Cyber-Kriminalität
Colonial-Pipeline-Hack: Aufbruch in eine neue Ära?
Der Colonial-Pipeline-Hack stellt eine neue Dimension des Cybercrime dar. Die bewusste Störung kritischer staatlicher Infrastrukturen und damit die Erzeugung einer politischen Krisensituation lag bislang im Gewaltmonopol eines Staates.
Kommentar von Richard Werner, Business Consultant
Etwas Ungewöhnliches ist soeben passiert, und in der Flut täglicher Nachrichten ist die kleine Notiz mehr oder weniger untergegangen. Aber sie könnte für die IT Security-Welt durchaus weitreichende (positive) Auswirkungen haben. Angesichts des Colonia Pipeline-Hacks vom 07. Mai (mittlerweile soll DarkSide dichtgemacht haben) erklärte nun US Präsident Joe Biden, die verantwortlichen Verbrecher agierten zwar aus Russland stehen aber nicht in Verbindung mit dem russischen Staat. Gleichzeitig forderte er Russland zu einem gemeinsamen Vorgehen gegen diese Art von Verbrechen auf. Normalerweise würden wir an dieser Stelle über die Naivität eines neuen Präsidenten lächeln, der optimistisch vom Guten in den Menschen träumt. Doch dieser Fall liegt anders, und vielleicht -- nur vielleicht -- kann etwas Gutes daraus entstehen …
Der Untergrund und die Politik
Es ist kein Geheimnis, dass sich Staaten gegenseitig mit Hacking-Methoden angreifen. Die USA und Russland gehören beide hier zu den Top-„Spielern“. Möglicherweise haben sie damit indirekt und vielleicht auch direkt den cyberkriminellen Untergrund unterstützt: Je mehr „Lärm“ in den Logdateien der politischen Gegner erzeugt wird, desto eher lassen sich eigene Taten verbergen oder als das Werk von Kriminellen tarnen. Aber auch die Aufdeckung von politisch motivierten Angriffen wie die über Stuxnet oder NotPetya und deren Analyse sorgen regelmäßig für einen Boom bei Cybercrime-Aktivitäten.
Seit Mitte der 2000er Jahre beobachten wir schon einen Ausbau des kriminellen Untergrunds. Täter profitieren unter anderem davon, dass Polizeiaktionen an Landesgrenzen enden. So müssen russische Täter sich nicht vor Sanktionen fürchten, wenn sie in einem westlichen Land Cyber-Verbrechen begehen, und Gleiches gilt auch anders herum. Der US Journalist Brian Krebs hat deshalb vor kurzem in einem Tweet empfohlen, kyrillische Schriftzeichen als zusätzliche Keyboard-Einstellung ins System zu laden. Sie müssen nicht genutzt werden, ihr Vorhandensein sei ausreichend, um russische Verbrecher abzuschrecken.
Das staatliche IT-Angriffe auch dem eigenen Volk schaden, ist den Akteuren klar. In einer internationalisierten und IT-gestützten Wirtschaft endet der Radius von Cyberwaffen nie an der Grenze -- früher oder später werden sie zum Bumerang. Doch das unterstützt eher die Tarnung. So gehörten zu den ersten Opfern des NotPetya-Angriffs von 2017 auch russische Firmen. Die USA und Großbritannien beschuldigten dennoch den russischen Staat der Täterschaft, was von russischer Seite natürlich zurückgewiesen wurde.
Die Kontrolle über Cyberkriminalität ist der Politik entglitten
Vor etwa neun Jahren begann eine beunruhigende Entwicklung, deren Auswirkungen wir erst heute anfangen zu verstehen. Erste Anzeichen gab es bereits 2015/2016. Damals startete die erste Ransomware-Welle. Die dahinter stehende Methode war allerdings nur das nach außen sichtbare Symptom der Veränderung nicht deren Ursache. Tatsächlich ermöglichten erst das Aufkommen und der etwa 2012 einsetzende Erfolg von Internetwährungen (Cryptocurrencies) mit dem Flaggschiff Bitcoin den Erfolg der digitalen Erpressung. Zum ersten Mal in der Geschichte wurde damit vom Kollektiv ein staatliches Monopol gebrochen und damit die Möglichkeit der staatlichen Kontrolle entzogen. Cyberkriminelle können heute ihren Reichtum auf USB-Sticks über jede Grenze der Welt tragen und polizeiliche Ermittlungstaktiken erschweren. Scheiterten frühere Erpressungsversuche an der Geldübergabe, so gehen sie heute über automatische Massenerpressung und zentrale „Konten“, auf die eingezahlt werden kann.
Der cyberkriminelle Markt heute
Damit wurde die Grundlage für den ersten echten globalen Markt geschaffen: Kein Staat, keine Bank und kein (bekannter) einzelner Mensch kann ihn kontrollieren. Es gibt keine Polizei, und es gibt keine Regeln, Vertrauen ist eine Währung wie Bitcoin. Und wo keine Verbrechen angeklagt werden können, gibt es keine Strafen. Der Marktplatz vereint alle Arten von Geschäften, sogar Anwaltbüros mit entsprechender Zulassung. Nicht alle Leistungen sind illegal… zumindest nicht überall. Taten, die in einem Land strafbar sind, sind es in einem anderen nicht. Und über Zusammenarbeit lassen sich gute Gewinne erzielen.
Eine neue Dimension
Der Colonia Pipeline-Hack stellt nun eine neue Dimension des Cybercrime dar. Die bewusste Störung kritischer staatlicher Infrastrukturen und damit die Erzeugung einer politischen Krisensituation lag bislang im Gewaltmonopol eines Staates. Dies hat sich seit letzter Woche geändert. Es ist der Übergang in eine Zeit, in der die Blofelds und Goldfingers, die Bösewichte der James Bond-Filme, die Macht haben, Staaten zu erpressen.
So ganz unerwartet tritt diese Situation nicht ein. Denn schon vor Jahren haben Länder wie die Bundesrepublik Deutschland mit Maßnahmen wie dem IT-Sicherheitsgesetz (IT-SG) versucht, zumindest die kritischen Infrastrukturen zu schützen und vor allem die Industrie auf dieses zunehmende Problem aufmerksam zu machen. In der zweiten Variante des IT-SG sind nun sowohl mehr Firmen offiziell mit einbezogen als auch die Anforderungen in einigen Punkten nachgeschärft worden. (Es empfiehlt sich für alle Unternehmen, sich den Inhalt des IT Sicherheitsgesetz 2 anzusehen.)
Die IT-Security Industrie warnt ebenfalls schon lange über die Zunahme der Kriminalität – sowohl ihrer Quantität als auch Qualität. Die unzähligen kleinen Vorfälle werden schon nicht mehr öffentlich wahrgenommen. Selbst polizeiliche Ermittlungserfolge wie die Eliminierung der Emotet-Infrastruktur spielt im Gesamtbild kaum noch eine Rolle. Rein statistisch war sie, zumindest was unsere Telemetriedaten angeht, kaum nachweisbar. Und selbst die Attacken auf Unternehmen gehen in ungemilderter Härte weiter. Aber auch das gehört zu einem Markt, in dem es genauso Angebot und Nachfrage wie Wettbewerb gibt. Wird ein Spieler eliminiert streiten sich andere um dessen Kunden.
Was soll sich nun ändern
Die Politik muss einsehen, dass sie dieses Spiel verliert. Bekämpfen sich Staaten weiterhin im Cyberspace und bieten damit Kriminellen Deckung sowie teilweise sogar die Werkzeuge für ihre Taten, werden Übergriffe dieser Art zunehmen. Der Ausfall von kritischer Infrastruktur, unabhängig davon ob terroristisch oder finanziell motiviert, hat das Potenzial, jedes politische System in seinem Rückhalt bei der Bevölkerung zu gefährden.
Insofern wäre es von Vorteil, diese Art der Angriffe grundsätzlich zu ächten und sich gegenseitig bei deren Aufklärung und Verurteilung zu unterstützen -- eine solche Zusammenarbeit wäre ein enormer Fortschritt zum Wohle aller! Entzöge sie doch der Cyberkriminalität nicht nur die Grundlage sondern würde ihre Mitspieler auch einem erhöhten Strafverfolgungsrisiko aussetzen.
Bis dahin
Ist es realistisch zu erwarten, dass eine entsprechende Vereinbarung zwischen Russland und den USA und später auch global getroffen werden kann? Ein Optimist sagt vielleicht, wahrscheinlich müssen aber erst noch in weiteren Ländern buchstäblich die Lichter ausgehen, bevor es zu einer gemeinsamen Aktion kommt. Tatsache aber bleibt, dass das Thema Cyberkriminalität längst nicht mehr durch die Politik eines einzelnen Landes bekämpft werden kann.
Insofern muss der Pipeline Hack als finaler Weckruf verstanden werden. Es kann jeden treffen. Beziehungen zu Regierungen spielen keine Rolle mehr. Auch nicht, ob Sie glauben, wichtige Daten zu haben oder nicht. Ein Markt wird immer versuchen zu wachsen. Der Cybercrime-Markt ist da keine Ausnahme. Stellen Sie sich darauf ein, früher oder später damit konfrontiert zu werden. Denn auch wenn es Hoffnungen auf politische Änderung gibt, wird es noch eine Weile dauern, bis sich das auch auswirkt.
Bis dahin gilt: Prozesse, Mitarbeiter und vor allem die Verteidigungstechnik Ihres Unternehmens muss in der Lage sein, einen Ernstfall rechtzeitig zu erkennen und zu bekämpfen. Techniken, Taktiken und Strategien, die älter als zwei Jahre sind, haben mit modernen Angriffen oft schwer zu kämpfen und müssen angepasst werden. Das ist mit „Stand der Technik“ gemeint. Als Industrie haben wir Lösungen. Lassen Sie sie uns umsetzen.