Die Quellcodes von gleich drei amerikanischen Antivirenherstellern wurden geknackt. Wer das nötige Geld hat, kann die Codes beziehen - auch die Organisierte Kriminalität. Dramatischer ist ein anderer Aspekt: Nahezu alle kritischen Infrastrukturen des Westens sind nun angreifbar.

 Beitrag von Vlad Georgescu

Tatsächlich markiert der Monat Mai 2019 einen Wendepunkt. Denn zum ersten Mal gelangten Hacking Units nicht an die Daten von Millionen Nutzern, sondern an den Heiligen Gral eines jeden Softwareentwicklers: den Quellcode. Als reichte dies allein nicht aus, setzten die Hacker einen drauf – und klauten wichtige Programmierzeilen von Symantec, Trend Micro und McAfee, jenen Unternehmen also, die mit ihren Antiviren und Endpoint-Protection-Tools unzählige kritische Infrastrukturen weltweit absichern sollen. Und bislang als feste Größe im Kampf gegen die Organisierte Kriminalität galten.

Der Chat-Dienst WhatsApp wird weltweit von über 1,5 Milliarden Menschen genutzt.
Israelische Spionage-Software wurde durch Anruf installiert
So arbeitet Trend Micro "seit 2013 mit Interpol zur Bekämpfung von Cyberkriminalität zusammen", wie Wikipedia derzeit noch vollmundig beschreibt. Noch 2016 – im Zeitalter der Bits und Bytes eine digitale Ewigkeit – verkündete das japanische Unternehmen einen sensationellen Erfolg:

Der japanische IT-Sicherheitsanbieter Trend Micro hat zur Festnahme des Anführers eines internationalen kriminellen Netzwerks beigetragen. Dieser steht im Verdacht, mehr als 60 Millionen US-Dollar durch die cyberkriminellen Methoden 'Business Email Compromise' (BEC) und 'CEO Fraud' erbeutet zu haben", hieß es damals in der entsprechenden Mitteilung des global operierenden Cyberunternehmens.

Nicht minder selbstbewusst gab sich der US-amerikanische Gigant Symantec – und trug auf dem Interpol World Congress 2015 seine Sichtweise von Cyberstrategie vor. Dass Symantec zu den Speerspitzen der amerikanischen Cyberabwehr zählt, galt bis Mai dieses Jahres als Binsenweisheit. Ebenso seine Nähe zur National Security Agency (NSA). Schon vor einem Jahrzehnt dozierten Fachleute der privaten Firma vor Fachleuten der NSA – keinesfalls ungewöhnlich, denn auch russische und chinesische Privatunternehmen tauschen sich mit den Cyberbehörden ihrer Länder aus.

Was jedoch heute unter Cyberexperten als digitales Armageddon zählt, ist die Tatsache, dass ausgerechnet jene Cyberabwehr-Giganten des Westens ihre eigenen Quellcodes nicht vor dem Zugriff durch externe Hacker zu schützen vermochten, die bislang selbst der NSA und Interpol beratend zur Seite standen.

Denn einer Hackergruppe, die sich Fxmsp nennt, gelang es bereits im März dieses Jahres, ins Netz der Gebeutelten einzudringen, wie das IT-Portal BleepingComputer unlängst berichtete.

Damit gelangt womöglich unschätzbar wichtiger Quellcode, der auch hierzulande einen Großteil der kritischen Infrastrukturen schützt, in die Hände der gut betuchten Organisierten Kriminalität. Denn die von Fxmsp geforderten Summen liegen im Bereich von 250.000 bis eine Million US-Dollar, wenig Geld für Organisationen, die allein mit einer Bootsladung Kokain eine halbe Milliarde Dollar und mehr erwirtschaften. Den Code kaufen, um am Ende die Strafverfolger zu überwachen – was bislang hollywoodreif war, ist seit Mai 2019 Realität.

Große Zahl der Angriffe kommen aus den USA. Entscheidend für die potentiellen Käufer ist nämlich nicht der Code per se. Denn Hacker können, freilich illegal, mit Hilfe von ehemaligen NSA-Werkzeugen wie GHIDRA und anderen Tools ohnehin jene Teile des Codes sichtbar machen, die nicht verschlüsselt sind. Entscheidend für zahlungswillige Cyberkriminelle ist vielmehr der Eintrittsweg in die Heiligtümer von Symantec und Trend Micro oder McAfee – und die Erkenntnis, dass Fxmsp offenbar in der Lage ist, diesen Weg zu gehen. Mitunter auch als Auftragsarbeit.

Alles neu macht der Mai

Der Fxmsp-Angriff ist für sich allein betrachtet ein Desaster, doch zur Kernschmelze der Cybersicherheit tragen mehrere Faktoren und weitere aufgeflogene Cyberattacken bei.

So musste der deutsche Ableger des US-amerikanischen Spezialisten CITRIX zugeben, sechs Monate lang nicht den blassesten Schimmer davon gehabt zu haben, überhaupt angegriffen worden zu sein. Dass sich Angreifer ein halbes Jahr lang vollkommen unbemerkt im Firmennetzwerk bewegen und ganz nebenbei personengebundene Kundendaten absaugten, zeigt vor allem eins: Die Republik steht vor einem digitalen Trümmerhaufen.

Schlimmer geht’s nimmer, möchte man meinen. Mitnichten. Auch Citycomp, zu dessen Kunden Porsche und VW zählen, sah sich diesen Monat mit dem digitalen GAU konfrontiert – der deutsche IT-Spezialist musste einräumen, Kundendaten an die Angreifer verloren zu haben.

Die jetzigen Cyberattacken betreffen praktisch alle IT-Strukturen des Westens, vor allem innerhalb Deutschlands.

Für die globalen Black-Hat-Angreifer sind das gute Nachrichten, scheint der letzte Damm doch gebrochen zu sein. Denn nahezu unbemerkt von der Öffentlichkeit – und nicht einmal von Edward Snowden publik preisgegeben –, basierte die Cyberabwehr vor allem auf einem elementaren Gedanken: Nicht der Schutz durch Software allein, sondern erst die "Kooperation" zwischen Prozessor und Software sollte Computer und Anlagen schützen – geheime Angriffsflächen auf den Prozessoren wiederum würden, so der ursprüngliche Gedanke, im Notfall eigene Cyberangriffe erleichtern.

Die US-amerikanische Dominanz sowohl auf dem Gebiet der Hardware als auch der Software schien auch die Dominanz der Cyberabwehr zu gewährleisten. Dass diese auf Prozessorebene aller Wahrscheinlichkeit von Beginn an konzipierten Eintrittspforten aufflogen, hat vor allem eine beunruhigende Komponente: Die NSA selbst scheint ihre Cyberwaffen und Dienstgeheimnisse nicht mehr unter Kontrolle halten zu können.

Insgesamt sollen 21 Millionen Passwörter vom Datenklau betroffen sein.
Mehr lesen:Größte jemals gestohlene Sammlung von Zugangsdaten im Netz aufgetaucht
Denn auch WannaCry und NotPetya, die 2017 die Welt im Atem hielten, sind eigentlich Abkömmlinge aus dem technisch betrachtet durchaus brillanten NSA-Repertoire – und gelten als erstes Indiz dafür, dass die US-Cyberabwehr auch ganz ohne Edward Snowdens Enthüllungen massiver wackelt denn je.

Die üblichen Verdächtigen – Cui bono?

Dass ausländische Cyberdienste aus Russland, China oder dem Iran technisch in der Lage sind, sogenannte APT-Angriffe (Advanced Persistent Threat) durchzuführen, ist altbekannt. Doch die jetzige Welle dürfte ihnen ebenso ungelegen kommen wie dem Westen. Denn anders als die organisierte Cyberkriminalität verfolgen ausländische Cyber-Nachrichtendienste in erster Linie die leise und unauffällige Übernahme von kritischen Infrastrukturen.

Auf diese Weise lassen sich Unternehmen und staatliche Einrichtungen ausspionieren oder, sofern es zu einem massiven Konflikt käme, auch mal lahmlegen. Nichts anderes betreiben auf der anderen Seite die NSA und ihre fachlich nicht minder bewanderten Cyberkrieger des britischen Government Communications Headquarters (GCHQ). Gerade für deutsche Unternehmen stellt sich ob solcher Konstellationen nicht mehr die Frage, ob sie gehackt werden wollen, sondern von wem.

Gleichwohl werden immer wieder die gleichen Muster bedient. So werden Unternehmen wie Kaspersky und Huawei im Westen auf Druck der USA argwöhnisch beäugt, obwohl sie wesentlich zur globalen Cyberabwehr und -kommunikation beitragen.

FAZIT
Doch die jetzige Angriffswelle trifft alle. Den Westen, weil er ganz offensichtlich zu großen Teilen seine Cyberabwehrfähigkeit verloren hat, und seine Gegenspieler, weil es am Ende nichts mehr auszuspionieren gibt, wenn der Trend anhält, sondern brisantes Material schlichtweg gegen BTC verscherbelt wird.
Womöglich geht es am Ende somit nur um eine so profane Sache wie ums Geld. Das ebenso fitte wie berüchtigte Hackerkollektiv Dark Overlord jedenfalls sucht mit professionellen Stellenanzeigen im Darknet Mitarbeiter – und bezahlt ihnen nach Sichtung der Bewerbungsunterlagen rund 77.000 Euro pro Monat.
Man darf es auch anders sagen: Westen hin, Osten her – Pecunia non olet. "Geld stinkt nicht"