Cybercrime ist ein Verbrechen, gerichtet gegen den Einzelnen oder auch gegen Firmen und Organisationen. Hier sollten Strafverfolgungsbehörden tätig werden, ermitteln und Täter verhaften. Durch Cybercrime werden jährlich steigende Erträge erzielt, die mittlerweile den ökonomischen Wert von Drogen-, Menschen- oder Waffenhandel übertreffen. Bester Schutz ist Sicherheitsaufklärung und Aufmerksamkeit: Jeder sollte über grundlegende Sicherheitsregeln und -konzepte informiert sein, etwa was “Social Engineering” ist, wie man Phishing-Mails erkennt und so weiter. Aus investigativer Sicht kann man Cybercrime durch Informationsaustausch von Strafverfolgung, Internetanbietern und privaten Unternehmen bekämpfen.
Löcher wie ein Schweizer Käse
Davon unterscheidet sich der Cyberwar. Cyberwar-Aktivitäten sind gezielte Attacken auf eine andere Nation. Diese Angriffe können entweder staatlich gefördert oder durch politische und religiöse Gruppen und Ideale getrieben sein. In jedem Fall ist beim Angriff auf einen Staat die Armee für die Verteidigung zuständig. Die Aufgaben des Militärs beinhalten den Schutz einer Nation vor Angriffen anderer Staaten. Doch ist dies kein klassischer Krieg im alten Sinne; es ist eine “neue Art” von Krieg, die man als “informationstechnische Kriegführung” bezeichnen könnte. Der erste Verteidigungsschritt wäre es, die nationale kritische Infrastruktur eines Landes zu schützen. Die “Stuxnet”-Attacke hat erst kürzlich gezeigt, welche Auswirkungen solche unerwarteten Angriffe haben können. Leider kann der Schutz weder effektiv noch effizient genug sein. Die meisten Angriffe nutzen Sicherheitslücken, die selbst den Soft- und Hardwareanbietern unbekannt sind. Dies ist eine kulturelle Kluft, die man nicht in ein paar Wochen oder Monaten beheben kann. Es gibt millionen-, milliardenfach unsichere Software, die seit Jahrzehnten programmiert, veröffentlicht, verbreitet und genutzt wird und von der wir zunehmend im Alltagsleben abhängig sind.
Für Onlineattacken ist die klassische Definition von Krieg als Konflikt zwischen territorial definierten Nationalstaaten nicht länger ausreichend. Das ist auch der NATO bewusst, das Militärbündnis arbeitet verstärkt an neuen Strategien. Problematisch ist, dass bei Cyberwar – und auch bei Cybercrime – nicht immer genau gesagt werden kann, wer der Urheber ist. Das heißt im Klartext, man kann nicht einfach behaupten: “Staat X greift unsere Nation an.” Der Angreifer könnte sich in das System von Staat X gehackt haben, lebt aber im Staat Y und startet von dort seinen Angriff, indem er das gehackte System als Startrampe nutzt, um Spuren zu verschleiern und sich besser zu tarnen. Um herauszubekommen, wer hinter dem Angriff steckt, müsste die attackierte Nation sich in das angreifende System hacken, was wiederum illegal ist und weitere Konsequenzen nach sich ziehen könnte. Die Logik hinter solchen “Kriegsspielen” ist keineswegs einfach.
Neue Regeln müssen her
Präventiv ist der sogenannte “Software Development Life Cycle” (SDLC) eine erste Antwort. Penetrationstests (gezielte Angriffe, um Belastungen zu testen und bekannte und unbekannte Fehler einer Infrastruktur zu finden) sind ein weiterer, extrem wichtiger Schritt. Bei ISECOM entwickeln wir seit 2001 OSSTMM, eine international anerkannte Penetrationstestmethode, die als Open Source verfügbar ist. Auch bei UNICRI und ENISA bemühen wir uns, den Inforationsaustausch zwischen verschiedenen Akteuren zu fördern: Da die Verbrechen global und grenzenlos sind, muss die Antwort darauf besser sein als heute. Dennoch werden die “bad guys” immer einen Schritt voraus sein. Es ist immer das Gleiche: Jede neue Technologie öffnet Türen für Angriffe und Betrug.
