Das Pentagon auf Hackerjagd

Die Darpa will Cyberangreifer anhand ihres Verhaltens, ihrer Methoden und Geräte identifizieren

Eines der größten Probleme für die Cybersicherheit ist, dass diejenigen, die Cyberangriffe gegen Unternehmen, die Infrastruktur eines Landes oder das Militär ausführen, normalerweise nicht identifiziert werden können, wenn die Angriffe einigermaßen geschickt ausgeführt werden. Das stellt das Pentagon vor eine bislang kaum lösbare Entscheidung, wie man sich gegenüber einem Cyberangriff etwa von Hackern im Auftrag von anderen Staaten verhalten soll, wenn man deren Verantwortlichkeit nicht beweisen kann.

In der 2015 veröffentlichten Cyberdoktrin ist vorgesehen, dass das Cyber-Kommando bei einem Angriff, der als Kriegsakt gilt, auch offensiv reagieren soll, um mögliche Gegner abzuschrecken. Der Gegner müsse wissen, "dass er inakzeptable Konsequenzen zu erleiden hat, wenn er die USA angreift". Dazu müssten "effektive Fähigkeiten des Zurückschlagens" vorhanden sein und auch angewendet werden. Aber um nicht blind und willkürlich um sich zu schlagen oder einen Cyberwar erst auszulösen, müssen zunächst die Angreifer identifiziert und zurückverfolgt werden können. Die Möglichkeit der Identifizierung ist nicht nur nach dem Kriegsrecht oder zur strafrechtlichen Verfolgung entscheidend, sondern auch zur Abschreckung. Das Militär und die Geheimdienste hätten hier erhebliche Investitionen getätigt, heißt es in der Doktrin (Pentagon-Strategie für den Cyberwar).

Bild: Andersson18824/CC-BY-SA-4.0

Identifizierung "bösartiger Akteure" sei extrem schwierig

Ganz entscheidend dabei ist, die Angreifer identifizieren zu können, die sich oft mit geschickten Mitteln in der Anonymität verstecken und sich nicht zurückverfolgen lassen. Das Militär und die Geheimdienste hätten hier erhebliche Investitionen getätigt. Die Identifizierungsmöglichkeit spiele nicht nur für die Zurückverfolgung und die Bekämpfung eine wichtige Rolle, sondern auch für die Abschreckung.

Offensichtlich aber kam man aber noch nicht sehr weit. Zumindest lässt dies eine Ausschreibung der Darpa, der Forschungsabteilung des Pentagon, vermuten, die am 22. April veröffentlicht wurde. Dort heißt es ziemlich unverblümt, dass "bösartige Akteure im Cyberspace gegenwärtig nur mit geringer Angst operieren, erwischt zu werden". Es sei "extrem schwierig, manchmal sogar unmöglich" Aktionen im Cyberspace verlässlich Individuen zuzuschreiben. Das Problem bestehe in der Internet-Infrastruktur, die keine Ende-zu-Ende-Zuschreibung ermögliche. Cyberspace-Angriffe erstrecken sich über unterschiedliche Netzwerke, Geräte und Jurisdiktionen und können nur "teilweise aus der Perspektive eines Verteidigers, der gänzlich im freundlichen Cyber-Territorium operiert", beobachtet werden.

Die Identität der "bösartigen" Cyberangreifer, von denen man vermutlich die "guten" der eigenen Geheimdienste und des Militärs unterscheiden muss, könne durch mehrere Schichten verborgen werden. Was also tun, sofern das Internet nicht nach den Interessen der Sicherheitsbehörde umgebaut wird?

"Nicht nur auf die Kugeln, sondern auch auf die Waffen schauen"

Die Idee der Darpa ist, die Identifizierung durch die Beobachtung des Verhaltens und der verwendeten Mittel sowie der begangenen Fehler voranzubringen. Mit dem Programm "Enhanced Attribution" will man, wie der Leiter Angelos Keromytis von der Darpa sagt, "nicht nur auf die Kugeln, sondern auch auf die Waffe schauen", also auf die von Angreifern eingesetzten Werkzeuge, also die von ihnen verwendeten Notebooks, Smartphones, Computer und alle anderen Geräte, die mit dem Internet der Dinge verbunden und verfolgbar sind.

Das Programm, das man zu entwickeln hofft, soll kontinuierlich virtuelle Personen und individuelle "bösartige Cyberoperateure" verfolgen und Algorithmen schaffen, um aus Verhaltensprofilen Vorhersagen machen zu können. So sollen auch aus der Nutzung von Tastauren oder Mäusen biometrische Merkmale abgeleitet werden. Rechtliche Begrenzungen interessieren die Darpa dabei erst einmal nicht. Keromytis spricht denn auch davon, dass man in zwei Jahren schon "normale Gegner" wie "Finanzkriminelle und Hacktivisten" identifizieren kann, bis 2020 sollen dann auch Tophacker in staatlichen Diensten aufgespürt werden können

Ziel ist eine "hoch vertrauenswürdige Sichtbarkeit" aller Aktionen der bösartigen Hacker herzustellen, ohne verwendete "Quellen und Methoden" offenbaren zu müssen. Gefragt sind wie immer "innovative Ansätze", die "revolutionäre Fortschritte" ermöglichen, darunter macht es die Darpa nicht. Man will gleichzeitig Informationen über verschiedene, voneinander unabhängige Cyberangriffe gewinnen, die jeweils von mehreren Akteuren durchgeführt werden. Daraus soll nicht nur der Angreifer charakterisiert werden, wenn er sich schon nicht identifizieren lässt, sondern man will möglichst auch daraus schließen können, welche Ziele demnächst mit welchen Mitteln angegriffen werden könnten.

Bislang halten sich Regierungen und Militärs meist über Angriffe und die vermuteten Täter zurück. Zwar werden gerne einmal Vermutungen angestellt, dass es aus der Sicht der USA Hacker von Regierungen wie der russischen, der chinesischen, der nordkoreanischen oder der iranischen sein könnten, aber nur sehr selten werden einzelne Hacker schließlich vom Justizministerium angeklagt. Zuletzt wurden sieben mutmaßliche iranische Hacker von zwei Firmen, die für die Revolutionären Garden arbeiten sollen, vom US-Justizministerium angeklagt, zwischen 2011 und 2013 DDoS-Angriffe auf Websites von 46 Banken ausgeführt zu haben, die dadurch zeitweise lahmgelegt wurden, und in ein Computersystem eines kleinen Staudamms eingedrungen zu sein. Damit hätte sich angeblich ein Schleusentor bedient werden können, allerdings war es wegen Wartungsarbeiten nicht möglich gewesen.

Allerdings macht die Strafverfolgung wenig Sinn, weil man der mutmaßlichen Täter nicht habhaft wird, schließlich liefert auch die NSA ihre hackenden Mitarbeiter nicht nach China oder in den Iran aus. Meist hält man sich aber bedeckt, weil man nicht zu viele Informationen über einen Gegner, seine Methoden und seine Erfolge veröffentlichen will, der Cyberwar findet vornehmlich hinter verschlossenen Türen statt. Allerdings würde man gerne die Täter benennen und die staatlichen Auftraggeber etwa mit Wirtschaftssanktionen belegen können. (Florian Rötzer)