Cyber-Security - Adlas - Magazin für Sicherheitspolitik
Cyber-Security - Adlas - Magazin für Sicherheitspolitik
Cyber-Security - Adlas - Magazin für Sicherheitspolitik
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
AUFRÜSTUNG<br />
behalten sich deshalb in einseitigen Erklärungen das Recht auf konventionelle<br />
militärische Reaktionen vor, ohne näher einzugrenzen, ab wann Angriffe<br />
gegen ihre IT-Systeme als <strong>Cyber</strong>attacke angesehen und wie die sehr<br />
unterschiedlichen Techniken von Angriffen bewertet werden.<br />
Eine Möglichkeit, <strong>Cyber</strong>krieg von Phänomenen der <strong>Cyber</strong>kriminalität zu<br />
differenzieren, ist die Analyse der technologischen Qualität der bisher entdeckten<br />
staatlichen Malware und deren Einsatz. Die Untersuchung zeigt,<br />
dass eine Unterscheidung auf dieser Ebene weniger in den einzelnen Infektions-,<br />
Verbreitungs- und Verschleierungstechniken besteht, als vielmehr in<br />
der Qualität, der Integration der unterschiedlichsten Methoden und dem<br />
Entwicklungsaufwand, um eine Malware auf Ziel und Zweck auszurichten.<br />
Hinzu kommt die mögliche Unterstützung durch Nachrichtendienste.<br />
Die erste Malware, die vor diesem Hintergrund für Aufsehen sorgte, war<br />
das im Juni 2009 entdeckte »Stuxnet«, dessen Hauptzweck in der verborgenen<br />
Manipulation und Sabotage von Industriesteuerungsanlagen iranischer<br />
Urananreicherungszentrifugen bestand. Derartige kritische Computer- und<br />
Industrieanlagen werden aus Sicherheitsgründen in aller Regel vom Internet<br />
entkoppelt um einen unbefugten Zugriff zu unterbinden. Dieser sogenannte<br />
»Air-Gap« wurde bei Stuxnet vermutlich mit Hilfe eines infizierten USB-<br />
Sticks überwunden. Bei diesem, auch aus dem Bereich der klassischen <strong>Cyber</strong>kriminalität<br />
bekannten Angriffsmuster, wird ein USB-Stick gezielt platziert,<br />
DIGITALE ZERTIFIKATE<br />
sind mit einem Ausweis vergleichbar, der von dazu berechtigten Instanzen ausgestellt<br />
und mittels geeigneter Technik, in diesen Fall kryptografische Verfahren,<br />
gegen Fälschungen gesichert wird. Digitale Zertifikate werden zum Beispiel<br />
von Betriebssystem-Herstellern an externe Software-Anbieter verteilt, die ihre<br />
Programme damit signieren. Auf Seiten des Anwenders wird anhand dieser Signaturen<br />
bei Betriebssystem-kritischen Installationen die Authentizität und Integrität<br />
des zu installierenden Programms geprüft um Manipulationen durch<br />
heimlich eingeschleusten Schadcode zu erkennen und auszuschließen. Digitale<br />
Zertifikate werden aber auch bei Zugriffen auf kritische Systeme wie Online-<br />
Bankkonten verwendet, um die Authentizität des Servers zu garantieren.<br />
um beispielsweise einen Mitarbeiter zur unabsichtlichen Infektionen durch<br />
den als »verloren aufgefundenen« Stick zu bewegen. Andere Wege bestehen<br />
in der Infektion bei physischen Zugriffsmöglichkeiten wie Flughafenkontrollen<br />
oder klassischen Geheimdienstoperationen, bei denen beispielsweise<br />
Mitarbeiter der Anlagen für die Infiltration eingesetzt werden.<br />
Die eigentliche Infektion des Computers mit Stuxnet erfolgte durch Einstecken<br />
des USB-Sticks, wobei zwei Zero-Day-Exploits der Microsoft<br />
Windows Betriebssysteme genutzt wurden, um den Schadcode automatisch<br />
und verdeckt auszuführen. Infizierte Rechner wurden dann automatisch derart<br />
präpariert, dass sie jeden weiteren USB-Stick infizierten, gesammelte Daten<br />
auf USB-Sticks versteckten, sowie die Malware über lokale Netzwerkordner<br />
und Netzwerkdrucker weiter verbreiteten.<br />
Um die Sabotage über Monate hinweg<br />
zu verbergen, war ein<br />
immenser Aufwand notwendig.<br />
Um diese tief greifenden Änderungen am Betriebssystem vorzunehmen, wurden<br />
weitere, teilweise unbekannte, Sicherheitslücken sowie sogenannte digitale<br />
Zertifikate verwendet, um Stuxnet als legitime Software zu tarnen. Diese<br />
digitalen Zertifikate waren im Vorfeld zwei asiatischen Firmen gestohlen<br />
worden, was seinerseits einen komplexen physischen oder <strong>Cyber</strong>-Einbruch<br />
erfordert haben dürfte, da derartige Zertifikate in aller Regel besonders gesichert<br />
und digital verschlüsselt aufbewahrt werden.<br />
Die Schadfunktion von Stuxnet war für eine spezifische Modellreihe von<br />
SCADA-Industriesteuerungseinheiten der Firma Siemens programmiert. Diese<br />
Geräte werden für die Überwachung und Regelung von Pumpen, Ventilen und<br />
ähnlichem eingesetzt. Mittels einer Modifikation der zentralen Steuerungssoftware<br />
wurde die angeschlossene Regelungselektronik umprogrammiert. Dieses<br />
Vorgehen bedingte spezielles Expertenwissen über technische Interna der Sie-<br />
>><br />
ADLAS 1/2013 ISSN 1869-1684 8