomp, zu dessen Kunden Porsche und VW zählen, sah sich diesen Monat mit dem digitalen GAU konfrontiert – der deutsche IT-Spezialist musste einräumen, Kundendaten an die Angreifer verloren zu haben.
Die jetzigen Cyberattacken betreffen praktisch alle IT-Strukturen des Westens, vor allem innerhalb Deutschlands.
Für die globalen Black-Hat-Angreifer sind das gute Nachrichten, scheint der letzte Damm doch gebrochen zu sein. Denn nahezu unbemerkt von der Öffentlichkeit – und nicht einmal von Edward Snowden publik preisgegeben –, basierte die Cyberabwehr vor allem auf einem elementaren Gedanken: Nicht der Schutz durch Software allein, sondern erst die "Kooperation" zwischen Prozessor und Software sollte Computer und Anlagen schützen – geheime Angriffsflächen auf den Prozessoren wiederum würden, so der ursprüngliche Gedanke, im Notfall eigene Cyberangriffe erleichtern.
Die US-amerikanische Dominanz sowohl auf dem Gebiet der Hardware als auch der Software schien auch die Dominanz der Cyberabwehr zu gewährleisten. Dass diese auf Prozessorebene aller Wahrscheinlichkeit von Beginn an konzipierten Eintrittspforten aufflogen, hat vor allem eine beunruhigende Komponente: Die NSA selbst scheint ihre Cyberwaffen und Dienstgeheimnisse nicht mehr unter Kontrolle halten zu können.
Denn auch WannaCry und NotPetya, die 2017 die Welt im Atem hielten, sind eigentlich Abkömmlinge aus dem technisch betrachtet durchaus brillanten NSA-Repertoire – und gelten als erstes Indiz dafür, dass die US-Cyberabwehr auch ganz ohne Edward Snowdens Enthüllungen massiver wackelt denn je.
Die üblichen Verdächtigen – Cui bono?
Dass ausländische Cyberdienste aus Russland, China oder dem Iran technisch in der Lage sind, sogenannte APT-Angriffe (Advanced Persistent Threat) durchzuführen, ist altbekannt. Doch die jetzige Welle dürfte ihnen ebenso ungelegen kommen wie dem Westen. Denn anders als die organisierte Cyberkriminalität verfolgen ausländische Cyber-Nachrichtendienste in erster Linie die leise und unauffällige Übernahme von kritischen Infrastrukturen.
Auf diese Weise lassen sich Unternehmen und staatliche Einrichtungen ausspionieren oder, sofern es zu einem massiven Konflikt käme, auch mal lahmlegen. Nichts anderes betreiben auf der anderen Seite die NSA und ihre fachlich nicht minder bewanderten Cyberkrieger des britischen Government Communications Headquarters (GCHQ). Gerade für deutsche Unternehmen stellt sich ob solcher Konstellationen nicht mehr die Frage, ob sie gehackt werden wollen, sondern von wem.
Gleichwohl werden immer wieder die gleichen Muster bedient. So werden Unternehmen wie Kaspersky und Huawei im Westen auf Druck der USA argwöhnisch beäugt, obwohl sie wesentlich zur globalen Cyberabwehr und -kommunikation beitragen.
Doch die jetzige Angriffswelle trifft alle. Den Westen, weil er ganz offensichtlich zu großen Teilen seine Cyberabwehrfähigkeit verloren hat, und seine Gegenspieler, weil es am Ende nichts mehr auszuspionieren gibt, wenn der Trend anhält, sondern brisantes Material schlichtweg gegen BTC verscherbelt wird.
Womöglich geht es am Ende somit nur um eine so profane Sache wie ums Geld. Das ebenso fitte wie berüchtigte Hackerkollektiv Dark Overlord jedenfalls sucht mit professionellen Stellenanzeigen im Darknet Mitarbeiter – und bezahlt ihnen nach Sichtung der Bewerbungsunterlagen rund 77.000 Euro pro Monat.
Man darf es auch anders sagen: Westen hin, Osten her – Pecunia non olet.
Redaktioneller Hinweis: In einer vorherigen Version des Artikel war die Rede davon, dass auch der Antivirenhersteller Symantec von dem Diebstahl der Quellcodes betroffen war. Laut der mit dem Vorfall vertrauten Sicherheitsfirma AdvIntel haben die Hacker zwar angegeben, sich auch zu Symantec unbefugten Zutritt verschafft zu haben. Doch dafür seien keine ausreichenden Beweise vorgelegt worden, weshalb AdvIntel davon ausgeht, dass Symantec tatsächlich nicht betroffen war und für dessen Kunden somit kein erhöhtes Risiko besteht.
RT Deutsch bemüht sich um ein breites Meinungsspektrum. Gastbeiträge und Meinungsartikel müssen nicht die Sichtweise der Redaktion widerspiegeln.
Mehr zum Thema - Ausgerechnet Kaspersky half der NSA auf die Spur zum Megadatenklau
Durch die Sperrung von RT zielt die EU darauf ab, eine kritische, nicht prowestliche Informationsquelle zum Schweigen zu bringen. Und dies nicht nur hinsichtlich des Ukraine-Kriegs. Der Zugang zu unserer Website wurde erschwert, mehrere Soziale Medien haben unsere Accounts blockiert. Es liegt nun an uns allen, ob in Deutschland und der EU auch weiterhin ein Journalismus jenseits der Mainstream-Narrative betrieben werden kann. Wenn Euch unsere Artikel gefallen, teilt sie gern überall, wo Ihr aktiv seid. Das ist möglich, denn die EU hat weder unsere Arbeit noch das Lesen und Teilen unserer Artikel verboten. Anmerkung: Allerdings hat Österreich mit der Änderung des "Audiovisuellen Mediendienst-Gesetzes" am 13. April diesbezüglich eine Änderung eingeführt, die möglicherweise auch Privatpersonen betrifft. Deswegen bitten wir Euch bis zur Klärung des Sachverhalts, in Österreich unsere Beiträge vorerst nicht in den Sozialen Medien zu teilen.