Vor über 10 Jahren hatte ich die Möglichkeit das Thema Cyber im Rahmen der Armeeführung zu diskutieren. Bei diesem Gespräch wurde von verschiedenen Seiten geäussert, dass Cyber keinen Krieg entscheiden würde. Das war damals falsch und ist es heute umso mehr. Ein unnötiger Denkfehler, den man im Informationszeitalter tunlichst vermeiden sollte.

Wir leben in einer Ära, in der unsere Existenz durch Elektronik, Digitalisierung und Informationsverarbeitung zusammengehalten, das Zusammensein orchestriert und Lebensqualität gewährleistet wird. Cyber hat aber nicht nur mit Bits und Bytes zu tun. Im Rahmen von Sicherheitsüberprüfungen wird gerne das Augenmerk auf technisch versierte Hacking-Angriffe gelegt, obschon viele Firmen ihre Zuleitungen und Sicherungskästen für Strom ungeschützt und frei zugänglich umgesetzt haben.

Strom ist nur eines der Elemente, das zur kritischen Infrastruktur gehört. Wenn dieser Ausfällt, ist nach Stunden mit Chaos und nach Tagen mit Plünderungen zu rechnen. Denn mit ihm werden ebenso die Wasserversorgung, Kommunikation und der Verkehr zusammenbrechen.

Die Gewinnung und Verteilung von Strom wird wiederum durch moderne Computer- und Netzwerktechnologien ermöglicht. Ein elektronischer Angriff auf zentrale Elemente kann somit über kurz oder lang eine Gesellschaft empfindlich treffen. Szenarien, die sowohl unter als auch über der Kriegsschwelle dank der gesellschaftlichen digitalen Transformation an Relevanz gewonnen haben.

Geopolitische Interessen

Computerangriffe sind in einer global vernetzten Welt an der Tagesordnung. Manche von ihnen werden durch Cyberkriminelle vorangetrieben, die mit Diebstahl und Erpressung ihren Lebensstil finanzieren wollen. Andere werden durch staatliche Akteure orchestriert, um ihre geopolitischen Interessen durchsetzen zu können. Der Unterschied in Bezug auf Herangehensweise und involvierte Figuren ist manchmal fliessend, die klare Identifikation und Assoziation der Akteure umso schwieriger.

Es bestehen aber Möglichkeiten, diese Aktivitäten, oder mindestens die Resultate dieser, zu beobachten. Dadurch können sowohl für einzelne Akteure als auch für Gruppierungen entsprechende Profile erstellt werden: Welche Technologien sind relevant und welche Produkte als Ziel ausgewählt. Setzt man dies in Kontext mit den wirtschaftlichen bzw. geopolitischen Absichten, lassen sich bisweilen ziemlich genaue Voraussagen in Bezug auf geplante, sich anbahnende oder laufende Aktivitäten erstellen.

Zum Beispiel ist ersichtlich, dass man in China vor rund zwei Jahren den strategischen Entscheid gefällt hat, ebenfalls Angriffsszenarien anzustreben, die eine Benutzerinteraktivität voraussetzen können. Dazu gehören klassische Phishing- und Social Engineering-Szenarien, in denen die Zielperson zu einer kompromittierenden Handlung gedrängt wird. Dies kann typischerweise die Herausgabe von Passwörtern oder das Installieren einer Malware sein.

Diese Stossrichtung steht in grossem Widerspruch zu den Paradigmen, die man zum Beispiel bei US-amerikanischen, russischen oder israelischen Akteuren beobachten kann. Dort werden primär rein technische Angriffsmöglichkeiten bevorzugt, bei denen der wankelmütige Faktor Mensch keine Rolle spielt. Diese Methoden sind technisch aufwändiger fehlerfrei umzusetzen, lassen sich aber ebenso schwierig frühzeitig erkennen und in Echtzeit abwehren.

Solche Details, gerade wenn sich aus diesen eine solide Prognose ableiten lassen, sind von enormer Wichtigkeit. Sie helfen dabei, selbst strategische und taktische Entscheidungen zu treffen, um Angriffe frühzeitig identifizieren und diese erfolgreich mitigieren zu können. Im Idealfall kann man proaktiv gegen die drohenden Gefahren vorgehen, oder halt mindestens souverän reagieren.

Offensive Anforderungen

Doch auch auf offensiver Seite hat eine Professionalisierung und Industrialisierung stattgefunden. Das Umsetzen von technischen Angriffen wird mit sogenannten Exploits automatisiert. Das Entwickeln dieser wurde über die Jahrzehnte immer schwieriger, da Computersysteme fortwährend komplexer und Abwehrmechanismen zunehmend ausgeklügelter wurden. So ist es nicht erstaunlich, dass sich ein Markt für diese Exploits etablieren konnte: Dort werden Angriffstools getauscht, verkauft und gekauft.

Analysen dieser Märkte zeigen Trends in Bezug auf beliebte Angriffsziele und Preisentwicklungen auf. Als Faustregel gilt, dass umso populärer ein Produkt aus Sicht der Angreifer ist, desto höher sind die Preise. Exploits für iPhones führen seit Jahren die Rangliste an, erzielen regelmässig Preise über 1.5 Millionen USD. Dies liegt einerseits an der Architektur des Apple-Betriebssystems. Andererseits an den potenziellen VIP-Zielen, die mit einem guten Exploit angegangen werden können.

Am Schluss gewinnt derjenige mit dem besten Wissen. Durch den Zukauf von Exploits muss dieses in grossen Teilen nicht mal selbst erarbeitet werden. Es bleibt in diesem Moment eine Frage des Geldes. Wer im internationalen Spiel im Cyberraum mithalten will, muss sich also nicht nur defensiv, sondern auch offensiv richtig aufstellen können. Entsprechendes Budget wird mittlerweile bei den dafür zuständigen Organisationen vorgesehen. Und das Mindset kann sich langsam auch mit der digitalen Transformation anfreunden.

Fazit

Unsere Gesellschaft fusst auf den neuen Technologien. Durch sie erhalten wir Wohlstand und Lebensqualität. Gleichzeitig sind sie aber auch ein faustischer Pakt mit dem Teufel. In vielen Bereichen tendieren sie uns zu beherrschen. Dem kann nur mit klugen Entscheidungen und organischem Wachstum entgegnet werden. Primitiv anmutende Grundwerte wie Unabhängigkeit und Simplizität sind unabdingbar, um von der Technologie nicht überrollt zu werden.

Die Digitalisierung hat auch vor militärischem Equipment nicht Halt gemacht. Drohnen, Flugzeuge, Panzer sind die offensichtlichsten Elemente, die davon profitieren können. Sie alle greifen auf elektronische Mechanismen zurück, die eine Orchestrierung und Nutzung entweder hochgradig optimieren oder gar erst ermöglichen. Hacking-Angriffe auf diese Komponenten sind von enormer Wichtigkeit, können Verbände massgeblich schwächen. Sie sind also zu einem elementaren Mittel in der Kriegsführung geworden. Ein Krieg kann heutzutage durchaus mit Cyber entschieden werden. Das darf man weder unterschätzen noch ignorieren.

Über den Autor

Marc Ruef ist seit Ende der 1990er Jahre im Cybersecurity-Bereich aktiv. Er hat vor allem im deutschsprachigen Raum aufgrund der Vielzahl durch ihn veröffentlichten Fachpublikationen und Bücher – dazu gehört besonders Die Kunst des Penetration Testing – Bekanntheit erlangt. Er ist Dozent an verschiedenen Fakultäten, darunter ETH, HWZ, HSLU und IKF. (ORCID 0000-0002-1328-6357)