Archiv

Schad-Software
Bedrohung für Staat und Wirtschaft

Sie heißen Red October, Flame, Duqu 1 und Duqu 2, Malware, die auf den Chefetagen Angst und Schrecken verbreitet, aber irgendwie auch faszinierend ist. Technisch unterscheiden sich die einzelnen Schadprogramme stark. Es handelt sich um digitale Maßanfertigungen und nicht um Konfektionsware. Sogenannte "Advanced Persistent Threats" bedrohen gezielt und maßgeschneidert Unternehmensnetze.

Von Achim Killer |
    USB-Stick in einem Laptop
    Sogenannte "Advanced Persistent Threats" graben sich tief in die Netze ein und werden von gängiger Schutz-Software nicht entdeckt. (imago / Christian Ohde)
    "Das sind besondere Formen der Schad-Software - advanced: Sie sind eben fortgeschritten - die sich sehr gezielt ein Opfer aussuchen, zugeschnitten auf das Ziel programmiert sind. Das ist das advanced."
    "Wir handeln oft wie Ahnungslose. Deshalb wird in Unternehmensnetze, obwohl zu deren Schutz ungeheuere Summen ausgegeben werden, regelmäßig eingebrochen."
    Sagt Amit Yoran, der Chef des IT-Sicherheitsunternehmens RSA Security. Die Netze, in die eingebrochen worden ist, gehören seinem Unternehmen, dem Deutschen Bundestag, Rüstungskonzernen und Anti-Viren-Softwarehäusern. Sie und etliche andere Institutionen werden von Advanced Persistent Threats bedroht. Davon ist in jüngster Zeit immer die Rede, wenn wieder einmal ein spektakulärer Angriff publik wird. Achim Killer sagt, worum es sich dabei handelt.
    Sie heißen Red October, Flame, Duqu 1 und Duqu 2, Malware, die auf den Chefetagen Angst und Schrecken verbreitet, aber irgendwie auch faszinierend ist. Technisch unterscheiden sich die einzelnen Schadprogramme stark. Es handelt sich um digitale Maßanfertigungen und nicht um Konfektionsware: Advanced Persistent Threats:
    "Das sind besondere Formen der Schad-Software - advanced: Sie sind eben fortgeschritten - die sich sehr gezielt ein Opfer aussuchen, zugeschnitten auf das Ziel programmiert sind. Das ist das advanced."
    Sagt Professor Claudia Eckert vom Lehrstuhl für Sicherheit in der Informatik der TU München. Entscheidend für die Definition ist das zweite Adjektiv.
    Tief in das System hineingraben
    Das persistent heißt: Sie sind dauerhaft. Sie sind nicht kurzlebig und verschwinden dann wieder, lösen sich selber auf, sondern sie versuchen sich so tief in ein System hinein zu graben, sich zu verstecken, dass sie nachhaltig, langfristig da sind, und eben eine Bedrohung - threat - darstellen.
    Das heißt sie werden von gängiger Schutz-Software nicht entdeckt. Und aussperren aus dem Unternehmens- oder Behördennetz lassen sie sich sowieso nicht. Der Trojaner auf den Bundestagsrechnern ist ein typisches Beispiel dafür. Seit Wochen ist bekannt, dass es ihn gibt. Aber noch immer ist er nicht von allen Platten geputzt. Advanced Persistent Threats sind das gerade Gegenteil jener Internet-Würmer, die sich um die Jahrtausendwende epidemieartig verbreiteten. Jene sind oft von begabten Script-Kiddies zusammengeklickt worden, die sich diebisch freuten, wenn ihre digitalen Kreaturen das Netz fluteten.
    Die High-Tech-Malware gehört auch nicht zu jener Schad-Software, mit der man es als Privat-Anwender für gewöhnlich zu tun hat, Ransomware beispielsweise, Erpresser-Software, die Daten verschlüsselt und für die Entschlüsselung ein paar Dollar Lösegeld verlangt. Das ist Internet-Kleinkriminalität. Auch bei Advanced Persistent Threats geht es oft um Geld, aber wenn, dann um ganz andere Summen. Und für die Programmierung wird ebenfalls ein ungleich höherer Aufwand getrieben.
    "Die Organisierte Kriminalität nimmt ja mittlerweile auch da sehr viel Geld in die Hand. Aber es sind sicherlich auch staatliche Institutionen, die so was machen. In der Vergangenheit: Die großen APTs, da waren immer viel Gelder dafür notwendig, die überhaupt zu programmieren. Das macht man nicht einfach mal so in der Garage hintenan."
    Hoch entwickeltes Expertenwissen
    Der Begriff ist mittlerweile fast zehn Jahre alt. Populär geworden aber ist er erst im Jahr 2011, als RSA Security zugeben musste, dass Unbekannte über einen langen Zeitraum Zugriff auf das Unternehmensnetz hatten. Diese Unbekannten kopierten dann die Krypto-Schlüssel für RSA's Sicherheits-Token, die generieren Einmalpasswörter, womit Unternehmen und Behörden ihr Netz absichern. 40 Millionen Token bei seiner Kundschaft musste das Unternehmen in der Folge austauschen. Zu den Kunden von RSA gehört auch der Rüstungskonzern Lockheed Martin, der unter anderem Tarnkappenbomber entwickelt. Bemerkenswert dabei ist, dass die Volksrepublik China zu der Zeit erstaunlich schnell einen eigenen Tarnkappenbomber entwickelte. Der RSA-Chef Amit Yoran:
    "Zum Glück war ich damals noch nicht bei RSA. Wichtig ist, dass es sich um einen Angreifer mit hoch entwickeltem Expertenwissen gehandelt hat, der darauf abzielte, in RSA-Systeme einzubrechen. Er führte viele gut überlegten Einzelaktionen durch, mit denen er sich Zugang zu unserem Netz verschafft haben."