Steht das Abwehrmodell vor dem Zusammenbruch?
Während 2026 Fahrt aufnimmt, stellt sich eine wichtige Frage: Bröckelt das Paradigma der Cybersecurity und sollte es von Grund auf überdacht werden? Dieser Gedanke mag sich gewagt anhören, insbesondere, wenn er im Blog eines Cybersecurity-Unternehmens auftaucht, doch schauen wir uns das Ganze in Ruhe an.
Abwehrmaßnahmen werden zwar immer besser und auch das Bewusstsein für Cyberbedrohungen wächst, doch die Opferzahlen nehmen weiter zu. Schlimmer noch, während staatliche oder von Staaten finanzierte Aktivitäten – sei es der Angriff auf kritische Infrastrukturen oder Wirtschaftsspionage – vormals tabu waren, so scheint das heute gang und gäbe geworden zu sein.
Aus Einzelfällen werden strategische Muster
Was wir aktuell beobachten, ist keine Serie von unzusammenhängenden Angriffen oder Gelegenheitskampagnen, sondern ein ausgewachsenes strategisches Geschäftsmodell. Die folgenden Fälle zeigen, wie dieses Modell praktisch funktioniert und weshalb herkömmliche Abwehrmaßnahmen immer weniger zu den Gegebenheiten passen.
- Es gibt regelmäßig Berichte darüber, wie Cyberkriminelle Telekommunikations- und kritische Infrastrukturen angreifen oder besetzen, wobei chinesische Gruppen besonders geschickt vorzugehen scheinen. APTs (Advanced Persistent Threads) wie Salt Typhoon lösten in den USA Alarm aus, weil sie in der Telekommunikationsinfrastruktur sitzen, haben im Vereinigten Königreich bis auf Regierungsebene Telefone gehackt und sind in die vier größten Mobilfunkanbieter in Singapur eingedrungen.
- Nordkorea hatte wiederholt bemerkenswerten Erfolg dabei, Geld zu stehlen sowie mithilfe falscher IT-Mitarbeiter internationale Sanktionen zu umgehen, um seine Nuklear- und Raketenprogramme zu fördern.
- Vom russischen Staat geförderte Gruppen wie Sandworm haben seit Jahren bei vielen Aktivitäten ihre Finger im Spiel.
Westlichen Demokratien gegenüber abgeneigte Nationen unterhalten seit einiger Zeit Beziehungen zu kriminellen Ransomware-Betreibern. Laut dem Bericht Dark Covenant 3.0: Controlled Impunity and Russia‘s Cybercriminals von Recorded Future reichen die Vertraulichkeiten (im Falle von Russland) von stillschweigenden Vereinbarungen bis hin zu direkten Verbindungen. Dadurch ergibt sich eine große Auswahl an Akteuren, um diese Staaten bei nationalen Cyberaktivitäten zu unterstützen und gleichzeitig glaubhafte Bestreitbarkeit dafür abzusichern.
Der Übergang zur Offensive
Und wenn das noch nicht Bedrohung genug ist, kommt außerdem zunehmend KI zum Einsatz, um Phishing-Angriffe zu verbessern oder schlimmer. Westliche Mächte scheinen im Nachteil zu sein und einen neuen Ansatz zu benötigen. Einige Länder erwägen aktuell bereits Alternativen:
- Japan hat seine Herangehensweise geändert und erlaubt nun offensive Cyberaktivitäten als Reaktion auf Bedrohungen.
- Die Regierung des Vereinigten Königreichs vermerkt in seinem aktuellen Aktionsplan, dass sie „den Cybersicherheitsansatz ändern muss“ und hält dazu an, dass „in erster Linie ein offensives Element zur Abschreckung sowie ein defensives Elementׅ“ zur Abwehr von Cyberangriffen benötigt werden.
- Einen noch unkonventionelleren Ansatz ziehen die USA in Betracht, bei dem private Unternehmen eine umfassendere Rolle in Cyberprogrammen übernehmen sollen, einschließlich der Teilnahme an offensiven Cyberangriffen, was derzeit noch gesetzlich verboten ist. Privaten Unternehmen zu erlauben, in die Offensive zu gehen, scheint ein offensichtlicher und befriedigender Ansatz zu sein. Vor einigen Jahren wurde beispielsweise die Ransomware-Gruppe Lockbit von einem DDoS-Angriff getroffen. Dieser soll von einem ihrer Opfer ausgegangen sein, was aber nie bestätigt wurde. Das Blatt zu wenden und die Angreifer zum Opfer werden zu lassen, wurde derweil in Cybersecurity-Kreisen still beklatscht.
Risiken, die wir nicht ignorieren dürfen
Mit dem Internet wurden Verhaltensweisen, die vielleicht im Kalten Krieg üblich und erwartet waren, auf den Müll verbannt – zusammen mit Röhrenbildschirmen und Disketten. Mag die Idee des sofort zurückschlagenden Karmas auch verlockend klingen, so stellen sich doch einige ernste rechtliche, moralische und ethische Fragen. Wenn wir dieselben Methoden einsetzen wie unsere wirtschaftlichen und ideologischen Opponenten, welche Gefahren gehen damit einher? Welche Risiken bergen offensive Aktivitäten des privaten Sektors? Lassen sich unerwünschte Konsequenzen absehen?
- Rechtliches Risiko: In den meisten Gesetzgebungen ist es gemäß nationaler (so auch in den USA) und internationaler Gesetze (etwa dem von 81 Ländern unterschriebenen Übereinkommen über Computerkriminalität des Europarats) illegal, sich unerlaubt Zugriff zu einem Computer zu verschaffen. Mithilfe dieser Instrumente kommen kriminelle Cyberaktivitäten von Einzelnen aus unkooperativen Cybersecurity-Gesetzgebungen immer noch zur Anklage. Wenn diese Person dann aus privaten oder beruflichen Gründen verreist, geht sie das Risiko ein, aufgrund eines internationalen Haftbefehls festgenommen zu werden. Sollten westliche Gesetzgebungen offensive Cyberaktivitäten für private Unternehmen zulassen, müssen diese dann dasselbe Risiko befürchten?
Zuordnungsrisiko: Herauszufinden, wer genau hinter einem Cyberangriff steckt, ist alles andere als leicht und die Akteure geben sich in der Regel auch größte Mühe, ihre Identität zu verbergen. Eventuelle offensive Gegenmaßnahmen machen die Aufgabe einer richtigen Zuordnung daher umso wichtiger. Was geschieht beispielsweise, wenn ein Unternehmen oder Staat auf einen Angriff reagiert und das falsche Ziel erwischt und schädigt? Sind dann Entschädigungen und/oder Strafverfolgungen angebracht? - Vergeltungsrisiko: Offensive Gegenmaßnahmen können das Problem auch weiter verschlimmern und noch aggressivere Vergeltungsaktionen provozieren. Möglicherweise werden dann Ziele angegriffen, die vormals tabu waren, wie Krankenhäuser oder andere kritische Infrastrukturen, was wiederum zu massiven Störungen und sogar Toten führen könnte. Genau aus diesem Grund gibt es rechtliche Systeme, um Probleme durch Selbstjustiz zu vermeiden oder minimieren.
Die Frage lautet daher nicht „Können wir?“, sondern „Was passiert, wenn wir es tun?“.
Sind diese Risiken nachvollziehbar oder nur Panikmache? Wie in unserem Jahresbericht ausgeführt steigen die Opferzahlen unaufhaltsam weiter. Obwohl sich eine aggressivere und sichtbarere Antwort auf Cyberangriffe befriedigend anhört, so müssen dennoch unbeabsichtigte Folgen genau abgewogen werden, bevor hier eine neue Herangehensweise unterstützt wird. Es heißt nicht umsonst: Was man sät, das wird man ernten.
Übersetzung: Doreen Schäfer