Regierungen haben schon immer offensive Cyberoperationen durchgeführt. Aber es scheint so, dass in den letzten Jahren die Kampagnen an Kühnheit und Volumen zugenommen haben. In den großen Schlagzeilen tauchen hauptsächlich „staatlich geförderte“ oder „nationalstaatliche“ Angriffe auf, deren Ziele von kritischen Infrastrukturen bis hin zu komplexen Supply-Chain-Angriffen reichen. Aber wenn Sie genauer hinschauen, dann verschwimmen zunehmend die Grenzen zwischen diesen Attacken und der traditionellen Cyberkriminalität.
Was bedeutet dies für die zukünftige Bedrohungslage und die wachsenden Auswirkungen Cyberkriminalität auf globale Organisationen? Ohne eine Art geopolitischen Konsens wird es viel schwieriger zu verhindern, dass diese kriminellen Gruppen effektiv von Nationalstaaten geschützt werden.
Die bisherigen Trennlinien
Als ich vor über 16 Jahren anfing, über Cybersicherheit zu schreiben, war die Entdeckung nationalstaatlicher Angriffe eine Seltenheit. Gerade dies machte damals Stuxnet zu einem so großen Ereignis, als der Angriff an die Öffentlichkeit kam. Häufig wurden ähnliche Angriffe als „staatlich gefördert“ beschrieben, was die Zuordnung etwas mehrdeutig machte. Es ist der Verdacht, dass wir wissen, dass eine Regierung höchstwahrscheinlich den Befehl zu einer Kampagne gegeben hat – weil das Ziel und die Art des Angriffs eben nicht mit rein finanziellen Motiven zusammenpasst –, aber dass sie die Durchführung möglicherweise nicht selbst übernommen hat.
Die beiden Begriffe selbst wurden im Laufe der Jahre wahrscheinlich ziemlich oft falsch verwendet. Aber genau so mögen es Regierungen – da Anonymisierungstechniken eine 100-prozentige Zuordnung erschweren, geht es auch um glaubhafte Abstreitbarkeit.
Ob nationalstaatlich oder staatlich gefördert, Angriffskampagnen enthielten früher mehrere Schlüsselelemente:
- Selbst erstellte oder maßgeschneiderte Malware und Tools, möglicherweise das Ergebnis zeitaufwändiger Recherchen zum Auffinden und Ausnutzen von Zero-Day-Schwachstellen. Dies ist die Art von Fähigkeit, die uns EternalBlue und verwandte Tools ermöglicht hat, die angeblich von der NSA gestohlen wurden.
- Ausgefeilte mehrstufige Angriffe, die oft als Advanced Persistent Threats (APTs) bezeichnet werden, gekennzeichnet durch langwierige Aufklärungsarbeit und das Bemühen, lange Zeit in Netzwerken verborgen zu bleiben.
- Ein Fokus auf Cyber-Spionage oder sogar zerstörerische Angriffe, die eher auf geopolitische Ziele als auf nackten Profit ausgerichtet sind.
In gewisser Weise sind viele dieser Punkte auch heute noch zutreffend. Doch die Bedrohungslage ist heute viel komplexer geworden.
Die derzeitige Lage
Wir leben derzeit in einer Welt, in der die weltweite Cyberkriminalität jährlich Billionenschäden verursacht. Sie ist eine voll funktionsfähige Wirtschaft, die mehr als das BIP vieler Länder erwirtschaftet und angefüllt ist mit der Art von freiberuflichen Kräften, Wissen und gestohlenen Daten, die viele Staaten begehren. Und so wie legitime Rüstungsunternehmen und -lieferanten aus dem privaten Sektor von Regierungen angeheuert werden, sind Cyberkriminelle und ihre Ressourcen zunehmend Gegenstand von informellem und oft ad hoc vereinbartem Outsourcing.
Gleichzeitig wurden historische geopolitische Normen zurückgefahren. Der Cyberspace stellt einen neuen Kriegsschauplatz dar, in dem sich die Staaten noch nicht auf Verhaltensregeln und Normen geeinigt haben. Dadurch ist ein Vakuum entstanden, in dem es von bestimmten Nationen als akzeptabel angesehen wird, Wirtschaftsspionage direkt oder indirekt zu fördern. Es geht sogar noch weiter: In einigen Fällen wird die organisierte Cyberkriminalität in Ruhe gelassen, solange ihre Aktivitäten auf andere, rivalisierende Nationen gerichtet sind.
Die heutige Bedrohungslage ist daher eine Lage, in der die Grenzen zwischen traditionellen „staatlich geförderten“ und „cyberkriminellen“ Aktivitäten immer schwieriger zu erkennen sind. Einige Beispiele dafür:
- Viele Anbieter im Dark Web verkaufen inzwischen Exploits und Malware an staatliche Akteure
- Staatlich geförderte Angriffe verwenden nicht nur maßgeschneiderte Tools, sondern auch herkömmliche, online gekaufte Malware
- Einige staatlich geförderte Angriffe versuchen aktiv, Einnahmen aus quasi cyberkriminellen Kampagnen zu erzielen
- Einige Staaten wurden mit zahlreichen Persönlichkeiten und Gruppen der Cyberkriminalität in Verbindung gebracht
- Einige Regierungen wurden beschuldigt, freiberufliche Hacker eingestellt zu haben, um bei einigen Kampagnen zu helfen, während sie bei anderen Aktivitäten weggesehen haben
- Es wurde darauf hingewiesen, dass manchen Regierungsbeamten gelegentlich sogar Schwarzarbeit erlaubt sei, um zusätzlich etwas Geld zu verdienen
Zeit für Eigeninitiative
Was wird die Zukunft bringen? Betrachten Sie bloß die Aufregung bezüglich der heutigen Ransomware-Epidemie, bei der Cyberkriminelle unter anderem für schwerwiegende Störungen der Energie- und Lebensmittel-Versorgungsketten verantwortlich gemacht werden. Die USA haben einige der Akteure, wie Evil Corp, auf ihre offizielle Sanktionslisten gesetzt. Das bedeutet, dass Opfer und Versicherer ihnen kein Lösegeld zahlen können, ohne selbst gegen das Gesetz zu verstoßen. Doch diese Gruppen versuchen ihre Aktivitäten unter anderem Namen fortzusetzen, um diese Regeln zu überlisten.
Die Quintessenz ist, dass solche Gruppen weiter existieren werden, solange es einen Markt für ihre Dienste gibt, sei es mit stillschweigendem Segen oder mit aktiver Unterstützung durch von Nationalstaaten.
Für Sicherheitsforscher und CISOs, die sich zwischen diesen Fronten befinden, ist dies nicht sehr beruhigend. Führungskräfte in Unternehmen sollten aber nicht eine fatalistische Haltung gegenüber staatlichen Angriffen einnehmen: Sie sollten nicht glauben, dass ihre Gegner so gut ausgestattet und raffiniert sind, dass es keinen Sinn macht, sich gegen sie zu verteidigen. Die Wahrheit ist, dass Angreifer nicht unbedingt Übermenschen sind, die vom Staatsapparat und den Ressourcen einer ganzen Nation unterstützt werden. Sie verwenden möglicherweise einfach Standard-Malware oder bedienen sich gewöhnlicher Cyberkrimineller.
Das bedeutet, dass ihre Sicherheitsstrategie unabhängig vom Gegner dieselbe sein sollte. Kontinuierliche Risikoprofilierung, mehrschichtige Abwehrmaßnahmen, wasserdichte Sicherheitsrichtlinien und proaktive, schnelle Erkennung und Reaktion.
Weitere Artikel:
Regierungen sollten bei der Cybersicherheit keinen Alleingang machen