{"id":14671,"date":"2019-07-09T11:08:59","date_gmt":"2019-07-09T09:08:59","guid":{"rendered":"https:\/\/www.sysbus.eu\/?p=14671"},"modified":"2019-07-01T09:33:48","modified_gmt":"2019-07-01T07:33:48","slug":"hack-backs-pro-und-kontra-schwachstellen-zu-cyberwaffen-formen-oder-doch-lieber-schliessen","status":"publish","type":"post","link":"https:\/\/www.sysbus.eu\/?p=14671","title":{"rendered":"Hack Backs \u2013 Pro und Kontra: Schwachstellen zu Cyberwaffen formen oder doch lieber schlie\u00dfen?"},"content":{"rendered":"\n

Autor\/Redakteur:\nDirk Schrader, CISSP, CISM und ISO27001\nPractitioner; CMO bei Greenbone Networks<\/a>\/gg<\/p>\n\n\n\n

Regierungen diskutieren regelm\u00e4\u00dfig, IT-Schwachstellen als Cyberwaffen f\u00fcr Hack Backs zu nutzen. Die Geschichte der Microsoft-Schwachstelle EternalBlue macht eines deutlich: Das kann sehr teuer werden. Regierungen sollten sich intensiv \u00fcberlegen, ob die Vorteile einer Schwachstelle als Cyberwaffe die potenziellen Sch\u00e4den f\u00fcr B\u00fcrger und Unternehmen wirklich \u00fcberwiegen.<\/p>\n\n\n\n

\"\"
Dirk Schrader, Certified Information Systems Security Professional (CISSP) und Certified Information Security Manager (CISM) sowie ISO27001 Practitioner bei Greenbone Networks (Bild: Greenbone Networks)<\/figcaption><\/figure>\n\n\n\n\n\n\n\n

Am\n12. Mai 2017 begann der Trojaner WannaCry sein Unwesen \u2013 mit\ndramatischen Folgen<\/a>. Die Schadsoftware entstand aus einer Cyberwaffe, die\neiner Regierungsbeh\u00f6rde \u201everloren\u201c gegangen war. Die immensen Sch\u00e4den waren ein\nWeckruf f\u00fcr Unternehmen auf der ganzen Welt. Dennoch denken Regierungen immer\nnoch dar\u00fcber nach, Cyberwaffen f\u00fcr sogenannte „Hack Backs“ zu\nsammeln, zu speichern und im Notfall zu verwenden. Das hei\u00dft: Server und Daten\nvon Gegnern zu zerst\u00f6ren, zu deaktivieren oder auszuspionieren. <\/p>\n\n\n\n

Der\nGraumarkt f\u00fcr Schwachstellen und Cyberwaffen ist sehr lukrativ: Potente\nSchwachstellen und die damit verbundenen Exploits werden mittlerweile zu\nPreisen von \u00fcber einer Million Dollar gehandelt, wenn sie auf Windows-Desktops\nund -Server abzielen. Die Zahl kann sich f\u00fcr Exploits bei mobilen Ger\u00e4ten\n(insbesondere Apple) verdoppeln<\/a>.\nWenn die Regierungen ihre Pl\u00e4ne zum „Hack Back“ durchsetzen, ist zu\nerwarten, dass dieser Markt in Zukunft noch profitabler wird. Doch ist das\nerstrebenswert?<\/p>\n\n\n\n

Die\nChronik von EternalBlue<\/strong><\/p>\n\n\n\n

EternalBlue<\/a>, so der Name einer Microsoft-Schwachstelle, wurde von der National Security Agency (NSA) in den Jahren 2011 oder 2012 „entdeckt“. Die NSA behielt ihr Wissen zun\u00e4chst f\u00fcr sich. Allerdings gingen bis Mitte 2016 die Informationen \u00fcber die Schwachstelle und deren Exploits quasi bei der NSA versch\u00fctt. Gleichzeitig wurden diese an eine Hackergruppe namens Shadow Brokers geleaket. Die Gruppe versuchte erfolglos diese Informationen im August 2016 zu verkaufen und beschloss schlie\u00dflich, ihr Wissen um den Jahreswechsel herum zu ver\u00f6ffentlichen. <\/p>\n\n\n\n\n\n\n\n

Als\ndie Katze aus dem Sack war, musste die NSA handeln. Sie hatte keine andere\nWahl, als die Schwachstelle nun doch preiszugeben. So informierte sie Microsoft\nim M\u00e4rz 2017 \u00fcber EternalBlue. Mitte des gleichen Monats ver\u00f6ffentlichte\nMicrosoft eine Reihe von Patches \u2013 zu sp\u00e4t um Pandoras Box geschlossen zu\nhalten.<\/p>\n\n\n\n

Fast\nzwei Monate sp\u00e4ter richtete der Trojaner WannaCry, der die\nEternalBlue-Schwachstelle ausnutzt, teils verheerende Sch\u00e4den bei zahlreichen\nUnternehmen auf der ganzen Welt an. So wurde bekannt, dass WannaCry und\n\u00e4hnliche Malware-Varianten, wie NotPetya, in nur einem Jahr neun Milliarden\nDollar Schaden verursachte. Die weltgr\u00f6\u00dfte Reederei, Maersk, wurde mit\n300 Millionen US-Dollar<\/a> getroffen. Die Kosten f\u00fcr den britischen National\nHealth Services (NHS) lagen bei \u00fcber 100\nMillionen US-Dollar<\/a>. Es gab noch zahlreiche andere Opfer, darunter der\nFlugzeughersteller Boeing (M\u00e4rz 2018) und der Chiphersteller TSMC<\/a>\n(August 2018). Nach Sch\u00e4tzungen von TSMC selbst erlitt das Unternehmen einen\nSchaden um die 170 Millionen Dollar. Doch damit nicht genug. Untersuchungen\nzufolge sind Millionen von Computern immer noch durch EternalBlue gef\u00e4hrdet.<\/p>\n\n\n\n

Die\n\u00d6konomie des Cyberwaffen-Marktes<\/strong><\/p>\n\n\n\n

Zweifelsohne\nlohnt es sich finanziell, Zeit und Geld aufzuwenden, um Schwachstellen\naufzufinden. Nehmen wir den CryptoWall-Virus: CryptoWall v3 allein hat einen\n„Umsatz“ von mehr\nals 325 Millionen Dollar<\/a> erzielt. Das Gesch\u00e4ftsmodell und die Margen im\nEinzel- und Gro\u00dfhandel mit Cyberwaffen sowie die Einnahmechancen aus dem\nAngebot von „Cybercrime-as-a-Service“ ergeben nicht nur\nwirtschaftlich Sinn, sondern sind auch absurderweise relativ risikofrei. Die Cybergesetze<\/a>\nder einzelnen L\u00e4nder sind so unterschiedlich, dass ein Cyberkrimineller von\neinem sicheren Hafen aus operieren kann, ohne Angst vor Strafverfolgung oder\nAuslieferung haben zu m\u00fcssen.<\/p>\n\n\n\n

Dabei sind Schwachstellen, die bestimmte Kriterien erf\u00fcllen, besonders begehrt und werden mit hohen Summen bezahlt. Als Faustregel gilt: Je einfacher die Bedienung und je mehr Systeme und Ger\u00e4te betroffen sind, desto besser. Je teurer der Gegenwert, desto h\u00f6her der Preis, der erzielt wird. Der Verkauf einer hochkar\u00e4tigen Schwachstelle an einen einzelnen Benutzer scheint die am wenigsten profitable Art zu sein, dieses „Gesch\u00e4ft“ zu betreiben. Stattdessen wird der Verk\u00e4ufer eher versuchen, eine Schwachstelle mehr als einmal zu verkaufen. Auf der anderen Seite will jeder K\u00e4ufer \u2013 unabh\u00e4ngig von seiner Motivation f\u00fcr den Kauf \u2013 die Schwachstelle ausschlie\u00dflich nutzen. Antr\u00e4ge auf Exklusivit\u00e4t erh\u00f6hen den Preis f\u00fcr jede Schwachstelle. Zwar gibt es keine dokumentierten F\u00e4lle, aber vermutlich steigt der Preis bei Exklusivrechten um den Faktor zehn oder sogar mehr.<\/p>\n\n\n\n\n\n\n\n

Auf\nder anderen Seite: je mehr K\u00e4ufer die Schwachstelle kennen, desto\nwahrscheinlicher ist es, dass deren Potenzial aufgrund von Leaks oder, weil sie\n\u201ein\nthe wild\u201c entdeckt<\/a> wurde, verloren geht. Das \u00fcbt deflation\u00e4ren Druck auf\nden Preis aus. Der Verk\u00e4ufer muss also stets abw\u00e4gen, wie h\u00e4ufig er eine\nSchwachstelle verkauft und welchen Preis er von jedem K\u00e4ufer daf\u00fcr verlangt.<\/p>\n\n\n\n

Ein\nneuartiger Ansatz besteht darin, ein Servicemodell um Schwachstellen herum\naufzubauen. Anstatt die Schwachstelle zu verkaufen, lizenziert der\nCyberkriminelle ihre Nutzung, indem er einfach eine Plattform f\u00fcr Ransomware\noder Botnets bereitstellt. Diese gemeinsame Nutzung einer Schwachstelle durch\nViele, ist die moderne\nArt, ein Cybercrime-Gesch\u00e4ft zu betreiben<\/a>. Alle K\u00e4ufer zahlen hier einen\n„fairen“ Anteil von bis\nzu 50 Prozent<\/a> ihrer eigenen Rendite an den Plattformanbieter. Die Akteure\ndahinter k\u00f6nnen es sich leisten, die Entwickler zu bezahlen, die die Plattform\npflegen und auch Hackern die Suche nach neuen Schwachstellen zu erm\u00f6glichen. Sogar\nein Amazon-Ansatz mit Empfehlungen zufriedener Nutzer ist denkbar. Dies erh\u00f6ht\ndie Reichweite und Benutzerfreundlichkeit der Plattform. Beispiele f\u00fcr diese\n„As-a-Service“-Plattformen sind CERBER, SATAN oder DOT. <\/p>\n\n\n\n

Staatlich\nsanktioniert, staatlich gef\u00f6rdert oder staatseigen<\/strong><\/p>\n\n\n\n

Vor\nallem das Verh\u00e4ltnis dieser kriminellen Akteure zu Staaten muss unter die Lupe\ngenommen werden. Dabei spielt es keine Rolle, ob die Akteure zu einer Regierung\ngeh\u00f6ren oder von ihr geleitet werden, ob sie von einer Regierung finanziert\nwerden, aber au\u00dferhalb der gesetzlichen Kontrollen einer Beh\u00f6rde handeln, oder\nob sie staatlich sanktioniert werden. Was auch immer die Art der Beziehung ist,\nsie haben eine Motivation, die politischen Ziele einer bestimmten Regierung zu\nunterst\u00fctzen.<\/p>\n\n\n\n

Jeder\nstaatlich gelenkte Akteur muss seine eigene Liste von Cyberwaffen f\u00fchren, die\ner bei Bedarf einsetzen kann. Es besteht eine innere Gefahr, wie EternalBlue\nzeigt. Selbst wenn dieser Akteur in der Lage ist, die Geheimhaltung eines\nsolchen Exploits aufrechtzuerhalten, wird es immer andere staatliche Akteure\ngeben, die genau dasselbe tun und nach den gleichen hochkar\u00e4tigen\nSchwachstellen suchen, die man ausnutzen kann.<\/p>\n\n\n\n

Regierungen\nm\u00fcssen sich fragen, ob die wahrscheinlichen Kosten f\u00fcr die Beeintr\u00e4chtigung\nihrer Gesellschaft durch eine ihnen bekannte, aber unver\u00f6ffentlichte\nSchwachstelle die Vorteile des Zur\u00fcckhaltens \u00fcberwiegen. Es gibt viele\nRegierungskomitees auf der ganzen Welt, die das F\u00fcr und Wider von Hack Backs\nund dem Nichtver\u00f6ffentlichen von Schwachstellen diskutieren. Die Bef\u00fcrworter\nbringen „Interessen der nationalen Sicherheit“ als Argument an. Was\npassiert jedoch, wenn sich eine unver\u00f6ffentlichte Schwachstelle, die dem Staat\njedoch bekannt ist, gegen ihre eigene kritische Infrastruktur wendet? Genau das\nist mit EternalBlue und WannaCry passiert. Doch vielleicht m\u00fcssen diese\nLektionen erst noch gelernt werden.<\/p>\n\n\n\n

Unterm\nStrich ein klares Nein<\/strong><\/p>\n\n\n\n

Die\nj\u00e4hrlichen Sch\u00e4den durch Cyberkriminalit\u00e4t weltweit zu erfassen ist nicht\nleicht, aber es gibt Sch\u00e4tzungen: Eine der genannten Zahlen liegt im Bereich\nvon sechs\nBillionen US-Dollar<\/a>. Angesichts der Tatsache, dass Cyberkriminalit\u00e4t die\nEinnahmen und Gewinne der Unternehmen trifft, folgt daraus, dass dies einen\nnegativen Einfluss auf die H\u00f6he der Steuergelder hat, die von den Regierungen\nder Unternehmen erhoben werden k\u00f6nnen \u2013 derzeit 1,3\nBillionen US-Dollar<\/a> weltweit. <\/p>\n\n\n\n

Die\nRechnung geht in etwa so: Sechs Billionen Dollar Schaden multipliziert mit\neinem durchschnittlichen Unternehmenssteuersatz von 22 Prozent entspricht 1,32\nBillionen Dollar nicht realisierter Steuern \u2013 aufgrund reduzierter Einnahmen im\nZusammenhang mit Sch\u00e4den oder entstandenen Kosten durch Cyberkriminalit\u00e4t.\nInteressanterweise betr\u00e4gt der Gesamthaushalt\nder f\u00fcnf gr\u00f6\u00dften westlichen Volkswirtschaften 12,3 Billionen Dollar<\/a>,\nw\u00e4hrend ihr gesamtes Haushaltsdefizit 1,23 Billionen Dollar betr\u00e4gt. Lohnt es\nsich also, Cyberwaffen zu behalten? Angesichts dieser Zahlen muss die Antwort\nNein lauten.<\/p>\n","protected":false},"excerpt":{"rendered":"

Regierungen diskutieren regelm\u00e4\u00dfig, IT-Schwachstellen als Cyberwaffen f\u00fcr Hack Backs zu nutzen. Die Geschichte der Microsoft-Schwachstelle EternalBlue macht eines deutlich: Das kann sehr teuer werden. Regierungen sollten sich intensiv \u00fcberlegen, ob die Vorteile einer Schwachstelle als Cyberwaffe die potenziellen Sch\u00e4den f\u00fcr B\u00fcrger und Unternehmen wirklich \u00fcberwiegen.<\/p>\n","protected":false},"author":1,"featured_media":14672,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"colormag_page_container_layout":"default_layout","colormag_page_sidebar_layout":"default_layout","footnotes":""},"categories":[8,37],"tags":[773,12586,12589,8030,12588,9573,2126,12582,12583,12585,9587,12584,2634,8222,12587,9571,344],"class_list":["post-14671","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-artikel","category-security","tag-apple","tag-boeing","tag-cerber","tag-cyberwaffe","tag-dat","tag-eternalblue","tag-greenbone-networks","tag-hack-back","tag-it-schwachstelle","tag-maersk","tag-nhs","tag-notpetya","tag-nsa","tag-satan","tag-tsmc","tag-wannacry","tag-windows"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/14671","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=14671"}],"version-history":[{"count":1,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/14671\/revisions"}],"predecessor-version":[{"id":14673,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/14671\/revisions\/14673"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/media\/14672"}],"wp:attachment":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=14671"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=14671"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=14671"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}