17 Sep 2012
Wie „Flame“ die Welt veränderte.
So lange ich lebe, werde ich niemals das Oktoberfest 2010 vergessen. Ja, ich mag Bier, besonders den deutschen Stoff, und besonders auf dem Oktoberfest. Aber ich erinnere mich nicht einmal an das Bier, und das ist nicht, weil ich zu viel davon getrunken habe :). Wir bekamen damals die ersten Neuigkeiten über eine wirklich unangenehme Entwicklung, die ich schon seit Jahren befürchtet hatte. Ganz genau, es war das erste Mal, dass sich Stuxnet bemerkbar machte – die erste Malware, die mit staatlicher Unterstützung geschrieben und entworfen wurde, um eine spezifische, militärische Mission zu erfüllen. Das ist genau das, worüber wir auf unserer Oktoberfest-Pressekonferenz gesprochen haben: „Willkommen im Zeitalter der Cyber-Kriegsführung!“ Es war selbst damals bereits offensichtlich, dass Stuxnet nur der Anfang war.
In der Tat hat sich seit dem September 2010 wenig verändert. Alle wussten genau, wo Stuxnet herkam und wer dahinter steckte, obwohl kein Staat dafür die Verantwortung übernahm; sie distanzierten sich sogar davon so weit es ging. Der „Durchbruch“ kam Ende Mai, als wir neue Malware entdeckten, bei der ebenfalls keinen Zweifel über ihren militärischen Ursprung und Zweck bestand.
Ja, ich spreche von Flame.
Lassen wir die technischen Details einmal beiseite: Was ist die historische Bedeutung von Flame? Warum wurde solch ein Rummel um dieses besondere Stück Malware veranstaltet? Wie gefährlich ist er wirklich, und welche Bedrohung birgt er? Schaffen es Cyberwaffen, ein Teil staatlicher und militärischer Doktrin zu werden und ein neues Wettrüsten auszulösen? Diese Fragen mögen verwunderlich, sogar alarmierend wirken – es ist schließlich nur ein Virus, nichts besonderes! Immerhin kann er mich nicht davon abhalten, morgens mein frisches Croissant (oder mein Dim Sum 🙂 ) zu essen, nicht wahr? Nun, wenn die Entwicklung militärischer Malware weiter so aus dem Ruder läuft, wird der Mangel an Croissants und Dim Sum am Morgen das letzte sein, an das wir denken. In der Woche nachdem Flame aufgespürt wurde, erschienen plötzlich mehrere News-Meldungen. Die Nachrichten verpassten der derzeitigen Vorstellung von militärischer Strategie ein „Update“ und demonstrierten, dass manche Staaten bereits seit ein paar Jahren erfolgreich offensive Cyberwaffen einsetzten.
Am 1 Juni veröffentlichte die New York Times einen Artikel, der als Meilenstein gelten kann, denn er zeigte mit dem Finger fest auf die USA – es gab kein Dementi aus Washinton, ganz im Gegenteil – das Weiße Haus drückte seinen Ärger über Informationslecks aus und rief eine Ermittlung ins Leben. Zur gleichen Zeit warf Israel seine Hemmungen ab und ging so weit, das Mitwirken am Vorfall (an den Vorfällen…) zu bestätigten und letzten Endes zuzugeben, dass Interesse an der Entwicklung und Anwendung von Cyberwaffen bestand.
Schauen wir uns jetzt mal die potentiellen Auswirkungen dieser Neuigkeiten an.
Erstens wurde bewiesen, dass Stuxnet, Duqu und Flame a) effektiv, b) viel günstiger als traditionelle Waffen, c) schwer aufzuspüren und d) schwer einem spezifischen Angreifer zuzuordnen sind (was das Ergreifen von Schutzmaßnahmen wirkungslos macht); e) es durch all die unbekannten Schwachstellen in Software schwierig ist, sich davor zu schützen und sie f) ohne Extrakosten vervielfältigt werden können. Noch wichtiger ist allerdings, dass die anscheinend harmlose Natur dieser Waffen dafür sorgt, dass ihre Besitzer weniger Skrupel haben, sie einzusetzen, und nur sehr wenig über die Konsequenzen nachdenken. Aber es wird Konsequenzen geben – bis zu dem Punkt, der im Szenarion von Stirb Langsam 4 beschrieben wird. Dazu aber später mehr.
Zweitens haben die kürzlichen Beispiele die Nutzung von Cyberwaffen ethisch und juristisch gerechtfertigt. Ich bin sicher, dass andere Länder solche Technologien ebenfalls einsetzen, aber darüber wurde vorher einfach nicht diskutiert und das Ganze spielte sich Schritt für Schritt, heimlich, still und leise ab. Jetzt wird sich niemand zurückhalten. Und all die Länder, die keine Cyberwaffen haben, werden von der „anständigen militärischen Gesellschaft“ als rückständig betrachtet werden. Als Folge werden auf kurze Sicht militärische Cyberbudgets um das vielfache erhöht werden, und wir werden ein Wettrüsten in der Cyberdimension erleben. Und wie wir alle wissen: Gewehre sind zum Schießen da.
Drittens sorgt der Mangel an jeglicher internationaler Konvention (also ein Abkommen über die „Spielregeln“) zur Entwicklung, Einführung und Verteilung von Cyberwaffen und das Fehlen eines zuständigen Gerichts für die Entstehung sehr realer Bedrohungen:
- Das Auftauchen besonders gefährlicher Malware, die absichtlich, durch einen Unfall oder durch eine Art Bummerangeffekt kritisch wichtige Infrastrukturen trifft und die Fähigkeit besitzt, ein regionales/globales soziales, wirtschaftliches oder ökologisches Desaster hervorzurufen.
- Die Benutzung konventioneller Waffen als Antwort auf Cyberangriffe. Letztes Jahr kündeten die USA an, dass sie sich das Recht vorbehielten, auf Cyberangriffe mit traditionellen militärischen Maßnamen zu reagieren.
- Eine Imitation, Provokation oder Fehlinterpretation eines Cyberangriffs, um den militärischen Angriff auf ein anderes Land zu rechtfertigen. Eine Art Cyber-Pearl-Harbor.
Es gibt nicht viele Leute, die derzeitig die Gefahr von Cyberwaffen verstehen. Es ist schwer zu glauben, dass irgendein Virus, ein paar Kilo/Megabyte Code plötzlich, sagen wir mal, einen Unfall bei einer Nuklearanlage, ein Feuer an einer Ölpipeline oder einen Flugzeugabsturz herbeiführen können, nicht wahr? Aber die Menschheit ist schon seit einiger Zeit zunehmend und unbemerkt von Informatik abhängig geworden.
Gehen wir als Beispiel zurück zum erwähnten Croissant.
Es wird in einer Bäckerei hergestellt, wo Computer in der Buchhaltung, im Lagerhaus, beim System für die Verarbeitung des Teigs und der Einstellung der Öfen eingesetzt werden. Zutaten werden der Bäckerei von anderen, ähnlich automatisierten Fabriken geliefert. Alle Logistikbewegungen zwischen ihnen nutzen Computer und Netzwerke. Strom, Wasser, Abwasser und viele andere Gemeindedienste werden auch von computerisierten Unternehmen gesteuert. Selbst der Fahrstuhl, der Ihnen ihr Croissant in ein trendiges Café liefert, wird von einem speziellen IT-System gesteuert. Letztlich gibt es dann noch die Kreditkarte, mit der man das Croissant bezahlt… muss ich noch mehr sagen?
All das sind potentielle Ziele eines Cyberangriffs. Und dann haben wir Stuxnet, der die Zentrifugen einer nuklearen Anlage außer Gefecht setzte. Es ist unwahrscheinlich, dass eine Bäckerei, oder eine Wasseraufbereitungsanlage besseren Schutz genießt. In der Tat ist alles noch viel schlimmer: Industrielle und kritische infrastrukturelle Anlagen operieren auf der Basis verletzlicher SCADA-Systeme. Und um noch einen oben drauf zu setzen, sind oft auch noch ans Internet angeschlossen. Die Trägheit der Entwickler dieser Systeme bei der Reparatur von Schwachpunkten (die bei einem Cyberangriff ausgebeutet werden können), hatte das Erscheinen des neuen Ausdrucks „forever days“ zur Folge.
Bezüglich ihrer zerstörerischen Fähigkeiten, sind Cyberwaffen in keiner Weise nuklearen, biologischen oder chemischen Waffen unterlegen. Im Gegensatz zu diesen Massenvernichtungswaffen aber, sind Cyberwaffen in keiner Weise irgendeiner Art Aufsicht unterstellt und sie umgibt der Glanz der Unsichtbarkeit, Allgegenwärtigkeit und Präzision, was ihren Einsatz nochmals um einiges verlockender macht (manche „Experten“ gehen sogar weit, zu behaupten, dass Cyberwaffen tatsächlich zum Weltfrieden beitragen).
Durch die Entwicklung von Cyberwaffen, laden wir die Flinte, mir der wir uns ins eigenen Knie schießen. Dadurch werden die höher entwickelten Länder, die auch am stärksten computerisiert sind, am meisten darunter leiden.
Um ehrlich zu sein, bin ich pessimistisch gestimmt. Ich hoffe, dass ich mich irre. Ich glaube nicht, dass es die Länder derzeit schaffen, sich auf Konventionen der Cyberkriegsführung zu einigen. Wir unterstützen derzeit die Internationale Fernmeldeunion (ITU) der Vereinigten Nationen. Sie versuchen, wenigstens eine Art System für die Regulierung des Cyberspace zu erstellen. Doch selbst Artikel in den Medien zeigen, dass einige Länder sich gegen diesen Bemühungen stellen. Wer braucht schon Regulierung für so eine vielversprechende und „harmlose“ Waffe? Meiner Einschätzung nach, werden Regierungen erst den vollen Ausmaß der Gefahr der Cyberkriegsführung verstehen, wenn wir alle so hart geschlagen werden, wie die Nordostküste der USA im Jahr 2003: Es gibt eigentlich keinen Zweifel, was damals die wirkliche Ursache war. Es werden keine Maßnamen getroffen, bis es zu spät ist. Ich frage mich nur, ob wir im 21. Jahrhundert nicht etwas besser damit umgehen könnten?
Schlussfolgerungen:
- Die internationale Gemeinschaft muss versuchen, einen Konsens zur Entwicklung, Nutzung und Verbreitung von Cyberwaffen zu finden. Das wird nicht alle Probleme lösen, aber wenigstens dabei helfen, die „Spielregeln“ zu etablieren und die neuen militärischen Technologien in die Struktur internationaler Beziehungen zu integrieren, um unkontrollierte Entwicklung als auch gedankenlosen Einsatz zu verhindern.
- Infrastrukturelle und industrielle Anlagen, Wirtschafts- und Transportsysteme sowie andere kritische Objekte sollten ihre Einstellung zur IT-Sicherheit überarbeiten. Vor allem sollten sie überlegen, sich vom Internet abzukoppeln und alternative Software einzusetzen, die den Anforderungen industrieller Überwachunssysteme gewachsen ist.
- Auch wenn sich die Security-Industrie seit Jahren auf den Kampf gegen Massenepidemien konzentriert hat, enthält ihr Arsenal auch Schutztechnologien, die Angriffe von Cyberwaffen verhindern könnten. Dann müssen die Nutzer aber auch über ein neues Sicherheitsparadigma nachdenken und ein mehrstufiges Schutzsystem einführen.
- Stuxnet, Duqu und Flame sind nur die Spitze des Eisbergs. Wir können nur vermuten, welche weiteren Cyberwaffen in der Welt im Umlauf sind. Ich bin mir sicher, dass wir bald noch mehr Entdeckungen machen werden. Ich hoffe nur, dass es nicht zu beängstigend wird.
- Als weltweites Unternehmen mit der Aufgabe unsere Kunden zu schützen, können wir offiziell sagen, dass wir jede Cyberwaffe bekämpfen werden. Unabhängig davon, aus welchem Land sie stammt, und unabhängig jedes Versuchs, uns zur „Zusammenarbeit“ zu bewegen. Wir halten jeden Kompromiss in dieser Hinsicht für unvereinbar mit unseren ethischen und professionellen Prinzipien.
Staatlich geförderte Cyberkriegsführung ist eine reale Bedrohung, die gerade ihre ersten Schritte in Richtung ihrer massenhaften Einführung geht. Je früher Regierungen die möglichen Konsequenzen verstehen, desto sicherer werden wir leben. Ich könnte mit Bruce Schneier nicht mehr übereinstimmen:
Cyberkriegsverträge, so unvollkommen sie auch sein mögen, sind die einzige Art die Bedrohung in Schach zu halten.
Können Sie sich eine Weltordnung vorstellen, in der es keine internationalen Verträge für nukleare/chemische/biologische Waffeneindämmung gibt? Die IAEO hat Indien, Israel, Nord Korea und Pakistan nicht davon abhalten, ihre eigenen Nuklearwaffen zu entwickeln. Aber diese Verträge setzen klare Spielregeln und zeigen, was gut und was schlecht ist.