Zum Textbeginn springen . Zur Navigation springen .

Dragonfly – Cyberkrieg in Europa

Den zarten Namen "Libelle" (Dragonfly) hat eine Gruppierung bekommen, die verschiedene Angriffstrechniken kombinierten, um Trojanersoftware in Softwarepakete von Maschinenbauern einzuschleusen. Diese Maschinenbauer liefern überwiegend Equipment, welches in der Energiebranche eingesetzt wird. Das zumindest meldet die Firma Symantec, die nicht nur Anti-Virensoftware herstellt, sondern bei akuten Sicherheitsproblemen auch von Firmen zu Rate gezogen wird.

Für mich als Wirtschaftsinformatiker ist die Häufigkeit, mit der solche Aktivitäten zunehmend auftreten und die Empfindsamkeit des angegriffenen Systems - des Energiesystems - bedenklich. Nein: Bedrohlich! Denn das Katastrophenpotential eines erfolgreichen Cyber-Angriffs auf die Energieversorgungsstrukturen ist enorm. Was alles am Stromnetz hängt können sich auch Nicht-Fachleute beispielsweise durch Marc Elsbergs Roman "Black Out" gut vor Augen führen lassen. Was alles am Öl hängt dürfte Lesern dieses Blogs bekannt sein.

Da Symantec auch explizit Betreiber von Pipelines als indirekte Angriffsziele von "Dragonfly" benennt, ist durch die Truppe auch die Gas- bzw. Ölversorgung bedroht. Welchen Zweck genau die Angriffe haben, ist unklar. Erpressung? Wirtschaftlich? Politisch?

Aus meiner Sicht läuft global inzwischen ein veritabler Cyber-Krieg, der mit Stuxnet und den NSA-Überwachungen nur die Spitze des Eisbergs zeigt. Unbekanntere Angriffe wie "Flame" oder "Shamoon" sind ebenso besorgniserregend wie der nun bekannte Dragonfly-Angriff. All die kleinen und kleinsten (technischen) Unterwanderungen von Computerinfrastruktur, die nicht bekannt werden sowie jene Aktivitäten, die zwar laufen, aber unentdeckt bleiben lassen zusammen erahnen, dass die Computerwelt eine Militarisierung enormen Ausmaßes erreicht hat. Von einem militärisch-strategischen Standpunkt aus ist die Schadensmaximierung am größten, wenn die Cyberwaffen gegen Systeme gerichtet werden, an denen andere Systeme hängen: Insbesondere das Energiesystem.

Ich plädiere daher weiterhin und noch stärker dafür, eine Resilienzkultur zu entfalten, die alle Ebenen der Gesellschaft umfassen muss. Wir müssen unsere Lebenswelt so umbauen, dass sie gegenüber dem Erfolg solcher Angriffe - also der Störung der Energieversorgung - weniger verletzlich werden. Das wird sicherlich nicht durch noch mehr Computerisierung möglich sein.

15 Kommentare to “Dragonfly – Cyberkrieg in Europa”

  1. Ert sagt:

    @Norbert

    “Ich plädiere daher weiterhin und noch stärker dafür, eine Resilienzkultur zu entfalten, die alle Ebenen der Gesellschaft umfassen muss” – Die erste Peakoil-Studie der Bundeswehr hat ja ähnliches zur Robustheit und Redundanz unserer Gesellschaft gesagt.

    Aber das Streben nach dem letzten bisschen Effizienz und der Elimination von möglichst viel Redundanz – in der Suche nach der Einsparung des letzten Microcents – macht uns eben immer verletzlicher. Diesem Spiel sind gerade großen Unternehmen verfallen bzw. dazu auf Basis der Art unserer Wirtschaft bzw. unter den aktuellen politischen Rahmenbedingungen gezwungen. Letztere, also die politischen Rahmenbedingungen, werden dabei massiv von der Wirtschaft bzw. den Spielgewinnern selbst manipuliert bzw. zu Ihren Gunsten verändert.

    Unter dem Stichwort “Industrie 4.0” bekommt die Computerisierung der Industrie (Herstellung) und der Teile- & Warenketten (Logistik) ja noch einmal einen Schub in Richtung Komplexität. Personen die im Anforderungsmanagement (Requirements Engeneering) für Großprojekte involviert sind wissen, das die aktuelle Komplexität von Projekten immer schwerer handhabbar wird und das ohne eine hochkomplexe IT/Software-Werkzeugkette da nichts mehr zu holen ist – also nur um die Anforderungen und die Abhängigkeiten zu erfassen und aufzulösen.

    Aktuell sehe ich uns gesamtgesellschaftlich sogar fahrt in die ‘falsche’ Richtung aufnehmen – zustimmen tue ich Deiner Sichtweise und Deinem Anliegen hingegen aus eigener Überzeugung und aus ganzem Herzen.

    • Patrick sagt:

      @Ert

      Die Forderung von Ortwin Renn (Das Risikoparadox) nach “Resilienz vor Effizienz” ist in den entscheidenden Köpfen aus Politik und Wirtschaft einfach noch überhaupt nicht angekommen.

      Aber so ist es anscheinend, wenn man in ein Wirtschaftssystem eingebettet ist, dass die permanente Effizienzsteigerung als Überlebensbedingung erzwingt.

      Doch insbesondere bei systemischen Risiken müsste wirklich dringend eine neue Dankweise kommen.

      So traurig es ist, aber die Antwort auf Technik-Schwächen lautet heute nach wie vor noch: mehr Technik!

      Wie bitter das enden könnte, kann man wirklich sehr anschaulich in dem Roman (den auch Norbert empfohlen hat) Blackout von Marc Elsberg erleben.

      ACHTUNG SPOILER:
      Auch dort gibt es ja eine Bande von Cyber-Kriminellen bzw. Revolutionären

  2. Hendrik Altmann sagt:

    Diese Cyber Scharmützel sind die eine Sache man kann davon ausgehen das sich Konflikte um Energie (Ressourcen) noch dramatisch zuspitzen werden, Unabhängig sein vom Energiesystem ist gut, aber es geht noch besser, je Autarker man ist in Wasserversorgung, Nahrungsversorgung, Brennstoffe für den Winter desto besser die Überlebenschancen wenn alles zusammenbricht und desto höher die Lebensqualität, wenn mich jemand fragt was man tun kann wenn die Rohstoffe zuneige gehen insbesondere Öl, Kohle, Gas dann sag ich wenn möglich da ein Grundstück kaufen wo ich Trinkwasser in der Nähe habe, Wälder für Brennholz und villt noch einen See (Fischfang), Grundstück für den Anbau von Nahrung, geignete Gebiete währen da Skandinavien und Kanada, Städte wären nicht zu empfehlen. Plünderer dürften auch sehr Problematisch werden, also jegliche Bewaffnung wäre von Vorteil.

  3. Stefan Wietzke sagt:

    Bei komplexen Systemen gibt es einen Effekt, der gerne übersehen wird. Hier wird eine Gefahr beschrieben und damit ist sie zumindest prnzipiell abwehrbar. Aber das eigentliche Problem hat einmal der bekannte Systemforscher Prof. Weizenbaum vom MIT beschrieben: “Gefährlich sind nicht die Systeme die wir kennen, sondern die von denen wir nicht einmal wissen das sie existieren.”

    Deshalb kommen die Einschläge sehr oft aus Ecken, die niemand im Blick hat.

    Kleine Ergänzung: Der Regierung ist schon klar, was da passieren kann. So hat die Bundesregierung eine umfangreiche Studie über die Verletzungsanfälligkeit Deutschlands erstellen lassen. Die Ergebnisse waren wie erwartet katastrophal. Aber es werden keine Konsequenzen daraus gezogen. Denn wenn ich die richtigen Konsequenzen ziehe, stellt das die Art wie wir wirtschaften und wie wir unsere Gesellschaft organsieren fundamental in Frage. Und wer geht da schon ran?

    Kommt es zu einem Schwarzfall des deutschen Stromnetzes (und das kann völlig ohne Angriff passieren), dauert das anschleißende flächendeckende Wiederanfahren etwa 14 Tage. Und ein groß Teil der kritischen Infrastuktur (Krankenhäuser, Wasserversorgung, Telekomunikation) würde nicht mal ein paar Stunden durchhalten.

  4. Frank Bell sagt:

    Es gibt von William R. Forstchen den Roman (auf Englisch) One Second After, der ebenfalls die Folgen eines totalen Stromausfalls auf die Bevölkerung einer Stadt in North Carolina schildert.

    Was ich mich immer frage:

    Was hat ein Steuerrechner in einem Kraftwerk am Internet zu suchen?

    (Die Mitarbeiter dort sollen gefälligst arbeiten, nicht surfen.)

    Updates sollten per USB oder CD eingespielt werden.

    Und zu Stuxnet: Man geht aufgrund der Komplexität davon aus, dass dieses “Ding” nicht von Hobby-Hackern, sondern von Mitarbeitern beim Militär/Geheimdienst programmiert wurde.

    Mit “Hacker” will man nur vom eigentlich Ursprung ablenken.

    • Frank Bell sagt:

      P.S. Das Buch von Forstchen kommt ohne die idiotische Heroisierung einer EU-Mitarbeiterin aus.

      Letzlich sind es die Deppen in Brüssel, die viele Probleme erzeugen oder verschärfen.

      In Forstchens Roman wird sehr eindrücklich geschildert, wie sowohl die medizinische Versorgung als auch die Versorgung mit Nahrungsmitteln zusammenbricht, wenn es keinen Strom, keine Energie mehr gibt.
      Der Zeithorizont in dem Roman ist allerdings ein Jahr, nicht 14 Tage.

    • Norbert Rost sagt:

      @Frank: Bei dem vorliegenden Dragonfly-Angriff ist es gar nicht nötig, dass die Systeme am Internet hängen. Vielmehr reicht die Update-Pflege per USB-Stick aus, um die Systeme zu kompromittieren. Geschafft hat das “Dragonfly” dadurch, dass sie die Trojaner IN DER Software der Hersteller untergebracht haben. Damit wurde die Schadsoftware zu jenen Leuten gebracht, die für die Pflege und Updates der Maschinensoftware zuständig sind. Selbst wenn diese Pfleger ihre Systeme abseits von allen Internetverbindungen laufen haben, haben sie dann mit der von dir vorgeschlagenen Methode (USB/CD) die Trojaner dennoch eingespielt. Eine Internetverbindung der Maschinen selbst war also gar nicht nötig, vielmehr transportierte der Admin selbst den Trojaner ins System.

      Hier zeigt sich, dass es an einer vertrauenschaffenden Distributionsinfrastruktur fehlt, die sicherstellt, dass Treiber und Softwareupdates NICHT kompromittiert sind. Heute bietet jede Firma ihre Softwareupdates über die Webseite an, wobei diese Webseiten angreifbar sind. Genau diese Lücke hat Dragonfly genutzt, den Rest haben die Betreuer der Maschinen selbst gemacht…

  5. Oli sagt:

    “Da Symantec auch explizit Betreiber von Pipelines als indirekte Angriffsziele von “Dragonfly” benennt, ist durch die Truppe auch die Gas- bzw. Ölversorgung bedroht. Welchen Zweck genau die Angriffe haben, ist unklar. Erpressung? Wirtschaftlich? Politisch?”

    Es gibt momentan zwei RAT Systeme, die den Russen in einer schon fast hysterisch zu nennenden PR Kampa zugeschreiben werden.

    Habe ein paar Quellen hier mal zusammengefasst: bit.ly/1jTwWCa (Heise Forum)

    Es geht angeblich um Angst vor “russischen Cybersanktionen” für westliche ökonomische Sanktionen (so Tom Kellermann von Trend Micro).

    Es könnte natürlich auch “nur” um “gute Gründe” für die Umverteilung der sich in langlaufenden Gas Lieferverträgen und Koops manifestierenden russischen Gasmarktanteile gehen.

    Um so langlaufende Verträge aufzubrechen bräuchte es verdammt gute Gründe für “crippling sanctions”.

    Und Cyber ist da wohl praktisch…

    NATO: “Cyber is such a complex thing, it is really ifficult to identify who is behind an attack,” he continued. “Deniability is the beauty of the game, and attackers tend to use it.”

    (6/24/14 Lt. Gen. J. Kert, NATO Cooperative Cyber Defense Centre)

    • Frank Bell sagt:

      “Deniability is the beauty of the game” = Wir initiieren die Angriffe und schieben das den Russen in die Schuhe.

      Sender Gleiwitz…

      • Oli sagt:

        In den USA und der NATO sind momentan unheimlich viele Geldmenschen, Uniformträger, Schlapphüte und IT-Security Leute am Thema “russischer Cyberkrieg” dran.

        Und da wird viel Geld bei bewegt, siehe z.B. Keith Alexanders Ironnet und deren Vertrag mit dem US Bankenverband SIFMA.

        Wenn die Banker viel Geld für mehr Sicherheit ausgeben, dann glauben sie an eine echte Bedrohung. Risiken berechnen können die.

        Ich sehe drei Möglichkeiten als Basis für den Glauben der Banker mehr Sicherheit zu brauchen (von der US Energiewirtschaft habe ich noch nichts vergleichbares gelesen):

        – Die Cybersecurity Leute in Banken und Security-Industrie dort glauben wirklich an eine Bedrohung aus Russland und sie kommt auch von dort her

        – Die Cybersecurity Leute glauben wirklich an eine Bedrohung aus Russland, die Bedrohung wurde aber von jemand anderem produziert, sie täuschen sich also bzgl. der Urheberschaft

        – KAs Ironnet hat mit den anderen Cybersecurity Firmen eine Art Kartell gebildet und das ganze ist eine riesige Marketing Show

        Nur die letzte Variante geht für uns gut aus, wenn sich bei uns nichts bewegt. Oder hält irgendwer unsere potemkinsche Cyber-Abwehr für einsatzwillig und bereit?

  6. Frank Bell sagt:

    @ Oli

    Glaub doch bitte nicht der US-Propaganda, die auch durch Hollywood in unseren Köpfen verankert wird:

    Jack Ryan: Shadow Recruit

    Der Film kam zum passenden Zeitpunkt mit dem passenden Thema und mit finanzieller Unterstützung des Department of Defence ins Kino.

    Die wollen DICH auf den Arm nehmen, was DENEN offensichtlich gelungen ist.

    • Oli sagt:

      Wenn es um Gefahrenabwehr geht sollte man sich nicht auf eine bequeme Variante festlegen, die einem das Weiterschlafen ermöglicht.

      Solange die Faktenlage uneindeutig ist sollte man alle Varianten in Betracht ziehen.

      Fakt ist: Die betreiben in den USA einen immensen personellen und finanziellen Aufwand für die Abwehr einer behaupteten “russischen Cybergefahr”.

      Für den Strom aus meiner Steckdose und das Warmwasser aus der Leitung in der Wand ist es völlig irrelevant wer denn nun den Cyberangriff abgeschossen hat, wenn einer schiesst, egal wer, dann bin ich betroffen.

      Das ist abzuwehren, egal woher es nun kommt.

      Und das Verhalten der US Vögel lässt halt darauf schliessen, dass sie mit Beschuss rechnen. Egal woher.

      • Oli sagt:

        Nachtrag: Die US Geheimdienste haben seit neuestem auch den Auftrag Cyberabwehr für US Schlüsselunternehmen zu machen, nicht mehr nur für den Staat.

        Geregelt im “National Cybersecurity and Communications
        Integration Center Act of 2014”

        http://www.hsgac.senate.gov/download/national-cybersecurity-and-communications-integration-center-act-of-2014

        Und die US Geheimdienste organisieren das auch gerade:

        “Top cybersecurity leaders in government are now hashing out how
        various cybersecurity-related agencies will handle the mission to
        protect critical infrastructure from cyber attacks.”

        c4isrnet: bit.ly/1qyLL1Q

        Um einschätzen zu können woher der Wind nun wirklich weht, Marketing-Hype oder reale Bedrohung (egal durch wen), müßte mal jemand schauen wer dieses Gesetz bezahlt hat, also die Lobby-Arbeit dafür und den Gesetzes-Entwurf durch Spezial-Anwälte.

        Wollten Banker mehr Schutz und haben gezahlt-> eher reale Bedrohung

        Hat die Cyber-Industrie gezahlt -> eher Marketing Hype

        So was erwarte ich von unseren Diensten und im Falle reale Bedrohung, egal woher, erwarte ich als Steuerzahler eine funktionierende Cyber-Abwehr.

        Damit auch mogen noch Strom und Warmasser aus meiner Wand kommt. :)

Diesen Eintrag kommentieren:

* Hinweis: Dieses Formular speichert Name, E-Mail und Inhalt, damit wir den Ueberblick ueber auf dieser Webseite veroeffentlichte Kommentare behalten. Fuer detaillierte Informationen, wo, wie und warum wir deine Daten speichern, welche Loesch- und Auskunftsrechte Du hast - wirf bitte einen Blick in unsere Datenschutzerklaerung.