Vor dem Hintergrund des russischen Angriffskriegs gegen die Ukraine stellt sich die deutsche Außen-, Sicherheits-, und Verteidigungspolitik in vielen Bereichen die Frage, was jetzt zu tun sei. Bereits in einer ihrer ersten Aussagen sprach Außenministerin Annalena Baerbock (Grüne) auch das Thema Cybersicherheit direkt an und sicherte der Ukraine sogar die Entsendung von „Cyberspezialist:innen” zu.
Es ist ein Novum der deutschen Cybersicherheitspolitik, dass dem Thema so große Bedeutung in einem derartigen Konflikt zukommt. Leider haben die darauf folgenden Wochen gezeigt, wie ideenlos die Bundesregierung, vor allem die Ministerien und deren nachgeordneten Bereiche, dabei sind, gute Lösungen anzubieten.
Deutschlands Strategiefähigkeit bei Cybersicherheitspolitik
Es lässt sich darüber streiten, ob der Angriffskrieg Russlands einen direkten Handlungsbedarf für die deutsche Bundesregierung beim Thema Cybersicherheit im eigenen Land generiert. Denn eigentlich sollte Deutschland immer auf Cyberoperationen, Kollateralschäden und Spillover-Effekte im Cyberraum vorbereitet sein und zumindest die Behörden, die Kritischen Infrastrukturen und die Unternehmen im besonderen öffentlichen Interesse ausreichend schützen.
Teil der Wahrheit ist jedoch auch, dass internationale Katastrophen und Konflikte einen Handlungsdruck auf die Regierung generieren und gleichzeitig ein „Window of Opportunity“ öffnen. Anstatt bedacht zu agieren und zu überlegen, ob und wenn ja welche Maßnahmen sinnvoll sein könnten, griffen manche direkt in das oberste Regal des Policy-Giftschranks: Der Hackback solle nun endlich kommen! Aus dem Innenministerium hieß es jedoch ein paar Wochen später unmissverständlich: „Ich habe keine Hackback-Pläne“.
Die derzeitige Debatte zeigt leider jedoch auch einmal mehr die deutsche Strategieunfähigkeit beim Thema Cybersicherheitspolitik, wo Gesetze nicht evaluiert, Strategien kurz vor der Wahl veröffentlicht werden und Innen- und Außenministerium separat in einer Krise Cybersicherheitspolitik betreiben wollen. Fairnesshalber muss man das vor allem den vergangenen beiden Legislaturen und nicht nur der aktuellen Bundesregierung zur Last legen.
Mit Threat Hunting vor die Lage kommen
Was aber steckt, abgesehen von Partikularinteressen zum Beispiel der Sicherheitsbehörden, die ihre Chance auf weitere Befugnisse wittern, hinter der gerade jetzt wiederholten Forderung nach Hackbacks?
Der Gedankengang, dass Deutschland nicht nur abwarten sollte, ist durchaus legitim und fügt sich nahtlos in aktuelle außen- und verteidigungspolitische Debatten ein, die eine aktivere Rolle Deutschlands diskutieren. Wir müssen endlich „vor die Lage kommen“. Aber wenn nicht mit Hackbacks, wie dann?
Zum Beispiel mit der aktiven Bedrohungssuche – Threat Hunting – in IT-Infrastrukturen deutscher Behörden, Kritischer Infrastrukturen und Unternehmen im besonderen öffentlichen Interesse. Threat Hunting bezeichnet das anlasslose aktive Suchen nach einer bereits erfolgten Kompromittierung, zum Beispiel durch das Vorhandensein von Schadsoftwarekomponenten, verdächtiger Netzwerkkommunikation oder unplausiblen Verhalten von IT-Systemen.
Es ist damit der tatsächlichen Vorfallsbearbeitung (Incident Response) vorgelagert – löst sie möglicherweise aus – und steht komplementär zum Penetration Testing, bei dem nach dem Vorhandensein von Schwachstellen gesucht wird. Findet man eine solche Kompromittierung, kann man die Cyberoperation neutralisieren, ohne dass sie den geplanten Effekt (weiter) entfalten kann.
Des Weiteren können so umfassende Informationen über die Kompromittierung und die dahinter stehenden Akteure gesammelt werden, um weiteren Operationen zuvorzukommen. Obwohl Threat Hunting manchmal noch mehr als Kunst, und nicht als Wissenschaft verstanden wird, sind Teile von Threat Hunts mittlerweile mit Best Practices hinterlegt und können durch technische Lösungen gestützt und automatisiert werden. Eine Grundvoraussetzung ist jedoch, dass Threat Hunting ein tiefgreifendes Verständnis der zu analysierenden IT-Infrastruktur erfordert. Vor allem dann, wenn es in Nicht-Standard-IT-Systemen, wie industriellen Steueranlagen, zum Einsatz kommt.
Cyberoperationen neutralisieren bevor sie Schaden verursachen
Threat Hunting könnte für eine verbesserte IT-Sicherheit sorgen, da gerade im Bereich der (militärischen) Geheim- und Nachrichtendienste vorbereitende Maßnahmen, wie das Eindringen in Systeme und Aufbringen von Schadsoftware oder das Einbauen von Hintertüren, für die spätere Nutzung - das sogenannte „preparing the battlefield” – durchgeführt werden. Seit vielen Jahren gibt es zum Beispiel Anhaltspunkte dafür, dass wesentliche kritische Infrastrukturen weltweit bereits kompromittiert sind. Militärische und nachrichtendienstliche Operationen im Cyberraum sind aufwendig und der Vorlauf kann Monate oder Jahre dauern.
Auch bei kriminellen Aktivitäten liegen zwischen der initialen Kompromittierung der IT-Systeme und dem Erzielen des Effekts, dem Ausrollen und Aktivieren der Ransomware, manchmal Monate. Das liegt sowohl an der Arbeitsteilung der Organisierten Kriminalität als auch an den langen Ziellisten, die die Kriminellen abarbeiten. Ebenso haben sich inzwischen kriminelle Gruppen, sogenannte Initial Access Broker, auf das Sammeln und Aufrechterhalten von Zugängen in die IT-Systeme von Unternehmen spezialisiert, die sie an den Höchstbietenden verkaufen.
Nachrichtendienstliche Operationen auf der anderen Seite sind darauf angelegt, keinen auffälligen Effekt in den Systemen zu verursachen. Sie sollen persistent sein und nachrichtendienstlich-relevante Informationen über einen möglichst langen Zeitraum liefern. Auffallen schadet dabei nur.
Der Zeitraum zwischen Kompromittierung und Effekt, ob bei militärischen, nachrichtendienstlichen oder kriminellen Aktivitäten, kann zum Threat Hunting und zur Neutralisierung, sowie zur Informationsgewinnung, zum Beispiel durch Schwachstellen- und Schadsoftwareanalyse, genutzt werden. Es handelt sich hierbei keineswegs um ein neues Thema, größere Unternehmen und Behörden, denen IT-Sicherheit wichtig ist, beschäftigen sich schon seit längerer Zeit mit Threat Hunting in ihren eigenen IT-Infrastrukturen. Die Frage ist jedoch, inwiefern staatliche Stellen dieses Instrument einsetzen und/ oder den Einsatz der Maßnahmen durch Dritte unterstützen können.
Wie Threat Hunting der Uniklinik Düsseldorf hätte helfen können
Die Erpressung der Uniklinik Düsseldorf durch Cyberkriminelle mit Ransomware ist eine gute Veranschaulichung dafür, wann Threat Hunting bei Kritischen Infrastrukturen geholfen hätte. Die IT-Systeme der Uniklinik Düsseldorf wurden mit einer Hintertür versehen, die erst über ein halbes Jahr später zum Ausrollen von Ransomware genutzt wurde. Dagegen hatte die Uniklinik nichts unternommen, obwohl vom Bundesamt für Sicherheit in der Informationstechnik (BSI) direkt darauf hingewiesen worden war. Ein Threat-Hunting-Team hätte aktiv nach der Ausnutzung der Schwachstelle und entsprechender Kompromittierung gesucht und den Zugriff der Kriminellen entfernt, bevor diese ihre Ransomware hätten aktivieren können. Vermutlich gab es dafür aber weder ausreichend Fachkräfte, noch finanzielle Ressourcen bei der Organisation. Und eine staatliche Stelle, die dabei unterstützt, ist bisher auch noch nicht in Erscheinung getreten. Selbst wenn es diese Stelle gegeben hätte, hätte die Uniklinik selbst IT-Fachpersonal haben müssen, dass die IT-Infrastruktur im Detail versteht und das externe Threat-Hunting-Team bei der Bewertung unterstützt.
Bündelung staatlicher Fähigkeit zum aktiven, priorisierten Threat Hunting
Im Rahmen des russischen Angriffskrieges wird aktuell darüber debattiert, was der Staat tun kann, um die Cybersicherheit in Deutschland zu verbessern. Ist also staatlich-organisiertes Threat Hunting eine mögliche Lösung?
Dem Staat, vor allem dem BSI, kommt bei der Cybersicherheit der Behörden und Kritischen Infrastrukturen in Deutschland eine herausgehobene Bedeutung zu. Diese Behörde wäre daher auch die erste Anlaufstelle für staatliches Threat-Hunting-Teams. Analog zu den Mobile Incident Response Teams, würden die Threat-Hunting-Teams Behörden, Kritische Infrastrukturen und bei weiteren „herausgehobene Fällen“ unterstützen können. Die Fachexpertise, zum Beispiel im Bereich industrielle Steueranlagen, liegt bereits im BSI vor. Jedoch ist jede IT-Infrastruktur in diesem Bereich einzigartig und bedarf ausreichender Einarbeitungszeit. Weiterhin wäre zu prüfen, welche weitere Expertise nötig wäre, um parallel mehrere solcher Teams einsetzen zu können.
Während das BSI dafür prädestiniert ist, die technische Arbeit zu leisten, müssten gegebenenfalls andere Behörden die Priorisierung vornehmen, da wegen des Fachkräftemangels dem effektiven und effizienten Einsatz eine zentrale Rolle zukommt. Im Bereich der Energieversorgung könnte dies die Bundesnetzagentur sein. Darüber hinaus sind militärische und nachrichtendienstliche, aber vor allem auch Erkenntnisse aus dem Threat Intelligence Bereich der IT-Wirtschaft elementar, um die Ressourcen sinnvoll einzusetzen. Nur so kann gewährleistet werden, dass man böswilligen Akteuren einen Schritt voraus sein kann.
Zur Koordinierung und Abstimmungen der unterschiedlichen Akteure bräuchte es eine zentrale Plattform für den Einsatz und den Informationsfluss des staatlich-organisierten Threat Huntings. Das Nationale Cyberabwehrzentrum könnte in diese Richtung entwickelt werden – vor allem vor dem Hintergrund, dass die Bundesregierung die Cybersicherheitsarchitektur ohnehin „modernisieren und harmonisieren“ möchte. Gleichzeitig könnte es dann als internationaler Ansprech- und Austauschpartner für ähnliche Operationen von Partnern wie den Vereinigten Staaten und Australien fungieren.
Eine große Herausforderung ist wie bereits skizziert, dass Threat Hunting sehr ressourcen- und einarbeitungsintensiv ist, vor allem als Daueraufgabe, und IT-Sicherheit eigentlich dem Subsidiaritätsprinzip folgen soll. Heißt: Jede Organisation muss sich selbst bestmöglich schützen, auch mit Threat Hunting, und nur im Ausnahmefall unterstützt der Staat hier. Das bedeutet, dass staatliche Threat-Hunting-Teams allenfalls punktuell unterstützen könnten und nur dort wo IT-Fachpersonal vorhanden ist, was mit dem Teams zusammenarbeiten kann.
Es wäre daher vor allem wichtig von staatlicher Seite aus skalierbare Unterstützung wie Werkzeuge, gesammelte und kuratierte Threat Intelligence und Listen qualifizierter Dienstleister bereitzustellen, damit es Betreibern von IT-Infrastrukturen einfacher gemacht wird Threat Hunting einzusetzen. Gleichzeitig könnten rechtliche Vorgaben zum Einsatz von Threat Hunting geschaffen werden, sobald ausreichende Unterstützung vorhanden ist.
Threat Hunting als politische Antwort in der aktuellen Situation?
Die Befähigung deutscher Behörden zum Durchführen und Unterstützen von Threat Hunting in eigenen und darüber hinausgehenden IT-Systemen, wie denen der Kritischen Infrastrukturen, stellt eine Maßnahme da, die den Instrumentenkasten der staatlichen Sicherheitsvorsorge erweitern würde. Sie ermöglicht weiterhin aktives Handeln, das die Cybersicherheit in Deutschland direkt erhöhen würde – also genau so eine Maßnahme wie sie derzeit in der Politik mit Hinblick auf den russischen Angriffskrieg in der Ukraine und die Sicherheit des Cyberraums in Deutschland händeringend gesucht wird. Es handelt sich dabei aber nur um eine von wahrscheinlich vielen Ideen, die Deutschland verfolgen könnte, wenn es eine kohärente und strategische Cybersicherheitspolitik betreiben würde.
