Thought Leadership
Am 6. Januar 2016 – also noch vor dem unmittelbaren Ende der Präsidentschaft Barrack Obamas – veröffentlichte das Intelligence Community Assessment (ICA) unter dem Titel „Assessing Russian Activitites and Intentions in Recent US Elections“ ein entsprechendes Hintergrundpapier.
Eines der wichtigsten Ergebnisse der Nachforschungen: Russland wird für eine mehrschichtige Kampagne verantwortlich gemacht, die sich ausdrücklich gegen einen regulären Ablauf der jüngsten US-Wahlen richtete. Zum einen sollte das Vertrauen in den demokratischen Prozess als solchen unterminiert werden, vor allem aber die Glaubwürdigkeit der Präsidentschaftskandidatin Hillary Clinton. Zwar beschäftigt sich das Papier mit der mutmaßlichen Einflussnahme Russlands auf die US-Wahlen, die Autoren weisen aber ausdrücklich darauf hin, dass wir bei anstehenden Wahlen weltweit mit ähnlichen Szenarien rechnen dürfen. 2017 ist das Jahr der Präsidentschaftswahl in Frankreich und das der Bundestagswahl in Deutschland.
Cyberangriffe als politische Waffe zu nutzen ist nicht unbedingt etwas Neues. Neu sind allerdings Qualität und Ausmaß wie bei den jüngsten Wahlen in den USA. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ahnt dahingehend nichts Gutes und geht davon aus, dass es eines besonderen Schutzes gegen Online-Wahlmanipulationen bei den in diesem Jahr anstehenden Bundestagswahlen bedarf. Das BSI sieht wie auch die ICA im Wesentlichen zwei Säulen einer möglichen Einflussnahme. Das sind zum einen gezielte Hackerangriffe zum anderen eine Art automatisierter Meinungsbildung über verschiedene Instrumentarien in den sozialen Medien. Beides gelte es zu bekämpfen, so das BSI. Anlass für die Stellungnahme des BSI war eben jener Bericht zu den Cyberangriffen für die der russische Präsident verantwortlich gemacht wird. Es soll vermutlich anders klingen, dennoch betreten Parteien, Mandatsträger und Staaten hier tatsächlich anderweitig berühmt gewordenes „Neuland“.
Karte und Gebiet: Neuland
Regierungsinstitutionen, Parteien, Mandatsträger und solche die es werden wollen, sehen sich (wie es der US-Wahlkampf besonders sinnfällig dokumentiert hat) mit einer neuen Qualität von Cyberangriffen konfrontiert. Manches davon war nach den Vorkommnissen im Wahljahr zu erwarten manches eher nicht.
Wir sind inzwischen daran gewöhnt, dass Hacker Unternehmen ins Visier nehmen. Dass die Angreifer dabei Millionen von Daten, Kreditkartennummern und Passwörter stehlen, zum sofortigen oder späteren Gebrauch oder wichtige Systeme zum Erliegen bringen. Wenn es sich dabei um Angriffe handelt, die von einem Staat in Auftrag gegeben worden sind, richtet sich die Attacke vielleicht gegen Wissenskapital, militärische Geheimnisse oder andere Arten von sensiblen Informationen – beispielsweise im Rahmen einer groß angelegten Offensive zur Wirtschaftsspionage.
Aber Cyberangriffe und Hackerattacken auf politische Parteien, Kandidaten und Mandatsträger? IT-gestützte Systeme im Visier, Daten und Dateien, die herausgeschleust oder geleaked werden, gezielte Manipulationen und das Schüren grundsätzlicher Verunsicherung in Bezug auf das politische System und seine Repräsentanten? Natürlich sind schmutzige Spielchen keine Erfindung des digitalen Zeitalters, und es gibt ausreichend viele Beispiele für analoge „Hacks“. Digitale Angriffstechniken allerdings gezielt einzusetzen, um den politischen Gegner zu diskreditieren, Wahlen zu manipulieren und Kampagnen so zu beeinflussen, dass sie ein Klima der Verunsicherung schaffen, ist in dieser Form neu. Dazu gehört auch, was das BSI in seiner Verlautbarung als „automatisierte Meinungsmache“ bezeichnet.
Wir waren uns ziemlich sicher, dass Datenschutzverletzungen dieser Art nicht nur die Cybersicherheit als solche in die Schlagzeilen bringen würde, sondern auch, dass diese eng mit schwerwiegenden geopolitischen Veränderungen, Umbrüchen und Bedrohungen wie beispielsweise dem internationalen Terrorismus in Verbindung stehen würden.
Der DNC Hack – ein beispielhafter Hack mit Folgen
Im Sommer des letzten Jahres wurde das Democratic National Committe (DNC) Opfer einer der Hacker-Gruppierungen, die wahrscheinlich mit dem russischen Geheimdienst in Verbindung stehen. Dabei kamen Technologien zum Einsatz zum Standard-Repertoire eines Hackers gehören und als solche keineswegs neu sind: Spear-Phishing, Remote Access Trojaner, Malware, C2-Server und so weiter. In diesem Fall ging es aber nicht darum Konten- oder Kreditkarteninfos abzuziehen wie in vergleichbaren Fällen von Online-Kriminalität. Hier hatten die Hacker es auf E-Mails mit vertraulichen Inhalten abgesehen. Diese Inhalte veröffentlichten sie anschließend im Internet mit dem einzigen Ziel größtmöglichen Schaden anzurichten. Nicht unähnlich dem Sony-Hack bei dem es um den größtmöglichen wirtschaftlichen Schaden ging. Neu beim Angriff auf das DNC: Hier attackiert eine politische Entität eine andere, und zwar aus politischen Gründen. Ähnliche Vorfälle in europäischen Ländern – Deutschland eingeschlossen – haben das Thema auf die nationale politische Agenda gebracht.
E-Mail – Die Mutter allen Übels?
Auf den DNC-Hack folgten weitere, politisch motivierte Angriffe wie beispielsweise auf die E-Mails von Hillary Clinton. Dass sich Politiker und Repräsentanten des Staates zukünftig sehr viel stärker damit auseinandersetzen müssen, wie sie sensible Inhalte, die meist in Form unstrukturierter Daten vorliegen, besser schützen, auch das ist in dieser Form eher neu.
Obwohl wir die Vorgehensweisen aus dem kommerziellen Sektor zur Genüge kennen, scheint die Vorstellung noch gewöhnungsbedürftig zu sein. Wenn jemand aber auf der Suche nach vertraulichen, persönlichen Informationen ist, sind und bleiben E-Mails so etwas wie der One-Stop-Shop.
Hacker, deren Angriffe primär finanziell motiviert sind, haben mit den in Dokumenten, Präsentationen und so weiter enthaltenen PII-Daten (Personally Identifiable Informationen) den eigentlichen Schatz gefunden, der überall in den jeweiligen Dateisystemen verborgen liegt.
Wer auf der Suche nach vertraulichen Daten und Insiderinformationen ist, für den sind E-Mail-Server und persönliche E-Mail-Konten der schnellste und einfachste Weg zum Ziel. Angreifer wissen, dass E-Mail-Konten die Quelle sind, aus der sich die meisten Daten auf einmal abschöpfen lassen: vertrauliche Informationen, Geschäftsgeheimnisse und andere IPs.
Dazu kommt, dass selbst Führungskräfte, äußerst leichtsinnig sind, wie der Hack auf das Gmail-Konto des ehemaligen Secretary of State, Colin Powell, zeigt. Für die Angreifer öffnet sich ein digitales Fenster mit freier Aussicht auf eine weitestgehend ungeschützte Kommunikation. Mittlerweise ist längst bekannt, dass Powell sein privates E-Mail-Konto während seiner Tätigkeit im State Department benutzte um mit „Freunden“ – darunter Führungskräfte und Regierungschefs anderer Länder – „off the records“ zu kommunizieren. Und nicht nur das. Er gab der damaligen Secretary of State, Hillary Clinton, Tipps wie sie den offiziellen E-Mail-Account und die IT-Sicherheit mit Hilfe eines Modems und eines Laptops umgehen könnte. Derartig tiefgreifende Insidereinblicke zu bekommen hätte in der analogen Ära ein Vielfaches an Aufwand und Risiko bedeutet.
Was die Krise lehrt
Ob Schaden klug macht, wird sich zeigen und berechtigte Zweifel bleiben. Dennoch. Die Tatsache, dass es bei politischen Institutionen und Prozessen schwerwiegende Sicherheitsmängel gibt, dass hoch vertrauliche und persönliche Daten vergleichsweise einfach zugänglich waren, und dass sie anschließend veröffentlicht werden konnten, hat einige aus dem Dornröschenschlaf geweckt. Schließlich betreffen solche Leaks nicht nur politische Mandatsträger und Kandidaten. Familie und Freundeskreis sind bei prekären Enthüllungen ebenso betroffen.
Der Hackerangriff auf den Bundestag im Jahr 2015 hatte jedenfalls weitreichende Folgen sogar für die Ausgestaltung des IT-Sicherheitsgesetzes (sodass jetzt beispielsweise auch Bundesbehörden Sicherheitsauflagen einhalten müssen). Ende Dezember 2016 warnte jedenfalls das BSI nicht nur vor Wahlmanipulationen und Fake News im bevorstehenden Bundestagswahlkampf. Präsident Arne Schönbohm sagte der Welt am Sonntag: „Wir optimieren kontinuierlich die Verteidigungsfähigkeit der Regierungsnetze, um gegen mögliche Cyberangriffe gewappnet zu sein.“ Dazu tausche man sich mit anderen europäischen Ländern aus, in denen in naher Zukunft gewählt wird. Denn gerade mit Blick auf die Bundestagswahl im nächsten Jahr mache man sich Sorgen und fürchte eine hohe „Bedrohung für Staat, Wirtschaft und Gesellschaft durch professionelle und vermutlich staatlich gelenkte Cyberangriffe“. Es könne zu einer „gezielten Manipulation der öffentlichen Meinung durch Dritte“ kommen.
Wem es gelingt sensible Daten aus einer hoch vertraulichen E-Mail-Korrespondenz abzuziehen, der profitiert davon in zweierlei Hinsicht: Er ist in der Lage die öffentliche Meinung zu beeinflussen und Informationen gezielt nach einem minutiösen Zeitplan zu veröffentlichen. Interessenten gibt es in ausreichender Zahl, eingeschlossen die Opposition im jeweiligen Land und Dritte. Der zweite, nicht zu unterschätzende Aspekt ist, dass Mitbewerber oder konkurrierende Parteien Einblick in die strategische Wahlkampfplanung bekommen und die eigene Kampagne daraufhin ausrichten oder feinjustieren können.
Ob Gesetze ausreichen, den Schutz von vertraulichen Daten zu gewährleisten, bleibt fraglich. Die neue, 2018 in Kraft tretende EU-Datenschutz-Grundverordnung, sieht jedenfalls sowohl eine 72-Stunden Meldepflicht bei Datenschutzverletzungen vor als auch eine erweiterte Definition für PII-Daten vor. Und sie ist deutlich restriktiver als vergleichbare Gesetze und Richtlinien in den USA. Ein übergreifender Ansatz, um solche Bedrohungen in den Griff zu bekommen ist beispielsweise die Analyse des Benutzerverhaltens (UBA = User Behavior Analytics). Einfach gesagt, definiert UBA sozusagen die Normalwerte in einer bestimmten Umgebung. Weicht ein Verhalten oder eine Aktivität davon ab, kann das auf einen Datenschutzverstoß hinweisen. In solchen Fällen wird ein entsprechender Alarm ausgelöst, nachgeforscht und die Verantwortlichen in Kenntnis gesetzt, um Gegenmaßnahmen zu ergreifen.
David Lin, Varonis
