Angriff auf "TV5Monde": Cyberkrieg oder Propagandaschlacht?
Wer die Bedeutung eines "ganz normalen" zielgerichteten Angriffs überhöht, spielt das Spiel des Angreifers - ein Kommentar von Sicherheitsexperte Udo Schneider, Pressesprecher des japanischen IT-Sicherheitsanbieters Trend Micro
(pressebox) Hallbergmoos, 15.04.2015 - Der Angriff auf "TV5Monde" ist zurzeit in aller Munde. Außer Zweifel steht, dass derartige Angriffe schlimm sind - aber wirklich außergewöhnlich sind sie nicht. Im Grunde genommen ist der französische Fernsehsender Opfer eines klassischen zielgerichteten Angriffs geworden, ein Schicksal, das Hunderte Firmen pro Tag teilen. Auch wenn sich der Islamische Staat (IS) zu der Attacke bekannt hat, wäre es daher falsch, von einem islamistischen Cyberkrieg zu sprechen. Vielmehr hat der IS eine - aus seiner Sicht - erfolgreiche Propagandaschlacht geschlagen. Und dies wohl noch im Outsourcing.
Die eingesetzten Methoden und technischen Hilfsmittel des Angriffs sind nicht ungewöhnlich. Die dazu notwendigen Kenntnisse sind im digitalen Untergrund bestens bekannt und verfügbar. Nehmen wir als Beispiel die initiale Aufklärung: Bei "normalen" Unternehmen findet dies in der Regel über soziale Medien und Social-Engineering statt. Erstes Ziel der Angreifer ist es, innerhalb des Opfers einen Brückenkopf aufzubauen - sei es, indem man einen Mitarbeiter - beispielsweise per "Spearphishing" - kompromittiert oder sogar an Passwörter gelangt. So auch bei "TV5Monde" - dort mag die Aufgabe jedoch noch einfacher zu lösen gewesen sein, da einige Passwörter vom Sender selbst über eigene Beiträge aus Versehen ausgestrahlt wurden.
Schadsoftware von der Stange
Auch die für den Angriff verwendete Schadsoftware weist keine außergewöhnlichen Eigenschaften auf. Zumindest zeigen das die ersten Analysen meiner Kollegen aus der Bedrohungsforschung. So haben die Angreifer offenbar einen Hintertürschädling verwendet, der bereits seit 2014 im Umlauf sein dürfte. Dieser wird von diversen Hackern aktuell in mindestens zwölf verschiedenen Ländern für Attacken genutzt, darunter in Südafrika und Indien, und gehört zu einer ganzen Familie an Schädlingen, die unter anderem in Südamerika eingesetzt wurden. Wir haben es hier also mit Schadsoftware von der Stange zu tun, auch wenn sie technische Kenntnisse, allerdings nicht die höchsten, voraussetzt.
Eine einzelne TV-Anstalt ist keine kritische Infrastruktur
Bleibt also als etwas Besonderes "nur" das Opfer, die Angreifer und deren Motivation übrig. Als Opfer ist "TV5Monde" auf den ersten Blick ungewöhnlich. Immerhin stehen die meisten zielgerichteten Angriffe im Zusammenhang mit Wirtschaftsspionage und wirtschaftlichen Motiven. Doch nur weil ein Ziel nicht wirtschaftlich interessant ist, heißt das nicht, dass es außer Gefahr ist - alles hängt vom Angreifer und dessen Motivation ab. Andererseits lässt sich ein einzelner Angriff auf einen Fernsehsender nicht als eine Attacke auf eine kritische Infrastruktur im Sinne der Nationalen Strategie zum Schutz kritischer Infrastrukturen (KRITIS-Strategie)[1] des Bundes werten. Insofern wäre es also verfrüht, von einem islamistisch motivierten Cyberkrieg zu sprechen.
Cyberangriff auf "TV5Monde": Eine Propagandaschlacht im Outsourcing
Sofern die von den Angreifern platzierten Inhalte Rückschlüsse zulassen, ist die Motivation des Angriffs klar: Propaganda. Offenbar wollte der Islamische Staat keine physischen Schäden hervorrufen, sondern Aufmerksamkeit erzeugen - vielleicht hat die Attraktivität nach den jüngsten Misserfolgen auf den Schlachtfeldern im Cyberspace Schäden am Image der furchtlosen und erfolgreichen Gotteskrieger hinterlassen.
Aber auch dieses Motiv lässt keinen zwingenden Rückschluss auf die Angreifer zu. Natürlich denkt jeder sofort an fanatische Cyber-Terroristen. Andererseits haben wir im Laufe der Zeit gelernt, dass sich solche Angriffe komplett kaufen lassen - sozusagen als "All-Inclusive-Paket" aus Werkzeugen, Personen und Zeit. Die Angreifer (nicht die Auftraggeber) könnten also einfach nur "ihren Job" gemacht haben. Das Ergebnis eines erfolgreichen Hacks und höchster medialer Aufmerksamkeit bleibt davon freilich unberührt - beim zwingenden Schluss auf eine schlagkräftige Cyberterror-Organisation sollte man aber vorsichtig sein. Wer vor diesem Hintergrund den IS als Akteur im Cyber-Jihad überhöht, spielt unter Umständen sogar das Spiel der Angreifer-Auftraggeber und lässt sie gefährlicher aussehen, als sie es im Cyberspace tatsächlich sind.
[1] Vgl. Bundesministerium des Inneren: Nationale Strategie zum Schutz Kritischer Infrastruktur (KRITIS), 2009, http://www.bmi.bund.de/cae/servlet/contentblob/544770/publicationFile/27031/kritis.pdf, S. 4.
Über Udo Schneider
Udo Schneider kennt sich aus mit den Gefahren, die im Internet lauern, und weiß, wie man sich vor ihnen schützen kann. Bevor er beim IT-Sicherheitsanbieter Trend Micro seine jetzige Position als Pressesprecher antrat, beschäftigte er sich als Solution Architect EMEA mehrere Jahre lang mit der Entwicklung geeigneter Maßnahmen gegen diese Gefahren - mit Fokus auf Cloud-Computing, Virtualisierung, Verschlüsselung und Netzwerksicherheit.
Schneider kommt dabei seine langjährige Erfahrung zugute, die er als Berater, Trainer und Security-Analyst bei verschiedenen Anbietern des IT-Sicherheitsmarktes erworben hat.
[1] Vgl. Bundesministerium des Inneren: Nationale Strategie zum Schutz Kritischer Infrastruktur (KRITIS), 2009, http://www.bmi.bund.de/cae/servlet/contentblob/544770/publicationFile/27031/kritis.pdf, S. 4.
Die eingesetzten Methoden und technischen Hilfsmittel des Angriffs sind nicht ungewöhnlich. Die dazu notwendigen Kenntnisse sind im digitalen Untergrund bestens bekannt und verfügbar. Nehmen wir als Beispiel die initiale Aufklärung: Bei "normalen" Unternehmen findet dies in der Regel über soziale Medien und Social-Engineering statt. Erstes Ziel der Angreifer ist es, innerhalb des Opfers einen Brückenkopf aufzubauen - sei es, indem man einen Mitarbeiter - beispielsweise per "Spearphishing" - kompromittiert oder sogar an Passwörter gelangt. So auch bei "TV5Monde" - dort mag die Aufgabe jedoch noch einfacher zu lösen gewesen sein, da einige Passwörter vom Sender selbst über eigene Beiträge aus Versehen ausgestrahlt wurden.
Schadsoftware von der Stange
Auch die für den Angriff verwendete Schadsoftware weist keine außergewöhnlichen Eigenschaften auf. Zumindest zeigen das die ersten Analysen meiner Kollegen aus der Bedrohungsforschung. So haben die Angreifer offenbar einen Hintertürschädling verwendet, der bereits seit 2014 im Umlauf sein dürfte. Dieser wird von diversen Hackern aktuell in mindestens zwölf verschiedenen Ländern für Attacken genutzt, darunter in Südafrika und Indien, und gehört zu einer ganzen Familie an Schädlingen, die unter anderem in Südamerika eingesetzt wurden. Wir haben es hier also mit Schadsoftware von der Stange zu tun, auch wenn sie technische Kenntnisse, allerdings nicht die höchsten, voraussetzt.
Eine einzelne TV-Anstalt ist keine kritische Infrastruktur
Bleibt also als etwas Besonderes "nur" das Opfer, die Angreifer und deren Motivation übrig. Als Opfer ist "TV5Monde" auf den ersten Blick ungewöhnlich. Immerhin stehen die meisten zielgerichteten Angriffe im Zusammenhang mit Wirtschaftsspionage und wirtschaftlichen Motiven. Doch nur weil ein Ziel nicht wirtschaftlich interessant ist, heißt das nicht, dass es außer Gefahr ist - alles hängt vom Angreifer und dessen Motivation ab. Andererseits lässt sich ein einzelner Angriff auf einen Fernsehsender nicht als eine Attacke auf eine kritische Infrastruktur im Sinne der Nationalen Strategie zum Schutz kritischer Infrastrukturen (KRITIS-Strategie)[1] des Bundes werten. Insofern wäre es also verfrüht, von einem islamistisch motivierten Cyberkrieg zu sprechen.
Cyberangriff auf "TV5Monde": Eine Propagandaschlacht im Outsourcing
Sofern die von den Angreifern platzierten Inhalte Rückschlüsse zulassen, ist die Motivation des Angriffs klar: Propaganda. Offenbar wollte der Islamische Staat keine physischen Schäden hervorrufen, sondern Aufmerksamkeit erzeugen - vielleicht hat die Attraktivität nach den jüngsten Misserfolgen auf den Schlachtfeldern im Cyberspace Schäden am Image der furchtlosen und erfolgreichen Gotteskrieger hinterlassen.
Aber auch dieses Motiv lässt keinen zwingenden Rückschluss auf die Angreifer zu. Natürlich denkt jeder sofort an fanatische Cyber-Terroristen. Andererseits haben wir im Laufe der Zeit gelernt, dass sich solche Angriffe komplett kaufen lassen - sozusagen als "All-Inclusive-Paket" aus Werkzeugen, Personen und Zeit. Die Angreifer (nicht die Auftraggeber) könnten also einfach nur "ihren Job" gemacht haben. Das Ergebnis eines erfolgreichen Hacks und höchster medialer Aufmerksamkeit bleibt davon freilich unberührt - beim zwingenden Schluss auf eine schlagkräftige Cyberterror-Organisation sollte man aber vorsichtig sein. Wer vor diesem Hintergrund den IS als Akteur im Cyber-Jihad überhöht, spielt unter Umständen sogar das Spiel der Angreifer-Auftraggeber und lässt sie gefährlicher aussehen, als sie es im Cyberspace tatsächlich sind.
[1] Vgl. Bundesministerium des Inneren: Nationale Strategie zum Schutz Kritischer Infrastruktur (KRITIS), 2009, http://www.bmi.bund.de/cae/servlet/contentblob/544770/publicationFile/27031/kritis.pdf, S. 4.
Über Udo Schneider
Udo Schneider kennt sich aus mit den Gefahren, die im Internet lauern, und weiß, wie man sich vor ihnen schützen kann. Bevor er beim IT-Sicherheitsanbieter Trend Micro seine jetzige Position als Pressesprecher antrat, beschäftigte er sich als Solution Architect EMEA mehrere Jahre lang mit der Entwicklung geeigneter Maßnahmen gegen diese Gefahren - mit Fokus auf Cloud-Computing, Virtualisierung, Verschlüsselung und Netzwerksicherheit.
Schneider kommt dabei seine langjährige Erfahrung zugute, die er als Berater, Trainer und Security-Analyst bei verschiedenen Anbietern des IT-Sicherheitsmarktes erworben hat.
[1] Vgl. Bundesministerium des Inneren: Nationale Strategie zum Schutz Kritischer Infrastruktur (KRITIS), 2009, http://www.bmi.bund.de/cae/servlet/contentblob/544770/publicationFile/27031/kritis.pdf, S. 4.
