Schwachstellen zu Cyberwaffen formen – oder doch lieber schließen?

 

Regierungen diskutieren regelmäßig, IT-Schwachstellen als Cyberwaffen für Hack Backs zu nutzen. Die Geschichte der Microsoft-Schwachstelle EternalBlue macht eines deutlich: Das kann sehr teuer werden. Regierungen sollten sich intensiv überlegen, ob die Vorteile einer Schwachstelle als Cyberwaffe die potenziellen Schäden für Bürger und Unternehmen wirklich überwiegen.

 

Am 12. Mai 2017 begann der Trojaner WannaCry sein Unwesen – mit dramatischen Folgen. Die Schadsoftware entstand aus einer Cyberwaffe, die einer Regierungsbehörde »verloren« gegangen war. Die immensen Schäden waren ein Weckruf für Unternehmen auf der ganzen Welt. Dennoch denken Regierungen immer noch darüber nach, Cyberwaffen für sogenannte »Hack Backs« zu sammeln, zu speichern und im Notfall zu verwenden. Das heißt: Server und Daten von Gegnern zu zerstören, zu deaktivieren oder auszuspionieren.

Der Graumarkt für Schwachstellen und Cyberwaffen ist sehr lukrativ: Potente Schwachstellen und die damit verbundenen Exploits werden mittlerweile zu Preisen von über 1 Million Dollar, wenn sie auf Windows-Desktops und -Server abzielen. Die Zahl kann sich für Exploits bei mobilen Geräten (insbesondere Apple) verdoppeln. Wenn die Regierungen ihre Pläne zum »Hack Back« durchsetzen, ist zu erwarten, dass dieser Markt in Zukunft noch profitabler wird. Doch ist das erstrebenswert?

 

Die Chronik von EternalBlue

EternalBlue, so der Name einer Microsoft-Schwachstelle, wurde von der National Security Agency (NSA) in den Jahren 2011 oder 2012 »entdeckt«. Die NSA behielt ihr Wissen zunächst für sich. Allerdings gingen bis Mitte 2016 die Informationen über die Schwachstelle und deren Exploits quasi bei der NSA verschütt. Gleichzeitig wurden diese an eine Hackergruppe namens Shadow Brokers geleaket. Die Gruppe versuchte erfolglos diese Informationen im August 2016 zu verkaufen und beschloss schließlich, ihr Wissen um den Jahreswechsel herum zu veröffentlichen.

Als die Katze aus dem Sack war, musste die NSA handeln. Sie hatte keine andere Wahl, als die Schwachstelle nun doch preiszugeben. So informierte sie Microsoft im März 2017 über EternalBlue. Mitte des gleichen Monats veröffentlichte Microsoft eine Reihe von Patches – zu spät um Pandoras Box geschlossen zu halten.

Fast zwei Monate später richtete der Trojaner WannaCry, der die EternalBlue-Schwachstelle ausnutzt, teils verheerende Schäden bei zahlreichen Unternehmen auf der ganzen Welt an. So wurde bekannt, dass WannaCry und ähnliche Malware-Varianten, wie NotPetya, in nur einem Jahr 9 Milliarden Dollar Schaden verursachte. Die weltgrößte Reederei, Maersk, wurde mit 300 Millionen US-Dollar getroffen. Die Kosten für den britischen National Health Services (NHS) lagen bei über 100 Millionen US-Dollar. Es gab noch zahlreiche andere Opfer, darunter der Flugzeughersteller Boeing (März 2018) und der Chiphersteller TSMC (August 2018). Nach Schätzungen von TSMC selbst erlitt das Unternehmen einen Schaden um die 170 Millionen Dollar. Doch damit nicht genug. Untersuchungen zufolge sind Millionen von Computern immer noch durch EternalBlue gefährdet.

 

Die Ökonomie des Cyberwaffen-Marktes

Zweifelsohne lohnt es sich finanziell, Zeit und Geld aufzuwenden, um Schwachstellen aufzufinden. Nehmen wir den CryptoWall-Virus: CryptoWall v3 allein hat einen »Umsatz« von mehr als 325 Millionen Dollar erzielt. Das Geschäftsmodell und die Margen im Einzel- und Großhandel mit Cyberwaffen sowie die Einnahmechancen aus dem Angebot von »Cybercrime-as-a-Service« machen nicht nur wirtschaftlich Sinn, sondern sind auch absurderweise relativ risikofrei. Die Cybergesetze der einzelnen Länder sind so unterschiedlich, dass ein Cyberkrimineller von einem sicheren Hafen aus operieren kann, ohne Angst vor Strafverfolgung oder Auslieferung haben zu müssen.

Dabei sind Schwachstellen, die bestimmte Kriterien erfüllen, besonders begehrt und werden mit hohen Summen bezahlt. Als Faustregel: Je einfacher die Bedienung und je mehr Systeme und Geräte betroffen sind, desto besser. Je teurer der Gegenwert, desto höher der Preis, der erzielt wird. Der Verkauf einer hochkarätigen Schwachstelle an einen einzelnen Benutzer scheint die am wenigsten profitable Art zu sein, dieses »Geschäft« zu betreiben. Stattdessen wird der Verkäufer eher versuchen, eine Schwachstelle mehr als einmal zu verkaufen. Auf der anderen Seite will jeder Käufer – unabhängig von seiner Motivation für den Kauf – die Schwachstelle ausschließlich nutzen. Anträge auf Exklusivität erhöhen den Preis für jede Schwachstelle. Zwar gibt es keine dokumentierten Fälle, aber vermutlich steigt der Preis bei Exklusivrechten um den Faktor zehn oder sogar mehr.

Auf der anderen Seite: je mehr Käufer die Schwachstelle kennen, desto wahrscheinlicher ist es, dass deren Potenzial aufgrund von Leaks oder, weil sie »in the wild« entdeckt wurde, verloren geht. Das übt deflationären Druck auf den Preis aus. Der Verkäufer muss also stets abwägen, wie häufig er eine Schwachstelle verkauft und welchen Preis er von jedem Käufer dafür verlangt.

Ein neuartiger Ansatz besteht darin, ein Servicemodell um Schwachstellen herum aufzubauen. Anstatt die Schwachstelle zu verkaufen, lizenziert der Cyberkriminelle ihre Nutzung, indem er einfach eine Plattform für Ransomware oder Botnets bereitstellt. Diese gemeinsame Nutzung einer Schwachstelle durch Viele, ist die moderne Art, ein Cybercrime-Geschäft zu betreiben. Alle Käufer zahlen hier einen »fairen« Anteil von bis zu 50 Prozent ihrer eigenen Rendite an den Plattformanbieter. Die Akteure dahinter können es sich leisten, die Entwickler zu bezahlen, die die Plattform pflegen und auch Hackern die Suche nach neuen Schwachstellen zu ermöglichen. Sogar ein Amazon-Ansatz mit Empfehlungen zufriedener Nutzer ist denkbar. Dies erhöht die Reichweite und Benutzerfreundlichkeit der Plattform. Beispiele für diese »As-a-Service«-Plattformen sind CERBER, SATAN oder DOT.

 

Staatlich sanktioniert, staatlich gefördert oder staatseigen

Vor allem das Verhältnis dieser kriminellen Akteure zu Staaten muss unter die Lupe genommen werden. Dabei spielt es keine Rolle, ob die Akteure zu einer Regierung gehören oder von ihr geleitet werden, ob sie von einer Regierung finanziert werden, aber außerhalb der gesetzlichen Kontrollen einer Behörde handeln, oder ob sie staatlich sanktioniert werden. Was auch immer die Art der Beziehung ist, sie haben eine Motivation, die politischen Ziele einer bestimmten Regierung zu unterstützen.

Jeder staatlich gelenkte Akteur muss seine eigene Liste von Cyberwaffen führen, die er bei Bedarf einsetzen kann. Es besteht eine innere Gefahr, wie EternalBlue zeigt. Selbst wenn dieser Akteur in der Lage ist, die Geheimhaltung eines solchen Exploits aufrechtzuerhalten, wird es immer andere staatliche Akteure geben, die genau dasselbe tun und nach den gleichen hochkarätigen Schwachstellen suchen, die man ausnutzen kann.

Regierungen müssen sich fragen, ob die wahrscheinlichen Kosten für die Beeinträchtigung ihrer Gesellschaft durch eine ihnen bekannte, aber unveröffentlichte Schwachstelle die Vorteile des Zurückhaltens überwiegen. Es gibt viele Regierungskomitees auf der ganzen Welt, die das Für und Wider von Hack Backs und dem Nichtveröffentlichen von Schwachstellen diskutieren. Die Befürworter bringen »Interessen der nationalen Sicherheit« als Argument an. Was passiert jedoch, wenn sich eine unveröffentlichte Schwachstelle, die dem Staat jedoch bekannt ist, gegen ihre eigene kritische Infrastruktur wendet? Genau das ist mit EternalBlue und WannaCry passiert. Doch vielleicht müssen diese Lektionen erst noch gelernt werden.

 

Unterm Strich ein klares Nein

Die jährlichen Schäden durch Cyberkriminalität weltweit zu erfassen ist nicht leicht, aber es gibt Schätzungen: Eine der genannten Zahlen liegt im Bereich von sechs Billionen US-Dollar. Angesichts der Tatsache, dass Cyberkriminalität die Einnahmen und Gewinne der Unternehmen trifft, folgt daraus, dass dies einen negativen Einfluss auf die Höhe der Steuergelder hat, die von den Regierungen der Unternehmen erhoben werden können – derzeit 1,3 Billionen US-Dollar weltweit.

Die Rechnung geht in etwa so: Sechs Billionen Dollar Schaden multipliziert mit einem durchschnittlichen Unternehmenssteuersatz von 22 Prozent entspricht 1,32 Billionen Dollar nicht realisierter Steuern – aufgrund reduzierter Einnahmen im Zusammenhang mit Schäden oder entstandenen Kosten durch Cyberkriminalität. Interessanterweise beträgt der Gesamthaushalt der fünf größten westlichen Volkswirtschaften 12,3 Billionen Dollar, während ihr gesamtes Haushaltsdefizit 1,23 Billionen Dollar beträgt. Lohnt es sich also, Cyberwaffen zu behalten? Angesichts dieser Zahlen muss die Antwort Nein lauten.

 

Dirk Schrader, CISSP, CISM und ISO27001 Practitioner; CMO bei Greenbone Networks

 

 

211 Artikel zu „hack back“

Heckmeck mit Hack Back

Schwachstellen für digitale Gegenangriffe zurückzuhalten, ist in höchstem Maße riskant. Sollten Staaten Schwachstellen zurückhalten, um die eigenen Möglichkeiten eines Hack Back zu stärken? Nein, meint Dirk Schrader, CMO von Greenbone Networks, Vulnerability-Management-Anbieter, als Reaktion auf den Spiegel-Artikel »Das Cyber-Dilemma«.   Gut gezielte Cyberangriffe können heute das gesellschaftliche Leben ganzer Staaten lahmlegen. Bei einem totalen Blackout…

Hackerangriffe: Lautlos durch die Hintertür

Welche Maßnahmen präventiv gegen Hackerangriffe helfen und was müssen Unternehmen im Ernstfall beachten? Computer gehören zum Unternehmensalltag dazu. Das gilt für alle Branchen. Doch in dieser digitalen Welt lauern Gefahren. Neben technischen Problemen, Feuer oder Wasser gibt es eine Bedrohung, die mit einer Absicht handelt: Hacker. Warum sie eine Gefahr darstellen und was Unternehmen ganz…

Täglich grüßt der Hacker – sind Passwörter noch zeitgemäß?

Ein australischer IT-Sicherheitsexperte hat in einem Hackerforum die bisher größte öffentlich einsehbare Sammlung gestohlener Zugangsdaten entdeckt. Um 2.692.818.238 (rund 2,7 Milliarden) Zeilen mit E-Mail-Adressen und Passwörtern soll es dabei gehen. Für Betroffene kann damit großer Schaden verbunden sein, etwa, wenn Kreditkartendaten mit kompromittierten Accounts verknüpft sind. Zeit zu handeln und auf Alternativen für klassische Passwörter…

Hacker, willkommen – Schatten-IT als Einfallstor für Datendiebe, Cryptojacking und Malware-Angriffe

  Schatten-IT – Soft- und Hardware, die nicht durch das Sicherheitsteam eines Unternehmens freigegeben wurde – ist seit langem ein beliebter Angriffsvektor für Cyberkriminelle und Insider. Während Insider zunehmend bereits installierte, legitime und dadurch schwer zu entdeckende Tools wie PowerShell, WMI oder Cmd.exe einsetzen, um Unternehmensrechner mit Malware zu kapern, herrscht kein Mangel an scheinbar…

Studie zur Zwei-Faktor-Authentifizierung – Payback, GMX und Zalando fallen durch

Nur 10 von 43 getesteten Webportalen bieten den Nutzern ausreichende Zwei-Faktor-Authentifizierung (2FA). Payback, dm, GMX, WEB.DE, Notebooksbilliger.de, Otto und Zalando fallen mit null Punkten durch. Posteo und Bitcoin.de bestehen als einzige deutsche Webseiten den Test.   Dashlane gibt die Ergebnisse seines »2FA Power Rankings« bekannt. Die Rankings, für die die Verfügbarkeit von 2FA-Angeboten unter 43…

Geschäftskritische Downtime durch moderne Backups minimieren – Schnell zurück zum Tagesgeschäft

Unternehmen generieren mehr Daten als je zuvor: Laut IDC soll bis zum Jahr 2020 eine Datenmenge von 40 Zettabytes entstehen. Neben dem Volumen nimmt auch die Bedeutung der Daten zu. Die intelligente Nutzung von Daten hat sich als unerlässlich für die Wettbewerbsfähigkeit, den Umsatz und das Tagesgeschäft von Unternehmen auf der ganzen Welt erwiesen.  …

Modernes Backup & Recovery – Nach der Mauser

Backup & Recovery wird selten in einem Atemzug mit Innovation und digitaler Transformation genannt. Zu Unrecht, denn moderne Ansätze können entscheidend dazu beitragen, aktuelle Herausforderungen im Unternehmen zu meistern und die Produktivität zu steigern. Dazu ist jedoch ein Umdenken in der internen Sicherheitskultur nötig und es muss auf bestimmte Funktionalitäten geachtet werden.

Vom Hacker zum Einbrecher: Sicherheitslücke in Überwachungssystem für das Smart Home

Das Internet der Dinge nimmt Gestalt an und gilt längst als der nächste Mega-Trend. Unser Umfeld wird immer digitaler und vernetzter, neue Ökosysteme und ganze Netzwerke aus Maschinen entstehen. Laut Gartner werden bis zum Jahr 2020 weltweit 20,8 Milliarden IoT-Geräte im Einsatz sein. Diese Geräte werden zu jeder Zeit und überall, zum Beispiel zu Hause,…

Politische Hacker: Attacken gegen regierungsnahe Organisationen und Emmanuel Macron

Ein neuer Report verdeutlicht die Vorgehensweise der Hacker-Gruppe Pawn Storm und analysiert ihre Ziele. Trend Micro beschreibt darin aktuelle Cyberangriffe auf die CDU-nahe Konrad-Adenauer-Stiftung und die Friedrich-Ebert-Stiftung, die der SPD nahe steht, sowie auf den französischen Präsidentschaftskandidaten Emmanuel Macron. Nachdem die Gruppe im vergangenen Jahr bereits die Demokratische Partei in den Vereinigten Staaten sowie die…

Hacker durchschnittlich 106 Tage unentdeckt in Unternehmensnetzwerken der EMEA-Region

Dreiste Angreifer nutzen Telefonanrufe, um ihre Opfer zu überlisten. Unternehmen entdecken Cyberangriffe schneller – und haben dennoch Schwierigkeiten, mit der Kreativität der Cyberkriminellen mitzuhalten. Dies zeigt der jährliche Report »M-Trends«, der in seiner siebten Ausgabe von FireEye veröffentlicht wurde [1]. Der Report zeigt: Angreifer halten sich in der EMEA-Region im Schnitt dreieinhalb Monate im Unternehmensnetzwerk…

Backup allein genügt nicht mehr

Warum traditionelle Methoden an ihre Grenzen stoßen. In Zeiten der digitalen Transformation ist die reibungslose Verfügbarkeit von Daten für den Unternehmenserfolg entscheidend. Schneller Datenzuwachs, immer komplexer werdende Infrastrukturen und neue, strategische Initiativen wie etwa Virtualisierung, Cloud, »Bring your own device« (BYOD) und Compliance führen jedoch dazu, dass bisherige Backup-Methoden die Anforderungen in Sachen Datenzugriff nicht…

Hackern die Laune verderben – 8 Schritte zu automatisiertem Patch-Management

Wie macht man einen Hacker glücklich? Einfach sicherstellen, dass die Patches der Systeme nicht auf dem neuesten Stand sind. Wie der Verizon 2015 Data Breach Report zutage förderte, wurden 99,9 % der Schwachstellen über ein Jahr nach ihrem Bekanntwerden ausgenutzt. Außerdem standen 97 % der Angriffsziele im Jahr 2014 auf einer Liste mit zehn öffentlich…

Weitere Artikel zu