Kolumne : Wer das Internet kontrolliert, kontrolliert die Angreifer

Am 24. Februar begann Russland einen Krieg gegen die Ukraine. Die physische Invasion wurde schon im Vorfeld und wird auch jetzt durch Cyberangriffe unterstützt, gegen ukrainische Einrichtungen wie kritische Infrastrukturen, Banken, Kommunikationsnetze, Regierungsstellen und das Militär. Die USA bestätigten, dass die beobachteten Cyberangriffe tatsächlich aus Russland stammen. Das Ziel Russlands war, durch eine umfassende Störung der digitalen Infrastruktur Chaos zu stiften und die Verteidigungsfähigkeit der Ukraine zu schwächen. Gezielte Angriffe russischer Hackergruppen auf die Ukraine haben eine lange Geschichte. Dank der über Jahre eingebauten Hintertüren konnte Russland nun sehr schnell und sehr effektiv sein Nachbarland auch im Cyberraum angreifen. Der Verdacht liegt nahe, dass dieser Krieg zumindest im Cyberraum schon seit Jahren geplant und vorbereitet wurde.

Welche Auswirkung wird der Krieg auf die Cybersicherheit in Deutschland haben?

Sehr wahrscheinlich werden wir auch in Deutschland eine massive Zunahme an Cyberangriffen sehen. Das kann, wie die Erfahrung der letzten Jahre zeigt, alle Sektoren betreffen, etwa Parlamente und Behörden, Gerichte, Industrieunternehmen, Banken, Kommunen, Stadtwerke, Forschungseinrichtungen und natürlich auch uns als Privatpersonen. Die russischen Cyberangriffe auf die Ukraine können unbeabsichtigt auch Deutschland treffen, wie das schon 2017 bei NotPetya der Fall war, einer Schadsoftware – wahrscheinlich russischen Ursprungs – mit Ziel Ukraine. Zu erwarten ist zudem, dass Russland auf den internationalen Druck, also Sanktionen und wirtschaftliche und politische Isolierung, vermehrt mit staatlich unterstützten Cyberangriffen, Cyberspionage und Desinformations-Kampagnen antworten wird. Auch kriminelle Hackergruppen werden vermehrt Cyberangriffe gegen Einrichtungen in Europa und Amerika durchführen. Die Lebensverhältnisse in Russland verschlechtern sich, und wer Ziele in Europa und Amerika angreift, muss die russische Strafverfolgung vermutlich wenig fürchten.

Es zeichnen sich auch die ersten Konflikte innerhalb der Hacker-Szene ab, etwa zwischen der Russland-nahen Conti-Gruppe, die bei Cyberangriffen auf Russland Vergeltung androhte, und einem ukrainischen Hacker, der wiederum detaillierte interne Diskussionen der Conti-Gruppe veröffentlichte. Cybersicherheitsbehörden weltweit warnen bereits vor all diesen Gefahren, z.B. schon im Januar die US-Cybersicherheitsbehörde CISA. Auch BSI und Verfassungsschutz warnen insbesondere vor dem Risiko durch Kollateralschäden.

Welche Rolle spielt hierbei das Internet? 

Fast alle Cyberangriffe nutzen es in zentrale Weise. Dabei gibt es zwei Aspekte.

Aspekt 1: Das Internet ist oft selbst ein Angriffsziel. Um ihre Opfer zu erreichen, greifen Cyberangreifer oft in das Routing des Internets ein, so dass Nachrichten von und zu den Opfern über den Angreifer geleitet werden. Zentrale Angriffselemente sind das Routing an sich, etwa BGP Prefix Hijacks, und das Domain Name System, DNS Cache Poisoning. Solche Hijacks kommen jedes Jahr hundertfach vor; ein sehr bekanntes Beispiel war 2013 die Umlenkung des Verkehrs zu Behörden und Firmen in den USA über Server in Belarus, Russland und Island. Die Verkehrsumleitung ist natürlich kein Ziel an sich, sondern ermöglicht komplexere Angriffe, von Cyberspionage über die Verteilung von Schadsoftware und nahezu unerkennbaren Phishing-E-Mails bis hin zum Stehlen von Kryptowährung. Selbst das Fälschen von Web-Zertifikaten, wie sie für TLS/SSL verwendet werden, ist möglich, was letztlich zeigt: ohne Internet-Sicherheit kann man auch keine Anwendungen absichern.

Die Absicherung des Internet-Routings ist deshalb eines der wichtigsten aktuellen Forschungsthemen in der Cybersicherheit, auch für meine eigene Forschungsgruppe in ATHENE. Standards zur Absicherung von DNS und BGP, DNSSEC und RPKI, existieren schon seit langem und ihre Verbreitung nimmt in den letzten Jahren rasant zu. In einer Reihe von Forschungsarbeiten konnten wir allerdings zeigen, dass die üblichen Installationen von DNSSEC und RPKI grundlegend unsicher sind. Cyberangreifer können über das Internet beide Sicherheitsprotokolle in den Netzen großer Betreiber abschalten. Oft kann dies so geschehen, dass die Betroffenen überhaupt nicht bemerken, dass sie schutzlos sind. Sind die Schutzmaßnahmen erst abgeschaltet, kann ein Angreifer die IP-Blöcke und Domains kapern und für seine Angriffe verwenden.

Wie kann man diese Probleme des Internets lösen?

Darauf gibt es leider keine kurzfristig umsetzbare Antwort, und insbesondere keine, die alle gefundenen Probleme gleichzeitig beheben würde. Wir arbeiten intensiv mit Betreibern, Herstellern und der Standardisierung daran, Lösungen zu erarbeiten. Unsere Forschung in ATHENE ist in diesem Forschungsgebiet weltweit führend. Es braucht aber sehr viel mehr Forschung zu diesem Thema, in Deutschland und auch weltweit. Dies wird auch in den USA so gesehen; am 25. Februar veröffentlichte die Vorsitzende der Federal Communications Commission (FCC) einen entsprechenden Aufruf.

Aspekt 2: Wer das Internet kontrolliert, kontrolliert die Angriffe. Ohne Zugriff auf das Internet kann kaum ein Cyberangriff gelingen. DDoS-Angriffe, Bot-Netze, die Verteilung von Schadsoftware über manipulierte Webseiten – das alles setzt voraus, dass die Cyberangreifer kommunizieren und ihre Infrastruktur kontrollieren können. Eine effektive Methode zur Cyberabwehr besteht deshalb darin, die IP-Adressblöcke und Internet-Domains, von denen Angriffe ausgehen, vom Internet abzuhängen. Solche prefix and domain takedowns finden in der Praxis tatsächlich statt, z.B. 2011 in den Niederlanden.

Das eigentliche Problem bei dieser Methode besteht allerdings darin zu entscheiden, was genau man abschalten soll, und wie man unerwünschte Kollateralschäden vermeiden kann. Würde man ganz Russland vom Internet abhängen, hätte man auch sämtliche russischen APT-Gruppen ausgeschaltet, zumindest größtenteils und zumindest für einige Zeit. Aber gleichzeitig würde man auch die russischen Bürger von der Welt abhängen, was kaum in unserem Interesse sein kann. Aktive Cyberverteidigung muss man mit Bedacht einsetzen, aber sie ist ein wichtiges und oftmals das einzig wirksame Instrument.

Die Absicherung des Internets und das Blockieren von Angriffen im Internet alleine genügen allerdings nicht. Neben der Kommunikation müssen auch Identitäten, Daten und Anwendungen geschützt werden. Der meiner Meinung nach vielversprechendste Ansatz hierfür sind Zero-Trust-Architekturen (ZTA), wie ich sie schon in meiner letzten Kolumne beschrieben habe.

Haya Shulman ist Professorin für Informatik an der Goethe-Universität Frankfurt, Abteilungsleiterin am Fraunhofer-Institut für Sichere Informationstechnologie und Koordinatorin des Forschungsbereichs Analytics-based Cybersecurity im Forschungszentrum ATHENE. 

In unserer Reihe „Perspektiven“ ordnen unsere Kolumnist:innen regelmäßig aktuelle Entwicklungen, Trends und Innovationen im Bereich Cybersicherheit ein. Zuvor von Haya Shulman im Background Cybersicherheit erschienen: Was bringt Zero Trust?