Die Cybercrime-Szene gedeiht «prächtig». Sie ist mittlerweile so professionell geworden, dass sogar Staaten die Dienste der Hacker zunehmend in Anspruch nehmen. Dies berichten Oded Vanunu, der im Forschungslabor des israelischen IT-Security-Spezialisten Check Point Software Technologies den Bereich «Products Vulnerability Research» verantwortet, und Lotem Finkelstein, der dortselbst für «Threat Intelligence» zuständig ist. Computerworld traf die beiden anlässlich der Hausmesse CPX in Zürich.

Oded Vanunu: Lassen Sie mich in diesem Zusammenhang erst einmal die Frage stellen, was die Hauptmotivation für Cyberkriminalität ist. Diese kann mit einem Wort umschrieben werden: Geld. Und Geld ist wegen der Kryptowährungen fast schon gefahrlos und einfach zu bekommen. Denken Sie nur an traditionelle Kriminelle wie etwa einen Bankräuber. Kein Cyberkrimineller muss heutzutage vergleichbare Mühen und Risiken auf sich nehmen, um an die Kohle zu kommen.

In den letzten Jahren haben wir festgestellt, dass die Cybercrime-Szene sich enorm organisiert hat. Wir sehen richtiggehende «Bosse» am Werk, die sich Gangsterimperien aufbauen konnten mit Cyber-Ganoven, die alle untereinander und mit den Strippenziehern verbunden sind. Wer heute kriminell wird, geht in den Cyber Space.

Die Organisation dieser Cybergangs ist zudem sehr ausgefeilt. Es gibt eine minutiöse Arbeitsteilung mit richtiggehenden Spezialisten für Ransomware- und Exploit-Entwicklung, für Qualitätssicherung und Support.
Sie haben zudem regelrechte «Produkte» entwickelt, die sie anbieten. Ransomware gehört hier dazu und sorgt für das Grundrauschen, ist aber mittlerweile nicht mehr das einträglichste «Geschäft». Gestohlene Konten und Identitäten sind dagegen eine angesagte Ware, die im Darkweb viel wert ist. Genauso verhält es sich mit Zero-Day-Lücken und weiteren Werkzeugen, die sich als Waffen im Cyberkrieg nutzen lassen. Gerade bei Letzterem gibt es besonders viel zu holen. Denn diese gutgeölten Cybersyndikate, wie man sie schon nennen muss, bieten mittlerweile ihre Dienste auch Staaten an.

Lotem Finkelstein: Das beobachten wir tatsächlich immer häufiger. Wir stellen fest, dass Staaten Cyberattacken über Stellvertreter aus der Cyber-Crime-Szene ausführen lassen. Das tun sie aus mehreren Gründen. Hauptgrund ist, dass die staatlichen Auftraggeber sich so nicht mehr selbst die Hände schmutzig machen müssen. Einen solchen Fall gab es bei den letzten olympischen Winterspielen in Südkorea. Bei dem Angriff wurden Dateien gelöscht, die offizielle Webseite gehackt und sogar die Fernsehübertragung der Eröffnungsfeier gestört. Nach unseren Erkenntnissen waren die Angreifer reine Proxys, hinter denen ein Staat als Auftraggeber stand. Das heisst zudem, die Zuordnung solcher Attacken wird immer schwieriger…

Vanunu: Ein weiterer Vorteil für die Staaten, Proxys zu verwenden, ist, dass dies eine sehr flexible Methode ist, um sich die nötigen Waffen zu besorgen. Die Cyber-Crime-Szene ist gross, die Dienste im Darkweb jederzeit zugänglich, das Angebot ist riesig und die Qualität der «Ware» ist exzellent. Schliesslich müssen mit den Cyberkriminellen keine «Verträge» geschlossen werden und der Transfer von Geld gegen Ware läuft problemlos und fast in Echtzeit. Staaten brauchen also gar nicht mehr eigene Leute für ihre Cyberkriegaktivitäten.

Vanunu: Wichtigstes Motiv ist hier wohl, Zugang zu Daten und Infrastrukturen zu haben, um im Ernstfall auch über den Cyber-Weg aktiv zu werden. Das Ganze ist dann eine Waffe, die beispielsweise im Verteidigungsfall eingesetzt werden kann, vielleicht sogar als Ersatz für physische Waffen wie Raketen.

Lotem Finkelstein ist für Threat Intelligence bei Check Point Research zuständig

Quelle: Jens Stark/NMGZ

Finkelstein: Es ist aber auch sehr unterschiedlich und kommt auf das Land an. Wir sehen hier neue, sehr interessante Motive. Bislang standen ja reine Aufklärung und Spionage im Vordergrund. Heute gibt es Staaten, die in anderen Staaten Proteste steuern oder im eigenen Land unterdrücken wollen. In anderen Fällen sehen wir eine Art Demonstration der eigenen Cyber-Möglichkeiten. Hier lassen Staaten die Cyber-Muskeln spielen, um andere einzuschüchtern.

So hat vor gut zwei Jahren Russland in der Ostsee Marinemanöver durchgeführt, und gleichzeitig wurde in Schweden ein Cyberangriff auf das Tramsystem durchgeführt. Das war noch keine richtige Attacke, sondern vielmehr eine kräftige Demonstration, die den Entscheidungsträgern im betroffenen Land klare Signale sendete.

Doch das ist nicht alles: In gewissen Teilen der Welt sehen wir finanzielle Motive hinter Cyberangriffen. Bestes Beispiel ist hier das wirtschaftsschwache Nordkorea, das zum Beispiel durch Attacken auf Banken in Asien, die Staatskasse aufbessert.

Vanunu: Die Manipulation von Meinungen in anderen Ländern dürfen wir ebenfalls nicht ausser Acht lassen. Entsprechende Versuche, die öffentliche Meinung zu beeinflussen, haben wir während der US-Präsidentschaftswahlen, während der Brexit-Abstimmung und den letzten Wahlen in Israel gesehen. Und in diesem Zusammenhang werden die durch künstliche Intelligenz optimierten Algorithmen in sozialen Medien sehr gefährlich.

Finkelstein: Genau, eine Desinformation – es muss nicht einmal eine Lüge sein, nur eine ungenaue Darstellung der Tatsachen –, die geschickt in sozialen Medien gestreut wird, dort dank der Algorithmen gepusht wird und schlussendlich in den nationalen Medien des entsprechenden Landes landet, kann die Meinung beeinflussen. Im Oktober stehen ja bei Ihnen in der Schweiz Wahlen an. Sie sollten sich bewusst sein, dass solche Manipulationen möglich sind, und wachsam sein. Denn kein Land wird mittlerweile von solchen Beeinflussungsversuchen verschont.

Vanunu: Bislang haben wir eine eher passive Haltung eingenommen und waren lediglich als Beobachter tätig, um mit Hilfe unserer Systeme unsere Kunden zu schützen. Doch seit einiger Zeit nehmen wir in Check Points Forschungslabor CPR eine proaktivere Rolle wahr. Wir warten nicht mehr, bis unsere Anwender angegriffen werden. Vielmehr verfolgen wir die Urheber, sobald wir erkennen, dass eine Attacke sich anbahnt. Hier versuchen wir die Angreifer einerseits zu stören und ihren Versuch zu unterbinden, andererseits lassen wir sie gewähren und beobachten sie weiter, um besser herauszufinden, wie ihre Infrastruktur aufgebaut ist, um diese in einem weiteren Schritt auszuheben.

Vanunu: Wir erhalten zum Beispiel in unserem Labor ein Malware-Sample. Früher haben wir eine Signatur erstellt für unsere Systeme und um unsere Anwender zu schützen. Heute versuchen wir herauszufinden, woher der Code kommt, wer dahinter steckt. Wir haben da unsere offensiven Methodologien, die ich jetzt aber nicht an dieser Stelle weiter ausführen möchte…

Vanunu: Wir müssen uns bei unseren Kampagnen an die geltenden Gesetze halten. Zudem unterhalten wir sehr enge Beziehungen zu den Strafverfolgungsbehörden. Wir erarbeiten in vielerlei Hinsicht die technischen Indizien, die die Strafverfolgungsbehörden dann verwenden können, um gegen die Kriminellen vorzugehen. Wir produzieren sozusagen den Schlüssel, den die Polizei dann nur noch umdrehen muss.

Vanunu: Was mir wirklich Sorgen macht, ist der zunehmende Einsatz von künstlicher Intelligenz (KI) in fast allen Lebensbereichen, sei es im Privatleben oder in der Wirtschaft. KI bietet nämlich nicht nur grossartige Möglichkeiten für die Industrie, sondern auch für die Hacker. Wenn es den Angreifern erst einmal gelingt, die KI in ihrem Sinne zu manipulieren, potenzieren sich deren Möglichkeiten. Denken sie an autonome Autos oder KI in Industrieanlagen. Hacker werden hier enormen Schaden anrichten können.

Finkelstein: Erste Beispiele, was für Auswirkungen das haben kann, haben wir bereits gesehen. In Israel wurde an einer Universität der Versuch unternommen, Waze zu beeinflussen, ein GPS-gestütztes Navigationssystem für Smartphones, das unter anderem auch Staus anzeigen kann. Die Forscher beeinflussten die KI so, dass die Nutzer falsche Staumeldungen erhielten und bestimmte Strassen mieden. So gelang es ihnen, die entsprechenden Streckenabschnitte fast autofrei zu halten. Natürlich könnten sie genau so gut umgekehrt verfahren und Staus produzieren. Für eine Metropole könnten die Auswirkungen katastrophal sein.