Unternehmen, Behörden, Vereine, Parteien, Forschungseinrichtungen, selbst Privatpersonen – sie alle stehen im Fokus von Cyberangreifern. Nahezu wöchentlich gibt es Berichte zu neuen Angriffsmethoden und zu erfolgreichen Cyberangriffen auf wichtige Einrichtungen. Die Angriffe nehmen zu, die Angriffstaktiken werden immer ausgefeilter, und die Cyberkriminellen organisieren sich immer besser. Ihre Ziele sind vielfältig: meist finanzieller Gewinn mit Ransomware und Erpressung, aber auch Spionage, Identitätsdiebstahl, Desinformation und Sabotage. Cyberangriffe gefährden die digitale Gesellschaft und Demokratie, sie legen kritische Infrastrukturen lahm, sind verheerend für die Wirtschaft und können sogar Menschenleben kosten.
Wie funktioniert die Attribution von Cyberangriffen?
Die Cyberangriffe kommen dabei aus vielen Ländern, die meisten gehen aber zurück auf Angreifer-Gruppen aus Russland, China und Iran. Für die Zuordnung eines Angriffs zu einem Land oder einer Gruppe – also zur Attribution – werden eine Vielzahl von Faktoren ausgewertet, z.B. ob ein ähnliches Vorgehen oder ähnliche Schadsoftware schon einmal beobachtet wurde, welche Spracheinstellungen der Compiler hatte, welche Server der Angreifer verwendet. Die Uhrzeiten, zu denen Schadsoftware mit einem Server des Angreifers kommuniziert, können zudem Hinweise auf die Zeitzone der Angreifer geben. Allerdings sind all dies nur Indizien, und wenn es ein Angreifer darauf anlegt, kann er diese Indizien vortäuschen und „unter falscher Flagge“ handeln. Beispielsweise übernahm 2019 die Gruppe „Turla“, die im Auftrag des russischen Auslandsgeheimdienstes FSB operiert, die Infrastruktur einer vom Iran unterstützten Gruppe und nutzte sie für Angriffe auf Ziele in mehr als 35 Ländern. Für all diese Angriffe wurde zunächst aber nicht Russland, sondern der Iran verantwortlich gemacht. Solche Operationen unter falscher Flagge sind häufig und werden von verschiedenen Angreifer-Gruppen und Ländern durchgeführt. Hackbacks im Sinne eines Gegenangriffs auf den vermeintlichen Täter sind daher hoch riskant. Attribution ist schwierig und fehlerbehaftet und man kann nie sicher sein, wer wirklich der Täter war. Abgesehen von völkerrechtlichen Aspekten wäre deshalb das Risiko, den Falschen anzugreifen oder unkalkulierbar hohe Schäden anzurichten, viel zu groß. Die Attribution zu Staaten ist dennoch wichtig, aber nicht für die tägliche Cybersicherheit, sondern z.B. für politische Diskussionen und das Aushandeln internationaler Abkommen.
Man muss schneller sein als die Cyberangreifer
Aus der Attribution kann man aber Erkenntnisse ableiten, wie Angreifer typischerweise vorgehen, wenn sie bestimmte Sektoren angreifen, welche Art von Schwachstellen sie ausnutzen, welche Werkzeuge sie verwenden, welche Ziele sie verfolgen. Das Nationale Forschungszentrum für angewandte Cybersicherheit ATHENE hat aus diesen Erkenntnissen einen Werkzeugkasten zur Analyse der Verwundbarkeit von Organisationen entwickelt. Unsere Analysen sind sehr effizient und leichtgewichtig, d. h., wir dringen nicht in IT-Systeme ein, sondern wir beobachten beispielsweise, welche Schwachstellen es in den Infrastrukturen gibt und welche Benutzerpasswörter im Darknet gehandelt werden, wie Sicherheitsmechanismen von einer Organisation eingesetzt werden und gegen welche Angriffe die IT-Systeme empfänglich wären. Diese Analysen haben wir in den vergangenen 12 Monaten für eine Vielzahl von IT-Infrastrukturen durchgeführt, z.B. für Unternehmen, Universitäten, Behörden und Parteien. Die Ergebnisse waren über alle Sektoren hinweg sehr ähnlich: So gut wie jede IT-Infrastruktur ist verwundbar.
Schutz vor Cyberangriffen
Die Lage ist also dramatisch. Schaut man sich unsere Analysen und die Erfahrungen aus den Cyberangriffen der letzten Monate an, sieht man aber auch, dass sie keinesfalls hoffnungslos ist. Die weitaus größte Zahl der Verwundbarkeiten und Angriffe, die wir beobachten, kann man mit bekannten Vorgehensweisen beheben und abwehren. Man muss dazu aber Cybersicherheit zur Chefsache machen: Verantwortliche benennen und Standards und Regeln einführen; die eigene IT so strukturieren, dass Angriffe sich nicht so einfach ausbreiten können; Daten sichern. Und vor allem müssen Organisationen „Cyber-Brandschutzübungen“ durchführen und den Ernstfall üben. Also lernen, sich auf Angriffe vorzubereiten und den Schutz aktuell zu halten, Angriffe zu erkennen, sie abzuwehren und nach einem Angriff die IT wieder hochzufahren. In diesen Punkten gibt es oft massive Defizite, weshalb wir in ATHENE eine „Cyberrange“ aufgebaut haben: Eine Lernumgebung, in der Organisation genau solche Übungen unter sehr realitätsnahen Bedingungen durchführen können: https://cyberrange.sit.fraunhofer.de/
Zur Cyberabwehr gehört auch die technische Attribution
Hier geht es aber nicht nur darum, welcher Staat oder welche Gruppe für einen Angriff verantwortlich ist, sondern z.B. von welchem Server und über welchen Kanal der Angriff durchgeführt wurde. Diese Fragen kann man oft präzise beantworten und zur Grundlage für eine aktive Cyberabwehr machen – also z.B. die Quelle eines Angriffs aktiv blockieren oder gezielt abschalten. Hier sind allerdings noch viele rechtliche Fragen zu klären.
Offensive Forschung ist wichtig
Grundlage unserer Analysen in ATHENE ist die offensive Cybersicherheitsforschung. Das bedeutet nicht, dass wir für unsere Forschung selbst angreifen, sondern dass wir analysieren, wie Angreifer vorgehen, welche Werkzeuge sie verwenden, wie Angreifer z.B. im Darknet kommunizieren und welche Informationen sie dort zum Verkauf anbieten. Wir interessieren uns dabei vor allem auch dafür, wie weit verbreitet Sicherheitsprobleme sind, und führen dazu beispielsweise Messungen des gesamten Internets durch. Wir untersuchen also nicht nur, wie verwundbar eine bestimmte Organisation ist, sondern wie verwundbar z.B. ein bestimmter Wirtschaftssektor, ein bestimmtes Land oder auch wie verwundbar das gesamte Internet ist. Dafür suchen wir selbst nach Schwachstellen genau wie es Angreifer täten. Zum Beispiel untersuchen wir Schwachstellen, die Angreifer ausnutzen können, um die Kommunikation z.B. zwischen Banken und ihren Kunden umzuleiten. Durch solche Umleitungen erreichen die Angreifer, dass die Nachrichten die Netze der Angreifer durchlaufen. So können die Kriminellen die Kommunikation abhören und manipulieren. Tatsächlich gibt es viele solcher Schwachstellen, oft auch in genau den Systemen, die solche Umleitungsangriffe eigentlich verhindern sollten. Wenn wir solche Schwachstellen finden, evaluieren wir die Umleitungsangriffe und geben Empfehlungen, wie die Betroffene die Lücken beheben können. Um Schwachstellen im gesamten Internet zu untersuchen, entwickeln wir Methoden, die unsere Suche automatisieren. Denn nur durch Automatisierung können solche Analysen für Wirtschaft und Gesellschaft zugänglich werden. Wir entwickeln Werkzeuge und Methoden, wie man Schwachstellen, Fehler und Fehlkonfigurationen vermeiden kann. Angefangen von der Software, der automatisierten Konfiguration von Sicherheitsmechanismen bis hin zur Entwicklung neuer, robuster und ökonomisch einführbarer Sicherheitsmechanismen z.B. für das Routing im Internet und die Verschlüsselung.
Fazit
Cyberangriffe sind eine ernsthafte Bedrohung für Wirtschaft, Staat und Gesellschaft. Als Organisation kann man sich aber schützen: Die Mehrzahl der heutigen Angriffe kann mit bekannten Methoden abgewehrt werden. Damit das gelingt, muss man Cybersicherheit zur Chefsache machen, in jeder einzelnen Organisation wie auch in der Politik. Man muss in Cybersicherheit aber nicht nur heute, sondern dauerhaft investieren und sie damit aktuell und wirksam halten. Man muss permanent verstehen, wo die Schwachstellen liegen, wie verwundbar man ist, was man konkret zur Aufrechterhaltung und Verbesserung der Cybersicherheit tun kann. Schwachstellen entstehen fast immer durch mangelndes Wissen, mangelnden Überblick über die eigene IT und Organisation und durch schlichte menschliche Fehler in Programmierung und Konfiguration von IT. Um diese Probleme zu meistern, müssen wir den Grad der Automatisierung in der IT dramatisch erhöhen. Sowohl in den Sicherheitsanalysen als auch in der Entwicklung und Konfiguration von Sicherheitslösungen. Forschung wie die, die wir in ATHENE leisten, spielt dabei die entscheidende Rolle