Malware
Kapeka: Wird Cyberwaffe zum normalen Angriffstool?
Die Enttarnung des russischen Spionage-Tools wird als entscheidender Schlag gehypt. Doch statt Genugtuung steht eher die Frage im Raum, ob und wie es das für Spione nun nicht mehr relevante Tool ins Arsenal gewöhnlicher Ransomware-Akteure schafft.
Save to Folio
Ein neues IT-Angriffstool aus Russland sorgt derzeit für Schlagzeilen. Sicherheitsforscher von WithSecure haben das Werkzeug entdeckt und den Angreifern namens „Sandworm“ zugeordnet. Die zum russischen Geheimdienst gehörende Truppe hat sich seit 2014 einen Namen gemacht, weil sie hochrangige Ziele unter anderem im Energiesektor mit Einsatz so genannter Zero Day Sicherheitslücken erfolgreich angegriffen haben. Sie gehören definitiv zu den aggressiveren Tätern, die vor allem auch die Zerstörung oder Sabotage ihrer Opfer zum Ziel haben. Ein Angriffswerkzeug dieser Gruppe zu erkennen und auszuschalten, ist aller Ehren wert. Damit zunächst ein ernst gemeintes „Kudos“ an alle Beteiligten.
Medialer Optimismus ist fehl am Platz
Wie immer, wenn die IT-Sicherheit so etwas aufdeckt, wird das in den Medien gern gehypt. So auch hier. Von einem entscheidendem Schlag ist zu lesen oder davon, dass die Gruppe erstmal aufgehalten wurde. Es wäre allerdings wünschenswert, wenn es so wäre. Aber man sollte seinen Gegner nicht unterschätzen! Cyberangreifer und -verteidiger wissen beide, dass auf der jeweiligen Gegenseite erfahrene Spezialisten sitzen und dass jederzeit die Möglichkeit besteht, eine Technologie zu überwinden. Werkzeuge, wie das vorliegende, werden deshalb nicht flächendeckend verwendet, sondern punktuell für hochwertige Ziele eingesetzt. Je häufiger das aber geschieht, desto höher ist das Risiko, im Einzelfall entdeckt zu werden. Deshalb kann man davon ausgehen, dass ein staatlicher Geheimdienst damit rechnet, früher oder später auf diese Werkzeuge verzichten zu müssen. Nun wurde der Fund öffentlich gemacht. Insofern werden die Täter mehr als wahrscheinlich auf alternative Wege umsteigen und auch bestehende Operationen anpassen. Niemand darf sich daher wundern, wenn nur sehr wenige Angriffe bekannt werden, in denen Kapeka nachweisbar ist.
War die Veröffentlichung falsch?
Dies ist eine heiß diskutierte Frage in IT-Sicherheitskreisen. In diesem Fall gibt es aktive Angriffe, und damit besteht immer die Gefahr, dass noch viel mehr Unternehmen und Einrichtungen betroffen sind. Der Konsens ist deshalb zu veröffentlichen, damit die gesamte Industrie die Möglichkeit erhält, alle zu schützen.
Etwas anders sieht es aus, wenn beispielsweise Geheimdienste diejenigen sind, die diese Angriffe zuerst entdecken. Beobachtet man die Täter, lernt man viel über deren Vorgehen sowie die dahinter liegende Motivation und kann ihre Operationen gezielt beeinflussen/fehlleiten. Ebenso besteht die Chance, die gewonnenen technischen Erkenntnisse etwa über bislang unbekannte Softwarelücken, auch für eigene offensive Maßnahmen zu verwenden.
Wer Cyberwaffen einsetzt, ist sich dieser Gefahr auch bewusst. In Deutschland wird deshalb unter anderem darüber diskutiert, ob ein Interessenskonflikt für das BSI daraus erwächst, dass es dem BMI unterstellt ist und beispielsweise ein offensiver Einsatz von Cyberwerkzeugen (aka Bundestrojaner) zum Zwecke der inneren Sicherheit dem Auftrag des BSI zum Schutz von Unternehmen und Einrichtungen des Bundes entgegensteht.
Wie groß ist die Gefahr wirklich
Die große Herausforderung für die IT-Security besteht darin, das Risiko einer bestimmten Angriffsmethode für die Allgemeinheit festzulegen. Die Zuordnung der Software zu einem Geheimdienst wurde in diesem Fall (wie beispielsweise von Heise berichtet) deshalb gemacht, weil ihre Bestandteile Ähnlichkeiten mit früheren Werkzeugvarianten derselben Gruppe aufweisen. Weiterentwicklungen oder veränderte Klone einer erfolgreichen Angriffsmethode sind keine Seltenheit.
Aber auch eine andere Möglichkeit sollte nicht außer Acht gelassen werden, nämlich dass das Tool nun aufgrund seines öffentlichen Bekanntheitsgrades möglicherweise für den geheimdienstlichen Einsatz nicht mehr zu gebrauchen ist. Einen Beweis dafür bringt die von Heise zitierte Analyse auf VirusTotal, die eine hohe Aufdeckungschance durch aktuelle Sicherheitssysteme ergab.
Tools, die es erlauben, Hintertüren in Unternehmen zu hinterlassen, sind nicht nur in Spionagesituationen gefragt, sondern kommen auch in der „normalen“ Cyberkriminalität zum Einsatz. Ob ein solcher Nachbau nun durch staatliche oder „private“ Täter gemacht wurde, ist oft schwer nachzuvollziehen. Unabhängig davon, wer es tatsächlich war, sollte man allerdings davon ausgehen, dass eine zukünftige Verwendung dieser bösartigen Software eher im „kommerziellen Sektor“ – sprich bei Cyberkriminellen -- zu erwarten ist. Unternehmen müssen deshalb sicherstellen, immer aktuelle Sicherheitslösungen einzusetzen.
Da diese Werkzeuge hauptsächlich dann erst zum Einsatz kommen, wenn die ersten Sicherheitshürden eines Cyberangriffes bereits überwunden wurden, empfiehlt sich darüber hinaus auch die Umsetzung von Detection & Response-Lösungen, vor allem auf der Netzwerk- und Endpoint-Ebene.