Dr. Steffens, Timo[1]; „Auf der Spur der Hacker. Wie man die Täter hinter der Computer-Spionage enttarnt“[2] ; ISBN: 978-3-662-55953-6, 171 Seiten, Springer Vieweg Verlag, Berlin, Erscheinungsjahr 2018, 39,99 €
Das Thema „Cybercrime“, hier in der Ausprägung „Cyber-Spionage“, ist nicht erst nach dem „Hack“ auf das deutsche Regierungsnetzwerk, der im Februar 2018[3] publik wurde, gerade „brandaktuell“ in der Diskussion. Hierzu liefert Steffens, Computerlinguistiker und Fachmann für Künstliche Intelligenz (KI), hauptamtlich als Referent beim CERT-Bund für das Bundesamt für Sicherheit in der Informationstechnik (BSI) tätig, ebenso „brandaktuell“ einen interessanten Debattenbeitrag.
Er forscht zum Thema „Attribution“ und will so den „Mythos vom anonymen Hacken“ erschüttern, wie Tanriverdi[4] von der Süddeutschen Zeitung nach einem Interview mit dem Autor einprägsam titelt. Allerdings, so räumt Steffens im Fazit des Buches (S. 157) ein, so einfach, wie es im Interview mit der SZ klingt, sei die Sache nicht. Derartige Untersuchungen blieben komplex, seien grds. nicht automatisierbar und endeten je nach Angriffs-Sample dennoch oftmals (erfolglos) in „Schleifen“. Zum Abgleich der idR zahlreichen Spuren und Indizien benötige man ein gut aufgestelltes Team, das über verschiedenste technische Fähigkeiten verfüge. Nur so ließen sich zahllose Einzelspuren (trotz „Attributionstechniken“) verifizieren und zu konsistenten Hypothesen zusammenfügen. Man sei aber immer auf „Fehler“ der Angreifer angewiesen und müsse diese mit Gewissheit von ggf. bewusst gesetzten „Trugspuren“ abgrenzen können. Schließlich operiert man (mittelbar) u. a. mit dem Ziel öffentlicher Bloßstellung der Angreifer und damit, sollte diesen ein staatlicher Auftrag nachgewiesen werden können, mitunter auch mit der Absicht wahrnehmbarer politischer Desavouierung und nicht nur diplomatischer Verbalnoten, weshalb man sich bei der Analyse absolut sicher sein müsse, schon um schwerwiegende diplomatische Verwerfungen zu vermeiden. Nicht umsonst wird aktuell von verschiedenen Seiten nachdrücklich eine „digitale Genfer Konvention“[5] gefordert. Wenn es nicht gelinge, das Risiko von staatlich gelenkten Cyberangriffen (derart) einzudämmen, wird die Welt ein gefährlicher Ort werden, so bspw. Vertreter der Fa. Microsoft et al.. Ein hochspannendes Thema, dem sich Steffens hier konzeptionell, aber in vorwiegend technischem Ansatz widmet.
„Attribution“, das Schlüsselwort für Steffens Buch, ist der Sozialpsychologie entlehnt. Man kennt es in diesem Zusammenhang als „sowohl subjektive als auch soziale Zuschreibung von Eigenschaften (Attributen)“. Im IT-Kontext meint Steffens – vereinfacht ausgedrückt – demgemäß sowohl technische, rechnerspezifische Aspekte, bspw. also die betriebsseitigen Automatismen der
„Entwicklungsrechner, auf dem die Schadsoftware-Entwickler Programme schreiben. Sobald der Code kompiliert, dort also in ein ausführbares Programm umgewandelt wird, gibt es bestimmte Voreinstellungen (z. B. Spracheinstellungen), die erhalten bleiben und dann ganze Programmabschnitte (der Malware) prägen“,
somit also erste Hinweise auf Verursacher geben können, als auch individuelle Aspekte, denn
„für die Entwicklung von Schadsoftware gibt es in vielen Ländern natürlich keine formalisierte Ausbildung und nur selten vordefinierte Qualitätsanforderungen vom Arbeitgeber oder Auftraggeber. Die Entwickler („Hacker“) sind meist Autodidakten, die Fehler machen und aus ihnen lernen.“
Ein Ansatzpunkt des Buches besteht also darin, zu zeigen, dass „Cyber-Spionage“ nicht nur aus Technik besteht, sondern auch durch die Gewohnheiten und Eigenheiten der Täter bestimmt wird. Genau dort setzen viele der beschriebenen „Attributionsmethoden“ an, so Steffens im Interview mit Tanriverdi. Damit sei man ggf. in der Lage, Angriffe bestimmten Gruppen zuordnen zu können.
Steffens verwendet den Begriff „Attribution“ analog zum Begriff der „Ermittlungen“ im Rahmen allgemeiner polizeilicher Kriminalitätskontrolle, hier allerdings im Kontext von sogenannten „Advanced Persistent Threats“ (APT). Hierbei handelt es sich um einen Gattungsbegriff für sehr gefährliche, weil professionell und massiert, z. T. gegen mehrere KRITIS- bzw. Regierungsnetze gleichzeitig ausgeführte Cyber-Attacken, die oftmals unter Hinzufügung einer Zahl sogar als Gruppennamen für eine (identifizierte) Angreifergruppe stehen (bspw. „APT28“ bzw. „Fancy Bear“ [aka „Sofacy Group“], der Russischen Föderation zugerechnet und mutmaßlich verantwortlich für den jüngsten und lange unbemerkt gebliebenen Angriff gegen das Netzwerk des Deutschen Bundestages, der erst nach rund neun Monaten im Mai 2015 eher „zufällig“ entdeckt wurde).
Es bleibe dabei allerdings ein Paradoxon. So seien sehr schlechte und sehr gute Angreifer so gut wie nicht zu „attributieren“. Die einen verwenden öffentlich verfügbare Schadsoftware und sind daher kaum von anderen Tätern abzugrenzen. Die anderen sind talentiert oder gut organisiert und verwischen ihre Spuren von Anfang an. In beiden Fällen sei es schwer, die Täter zu benennen. Zwischen diesen beiden Polen gebe es aber Angreifer, die ihre eigenen charakteristischen Werkzeuge entwickeln, dabei aber je nach Professionalität gelegentlich oder sogar systematisch Fehler machen. Beispielsweise lasse sich dann nachvollziehen, welchen Login-Namen der Entwickler hatte oder welche Spracheinstellungen er auf seinem Entwicklungsrechner verwendet. Sobald man diese Werkzeuge finde, könne man die Gruppe – mindestens über verschiedene Kampagnen hinweg – ggf. identifizieren, so Steffens. Obgleich sich die OpSec (Operational Security) von Tätergruppen kontinuierlich erhöhe, sei es bisher nur wenigen Tätern gelungen, Fehler gänzlich zu vermeiden, seien sie systematischer Natur oder seien es „nur“ Flüchtigkeitsfehler. Letztlich, so Steffens, sei die Investition in den Ausbau von „Attributionsfähigkeiten“ auch eine Chance zur Erlangung eines strategischen und auch politischen Werkzeugs für die internationale Cybersicherheits-Politik, da sich so das „Nutzen-Risiko-Verhältnis“ für Täterstaaten verschlechtere. So diene die methodische Ermittlungsarbeit immer auch präventiven Zwecken, nicht nur zur Erarbeitung sicherer Signaturen und Schutzvorkehrungen.
Steffens legt einerseits zwar ein techniklastiges Buch vor, was sich schon an der einleitenden zweiseitigen fachspezifischen Aufstellung von entsprechenden IT-Akronymen und einem vierseitigen IT-Begriffsglossar am Ende des Buches zeigt. Das ist aber bei dieser Materie m. E. unschädlich, da das Buch zum einen sehr übersichtlich gegliedert und mit Fallbeispielen und der sequentiellen Beschreibung typischer Angriffsszenarien angereichert ist, obgleich technik-affin dennoch sprachlich angemessen aufgebaut und die beschriebene Methode der Attribution auch von hoher „kriminalistischer“ Bedeutung ist. Somit können auch weniger technik-affine Leser die Bedeutung und die Implikationen „digitaler“ Beweisführung im beruflichen Kontext strategisch sehr gut nachvollziehen ohne jede Einzelheit tiefgreifend verstehen zu müssen. Schon deshalb ist das Buch fachlich auch für Einsteiger und nicht nur für Spezialisten sehr empfehlenswert.
[1] Referent im CERT-Bund des BSI, vgl. DsiN-Blog.
[2] Inhaltsverzeichnis auf der Verlags-Website.
[3] Bekannt wurden Angriffe auf das Verteidigungsministerium und das Auswärtige Amt, vgl. hierzu z. B. nur Kagermeier (Zeit-online, 01.03.2018), Knop (FAZ, 06.03.2018) bzw. Tanriverdi (Süddeutsche Zeitung, 06.03.2018)
[4] Hakan Tanriverdi (Süddeutsche Zeitung, 16.02.2018, „Der Mythos vom anonymen Hacken wankt“).
[5] Brad Smith (CIO der Fa. Microsoft in einem Gastkommentar für die NZZ vom 10.11.2017, „Die Welt braucht eine digitale Genfer Konvention“) und viele mehr. So wurde dieses Thema zuletzt auch bei der Münchner Sicherheitskonferenz 2018 intensiv diskutiert, vgl. z. B. nur Kolb, SZ vom 19.02.2018.
Rezensiert von: Holger Plank