Geh@ckt: Wie Angriffe aus dem Netz uns alle bedrohen. Ein Agent berichtet (German Edition)

Systeme, lesen E-Mails mit und stehlen Daten. Eines der bekanntesten Beispiele ist der Trojaner Duqu. Er wurde im September 2011 entdeckt und inspiziert. Dabei bemerkten die Analysten, dass er bereits seit 2007 im Einsatz war. Gefunden wurde Duqu, der seinen Namen deshalb erhielt, weil er seinen erzeugten Dateien ein «~ DQ » voranstellte, überwiegend auf Systemen im arabischen Raum. Das Erschreckende: Vier Jahre (!) lang konnten sich die Angreifer unentdeckt in den betroffenen Systemen bewegen, sie manipulieren und ausspionieren, ohne dass die Opfer etwas davon merkten.
    Noch gezielter wirkte der Trojaner Flame, der sich als Microsoft Windows Update tarnte. Offiziell wurde er nur auf rund fünfzig Rechnern gefunden, was für einen sehr gezielten Spionageangriff spricht. Der Trojaner hatte sogar für den Fall, dass er gefunden wurde, eine Selbstzerstörungsfunktion eingebaut. Was sich sehr nach den Laboren von James Bonds «Q» anhört, war wahrscheinlich auch einem Nachrichtendienst zuzuordnen. Nur zum Spaß hat diese Trojaner niemand entwickelt und verschickt.
    Den Trojaner, der wohl eine besondere Zäsur bedeutete, fand man wie Duqu ebenfalls im Nahen Osten. Im Frühjahr 2012 gelangten aus amerikanischen Regierungskreisen Informationen über die Geheimoperation «Olympic Games» an die Öffentlichkeit. Nicht offiziell, versteht sich. Dementiert wurde aber auch nicht. Gerüchten zufolge soll der amerikanische pensionierte Vier-Sterne-General James Cartwright die Operation geleitet haben. Dennoch, dieses Nichtdementieren hatte einen einzigartigen Charakter, da es sich bei «Olympic Games» um eine Angriffsoperation im Cyberspace handelte. Es ging um ein Virus, das entwickelt wurde, um Industrieanlagen zu sabotieren. Ein Virus, das bis dahin noch keinen Namen trug. Später sollte es auf den Namen Stuxnet getauft werden. Genau genommen bekannten sich sogar zwei Regierungen zu ihm. Denn offenbar war Israel Partner der gemeinsamen Operation.
    Was war geschehen? Im Juni 2010 entdeckten Forscher eines weißrussischen IT -Sicherheitsdienstleisters ein neues Virus im Internet. Wie schon erwähnt, ist das für Sicherheitsexperten an und für sich nichts Besonderes, denn sie sind einiges gewöhnt. Doch dieses Virus war anders. Es tat etwas, von dem man bisher nur annahm, dass es möglich sei, was man aber noch nie in «freier Wildbahn» gesehen hatte. Ein Computerschädling, der Steuerungen infiziert. Steuerungen von Industrieanlagen, sogenannte Industrial Control Systems ( ICS ). Die Steuerung, die in diesem Fall angegriffen wurde, war eine der meistverwendeten der Welt: die Simatec S 7 von Siemens. Ein sogenanntes SCADA -System. Mit seiner Hilfe kann so ziemlich alles gelenkt und dirigiert werden, was man sich vorstellen kann. Ampeln, Züge, Kläranlagen, Fabriken, Klimageräte – eben einfach alles.
    Erstmalig gingen Angreifer also nicht mehr nur auf Daten, Dokumente und Geheimnisse los, sondern auf Maschinen und deren Steuerungen. Was bisher nur Sicherheitsexperten in Erwägung zogen und nach düsterem Science-Fiction klang, war plötzlich Realität. Hektisch versuchten die Fachleute in schnell eingerichteten Arbeitskreisen Antworten über Funktionsweisen und Schadenspotenzial des neuen Computervirus Stuxnet zu erfahren. Was machte dieses Virus aus, und wie wurde es übertragen? Die Antworten kamen nur langsam. Auch aus Deutschland, dem Land, in dem die SCADA -Systeme entwickelt wurden.
    In einem ersten Treffen zwischen der Firma Siemens und den Vertretern der deutschen Sicherheitsbehörden im Oktober 2010 versuchte man Licht ins Dunkle zu bringen. Bei dieser ersten Runde wurden erst einmal alle Beteiligten auf einen gemeinsamen Stand gebracht: Wie sehen die ersten Analyseergebnisse aus, und was bedeutet Prozessüberwachung und Steuerung aus Sicht des Bundesamts für Informationstechnik? Allerdings wurde bei dem Treffen deutlich, dass es starken Optimierungsbedarf in Sachen Kommunikation zwischen den unterschiedlichen Akteuren Staat, Wirtschaft und Betreiber von Anlagen bedurfte. Fortan gab es eine eigens erstellte Kommunikationsmatrix als hilfreiches Instrument, um einen schnellen Überblick darüber zu erhalten, wer wann wo Ansprechpartner für wen ist. Wenn man so will, war diese Besprechung der erste Vorläufer für das spätere Nationale Cyber-Abwehrzentrum ( NCAZ ) in Bonn, das eine ständige Konferenz zu Themen dieser Art darstellt. Es war eine der Maßnahmen der Bundesregierung für eine verbesserte