17 Sep 2012
Aufruf zum Handeln: Das Internet sollte eine militärfreie Zone werden.
Was ist der Unterschied zwischen einer Atomrakete und Malware?
Das ist keine Fangfrage – Malware kann bei Raketen die Kontrolle übernehmen, aber Raketen können nicht eingesetzt werden, um Malware zu zerstören. Mit dem richtigen Werkzeug kann eine Rakete von Malware umgelenkt werden, aber keine noch so große Menge an Feuerkraft kann schädliche Software umlenken, wenn sie einmal aktiv geworden ist.
Im Gegensatz zu Waffen kann Malware sich unendlich vervielfältigen. Und während eine Rakete oft auf irgendeine Weise kontrolliert wird, hat Malware die Tendenz dazu, wahllos anzugreifen: Keiner weiß, wem sie schaden wird und in welche Ecken sie sich schlängeln wird. Auf den unergründlichen Wegen des Webs ist alles möglich, sobald ein Black-Hat ein Stück bösartiger Software im Netz freisetzt, um schnell ein paar Scheinchen zu verdienen.
Es ist unmöglich zu errechnen, was zufällig in ihren Weg gerät und ob sie nicht wie ein Bumerang zu ihren Schöpfern zurückkehrt.
Menschen tendieren dazu, bei allem was sie tun, Fehler zu begehen – und Code programmieren, egal oib bösartig oder gutartig, ist keine Ausnahme. Es gibt viele Beispiele solcher Arten von „Kollateralschäden“ – lesen Sie meinen vorherigen Beitrag über das Ende des Webs, wie wir es kennen.
Wenigstens gibt es mittlerweile einige Bemühungen im Kampf gegen Cyberkriminelle.
Die Sicherheitsindustrie setzt sie unter Druck, und die großen Jungs wie Microsoft mischen sich auch ein. Verschiedene nicht-kommerzielle Organisationen und zwischenstaatliche Institutionen beteiligen sich ebenfalls. Regierungen beginnen zu verstehen, dass das Internet der „Highway To Hell“ sein kann, und ihnen wird klar, dass endlich etwas getan werden muss. Also sehen wir etwas Forschritt.
Aber ich sorge mich mehr um eine andere Seite der Internet-Sicherheit. Die Tricks eines Cyberkrimininellen werden nichts sein gegen einen großangelegten Cyberkrieg im Web. Ja, Sie haben richtig gelesen: ein Web-Cyberkrieg. Hier fängt es an, kompliziert und finster zu werden.
Hier die Fakten.
Erstens ist das Militär verschiedener Länder dabei, spezielle Cyber-Einheiten zu bilden, und Cyberwaffen zu „schmieden“ (unter anderem die USA, Indien, Großbritannien, Deutschland, Frankreich, die EU, die NATO, China, Südkorea und Nordkorea).
Zweitens gehören industrielle Spionage und Sabotage zum Alltag (schauen Sie sich die Nachrichten bekannter Angriffe an, hinter denen Staten stecken – etwa bei Stuxnet und Duqu).
Drittens erscheinen Nachrichten über sorgfältig geplante Angriffe immer häufiger (nun, wir haben alle eine Ahnung, wer dahinter steckt). Sogar ein neuer Begriff wurde dafür erfunden: APT.
Es gibt keinen Zweifel daran, dass das alles nur die Spitze des Eisbergs ist. Immer wenn wir ein neues, Stuxnet-artiges Programm entdecken, bemerken wir, dass:
- die Malware durch einen Fehler oder Unfall ihre Tarnung verloren hat
- sie bereits seit langer Zeit still in mehreren Netwerken „gesessen“ hat, und wir können nur vermuten, was sie da alles angestellt hat.
- viele technische Charakteristiken der Malware – und die Beweggründe ihres Erschaffers – im Dunkeln bleiben.
Merken Sie, wo ich damit hinaus will?
Es ist klar, dass wir auf einem Pulverfass sitzen und den Ast absägen, auf dem das ganze Internet sitzt, mit der weltweiten Infrastruktur gleich daneben. Das Militär ist dabei, das Internet in ein großes Minenfeld zu verwandeln. Ein einfacher Tastendruck könnte vielleicht solch ein Chaos freisetzen, dass niemand unbeschadet davon kommt. Eine einzige falsche Betätigung eines Schalters könnte alles zum Stillstand bringen – nicht nur Computer. Die Kettenreaktion würde in der ganzen realen Welt zu spüren sein, nicht nur in der virtuellen – zum Beispiel bei Atomkraftwerken. Dann könnte ein Internetkonflikt schnell zu einem militärischen eskalieren. Es war keine Übertreibung, als die USA Hacker mit einer Invasion gleichsetzten – sie verstehen einfach nur die möglichen Konsequenzen. Je mehr wir uns das anschauen, desto beängstigender wird es.
Es wird schlimmer. Malware, militärisch oder nicht, hat Code-Fehler. Eine Fliege landete auf der Tastatur des Programmierers, es war Freitag Abend oder der Tester hat nicht richtig getestet – alles ist möglich. Ein Standard-Fehler in Standard-Software hat meist eine begrenzte Wirkung – der Computer wird abstürzen, vielleicht bleibt eine Turbine stehen, oder im schlimmsten Fall wird irgendwas, irgendwo zusammenbrechen. Eine ferngesteuerte Rakete explodiert am falschen Ort oder zum falschen Zeitpunkt. Aber mit der neuen Welle militärischer Malware kann ein einziger Fehler wahrlich katastrophale Konsequenzen haben. Was ist, wenn der aggressive Code nicht nur sein angezieltes Opfer trifft, sondern auch ähnliche Objekte in der ganzen Welt? Wie kann die Malware zwischen den eigentlich angepeilten und unbeabsichtigten Zielen unterscheiden? Wenn Malware ein bestimmtes [Atom]-Kraftwerk anzielt, aber am Ende alle [Atom]-Kraftwerke trifft, was dann? Das Internet hat keine Grenzen, und die meisten Kraftwerke sind ähnlich gebaut. Obwohl es nur ein Ziel geben mag, ist die Zahl möglicher Opfer viel größer – und sie könnten sich überall in der Welt befinden.
Ich hoffe aufrichtig, dass ich hier nicht die Cassandra bin, so wie es bei den selbstverbreitenden Würmern und den Angriffen auf industrielle Projekte der Fall war. Ich würde mich SEHR GERNE gerne irren!
Diese militärische Malware wird von Weltklasse-Profis unterstützt, mit großzügiger Finanzierung und Zugang zu gewaltigen technischen und materiellen Ressourcen. Wie glauben Sie wäre jemand ohne diese Resourcen dazu imstande, Stuxnet für eine iranische Zentrifuge abzustimmen? Dann gibt es noch den goldenen Schlüßel digitaler Zertifikate, der momentan die Vertrauenswürdigkeit einer Website garantiert (noch eine Alarmglocke, nebenbei). Ich kann nur spekulieren, was für Cyberwaffen bereits geschmiedet und angriffsbereit sind, aber die Zukunft sieht nicht vielversprechend aus. Dieser ganze Bereich ist außerhalb der Kontrolle der Gesellschaft – es ist fast Anarchie und jeder tut was ihm gefällt. Wie Stuxnet zeigt, ist der Vergleich zur Rakete absolut zutreffend – Malware kann die gleichen Resultate wie eine konventionelle militärische Waffe erzielen.
Aber es gibt einen Unterschied.
Alle Waffen, besonders Massenvernichtungswaffen und Atomtechnik generell, sind mehr oder weniger – jedenfalls in der Theorie – Kontrollen und Regulierungen unterstellt. Die UN hat ihre Atomenergiebehörde, es gibt ein internationale Verträge zur Nichtverbreitung und der UN-Sicherheitsrat reagiert heftig auf jeden Versuch, Teil des Atom-Clubs zu werden (wie der Iran gemerkt hat). Natürlich spielen Politik, Vorwände und Doppelmoral hier eine Rolle – aber das hat mit der Idee, die ich hier beschreibe, nichts zu tun.
Die Idee an sich ist folgende:
Wenn man die Tatsache bedenkt, dass der Frieden und die Stabilität der Welt stark vom Internet abhängig sind, muss man eine internationale Organisation gründen, die Cyberwaffen kontrolliert. Eine Art Internationaler Atomenergiebehörde aber für den Cyberspace. In einer idealen Welt würde diese die bestehenden Atomsicherheitsstrukturen kopieren und auf den Cyberspace übertragen. Insbesondere sollten wir den Einsatz von Cyberwaffen als einen Akt internationaler Aggression betrachten und ihn mit Cyberterrorismus gleichstellen.
Im Idealfall wäre der richtige Weg, das Internet zu einer militärfreien Zone zu ernennen – so eine Art Cyber-Antarktis. Ich bin mir nicht sicher, ob so eine Abrüstung überhaupt möglich ist. Die Chance wurde bereits verpasst, Investitionen wurden getätigt, Waffen wurden produziert und die Paranoia ist bereits da. Aber die Nationen müssen sich wenigstens über die Kontrolle von Cyberwaffen einig werden.
Mir ist bewusst, dass die Umsetzung dieser Idee alles andere als einfach wird. Die Gesellschaft betrachtet Computer und das Internet immer noch als virtuelle Realität – ein Spielzeug, das mit dem eigentlichen Leben nichts zu tun hat. Aber das ist ein Irrtum! Das Internet ist bereits Teil der täglichen Realität. Und oben habe ich beschrieben, wozu diese Selbstgefälligkeit führen kann. Dieses Thema wird bereits seit Jahren in Sicherheitskreisen diskutiert. Ich bin nur der erste, der sich an die Öffentlichkeit wendet.
Und bitte, erinnern Sie sich an die erste und wichtigste Regel der Sicherheit!
— Tötet nicht die Cassandra! Bitte! —