Thema: Das Web als Waffe ...

[SiLæncer]

Der Rüstungswettlauf im Cyberspace, den Staaten wie die USA, China und Russland sich seit einigen Jahren liefern, droht außer Kontrolle zu geraten. Als Knackpunkt erweist sich dabei vor allem das Problem der Identifikation des Angreifers, berichtet Technology Review in seiner aktuellen Ausgabe.

Wer versucht, die Mythen und Legenden, die sich um den Krieg im Cyberspace ranken, zu hinterfragen, gerät schnell auf trügerisch schwankenden Boden: Unabhängige Untersuchungen sind in der Regel nicht vorhanden, Militärs und Unternehmen berufen sich auf Geheimhaltungsklauseln, und Politiker nutzen nur allzu gern den Abschreckungseffekt, der sich aus den vermeintlich vorhandenen militärischen Fähigkeiten ergibt. Zum Beispiel im Irak: Vor Beginn des ersten US-Militärschlags 2003 ist angeblich eine Kampagne geplant worden, um Saddam Husseins Finanzen lahmzulegen. Mithilfe eines Hacks sollten irakische Konten eingefroren und Finanzmarkt-Transaktionen gestoppt werden, um dem Irak Geld für Truppen und Kriegsgerät zu entziehen. Die Aktion selbst hat aber nie stattgefunden – angeblich wurde sie nicht freigegeben, weil auch die Software französischer Banken von dem Hack betroffen gewesen wäre.

Der Schleier aus Geheimhaltung, Gerüchten und Verdächtigungen, den die betroffenen Staaten über ihre Aktivitäten decken, provoziert jedoch neue, politische Gefahren. Denn ein fähiger Angreifer kann seine Attacke über mehrere Länder hinweg führen – die meistender weiterleitenden Rechner protokollieren nicht, welche Anfrage sie von wem erhalten haben und wohin sie die angefragten Datenpakete geschickt haben. „Und auch wenn man in der Lage ist, einen Rechner zu identifizieren, bedeutet das noch lange nicht, dass man die wahre Quelle eines Angriffs gefunden hat“, sagt Vern Paxson, Sicherheitsforscher an der University of California, Berkeley. Selbst bei einer erfolgreichen Lokalisierung des angreifenden Landes bleibe schließlich das Problem, dass die Angriffe von zivilen Rechnern lanciert werden können. „Wenn ich das Terminal gefunden habe, kann das immer noch in irgendeinem Internet-Café in Shanghai stehen.“

Eine Identifizierung des Täters und die für die sicherheitsrechtliche Behandlung erforderliche Bestimmung, ob es sich um einen Kriminellen oder den Soldaten einer nationalen Armee handelt, ist damit ebenfalls unwahrscheinlich. Cyberwarfare offeriert hier das, was in der Fachliteratur als „Plausible Deniability“ bezeichnet wird, als glaubwürdige Leugnung: Ein Militär kann jeden Angriff von zivilen Systemen aus führen und bei Aufdeckung Kriminelle beschuldigen, die dann bei den einsetzenden Ermittlungen natürlich nicht auffindbar sind.

Solange eine zuverlässige Identifizierung nicht möglich ist, lässt sich potenziellen Angreifern daher nicht drohen, weder strafrechtlich noch militärisch. Ein Problem, das Militärs weltweit erhebliche Kopfschmerzen bereitet – und zu hilflosen Reaktionen führt: Das US-Verteidigungsministerium etwa erwog unlängst das Konzept der „Active Defense“: Kann ein Cyber-Angriff nur auf ein bestimmtes Land zurückgeführt werden, muss dieses Land innerhalb einer festgelegten Zeit entweder beweisen, dass es nur zur Weiterleitung missbraucht wurde, oder, falls Cyber-Kriminelle aus dem Land agiert haben, muss es die Angreifer ausliefern. Ist das betreffende Land dazu nicht in der Lage, wird seine Unfähigkeit als feindlicher Akt gedeutet, und es darf angegriffen werden. Als der US-Senat General Keith Alexander, den Oberkommandierenden des US-Cybercommand fragte, wie er mit solchen Fällen umzugehen gedenke, wurde seine Antwort prompt als geheim eingestuft.

Quelle : www.heise.de

[SiLæncer]

Die internationale Gemeinschaft müsse sich dringend Spielregeln für Angriffe auf ihre nationalen Netzinfrastrukturen und die internationalen Verbindungen geben. "Regierungen müssen sich darauf verständigen, welche Verpflichtungen sie in Bezug auf Cyber-Angriffe von ihrem Staatsgebiet aus haben", sagte Joanna Kulesza, Rechtswissenschaftlerin von der Universität Lodz. Auf dem Global Internet Governance Academic Network (Giganet,) das sich regelmäßig einen Tag vor dem Start des UN-Internetforums (Internet Governance Forum IGF  trifft, regte Kulesza an, dass zentrale Infrastrukturen des Netzes wie etwa Rootserver oder Unterseekabel ebenfalls internationalen Schutz genießen sollten, auch wenn sie von privaten Unternehmen betrieben werden. Ab Dienstag werden auf der IGF-Tagiung in Vilnius die Themen Cybercrime und Menschenrechte, das Recht auf Netzzugang und Jugendschutzfilter, neue Sicherheitsarchitekturen fürs Internet und die künftige Rolle von Internet-Providern von rund 1200 Regierungsvertretern, Bürgerrechtsaktivisten und Unternehmensvertretern in Vilnius diskutiert.

Militärische Antworten auf Cyber-Attacken schließe das internationale Recht aus, betonte Kulesza auf der Giganet-Tagung vor dem IGF. Das halte einzelne russische oder US-Militärs nicht davon ab, selbst Nuklearschläge noch als gerechtfertigte Antworten auf Cyber-Attacken einzustufen. Eine Analyse des Völkerrechts ergebe aber klar, dass Cyber-Attacken keine kriegerischen Akte sind, die eine bewaffnete Antwort durch den angegriffenen Staat erlaubten. Es gebe aber diverse offene Fragen, meinte die Juristin. So sei beispielsweise nicht geklärt, ob Cyber-Angriffe mit den gleichen, technischen Mitteln beantwortet werden können oder etwas weniger aggressiv mit ökonomischen Sanktionen. Ob Regierungen Anspruch auf Entschädigung nach Cyber-Angriffen haben sei ebenfalls offen.

Weil Regierungen in aller Regel die Verantwortung für Angriffe zurückwiesen und mit dem Finger auf obskure Hackergruppen zeigten – oder wie im Fall Chinas zur Abwechslung mal auf Universitäten oder deren Studierende –, müsse aber vor allem geregelt werden, welche Verpflichtungen eine Regierung zur Verhinderung solcher Angriff vom eigenen Staatsgebiet aus habe. Es sei festzulegen, ob es ausreiche, wenn ein Staat Angriffe auf Computersysteme oder Netze unter Strafe stelle,m oder ob er sich auch dazu verpflichten müsse, solche Fälle auf jeden Fall aufzuklären und zu bestrafen, betonte Kulesza. Die Cybercrime Konvention des Europarates erlaube den Staaten, die sie unterzeichnet haben, von einer Verfolgung abzusehen, wenn sie das für richtig halten. "Das ist zu vage", fand Kulesza.

Sowohl im Europarat als auch in der UN hat man das Thema Cyberwar aufgegriffen. Der Europarat stellt im Rahmen der Sitzung des IGF in Vilnius Elemente für eine mögliches Rechtsinstrument vor. Bei der UN wird im Rahmen einer Debatte um eine UN-Konvention zu Cybercrime über das Thema diskutiert, die Internationale Fernmeldeunion (ITU) arbeitet ebenfalls an Vorschlägen. Es sei gut, dass an mehreren Stellen zu dem Thema gearbeitet werde, sagte Rolf Weber vorm Center for Information and Communication Law an der Universität Zürich, der Mitglied der zuständigen Arbeitsgruppe des Europarates ist. Allerdings hatte es in der Vergangenheit durchaus Reibereien gegeben, insbesondere zwischen ITU und Europarat.

Die weitere Debatte um die Spielregeln für einen möglichen Cyberwar hat allerdings auch einige weitere heikle Aspekte. Wolfgang Kleinwächter von der Universität Aarhus, der die Europarat-Arbeitsgruppe leitet, verwies gegenüber heise online auf den Fall der Veröffentlichung der Iran-Dokumente auf Wikileaks. US-Präsident Obama habe dazu geäußert, dass diese US-Soldaten gefährde. Das mache die Veröffentlichung zu einer "Attacke" auf die nationale Sicherheit. "Wie geht man damit nun um?", fragte Kleinwächter mit Blick auf die geforderten Cyberwar-Regeln.

Quelle : www.heise.de

[SiLæncer]

Die USA und die NATO sollen künftig im Bereich IT-Sicherheit und Schutz kritischer Infrastrukturen enger zusammenarbeiten. Das fordert zumindest der stellvertretende US-Verteidigungsminister William Lynn. Lynn ist der Ansicht, angesichts von kriminellen, terroristischen und kriegerischen Bedrohungen per Internet müsse eine gemeinsame Verteidigungsstrategie entwickelt werden.

Auf einem Treffen am Rande einer Nato-Konferenz in Brüssel erklärte Lynn, die NATO habe "bereits einen konventionellen und einen nuklearen Schutzschild". Gegen Cyberwar-Bedrohungen gebe es aber keine derartige koordinierte Verteidigungsstrategie. "Wie den Luftraum, das Meer, das Land und den Weltraum müssen wir auch den Cyberspace als ein Terrain behandeln, auf dem wir unsere Netze verteidigen müssen und in dem wir frei operieren können," so der US-Politiker. Daher brauche man eigene Truppen, eine eigene Ausbildung und eine eigene Doktrin.

Viele Staaten, allen voran die USA und Großbritannien, bauen derzeit bereits auf nationaler Ebene Cyberwar-Einheiten auf. Dadurch will man sich vor Spionage, Angriffen auf kritische Infrastrukturen wie Strom- und Kommunikationsnetze und anderen Bedrohungen durch Online-Kriminelle, Terroristen oder feindliche Staaten schützen. Auf internationaler Ebene allerdings finden derzeit allerdings noch keine großflächigen Cyberwar-Bemühungen statt.

Das soll sich nach Lynns Ansicht nun ändern. Er wünscht sich beispielsweise die Vernetzung von Monitoring-Systemen, die Angriffe frühzeitig erkennen sollen. Neben passiven will der Politiker aber auch aktive Verteidigungssysteme etablieren. Was genau er darunter versteht, ist unklar er nannte aber Möglichkeiten "um Angreifer, die dennoch in die Systeme hätten eindringen können, dingfest machen zu können", als Beispiel.

Wie viele andere Politiker, die sich mit dem Cyberwar befassen, plädiert auch Lynn für eine Intensivierung der Zusammenarbeit mit dem privaten Sektor. Dieser solle unbedingt mit einbezogen werden, da viele wichtige Infrastrukturen - beispielsweise das Stromnetz - in privater Hand seien. "Es wird nichts bringen, die militärischen Computernetze zu schützen, wenn der Strom ausfällt", so Lynn.

Allgemein betonte der stellvertretende US-Verteidigungsminister noch einmal die Wichtigkeit des Cyberwar. Der Westen müsse auf jeden Fall seine Vorreiterrolle im Bereich der IT-Sicherheit beibehalten, erklärte er.  "Wir liegen in der Informationstechnologie vorn, und es ist für unsere Sicherheit ebenso wie für unsere Wirtschaft wichtig, dass das so bleibt." 

Quelle: www.gulli.com

[SiLæncer]

Der Stuxnet-Wurm, der sich über eine Zero-Day-Lücke in Microsoft Windows verbreitete, erschien zunächst wie ein normaler, primär zur Betriebsspionage eingesetzter Computerschädling. Kürzlich jedoch äußerte Frank Rieger - Journalist und Mitglied des Chaos Computer Club - einen interessanten Verdacht: Stuxnet könnte der erste erfolgreiche, großflächig durchgeführte Cyberwar-Angriff gewesen sein.

Stuxnet nutzte eine Schwachstelle in der Handhabung von Verknüpfungen (LNK-Dateien) aus. Diese erlaubte es, über entsprechend manipulierte Verknüpfungen Malware zu installieren. Die manipulierten Verknüpfungen wurden automatisch - nicht erst beim Anklicken durch den Benutzer - aktiv, was eine sehr effektive Verbreitung ermöglichte. Die Lücke existierte auf sämtlichen Windows Versionen vom völlig veralteten Windows 2000 bis hin zu den aktuellsten Versionen Windows 7 und Windows Server 2008. Verbreitet wurden entsprechende Schädlinge meist per USB-Stick.

Der erste Verdacht, dass mit Stuxnet etwas nicht stimmte, kam den Sicherheitsexperten laut Riegers Bericht, als sie den Wert der Schwachstelle einzuschätzen versuchten. Sie kamen zu dem Schluss, dass ein derart effektiv auszunutzender Exploit auf dem Schwarzmarkt mehrere 100.000 Dollar wert wäre und daher eigentlich viel zu schade wäre, um ihn für "normale" Online-Kriminalität zu verwenden. Stattdessen wäre es eher zu erwarten, dass ein derartiger Exploit an einen Interessenten - Sicherheitsexperten, die Hersteller der betroffenen Software, aber auch Geheimdienste und andere Behörden - für viel Geld verkauft würde.

Bei einer Analyse des Stuxnet-Schadcodes kam zutage, dass dieser sehr aufwändig und gekonnt programmiert war. Zahlreiche verschiedene Programmebenen und Schutzmechanismen sollten Sicherheitsexperten die Analyse und die Entdeckung des Schädlings erschweren. Die Analysen sind daher auch nach wochenlanger Arbeit noch nicht vollständig abgeschlossen. Bei Stuxnet wurden mindestens zwei verschiedene Zero-Day-Exploits und zwei gestohlene Signaturen - unter anderem eine der Firma Realtek Semiconductors, die vor allem Netzwerkkarten herstellt - verwendet. Die Signaturen dienten dazu, der Software eine vorgebliche Legitimität zu verleihen - sie sollte vom Betriebssystem, insbesondere dem aktuellen und in dieser Hinsicht recht effektiv geschützten Windows 7 - für unschädlich gehalten werden. Alles in allem wurde bei Stuxnet also ein erheblicher Aufwand getrieben. Die Sicherheitsforscher vermuteten bald, dass dies einen speziellen Grund haben musste. Immerhin erfüllen oft auch vergleichsweise primitiv gestaltete Schädlinge ihren Zweck, wenn es nur darum geht, unbedarfte Internetnutzer in die Falle zu locken.

Die Sicherheitsexperten stießen bald auf etwas, dass sie in ihrer Vermutung bestätigte: Stuxnet enthält hochentwickelten Code zur Manipulation von Industrieanlagen. Angesichts der aktuellen Diskussion über den Schutz kritischer Infrastrukturen - beispielsweise Kraftwerke, Umspannwerke, Krankenhäuser und Kommunikationsnetze - lag der Verdacht nahe, dass dieser Code zum Angriff auf eben solche Anlagen dienen sollte. Allerdings blieben zunächst weitere Fragen offen - wie Rieger es ausdrückt: "Gegen welche Anlagen richtet sich der Angriff? Wer steckt dahinter? Wo ist das eigentliche Ziel?"

Der Programmcode von Stuxnet, so Rieger, gebe "einige spärliche Hinweise". Offenbar soll der Schädling Messanlagen, die von einem "Siemens WinCC"-Rechner - der unter einer Windows-Variante läuft - gesteuert werden, manipulieren. Da man sich bei der Überwachung solcher Anlagen heutzutage meist fast völlig auf den Computer verläßt und herkömmliche Messinstrumente weitgehend fehlen, wäre dann die ganze Messanlage in der Hand der Schadsoftware. Wer aber kann und will für eine solche Manipulation einen derartigen Aufwand betreiben? Rieger schreibt, dass "Hobbyhacker oder lumpige Cyber-Kriminelle" nicht in Frage kommen, schon alleine aufgrund der wahrscheinlichen Kosten für Entwicklung und Ankauf der Software-Komponenten. Diese dürften im siebenstelligen Euro-Bereich liegen. Zudem müssen die Angreifer, das zeigen Aufbau und Funktionsweise von Stuxnet, erhebliche Kenntnisse der von ihnen ins Visier genommenen Anlage haben.

Angesichts dieser Indizien zieht Riegers Artikel das Fazit, es blieben "als Autoren nur Nationalstaaten übrig, die über entsprechende Ressourcen verfügen, um eine derart hochgezüchtete Cyber-Waffe zu entwickeln und zu testen - und zwar, bis sie nahezu nebenwirkungsfrei ist. „Cyber-Kriege“ können aufgrund des nötigen langfristigen Entwicklungsaufwandes für die digitalen Angriffswerkzeuge de facto nur von Entitäten in der Größenordnung von Staaten geführt werden."

Ist Stuxnet also die erste von einem Nationalstaat großflächig eingesetzte Cyber-Waffe? Wenn ja, wer hat sie entwickelt, gegen wen und zu welchem Zweck? Die Beantwortung dieser Fragen gestaltet sich, wie so oft im Internet, äußerst schwierig. Gesicherte Erkenntnisse gibt es nicht. Allerdings läßt die Sammlung von Indizien, in Verbindung mit der Erfahrung und Intuition der Experten, begründete Vermutungen zu. So halten es die Sicherheitsexperten nicht für Zufall, dass 60 Prozent der Stuxnet-Infektionen sich auf den Iran konzentrierten. Zudem schien der Angriff als zeitlich begrenzte Aktion konzipiert zu sein: im Januar 2009 sollte Stuxnet aufhören, sich weiterzuverbreiten - über ein Jahr, bevor die zugrunde liegende Sicherheitslücke offiziell bekannt wurde. Der Schädling verbreitete sich trotzdem weiter, wahrscheinlich über Computer mit fehlerhafter Datumseinstellung, bis er schließlich von Sicherheitsexperten entdeckt wurde.

Dieser Zeitpunkt ist laut Rieger ebenfalls ein interessantes Indiz: "Ausgehend von Anfang 2009 als Aktionsdatum, ergibt sich eine faszinierende Kette von Indizien. Mitte Juli 2009 publizierte Wikileaks eine kryptische Notiz mit dem Hinweis eines Informanten aus Iran auf einen nuklearen Unfall in Natanz, der sich kurz zuvor ereignet haben soll. In Natanz wird ein Großteil des iranischen Urans mit Hilfe von Zentrifugen angereichert. Die BBC meldete zur gleichen Zeit, dass der Leiter der iranischen Atombehörde, Gholam Reza Aghazadeh, zurückgetreten sei. Schon damals gab es Spekulationen über ein Einwirken im Rahmen des klandestinen Antiproliferationsprogrammes, das westliche Geheimdienste seit Jahren gegen den Iran betreiben. Die Dienste versuchen durch allerlei Methoden, das iranische Atomprogramm zu behindern und zu verzögern. Statistiken, die aus Daten der Internationalen Atomenergiebehörde erstellt wurden, legen nahe, dass nach dem Frühjahr 2009 die Zahl der tatsächlich betriebenen Anreicherungszentrifugen in Iran deutlich abgenommen hat, trotz Installation von immer mehr Zentrifugen. Ereignisse im Frühjahr 2009 haben die Kapazität des iranischen Anreicherungsprogrammes offenbar nachhaltig beschränkt. War stuxnet womöglich der Auslöser?" Technisch gesehen wäre es möglich und würde perfekt zum bisher bekannten Aufbau des Computerschädlings passen. Die nötigen Informationen über den technischen Aufbau der iranischen Atomanlagen könnte man von Überläufern oder Agenten erfahren haben. Ebenso könnte ein Agent einen manipulierten USB-Stick an Ort und Stelle gebracht haben.

Einer der mit Stuxnet befassten Computerexperten - der aus verständlichen Gründen anonym bleibt - ist sich jedenfalls sicher: "So etwas bauen große Staaten zusammen, wenn die Alternative bei einem Misserfolg wäre, einen Krieg anzufangen." Wer jedoch dahinter steht, darüber läßt sich allenfalls mutmaßen. So ziemlich jedem, der die politischen Debatten der letzten Jahre verfolgt hat, dürften einige "übliche Verdächtige" einfallen, die am vorgestellten Szenario ein Interesse hätten.

Einen endgültigen Beweis für die vorgestellte Theorie gibt es nicht. Womöglich werden wir niemals erfahren, was sich wirklich zugetragen hat und ob Stuxnet tatsächlich eine "Cyber-Waffe" war. Die Indizien scheinen in jedem Fall dafür zu sprechen. Diese Theorie wirft jedoch eine Menge Fragen auf, seien sie ethischer, strategischer oder technischer Natur. Auch über die Sicherheit unserer eigenen Anlagen sollten wir uns womöglich Gedanken machen angesichts der Tatsache, dass offenbar derart effektive - und lange Zeit unentdeckte - Angriffe möglich sind. Das Szenario liest sich wie eine Mischung aus Hackerfilm-Drehbuch und Spionageroman - und ist doch womöglich bereits Realität. Es dürfte alles andere als leicht sein, sich an diesen Gedanken zu gewöhnen.

Quelle: www.gulli.com

[SiLæncer]

Der Iran hatte erstmals eine Cyber-Attacke auf seine Industrieanlagen durch den Computer-Schädling Stuxnet bestätigt. Die Angriffe hätten aber bis jetzt keine "ernsthaften Schäden" angerichtet, sagte Kommunikationsminister Resa Taghipur in der Tageszeitung Tehran Times. Wer hinter dem Angriff steht, ist unklar.

"Bis jetzt hatten wir weder ernsthafte Schäden noch Computer-Crashes." Taghipur gab nicht bekannt, welche Anlagen von Stuxnet betroffen und wie hoch die Schäden sind. Er versicherte nur, dass die iranischen IT-Experten das notwendige Wissen haben, um das erforderliche Anti-Virus-Programm gegen den Schädling herzustellen und die infizierten Systeme zu säubern.

Ein IT-Experte des Ministeriums für Bodenschätze hatte am Vortag erklärt, dass tausende Rechner in den iranischen Industrieanlagen mit dem Trojaner infiziert seien.

Insgesamt seien 30.000 Computer befallen, sagte der Experte der iranischen Agentur Mehr. Viele der Kontrollsysteme für die iranischen Industrieanlagen stammten von der deutschen Firma Siemens. Stuxnet greife speziell diese Systeme an und übermittle dann Daten ins Ausland.

In den vergangenen Tagen hatte es immer wieder Berichte gegeben, dass der im Netz aufgetauchte Stuxnet-Trojaner speziell gegen das iranische Atomprogramm gerichtet sei. Dafür gab es aber keine Bestätigung.

Die Teheraner Agentur ISNA hatte jedoch berichtet, dass die iranischen Atombehörden nach Wegen gesucht hätten, um den Trojaner loszuwerden. Auch mehrere Ministerien haben nach iranischen Medienberichten eine gemeinsame Arbeitsgruppe gebildet, um den "Spionage-Virus" zu bekämpfen, hieß es in iranischen Medien

Der Experte und Buchautor Arne Schönbohm hatte vor wenigen Tagen in der Zeitschrift Wirtschaftswoche erklärt, ein Angriff auf iranische Atomanlagen mit Computerviren sei ein durchaus denkbares Szenario. "Der Cyberspace wird mittlerweile als fünftes militärisches Schlachtfeld neben dem Boden, der Luft, dem Wasser und dem Weltraum gesehen." Nach Informationen der Sicherheitsfirma Symantec kann Stuxnet speicherprogrammierbare Steuerungen (SPS) über das WinCC-System infizieren .

Quelle : www.heise.de

[SiLæncer]

Stuxnet hat im Iran auch Rechner des Atomkraftwerks Buschehr infiziert. Das bestätigte der Leiter des Atomkraftwerks im Südiran. Es seien vor allem Computer der Angestellten. Ein IT-Sicherheitsteam sei vor Ort, um die Rechner zu inspizieren und die Trojaner zu entfernen. "Wir haben jedoch keinerlei Probleme mit unserem Computersystem bezüglich der Arbeit im Werk selbst", sagte Mahmud Dschafari der Nachrichtenagentur IRNA.

Quelle : www.heise.de

[SiLæncer]

In den USA findet momentan ein dreitägiges Cyberwar-Manöver statt. Das Manöver "Cyber Storm III" soll aufzeigen, wie gut es um den Schutz der Weltmacht gegen verschiedene Angriffe auf ihre kritischen Infrastrukturen bestellt ist. Insgesamt sollen rund 1500 verschiedene Angriffs-Szenarien simuliert werden.

Im Gegensatz zu vorherigen Manövern sollen auch wesentlich kompliziertere, mehr Fachkenntnisse erfordernde Angriffe simuliert werden. Dabei soll insbesondere die Kompromittierung an sich vertrauenswürdiger Systeme eine Rolle spielen. "An einem bestimmten Punkt basiert die Funktion des Internets auf Vertrauen - darauf, zu wissen, dass der Ort, wo man hingeht, der ist, wo man sein sollte. Wir werden versuchen, diese Kette des Vertrauens zu kompromittieren, indem wir etwas angreifen, das unabdingbar für die Funktion des Internets ist," erklärte Brett Lambo, Mitarbeiter des Heimatschutz-Ministeriums und für Cyber-Übungen verantwortlich, gegenüber der Nachrichtenagentur AFP. Als beispielhafte Angriffsziele nannte er digitale Zertifikate - insbesondere bei SSL-Verschlüsselungen relevant - und das Domain Name System (DNS).

An Cyber Storm III sollen unter anderem sieben Ministerien, das Weiße Haus, mehrere Geheimdienste, mehrere Behörden und rund 60 Privatunternehmen teilnehmen. Kein Wunder, dass eines der zu testenden Kriterien auch der Informationsfluss zwischen den Beteiligten sein wird. Daneben sollen auch die Entscheidungsfindung, die möglichst effektive Aufgabenverteilung und natürlich die vorhandenen technischen Sicherheitsmaßnahmen getestet werden.

Details über "Cyber Storm III" können in einem Informationsschreiben des Heimatschutz-Ministeriums nachgelesen werden.

Quelle: www.gulli.com

[SiLæncer]

Chinesischen Medienberichten zufolge soll der Stuxnet-Wurm innerhalb weniger Tage mehrere Millionen PCs und fast 1000 Industrieanlagen befallen haben. Seit Auftauchen des Wurms hat er in China bis dato noch keine größere Rolle gespielt. Wieso jetzt plötzlich Millionen von chinesischen Rechnern infiziert sein sollen, ist unklar. Siemens führt in seiner Knowledge Base weiterhin nur 15 weltweit bekannte Infektionen in Anlagensteuerungen auf.

Die Quelle der Zahlen soll der chinesische Antivirenhersteller Rising International sein. Ob die Angaben verlässlich sind, muss man aber bezweifeln, da chinesische AV-Hersteller bei Infektionszahlen gerne mal übertreiben. Im April behauptete der hierzulande unbekannte chinesische AV-Hersteller NetQin beispielsweise, Millionen von Handys seien mit dem Schädling "MMS Bomber" befallen.

Laut einer von der staatliche Nachrichtenagentur Xinhua verbreiteten Meldung über die neuen Stuxnet-Infektionen seien Server in den USA der Ausgangspunkt für die Angriffe. Stuxnet kann sich zwar auch über Netzwerke verbreiten, allerdings nutzt er dazu eine Schwachstelle in Druckerspooler von Windows – der standardmäßig nicht aktiv und in der Regel nicht über das Internet erreichbar ist. Eine derart schnelle Verbreitung über infizierte USB-Sticks ist kaum denkbar. Möglicherweise kann sich der Wurm jedoch noch über eine bislang nicht entdeckte Methode so schnell verbreiten.

Grundsätzlich infiziert der Wurm jedes Windows-System, mit dem er in Berühung kommt, also sowohl Heim- als auch Industrie-PCs. Von befallenen Systemen versucht er, sich weiterzuverbreiten. Konkrete Manipulationen nimmt er jedoch nur an Systemen mit der Siemens-Software WinCC zur Prozessvisualisierung sowie an Entwicklungssystemen zur Programmierung von Steuerungen (SPS) Step 7 vor. Aber auch dort wird er nur in bestimmten Fällen aktiv, indem er offenbar nach Steuerungssystemen mit einer bestimmten Konfiguration Ausschau hält.

Hinsichtlich der Folgen der Infektionen in China gibt es widersprüchliche Angaben zu möglichen Schäden durch Stuxnet. Der South China Morning Post zufolge soll es erhebliche Störungen in Anlagen geben, AFP zitiert hingegen einen Analysten des China Information Technology Security Evaluation Centre, der keine größeren Schaden beobachtet haben will. Laut der South China Morning Post wolle die Regierung eine landesweite Untersuchung von Anlagen mit Siemens-Software durchführen und weitere Aufträge an Siemens prüfen.

Fairerweise muss man aber sagen, dass Stuxnet eigentlich Windows-Lücken nutzt, für die Siemens keine Verantwortung trägt. Zudem müssen sich Anlagenbetreiber, deren Steuerungs- und Visualsierungssysteme befallen sind, die Frage gefallen lassen, welche Sicherheitsrichtlinien dort gelten. Immerhin handelt es sich nicht um Heim-PCs, an die jeder seine USB-Sticks anschließen kann. Gleichwohl erleichtert Siemens dem Wurm die Arbeit auf infizierten Systemen, weil die zugrundeliegende WinCC-Datenbank auf allen Installationen die gleichen Zugangsdaten hat.

Quelle : www.heise.de

[SiLæncer]

NATO-Generalsekretär Anders Fogh Rasmussen will laut einem Zeitungsbericht den Bündnisfall künftig auch auf Internet-Attacken ausweiten. Wie die Süddeutsche Zeitung berichtet, sieht das Rasmussens Entwurf für das neue strategische Konzept der Allianz vor, das auf dem NATO-Gipfel im November in Lissabon verabschiedet werden soll. Demnach würden sich die NATO-Mitglieder in Zukunft nicht nur gegen militärische Angriffe, sondern auch gegen Attacken in der virtuellen Computerwelt gemeinsam verteidigen.

Rasmussen habe sein Papier Anfang der Woche an die Regierungen der 28 Mitgliedstaaten verschickt, die es strikt unter Verschluss hielten. Wesentliche Inhalte seien der Zeitung jedoch aus verschiedenen Quellen bekannt geworden. Demnach definiere Rasmussen auf knappen elf Seiten drei Kernaufgaben der NATO im 21. Jahrhundert: Die kollektive Verteidigung gemäß Artikel 5 des NATO-Vertrags, die Förderung von Stabilität weltweit und das Management von Krisen.

Artikel 5 des NATO-Vertrags legt fest, dass ein bewaffneter Angriff auf ein Mitgliedsland als Attacke auf das gesamte Bündnis betrachtet und gemeinsam abgewehrt wird. Diesen sogenannten Bündnisfall hat die NATO bislang erst einmal ausgerufen, und zwar nach den Terrorangriffen auf die USA vom 11. September 2001.

Neben der bisherigen militärischen Bedrohung und dem Terrorismus nennt Rasmussen in dem Papier dem Bericht zufolge weitere Gefahren, denen das Bündnis mit Abschreckung und gemeinsamer Verteidigung begegnen soll. Dazu zählten vor allem Cyber-Attacken auf die Computersysteme der NATO-Länder. Aber auch die Sicherheit der Energieversorgung einschließlich des Schutzes von Infrastruktur und Transportwegen solle die Nato gewährleisten.

Quelle : www.heise.de

[SiLæncer]

Der Computerschädling Stuxnet infizierte offenbar auch in Deutschland mehrere Industrieanlagen. Das geht aus einem Bericht des Technologie-Unternehmens Siemens hervor, für dessen Anlagen der Schädling programmiert wurde. Insgesamt wurden dem Unternehmen 15 Infektionen gemeldet, fünf davon in Deutschland.

Nach Berichten von Siemens hatten fünf der betroffenen Kunden ihren Firmensitz in Deutschland, die übrigen zehn in anderen Ländern Westeuropas, den USA und Asien. Stuxnet ist spezialisiert auf unter Windows laufende Siemens-Industrieanlagen. Auf Windows-PCs kann zwar ebenfalls eine Infektion auftreten, diese richtet jedoch keinen ernsthaften Schaden an und ist leicht zu beheben.

Siemens bestätigte einem Bericht der Süddeutschen Zeitung zufolge, dass unter den befallenen Anlagen Kraftwerke, chemische Fabriken und industrielle Produktionsanlagen gewesen seien. Allerdings konnte der Schädling in allen gemeldeten Fällen entdeckt und entfernt werden, bevor es zu ernsthaften Schäden oder Gefährdungen kam.

Die meisten Infektionen soll Stuxnet im Iran verursacht haben. Dies brachte Sicherheitsexperten zu der Annahme, dass der Schädling als Cyberwar-Waffe gegen den Iran konzipiert wurde. Dafür würden auch die äußerst aufwändige, teure Programmierung des Schädlings und weitere sprechen. Welcher Staat jedoch hinter einer derartigen Aktion stecken könnte, ist momentan Gegenstand von Spekulationen. Ein Symantec-Sicherheitsexperte nannte kürzlich Israel als möglichen Kandidaten, worauf bestimmte Informationen im Quellcode hindeuten würden .

Quelle : www.gulli.com

[berti]

Siemens bestätigte einem Bericht der Süddeutschen Zeitung zufolge, dass unter den befallenen Anlagen Kraftwerke, chemische Fabriken und industrielle Produktionsanlagen gewesen seien.

schöne neue welt

da freut man sich wirklich, das die alten KKW's weiterbetrieben werden.

[Jürgen]

Bei diesen Altanlagen ist sicherlich längst allerlei Internetgedöns nachgerüstet worden, wodurch sich dieselben offenen Einfallstore ergeben müssten, wie in den neueren Anlagen gewisser anderer Banananrepubliken 
Allerdings zeigt die Erfahrung, dass die Offenlegung (und ebenso die Beseitigung) solcher Schwachstellen hierzulande eher weniger zu erwarten ist als in sog. Schwellenländern.
Weil nicht sein kann, was nicht sein darf...

[SiLæncer]

Der Computer-Schädling Stuxnet, angeblich eine gegen den Iran gerichtete Cyber-Waffe, bleibt in den Schlagzeilen. Der Iran behauptet nun, mehrere Person festgenommen zu haben. Ihnen wird Spionage vorgeworfen - und das Platzieren von Stuxnet in den Systemen des Atomkraftwerks Bushehr.

Die Nationalität der angeblichen "Atom-Spione" ist bisher unbekannt. Ebenso wenig teilte der Iran mit, wie viele Personen überhaupt festgenommen wurden. Bisher gibt es zudem auch noch keine unabhängige Bestätigung der von der iranischen Regierung veröffentlichten Informationen.

Heydar Moslehi, der iranische Geheimdienst-Minister, erklärte, man werde weitere Stuxnet-Infektionen entdecken und Maßnahmen zu deren Bekämpfung ergreifen. Wie glaubwürdig dies ist, ist nicht zweifelsfrei feststellbar. Im Iran waren zahlreiche Systeme mit Stuxnet infiziert, was viele Experten als Hinweis darauf werten, dass der Iran das eigentliche Ziel des Schädlings darstellt. Wie viele infizierte Rechner es im Iran genau gibt, ist jedoch unklar. Zudem kann Stuxnet bereits gesäuberte Systeme erneut infizieren.

Einige Sicherheits-Experten vermuten, dass Stuxnet durch russische Arbeitskräfte im Atomkraftwerk an Ort und Stelle gebracht wurde. Beweise dafür gibt es jedoch keine. Als relativ gesichert darf gelten, dass der Schädling durch einen präparierten USB-Stick eingeschleust wurde. Dies entspricht der bevorzugten Verbreitungsweise von Stuxnet.

Derweil kursieren unter Sicherheitsexperten zahlreiche Theorien, darunter auch Verschwörungstheorien, über den Wurm. Relativ bekannt sind die Hinweise auf den 19. Mai 1979 - das Datum Ermordung eines iranischen Juden - und auf Figuren aus dem Alten Testament. Beide gelten für einige Experten als Hinweis auf eine Urheberschaft Israels (gulli:News berichtete).

Andere Experten bezweifeln diese Theorie. Einige von ihnen bezweifeln sogar, dass der Iran das eigentliche Ziel des Schädlings ist. So behaupten Analysten der Firmen Kaspersky und ScanSafe, dass in Indonesien mehr Rechner infiziert sind als im Iran. Diese Theorie läßt sich jedoch aufgrund der nur sehr spärlichen Informationen über die Lage im Iran nur schwer überprüfen.

Einige Analysten bringen sogar die Astronomie und Astrologie ins Spiel. Antiviren-Expertin Mary Landesman von ScanSafe berichtet, dass Stuxnet sich am 24 Juni 2012 selbst zerstören soll. Dieses Datum hat aufgrund einer astrologischen Figur namens "das große Kreuz", bei dem Pluto im Steinbock und Uranus im Widder steht, für Astrologie-Fans eine Bewandnis. Landesman meint, dass es sich bei Stuxnet also ebenso gut um das Werk eines astrologie-besessenen Computer-Geeks handeln könnte, der womöglich einfach am 19. Mai 1979 geboren wurde. Mit ihrer Theorie, die sie ausführlich im Internet veröffentlichte, will sie aufzeigen, wie viele der Vermutungen über die Herkunft und den Einsatzzweck Stuxnets auf reiner Spekulation - und womöglich dem Lesen zu vieler Romane von Tom Clancy und Dan Brown - beruhen.

Gegen Landesmanns Theorie spricht allerdings, dass Stuxnet offenbar äußerst aufwändig und komplex aufgebaut ist und auf dem Ausnutzen äußerst mächtiger - und damit auf dem Schwarzmarkt extrem wertvoller - Windows-Schwachstellen beruht. Somit war zum Erstellen des Schädlings höchstwahrscheinlich ein erheblicher finanzieller und personeller Aufwand nötig. Dieser wäre wiederum weit eher einem Nationalstaat zuzutrauen als einem einzelnen Computerfreak oder einer am schnellen Geld interessierten Bande von Online-Kriminellen.

Quelle : www.gulli.com

[SiLæncer]

In der Diskussion um den - von vielen Analysten als staatliche Cyber-Waffe eingestuften - Computerschädling Stuxnet meldete sich nun auch die EU-IT-Sicherheitsbehörde ENISA zu Wort. ENISA (European Network and Information Security Agency) erklärte, dass sich durch diese Vorfälle beim Schutz kritischer Infrastrukturen vieles ändern werde.

Die Behörde warnte, dass in näherer Zukunft ähnliche Attacken mit Malware, die in der Lage sei, industrielle Anlagen zu sabotieren, stattfinden könnten. ENISA-Sprecher Dr Udo Helmbrecht erklärte: "Stuxnet ist eine neue Klasse und Dimension von Malware. Nicht nur, weil es so komplex und raffiniert ist. […] Die Angreifer haben große Mengen an Zeit und Geld investiert, um ein derart komplexes Angriffswerkzeug zu bauen. […] Die Tatsache, dass Angreifer ein derartiges Angriffswerkzeug aktiv nutzten, kann als 'Erstschlag' gegen wichtige industrielle Ressourcen gewertet werden. Dies hat einen enormen Effekt darauf, wie nationale kritische Infrastrukturen in Zukunft geschützt werden."

Dabei seien es weniger die technischen Einzelheiten von Stuxnet, die für die ENISA so bedeutend sind, so ENISA-Sprecher Steve Purser. Diesbezüglich habe man von Stuxnet nichts neues gelernt. Dagegen seien Ziel und Effekt der Malware bedeutend. Im Zuge der daraus gewonnenen Erkenntnisse werde man die Vorgehensweise beim Schutz kritischer Infrastrukturen überarbeiten. "Wir bereiten uns auf ein zukünftiges Stuxnet vor," erklärte Purser.

Dazu gehört unter anderem die Entwicklung sogenannter "best practices", also Verhaltensregeln zum bestmöglichen Schutz, für die Nutzer von Siemens-Industrieanlagen. Zudem soll Anfang November die erste europaweite Cyberwar-Übung, Cyber Europe 2010, stattfinden.

Währenddessen brachte Ilias Chantzos, Zuständiger für die Zusammenarbeit mit Regierungsbehörden bei der IT-Sicherheitsfirma Symantec, neue Details über den hinter Stuxnet stehenden Aufwand zu Tage. Er schätzt, dass zur Entwicklung des Schädlings mehrere Millionen US-Dollar investiert wurden. Seiner Ansicht nach arbeitete ein Team von fünf bis zehn Menschen an dem Schädling, das zudem eine Forschungszeit von mindestens sechs Monaten und Zugriff auf Siemens-Steuerungsmaschinen wie die von Stuxnet angegriffenen benötigte. Nach Chantzos' Einschätzung hätte "nur eine kriminelle Organisation mit guten finanziellen Ressourcen oder ein Nationalstaat" die nötigen Ressourcen zur Entwicklung einer derartigen Malware.

Quelle : www.gulli.com

[SiLæncer]

Ein landesweiter Stromausfall, verursacht von Cyber-Kriminellen, zählt zu den häufig geschilderten Szenarien beim Thema Cyberwar und Schutz kritischer Infrastrukturen. Wie wahrscheinlich aber ist ein solches Szenario? Weit unwahrscheinlicher, als viele Menschen mittlerweile annehmen, behauptet nun der Ingenieur Seth Blumsack.

Blumsack hält die Befürchtung, dass durch simple Sabotage-Aktionen oder einen Cyber-Angriff das komplette Stromnetz lahmgelegt werden könnte, für übertrieben, entsprechende Berichte für Panikmache. Insbesondere in den USA wurden derartige Szenarien in letzter Zeit vielfach diskutiert und als Beleg für die Notwendigkeit stärkerer Verteidigungssysteme angesehen. Blumsack seine Kollegen Eduardo Cotilla-Sanchez und Ed Hines setzten sich nun kritisch mit dem Thema auseinander.

Bei vielen der vorgestellten Modelle, so Hines, seien die Ersteller "so fasziniert von diesen abstrakten Netzwerken gewesen, dass sie die Physik, wie diese Dinge in der Realität funktionieren, ignoriert haben," berichtet Hines. Er ergänzt, dies könne einen "schlimm in die Irre führen".

Die drei Ingenieure verglichen das Verhalten eines der topologischen Modelle, die für Simulationen verwendet werden, mit einem Modell, das sich stärker an der Physik eines realen Netzes orientiert. Bei letzterem spielen physikalische Gesetze wie Ohms und Kirchhoffs Gesetz eine zentrale Rolle. Diese, so die Experten, werden bei den herkömmlichen Modellen nur unzureichend berücksichtigt.

Nach Ansicht der Ingenieure ist das physikalische Modell näher an der Realität. Daher halten sie ihre Testergebnisse, die mit den Daten einer Übung aus dem Jahr 2005 gefüttert wurden, für realistischer als die der Regierung.

In den Tests mit dem physikalischen Modell erwiesen sich statt kleiner, verstreuter Einrichtungen zentrale Bauteile, durch die viel Energie fließt - beispielsweise große Generatoren und Transformatoren - als Haupt-Schwachstellen. Es sei zwar theoretisch möglich, dass auch kleinere Probleme an nicht zentral gelegenen Stellen Ausfälle verursachen. In der Regel müsse dazu jedoch eine ganze "Kaskade" solcher Ereignisse gleichzeitig oder kurz hintereinander auftreten, so die Experten. Dies würde aber ein Ausmaß an Planung und an Kenntnis der Infrastruktur und der zugrunde liegenden Technik erfordern, das Terroristen oder andere Saboteure nicht realistischerweise leisten könnten.

"Unser System ist gegenüber kleinen Ausfällen ziemlich robust," erklärt Hines. Die größeren Strukturen anzugreifen sei wesentlich erfolgversprechender. Diese Strukturen jedoch sind in der Regel weitaus besser abgesichert und äußerst robust konstruiert. Und selbst beim Gelingen eines derartigen Sabotageaktes wäre es durchaus nicht gesagt, dass das gesamte Netz ausfallen würde.

Die Schlussfolgerung der Wissenschaftler: "Es braucht eine unglaubliche Menge an Informationen, wirklich herauszubekommen, wie man das Stromnetz ausfallen lässt."

Ist also auch hier wieder zumindest ein Teil der angeblichen Bedrohung mangelnder technischer Sachkenntnis geschuldet? Die Forschungsergebnisse dieses Teams scheinen es nahezulegen. Wer den detaillierten Bericht lesen will, kann dies im Internet tun und sich ein Urteil bilden. Der Download des kostenlosen PDFs erfordert allerdings eine Registrierung.

Quelle : www.gulli.com