Die eigene IT konsequent abzusichern, ist das wichtigste Instrument, um Cyberangriffe abzuwehren. Doch trotz aller Fortschritte in der Weiterentwicklung und der Verbesserung der IT-Sicherheit hat sich die Cybersicherheitslage bislang im Vergleich zu den Vorjahren nicht wesentlich verbessert. Laut Bitkom entstanden im vergangenen Jahr der deutschen Wirtschaft Schäden von rund 203 Milliarden Euro durch Angriffe auf IT; 84 Prozent aller Unternehmen waren betroffen. Aus der gegenwärtigen geopolitischen Situation erwächst keine Hoffnung, dass sich die Lage bald bessern könnte. Ganz im Gegenteil: Schlechte wirtschaftliche Aussichten begünstigen Cyberkriminalität. Der Krieg Russlands gegen die Ukraine, die Spannungen mit China, die Lage in Iran führen alle zu mehr Spionage und vermutlich auch am Ende zu mehr Sabotage.
Die Erfahrung der vergangenen Jahre zeigt: Mit ausreichend Zeit, Geld und Aufwand gelangen organisierte Cyberkriminelle und staatlich unterstützte Cyberangreifer fast immer an ihr Ziel. Das ist nicht völlig überraschend, da es sehr viel einfacher ist, Cyberangriffe durchzuführen als diese zu verhindern.
Eine Konsequenz ist der aktuelle Fokus der Branche auf Cyberresilienz, also die Frage: Wie kann sich eine Organisation so absichern und vorbereiten, dass der Schaden durch Cyberangriffe minimiert und möglichst schnell und ohne existenzielle Folgen behoben werden kann? Dahinter stecken Technologien wie Zero-Trust-Architekturen, die die Ausbreitungsmöglichkeiten von Angreifern stark begrenzen, und Methoden aus dem Business- Continuity-Management, ausgerichtet auf Cyberangriffe.
Die andere Konsequenz ist die Diskussion um aktive Cyberabwehr, also Methoden und Technologien, die Cyberangriffe blockieren und verhindern, indem sie in IT-Infrastrukturen außerhalb der Systeme der angegriffenen Opfer intervenieren.
Was sind Technologien der aktiven Cyberabwehr?
Für die meisten Cyberangriffe benötigen die Angreifer Netze, Server, Domänen, Rechner und vieles mehr. Kurz gesagt: eine eigene IT-Infrastruktur. Die Verteilung von Schadsoftware erfolgt oft durch vom Angreifer aufgesetzte, gefälschte Webseiten. Um einmal installierte Schadsoftware zu kontrollieren, zu aktualisieren und gestohlene Daten abgreifen zu können, bauen die Angreifer eine sogenannte Command-and-Control(C2)-Infrastruktur im Internet auf: Ransomware erhält so das Kommando, Daten an die C2-Infrastruktur zu schicken und lokal zu verschlüsseln. Spionagesoftware wird so direkt gesteuert. Die Bots in einem Botnetz erhalten so beispielsweise auch das Kommando, einen DDoS-Angriff durchzuführen und das Opfer mit Nachrichten zu fluten. Auch um Nachrichten im Internet über Server der Angreifer umzuleiten oder das Opfer ganz vom Internet abzuklemmen, braucht es eine entsprechende Infrastruktur.
Wird ein Angriff entdeckt, so ist es in vielen Fällen möglich, diese IT-Infrastruktur der Angreifer im Internet zu lokalisieren, also festzustellen, welche Netze, Internet-Domänen, IP-Adressbereiche und Server für den Angriff genutzt werden. Mit etwas mehr Aufwand gelingt dies oft sogar dann, wenn die Angreifer Anonymisierungsdienste verwenden. Lokalisierung bedeutet allerdings nicht, sofort zu wissen, welche Person, Gruppe oder welches Land hinter einem Angriff steckt. Diese sogenannte Attribution ist deutlich schwieriger als die Lokalisierung, da Angreifer im Allgemeinen ihre Identität und Herkunft bewusst verschleiern und oft sogar "unter Falscher Flagge“ operieren, etwa indem sie Hinweise auf andere Gruppen und Länder streuen. Es gibt aber durchaus auch Beispiele erfolgreicher Attribution.
Was geschieht nach der Lokalisierung?
Gelingt die Lokalisierung, so gehen Strafverfolgungsbehörden, allen voran die US-Bundespolizei FBI, vermehrt gegen solche Angriffsinfrastrukturen vor. Beispielsweise gab das US-Justizministerium Anfang April bekannt, dass das dem russischen Geheimdienst GRU zugeschriebene Botnet „Cyclops Blink“ ausgeschaltet wurde. Hierdurch wurden laufende Angriffe gestoppt und künftige Angriffe verhindert.
Dieses Vorgehen ist ein typisches Beispiel für aktive Cyberabwehr. Im Gegensatz zu den Vereinigten Staaten ist die aktive Cyberabwehr in Deutschland umstritten. Wenn hierzulande von aktiver Cyberabwehr die Rede ist, geht es nicht um „Hackbacks“, also nicht um digitale Vergeltungsangriffe, sondern darum, die Strafverfolgungsbehörden dabei zu unterstützen, Straftaten zu vereiteln und zu verfolgen. Aktive Cyberabwehr umfasst – ganz allgemein gesprochen – technische Maßnahmen, die Angriffe stoppen oder proaktiv verhindern sollen. Grundsätzlich gibt es vier Ansätze.
1. Angriffe können blockiert werden durch Manipulation des Internetverkehrs von oder zum Angreifer.
Ist ein Netz identifiziert, von dem aus der Angreifer agiert, kann der Verteidiger gezielt die Nachrichten aus diesem blockieren oder umlenken und dadurch den Angriff stoppen. Technisch gibt es eine Vielzahl an Möglichkeiten, diesen Verkehr zu manipulieren. Keine davon erfordert, in das Netz des Angreifers einzudringen. Stattdessen greift man in die Kontrollmechanismen des Internets ein. Wie genau man das tut, hängt auch davon ab, welche Methoden der Angreifer verwendet. Beispielsweise kann ein Router andere Netze informieren, Internet-Verkehr an andere Netze weiterzuleiten.
2. Zur aktiven Cyberabwehr kann man auch die für einen Angriff genutzten Netzwerk-Ressourcen komplett übernehmen oder abschalten.
Hierdurch kann man beispielsweise manche DDoS-Angriffe stoppen oder die Kommunikation zwischen einem Botnetz und seiner C2-Infrastruktur unterbinden und das Botnetz damit effektiv unschädlich machen. Da C2-Infrastrukturen üblicherweise für sehr viele Angriffe verwendet werden, stoppt diese Maßnahme nicht nur laufende Angriffe, sondern verhindert auch künftige. Es gibt viele praktische Beispiele für diese Möglichkeit der aktiven Cyberabwehr.
Beispielsweise gelang es im Jahr 2020 in den Vereinigten Staaten, die Server-Infrastruktur des Trickbot-Botnetzes zu lokalisieren. Nach einem Gerichtsbeschluss wurden alle genutzten IP-Adressen deaktiviert, so dass die Angreifer den Zugriff auf ihre Infrastruktur verloren. Im Allgemeinen setzt ein solcher Vorgang die Kooperation einer Internet-Registry zum Beispiel in Europa der RIPE NCC, voraus.
Sehr häufig werden Internet-Domänen, die von Angreifern zum Beispiel für eine C2-Infrastruktur verwendet werden, von Strafverfolgungsbehörden übernommen. Dieser Vorgang setzt wiederum die Zusammenarbeit mit der Organisation voraus, welche die jeweilige übergeordnete Domäne verwaltet.
3. Beseitigung von Schwachstellen und Schadsoftware auf den Ressourcen der Opfer.
Cyberangriffe betreffen oft gleichzeitig eine große Anzahl von Opfern, insbesondere Angriffe mit Schadsoftware, die darauf abzielen, viele Bots in ein Botnetz einzugliedern. Manche Botnetze bestehen aus Hunderttausenden korrumpierten Geräten. Diese Botnetze werden oft wiederum für Angriffe gegen eine möglichst große Zahl von Opfern verwendet.
Kooperieren die Hersteller der von einem Cyberangriff betroffenen Systeme, so kann man deren Mechanismus zur Behebung von Schwachstellen (Patch-Funktion) zur Beseitigung der Schadsoftware verwenden. Dadurch werden bei den Opfern zentral gesteuert die vom Angreifer installierte Schadsoftware gelöscht und die zur Installation genutzten Schwachstellen geschlossen. Auf diese Weise wurde im April 2022 das eingangs erwähnte Cyclops-Blink Botnetz abgeschaltet.
4. Eingriffe in für Angriffe genutzte Ressourcen.
Dieser Ansatz zur aktiven Cyberabwehr besteht darin, in von einem Angreifer genutzte Ressourcen – Endgeräte, Server, virtuelle Maschinen – einzugreifen. Kooperiert der Hersteller des Angreifersystems, so kann dieser beispielsweise schon während der Produktion oder später über die Patch-Funktion eine Hintertür in das Angreifersystem einbauen. Ein Beispiel für diesen Ansatz wurde im Jahr 2021 bekannt, allerdings nicht zur Cyberabwehr, sondern zur Abwehr von Drogenkriminalität: In der Operation „Trojan Shield“ wurde über eine Tarnfirma ein scheinbar sicheres Krypto-Handy an Kriminelle vermarktet. Tatsächlich konnten die Ermittler von FBI, Europol und der australischen Bundespolizei die Mobiltelefone problemlos abhören und so 800 Verdächtige festnehmen.
In diese Kategorie fällt prinzipiell auch der Ansatz, in Standards und Implementierungen von Verschlüsselungssystemen Hintertüren für die Strafverfolgungsbehörden, also bewusst Schwachstellen, einzubauen. In der Cybersicherheitsforschung wird dieser Ansatz durchweg als zu riskant abgelehnt, ebenso wie die gezielte Zurückhaltung von bislang unbekannten Schwachstellen („Zero-Days”) durch staatliche Stellen.
Aber auch ohne Hintertüren und Zero-Days kann in Systeme von Angreifern eingedrungen werden, etwa mittels Passwörter, die man auf andere Weise ermittelt oder im Darknet gefunden hat, durch Fehlkonfigurationen in Systemen und Protokollen, veralteter Kryptographie oder unter Ausnutzung von bekannten Schwachstellen in der Soft- und Hardware. Erfahrungsgemäß finden sich in fast allen Organisationen solche Probleme. Die Verwendung von „Zero-Days“, also Schwachstellen, die dem Hersteller nicht bekannt sind und die deshalb auch nicht gepatcht sein können, braucht es deshalb tendenziell gar nicht.
Ein aktuelles Beispiel für diesen Ansatz ist die Aktion des FBI gegen „Darkside“, jene Gruppe, die für den Ransomware-Angriff auf Colonial Pipeline im Jahr 2021 verantwortlich war. Dem FBI gelang es, das Passwort für das Bitcoin-Wallet der Angreifer zu bestimmen, und so einen großen Teil des Lösegeldes zurückzuholen. Diese Art von Maßnahmen erfordert im Allgemeinen eine sehr umfangreiche Vorbereitung und ist nur in sehr geringem Ausmaß automatisierbar.
Die nächsten Schritte zur aktiven Cyberabwehr
Aktive Cyberabwehr ist ein wichtiges Instrument zur Erhöhung der Cybersicherheit. Laufende Angriffe können abgewehrt und künftige verhindert werden. Aktive Cyberabwehr kann und soll die klassische Cybersicherheit nicht ersetzen, aber sie ist eine unverzichtbare Ergänzung. Manche Angriffe können nur mittels aktiver Cyberabwehr verhindert werden, da sie sich komplett außerhalb des Einflussbereichs der Opfer abspielen.
Um die Diskussion zur aktiven Cyberabwehr zu versachlichen, ist es wichtig, sich zu vergegenwärtigen, dass es in der aktiven Cyberabwehr einzig darum geht, Straftaten im Cyberraum zu vereiteln und zu verfolgen, nicht Angriffe auf Einrichtungen eines fremden Staates zur Vergeltung oder Abschreckung durchzuführen.
Der Begriff „Hackback“ passt gut zu Vergeltung; dass er in der Diskussion oft mit dem Begriff der aktiven Cyberabwehr gleichgesetzt wird, führt aber in die Irre. Manche Methoden der aktiven Cyberabwehr können auch militärisch genutzt werden, auch für die sogenannten Hackbacks. Diese Dual-Use-Problematik ist aber aus vielen Technologien der Informatik und insbesondere der Cybersicherheit bekannt. Dual-Use bedeutet nicht, dass ein Staat auf eine Technologie oder Maßnahme verzichten sollte, sondern dass er den Einsatz entsprechend regulieren und kontrollieren muss.
Begründete Vorwürfe gegen Cyberabwehr?
In vielen Diskussionen wird aktive Cyberabwehr reduziert darauf, Schwachstellen in IT-Systemen auszunutzen, um in angreifende Server einzudringen. Es gibt viele gute Argumente, weshalb der Staat ihm bekannte „Zero-Day“-Schwachstellen stets den Herstellern melden und dadurch unterstützen sollte, dass sie diese schnell schließen. Diese Feststellung hat aber mit aktiver Cyberabwehr nur sehr wenig zu tun – denn die meisten Maßnahmen der aktiven Cyberabwehr benötigen überhaupt keine Schwachstellen.
Ein häufiger, pauschaler Einwand gegen aktive Cyberabwehr besteht schließlich darin, dass neben dem Angreifer auch unbeteiligte andere Nutzer getroffen werden könnten. Richtig ist, dass die Risiken immer gegeneinander abgewogen werden müssen.
Was braucht es nun, um in Deutschland eine Strategie zur aktiven Cyberabwehr zu entwickeln und umzusetzen?
Zum einen braucht es eine sachliche Diskussion, welche Methoden aktiver Cyberabwehr prinzipiell gewollt sind, und eine enge Zusammenarbeit zwischen den Behörden, Herstellern, Netzbetreibern und der Cybersicherheitsforschung. Die Koordination dieser Zusammenarbeit gehört zu den Aufgaben des Bundesamts für Sicherheit in der Informationstechnik (BSI), die Aufgaben betreffen aber auch etwa die Kriminal- und Verfassungsschutzämter sowie die Staatsanwaltschaften des Bundes und der Länder. Darüber hinaus ist eine internationale Abstimmung notwendig, da Maßnahmen aktiver Cyberabwehr sehr häufig grenzüberschreitend umgesetzt werden müssen. Es braucht also auch internationale Abkommen und Prozesse.
Zweitens braucht es sehr viel technischen Sachverstand – die aktive Cyberabwehr war bislang in Deutschland eher Gegenstand politischer und juristischer, aber kaum technischer Forschung. Hier herrscht hoher Nachholbedarf. Dies betrifft die Entwicklung gezielter Methoden gegen verschiedene Angriffsszenarien wie auch die Risikobewertung konkreter Maßnahmen. Beispielsweise bergen Eingriffe in die Internet-Infrastrukturen oft das Risiko unerwünschter Seiteneffekte, die letztlich nur durch umfangreiche Simulationen abgeschätzt werden können.
Drittens müssen, um Angriffe abwehren zu können, diese möglichst frühzeitig erkannt und lokalisiert werden. Oft passiert die Erkennung innerhalb weniger Stunden, nach Schätzung des Unternehmens Mandiant dauert dies aber im weltweiten Durchschnitt 21 Tage. Je kürzer diese Zeit ist, desto effektiver wird auch die aktive Cyberabwehr. Viertens erfordern viele der oben genannten Maßnahmen Prozesse über mehrere Organisationen hinweg, die man proaktiv vorbereiten muss. Die Entscheidung, die Maßnahmen durchzuführen, muss aber natürlich individuell, unter Abwägung der Risiken und nach einem rechtsstaatlichen Verfahren getroffen werden.
Der Koalitionsvertrag der Bundesregierung kündigt eine Weiterentwicklung der Cybersicherheitsstrategie an. Auch die Koalition lehnt Hackbacks als Mittel der Cyberabwehr ab. Es ist aber wichtig zu klären, welche Mittel der aktiven Cyberabwehr genutzt werden sollen, und die Entwicklung dieser Mittel voranzutreiben. Äußerungen der Bundesministerinnen Faeser und Baerbock lassen hoffen, dass die Bundesregierung Fortschritte in dieser Richtung machen möchte, sowohl national als auch international.
Dieser Beitrag basiert teilweise auf dem Artikel „Der Weg zur aktiven Cyberabwehr”, erschienen in der "Frankfurter Allgemeinen Zeitung" am 25. April 2022. Eine erweiterte und auch künftig aktualisierte Version wurde als ATHENE Technical Report veröffentlicht.
Haya Shulman ist Professorin für Cybersicherheit am Institut für Informatik der Goethe-Universität Frankfurt, Abteilungsleiterin am Fraunhofer-Institut für Sichere Informationstechnologie SIT und Koordinatorin des Forschungsbereichs Analytics-based Cybersecurity im Nationalen Forschungszentrum für angewandte Cybersicherheit ATHENE.
Michael Waidner ist Professor für Sicherheit in der Informationstechnologie am Fachbereich Informatik der Technischen Universität Darmstadt, Leiter des Fraunhofer-Instituts für Sichere Informationstechnologie SIT und CEO des Nationalen Forschungszentrums für angewandte Cybersicherheit ATHENE.
In unserer Reihe „Perspektiven“ ordnen unsere Kolumnist:innen regelmäßig aktuelle Entwicklungen, Trends und Innovationen im Bereich Cybersicherheit ein. Zuvor von Haya Shulman und Michael Waidner im Background Cybersicherheit erschienen: Der Uber-Hack und was wir von ihm lernen können
