Sysbus
ArtikelSecurity

Hack Backs – Pro und Kontra: Schwachstellen zu Cyberwaffen formen oder doch lieber schließen?

gg

Auf der anderen Seite: je mehr Käufer die Schwachstelle kennen, desto wahrscheinlicher ist es, dass deren Potenzial aufgrund von Leaks oder, weil sie „in the wild“ entdeckt wurde, verloren geht. Das übt deflationären Druck auf den Preis aus. Der Verkäufer muss also stets abwägen, wie häufig er eine Schwachstelle verkauft und welchen Preis er von jedem Käufer dafür verlangt.

Ein neuartiger Ansatz besteht darin, ein Servicemodell um Schwachstellen herum aufzubauen. Anstatt die Schwachstelle zu verkaufen, lizenziert der Cyberkriminelle ihre Nutzung, indem er einfach eine Plattform für Ransomware oder Botnets bereitstellt. Diese gemeinsame Nutzung einer Schwachstelle durch Viele, ist die moderne Art, ein Cybercrime-Geschäft zu betreiben. Alle Käufer zahlen hier einen “fairen” Anteil von bis zu 50 Prozent ihrer eigenen Rendite an den Plattformanbieter. Die Akteure dahinter können es sich leisten, die Entwickler zu bezahlen, die die Plattform pflegen und auch Hackern die Suche nach neuen Schwachstellen zu ermöglichen. Sogar ein Amazon-Ansatz mit Empfehlungen zufriedener Nutzer ist denkbar. Dies erhöht die Reichweite und Benutzerfreundlichkeit der Plattform. Beispiele für diese “As-a-Service”-Plattformen sind CERBER, SATAN oder DOT.

Staatlich sanktioniert, staatlich gefördert oder staatseigen

Vor allem das Verhältnis dieser kriminellen Akteure zu Staaten muss unter die Lupe genommen werden. Dabei spielt es keine Rolle, ob die Akteure zu einer Regierung gehören oder von ihr geleitet werden, ob sie von einer Regierung finanziert werden, aber außerhalb der gesetzlichen Kontrollen einer Behörde handeln, oder ob sie staatlich sanktioniert werden. Was auch immer die Art der Beziehung ist, sie haben eine Motivation, die politischen Ziele einer bestimmten Regierung zu unterstützen.

Jeder staatlich gelenkte Akteur muss seine eigene Liste von Cyberwaffen führen, die er bei Bedarf einsetzen kann. Es besteht eine innere Gefahr, wie EternalBlue zeigt. Selbst wenn dieser Akteur in der Lage ist, die Geheimhaltung eines solchen Exploits aufrechtzuerhalten, wird es immer andere staatliche Akteure geben, die genau dasselbe tun und nach den gleichen hochkarätigen Schwachstellen suchen, die man ausnutzen kann.

Regierungen müssen sich fragen, ob die wahrscheinlichen Kosten für die Beeinträchtigung ihrer Gesellschaft durch eine ihnen bekannte, aber unveröffentlichte Schwachstelle die Vorteile des Zurückhaltens überwiegen. Es gibt viele Regierungskomitees auf der ganzen Welt, die das Für und Wider von Hack Backs und dem Nichtveröffentlichen von Schwachstellen diskutieren. Die Befürworter bringen “Interessen der nationalen Sicherheit” als Argument an. Was passiert jedoch, wenn sich eine unveröffentlichte Schwachstelle, die dem Staat jedoch bekannt ist, gegen ihre eigene kritische Infrastruktur wendet? Genau das ist mit EternalBlue und WannaCry passiert. Doch vielleicht müssen diese Lektionen erst noch gelernt werden.

Unterm Strich ein klares Nein

Die jährlichen Schäden durch Cyberkriminalität weltweit zu erfassen ist nicht leicht, aber es gibt Schätzungen: Eine der genannten Zahlen liegt im Bereich von sechs Billionen US-Dollar. Angesichts der Tatsache, dass Cyberkriminalität die Einnahmen und Gewinne der Unternehmen trifft, folgt daraus, dass dies einen negativen Einfluss auf die Höhe der Steuergelder hat, die von den Regierungen der Unternehmen erhoben werden können – derzeit 1,3 Billionen US-Dollar weltweit.

Die Rechnung geht in etwa so: Sechs Billionen Dollar Schaden multipliziert mit einem durchschnittlichen Unternehmenssteuersatz von 22 Prozent entspricht 1,32 Billionen Dollar nicht realisierter Steuern – aufgrund reduzierter Einnahmen im Zusammenhang mit Schäden oder entstandenen Kosten durch Cyberkriminalität. Interessanterweise beträgt der Gesamthaushalt der fünf größten westlichen Volkswirtschaften 12,3 Billionen Dollar, während ihr gesamtes Haushaltsdefizit 1,23 Billionen Dollar beträgt. Lohnt es sich also, Cyberwaffen zu behalten? Angesichts dieser Zahlen muss die Antwort Nein lauten.

Ähnliche Beiträge:

  1. WannaCry 2.0: EternalBlue-basierte Ransomware wird zur Normalität
  2. Wie riskant sind unsichere Protokolle in Unternehmensnetzwerken?
  3. LogPoint stellt Applikation gegen Ransomware bereit: WannaCry mit SIEM detektieren
  4. Evolution von Ransomware: Wenn eine ungepatchte Maschine Tausende infizieren kann

Das könnte dir auch gefallen

ForgeRock vereinfacht den Migrationsprozess von Legacy-Produkten zu einer modernen Identitätslösung

gg

Schützen, was gefährdet ist: Cloud-Anwendungen

dcg

Essence Group bringt MyShield auf den Markt, eine 5G-Komplettlösung gegen Eindringlinge für Privathaushalte und Unternehmen

dcg