CATO
02.04.2014 | 12:20 6

Cyberwar II - Die ersten Schüsse

Digitaler Krieg Cyberwar – die „4. Domäne“ des Krieges. Im ersten Teil erwähnte ich, dass sich viele Länder aufrüsten. Hier will ich zeigen, dass im Internet auch scharf geschossen wird.

Ein Blog-Beitrag von Freitag-Community-Mitglied CATO

Dieser Text wurde zur Verfügung gestellt von CATO.
Der erste bekannte Zwischenfall, bei dem internationale Spannungen ins Netz überschwappten, geschah 2007 in Estland. Ende April dieses Jahres beschlossen die Behörden der ehemaligen Sowjetrepublik, ein altes russisches Kriegsdenkmal aus dem Zentrum der Hautptstadt Tallinn in ein Randgebiet zu verlegen. Es war ein schlecht gewählter Zeitpunkt, denn kaum zwei Wochen später war der 9. Mai, ein russischer Nationalfeiertag, an dem der Sieg im „Großen Vaterlandskrieg“ gefeiert wird. Sowohl Estlands eigene russische Bevölkerung als auch der große Nachbar fühlten sich vor den Kopf gestossen, es kam zu massiven Straßenprotesten. Bald kamen auch die ersten Online-Angriffe. Über drei Wochen hinweg wurden Internetseiten der Regierung und verschiedener Firmen mit DDoS Attacken lahmgelegt, Botnets von bis zu 85,000 Computern wurden benutzt1. Die psychologische Wirkung auf die Bevölkerung war beachtlich, viel wirtschaftlicher Schaden wurde jedoch nicht verursacht. In den Medien wurde diese Episode (ziemlich übertrieben) als „Web War I“ bekannt, da Estland den Kremlin beschuldete, hinter den Angriffen zu stehen. Jedoch konnte keine Involvierung seitens der russischen Regierung nachgewiesen werden, man geht nun davon aus, dass die Angriffe von unabhängigen patriotischen russischen Hackern gestartet wurden.
Im selben Jahr wurde auch ein weiterer Gebrauch militärischer Cyberfähigkeiten bekannt. Am 6. September zerstörte die israelische Luftwaffe in einem Überraschungsangriff einen im Bau befindlichen syrischen Atomreaktor. Um das Bombergeschwader zu schützen, wurde zuvor eine Radarstation der syrischen Luftabwehr mit einem elektronischen Angriff ausgeschaltet. Niemand bemerkte die Eindringlinge, bis es zu spät war.
Richtig interessant wurde das Onlineschlachtfeld jedoch erst im Juni 2010. In diesem Monat fanden Computersicherheitsexperten den ersten der sogenannten „Superviren“: Stuxnet. Viren sind, wie allgemein bekannt, sich selbst replizierende Computerprogramme, die meist in böswilliger Absicht geschrieben werden. Schätzungen zufolge werden jeden Tag 250,000 neue Viren oder andere Schadsoftware in Umlauf gebracht, die zum großen Teil lediglich aus ein paar hundert Zeilen Code bestehen. Die Komplexität von Stuxnet stellte alles bis dahin Bekannte in den Schatten. Während normale Viren ein paar Kilobyte groß sind, brachte es Stuxnet auf eine Dateigröße von 1MB. (Im Vergleich: die gesamte Bibel als Textdokument ist 4MB groß.) Die Analyse dieses Giganten dauerte über ein Jahr, doch mittlerweile wissen wir recht gut darüber Bescheid.
Das Ziel von Stuxnet war die iranische Urananreicherungsanlage in Natanz, er war also gegen das iranische Atomprogramm gerichtet. Hier infizierte er einen wichtigen Kontrollcomputer, der für die Steuerung spezieller Zentrifugen zuständig war, und modifizierte dessen Einstellungen. Dadurch wurde erreicht, dass die Zentrifugen anfingen, sich schneller zu drehen als vorgesehen, dadurch überhitzten und sich so selbst zerstörten. Da es sich bei diesen Zentrifugen um sehr spezialisierte Maschinen handelt, hat der Angriff das iranische Atomprogramm wahrscheinlich um ca. zwei Jahre zurückgeworfen. Natürlich war der Kontrollcomputer nicht ungeschützt, weshalb dieser Einbruch in eine digitale Hochsicherheitsanlage eine technische Meisterleistung verlangte.
Stuxnet konnte von seinen Entwicklern über sogenannte „Command and Control Server“ ferngesteuert werden, damit er sich in die richtige Richtung ausbreitete. Jedoch sind wichtige Infrastrukturanlagen meistens vollständig von externen Netzwerken, inklusive dem Internet, isoliert, um eben solche Infektionen zu verhindern. Daher war er auch mit der Fähigkeit ausgestattet, sich selbstständig weiterzuverbreiten, entweder über interne Netzwerke oder über digitale Speichermedien wie USB-Sticks. Obwohl er über 100,000 Computer in über 25 Ländern infizierte, blieb er ein ganzes Jahr lang unerkannt, da er Antivirenprogramm ausweichen konnte. Außerdem war er so programmiert, dass er auf einem Computer erst aktiv wurde, wenn er auf diesem Computer ein besonderes Steuerungsprogramm installiert fand, das in Industrieanlagen wie Natanz verwendet wird. Der erste Schritt, als er dann auf dem Zielrechner angekommen war, war die Daten der verschiedenen Überwachungsinstrumente aufzuzeichnen. Dann wurde, wie oben beschrieben, die Steuerungssoftware verändert. Um keinen Verdacht zu erregen, wurden zeitgleich die zuerst aufgezeichneten Daten wie ein Film wieder abgespielt, um dem Personal vorzutäuschen, dass alles richtig lief. Um all dies zu erreichen, wurden sage und schreibe vier Windows Zero-day Exploits ausgenutzt2.
Man schätzt, dass ein Team von fünf bis zehn Entwicklern sechs Monate bis zwei Jahre lang an Stuxnet gearbeitet hat. Wahrscheinlich wurde ihnen dafür die komplette Natanzanlage einzig und allein zu Testzwecken nachgebaut. Die Ressourcen an Geld, Know-how und Spionageinformation, die für so eine Operation benötigt werden, machen es deutlich, dass man es hier mit der Aktion eines Staates zu tun hat, und nicht mit der irgendeines kleinen Hackerclubs. Frühen Verdachtsmomenten entsprechend stecken laut der Aussage einiger Beamter die USA und Israel hinter dem Angriff3.
Seitdem wurden drei weiter Superviren gefunden, die Stuxnet in ihrer Komplexität entsprechen, jedoch alle reine Spionageviren sind, also keinen physischen Schaden anrichteten. Duqu wurde 2011 gefunden, Flame und Red October 2012. Die beiden ersteren sind sehr ähnlich aufgebaut wie Stuxnet, wodurch man auf gemeinsame Urheber schließt. Allerdings ist Flame ungleich größer und komplizierter als Stuxnet: er bringt es auf 20MB. Red October schliesslich wird Russland zugeordnet, da der Quellcode in sehr gebrochenem, russisch-angehauchtem Englisch geschrieben ist, was allerdings auch eine falsche Fährte sein könnte. Auch China ist nicht untätig geblieben: 2009 wurde eine Computerspionageoperation aufgedeckt, die in 103 Ländern Rechner der Regierung oder internationaler Organisationen unterwandert hatte. Die nun als „GhostNet“ bekannte Operation ist höchstwahrscheinlich Beijing zuzuordnen4. Das neueste Nachricht eines Cyberkonflikts kam Anfang diesen Monats aus der Ukraine, wo Russland angeblich die Handykommunikation von Parlamentsabgeordneten unterbrochen hat.5
Es sollte mittlerweile offenkundig sein, dass das Internet längst kein „kalter“ Kriegsschauplatz mehr ist. Angesichts solcher scheinbar unaufhaltbaren Bedrohungen wie Stuxnet oder Flame ist es vielleicht verständlich, wenn viele Medienberichte eine Tendenz zur Panikmacherei aufweisen. Schliesslich kann man sich ausmalen, was passieren würde, wenn ein Stuxnet-ähnlicher Virus die komplette deutsche Stromversorgung lahmlegen würde. Horrorszenarien sind leicht zu entwerfen. Doch halten sie auch einer tiefergehenden Analyse stand? Müssen wir uns wirklich vor einem digitalen dritten Weltkrieg fürchten? Im nächsten und letzten Teil der Cyberwar-Trilogie will ich mich dieser Frage widmen.
Autor: Daniel Vedder
Die Cyberwar-Trilogie:
  1. Die ersten Schüsse
  2. Digitale Apokalypse? (noch ausstehend)

Dieser Text erschien ursprünglich auf CATO.

Sollte eine Diskussion mit dem Autor persönlich gewünscht sein, bitten wir sie höflichst, die Kommentarfunktion unter obigem Link zu nutzen.

Anmerkungen

1. DDoS Angriff: ein Denial of Service (DoS) Angriff ist ein relativ unkomplizierter Angriff, bei dem ein Computer, v.a. ein Webserver, so lange mit Anfragen bombardiert wird, bis er nicht mehr alle bewältigen kann und zusammenbricht. Bei Distributed Denial of Service (DDoS) Angriffen werden Netzwerke gekaperter (Heim-)Computer, sog. Botnets, benutzt, um eine größere Schlagkraft zu erzielen.

2. Zero-day Exploit: ein Exploit ist ein Fehler in einem Programm, den ein Angreifer ausnutzen kann, um über einen Computer, auf dem dieses Programm installiert ist, die Kontrolle zu erlangen. Ein Zero-day Exploit ist ein Exploit, der noch nicht öffentlich bekannt ist, gegen den es also noch keinen Schutz gibt. Es braucht sehr viel Können, um ein gutes Zero-day zu finden, man kann aber auch sehr viel mit ihnen anrichten. Deshalb werden sie gerne auf dem Schwarzmarkt gehandelt, wobei sie umso wertvoller sind, je bekannter das Programm ist, für das sie gefunden wurden. Ein Zero-day für das Betriebssystem Windows ist gut und gern $50.000 wert. Gleich vier davon in einem Virus zu verwenden, wie bei Stuxnet, ist deshalb ein noch nie dagewesener „Luxus“.

3. Ellen Nakashima, Greg Miller, Julie Tate. “U.S., Israel developed Flame computer virus to slow Iranian nuclear efforts, officials say” Washington Post, 19th June 2012

4. Für mehr Beispiele siehe: Thomas Rid (2012): “Cyber War Will Not Take Place”, Journal of Strategic Studies, 35:1, 5-32

5. Dave Lee „Russia and Ukraine in cyber 'stand-off'“ BBC News, 5th March 2014

Dieser Beitrag gibt die Meinung des Autors wieder, nicht notwendigerweise die der Redaktion des Freitag.

Kommentare (6)

Gustlik 02.04.2014 | 12:37

Ein direkter Zusammenhang zwischen Größe und Kompliziertheit besteht in der Binärindustrie nicht. Zwar kann fast jeder was mit KB oder MB anfangen... Doch eine Maßeinheit, die die Kompliziertheit fassbar beschreibt, gibt es nicht. Da wir alle ein Schleudertrauma haben, uns alle Jahre um Gigabyte und Terrabyte erweitern, diese Mengen dann auch noch übers Netz jagen wollen, muss sich niemand mehr Gedanken machen, effektiven Code zu schreiben, den man früher bequem auf einer Diskette ablegen konnte. Eigentlich schade, was da an Leergut in heutiger Software unterwegs ist...

SchrittmacherM 02.04.2014 | 20:59

Naja, Kriege werden heute angesichts der Informationstechnologie im Verborgenen gefochten. Das heisst dann aber auch, dass die oben beschriebenen keine typischen und üblichen sind. Sondern nur situationsbedingte kleine bis hochorganisierte "Feldzüge". Besonders der reste. Der hat nur den Anschein, als seien schlüssig nur russische Interessen zielgesetzt. Schlicht aber sind Estländische und damit europäische Interessen viel relevanter. Wie es schien, gab es Anzeichen von Unruhe und Kaos in der Bevölkerung. Der Cyber-Angriff könnte also eben so gut und passend auch eine Ablenkung gewesen sein, die wie wir heute wissen, offenbar funktioniert hat. Dem beunruhigten Volk muß man nur eine noch größere Katastrophe vormachen und es verliert die Aufmerksamkeit an ihrer alten als solche empfundenen und ihre Zielsetzungen zerstreuen sich. Das ist simple Strategie und niemand kann sie jemals nachweisen, weil es in ihrer Systematik (die Schwarminteraktion) gar nicht deutlich sichtbar ist. Das ganze ist von viraler Art und hocheffektiv. Der Informationskrieg - ist ja nicht unbekannt.

Auffällig , müsste demnach gerade die Ukraine-Krise sein. Da gingen Abläufe ab, die von einer Besonderheit gesegnet waren und sich im diffusen Schleier des kalten Krieges versteckten. Da deutlich wurde, dass die Unruhen sich immer wieder aufschaukelten, ist sicher mit Putin verabredet worden, das alte Spiel neu zu spielen. Das ist gar keine echte Konfrontation, sondern eine Show, die alle Beteiligten und Beobachter beeindrucken und verwirren und beängstigen soll. Was ja auch gelungen ist. So eine doch recht potente Militärdemonstration ist schon beeindruckend.

Nun sehen wir uns die Show noch eine Zeit lang an, bis sich die im Volk und Beobachter befindlichen Unruheherde langsam ausgeschlichen haben und dann kann es wieder zur Tagesordnung gehen. Erste Anzeichen sind schon zu erkennen. Steinmeier schliesst Nato-Beitritt der Ukraine aus. Die Meldung war unnötig, weil das sowieso nicht so schnell geht. Nicht einmal Deutschland ist - soweit ich weiß - Vollmitglied. Und alles sieht derzeit nur danach aus, dass eine lose Zusammenarbeit zwischen der EU und der Ukraine möglich ist. Beitritt? Widerrum unmöglich.

Zum Cyberkrieg, der sich weitestgehenst im verbirgenen abspielt:

im Verborgenen, weil die Idee daran ist, keine Front erkennen zu lassen. Besser kann man "Kriege" nicht führen .. und natürlich gewinnen. Kein Feind erkennbar, der wirklich einer ist, ist die beste Siegesvorraussetzung - neben Technologievorteil.

Und der klou an der Sache ist, dass manch sich unbefangen denkender aus den eigenen Reihen (etwa deutscher im eigenen Lande) selbst nicht weiß, dass er der Feind ist und also einen hat - und mit ihm eine Front teilt. Jeder Internetnutzer ist potenzielles Zielobjekt. Freilich wird der sich noch durch gewisse Grundstrukturen in seiner öffentlichen Präsentation verraten müssen. Aber das "Netz" ist eben inzwischen wohl auf solche Suchen ausgerüstet und es wird ordentlich gefiltert.

Auch lustig und irgendwie sinnlos:

Erdogan sperrt Twitter und andere Netzzugänge. Irrsinnig zu denken, es würde jemanden tatsächlich daran liegen. Das war auch nur wieder eine Strategie mit versteckter Wirkung. Und sei es nur di eWahl, wo die Aktion vorher noch mal ordentlich zur Positionierung anregen soll. Oder eben: diejenigen zu finden, die sich am gefährlichsten wegen der dreistigkeit Erdogans Sperren aufregen und zur Wehr setzen - und damit aus den Löchern kriechen und damit leichtest gefunden werden können.

So sieht der Krieg gegen den Terror heute aus. Und vor allem wird klar, was mit Terror heute eigendlich gemeint ist. Da geht es gar nicht um umgeschnallte Bomben und Tote in Fußgängerzonen oder sonstwo. Sondern um Feinde im Geiste; die sogenannten Schläfer, die sie sind, weil sie nicht zu sehen sind, aber trotzdem reichlich Schwierigkeiten machen.

Früher hat man diese Problematiken (die es früher natürlich auch gab) anders gelöst. Man hat einfach alle paar Jahre ei9nen Krieg geführt und eine Generalmobilmachung zur Suche nach potenziellen "Schläfern", also versteckte Unruheherde im eigenen Volk gesucht und gehofft zu rekrutieren, damit die sich im darauf folgenden Krieg gegenseitig über den Haufen schiesen. Es gibt da so eine Tendenz, die da lautet: derjenige, der gewalttätig ist (auch im Geiste) wird an Gewalt umkommen, weil er sie sucht - fast unbewusst. Übrig bleiben die "Lämmchen", die sich nie erlauben würden, den Mund aufzumachen oder auch nur im Geiste in Opposition zu gehen. Moderne Kriegsdienstverweigerer sind eine andere Kategorie. Sie sind so unentschlossen und somit noch keine Gefahr. Allerdings höchstwahrscheinlich unter Beobachtung, weil sich diese natürlich auch noch entwickeln werden.

SchrittmacherM 05.04.2014 | 15:22

Tja, man (ich) staune immer wieder, wie wenig relevante Inhalte doch Aufsehen erregen, hingegen banalste Scheixxe jedesmal Shitstorms auslöst.

Mein vorrangegangener Kommentar enthält genügend, um sich die Blöße zu geben, Fragen zu stellen. Aber man tummelt sich wohl lieber auf den Gemeinplätzen herrum. Relevanz geht einem dann doch zu nahe? Wie unangenehm. So wird das nichts.

SchrittmacherM 05.04.2014 | 15:53

Noch was:

Dummerweise geht in solchenSituationen leider nicht da Wissen darum mit mehr Freiheit einher. So souverän ist im Normalfall keiner, dass er haufenweise Informationen einfach ignorieren kann und weiter lebt, wie bisher. Weswegen eine Zeit der Lähmung zwingend folgt, bis man sich abgefunden oder gar eine Strategie dagegen oder damit erfunden hat.