Ich sitze an der Front. Abdul Adhim Kamouss

Sun Tzu des Cyberkrieges

Cyberspionage, fand Kaspersky Lab heraus, kommt die Unternehmen teuer zu stehen. Dennoch rüsten die meisten erst dann ihre Sicherheit auf, wenn sie bereits Ziel einer Attacke geworden sind. Sicherheit wird immer noch nicht ernst genommen. Bleibt es also bei Lippenbekenntnissen?

datensicherheit cybercrime spionage

Wer etwas auf sich hält – und wer hoch hinaus will –, auf dessen Schreibtisch steht es: das Werk des chinesischen Kriegsherrn Sun Tzu. Oder Sunzi, wie man ihn auch nennt. Die Kunst des Krieges – entweder als „vollständiges Original“ mit psychologischen Kommentaren von Gitta Peyn oder die mit einem Vorwort von James Clavell versehene Ausgabe, der all denen „Sunzis fernöstliche Weisheiten“ zugänglich machen möchte, „die Erfolg und Vervollkommnung suchen, die ihr Verhaltungsgeschick verbessern und tiefere Einsichten in menschliches Verhalten gewinnen wollen“. Für den Besucher kunstvoll an einem gut sichtbaren Ort drapiert, die Befähigung des Besitzers, sich im Wirtschaftskrieg behaupten zu können, markierend. Gelegentlich auch in der Originalübersetzung ins Englische von Samuel B. Griffith. Noch seltener, schon aus statistischen Gründen, „Die weibliche Kunst des Krieges“ von Chin-Ning Chu. Und als must-have auf dem iPad: die Ausgabe des Sun Tzu für Manager. Als eBook oder Audiobook, natürlich.

Das letzte, das 13. Kapitel im Sun Tzus Werk über die Kunst des Krieges ist geheimen Operationen gewidmet. Es handelt davon, wie man Spione einsetzt. Und Doppelspione gewinnt. Die sogenannte fünfte Kolumne ist nämlich keine Erfindung der jüngsten Geschichte oder der westlichen Welt – des Zweiten Weltkrieges etwa –, sondern wurde im antiken China erfolgreich eingesetzt. Wie später auch im antiken Griechenland, der Wiege europäischer Zivilisation. „Spione sind im Krieg ein ausnehmend wichtiges Element, denn von ihnen hängt die Fähigkeit der Armee ab, sich bewegen zu können“, schrieb Sun Tzu auf Seite 115 seines Werkes. Obwohl der Westen umfangreiche Erfahrungen in Techniken und Methoden der Spionage sammelte, sind die Bemühungen, diese zu bekämpfen oder ihnen wenigstens wirksam zu begegnen, bisher nur mäßig erfolgreich gewesen.

„Kenntnis über die feindlichen Pläne und Bedingungen erhält man nur durch den Einsatz anderer Männer.“

In der Wirtschaft herrsch schon lange ein Krieg. Ein Wirtschaftskrieg. Und seit Kurzem auch der Cyberkrieg. Der massive Spionageangriff auf den deutschen Konzern ThyssenKrupp, der im Februar erfolgte, seit April dem Unternehmen und seit wenigen Wochen auch der Öffentlichkeit bekannt ist, soll nur eines der vielen Beispiele dafür sein, welchen Gefahren die Unternehmen – aber auch die sich nun fast vollständig in privater Hand befindlichen kritischen Infrastrukturen des Landes – ausgesetzt sind. Dem Bundesamt für Sicherheit in der Informationstechnik (BSI), der zentralen Meldestelle für Sicherheitsvorfälle nach dem ITSiG, das nun laut Medienberichten zur Cyber-Sicherheitsstrategie 2016 des Bundesministers des Innern (BMI) zu einer zentralen IT-Sicherheitsbehörde des Bundes aufgewertet werden sollte, seien mehrere Fälle bekannt, in denen Unternehmen in Deutschland von internationalen Hackerbanden infiltriert wurden, bestätigte das BSI auf Anfrage der Wirtschaftswoche. Welche? Das dürfte, konnte oder wollte das BSI nicht sagen.

„[…] es [ist] unmenschlich, sich nicht über die Verfassung des Feindes zu informieren, nur weil es einem zu teuer ist, einmalig hundert Unzen Silber als Belohnung und Sold auszusetzen.“

ThyssenKrupp soll mit internen Kräften mehrere Monate lang gegen die Cyberspione gekämpft und nach Ursachen geforscht, seine IT-Systeme bereinigt, Lücken geschlossen und Spuren verfolgt haben. Damit die Angreifer aus internen Systemen vertrieben werden und solche Vorfälle – wenigstens unter Berücksichtigung aktueller Gefährdungen – nicht mehr stattfinden. ThyssenKrupp rüstet den Medienberichten zufolge gegen potentielle künftige Angriffe auf. Dies ist keine neue Strategie: Viele Unternehmen investieren nach einem Angriff verstärkt in die Verbesserung ihrer internen Sicherheitskontrollen und führen Maßnahmen nach dem Stand der Technik ein.

550.000 Schaden pro Hack – im Durchschnitt

Kaspersky Lab hat in einer aktuelle Studie über Sicherheitsvorfälle mehr als 5.500 Unternehmen befragt und fand heraus, dass die durchschnittlichen Kosten, die ein Unternehmen mit mehr als 1.500 Beschäftigten im Jahr 2015 pro Cyberattacke ausgegeben hat, mehr als 550.000 Dollar betrugen. Dies sind nur die direkten Kosten (Kosten für Mitarbeiter und externe Firmen bzw. IT-Forensik, Anwälte und Berater, Kosten für Geschäftsausfälle und entgangene Geschäfte). Indirekte Kosten umfassen etwa 69.000 Dollar für zusätzliches Personal und Neueinstellungen, Erneuerung der Infrastruktur und Implementierung von Sicherheitsmaßnahmen und allem, was folgt.

Das Verhältnis für KMUs ist 38.000 zu 8.000 (für a posteriori Sicherheit, Sicherheitskontrollen, Personal und Maßnahmen). Unternehmen stocken oft erst nach dem Sicherheitsvorfall die Technik auf und investieren dann verstärkt in die Wiederherstellung des angekratzten Images. Kaspersky Lab hat die Kosten des Imageverlustes infolge eines Sicherheitsvorfalls erstmalig geschätzt, unter Berücksichtigung von Kosten für Kommunikations- und PR-Berater, externe Consultingunternehmen, Verlust am Wert der Marke, Kommunikation und entgangene Deals. Die durchschnittlichen Kosten betrugen für Großunternehmen mehr als 200.000 Dollar.

„Sei subtil! Sei subtil! Und setze dann deine Spione für jedes Unternehmen ein.“

Dennoch wurden ThyssenKrupp Dokumente, Informationen und Unterlagen entwendet. Teile von Informationen, so teilte das Unternehmen genauer mit. Das technische Profil, das ThyssenKrupp von den Tätern erstellt hat, passt zu einer internationalen Hackergruppe mit dem Codenamen „Winnti“. Oder zu jemandem, der die Techniken und Tools der Gruppe verwendet, die sich ursprünglich auf Hacking von Gaming-Plattformen spezialisiert hat. Ob sie ihre Aktivitäten auf Cyberspionage ausgeweitet oder Nachahmer gefunden haben, lässt sich nicht so leicht feststellen.

Nicht nur im Fall ThyssenKrupp. Es ist insgesamt sehr schwierig – wenn nicht unmöglich –, die Herkunft und Identität der Angreifer festzustellen. Je besser der Angriff vorbereitet ist und durchgeführt wird, desto professioneller verwischen die Angreifer ihre Spuren. Oder legen falsche, die IT-Forensiker und Incident-Manager in die Irre führen sollten. In Deutschland organisieren sich die Unternehmen entweder in exklusiven Klubs, die das Wissen über die Cyberangriffe und Cyberweapons nur dem Kreis ausgewählter Mitglieder, die es sich leisten können, zur Verfügung stellen, oder fordern vom Staat Maßnahmen und Aktivitäten, damit sie besser geschützt werden. Selbstbewusst, denn genau das hat das BMI den Unternehmen in seiner Cyber-Sicherheitsstrategie 2016 versprochen.

Es sind Fakten wie diese, die Sicherheitsexperten dazu bringen, für das kommende Jahr eher skeptische Prognosen aufzustellen und die Lippenbekenntnisse der Unternehmen als solche zu enthüllen: „I don’t do security prediction stories. But if I did, here’d be mine: Gobs of companies will continue to pay only lip service to security”, verkündete Brian Krebs via Twitter. Und Sebastian Schreiber resümierte im Interview mit der Wirtschaftswoche: „Datensicherheit wird nicht hinreichend ernst genommen. Entwendete Daten und Geschäftsgeheimnisse sind eine große Bedrohung für Unternehmen, dennoch greifen sie oft zu der günstigsten und bequemsten Lösung. Doch diese ist meistens nicht die beste.“

Und der Staat?

Nun, die deutsche Regierung plant angesichts der vielen Hinweise und aufgrund fehlender Beweise, den Cyberspionage-Attacken aus China wie den (jetzt schon antizipierten) politisch motivierten Attacken auf Bundestagswahlen aus Russland mit präventiven Gegenanschlägen zu begegnen. Mit Konzepten wie Cyber-NATO und para-militärischer Kalter-Krieg-Rhetorik. Und ohne Personal, denn für gut ausgebildete Leute kann sie – oder will sie – nicht zahlen. Die Gehälter seien niedriger als in der Wirtschaft, deswegen bekäme man eben keine guten Leute, heißt es aus den Ministerien. Die Lage in der Wirtschaft scheint dennoch nicht wesentlich besser: Jahrelang behandelte man die IT als Zitrone, die man nur auspressen musste. Konsequenz: Es fehlt erfahrenes Personal, dafür stapeln sich Jobanzeigen, mit denen schnell und vor allem billig neues Personal – der omnipräsente „Junior“ – angeworben werden sollte.

„Kein anderer sollte großzügiger belohnt werden. Und in keiner anderen Angelegenheit sollte größere Diskretion bewahrt werden.“

So kam es, dass die fähigsten Hacker eben nicht für die Deutschen arbeiten. Karl-Koch-Syndrom heißt dieses Phänomen, benannt nach einem der berühmtesten deutschen Hacker, der noch zu Zeiten des Kalten Krieges seine Dienste dem KGB verkaufte. Glücklicherweise war der vom Embargo geplagte russische Geheimdienst nur an Software interessiert und konnte mit den ihm von Koch überlassenen Magnetbänden, auf denen alle denkbaren Sicherheitslücken und Schwachstellen in der sich damals im Einsatz befindlichen Software und in Betriebssystemen gespeichert waren, nicht viel anfangen. Im Übrigen ebenso wenig, wie davor der deutsche Verfassungsschutz, der die von Mitgliedern des Chaos Computer Clubs gelieferten Sicherheitshinweise einfach ignorierte.
„Hacker fanden sich plötzlich wieder im Spannungsfeld zwischen Ost und West, in einem geheimen Krieg um Informationen, die für die Zukunft entscheidend sein sollten – wie auch heute wieder“, subsumierten Stefan Aust und Thomas Ammann in Digitale Diktatur, Seite 222. Eventuell fand jemand auf einem verstaubten Regal eines vergessenen KGB-Lagers nun das Magnetband wieder und machte daraus Gebrauch.

Es wäre nicht verwunderlich, wenn viele der Sicherheitslücken, die in den späten 1980er identifiziert wurden, immer noch nicht geschlossen wären. Und wenn die Hacker aus China und Russland tatsächlich so gut und gefährlich sind, wie uns das Innenministerium glauben machen möchte, dann könnte man versuchen, sie für die eigene gute Sache zu gewinnen. Das wäre eine Taktik, die der Kriegsherr Sun Tzu begrüßen dürfte: „Feindliche Spione, die gekommen sind, um uns auszuspionieren, müssen entdeckt werden, bestochen, fortgeschafft und angenehm untergebracht werden. So werden sie zu umgedrehten Spionen und stehen dann zu unseren Diensten“ , schrieb er.
Manchmal ist es von Vorteil, Bücher, die man kauft, ganz zu Ende zu lesen. Und auch darüber hinaus nach Informationen zu suchen.

Die englische Übersetzung The Art of War enthält neben dem Originaltext auch Kommentare von Tu Mu’s (803 – 852) dazu, wie man geeignete Kandidaten erkennt: „The first essential is to estimate the character of the spy to determine if he is sincere, truthful, and really intelligent. Afterwards, he can be employed …“ Wurde er für intelligent, ehrlich und aufrichtig befunden, kam das Geld ins Spiel. Denn es sei „grundlegend, dass der übergelaufene Spion äußerst großzügig behandelt wird“, wiederholt immer wieder Sun Tzu. Ob Codemaker oder Codebreaker, ob sie nun in Hardware, Bitcoins oder schnöden Euros bezahlt werden – besser wäre es, sie würden belohnt. So würde der kluge General handeln. Und das wäre auch für die Sicherheit besser.

Lesen Sie auch die letzte Kolumne von Aleksandra Sowa: Das Internet der bösen Dinge

Leserbriefe

comments powered by Disqus

Mehr zum Thema: Datensicherheit, Cybercrime, Spionage

Kolumne

Medium_57ff04dfa7
von Aleksandra Sowa
21.09.2016

Kolumne

Medium_57ff04dfa7
von Aleksandra Sowa
16.03.2016

Kolumne

Medium_57ff04dfa7
von Aleksandra Sowa
20.10.2015
meistgelesen / meistkommentiert