Manfred Kloiber: Datendiebstahl bei RSA Security – darüber hörten Sie einen Beitrag von Achim Killer. Auch andere Firmen und Organisationen waren in den letzten Wochen von hochspezialisierten Hackerangriffen betroffen, zum Beispiel die Herausgeber von Verschlüsselungszertifikaten, die Wiki-Server der PHP-Entwicklergemeinde oder das französische Finanzministerium. Peter Welchering, stehen alle diese Hacks und Servereinbrüche in irgendeinem Zusammenhang?
Peter Welchering: Darüber wird zumindest zurzeit ganz, ganz heftig spekuliert. Und dabei fällt eines vor allen Dingen auf: Es werden Techniken eingesetzt wie sie beispielsweise beim Einbruch auf die Server der US-Sicherheitsfirma HP Gary eingesetzt wurden. Und die sind, ähnlich auch im Fall des RSA-Einbruchs oder etwa bei der Kompromittierung der SSL-Server, tatsächlich so verwendet worden. Und einige Sicherheitsexperten wollen daraus sogar so etwas wie eine Handschrift der Hacker erkannt haben. Das alles ist von den Aussagen her wenig belastbar. Das muss man auch sehen. Aber allen scheint klar: Mit dem Hack auf die Systeme von HP Gary scheint eine Art Kampagne begonnen zu haben oder zumindest sich verfestigt zu haben, mit der vor allen Dingen der amerikanischen Regierung und ihren Partnern gezeigt werden soll: Die Aktion Payback nach der WikiLeaks-Affäre im vergangen Jahr läuft weiter.
Kloiber: Und welchen Zusammenhang gibt es da zur Aktion Payback?
Welchering: Da muss man ein bisschen zurückgreifen in die neuere Geschichte. Nachdem im Dezember vergangenen Jahres oder auch auf Druck der amerikanischen Politik Amazon WikiLeaks im Zuge der Botschafterdepeschen-Affäre den Serverplatz gesperrt hatte und danach gleichzeitig auch der Internet-Bezahldienstleister Paypal WikiLeaks als Zahlungsempfänger gesperrt hatte und drittens dann das Kreditkartenunternehmen Mastercard Zahlungen an WikiLeaks und an sympathisierende Organisationen nicht mehr ausgeführt hat, hatte eine niederländischer Hackergruppe namens Anonymous Server von Paypal und Mastercard angegriffen und teilweise sogar lahmgelegt. Und diesen Hackerangriff haben sie damals Aktion Payback genannt, um deutlich zu machen, dass sie sich solche Maßnahmen nicht gefallen lassen. Also sie wollten zurückzahlen, zurückschlagen. Eine regierungstreue Organisation namens Jester hatte dann wiederum noch verbliebene Server mit WikiLeaks-Dokumenten und auch Domainname-Server in Europa angegriffen um nämlich die Verweisungen auf WikiLeaks-Dokumente unmöglich zu machen. Und der nächst Akt ging dann so: Die US-Sicherheitsfirma HP Gary hatte angekündigt, die Identität der Hacker von Aktion Payback bekannt zu geben. Und daraufhin waren dann Server von HP Gary gehackt worden und es wurden unter anderem 60.000 Firmenmails gestohlen. Die HP Gary Firmenmails sind dann auch veröffentlicht worden. Der Handel von HP Gary mit Spionageprogrammen und Auftragsproduktionen von Schadsoftware warfen kein freundliches Licht auf dieses Sicherheitsfirma, die ist nachher auch ein bisschen in Schwierigkeiten gekommen. Und der HP-Gary-Hack ist dem Umfeld der Anonymous-Netzaktivisten zugeschrieben worden. Und genau dieses Umfeld hat auch im Januar angekündigt, man könnte sich doch auch mal genauer angucken, was denn da bei RSA eigentlich los sei. Damalige Begründung: Regierungsbehörden wie die amerikanischen oder auch französische, die sich gegenüber WikiLeaks besonders unfreundlich benommen hätten, würden ihre Systeme mit dem Secure-ID-System von RSA absichern. Und da wäre es doch nett, mal bei RSA vorbeizuschauen. Aber damals ist das eben als bloße Kraftmeierei von einigen Netzaktivisten abgetan worden.
Kloiber: Wir hatten ja eben auch gesagt, dass auch Wiki-Server der PHP-Entwickler betroffen sind. Wie passt das ins Bild? Für das Anonymous- oder das 4chan-Umfeld müssten doch zum Beispiel die PHP-Entwickler eigentlich die Guten sein.
Welchering: Ja ja, die PHP-Entwickler sind für diese Gruppen die Guten und man steht zu denen. Da wird die Beteiligung der amerikanischen Jester-Gruppe vermutet, die im Dezember eben auch die Server mit den WikiLeaks-Dokumenten Angegriffen hat. Und das Jester-Umfeld und das Anonymous-Umfeld, also beide Gruppen, sind in Sachen digitaler Auseinandersetzung mit Werkzeugen wie beispielsweise SQL-Injection, Denial-of-Servcie-Attacken ... und ... Zero-Day-Exploits, also Angriffsprogrammen, die auf noch nicht veröffentlichen Sicherheitslücken basieren, ziemlich hochgerüstet. Und deshalb vermutet man eben auch, dass der Hack gegen das französische Finanzministerium auf das Konto des Anonymous-Umfeldes geht – allerdings des Umfeldes. Die Anonymous-Gruppe selbst scheint da wohl nicht beteiligt zu sein, wie man bisher herausgefunden hat. Aber das hat eben weite Kreise gezogen. Der Hack auf den Wiki-Server der PHP-Entwickler geht hingegen auf das Konto der Jester-Sympathisanten, und die haben sich eben auch entschieden, weiterentwickelt nach den letzten Hacking-Attacken, die die beiden Gruppen sich im Dezember geliefert haben. Der Fall der gestohlenen SSL-Zertifikate dagegen liegt noch ein bisschen anders und schwieriger. Hier vermuten Sicherheitsexperten wiederum, dass dann einfach Trittbrettfahrer aus der organisierten Kriminalität am Werk sind und damit beim Online-Banking einfach in der Zukunft ein bisschen abfischen wollen. Man sieht also: Wenn die beiden Gruppen sich da einen Hackerkrieg liefern, dann gibt es unter umständen lachende Dritte – und das sind die Kriminellen.
Peter Welchering: Darüber wird zumindest zurzeit ganz, ganz heftig spekuliert. Und dabei fällt eines vor allen Dingen auf: Es werden Techniken eingesetzt wie sie beispielsweise beim Einbruch auf die Server der US-Sicherheitsfirma HP Gary eingesetzt wurden. Und die sind, ähnlich auch im Fall des RSA-Einbruchs oder etwa bei der Kompromittierung der SSL-Server, tatsächlich so verwendet worden. Und einige Sicherheitsexperten wollen daraus sogar so etwas wie eine Handschrift der Hacker erkannt haben. Das alles ist von den Aussagen her wenig belastbar. Das muss man auch sehen. Aber allen scheint klar: Mit dem Hack auf die Systeme von HP Gary scheint eine Art Kampagne begonnen zu haben oder zumindest sich verfestigt zu haben, mit der vor allen Dingen der amerikanischen Regierung und ihren Partnern gezeigt werden soll: Die Aktion Payback nach der WikiLeaks-Affäre im vergangen Jahr läuft weiter.
Kloiber: Und welchen Zusammenhang gibt es da zur Aktion Payback?
Welchering: Da muss man ein bisschen zurückgreifen in die neuere Geschichte. Nachdem im Dezember vergangenen Jahres oder auch auf Druck der amerikanischen Politik Amazon WikiLeaks im Zuge der Botschafterdepeschen-Affäre den Serverplatz gesperrt hatte und danach gleichzeitig auch der Internet-Bezahldienstleister Paypal WikiLeaks als Zahlungsempfänger gesperrt hatte und drittens dann das Kreditkartenunternehmen Mastercard Zahlungen an WikiLeaks und an sympathisierende Organisationen nicht mehr ausgeführt hat, hatte eine niederländischer Hackergruppe namens Anonymous Server von Paypal und Mastercard angegriffen und teilweise sogar lahmgelegt. Und diesen Hackerangriff haben sie damals Aktion Payback genannt, um deutlich zu machen, dass sie sich solche Maßnahmen nicht gefallen lassen. Also sie wollten zurückzahlen, zurückschlagen. Eine regierungstreue Organisation namens Jester hatte dann wiederum noch verbliebene Server mit WikiLeaks-Dokumenten und auch Domainname-Server in Europa angegriffen um nämlich die Verweisungen auf WikiLeaks-Dokumente unmöglich zu machen. Und der nächst Akt ging dann so: Die US-Sicherheitsfirma HP Gary hatte angekündigt, die Identität der Hacker von Aktion Payback bekannt zu geben. Und daraufhin waren dann Server von HP Gary gehackt worden und es wurden unter anderem 60.000 Firmenmails gestohlen. Die HP Gary Firmenmails sind dann auch veröffentlicht worden. Der Handel von HP Gary mit Spionageprogrammen und Auftragsproduktionen von Schadsoftware warfen kein freundliches Licht auf dieses Sicherheitsfirma, die ist nachher auch ein bisschen in Schwierigkeiten gekommen. Und der HP-Gary-Hack ist dem Umfeld der Anonymous-Netzaktivisten zugeschrieben worden. Und genau dieses Umfeld hat auch im Januar angekündigt, man könnte sich doch auch mal genauer angucken, was denn da bei RSA eigentlich los sei. Damalige Begründung: Regierungsbehörden wie die amerikanischen oder auch französische, die sich gegenüber WikiLeaks besonders unfreundlich benommen hätten, würden ihre Systeme mit dem Secure-ID-System von RSA absichern. Und da wäre es doch nett, mal bei RSA vorbeizuschauen. Aber damals ist das eben als bloße Kraftmeierei von einigen Netzaktivisten abgetan worden.
Kloiber: Wir hatten ja eben auch gesagt, dass auch Wiki-Server der PHP-Entwickler betroffen sind. Wie passt das ins Bild? Für das Anonymous- oder das 4chan-Umfeld müssten doch zum Beispiel die PHP-Entwickler eigentlich die Guten sein.
Welchering: Ja ja, die PHP-Entwickler sind für diese Gruppen die Guten und man steht zu denen. Da wird die Beteiligung der amerikanischen Jester-Gruppe vermutet, die im Dezember eben auch die Server mit den WikiLeaks-Dokumenten Angegriffen hat. Und das Jester-Umfeld und das Anonymous-Umfeld, also beide Gruppen, sind in Sachen digitaler Auseinandersetzung mit Werkzeugen wie beispielsweise SQL-Injection, Denial-of-Servcie-Attacken ... und ... Zero-Day-Exploits, also Angriffsprogrammen, die auf noch nicht veröffentlichen Sicherheitslücken basieren, ziemlich hochgerüstet. Und deshalb vermutet man eben auch, dass der Hack gegen das französische Finanzministerium auf das Konto des Anonymous-Umfeldes geht – allerdings des Umfeldes. Die Anonymous-Gruppe selbst scheint da wohl nicht beteiligt zu sein, wie man bisher herausgefunden hat. Aber das hat eben weite Kreise gezogen. Der Hack auf den Wiki-Server der PHP-Entwickler geht hingegen auf das Konto der Jester-Sympathisanten, und die haben sich eben auch entschieden, weiterentwickelt nach den letzten Hacking-Attacken, die die beiden Gruppen sich im Dezember geliefert haben. Der Fall der gestohlenen SSL-Zertifikate dagegen liegt noch ein bisschen anders und schwieriger. Hier vermuten Sicherheitsexperten wiederum, dass dann einfach Trittbrettfahrer aus der organisierten Kriminalität am Werk sind und damit beim Online-Banking einfach in der Zukunft ein bisschen abfischen wollen. Man sieht also: Wenn die beiden Gruppen sich da einen Hackerkrieg liefern, dann gibt es unter umständen lachende Dritte – und das sind die Kriminellen.