Digitales Wettrüsten: Vom Exploit-Handel zur Cyberwaffe

14. Februar 2013, 15:01
posten

Der Handel mit Sicherheitslücken nimmt zu, immer mehr Länder machen sich fürs virtuelle Schlachtfeld fit

Jeden Sommer finden sich zahlreiche Sicherheitsexperten in der US-Glücksspielmetropole Las Vegas ein, um sich auf der DEFCON- und Black Hat-Konferenz über Sicherheitsthemen auszutauschen. Diese Veranstaltungen sind bekannt dafür, dass dort kritische Lücken in verschiedener Software und Systemen demonstriert, erklärt und getestet werden. Doch die dort vorgestellten Entdeckungen wurden in den vergangenen Jahren immer harmloser – und das hat auch einen Grund.

Auf der Suche nach der Lücke

Einer davon ist, so schreibt Technology Review, dass brandaktuelle Fundstücke, sogenannte "Zero-Day-Exploits" mittlerweile viel zu wertvoll sind, um sie in Las Vegas für ein paar Gratisdrinks und etwas Ansehen der Öffentlichkeit vorzuführen. Sicherheitsagenturen, Partnerfirmen von Landesverteidigungsreinrichtungen und Regierungen zahlen mitunter hohe Preise für solche Informationen.

Dieser Geschäftsbereich ist zwar kaum dokumentiert, dürfte in den kommenden Jahren einen zunehmenden Anteil des US-Verteidigungsetats schlucken. Der Handel mit Sicherheitslücken und seine Folgen wird auch internationale Beziehungen verändern und möglicherweise das Internet zu einem unsichereren Ort für jedermann machen.

Schwachstellen, die neu und kaum bekannt sind, bieten einen Weg, fremde Computersysteme unbemerkt mit Software zu bespielen, ohne dabei von konventionellen Schutzmaßnahmen wie Virenscannern oder Firewalls gehindert zu werden. Kriminelle können auf diesem Wege Kreditkartendaten und ähnliche Informationen abgreifen, Geheimdienste und militärische Spezialisten hingegen könnten so Zugriff auf diplomatische Kommunikation gewinnen oder Infrastruktur lahmlegen, wie etwa Kraftwerke.

Vorbote Stuxnet

Wohin die Reise geht zeigt Stuxnet. Auch wenn es offiziell nach wie vor nicht zugegeben wurde, dürfte es sich bei dieser Malware um ein gemeinsames Projekt amerikanischer und israelischer Geheimdienste gehandelt haben, die detailliert ausgestaltet war, um mehrere Systeme zu befallen, mit der Industrieequipment kontrolliert werden konnte, das beim iranischen Atomprogramm verwendet wird. Es folgte Flame und es ist nicht unwahrscheinlich, dass mittlerweile noch andere Tools dieser Art zum Einsatz gekommen sind.

Mittlerweile mischen Kontraktoren und Regierungen auf der ganzen Welt mit und zahlen immer mehr für die neuesten Exploits. "Einerseits gibt sich die Regierung extrem besorgt in Sachen Cyber Security", kritisiert Technologe Christopher Soghoian von der American Civil Liberties Union, "andererseits mischen die USA in einem weltweiten Markt für Sicherheitslücken mit und treiben die Preise hoch."

Bezahlmodelle

Je nach Schweregrad der entdeckten Lecks werden mittlerweile tausende bis hunderttausende Dollar gezahlt. Zivile Strafverfolgungsbehörden beteiligen sich ebenfalls, sie nutzen die Exploits beispielsweise – Stichwort "Bundestrojaner" – um Abhörtools auf den Rechnern und Smartphones Verdächtiger unterzubringen.

Dabei gibt es auch unterschiedliche Bezahlmodelle, die mitunter dabei helfen sollen, dass eine Lücke möglichst lange unbeseitigt bleibt. Eine Variante ist beispielsweise eine monatliche Gebühr für den Entdecker. "Solange diese nicht von Apple oder Microsoft behoben wurde, wird gezahlt", sagt Soghoian. Gesetze, die Geschäfte dieser Art regulieren, gibt es noch nicht.

Abschreckung statt Angstmache

Von Regierungsseiten gibt es keinen Kommentar zum Exploit-Handel, Firmen und Agenturen aus dem Verteidigungsbereich betonen aber immer öfter, wie wichtig es ist, sich gegen Cyberangriffe verteidigen und selbst welche durchführen zu können.

2012 nahm die Air Force Vorschläge für die Entwicklung von Cyber-Waffen an. Vergangenen November meldete sich DARPA-Chefin Regina Dugan zu Wort: "In den nächsten Jahren werden wir einen zunehmenden Teil unserer Cyber-Forschung darauf fokussieren, offensives Potenzial zu erforschen, um spezifische Bedürfnisse des Militärs zu bedienen". Der Anteil am Forschungsbudget wird für Cyber-Security-Forschung von acht auf zwölf Prozent erhöht.

Analysten sehen darin auch eine neue Strategie im Umgang mit der Öffentlichkeit. Bislang waren oft Sorgen geäußert worden, Regierungsvertreter hatten hauptsächlich auf die Verwundbarkeit der USA am Computer-Schlachtfeld hingewiesen. Noch-Verteidigungsminister Leon Panetta hatte gar vor einem "digitalen Pearl Harbor" gewarnt. Nunmehr lautet die Devise "Abschreckung".

Blühendes Geschäftsfeld

Kooperierende Unternehmen äußern sich direkter dazu und geben unverhohlen zu, dass man sich an der Entwicklung von Software beteiligt, mit der man künftig Feinden zu Leibe rücken will. Um Regierungsaufträge wird eifrig gebuhlt. "Es ist ein wachsendes Segments der Verteidigungsindustrie, während der Rest schrumpft", erklärt Peter Singer, der die 21st Century Defense Initiative an der Washingtoner Brookings Institution leitet. "Sie [die Unternehmen] haben zwei wachsende Sparten identifiziert: Drohnen und Cyberwarfare."

Das Wettrüsten am digitalen Schlachtfeld zwischen den USA und anderen Regierungen und Kontraktoren könnten das Web zu einem gefährlicheren Ort machen, während gleichzeitig mehr Steuergeld in die Hände jener Unternehmen gelangt, die Sicherheitslücken erforschen und verkaufen. Es besteht da Risiko, dass die Strategie außer Kontrolle gerät. Der Besitz mächtiger Malware macht es verlockend, sie einzusetzen. Experten fürchten die potenziell verheerenden Folgen eines Angriffs gegen die Infrastruktur.

Atombombe mit Bauanleitung

Die Sicherheit der Cyber-Kriegsmittel steht auch zur Debatte. Schlägt eine Cyberattacke fehl, gibt es eine große Chance, dass eine Kopie der digitalen Waffe auf dem System des Opfers verbleibt oder versehentlich seinen Weg auf andere Computer findet, die gar nicht als Ziel auserkoren waren. Es ist nicht überraschend, dass andere Malwareschreiber in ihre Schadsoftware Methoden implementiert haben, die man bei Stuxnet zum ersten Mal gesehen hat.

"Die Parallele dazu wäre, Atombomben abzuwerfen, aber auch gleichzeitig Wurfzettel, auf dem steht, wie sie gebaut werden", meint Singer. Er schätzt, das rund 100 Länder bereits über eigene Cyberwar-aBteilungen verfügen und etwa 20 davon bereits über beachtliches Knowhow verfügen. "Es gibt eine Menge Leute, die dieses Spiel mitspielen."

 

  • Der Handel mit Sicherheitslücken und digitalen Kriegsmitteln beginnt zu florieren.
    foto: simonok @ sxc.hu

    Der Handel mit Sicherheitslücken und digitalen Kriegsmitteln beginnt zu florieren.

Share if you care.