Manfred Kloiber: Thema der diesjährigen DARPA Cyber Grand Challenge war die automatische Suche nach Sicherheitslücken in IT-Systemen und der Angriff feindlicher Systeme über diese Sicherheitslücken. Was ist dabei herausgekommen, dass es so schlecht um die Zukunft der Hacker bestellt ist, Peter Welchering?

Peter Welchering: Wichtigstes Ergebnis: Ein Cyberkrieg kann vollautomatisch geführt werden, ohne dass Menschen daran beteiligt sind. Die IT-Systeme tragen das untereinander aus und brauchen keine menschlichen Cybersoldaten mehr dafür. Das ist so im Kern bei dieser Cyber Grand Challenge herausgekommen. Und das hat für erhebliches Aufsehen gesorgt:

Zum einen, weil Grand Challenges der Forschungsagentur des amerikanischen Verteidigungsministeriums auch in der Vergangenheit immer äußerst valide Aussagen über künftige Entwicklungen erbracht haben. Im Jahr 2004 etwa wurde nach solch einer Grand Challenge zum selbstfahrenden Auto prognostiziert, dass es in einigen Jahren - man ging damals noch so von 20 Jahren aus - selbstfahrende Autos oder zumindest sehr weitgehende Assistenzsysteme für Autofahrer geben würde.

Zum anderen sind die Wettbewerbe namens Grand Challenges ziemlich anspruchsvoll. Von den über 50 ursprünglich angetretenen Teilnehmern sind noch gerade mal sieben in die Endausscheidung gekommen. Und diese Endausscheidung bestand aus 96 Runden, in denen die Hacking-Bots der Teilnehmer gegeneinander Cyberkrieg führen mussten.

Kloiber: Wie solche Angriffe von den Cyber-Bots durchgeführt wurden und mit welchen Methdoden die Systeme selbstständig Sicherheitslücken bei ihren Gegnern erkannten und Angriffsstrategien planten, das haben wir für Sie recherchiert.

Cybersoldaten, die auf Bildschirme starren und auf Tastaturen rumhacken oder mit Wischbewegungen auf berührungsempfindlichen Displays Hacking-Attacken auf gegnerische Systeme starten - so ähnlich sehen die Bilder in den Hochglanzbroschüren aus, mit denen das deutsche oder auch das amerikanische Verteidigungsministerium um Informatiker-Nachwuchs für ihre Cybertruppen werben.

Ob aber künftig noch Soldaten aus Fleisch und Blut für den Cyberkrieg benötigt werden, das ist äußerst fraglich. Denn auf der Cyber Grand Challenge der Forschungsagentur des amerikanischen Verteidigungsministeriums haben Anfang August sieben Teams mit ihren Cyber-Bots gezeigt, dass IT-Systeme vollkommen autonom Cyber-Scharmützel untereinander ausfechten können.

Die Bots haben ohne menschliches Zutun bisher völlig unbekannte Sicherheitslücken in den gegnerischen Systemen aufgespürt und für die eigenen Systeme Patches geschrieben, um diese Sicherheitslücken zu stoppen. Thomas Bötner, IT-Sicherheitsexperte aus Sankt Agustin zieht daraus die Konsequenz:

"Wenn die Sicherheitslücke von dem System selbst erkannt wurde, kann das System auch Angriffe ausführen. Das ist kein Problem. Wenn man sich jetzt die DARPA Cyber Challenge anschaut, ist es so, dass die Programme nicht die Angriffe ausführen mussten, sondern nur beweisen mussten, dass solche Angriffe möglich sind. Dass man halt wirklich diese Sicherheitslücke ausnutzt und diesen Angriff programmiert, das ist noch menschlich, aber das kann auch maschinell passieren. Das ist kein Problem."

Über 96 Runden ging die Cyberwar-Simulation auf der Grand Challenge. Und in jeder Runde hatten es die Cyber-Bots mit anderen, ihnen unbekannten Programmen zu tun, in denen sie Sicherheitslücken identifizieren und für die sie Angriffe planen mussten. Dabei sind die Bots mit einer Menge an Sicherheitsmethoden konfrontiert worden, für deren Bearbeitung bisher große Spezialistenteams erforderlich waren. Thomas Bötner:

"Das sind eine Vielzahl von Methoden, die da eingesetzt werden. Am bekanntesten ist vielleicht das Fuzzing. Da werden sehr viele Eingabedaten ausprobiert und gekuckt, wie die Programme drauf reagieren. Diese Methode wurde dann noch effizienter gemacht. Die Methode, die da zu nennen ist, heißt symbolic execution. Da geht es darum, dass man nicht einfach blind viel versucht, sondern auch kuckt, welche Programmteile werden wo ausgeführt, wie komme ich wohin mit welchen Eingabedaten und wie komme ich von da aus weiter. Es werden auch noch viele andere Methoden genommen, und die werden miteinander kombiniert."

Ein gegnerisches System auszuschalten hat sich dabei als eine der leichteren Übungen für die Cyber-Bots ergeben. Ein gegnerisches System hingegen zu übernehmen und zu manipulieren, das ist schon viel schwieriger, sagt Thomas Bötner:

"Wenn man jetzt das gegnerische System übernehmen will, muss man genauer ankucken und analysieren: Wie kommt es zu dieser Anomalie. Und da wird derzeit noch auf die Menschen zurückgegriffen. Da werden aber auch wieder viele Tools eingesetzt, um zu kucken, wie muss man die Daten verändern, dass man halt möglichst Programmcode auf dem Zielsystem ausführen kann."

Wann es allerdings den ersten vollautomatischen Cyberkrieg geben wird, darüber gehen die Meinungen der Sicherheitsexperten auseinander. Thomas Bötner glaubt nicht, dass schon in naher Zukunft nur noch Computer gegeneinander Krieg führen. Der Computerwissenschaftler Professor Hartmut Pohl hingegen sieht da eine schnelle Entwicklung:

"Ich erwarte die ersten Tools, die automatisiert Sicherheitslücken identifizieren, in diesem Jahr, erwarte, dass sie angeboten werden."

Kloiber: Wenn tatsächlich Computersysteme autonom Sicherheitslücken erkennen und reparieren können, dann ist es bis zur Planung eines Angriffes auf andere Systeme, bei dem genau diese Lücken ausgenutzt werden, zumindest von der Methode her ein kleiner Schritt. Wie werden sich denn die Ergebnisse dieses DARPA-Wettbewerbs auf die Sicherheitslage auswirken, Peter Welchering?

Welchering: Das hängt davon ab, wie stark die Entwicklungen hier der Geheimhaltung unterliegen. Wenn die Algorithmen für die Identifizierung von Sicherheitslücken und die Software für die Angriffsplanung und -Durchführung öffentlich gemacht werden, kann das die Sicherheitslage verbessen.

Denn bisher ist der manuelle Anteil, den Menschen leisten müssen, um Sicherheitslücken zu entdecken, enorm hoch. Je mehr hier automatisiert erkannt werden kann, desto mehr Sicherheitslücken können auch geschlossen werden. Das würde die Sicherheitssituation massiv verbessern.

Aber das hat eben zwei Voraussetzungen: nämlich die Veröffentlichung der Algorithmen und die Veröffentlichung von Sicherheitslücken.

Kloiber: Nun hat die Forschungsagentur des amerikanischen Verteidigungsministeriums ja auch vor zwölf Jahren die Ergebnisse des Grand-Challenge-Wettbewerbs zum selbstfahrenden Auto rasch und umfassend veröffentlicht, darunter natürlich auch die verwendeten Algorithmen. Warum sollte das hier anders sein?

Welchering: Die Ergebnisse der Grand Challenge, die sind öffentlich. Aber das waren sehr einfache Sicherheitslücken. Die Angriffe mussten nur als durchführbar bewiesen werden, noch nicht wirklich durchgeführt werden. Und auch die Patches, die entwickelt wurden, waren noch ziemlich einfach gestrickt.

Keine Frage, das ist ein Paradigmenwechsel, der sich da ereignet hat. Das will ich nicht runterspielen. Aber was da Anfang August in diesem Wettbewerb passiert ist, kann man am ehesten mit den frühen ersten Schach-Wettkämpfen zwischen Mensch und Maschine vergleichen. Die wirklich spannende Softwareentwicklung setzte erst nach diesen ersten Wettbewerben ein.

Und da wird dann das Militär, da werden die Geheimdienste und andere Sicherheitsbehörden natürlich den Daumen drauf halten. Denn wer im automatisierten Cyberwar die bessere Software und die schnellere Hardware hat, der gewinnt ihn. Da wäre es dumm, Forschungs- und Entwicklungsergebnisse öffentlich zu machen. Das wird ab einem bestimmten Reifegrad der Produkte nicht mehr passieren. Das wissen wir aus Erfahrung.

Kloiber: Wann so ein Cyberkrieg möglich wird, den die Systeme autonom untereinander austragen, das wird ja sehr unterschiedlich bewertet. Gibt es so eine Art Mehrheitsmeinung der Spezialisten?

Welchering: Nein, die liegen wirklich weit auseinander. Allerdings, dass Werkzeuge für die vollautomatische Identifizierung von Sicherheitslücken in einigen Monaten am Markt sein werden, das scheint so eine Mehrheitsmeinung zu sein. Ob die dann unter Verschluss gehalten werden und nur Behörden und Militärs die kaufen dürfen, oder ob diese Software relativ frei gehandelt werden kann, das ist noch gar nicht abzusehen.

Ich persönlich gehe davon aus, dass die Militärs das genau kontrollieren. Und das trägt hier zur Destabilisierung bei, dadurch wird die Welt ein Stück unsicherer.

Kloiber: Wie hat man denn im Berliner Verteidigungsministerium auf diese Ergebnisse reagiert?

Welchering: Irritiert und mit Unverständnis. Es hat erst einmal zwei Wochen gedauert, ehe die von den dort zuständigen Stäben überhaupt richtig zur Kenntnis genommen wurden. Und im Augenblick tobt da mal wieder der Kompetenzstreit, wer denn eigentlich für die Beschaffung solcher Tools zur automatisierten Suche von Sicherheitslücken zuständig ist.

Weder in der Bundeswehr, noch im Verteidigungsministerium, noch im Innenministerium hat man die Bedeutung dessen, was sich da auf der Cyber Grand Challenge ereignet hat, auch nur ansatzweise erkannt. Und das ist gefährlich.