Freitag, 29. März 2024

Archiv


Manuskript: Mächte im Internet

Die Sicherheitslage im Internet hat sich gewandelt. Noch vor zwei bis drei Jahren bedrohte die Organisierte Kriminalität das Web. Ziel der Angriffe waren private Anwender, auf deren Kreditkarteninformationen und Kontodaten es die Online-Täter abgesehen hatten. Aber im Fadenkreuz standen und stehen dabei die Unternehmen. Nun kommen aber vermehrt ideologisch-politische Angriffe mit verteilten Diensteblockaden und aufwändig geplanten Cyberattacken auf Atomanlagen, Fabriken und Stromnetze hinzu.

Von Peter Welchering | 24.06.2012
    Mit der politischen Auseinandersetzung haben sich auch die Auseinandersetzungen zwischen Staaten ins Netz verlagert - mit digitale Waffen wie Stuxnet oder Flame. Wissenschaftler, Computerexperten und zunehmend auch Politiker fordern eine digitale Rüstungskontrolle.

    Kassel in Nordhessen. Ein regnerischer Tag in einem tristen Industriegebiet. Zwischen einer Fabrik für Solaranlagen und einer kleinen Druckerei, steht ein schmuckloser weißgestrichener Industriebau. Im Erdgeschoss, die Kantine für die Arbeiter der Solarfabrik. Es riecht nach Kaffee, Kohl und Bratenfett. Und ein vierter Geruch setzt sich durch. Lösungsmittel aus der Druckerei nebenan. Wer die Treppe in den ersten Stock hinauf steigt, lässt diese Arbeitswelt hinter sich. Abschied aus der analogen Welt ist angesagt. In der virtuellen Welt, die wir jetzt betreten, soll alles ganz anders sein – gefährlicher, fremd, ungewohnt.

    "Wir sind hier in einer Entwicklungs-Location der IBM, im Jargon Labor genannt","

    erläutert Carsten Dietrich, Chef der X-Force genannten Cybersicherheitstruppe des IT-Konzerns in Deutschland,

    ""das hat aber nichts damit zu tun, was man sich üblicherweise unter Labor vorstellt: Chemie oder Biologie, sondern halt ein Entwicklungsstandort und wir beschäftigen uns hier mit dem Thema Content Intelligence, wie es so schön heißt, das heißt allgemein mit der Analyse von Inhalten, die so über die Datennetze gehen. Insbesondere beschäftigen wir uns mit der Inhaltsanalyse im Web und mit der E-Mail-Analyse. Spam, Schadsoftware, Malware und ähnliche Themen."

    In 24 Stunden entstehen weltweit rund 70.000 neue Software-Schädlinge, Viren, Würmer, Trojaner, und neuerdings ganz individuell entwickelte digitale Waffen, wie die Cyber-Lenkrakete der japanischen Armee, die virtuellen Drohnen der US-Army oder die Ionenkanone der Anonymous-Gruppe, die Webserver solange mit Datenpäckchen beschießt, bis sie in die Knie gehen. Hochautomatisierte Software von Online-Kriminellen fängt per SMS verschickte Transaktionsnummern ab und plündert die Girokonten nichts ahnender Bankkunden. Im Kasseler Schadsoftwarelabor kann man alle diese Computerschädlinge bei der Arbeit beobachten - live. Dietrich:

    "Was man hier sehen kann, das sind Live-Bilder, auf Rechnern, die bei uns im Rechenzentrum laufen, die entsprechende Analysen machen. Hier oben vor Kopf sieht man eine große Weltkarte. Da tauchen immer Punkte auf, rote Punkte. Das sind gerade Webserver, die wir gerade analysieren, wo wir Inhalte herunterladen und diese Inhalte auf bestimmte Eigenschaften hin überprüfen. Wir kategorisieren Inhalte im Internet in zurzeit 68 verschiedene Kategorien. Das sind so Kategorien wie Malware, kriminelle Aktivitäten, auch ganz normale Seiten wie Bildung, Unterhaltung, natürlich auch so was wie Pornographie und ähnliche Inhalte."

    Carsten Dietrichs Truppe überwacht in diesem Labor also die bösen Mächte im Internet. Die Überwachungszentrale lässt ein wenig das Gefühl aufkommen wie im Kontrollraum eines Raumschiffes. Alles ist in blaues Licht getaucht. An der Frontseite das große Display mit der Weltkarte. Einige hundert rote Punkte zeigen gerade an, wo auf der Welt Dateien mit Schadsoftware gerade im Internet unterwegs sind. Rechts und Links von der Weltkarte jeweils drei Reihen Monitore, Kontrollkonsolen im Halbrund angeordnet.

    "Der Raum heißt auch bei uns die Brücke, also der Hinweis darauf, dass das etwas mit Enterprise zu tun hat, ist natürlich durchaus beabsichtigt. Man möchte damit auch zum Ausdruck bringen, dass es hier um die aktuellsten Bedrohungslagen geht, und das müsste natürlich schon zum Ausdruck bringen. Das ist definitiv Hightech, um was es hier geht, alles hoch automatisiert, mit absolut modernen Methoden zur automatischen Analyse von Inhalten, also das ist absolut beabsichtigt."

    Das Kasseler Labor arbeitet eng mit ähnlichen Netzüberwachungszentralen in Brüssel und in Atlanta in den USA zusammen. Die Kasseler haben sich auf die Webserver weltweit und die Schadsoftware, die Angriffe, die von ihnen ausgehen, spezialisiert. Einige zehntausend virtuelle Netzpolizisten sind im World Wide Web unterwegs, von Kassel aus losgeschickt. Sie schauen nach dem Rechten. Nutzen dafür die dieselbe Technik wie Google & Co. Die IT-Spezialisten suchen breit nach Inhalten und setzen dafür sogenannte Webcrawler ein. Dietrich:

    "So ein Crawler, wenn man weiß was Google macht, die besuchen Webseiten, extrahieren von diesen Webseiten wiederum Links, besuchen diese dann auch wieder. Google macht einen Volltextindex, wir analysieren ausführbare Dateien darauf, ob sie Schadsoftware enthalten, ob es Schädlinge sind, Malware. Wir kennen momentan einen Bestand von 15 Milliarden Seiten die wir in unserem Bestand haben. Und wir analysieren ungefähr am Tag bis zu sechs Millionen neue Inhalte."

    Plötzlich wird es hektisch. Phishing-Alarm. Mit einer ganzen Welle von gefälschten Mails wollen Online-Kriminelle die Konten von Bankkunden leer räumen. Und das geht so: Mit der Mail werden Kunden von Finanzdienstleistern aufgefordert, eine sogenannte Sicherheitsabfrage vorzunehmen. Ein Link auf die von Kriminellen nachgebaute Seite der Bank oder des Online-Zahlungsdienstleisters wird gleich mitgeschickt. Wer sich täuschen lässt und diesen Link anklickt, wird aufgefordert seine Konteninformationen samt PIN einzugeben. Mit diesen Informationen heben die Online-Kriminellen dann erhebliche Geldsummen von den Girokonten der getäuschten Bankkunden ab. Dietrich:

    "Man sieht gerade, dass Paypal auf dem ersten Platz steht. Wir sehen also gerade offensichtlich eine Menge an Phishing-E-Mails, die behaupten, sie kämen von Paypal, auf den zweiten Platz American Express, darunter ... eine amerikanische Firma, und so weiter. So etwas kann man hier beobachten."

    Phishing-Mails also locken Anwender auf eine bestimmte Webseite. Sind sie einmal dort, drängt ihnen das System auf entweder Kreditkarteninformationen oder geheime Kontendaten preiszugeben. Andernfalls warte auf den Nutzer dieser Webseite ein Computervirus oder andere Schadsoftware.

    "Der Trend geht immer mehr dahin, dass auch seriöse Seiten im Internet mit Schadsoftware verseucht sind, was den Trend widerspiegelt, dass viele Angriffe über infizierte Webseiten funktionieren, man nennt das den so genannten 'drive by download'-Prozess. Als unbedarfter Benutzer besucht man eine seriöse Webseite, und nur durch den Besuch dieser Webseite, wenn diese Webseite von einem Hacker angegriffen wurde, wenn er da Schadsoftware hinterlegt hat, kann man seinen Rechner zum Beispiel mit einem Botnet-Client infizieren."

    Botnetze, das sind Tausende oder Hunderttausende gekaperte Computer, die zu einem Netzwerk zusammengeschlossen sind. Der Computerbesitzer merkt häufig noch nicht einmal, dass sein Computer gekapert wurde. Online-Kriminelle nutzen Botnetze, um massenhaft Spam-Mail zu versenden, Phishing-Attacken zu fahren oder Computerviren zu verbreiten. Netzaktivisten nutzen solche Botnetze, um Überlastattacken gegen Webserver von Unternehmen, Regierungen und Organisationen auszuführen. Distributed Denial of Service Attacken nennen die Spezialisten diese Angriffe. Dabei wird ein Web-Server von vielen hunderttausend Computern solange mit Datenpäckchen beschossen, bis er in die Knie geht. Vor einigen Wochen hat eine Gruppe von Anonymous-Aktivisten die Webseiten der Verwertungsgesellschaft Gema auf diese Weise für eine Stunde lahmgelegt. Auch die Webseiten des Bundesministeriums der Justiz traf es kürzlich, nachdem das Hamburger Landgericht die Videoplattform Youtube dazu verurteilt hatte, Musikvideos wegen verschiedener Urheberrechtsverstöße aus dem Angebot zu nehmen.

    "Ihr Menschen dieser Welt, erlaubt mir, dass ich mich vorstelle: Anonymous. Ich bin nur eine Idee, die Idee einer freien Welt, frei von Unterdrückung, frei von Armut, frei von Völkermord, eine Welt, die es ermöglicht sinnvoll frei zu leben, ohne Einschränkungen eines korrupten Regimes."

    Anonymous-Aktivisten treten nach eigenem Bekenntnis für Freiheit und Transparenz ein. Sie selbst halten sich aber in der Öffentlichkeit massiv zurück und kommunizieren bevorzugt über anonyme Videobotschaften mit synthetischer Stimme, etwa wenn sie deutsche Politiker warnen, oder sie erscheinen mit Guy-Fawkes-Masken zu öffentlichen Demonstrationen gegen die Scientology-Sekte. Die Übergänge zur Occupy-Bewegung sind fließend. Die Guy-Fawkes-Maske haben sie übernommen, und zwar von ihrem Helden V aus dem Film und der Comic-Reihe "V wie Vendetta". Und wie ihr Held V, V wie Vendetta, so sagen Anonymous-Aktivisten, wollen sie gegen autoritäre arabische Regime, für Meinungsfreiheit im Internet und gegen Willkür kämpfen. Für diese Art von Protest haben sie sogar ein eigenes Tool entwickelt: Die Niederorbit-Ionenkanone. Das ist eine Software zum Aufbau eines Computer-Angriffsnetzes. Gregg Housh kennt sich da aus. Er ist so etwas wie der inoffizielle Sprecher der Anonymous-Bewegung.

    "Anonymous organisiert sich auf Chatservern. Da sprechen die Leute über die anstehenden Themen, zum Beispiel, wie man am besten eine bestimmte Website lahm legt. Und das geht am besten durch eine Distributed-Denial-of-Service-Attacke. Viele Nutzer rufen die Website immer wieder auf. Das überfordert den Server. Kein Server der Welt hat so viel Rechenpower und so viel Bandbreite. Die Aktivisten haben sich verständigt, gemeinsam eine Software entwickelt und allen im Netz gesagt: Lade diese Software herunter und lasse sie laufen – und schon geht die Website in die Knie."

    Virtuelle Sitzblockaden nennen die Netzaktivisten diese Form des Protestes im Netz. Für Gregg Housh sind sie eine Verlagerung des legitimen politischen Protestes mit Sitzblockaden aus der analogen Welt in die virtuelle. Alexander Geschonneck, Internet-Sicherheitsspezialist und Computerforensik-Experte bei der Unternehmensberatung KMPG, sieht das anders.

    "Wenn Sie eine Webseite betreiben und von der Verfügbarkeit dieser Webseite abhängig sind und Sie bombardiert werden über ein Botnetz von wem auch immer und die Webseite nicht mehr verfügbar ist und Sie können das Informationsangebot nicht mehr darstellen, Sie können keine Ware mehr verkaufen, Sie können nicht das machen, wofür Sie die Webseite haben, dann tut das schon weh. Und das tut dem Unternehmen weh, und dann ist es letztendlich auch egal, was die Motivation dahinter ist, weil die Webseite läuft nicht, und Sie können kein Geschäft machen. Insofern würde ich das nicht herunterspielen. Die Motivation ist natürlich auch wichtig, um den Täter zu identifizieren. Aber für das geschädigte Unternehmen ist die Motivation dann eher zweitrangig. Die Motivation mag wichtig sein, um herauszufinden, bin ich im Fokus. Bin ich ein Unternehmen, das jetzt gerade im Fokus von Netzaktivisten steht durch mein Geschäft, durch meine politische Wortmeldung oder durch das Land, in dem ich tätig bin, mit dem ich Geschäfte mache, dann ist das schon wichtig, um die Gefahrensituation einzuschätzen."

    Politischer Protest und politische Auseinandersetzungen werden zunehmend ins Netz verlagert. Im Dezember 2010 lieferten sich zum Beispiel Anonymous-Aktivisten und Angehörige der Jester-Gruppe einen regelrechten Hackerkrieg im Netz. Es ging dabei um die Veröffentlichung von Geheimdokumenten des US-Militärs auf der Plattform Wikileaks und die anschließende fristlose Kündigung der Verträge mit Wikileaks, die Server-Vermieter Amazon und Finanzdienstleister Paypal vorgenommen hatten. Die auf den Amazon-Servern bis dahin gespeicherten Geheimdokumente waren nicht mehr via Internet erreichbar, und es war nicht mehr möglich Wikileaks über Paypal eine Spende zukommen zu lassen. Daraufhin blockierten Anonymous-Aktivisten die Webserver von Amazon und Paypal, Jester-Aktive griffen wiederum die noch verbliebenen Server von Wikileaks an.

    Bereits im Jahr 2007 beschossen russische Hacker, die angaben, der Kreml-Jugend von Präsident Putin nahezustehen, über mehrere Wochen Server der estländischen Telefongesellschaft, mehrerer Ministerien und zahlreicher Banken mit Datenbomben. Die Hacker wollten damit gegen die Umsetzung einer Bronzestatue zu Ehren gefallener Rotarmisten aus dem Zentrum der Hauptstadt Tallinn auf einen Soldatenfriedhof protestieren. Die estländische Wirtschaft war über einige Wochen durch die Überlastangriffe regelrecht lahmgelegt. Die größte Bank des Landes, Hansapank, stand kurz vor der Pleite. Die estländische Regierung rief wegen des Cyberangriffs die Nato um Hilfe an. Doch im Nato-Hauptquartier zögerte man. Denn dem Nato-Mitglied Estland war ja von keinem Land der Krieg erklärt worden. Und ob hinter den Hackerangriffen wirklich die russische Regierung stand, konnte nicht geklärt werden. Alexander Geschonneck bewertet das so.

    "Ob der Angriff jetzt von einer staatlichen Stelle direkt kommt oder von einem Dienstleister, der beauftragt wurde, oder von einer politisch nahestehenden Organisationen eines Landes, das lässt sich am Ende dann gar nicht mehr so genau sagen, gar nicht mehr so genau trennen, wenn das Ziel dann erreicht wurde derjenigen, die diesen Auftrag dann gegeben haben."

    Netzaktivisten, die aus politischen Gründen ein System blockieren. Hacker, die im Auftrag von Regierungsstellen aktiv werden. Online-Kriminelle, die neben direkten Attacken auf Bankkunden auch Angriffe für militärische und andere Dienststellen durchführen. Arbeitslose Computerspezialisten, die als Schwachstellenanalytiker für die organisierte Kriminalität, aber auch für Regierungen, Sicherheitslücken in Betriebssystemen, Kommunikationsprotokollen und Anwendungsprogrammen aufspüren und Angriffsprogramme schreiben, die diese Sicherheitslücken ausnutzen. Wirtschaftsspione, die in den Computersystemen der Konkurrenz Konstruktionspläne stehlen. Militärisch ausgebildete Cybertruppen, die neben Bomben und Granaten auch zunehmend digitale Waffen entwickeln. Sie alle tummeln sich im Internet und sorgen für eine neue Bedrohungslage. Alexander Peters vom Antivirenhersteller Symantec beschreibt diese neue Lage so.

    "Wenn man von Bedrohungslage spricht, dann gibt es verschiedene Ansichten. Das eine ist die Bedrohungslage, die man aus der IT-Security schon kennt, über die man schon lange spricht. Und das andere ist natürlich die Tatsache, dass man jetzt immer mehr merkt, dass die Grenze zwischen der digitalen Welt und der physischen Welt ein bisschen dahinschwindet. In der Tat ist es natürlich so, das Risiko steigt, dass durch bestimmte Aktivitäten, die sich im digitalen Raum abwickeln, tatsächlich dies auch Auswirkungen hat auf die Wirklichkeit, auf kritische Infrastrukturen, auf Gaspipelines, solche Systeme, oder auf Urananreicherungsanlagen, wie es bei Sabotagefälle ja auch der Fall war. Dahingehend hat sich die Bedrohungslage sicherlich geändert. Das Bewusstsein ist da, dass diese politisch motivierten Angriffe, wie wir es auch gerne nennen, eher das Risiko erhöhen, dass tatsächlich dann auch Steuerungssysteme adressiert werden von physikalischen Systemen, ob das jetzt in der Energiewirtschaft ist oder in anderen Industriebereichen."

    Gesellschaftliche Proteste und politische Auseinandersetzungen, auch zwischen Staaten, verlagern sich zunehmend ins Netz. Doch die Auswirkungen dieser Aktionen sind immer direkter und stärker in der sogenannten analogen Welt zu spüren. Als in Brasilien landesweit der Strom ausfiel, steckte ein Computerwurm dahinter. Als im US-amerikanischen Bellingham eine Benzinpipeline explodierte, steckte ein Computervirus dahinter. Als in Syrien die Radaranlagen der Luftraumüberwachung ihren Dienst versagen, steckt eine eigens dafür programmierte Angriffssoftware dahinter. Als in den iranischen Atomanlagen die Zentrifugen reihenweise ihren Geist aufgeben, steckt eine aufwändig programmierte Schadsoftware dahinter. Doch wer steckt hinter dem Computerwurm, hinter dem Virus, hinter der Angriffs- und Schadsoftware? Für Alex Gostev, Chefsicherheitsanalyst beim russischen Antivirenhersteller Kaspersky ist die Entwicklung ziemlich klar:

    "Hacker versuchen natürlich anzugreifen. Aber perspektivisch sind die Militärs die größere Gefahr. Angriffe gegen Infrastruktur sind eine klassische militärische Aufgabe und Operation. Bevor Sie Truppen in ein Land schicken, zerstören Sie die Infrastruktur dieses Landes. Ein Mausklick genügt – und Gebäude auf der anderen Seite des Planeten werden zerstört. Raketen brauchen da eine halbe Stunde, um ihr Ziele zu erreichen. Wenn Sie den Knopf am PC drücken, dauert es nur Sekunden."

    Das macht digitale Waffen für sämtliche Armeen dieser Welt attraktiv. Stuxnet, Duqu und Flame gelten als solche digitalen Waffen. Stuxnet hat ungefähr 1000 Uranzentrifugen in iranischen Atomanlagen zerstört. Die Stuxnet-Entwickler waren über Steuerungscomputer in den iranischen Atomanlagen bestens informiert. Denn sie hatten sich das dafür notwendige Wissen von einer Spionagesoftware namens Duqu beschaffen lassen. Alex Gostev.

    "Stuxnet und Duqu sind Schadprogramme derselben Plattform namens 'Tilded'. Sie wurde innerhalb von vier bis fünf Jahren entwickelt. Die ersten einsatzfähigen Versionen gab es schon in den Jahren 2007 und 2008. Hinter Duqu und Stuxnet steht eine Organisation, die einige Millionen Dollar in diese Schadsoftware investiert hat. Mehr als 20 Experten haben an Stuxnet und Duqu gearbeitet: Entwickler, Softwaretester, Botnetz-Operatoren und Analysten. Stuxnet hat vier Sicherheitslücken ausgenutzt, Duqu eine. Solch eine Sicherheitslücke kostet auf dem grauen Markt 500.000 Dollar. Nur große Organisationen und Regierungen können innerhalb von fünf Jahren so viel Geld in ein solches Projekt investieren."

    Der Washingtoner Korrespondent der New York Times, David E. Sanger, hat die Entstehungsgeschichte von Stuxnet genau nachrecherchiert. Seine Recherchen haben die schon sehr bald geäußerte Einschätzung bestätigt, dass Stuxnet ein amerikanisch-israelisches Gemeinschaftsprojekt war. Mit Stuxnet sollte ein Luftschlag gegen die iranischen Atomanlagen vermieden werden. Dafür müssen solche digitalen Angriffe mit einer ähnlich hohen Präzision durchgeführt werden wie Luftschläge. Die Militärs sprechen hier gern von einem Angriff mir chirurgischer Präzision. Doch Stuxnet hat diese chirurgische Präzision nicht erreicht. Vielmehr passiert im Jahr 2010 eine Panne.

    Ein iranischer Wartungsingenieur hatte seinen Laptop mit den Rechnern im Maschinenleitstand der Zentrifugen im Atomkomplex Natanz verbunden. Er wollte routinemäßige Wartungsarbeiten durchführen. Solche Wartungs-Laptops sollte Stuxnet natürlich nicht befallen. Deshalb hatten die Entwickler eigens eine Verbreitungsroutine in Stuxnet eingebaut, die jeweils prüft, ob auf einem etwaigen Zielsystem Software des Scada-Systems für Industriesteuerungen vorhanden ist. Damit wollten die Stuxnet-Entwickler ausschließen, dass sich die Schadsoftware auf beliebigen Computern einnistet. Sie sollte auf Steuerungscomputer beschränkt bleiben. Unglücklicherweise war auf dem Laptop des iranischen Wartungsingenieurs vor dem Einsatz in der Atomanlage in Natanz eine Scada-Simulation gelaufen. Auf dem Laptop war also ein Steuerungscomputer simuliert worden. Und bei dieser Simulation waren temporäre Scada-Objektdateien angelegt worden, die nach der Simulation eigentlich automatisch hätten gelöscht werden sollen. Ein Softwarefehler verhinderte das aber. Und das war verhängnisvoll. Denn nun installierte sich Stuxnet auf dem Wartungsrechner, weil die Verbreitungsroutine Scada-Software vorgefunden hatte. Anschließend verbreite sich der Computervirus über das Internet, als der Wartungsingenieur im Web surfte. Stuxnet befiel auf Grund dieses Softwarefehlers rund 70.000 Industriesteuerungen weltweit.

    Um solche Pannen künftig auszuschließen, setzten die Stuxnet-Verantwortlichen Flame ein. Das ist eine Spionagesoftware, mit deren Hilfe das Zielsystem so genau analysiert werden kann, dass eine digitale Angriffswaffe auf ein einziges Computersystem hin maßgeschneidert werden kann.

    Moskau, Volokolamski-Straße 10. Die Zentrale des russischen Antivirenherstellers Kaspersky. Boris Jembolzky, Chef des Virenlabors nimmt uns mit an seinen Arbeitsplatz. Denn hier wird im Auftrag der in Genf ansässigen Internationalen Fernmeldeunion ITU seit Mai dieses Jahres die Spionagesoftware Flame Stück für Stück entschlüsselt.

    "Wir sind hier im Virus-Lab. Das ist das Herz unseres Unternehmens. In diesen grünen Würfeln arbeiten Virenanalysten. Sie verarbeiten den Strom verdächtiger Dateien, der hier einläuft. Die stammen aus ganz verschiedenen Quellen, von Anwendern, von Agenten, von anderen Herstellern. Wir öffnen die Datei, wir analysieren Funktionalität."

    Und das haben die russischen Analytiker auch beim Flame-Computervirus gemacht, den sie über die Internationalen Fernmeldeunion direkt von der iranischen Insel Kharg zugeschickt bekommen hatten. Dort hatte Ende April ein Cyberangriff auf das Ölterminal der iranischen Ölgesellschaft stattgefunden. Virenanalysten stellten in einer ersten und sehr schnell durchgeführten forensischen Untersuchung zwei unterschiedliche Arten von Schadsoftware auf den iranischen Servern fest, die sie als Sabotage- und Spionage-Tools bezeichneten. Im ungünstigsten Fall hätte eine Ölpipeline zerstört werden können. Sie nannten die gefundene Schadsoftware "Viper". Als die russischen Virenanalysten Viper genauer untersuchten, fanden sie Ende Mai 2012 auch die Spionagesoftware Flame. Flame weist mehr als 20 unterschiedliche Spionagemodule auf, die einem Angreifer sämtliche Details über das Zielsystem liefern. Dafür nutzt Flame sehr viele unterschiedliche Sicherheitslücken aus. Zum Teil sind das die gleichen Schwachstellen, die auch kommerzielle Produkte für die Online-Durchsuchung nutzen, die auch von deutschen Sicherheitsbehörden eingesetzt werden. Alex Gostev.

    "Das ist ein großes Geschäft. Einige Unternehmen in den USA und in Europa kaufen Sicherheitslücken von unabhängigen Forschern und verkaufen sie an ihre Kunden, deren Namen sie nicht offen legen. Aber natürlich sind das auch Regierungen und Regierungsagenturen. Sie veröffentlichen sogar regelrechte Preislisten zu den Sicherheitslücken, was also eine Sicherheitslücke in Windows, im MacOS oder für mobile Telefone kostet. Das sind ganz legale Unternehmen. Sie haben offizielle Websites. Darüber können Sie Kontakt zu diesen Firmen herstellen. Gegen Zahlung einer Gebühr erhalten Sie Informationen über Sicherheitslücken. Die Kosten dafür liegen so bei 100.000 Dollar im Jahr. Dafür gibt es aber nur die allgemeinen Informationen über die Sicherheitslücken. Wenn Sie eine kaufen wollen, kostet das extra."

    Die Virenanalysten, nicht nur in den Kaspersky Labs in Moskau, sondern auch des Labors für Verschlüsselung und Systemsicherheit an der Universität Budapest und bei der Genfer ITU gehen davon aus, dass Flame im Auftrag der amerikanischen Regierung entwickelt wurde. Nach den Erfahrungen mit der unkontrollierten Verbreitung von Stuxnet soll durch Flame die notwendige chirurgische Präzision bei Angriffen mit digitalen Waffen sichergestellt werden. Alex Gostev.

    "Das sind die hauptsächlichen Typen von Cyberwaffen. Sie werden in den nächsten drei Jahren sehr schnell weiter entwickelt werden. Und sie werden gegen Infrastruktur gerichtet. Das können Raffinerien oder Kraftwerke sein, Fabriken und Verkehrsinfrastruktur. Zunächst richtet sich das gegen Industriesteuerungen, Scada-Systeme zum Beispiel. Solche Attacken gegen Infrastruktur sind wichtig."

    Scada-Systeme gelten als primäres Angriffsziel. Fast alle der rund 150 Staaten, die sich am Rande der Vollversammlung der Vereinten Nationen dazu bekannten, digitale Waffen entwickelt zu haben, halten entsprechende Schadsoftware gegen Scada-Systeme in ihren Waffenarsenalen bereit. Alex Gostev:

    "Die Sicherheit von Scada-Systemen ist ein heißes Thema. Und das liegt nicht an Stuxnet. Stuxnet war nur das erste Beispiel einer solchen Waffe. Die Sicherheit von Scada-Systemen ist einfach zu schwach. Sie haben zu viele Sicherheitslücken. Zu viele Hersteller mit zu vielen unterschiedlichen Standards. Windows-Systeme und Mac-Systeme haben einen wesentlich höheren Sicherheitsstandard als Industriesteuerungen. Es ist sehr einfach Scada-Systeme anzugreifen. Das ist eine sehr gefährliche Situation."

    Hier muss nachträglich Sicherheit eingearbeitet werden. Das haben die Industriesteuerungen mit vielen anderen informationstechnischen Systemen gemeinsam. Als sie entwickelt wurden, hat entweder niemand an Sicherheit gedacht. Oder aus politischen Gründen und insbesondere aus Kostengründen wurden die Sicherheitsaspekte sträflich vernachlässigt. Carsten Dietrich, Sicherheitschef der XForce in Deutschland, bewerte das so.

    "Die ganz entscheidende Vorgehensweise ist es, Sicherheit von Anfang an in alle Sachen, die man plant, mit aufzunehmen. Es macht keinen Sinn, irgendeine neue Technologie einzuführen, und sich erst im Nachgang über Sicherheit Gedanken zu machen. Wenn wir das tun, sind wir sicherlich auf verlorenem Posten. Das sind genau die Probleme, mit denen wir im Moment kämpfen."

    Und das sind genau die Probleme, die auch bei neuen innovativen Technologien wieder ergeben. So sind in Italien und Schweden bereits flächendeckend intelligente Stromzähler, sogenannte Smart Meter, eingeführt worden. Auch in Deutschland sollen sie im Rahmen der Energiewende die alten Drehzähler ablösen. Diese intelligenten Stromzähler sind aber ein Einfallstor für Schadsoftware, mit der Terroristen, Cybermilitärs oder Internet-Kriminelle in ganzen Ländern oder in einzelnen Städten leicht einen lang anhaltenden Stromausfall herbeiführen können. Über die Infrarot-Schnittstelle können die Smart Meter mehr nicht nur beliebig manipuliert werden. Über sie kann auch Schadsoftware auf die Server der Energieversorger eingeschleust werden. Mehrtägige Stromausfälle wären die Folge. Dr. Charlton Adams von der IEEE, dem weltweiten Berufsverband der Ingenieure aus Elektrotechnik und Informatik fordert deshalb.

    "Das eine, was wir brauchen, ist der Schutz des Netzes. Denn jenseits intelligenter Stromzähler entwickeln wir ein intelligentes Netzwerk. Dabei muss die Integrität des Netzwerkes sichergestellt werden, indem wir Intelligenz in das Netz einarbeiten. Das Netz wird so eine nationale Angelegenheit."

    Für Industriesteuerungen und intelligente Stromzähler sehen deshalb die meisten Cyberkriegs-Szenarien auf Grund ihrer zahlreichen Schwachstellen digitale Waffen vor. Besonders gern arbeiten solche Konzepte mit diesen beiden Angriffszielen, die eine längerfristige Unterbrechung der Stromversorgung als erstes taktisches Ziel vorgeben, um einen Station Blackout der Kernkraftwerke auf gegnerischem Gebiet herbeizuführen. Eine zweite Angriffswelle mit Cyberwaffen soll dann die Notstromversorgung der Atomkraftwerke ausschalten. Die Folge wäre eine Kernschmelze. In den Cyberwar-Konzepten wird sie als "vireninduzierter Atomschlag" bezeichnet. Der Ruf nach einer Genfer Konvention für das Internet wird deshalb immer lauter. Alex Gostev.

    "Wir brauchen eine internationale Organisation, um den Einsatz von Cyberwaffen zu kontrollieren. Wir haben internationale Organisationen, die Nuklear-Technologien überwachen. Inspektoren kontrollieren das. Regierungen, die in der Atomenergieüberwachung nicht mit den internationalen Organisationen kooperieren, riskieren es, mit einem Embargo belegt zu werden. Wir müssen das bei den Cyberwaffen genauso machen. Eine internationale Organisation für die Kontrolle von Cyberwaffen muss her. Und sie muss über jedes Cyberwaffenprojekt in jedem Land informiert sein."

    Solch eine Organisation will aber zur Zeit keine der Mächte im Netz, weder die Militärs, noch die Organisierte Kriminalität, noch die Netzaktivisten oder Hacker. Und erst recht wollen die Regierungen der großen Industrienationen weder eine digitale Rüstungskontrolle noch eine entsprechende internationale Organisation. Die Mächte im Netz sorgen also dafür, dass es weiterhin gefährlich bleibt.