Die heikle Frage der „legitimen Cyber-Abwehr“


Digitale Sicherheit geht manchmal zu weit. Honeypot, hack back, Ermittlungen im Darknet... Manche Antworten auf Cyber-Attacken sind verlockend und nützlich, jedoch manchmal auch ein zweischneidiges Schwert. Die Kunst ist es, sie richtig anzuwenden.

Cyberkriminalität kann ein Unternehmen auf allen Ebenen treffen und weitreichende ökonomische Folgen haben. 2014 traf eine Cyber-Attacke erstmals einen Unternehmenschef. Gregg Steinhafel, CEO des amerikanischen Target-Gruppe hat als Folge desDiebstahls von 110 Millionen Kreditkartennummern seiner Kunden gekündigt. Nur ein Beispiel aus einer langen Liste...

Die Versuchung sich zu wehren

Im Angesicht immer bedrohlicherer Attaken ist die Versuchung bei Unternehmen groß, auf legitime Verteidigung zurückzugreifen, indem sie dieselben „Waffen“ nutzen wie die Angreifer. Es geht hierbei nicht um justicierchatbot, sondern um hack back oder Cyber-Gegenangriffe, eine Strategie, bei der es darum geht, Repressionen gegen die Cyber-Attacken anzuwenden.

In den USA ist ein Selbstverteidigungsgesetzt im Bezug auf Cyberangriffe in Privatunternehmen seit 2017 in Ausarbeitung. Es geht dabei darum, den Unternehmen zu ermöglichen, andere Netzwerke als die eigenen zu nutzen, um Attacken aufzudecken oder abzuwehren. Wenn das Gesetz verabschiedet wird, sorgen die USA für einen Paukenschlag auf internationalem Niveau.

Eine riskante Lösung

Hack backs zu legalisieren bedeutet die Büchse der Pandora zu öffnen, meinen viele Experten. Wenn erlaubt wird, dass jeder auf die Computersysteme der anderen zugreifen kann, ist dies eine Legitimierung einer digitalen Anarchie. Umso mehr da der Ursprung der Attacke nie klar ist, wie Paul Fariello, Mitglied des Teams von Security Intelligence bei Stormshield erklärt : „Es ist ein hochriskantes Vorgehen, da man nie wirklich weiß, welche Maschine wirklich genutzt wurde, um eine Attacke zu starten.“ Für Pierre-Yves Hentzen, CEO von Stormshield, „liegt das Problem der legitimen Cyber-Verteidigung - im Gegensatz zur realen Welt - darin, dass sie keinen Regeln folgt. Es geht um die Simultanität (im Web kann man nicht augenblicklich zurückschlagen), die Proportionalität (man kennt die realen Auswirkungen der Attacke nicht) und den Gegenangriff selbst (der Angreifer ist im Web schwer zu identifizieren).

Das Problem der legitimen Cyber-Verteidigung - im Gegensatz zur realen Welt - liegt darin, dass sie keinen Regeln folgt. Es geht dabei um die Simultanität, Proportionalität und die Gegenattacke selbst.

Pierre-Yves Hentzen, CEO von Stormshield

Das Problem ist offensichtlich: Durch Verschleierungstechniken oder Verfälschung, zum Beispiel falsche digitale Indizes, hat jeder Gegenangriff ein hohes Risiko, das Ziel zu verfehlen. „Einen Hack back zu starten bedeutet das Risiko, einen unschuldigen Dritten zu treffen, zum Beispiel, wenn der Angreifer einen anderen PC als Rückschlagzone vewendet. Man kann sich die dramatischen Konsequenzen vorstellen, wenn letzterer beispielsweise die Computer eines Krankenhauses verwendet“, erklärt Paul Fariello. Und es bedeutet ebenso, Tür und Tor für Trittbrettfahrer zu öffnen: Warum nicht einen Konkurrenten unter dem Vorwand angreifen, dass es sich um einen Gegenangriff handelt? Dies könnte zu einem Teufelskreis von Angriffen führen... Oder Cyber-Präventivschläge legalisieren.

Von der passiven zur aktiven Verteidigung

Die Unternehmen sind jedoch nicht völlig schutzlos vor Cyber-Attacken. Im Register der Verteidigungsmöglichkeiten sind auch Honeypots (Honigtöpfe oder Piratenfallen) beliebt. Diese öffentlichen Systeme, die absichtlich angreifbar sind, sollen Angreifer anlocken. „Honeypots erlauben es, sich Angriffen bewusst zu werden, die ein Unternehmen bedrohen sowie den Werkzeugen, die eingesetzt werden können“, meint Paul Fariello.

Man muss jedoch die Isolation dieses Honeypot bedenken, so dass er nicht als Startpunkt für neue Angriffe genutzt werden kann. Es bleibt jedoch die Frage der Legalität eines solchen Vorgehens. Tatsächlich sind Unternehmen, die Honeypots nutzen, nicht vor damit verbundenen Risiken geschützt. Dies beginnt beim juristischen Schutz Dritter, wenn der Angreifer es geschafft hat, sich aus dem Honeypot zu „retten“ und ihn als Rückschlagzone für neue Attacken zu nutzen. Es gibt auch ein versicherungstechnisches Risiko: Die Erstellung eines Honeypot kann, wenn sie Risiken für das versicherte Betriebssystem darstellt, dazu führen, dass die Versicherung für Cyber-Attacken aussteigt.

In diesem Zusammenhang kann die Konferenz INFILTRATE zitiert werden. Diese hochtechnische Konferenz in den USA konzentriert sich hauptsächlich auf offensive Lösungen für Sicherheitsprobleme und „stellt Theorien auf, um heikle und konkrete Diskussionen zur technischen Umsetzung anzuregen.“ Ein ganzes Programm...

Ins Darknet eintauchen

Für die besonders Streitsüchtigen gibt es noch das Abenteuer des Darknet. „Es ist Teil der Internetlandschaft, es wäre ein Fehler für ein Unternehmen, es nicht für Überwachung und Schutz zu nutzen“, versichert Damien Bancal, Journalist und spezialisiert auf Cyberkriminalität. Denn das Deep Web, der Teil der Internet, den Suchmaschinen nicht durchdringen und das Dark Web, bestehend aus vielen privaten Netzwerken, die die Anonymität seiner Nutzer garantieren, sind per Definition eine Spielwiese für Cyberkriminelle. „Obwohl das Darknet ein gewisses Know-How erfordert, ist dieser Teil des Internet sehr wohl zugänglich und nützlich. Er hilft dabei, Informationen zur Aufklärung zu sammeln um potenzielle Angreifer zu identifizieren und geplante oder realisierte Datenraubzüge aufzudecken“, erklärt Matthieu Bonenfant, Marketingchef bei Stormshield. Die Überwachung des Darknet ermöglicht es, Gefahren zu identifizieren, bevor sie konkreter werden. Vor allem ist dies nützlich, wenn es um Datenraub, Informationslecks oder Insidergeschäfte, aber auch um Image oder Reputation geht.

Die richtige Vorgehensweise und passende Werkzeuge

Wer sich im Darknet bewebt, muss jedoch gewisse Vorkehrungen treffen. „Die Grenzen sind klar: es steht außer Frage, die rote Linie der Legalität zu überschreiten. Lediglich in einigen wenigen Fällen kann der Staat im Rahmen des französischen Gesetzes für militärische Programmierung (LPM) Ausnahmen für die eigene Anwendung machen um angreifende Systeme unschädlich zu machen“, warnt Pierr-Yves Hentzen.

Was die Werkzeuge angeht, so gibt es alle Arten von Techniken, wie Hidden Web Crawlers, Roboter, die auf die Analyse von großen Datenmengen auf Darknet-Seiten spezialisiert sind. „Aber das beste Werkzeug um das Darknet zu durchkämmen ist und bleibt der Mensch“, merkt der Journalist Damien Bancal an, „Dank all den Login-Daten, Passwörtern und Authentifizierungssystemen auf diesen Webseiten kann keine Software die Infiltration durch den Menschen ersetzen. Vor allem findet man im Darknetnormalerweise das, wonach man nicht gesucht hat. Es ist ein bisschen wie auf einem Flohmarkt...

Das unwahrscheinliche Zukunftsszenario „Cyberfrieden“

Ist die Ausrottung von Cyberkriminalität möglich? Manche wollen sich hierbei nicht festlegen und träumen von einem „Cyberfrieden“, einem internationalen Gesetzt, das das Verhalten von staatlichen Stellen und privaten Organisationen regelt. Der Knackpunkt: eine klare Definition und Identifizierung der betroffenen Stellen. Hier liegt jedoch die Schwierigkeit.

Ein solcher Cyber-Nichtangriffspakt auf internationalem Niveau ist sicher wünschenswert, aber er ist schwierig umzusetzen“, bemerkt Pierre-Yves Hentzen. Im Cyberspace ist es schwierig Gewissheit zu haben, dass die Mitglieder dieses Paktes in der Vergangenheit nicht bereits die „Verbündeten“ von heute angegriffen haben. Genauso ist es ungewiss, ob sie morgen noch Verbündete sein werden. Der Weg scheint noch lang bis zu einer ersten „Genfer Cyber-Konvention“

Vor allem was die Politik angeht. „Die Entwicklung des Cyberspace läuft schneller denn je, wie es die steigende Zahl neuer Facebookaccounts beweist, obwohl beim Skandal um Cambridge Analytica Millionen persönlicher Daten gehackt wurden.“ Es ist somit wichtiger denn je, wachsam zu sein und Personen und Unternehmen bestmöglich zu schützen. Und wenn Angriff die beste Verteidigung wäre?

Teilen auf

Über den Autor

mm
Victor Poitevin
Digital Manager, Stormshield

Victor Poitevin ist Digital Manager bei Stormshield. Er gehört zur Marketingdirektion und hat die Aufgabe, die Sichtbarkeit der Gruppe im Web zu verbessern. Websites, soziale Netzwerke, Blogs – das gesamte Ökosystem von Stormshield wird dafür herangezogen. Um die anderen digitalen Ambitionen der Gruppe umzusetzen, stützt er sich auf verschiedene Erfahrungen in einigen großen französischen und internationalen Konzernen sowie bei einer Publikationsagentur.