Sicherheit

Moderne Angriffsmethoden auf IT-Systeme






Zu den Grundzügen und Angrifsverfahren ist der bereits am 28.1.2013 erschiene, spezifische Fachbeitrag Roter Oktober: Bedrohung bedeutender IT-Systeme durch umfassendes, bisher unbekanntes Spähprogramm [Günther K. Weiße] zu beachten.



Angriffsmethoden auf IT-Systeme

Die Angreifer handeln oft im Auftrag fremder Nachrichtendienste oder stehen im Sold von transnationalen Täterstrukturen. Belegt wird dies u.a. durch Erkenntnisse der Abteilung  61398 der chinesischen Volksbefreiungsarmee in Shanghai.

Präzisionsschüsse statt Streuangriffen

Wie westliche Dienste und die US-Sicherheitsfirma Mandiant eruierten, konnte eine Vielzahl von sog.“Advanced Persistant Threats“ (APT) bis zu einem 1997 errichteten zwölfstöckigen Gebäude an der Datong Road zurückverfolgt werden. APT sind im Gegensatz zu den Streuangriffen auf alles und jedes (sog. Schrotflinten-Taktik) Präzisionsschüsse, die explizit einem anvisierten Ziel gelten. Wegen der maßgeschneiderten Angriffsmethodik werden die gängigen Antivirenprogramme im Regelfall unterlaufen. Der Anti-Viren-Spezialist Trend Micro spricht von 55 % aller Attackierten, bei denen der APT-Angriff komplett unentdeckt bleibt.

Die Rolle der Abteilung 61398

Die überwiegend für die Cyber-Kriegsführung zuständige Sondereinheit „Abteilung 61398“ hat ihren Hauptsitz in einem 1997 errichteten zwölfstöckigen Gebäude an der Datong Road im Stadtteil Pundong. Das Bürohaus bietet Arbeitsplätze für etwa 2.000 Personen. Insgesamt wird die Cyber-Armee Chinas auf eine Mannstärke von 6.000 geschätzt.

Die chinesische Regierung bestreitet die Existenz der geheimnisvollen Abteilung an der Datong Road und behauptet, in dem Gebäude befände sich ein Kindergarten. Das stimmt sogar, denn zum sozialen Betreuungsprogramm der chinesischen Armee gehört auch ein Kindergarten, der sich zusammen mit den PC-Arbeitsplätzen in dem mit einem großen roten Stern gezierten Hochhaus befindet.

Attacken auf Unternehmen in Deutschland

Jüngste Attacken, die der Sondereinheit zugeschrieben werden, galten in Deutschland unter anderem EADS, ThyssenKrupp, Bayer und IBM. Aber auch Behörden, allen voran das Bundeskanzleramt, werden angegriffen. Der Bundesnachrichtendienst spricht von drei bis fünf Attacken pro Tag. Dem BSI liegen Informationen vor, „nach denen Unternehmen beispielsweise Bietergefechte verloren haben oder Unternehmensfusionen behindert wurden, weil vertrauliche Informationen mittels eines APT-Angriffs gestohlen wurden“. In anderen Fällen seien Konstruktionszeichnungen kopiert worden.

Angriffe auf die US-Schlüsselindustrie

Nach Angaben des FBI und der NSA kann eine Reihe überaus schwerer Angriffe bis zur Datong Road zurückverfolgt werden. Dazu gehört die jetzt zur Schneider Electric gehörende Firma Telvent, bei der Projektunterlagen für die Fernsteuerung von Schalt- und Regeleinrichtungen für Pipelines und andere Energieübertragungssysteme auf elektronischem Wege gestohlen wurden. Telvent hat laut New York Times „Zugang zu über 60 % der Öl- und Gas-Pipelines in Nordamerika“.

Ein weiterer, nach Shanghai zurück verfolgbarer Angriff der RSA Security. Der für IT-Sicherheit zuständige Unternehmenszweig der börsennotierten EMC Company ist Hauptlieferant für Behörden und praktisch alle der zwölf US-amerikanischen Nachrichtendienste sowie die Schlüsselindustrie, darunter auch Rüstungskonzerne. Bei der Attacke standen streng vertrauliche Unterlagen über das Zweifaktorenauthentifizierungssystem SecureID im Fokus. In der Folge mussten mit einem riesigen organisatorischen und finanziellen Aufwand zahlreiche digitale Schlüssel ausgetauscht werden.

Doch niemand kann sagen, wie viel an sensiblen Daten bereits abgesaugt wurde, bevor die kritische Sicherheitslücke gestoppt werden konnte. Nach Angaben westlicher Dienste sind von chinesischen Hackern bislang mindestens 20 hochgeheime Rüstungsprojekte der USA ausspioniert worden.

Aktivitäten des Spionagenetzwerks „Roter Oktober“

Ähnlich strukturiert wie die Abteilung 61398 ist ein russisches Hackernetzwerk namens „Roter Oktober“, das erst nach fünfjähriger Aktivität von der IT-Sicherheitsfirma Kasperky entdeckt werden konnte. „Roter Oktober“ spioniert seit 2007 Kernkraft- und Energiekonzerne, Forschungsinstitute (besonders der Luft- und Raumfahrt), diplomatische Einrichtungen und Regierungsorganisationen vor allem in Osteuropa und Zentralasien aus. Doch auch IT-Attacken auf Zielsysteme in Mitteleuropa und Nordamerika wurden festgestellt.

Nach zuverlässigen Angaben könnten auch die EU und die NATO betroffen sein. Bei „Roter Oktober“ stehen Dokumente mit vertraulichen geopolitischen Inhalten und die Ausspähung von „Zugängen zu gesicherten Computersystemen“ sowie „Daten aus persönlichen mobilen Geräten“ im Vordergrund. Trotz Enttarnung ist das IT-Spionagenetzwerk immer noch unvermindert aktiv.

Westliche Staaten als Angreifer

Selbstverständlich kommen auch westliche Staaten als Angreifer in Frage, wie die jüngsten Enthüllungen über die NSA belegen. Die NSA ist eng mit der US-Wirtschaft verflochten. Es gilt die Grundregel, dass selbst politische Freundschaft wenig besagt, wenn Staaten miteinander ökonomisch konkurrieren.







Internetkriminalität auf dem Vormarsch


  • Neben staatlichen Akteuren (auch bei Roter Oktober wird ein solcher Hintergrund vermutet) spielt auch die Organisierte Kriminalität eine große Rolle.

  • Die global aktiven Täterstrukturen sind in der Lage, sich millionenteure Spionageprogramme einzukaufen, um diese dann als Mittel für kriminelle Zwecke einzusetzen.

  • Die Internetkriminalität ist in Deutschland im Vormarsch, wie die aktuelle Polizeiliche Kriminalstatistik 2012 ausweist.