Die Entstehung des "Malware-Industrial Complex"

Mit ihrer offensiven Cyber-Kriegsstrategie fördert die US-Regierung einen globalen Markt für Sicherheitslücken in Computern. Das könnte das Web noch unsicherer machen, als es heute schon ist.

Lesezeit: 9 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 16 Beiträge
Von
  • Tom Simonite

Mit ihrer offensiven Cyber-Kriegsstrategie fördert die US-Regierung einen globalen Markt für Sicherheitslücken in Computern. Das könnte das Web noch unsicherer machen, als es heute schon ist.

Jeden Sommer trifft sich die IT-Sicherheitsszene in Las Vegas auf den Konferenzen Black Hat und Defcon. Dort präsentieren Experten dann vor großem Publikum die neuesten Sicherheitslücken in gängigen Computerprogrammen. Regelmäßige Teilnehmer haben jedoch bemerkt, dass die Enthüllungen der letzten Konferenzen nicht mehr so spektakulär ausfielen wie in den Jahren zuvor.

Ein Grund: Wer eine so genannte Zero-Day-Schwachstelle aufgespürt hat – eine bis dahin noch nicht bekannte Lücke –, kann mit ihr längst mehr verdienen als ein bisschen Ruhm in der Szene und den einen oder anderen Drink an der Konferenzbar. Rüstungsfirmen, Geheimdienste und Regierungen zahlen inzwischen einige hunderttausend Dollar für solche Funde im Code verbreiteter Software.

Noch gibt es keine verlässlichen Zahlen, wie groß dieser Handel mit "Zero-Day-Exploits" wirklich ist. Dass er existiert, zeigt aber, wie in den vergangenen Jahren ein ganz neuer Industriezweig entstanden ist. Und dieser "Malware-Industrial Complex" dürfte in Zukunft eine ordentliche Portion des US-Verteidigungsbudgets verschlingen, internationale Beziehungen verändern – und womöglich das Web noch unsicherer machen, als es heute schon ist.

Zero-Day-Schwachstellen öffnen diverse Hintertüren zu Software-Systemen, ohne dass Firewalls oder Antivirus-Programme Alarm schlagen können. Kriminelle stehlen mit ihrer Hilfe Kreditkarten-Daten, Geheimdienste diplomatische Dokumente. Demnächst schalten sie damit vielleicht sogar Kraftwerke aus der Ferne ab, um einem Energieerzeuger oder einem Staat zu Schaden.

Dass letzteres Szenario kein Science-fiction-Plot mehr ist, wurde 2010 klar, als eine Schadsoftware von bis dahin ungeahnter Raffinesse auftauchte: Stuxnet. Es gilt heute als ausgemacht, dass sie von einem israelisch-amerikanischen Team programmiert wurde. US-Regierungsmitarbeiter haben dies zwar noch nicht offiziell bestätigt, gegenüber der New York Times jedoch schon anonym zugegeben.

Stuxnet nutzte damals gleich vier Zero-Day Exploits aus, um sich in eine von Siemens vertriebene Steuersoftware von Industrieanlagen einzuschleichen – und am Ende wahrscheinlich die Uran-Zentrifugen des iranischen Atomprogramms in Natanz zu beschädigen. Für Sicherheitsexperten war diese ungewöhnlich hohe Zahl ein Hinweis darauf, dass das Entwickler-Team Zugang zu Geheimdienst-Ressourcen gehabt haben muss.

Seitdem sind verschiedene Schädlinge von der Komplexität von Stuxnet aufgetaucht. Wie viele noch unentdeckt im Cyberspace aktiv sind, darüber lässt sich nur spekulieren. Christopher Soghoian von der American Civil Liberties Union geht jedenfalls davon aus, dass Industrie und Regierungen dabei sind, Zero-Day Exploits im größeren Stil einzukaufen.

„Einerseits rotiert die US-Regierung hypernervös in Sachen Cyber-Sicherheit, andererseits mischt sie selbst in einem globalen Markt für Software-Schwachstellen mit und treibt die Preise nach oben“, sagt Soghoian. Seine Einschätzung gründet sich auf verschiedenen Gesprächen mit Insidern dieses Exploit-Marktes. Selbst Polizeibehörden würden sich an dem Handel schon beteiligen, um die Rechner und Telefone von Verdächtigen besser überwachen zu können.

Besonders wertvoll sind Schwachstellen in mobilen Betriebssystemen, sagt Soghoian. Das liege daran, dass diese im Unterschied zu PC-Betriebssystemen nur selten aktualisiert würden. Apple führt Updates seines iOS ein paar Mal im Jahr durch, so dass ein Zero-Day Exploit eine ganze Weile nützlich bleibt. Manche Entdecker solcher Exploits bekommen gar monatliche Zahlungen, damit sie stillhalten. „Solange Apple und Microsoft den Fehler nicht behoben haben, bekommen sie ihr Geld“, weiß Soghoian.

Bisher gibt es in den USA keine gesetzlichen Regelungen für diese Geschäfte, weshalb sie sogar relativ offen getätigt werden. Ein in Bangkok ansässiger Sicherheitsforscher, der selbst als Mittelsmann arbeitet, hat unter dem Pseudonym The Gruqq der Presse freimütig von den Preisen berichtet, die Regierungen aus EU-Ländern und den USA zahlen. In einer Twitter-Debatte bestritt er kürzlich vehement, dass es sich hierbei eigentlich um eine neue Form des Waffenhandels handele. „Ein Exploit ist eine Werkzeug-Komponente“, argumentierte er. „Die Waffe ist hingegen das Team, das dieses Werkzeug produziert und betreut.“

Auch einige kleinere Unternehmen machen keinen Hehl aus ihren Geschäften im "Malware-Industrial Complex". Die französische Firma VUPEN etwa gibt auf ihrer Webseite an, „regierungstaugliche Exploits“ speziell für Geheimdienste und Sicherheitsbehörden zu liefern, um ihnen bei „offensiver Cyber-Sicherheit und gesetzlichen Eingriffen“ zu helfen. Vergangenes Jahr demonstrierte VUPEN in aller Öffentlichkeit eine Schwachstelle im Chrome-Browser. Google bot 60.000 Dollar für die technischen Details, doch die Franzosen lehnten ab. Was aus dem Exploit wurde, weiß man nicht.

Amerikanische Regierungsbehörden haben indes noch nicht zugegeben, dass sie solches Wissen kaufen. Doch da die neue US-Cyber-Sicherheitsstrategie auch offensive Operationen vorsieht, werden sie an solchen Lücken nicht vorbeikommen, wenn sie in gegnerische Computersysteme eindringen wollen.

Keith Alexander, Direktor des Geheimdienstes NSA und Befehlshaber des U.S. Cyber Command, erklärte im Oktober 2012 jedenfalls, offensive Maßnahmen seien Teil der Cyber-Verteidigung. Einige Monate zuvor hatte die U.S. Air Force bereits einen Ideenwettbewerb zu „Cyber-Angriffsfertigkeiten“ gestartet. Im November äußerte sich schließlich Regina Dugan, Chefin der umtriebigen Militärforschungsbehörde DARPA, in ähnlicher Weise. „In den kommenden Jahren werden wir einen zunehmenden Teil unserer Cyber-Forschung auf die Untersuchung von Offensivkapazitäten konzentrieren“, sagte Dugan. Der Anteil am DARPA-Budget für Sicherheitsforschung solle von acht auf zwölf Prozent steigen.

Militäranalysten sehen solche Äußerungen als Versuch, eine Art Abschreckungselement in die Cyber-Sicherheit einzuführen, so wie es vor Jahrzehnten im Kalten Krieg mit der nuklearen Abschreckungsdoktrin geschah. Bislang hatten US-Regierungsvertreter immer vor den Gefahren von Cyber-Angriffen gewarnt, der bisherige Verteidigungsminister Leon Panetta etwa vor einem „digitalen Pearl Harbor“ gewarnt.

Die großen Auftragnehmer des Pentagon aus der Rüstungsindustrie halten sich noch bedeckt, dürften die Gelegenheit aber gerne ergreifen. „Während das Rüstungsgeschäft schrumpft, gibt es hier mehr zu holen“, sagt Peter Singer, Direktor der 21st Century Defense Initiative der Brookings Institution in Washington. „Die Industrie hat zwei Wachstumsfelder identifiziert: Drohnen und Cyber.“

Die großen Unternehmen heuern bereits kräftig Fachleute aus der IT-Sicherheit an. Schaut man sich manche Stellenbeschreibung an, wird schnell klar, dass es nicht mehr nur um Verteidigung geht. Northrop Grumman zum Beispiel schaltete vergangenges Jahr Anzeigen, in denen explizit nach Mitarbeitern gesucht wurde, die „offensive Cyberspace-Operationen planen, durchführen und auswerten“ können. Raytheon bedient sich in seinen Anzeigen an Hacker-Stereotypen: „Unsere Büros sind mit Surfbrettern, Piratenflaggen und DEFCON-Ausweisen dekoriert, und unsere Nerf-Kollektion stellt die meisten Spielwarenläden in den Schatten. Unsere Forschungs- und Entwicklungsprojekte decken das Spektrum offensiver und defensiver Sicherheitstechnologien ab.“

So etwas müsste amerikanische Steuerzahler beunruhigen. Von jedem Dollar, der für offensive Computersysteme ausgegeben wird, landet ein Teil bei Leuten wie The Gruqq, damit die weitere Zero-Day Exploits aufspüren. Folge: Der Wettlauf zwischen Regierungen, Geheimdiensten und Industrie intensiviert sich, und den Schaden könnte der Durchschnitts-Webnutzer haben, weil die IT-Welt unsicherer wird.

„Jedes Land produziert Waffen, und der Cyberspace macht da keine Ausnahme“, sagt Sujeet Shenoi, der das von der US-Regierung geförderte Cyber Corps Program der University of Tulsa leitet. In dem werden Studenten darin unterrichtet, sich in etwaigen Regierungsjobs gegen Angriffe zu verteidigen. Shenoi fürchtet, dass die Vertragsfirmen des Pentagon, die ebenfalls um die Studenten werben, die Idee offensiver Cyber-Aktionen zu weit treiben. Mit der Entwicklung von gefährlicher Schadsoftware steige auch die Versuchung, sie einzusetzen, so Shenoi. „Die Gerichte sollten sich zusammensetzen und dieser Art von Angriffen einen Riegel vorschieben."

Dank der Leichtigkeit, mit der Angreifer ihre digitalen Spuren verwischen können, steige das Risiko, dass Cyber-Angriffswaffen zum Einsatz kommen, betont Shenoi. Selbst wenn ein Angriff fehlschlage, bleibe eine Kopie der Software auf dem angegriffenen Rechner – ob absichtlich oder nicht, spiele keine Rolle. So verbreite sich das Programm auf andere Rechner, wie im Falle von Stuxnet auch geschehen. Da ist es kein Wunder, dass Cyber-Kriminelle die Stuxnet-Technologie längst analysiert und für eigene Schädlinge kopiert haben.

Peter Singer wählt einen drastischen Vergleich: „Das ist so, als ob Sie eine Atombombe abwerfen und Flugblätter mit Bauanleitungen für Atombomben gleich hinterher." Er schätzt, dass bereits 100 Länder Cyber-War-Einheiten aufgestellt haben. Mindestens 20 seien hervorragend gerüstet. "In dem Spiel mischen bereits eine Menge Leute mit", sagt Singer.

(nbo)