Ihr Bedrohungsreport 2013 zeichnet ein drastisches Bild: Attacken übers Internet nehmen laufend zu. Sie reden vom World War C, dem Cyber-Weltkrieg.

Darien Kindlund*: Die Angriffsvolumen nehmen zu und die Taktiken werden raffinierter. Es ist nicht eine Gerade von links unten nach rechts oben, denn die Zahl der Angriffe schwankt, ähnlich wie beim Börsen­index, aber sie zeigt klar nach oben. 2013 registrierten wir 39 504 Internet-Attacken. Derzeit gibts eine weltweite Eskalation.

Weshalb?
Das hängt mit Politkonflikten zusammen. Nehmen Sie den Bürgerkrieg in Syrien. Da ist die Hackergruppe Syrian Electronic Army aktiv, welche Präsident Assad unterstützt und Websites der «New York Times», des «Wall Street Journal» und weiterer Medien angreift oder auf syrische Dissidenten schiesst. China engagiert sich im Kampf um weltweite Ressourcen oder sucht Informationen über westliche Firmen und deren Wettbewerbsverhalten. Dann werden zwischen Indien und Pakistan vermehrt Spionagekampagnen gefahren. Auch westliche Regierungen mischen mit: Sie haben mit dem Stuxnet-Virus Uran-Zentrifugen im Iran zerstört. Zudem ­haben wir mit Social Media eine schwer kontrollierbare Angriffsfläche.

Auch die USA mischen im Cyber-Krieg mit, erklärt der ehemalige US-Spion Edward Snowden. Ist er ein Held oder ein Verräter?
Das ist eine politische Frage, dazu kann und will ich mich nicht äussern.

Die NSA spioniert an vorderster Front.
Wir behandeln alle Bedrohungen und Attacken gleich, uns geht es nicht um Nationa­lität. Wir wollen Cyber-Attacken aufklären und Firmen oder Regierungen helfen, sich davor zu schützen. Teure und sehr präzise APT-Aktionen, also sogenannte Advanced Persistant Threats, die in Verbindung mit US-Interessen stehen, helfen uns in unserer täglichen Arbeit sicher nicht. Letztlich haben diese staatlich gesteuerten Angriffe zur Eskalation im Internet beigetragen.

Anzeige

Ist die Schweiz von der Eskalation tangiert?
Ja, die Schweiz mit ihrem Forschungs- und Finanzplatz ist eines der ersten Angriffsziele von Hackern und Angreifern aus dem Internet. Ich erinnere an die Operation Dark Comet, da war neben den USA, Südkorea und Japan auch die Schweiz Hauptbetroffene. Auch bei den Operationen LV und ­Gh0stRAT gehörte die Schweiz zu den primären Zielländern. Die Schweiz ist stets unter den Top Ten, die attackiert werden. 2013 stand die Schweiz bei hoch entwickelten APT-Attacken auf Rang sieben weltweit. Mit diesen gezielten Angriffen versuchen Staaten, technische Hochschulen, Finanzgesellschaften, Hightech- oder Chemiefirmen anzubohren. Letztes Jahr entdeckten wir insgesamt 4192 APT-Angriffe, das sind fast 10 Prozent aller Attacken. Sie sind sehr gefährlich, weil sie unter dem Radar der Internet-Sicherheitsabteilungen anfliegen.

Worum ging es bei Dark Comet?
Die Software greift Mails an. Abgesehen hat sie es auf Banken, Kreditkartenfirmen, Energiekonzerne und Hochschulen. Letztere sind oft schlecht geschützt. Das Spe­zielle beim Dark-Comet-Programm ist, dass es sowohl von kriminellen Gruppen wie auch von Staaten eingesetzt wird. Das macht die Spurensuche sehr schwierig.

Die USA klagten eben fünf Cyber-Angreifer der chinesischen Armee an. Eine nächste ­Eskalation?
Die aggressivsten Attacken werden aktuell aus China lanciert, dort sind viele Risikogruppen im Einsatz. Sie lösen breite Angriffswellen über viele internationale Server aus. Die Angreifer mit der ausgefeiltesten Technik stammen aber aus Russland. Unsere Analysen weisen auch in die Ukraine, in den Iran, nach Südamerika oder nach Nordkorea. Da gibts eine Dark Seoul Gang, die Südkorea bedroht.

Anzeige

Wie gehen die Chinesen vor?
Die Methoden lassen auf eine grosse Arbeitsteilung wie in der Industrieproduktion schliessen. Es sind viele Personen involviert, jede einzelne ist für eine spezifische Aufgabe zuständig. Es gibt Leute, die für Exploits verantwortlich sind, die nach Sicherheitslücken suchen, dann gibts Programmierer, die Schadenprogramme designen, andere sind für die Infrastruktur zuständig, andere planen den Angriff, weitere tarnen die Mails, die an Unmengen von Computerbenutzer geschickt werden. Dann gibts Analysten, die Computer nach verwert­baren Daten absuchen. Angegriffen wurden Firmen wie Google, Intel, Adobe, Lockheed Martin oder Morgan Stanley.

Wie kommen Sie zu Ihren Schlüssen?
Die Chinesen erkennt man an sehr unterschiedlichen Niveaus der Arbeitsqualität. Es gibt hoch entwickelte Angriffspläne und raffinierte Exploits. Dann gibts sehr simple Software oder Liefermechanismen mit Programmierfehlern. Diese Qualitätsunterschiede lassen darauf schliessen, dass Leute mit unterschiedlichem Ausbildungs­niveau involviert sind.

Anzeige

Chinesische Angriffe sind Lawinen?
Wird aus China ein Cyber-Angriff lanciert, brechen Wellen auf Computersysteme ein. Involviert sind Unmengen von Rechnern und Servern. Es wird mit dem elektronischen Holzhammer losgeschlagen. Oft wird keine hoch entwickelte Software eingesetzt, man setzt auf Quantität. Meist wird nicht ein spezifischer Computer einer spezifischen Firma angegriffen, es wird eher mit dem Staubsauger durch die IT-Systeme gefahren, um möglichst viele Daten zu sammeln. Was weiter auf chinesische Angreifer hinweist, sind Angriffssysteme, die modul­artig aufgebaut sind. Man benützt ein Angriffsprogramm, das man schon früher verwendet oder nur leicht modifiziert hat.

Haben Sie ein Beispiel?
Die Sunshop-Kampagne, die im Frühling 2013 auf Menschenrechtsorganisationen und ein Forschungsinstitut losging. Im Einsatz waren Trojaner, die wir schon kannten. Zwei Jahre zuvor wurden damit Websites der südkoreanischen Armee, ein uigurisches Nachrichtenforum, eine Website protestantischer Studenten und ein Wissenschaftsjournal angegriffen. Wir haben gemerkt, dass ähnliche Trojaner bereits bei früheren Angriffen eingesetzt worden waren, schliesslich konnten wir Verbindungen zu elf Attacken feststellen; sie zielten auf die Flugzeugindustrie, Rüstungsfirmen, Chemiefirmen, Hochschulinstitute, Finanzgesellschaften, Behörden, Versicherungen.

Anzeige

Gemäss US-Gerichtsunterlagen gibts eine Schanghai-Gruppe und eine Peking-­Gruppe innerhalb der chinesischen Armee.
Es gibt diverse Hackergruppen, die aus der Volksarmee aktiv sind, einige konnten identifiziert werden, inklusive der Personen, die zum Teil mit westlichen Namen operieren. Dann gibts Unterakkordanten, die nicht zum Staatsapparat gehören. Dies war bei der Operation Comment Crew der Fall, ­einer Horchattacke gegen die US-Rüstungs- und Raumfahrtindustrie. Schliesslich gibts Firmen, die für den Staat arbeiten und nebenher eigene Attacken lostreten, im Auftrag von Dritten. Im Gegenzug behaupten die Chinesen, sie würden vor allem aus Taiwan, aber auch aus den USA angegriffen.

Wie unterscheiden sich chinesische Cyber-Attacken von jenen aus Russland?
Da gibts markante Unterschiede. Bei den Russen sind viel weniger Leute involviert, die Angriffe sind fokussierter und raffinierter. Oft werden Programme oder Taktiken eingesetzt, die auch bei kriminellen Organisationen im Gebrauch sind. Während in China der Staat dominiert, ist es in Russland die Unterwelt. Man will mit sehr gezielten Angriffen in Computersysteme eindringen. Das geschieht im Vergleich zu China mit viel kleineren Volumen, mit weniger Servern und Computern. Dann haben unsere Analysten auch entdeckt, dass Angriffe aus Russland so designt wurden, dass es nach Attacken aus Asien aussieht. Oder aber es werden die Horchangriffe über eine Serie von Servern geführt, um es der Internet-Abwehr schwer zu machen.

Anzeige

Weitere russische Spezialitäten?
Sie können mit ihren Programmen die Betriebssysteme der Zielgruppen manipulieren und Anti-Viren-Programme ausser Gefecht setzen. In jüngster Zeit ist diese Taktik auch in Nordkorea festgestellt worden. Das lässt den Schluss zu, dass es Verbindungen zur russischen Unterwelt gibt. Es werden oft auch Social-Media-Plattformen als Einfallstore benützt, was bei Angriffen aus China weniger der Fall ist. Das alles deutet da­rauf hin, dass die russischen Hacker agiler und besser ausgebildet sind.

Social Media mit erhöhtem Risiko?
Absolut. Social Media ist ein Einfallstor, das künftig noch stärker benutzt wird, weil diverse Operationen reüssierten. Dazu gehört Spear Phishing, mit dem persönliche Daten wie Bankverbindungen, Kreditkartennummern, Zugangscodes oder Adressbücher gestohlen werden.

Anzeige

Weshalb diese Erfolge?
Social-Media-Plattformen werden laufend modifiziert. Die Weiterentwicklungen machen es der Abwehr schwer, die aktuellsten Risiken auszumerzen. Ist eine Sicherheitslücke gestopft, gibts bereits die nächste, weil laufend neue Features und Koopera­tionen eingebaut werden. Mailverkehr kann man mit Anti-Viren-Programmen relativ einfach schützen, bei einer Realtime-Chat-Plattform ist es schwieriger. Angreifer schicken ihren Opfern oft ein infiziertes File, das getarnt ist oder einen Link beinhaltet. Beim Anklicken wird eine Wanze aktiviert. Der Aufwand für diese Angriffe ist klein, zudem vergeht Zeit, bis die Sicherheitslücke entdeckt ist. Diese findet man erst, wenn Daten schon gestohlen wurden.

Sehen Sie auch westliche Firmen, die ihre Konkurrenten im Westen aushorchen?
In unseren Bedrohungsanalysen sind noch nie US-Firmen aufgetaucht, die andere Firmen aus dem Westen ins Visier nahmen.

Anzeige

Ihr grösster Erfolg war der Kampf gegen die Spam-Schleuder Grum-Botnet 2012?
Bezüglich des Volumens war das der grösste Erfolg. Unsere 40 Attack-Analysten arbeiteten mit mehreren internationalen CERT (Computer Emergency Response Teams) zusammen. Nachdem wir die Angriffsserver ausfindig gemacht hatten, zogen lokale Internet-Provider die Server aus dem Verkehr. Dank dieser internationalen Kooperation konnten wir den drittgrössten globalen Spam-Angriff stoppen. Die haben 18 Milliarden Spam-Mails pro Tag verschickt.

Die Server standen in Russland?
Nein, in der Ukraine, in der Gegend von Odessa. Dort wurden mehrere Server für den Angriff zusammengeschlossen.

Sie bremsen Cyber-Krieger aus, doch dann kommt schon der nächste ums Eck.
Wir freuen uns, wenn wir eine neue Angriffsmethode entdecken und unschädlich machen. Kürzlich lösten wir die Operation Clandestine Fox aus. Dabei entdeckten wir einen Exploit, der die Sicherheitssysteme alter Internet-Explorer-Versionen und jene von Windows XP umflog. Der Angriff stammte vermutlich aus China, dabei wurden 25 bis 50 Prozent des globalen Browser-Marktes sowie Internet- und Rüstungsfirmen im Westen ins Visier genommen. Wir haben sofort alle möglichen Opfer informiert, darunter Microsoft. 22 Stunden nach unserer Information publizierte Microsoft eine Warnung, ein paar Tage später eine Software-Aktualisierung. Die Kooperation hat wunderbar funktioniert.

Anzeige

Wie schützt man sich vor Cyber-Attacken?
Zentral ist das Hochhalten einer permanenten Sicherheitshygiene. Einen guten Überblick liefert SANS Top 20 Critical Controls (siehe sans.org). Die Risiken steigen – weil die Angriffe billig sind, die Rendite aber sehr hoch ist.

*Darien Kindlund ist Leiter der Abteilung Bedrohungsanalyse der US-Sicherheitsfirma FireEye. Das Unternehmen wurde bekannt, weil sie 2012 das Grum-Botnet knackte, das über Server in Russland und der Ukraine 18 Milliarden Spams pro Tag verschickte.