- Wie man Angriffe „isoliert“ und „beobachtet“
Nach dem Hacking-Angriff auf das Netzwerk der Bundesregierung bleiben viele Fragen unbeantwortet. Im Interview erklärt der Heidelberger Informatiker Vincent Heuveline, wie versucht wird, den Schaden von Hackern einzudämmen
Seit am Mittwoch bekannte wurde, dass Hackern ein Angriff auf deutsche Regierungsnetzwerke gelungen ist, wird spekuliert, wer hinter dem Angriff steckt. Angeblich soll die Hackergruppe „Snake“ hinter dem Angriff stecken, die mit der russischen Regierung assoziiert wird - mit Sicherheit lässt sich aber bislang nichts sagen. Im Interview erklärt der Heidelberger Informatik-Professor Vincent Heuveline, wie die Behörden den Angreifern auf die Spur gekommen sein könnten.
Wie viel Schaden können Hacker anrichten, wenn sie in ein System eindringen?
Viel. Am häufigsten wollen Hacker Daten stehlen – vor allem, wenn Geheimdienste dahinterstehen. Denn bedenken Sie: Daten sind nichts anderes als Wissen und das wiederum ist Macht. Ein zweites typisches Ziel ist das Kompromittieren von Daten. Davon sprechen wir in der Informationstechnologie, wenn ein Angreifer die Daten seines Opfer verändern will. Wenn Regierungsstellen angegriffen werden, dann können sensible Berichte einfach umgeschrieben werden. Das kann großen Schaden anrichten.
Und trotzdem haben die Behörden nicht sofort versucht, den Angriff zu stoppen, und die Öffentlichkeit informiert. War das fahrlässig?
Die Behörden wollten den Angriff attribuieren. Das bedeutet: Sie wollten ihn beobachten und herausfinden, wer hinter dem Angriff steckt.
Wie kann man sich diese Beobachtung vorstellen – es läuft doch keiner mit Skimaske in ein Rechenzentrum.
Sie können den Angreifer tatsächlich in Echtzeit dabei beobachten, wie er versucht, in ein System einzudringen. Zwar ist das nicht so plastisch, wie einen Menschen zu beobachten, der in ein Gebäude einbricht, aber man kann ihn indirekt beobachten und zwar anhand der Spuren, die er hinterlässt.
Welche Spuren sind das?
Zum Beispiel können Sie sehen, welche Rechner und Server auf Ihr Netzwerk zugreifen. Wenn jetzt die Zahl der Zugriffe plötzlich ungewöhnlich hoch ist, dann können Sie sehen, das da was vorsichgeht. Oder wenn die Zugriffe von dubiosen Rechnern aus gestartet werden.
Professor für Informatik in
Heidelberg
Oder, dass die Angriffe von Russland aus gesteuert werden?
Nein, so plump gehen professionelle Angreifer in der Regel nicht vor. Meistens überfallen die Hacker zunächst andere Rechner und mit diesen Rechnern wiederum greifen sie dann ihre eigentlichen Opfer an. Das nennt man Kaskadierung. Aber so eine Kaskadierung hat natürlich auch ein gewisses Muster, das der Verteidiger erkennen kann. In der Regeln ist es sehr schwer, bei einem Kaskade-Angriff eindeutig auf den Urheber zu schließen. Aber es gibt immer Anhaltspunkte. Deshalb kann es unter Umständen klug sein, so einen Angriff zu beobachten, wenn man ihn unter Kontrolle hat.
Auch die deutschen Behörden haben gesagt, sie hätten den Angriff „isoliert“, also unter Kontrolle gehalten. Wie kann man sich das vorstellen?
Wie genau die Isolierung gelungen ist, darüber kann man nur spekulieren. Aber in der Regel wirft man einen Köder aus, einen sogenannten Honey Pot. Das ist ein Rechner oder ein Server, der Sicherheitslücken aufweist und die Angreifer sozusagen provozieren soll, diese auszunützen. Andere Rechner oder Server im System haben diese Sicherheitslücken dann nicht, sodass der Angriff eben isoliert auf den Honey Pots bleibt.
Im Internet kann man sehr viel verschleiern. Können die Angreifer nicht auch Scherzkekse aus Castrop-Rauxel gewesen sein.
Ja, im Prinzip schon. Solche Scherzkekse nennen wir Scriptkiddies, aber in diesem Fall lässt sich sagen, dass es sich um einen Angriff gehandelt hat, der nicht von Scriptkiddies ausgeübt wurde. Dafür war die Attacke zu komplex.
Immer mehr Hackerwerkzeuge kann man sich unkompliziert im Internet besorgen. Was macht Sie da so sicher, dass Profis hinter dem Angriff stecken?
Mit Sicherheit kann man natürlich nichts sagen. Aber die Angreifer hatten nicht einfach Knowhow aus dem Internet. Die mussten auch eine sehr große Rechenkapazität gehabt haben, um so einen Angriff zu fahren. Als Privatperson ist es nicht ganz einfach, so etwas unbemerkt zu organisieren. Aber Sie haben schon recht: Herauszufinden, wo ein Angriff herkommt, ist die schwerste Aufgabe in der Informationssicherheit. Wir nennen das die Attributionsproblem.
Wieso hat es eigentlich immer den Anschein, dass Hacker aus Russland kommen? Machen andere Länder das etwa nicht?
Das ist eine politische Frage. Wobei ich mir sehr sicher bin, dass auch für deutsche Behörden das Hacken zum Grundrepertoire gehört.