Cyberkrieg (Cyberwar) : Auf der Schwelle zum heißen Cyber-Krieg?

Russlands Warnung vor direkten militärischen Zusammenstößen ist die jüngste Eskalation des Krieges, der sowohl militärisch als auch im Cyberspace geführt wird. Die Warnung erfolgte als Reaktion auf den Hack einer Website des russischen Wohnungsbauministeriums. Eine Internetsuche nach der Website führte zu einem „Slava Ukraini“-Slogan – auf Deutsch so viel wie „Ruhm der Ukraine“. Die Nachrichtenagentur Reuters hatte darüber hinaus eine Quelle aus dem russischen Außenministerium zitiert, die eine Zunahme der Cyberattacken auf russische Infrastrukturen im Mai bestätigt hatte und die Urheber in Richtung USA und Ukraine vermutete.

In den letzten sechs Monaten wurden wir Zeuge mehrerer Cyberangriffe auf die Ukraine, als Teil der hybriden Kriegsführung. Russland demonstrierte seine militärischen Cyber-Muskeln bereits im Januar mit den Cyberangriffen auf mehrere ukrainische Regierungswebseiten. Diese Art von „Cyberbrandstiftung“ ist in die gleiche Kategorie der politischen Provokation einzuordnen, wie beispielsweise Nordkoreas öffentlichkeitswirksame Raketentests. Die Absicht ist dieselbe – es soll die klare Botschaft vermittelt werden, dass Cyberwaffen eingesetzt werden können. Die russische Regierung verfolgt dabei zwei Ziele: Wirtschaftliches Chaos in Europa sowie die Verbreitung von Misstrauen und Unzufriedenheit.

Cyber-Raketen wurden bereits gezündet

Ein Beispiel für eine solche Cyberwaffe ist die inzwischen bekannt gewordene „HermeticWiper“. Sie gab vor, für das in Zypern ansässige Unternehmen „Hermetica Digital“ zertifiziert zu sein. Es gibt keine Beweise dafür, dass dieses digitale Zertifikat von diesem Unternehmen verwendet wird. Stattdessen deutet alles darauf hin, dass es über eine Scheinfirma erworben wurde, möglicherweise speziell für diesen Angriff gegründet. Der Einsatz von Zertifikaten war bereits 2010 bei dem Cyberangriff Stuxnet auf die iranische Urananreicherungsanlage in Natanz nachgewiesen worden. Digitale Zertifikate und kryptografische Schlüssel sind die Grundlage für Maschinenidentitäten, das Äquivalent zu digitalen Identitäten, die Personen zugeordnet werden und aus Passwort und Benutzernamen besteht. Maschinenidentitäten können Geräte wie Smartphones, IoT, IIoT, Code-Signing oder aber Workloads wie Container, virtuelle Maschinen oder ähnliche Dienste sein. Zwei dieser Maschinenidentitäten waren gestohlen und vier Zero-Day-Exploits für die Infiltration der Steuerungssysteme eingesetzt worden.

Das Zertifikat, das bei HermeticWiper für den Cyber-Angriff auf die Ukraine genutzt wurde, ist ein perfektes Beispiel dafür, wie Code-Signing-Zertifikate von Angreifern erlangt und missbraucht werden. Die Verwendung von Code-Signing-Maschinenidentitäten ermöglicht es Angreifern, von anderen Maschinen als vertrauenswürdig eingestuft zu werden. In diesem Fall ermöglicht das, Daten zu löschen und Geräte, die das Windows-Betriebssystem verwenden, funktionsunfähig zu machen. Diese Art von Angriffen auf das Identitäts- und Authentifizierungssystem, das die Kommunikation von Maschine zu Maschine ermöglicht, kommt immer häufiger vor und kann zum dauerhaften Verlust wichtiger Daten und zur Unterbrechung wichtiger Dienste führen. Das macht sie besonders gefährlich.

Verifone-Fehler als Warnung an die Deutschen

Ebenfalls durch ein Code-Signing-Zertifikat, also eine Maschinenidentität bedingt, war der Vorfall bei den Hardware-Geräten des Typs H5000, die in zahlreichen deutschen Supermarkt-, Discounter- und Drogerieketten und andere Läden eingesetzt werden. Die Ausfälle dauerten bis zu einer Woche und Millionen Deutsche konnten nicht mit ihrer EC-Karte, sondern mussten mit Bargeld bezahlen. Hier war ein Fehler in einem Zeitstempel schuld, kein Cyberangriff. Doch so ein technisches Problem könnte von Cyberangreifern leicht entdeckt und als Waffe genutzt werden. Der Fall zeigt also die Abhängigkeit von digitalen Geschäftsprozessen und der kritischen Infrastruktur – und macht anschaulich, wie verwundbar auch die Wirtschaft in der Bundesrepublik für einen Cyberangriff ist. Ein wirtschaftliches Chaos in Europa würde den russischen Bestrebungen genau in die Karten spielen.

Die Cyber-Lage ist ernst – ein Weckruf für die Geschäftsführung

Für IT-Sicherheitsfachleute bedeutet dies, dass Cyberangriffe und direkte militärische Angriffe in modernen Konflikten mittlerweile als ein und dasselbe angesehen werden. Die Geschäftsführung muss Maßnahmen ergreifen, um sich zu verteidigen, denn niemand sonst wird ihr Unternehmen und deren Kunden schützen. Das ist die Realität eines heißen Krieges. Nur die Unternehmen selbst können sich verteidigen.

Cybersicherheitsfachleute sind spätestens seit Ende Februar alarmiert, doch mit der zunehmenden Diversifizierung der Unternehmensrisiken durch eine schwierige Wirtschaftslage, zurückhaltende Investitionen und Verbraucherverhalten sowie nicht zuletzt Lieferprobleme, geriet die Cybersicherheit leider wieder in Vergessenheit. Genau das macht die russische Drohung so gefährlich. Sie ruft in Erinnerung, dass die Cybereskalation nicht vom Tisch ist, sondern ein bereits im Einsatz befindliches Instrument der Kriegsführung ist. Anders als im Kalten Krieg des 20. Jahrhunderts gibt es mit dem Cyberraum nun eine neue Ebene. Dort können Akteure wie China, Russland oder Nordkorea verdeckte Operationen durchführen, ohne international direkte Sanktionen fürchten zu müssen. In einer Umfrage gaben abseits der US-amerikanischen Cybersicherheitskonferenz RSA 64 Prozent der dort befragten IT-Sicherheitsverantwortlichen an, dass sie sich aus ihrer Perspektive bereits in einem Cyberwar befinden.

Die Verteidigung gegen staatlich unterstützte Cyberangriffe ist schwierig. Diese Gruppen (Advanced Persistent Threat genannt) sind oft gut finanziert, hoch entwickelt und in der Lage, neue Wege für Angriffe auf Netzwerke zu finden. Unternehmen müssen proaktiv und nicht reaktiv vorgehen, um ihre Cybersicherheit zu gewährleisten. Eine Möglichkeit, Angriffe abzuwehren, besteht darin, die Angriffsfläche zu verringern und abzusichern. Je mehr anfällige Geräte in einem Netzwerk im Einsatz sind, desto größer ist die Chance für Angreifer, ein solches Gerät zu finden und zu kapern.

Oft werden diese Angriffe durch die Verwendung gestohlener Code-Signing-Maschinenidentitäten ermöglicht. Bedrohungsakteure kapern diese Identitäten, um ihre eigene bösartige Software als legitim auszugeben. Dies ist der Schlüssel für die Durchführung verheerender Angriffe, denn dieser Bereich ist immer noch ein blinder Fleck in der Sicherheitslandschaft vieler Unternehmen. Um dies zu bekämpfen, müssen Unternehmen einen Überblick über ihre Umgebungen haben, Veränderungen erkennen und schnell reagieren. Ohne ein effektives Management beider Identitäten werden APT-Gruppen erfolgreiche Angriffe durchführen. Unternehmen müssen sich darauf vorbereiten.

Kevin Bocek ist VP Security Strategy & Threat Intelligence bei Venafi. Das Cybersicherheitsunternehmen hat sich unter anderem auf die Entwicklung sicherer Maschinenidentitäten und -zertifikaten spezialisiert.