Des indices accablants ne sont pas pour autant des preuves

In vielen Fällen lässt sich diese vermeintlich einfache Frage aber nicht so einfach beantworten. Schon gar nicht, wenn man sich ausschließlich auf die objektiven Fakten stützt und die subjektive Meinungsbildung durch die lokale/zeitliche Wahrnehmung des Opfers oder durch die Presse außen vorlässt.

Was bei zu viel Subjektivität passiert, lässt sich leicht am aktuellen Beispiel von EyePyramid zeigen – einem „Information-Stealer“, der in den vergangenen Wochen rund 87 GB an Daten entwendet hat. Darunter die von privaten Unternehmen, aber auch Regierungsbüros und anderen öffentlichen Organisationen.

EyePyramid zielte auf mehr als 100 Mail-Domänen mit mehr als 18.000 Mailkonten. Die z. T. hochrangigen Opfer kamen aus Italien und anderen europäischen Ländern, aber auch den USA und Japan.

Bei diesen überwältigenden Indizien war für viele die Schlussfolgerung klar: Hier handelt es sich um einen staatlich getriebenen oder gesponserten Angriff!

Diese Schlussfolgerung wurde dann auch dankbar von den Medien und der breiten Öffentlichkeit aufgegriffen. Leider gab es dabei nur ein Problem – sie stimmt nicht!

Wie sich im Nachhinein herausgestellt hat, handelt es sich bei den Hintermännern von EyePyramid um ein Geschwisterpaar mit rein monetären Interessen. Keine staatlich geförderte Organisation, die in den nächsten Cyberkrieg zieht.

Dieser Vorfall zeigt deutlich auf, was passiert, wenn Fakten nur im Kontext des eigenen „genehmen“ Kontexts interpretiert bzw. zu sehr vereinfacht werden. Seriöse Sicherheitsforscher beschränken sich bei der „Attribution“, also dem Zuweisen von Angriffen zu Akteuren, auf technisch nachprüfbare Informationen.

Natürlich gibt es auch „Hinweise“, die in eine bestimmte Richtung zeigen bzw. deren Kombination sich verstärkt. Aber den metaphorischen „rauchenden Colt“ in der Hand des Angreifers findet man selten.

Um bei EyePyramid zu bleiben: Faktisch wurden (auch) regierungsnahe Organisationen kompromittiert. Dies sind objektive Fakten. Die Vereinfachung, dass daher ein staatlicher Akteur dahinterstecken muss, ist subjektiv und zu sehr vereinfachend.

Leider ist die faktische Berichterstattung weit weniger spektakulär als die (nicht korrekte) Vereinfachung…

Auch wenn die ungerechtfertigte Vereinfachung von Tatsachen mich als technisch interessierten Menschen ärgert, könnte das Thema an dieser Stelle vorbei sein. Wenn nicht noch ganz andere Seiteneffekte auftreten würden:

Wenn in der Berichterstattung aus jeder Mücke ein Elefant und aus jeder cyberkriminellen Aktion ein Cyberkrieg staatlicher Akteure wird, hat das auch Einfluss auf die Sicherheitswahrnehmung bzw. das Sicherheitsverhalten von uns allen.

Wenn überall nur von Cyberkrieg und staatlichen Akteuren gesprochen wird, stellt sich bei vielen Firmen und Privatpersonen Resignation ein:

„Wie soll ich mich als Person/Firma schon gegen einen Staat schützen können?“

Alternativ auch:

„Wieso sollte ein Staat mich schon Visier haben?“

Der „Erfolg“ solcher marktschreierischen Kommunikation ist, dass viele die eigentliche Gefahr – nämlich gewöhnliche Cyberkriminelle – gar nicht wahrnehmen und dementsprechend auch keine passenden Schutzmaßnahmen ergreifen.

Um es ganz klar zu sagen: Ja, es gibt dort draußen staatliche Akteure, die mit großem Budget agieren. Aber für normale Firmen und Privatpersonen sind diese Akteure aus Sicht der Risikobewertung vernachlässigbar! Der „normale“, monetär getriebene Cyberkriminelle stellt das weitaus größere Risiko dar!

Daher meine Bitte an dieser Stelle: Lassen Sie sich nicht von Sensationsmeldungen zu Cyberattacken staatlicher Akteure verunsichern! Führen Sie eine Risikobewertung Ihrer Geschäftsprozesse durch, verifizieren Sie, welche Akteure dort ein echtes Risiko darstellen, und stellen Sie Ihre Sicherheitsstrategie entsprechend auf.

Als Letztes habe ich aber auch eine Bitte an die Presse, an Blogger usw.: Manche Dinge lassen sich nicht weiter vereinfachen! Dies gilt auch für Indizien bei IT-Angriffen. Auch wenn das Weglassen/Vereinfachen von Indizien vielleicht wunderbar zu „Beweisen“ führt, die dann als große Sensation platziert werden können.

Raimund Genes starb am Freitag, dem 24. März, bei sich zu Hause unerwartet an den Folgen eines Herzinfarkts.

Der langjährige Chief Technology Officer von Trend Micro wurde 54 Jahre alt. Er baute den japanischen IT-Sicherheitsanbieter in Deutschland und Europa auf und verlieh ihm eine wichtige Stimme in der Öffentlichkeit.

Ab 2014 bereicherte Genes das E-3 Magazin mit seinen aktuellen und scharfsinnigen Kommentaren im Rahmen der monatlichen IT-Security-Kolumne. Auch hier leistete er wertvolle Bildungsarbeit für die SAP-Community.

Seinen letzten Kommentar veröffentlichen wir auf dieser Seite posthum. Unsere Anteilnahme gilt seiner Familie und seinen Freunden.