Der größte Hacker-Angriff in der US-Geschichte

Erschienen in Zenith, am 19.12.2020 (Link: https://magazin.zenith.me/de/politik/cyber-attacken-auf-fireeye-solarwind-und-orion)

In Europa realisiert man das Ausmaß der jüngsten Cyber-Attacken auf die USA noch nicht. Dort werden Rufe nach Vergeltung lauter. Es wird nun Gegenschläge geben.

Als die Sicherheitsabteilung der US-IT-Firma Fireeye vor kurzem die E-Mail-Anfrage eines ihrer Mitarbeiter genauer unter die Lupe nahm, stellte sie fest, dass diese gar nicht von ihm stammte. Ein anderer musste sie geschickt haben, der wohl viel größer und gefährlicher war. Als sich die Experten die betreffende Malware genauer ansahen, wurde immerhin die Spitze des Eisberges sichtbar. Dieser Cyberhack wird nun wohl in die Geschichte eingehen. Wie es scheint, wurden über 18.000 US-Regierungsbehörden und Unternehmen Opfer eines großangelegten Angriffs. Durchgeführt von Angreifern mit, so lautet die erste Bewertung der amerikanischen Behörden, ausländischem staatlichen Hintergrund. Russland steht unter Verdacht. Die Hackergruppe Cozy Bear oder andere, artverwandte könnten wieder zugeschlagen haben.

Der entdeckte großangelegte Cyberangriff dürfte in einer Qualität und in einem Ausmaß durchgeführt worden sein, dass selbst Kenner der IT-Szene im Moment noch nicht in der Lage sind, die passenden Antworten finden. Zu unübersichtlich ist die derzeitige Lage und zu groß scheint das Ausmaß des möglichen Schadens. Jede neue Meldung löst bei den US-Behörden Schockwellen, Verbitterung und Wut aus. Der Cyberangriff war gut überlegt. Er dürfte unter Umständen schon vor Jahren begonnen worden sein und er war so erfolgreich, dass bereits einige der wichtigsten US-Regierungsbehörden davon betroffen sind. Und er ist so gewaltig, dass man in einigen Behörden in höchster Not und aus Mangel an Alternativen praktisch den Stecker ziehen musste.

Betroffen ist nach ersten Meldungen die National Nuclear Security Administration (NNSA), also jene Behörde, welche das US-Atomwaffenarsenal betreibt und überwacht. Die NNSA ist dabei nicht nur für die Simulation von US-Kernwaffentests verantwortlich, wozu sie einen der modernsten US-Supercomputer namens BlueGene verwendet, sondern auch für den Transport und die Lagerung der vorhandenen armierten Waffen und des radioaktiven Materials. Zudem führt die Behörde eine Datenbank mit den Namen zehntausender Beamter und Zivilpersonen, welche in den USA an der Aufrechterhaltung der nuklearen Abschreckung arbeiten; darunter fällt auch eine Übersicht über die dazu notwendigen Zulieferbetriebe.

Die Angreifer waren schlau, sie gingen überlegt vor, sie tarnten sich, sie versuchten nicht aggressiv zu agieren, sondern behutsam und Schritt für Schritt vorzugehen. Also exakt so wie man es tun würde, wenn man auf lange Zeit nicht entdeckt werden wollte. Wie ein Nachbar, der in böser Absicht mit einem nachgemachten Schlüssel in den Keller seines Feindes einsteigt, alles betrachtet und aufzeichnet und nach dem Verlassen wieder sorgfältig die Kellertüre versperrt. Fireeye entdeckte quasi durch Zufall den Schlüssel an der Kellertüre, den der Einbrecher dort vergessen hatte. Die große Frage ist aber, was hat er nun alles im Keller gesehen, entwendet oder gar unerkannt unbrauchbar gemacht?

 

Die kritische Infrastruktur der USA wurde über eine Schwachstelle gehackt und lag möglicherweise für lange Zeit wie eine offene Bedienungsanleitung vor dem Angreifer.

 

Die kritische Infrastruktur der USA wurde über eine Schwachstelle gehackt und lag möglicherweise für lange Zeit wie eine offene Bedienungsanleitung vor dem Angreifer. Er musste nur vorsichtig Seite für Seite umblättern. Die ersten forensischen Untersuchungen von US-IT-Experten, deren Ergebnisse nur sehr spärlich an die Öffentlichkeit dringen, vermutlich vorrangig um den politischen Entscheidungsträgern das ganze verheerende Ausmaß der Situation bewusst zu machen, zeigen, dass die Angreifer neue Cyberangriffsmethoden und Tools verwendeten, welche bis jetzt noch nicht beobachtet wurden. Die wiederholt geäußerte Befürchtung von US-Cybersicherheitsexperten und der dabei zentrale Hinweis auf die Gefährlichkeit der Schwachstellen von Softwarelieferketten scheint wahr geworden zu sein.

Und so dürfte eine Schlüsselrolle beim Eindringen in die Netzwerke dem US-Softwareunternehmen Solarwind zugefallen sein. Solarwind stellte seine Software Orion gezielt für alle relevanten US-Behörden zur Verfügung. Wie üblich erfolgten laufende Updates. Diese wurden entsprechend an die Bedarfsträger verschickt. Die Angreifer nutzten dies. Sie schlüpften quasi als Code in das Softwareupdate und wurden bei der »Zugangskontrolle« eingelassen. Dann begannen sie mit ihrer Arbeit. Sie verschafften sich einen Überblick, erstellten Protokolle und begannen Daten zu transferieren.

Die Cybersecurity and Infrastructure Security Agency (CISA) lässt seit einigen Tagen fast stündlich mit neuen Hiobsbotschaften aufhorchen. So wurden neben der NNSA auch die Federal Energy Regulatory Commission (FERC) Opfer des Angriffes. Die FERC ist in den USA praktisch für die bundesweite Sicherstellung der Strom-, Öl- und Gasversorgung zuständig. Dazu zählen Umspannwerke, Öl- und Gaslagerstätten, Terminals, Stromnetze, Energieprovider, also alles um die Wirtschaft und das tägliche Leben aufrecht zu erhalten. Der entdeckte exploit, also die »Beute« der Hacker, alleine im Verantwortungsbereich der FERC ist so umfangreich, dass die CISA eingestehen musste, nicht genügend Ressourcen zur Bewältigung zur Verfügung zu haben. Ihr Direktor, Christopher Krebs, wurde zudem erst vor kurzem vom abgewählten US-Präsidenten Trump entlassen.

Es scheint, dass auch Microsoft betroffen ist. Das Unternehmen gab bekannt, dass der Schadcode auch im eigenen Unternehmen angetroffen wurde. Dessen Auffindung ist nicht einfach. So wurden in den knapp 50.000 Zeilen eines Updatecode von Solarwind erst nach genauer Kontrolle einige Zeilen entdeckt, die dort eigentlich nicht sein hätten dürfen. Es ist nun ungewiss, in welche Softwareprogramme sich die Hacker bereits überall eingenistet haben. Und dies war offensichtlich nur eine Methode der Angreifer. Wie viele Methoden und welche Tools genau verwendet wurden ist unbekannt. Die CISA veröffentlichte eine ungewöhnlich dramatische Warnung, um mögliche betroffene Behörden und Unternehmen auf den Hack aufmerksam zu machen.

Auch im Pentagon war man offensichtlich gezwungen, in einer Notmaßnahme vom Netz zu gehen. Und aus Washington kommen weitere bestürzenden Nachrichten. So mehren sich Hinweise, dass einige bedeutende Think-Tanks betroffen sind, also Institutionen, die mitunter auch eine wichtige Aufgabe in der Politikberatung der jeweiligen US-Administration übernehmen. Sie erstellen Bedrohungsbilder, formulieren Bewertungen und helfen, Strategien zu erstellen.

 
Stuxnet zeigt: Die Kämpfe im Cyberspace haben reale Folgen und können Krieg provozieren.

Der Angriff erwischt die USA in der denkbar schwierigsten Phase. Der abgewählte US-Präsident ist nur widerwillig bereit, seinen Platz zu räumen, während der neu gewählte US-Präsident Biden noch nicht die Zügel in der Hand hält. Die Übergabeteams haben zum Teil noch nicht einmal mit ihrer Arbeit begonnen. Zu allem Überfluss steigt die COVID19-Infektionsrate; es wurde die Marke von 300.000 Todesopfern überschritten. Hinzu kommen laufende Proteste aufgrund von immer wieder kritisch hinterfragten US-Polizeimaßnahmen. Die USA sind somit eindeutig in einer Situation größer Anspannung. Nervosität greift um sich. Die erst in den letzten Wochen durchgeführten Langstreckenflüge von US-B52 Bombern in den Mittleren Osten sind ein sichtbares Zeichen dafür, dass man potenziellen Gegnern zeigen möchte, dass man bereit sei. Für was auch immer.

Spätestens seit dem Jahr 2014 ist indes der Cyberraum zum Schlachtfeld geworden. Jeder kämpft dort gegen jeden, so scheint es, oder in wechselnden Allianzen. Die Öffentlichkeit nimmt davon nur Notiz, wenn die entlarvten Hackergruppen durch die ihnen von den Entdeckern gegebenen Namen ans Tageslicht gezerrt werden. Das liest man plötzlich von Office Monkeys, Cozy Car, The Dukes, Cozy Duke, Grizzly Steppe, Fancy Bear oder einfach nur das Kürzel APT29. Doch hinter all diesen Namen stecken staatliche und nichtstaatliche Akteure, die in der militärischen Domain des Cyberspace um die Vorherrschaft rittern. Um in einem möglichen Konflikt in Lichtgeschwindigkeit die Schlacht für sich entscheiden zu können. Diese Kämpfe aber sind real und wirken sich auf das reale Leben aus. Davon zeugen Stromausfälle, zerstörte Kraftwerke, explodierende Transformatoren oder verrücktspielende Atomzentrifugen, wie wir sie in den letzten Monaten in Iran beobachten konnten. Solche Einrichtungen wurden bereits 2010 ein Opfer von Stuxnet.

Sollte tatsächlich Russland oder ein anderer staatlicher Akteur dahinterstecken: Er sei in jedem Fall gewarnt. Denn es scheint, dass die USA sich im Moment im Panikmodus befinden. Sie irren quasi durch ihren Keller auf der Suche nach den verräterischen Spuren der Einbrecher. Und mit jedem Hinweis, den sie entdecken, steigt das Bedürfnis nach Vergeltung. Das Völkerrecht kennt für den Cyberraum noch keine verbindliche Rechtsregime. Völkergewohnheitsrechtliche Maßnahmenpakete (unter anderem dargelegt im Tallinn Manual 2.0) sind nach wie vor umstritten. Also keine gute Basis für eine mögliche Eskalation. Es bleibt zu hoffen, dass die Wut der USA nicht in Gewalt umschlägt. Unbeantwortet wird der Angriff in jedem Fall nicht bleiben. Und die umfangreichen Netzausfälle beim russischen Telekomanbieter Rostelecom vor wenigen Tagen könnten bereits ein Zeichen für Bevorstehendes sein. Dies bleibt zwar vorerst Spekulation. Die Zeichen stehen im Moment aber offenbar auf Sturm.


Screen+Shot+2020-03-18+at+3.10.40+PM.jpg

Dr. Markus Reisner PhD ist Oberstleutnant des Generalstabsdienstes beim Österreichischen Bundesheer, Mitglied des IIP Advisory Boards, und Autor von »Robotic Wars«.