{"id":938,"date":"2018-04-29T11:40:08","date_gmt":"2018-04-29T09:40:08","guid":{"rendered":"http:\/\/polizei-newsletter.de\/wordpress\/?p=938"},"modified":"2018-04-29T11:40:08","modified_gmt":"2018-04-29T09:40:08","slug":"auf-der-spur-der-hacker-wie-man-die-taeter-hinter-der-computer-spionage-enttarnt-timo-steffens-rezensiert-von-holger-plank","status":"publish","type":"post","link":"https:\/\/polizei-newsletter.de\/wordpress\/?p=938","title":{"rendered":"Auf der Spur der Hacker. Wie man die T\u00e4ter hinter der Computer-Spionage enttarnt – Timo Steffens – Rezensiert von: Holger Plank"},"content":{"rendered":"

Dr. Steffens, Timo[1]<\/a>; <\/strong>\u201eAuf der Spur der Hacker. Wie man die T\u00e4ter hinter der Computer-Spionage enttarnt\u201c[2]<\/a><\/strong>\u00a0;<\/strong> ISBN: 978-3-662-55953-6, 171 Seiten, Springer Vieweg Verlag, Berlin, Erscheinungsjahr 2018, 39,99 \u20ac<\/p>\n

\"\"<\/p>\n

Das Thema \u201eCybercrime\u201c, hier in der Auspr\u00e4gung \u201eCyber-Spionage\u201c<\/strong>, ist nicht erst nach dem \u201eHack\u201c auf das deutsche Regierungsnetzwerk, der im Februar 2018[3]<\/a> publik wurde, gerade \u201ebrandaktuell\u201c in der Diskussion. Hierzu liefert Steffens<\/strong>, Computerlinguistiker und Fachmann f\u00fcr K\u00fcnstliche Intelligenz (KI), hauptamtlich als Referent beim CERT-Bund<\/a> f\u00fcr das Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) t\u00e4tig, ebenso \u201ebrandaktuell\u201c einen interessanten Debattenbeitrag.<\/p>\n

Er forscht zum Thema \u201eAttribution\u201c<\/strong> und will so den \u201eMythos vom anonymen Hacken\u201c<\/em> ersch\u00fcttern, wie Tanriverdi[4]<\/a> von der S\u00fcddeutschen Zei\u00adtung nach einem Interview mit dem Autor einpr\u00e4gsam titelt. Allerdings, so r\u00e4umt Steffens im Fazit des Buches (S. 157) ein, so einfach, wie es im Interview mit der SZ klingt, sei die Sache nicht. Derartige Untersuchungen blieben komplex, seien grds. nicht automatisierbar und endeten je nach Angriffs-Sample dennoch oftmals (erfolglos) in \u201eSchleifen\u201c. Zum Abgleich der idR zahlreichen Spuren und Indizien ben\u00f6tige man ein gut aufgestelltes Team, das \u00fcber verschiedenste technische F\u00e4higkeiten verf\u00fcge. Nur so lie\u00dfen sich zahllose Einzelspuren (trotz \u201eAttribu\u00adtionstechniken\u201c) verifizieren und zu konsistenten Hypothesen zusam\u00admen\u00adf\u00fcgen. Man sei aber immer auf \u201eFehler\u201c der Angreifer angewiesen und m\u00fcsse diese mit Gewissheit von ggf. bewusst gesetzten \u201eTrugspuren\u201c abgrenzen k\u00f6nnen. Schlie\u00df\u00adlich operiert man (mittelbar) u. a. mit dem Ziel \u00f6ffentlicher Blo\u00dfstellung der Angreifer und damit, sollte diesen ein staatlicher Auftrag nachgewiesen werden k\u00f6nnen, mitunter auch mit der Absicht wahrnehmbarer politischer Desavouierung und nicht nur diplomatischer Verbalnoten, wes\u00adhalb man sich bei der Analyse absolut sicher sein m\u00fcsse, schon um schwerwiegende diplomatische Ver\u00adwerfungen zu vermeiden. Nicht umsonst wird aktuell von verschiedenen Seiten nachdr\u00fccklich eine \u201edigitale Genfer Konvention\u201c<\/strong>[5]<\/a> gefordert. Wenn es nicht gelinge, das Risiko von staatlich gelenkten Cyberangriffen (derart) einzud\u00e4mmen, wird die Welt ein gef\u00e4hrlicher Ort werden, so bspw. Vertreter der Fa. Microsoft et al.. Ein hoch\u00adspannendes Thema, dem sich Steffens hier konzeptionell, aber in vorwiegend technischem Ansatz widmet.<\/p>\n

\u201eAttribution\u201c<\/strong>, das Schl\u00fcsselwort f\u00fcr Steffens Buch, ist der Sozial\u00adpsy\u00adchologie entlehnt. Man kennt es in diesem Zusammenhang als \u201esowohl subjektive als auch soziale Zuschreibung von Eigenschaften (Attributen)\u201c. Im IT-Kontext meint Steffens – vereinfacht ausgedr\u00fcckt – demgem\u00e4\u00df sowohl technische, rechner\u00adspezifische Aspekte, bspw. also die betriebsseitigen Automatismen der<\/p>\n

\u201eEntwicklungsrechner, auf dem die Schadsoftware-Entwickler Programme schrei\u00adben. Sobald der Code kompiliert, dort also in ein ausf\u00fchrbares Programm umge\u00adwandelt wird, gibt es bestimmte Voreinstellungen (z. B. Sprachein\u00adstel\u00adlungen), die erhalten bleiben und dann ganze Programmabschnitte (der Malware) pr\u00e4gen\u201c, <\/em><\/p>\n

somit also erste Hinweise auf Verursacher geben k\u00f6nnen, als auch individuelle Aspekte, denn<\/p>\n

\u201ef\u00fcr die Entwicklung von Schadsoftware gibt es in vielen L\u00e4ndern nat\u00fcrlich keine forma\u00adlisierte Ausbildung und nur selten vordefinierte Qualit\u00e4tsanforderungen vom Arbeitgeber oder Auftraggeber. Die Entwickler (\u201eHacker\u201c) sind meist Auto\u00addi\u00addakten, die Fehler machen und aus ihnen lernen.\u201c <\/em><\/p>\n

Ein Ansatzpunkt des Buches besteht also darin, zu zeigen, dass \u201eCyber-Spionage\u201c nicht nur aus Technik besteht, sondern auch durch die Gewohnheiten und Eigen\u00adheiten der T\u00e4ter bestimmt wird. Genau dort setzen viele der beschriebenen \u201eAttributions\u00admetho\u00adden\u201c\u00a0an, so Steffens im Interview mit Tanriverdi. Damit sei man ggf. in der Lage, Angriffe be\u00adstimmten Gruppen zuordnen zu k\u00f6nnen.<\/p>\n

Steffens verwendet den Begriff \u201eAttri\u00adbution\u201c analog zum Begriff der \u201eEr\u00admittlungen\u201c im Rahmen allgemeiner polizeilicher Krimi\u00adna\u00ad\u00adli\u00adt\u00e4ts\u00adkontrolle, hier allerdings im Kontext von sogenannten \u201eAdvanced Per\u00adsistent Threats\u201c (APT). Hierbei handelt es sich um einen Gattungsbegriff f\u00fcr sehr ge\u00adf\u00e4hrliche, weil professionell und massiert, z. T. gegen mehrere KRITIS- bzw. Regierungsnetze gleichzeitig ausgef\u00fchrte Cyber-Attacken, die oftmals unter Hin\u00adzuf\u00fcgung einer Zahl sogar als Gruppennamen f\u00fcr eine (identifizierte) Angreifergruppe stehen (bspw. \u201eAPT28\u201c bzw. \u201eFancy Bear\u201c [aka \u201eSofacy Group\u201c], der Russischen F\u00f6de\u00adration zugerechnet und mutma\u00dflich verantwortlich f\u00fcr den j\u00fcngsten und lange unbemerkt gebliebenen Angriff gegen das Netzwerk des Deutschen Bundes\u00adtages, der erst nach rund neun Monaten im Mai 2015 eher \u201ezuf\u00e4llig\u201c entdeckt wurde).<\/p>\n

Es bleibe dabei allerdings ein Paradoxon. So seien sehr schlechte und sehr gute Angreifer so gut wie nicht zu \u201eattributieren\u201c. Die einen verwenden \u00f6ffentlich verf\u00fcgbare Schadsoftware und sind daher kaum von anderen T\u00e4tern abzugrenzen. Die anderen sind talentiert oder gut organisiert und verwischen ihre Spuren von Anfang an. In beiden F\u00e4llen sei es schwer, die T\u00e4ter zu\u00a0benennen. Zwischen die\u00adsen beiden Polen gebe es aber Angreifer, die ihre eigenen charakteristischen Werkzeuge entwickeln, dabei aber je nach Professionalit\u00e4t gelegentlich oder so\u00adgar syste\u00admatisch Fehler machen. Beispielsweise lasse sich dann nachvollziehen, welchen Login-Namen der Entwickler hatte oder welche Spracheinstellungen er auf sei\u00adnem Entwicklungsrechner verwendet. Sobald man diese Werkzeuge finde, k\u00f6nne man die Gruppe – mindestens \u00fcber verschiedene Kampagnen hin\u00adweg –\u00a0ggf. identifizieren, so Steffens. Obgleich sich die OpSec (Operational Security) von T\u00e4tergruppen kontinuierlich erh\u00f6he, sei es bisher nur wenigen T\u00e4tern gelungen, Fehler g\u00e4nzlich zu vermeiden, seien sie systematischer Natur oder seien es \u201enur\u201c Fl\u00fcchtig\u00adkeitsfehler. Letztlich, so Steffens, sei die Investition in den Ausbau von \u201eAttributionsf\u00e4higkeiten\u201c auch eine Chance zur Erlangung eines strategischen und auch politischen Werkzeugs f\u00fcr die internationale Cybersicherheits-Politik, da sich so das \u201eNutzen-Risiko-Verh\u00e4ltnis\u201c f\u00fcr T\u00e4terstaaten verschlechtere. So diene die methodische Ermittlungsarbeit immer auch pr\u00e4ventiven Zwecken, nicht nur zur Erarbeitung sicherer Signaturen und Schutzvorkehrungen.<\/p>\n

Steffens legt einerseits zwar ein techniklastiges Buch vor, was sich schon an der einleitenden zweiseitigen fachspezifischen Aufstellung von entsprechenden IT-Akronymen und einem vierseitigen IT-Begriffsglossar am Ende des Buches zeigt. Das ist aber bei dieser Materie m. E. unsch\u00e4dlich, da das Buch zum einen sehr \u00fcbersichtlich gegliedert und mit Fallbeispielen und der sequentiellen Beschreibung typischer Angriffsszenarien angereichert ist, obgleich technik-affin dennoch sprachlich angemessen aufgebaut und die beschriebene Methode der Attribution auch von hoher \u201ekriminalistischer\u201c Bedeutung ist. Somit k\u00f6nnen auch weniger technik-affine Leser die Bedeutung und die Implikationen \u201edigitaler\u201c Beweisf\u00fchrung im beruflichen Kontext strategisch sehr gut nachvollziehen ohne jede Einzelheit tiefgreifend verstehen zu m\u00fcssen. Schon deshalb ist das Buch fachlich auch f\u00fcr Einsteiger und nicht nur f\u00fcr Spezialisten sehr empfehlenswert.<\/p>\n

[1]<\/a> Referent im CERT-Bund des BSI, vgl. DsiN-Blog<\/a>.<\/p>\n

[2]<\/a> Inhaltsverzeichnis<\/a> auf der Verlags-Website.<\/p>\n

[3]<\/a> Bekannt wurden Angriffe auf das Verteidigungsministerium und das Ausw\u00e4rtige Amt, vgl. hierzu z. B. nur Kagermeier<\/a>\u00a0 (Zeit-online, 01.03.2018), Knop<\/a> (FAZ, 06.03.2018) bzw. Tanriverdi<\/a>\u00a0 (S\u00fcddeutsche Zeitung, 06.03.2018)<\/p>\n

[4]<\/a> Hakan Tanriverdi<\/a>\u00a0 (S\u00fcddeutsche Zeitung, 16.02.2018, \u201eDer Mythos vom anonymen Hacken wankt\u201c).<\/p>\n

[5]<\/a> Brad Smith (CIO der Fa. Microsoft in einem Gastkommentar f\u00fcr die NZZ vom 10.11.2017, „Die Welt braucht eine digitale Genfer Konvention“<\/a>) und viele mehr. So wurde dieses Thema zuletzt auch bei der M\u00fcnchner Sicherheitskonferenz 2018 intensiv diskutiert, vgl. z. B. nur Kolb<\/a>, SZ vom 19.02.2018.<\/p>\n

Rezensiert von: Holger Plank<\/p>\n","protected":false},"excerpt":{"rendered":"

Dr. Steffens, Timo[1]; \u201eAuf der Spur der Hacker. Wie man die T\u00e4ter hinter der Computer-Spionage enttarnt\u201c[2]\u00a0; ISBN: 978-3-662-55953-6, 171 Seiten, Springer Vieweg Verlag, Berlin, Erscheinungsjahr 2018, 39,99 \u20ac Das Thema \u201eCybercrime\u201c, hier in der Auspr\u00e4gung \u201eCyber-Spionage\u201c, ist nicht erst nach dem \u201eHack\u201c auf das deutsche Regierungsnetzwerk, der im Februar 2018[3] publik wurde, gerade \u201ebrandaktuell\u201c in … Continue reading Auf der Spur der Hacker. Wie man die T\u00e4ter hinter der Computer-Spionage enttarnt – Timo Steffens – Rezensiert von: Holger Plank<\/span> ↑<\/span><\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":[],"categories":[1],"tags":[],"_links":{"self":[{"href":"https:\/\/polizei-newsletter.de\/wordpress\/index.php?rest_route=\/wp\/v2\/posts\/938"}],"collection":[{"href":"https:\/\/polizei-newsletter.de\/wordpress\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/polizei-newsletter.de\/wordpress\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/polizei-newsletter.de\/wordpress\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/polizei-newsletter.de\/wordpress\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=938"}],"version-history":[{"count":2,"href":"https:\/\/polizei-newsletter.de\/wordpress\/index.php?rest_route=\/wp\/v2\/posts\/938\/revisions"}],"predecessor-version":[{"id":941,"href":"https:\/\/polizei-newsletter.de\/wordpress\/index.php?rest_route=\/wp\/v2\/posts\/938\/revisions\/941"}],"wp:attachment":[{"href":"https:\/\/polizei-newsletter.de\/wordpress\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=938"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/polizei-newsletter.de\/wordpress\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=938"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/polizei-newsletter.de\/wordpress\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=938"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}