IT-Sicherheit

Wie Cyber-Spione zu Werke gehen

18.02.2013 von Thomas Kuhn
Im Internet treiben Hacker, Geheimdienste und dubiose Unternehmer schwunghaften Handel mit Software-Schwachstellen. Sie sind das Einbruchswerkzeug für Online-Betrüger und Cyber-Spione. Auch Deutsche mischen auf diesem grauen Markt mit. Einblicke in eine konspirative Industrie.
Betrüger bemühen immer öfter die Tastatur, statt das Brecheisen.
Foto: VRD - Fotolia.com

Wer als Einbrecher heute noch zur Axt greift, wer Banken überfällt oder Tresore knackt, der hat den digitalen Wandel verpasst - und setzt sich unnötigen Risiken aus. Im Zeitalter des Cybercrime gehen erfolgreiche Hacker, Spione und Internet-Kriminelle virtuell auf Beutezug.

An die Stelle von Brecheisen, Schweißgerät und Pistole sind Spam-E-Mails, Trojaner, Computer-Würmer getreten und - allen voran - das Wissen um verborgene Schwachstellen in populärer PC-Software.

Thaddeus Grugq - ein blasser, untersetzter Mann, der auf Konferenzen der Hackerszene in zerrissenen Jeans und Gummilatschen auftritt - ist einer der besten Türöffner für die digitalen Eindringlinge.

Der gebürtige Südafrikaner, den in der Szene alle The Grugq nennen, sucht nach offenen Türen, Fenstern oder Schwachstellen im Mauerwerk. Allerdings nicht in seiner Nachbarschaft, sondern virtuell - in Software, die Privatleute und Unternehmen millionenfach nutzen: Betriebssysteme wie Windows oder MacOS, Web-Browser wie Firefox, Chrome und Internet Explorer oder Multimediasoftware wie Adobe Flash oder Apple Quicktime.

Die Schwachstellen, Hacker nennen sie Bugs, öffnen geheime virtuelle Türen in Computern. Um sie zu finden, verwenden Bug-Jäger eine Art hochintelligente Rechtschreibprüfung. Die durchforstet automatisch die oft Millionen Zeilen langen Programmcodes anderer Software nach Schreibfehlern. Wer diese Fehler kennt, kann Spionageprogramme schreiben, die Passwörter und Kontodaten ausspionieren. Er kann aber auch Computerwürmer programmieren, die sich weltweit in Rechnernetzwerken ausbreiten und sie lahmlegen.

Grugq nutzt die Bugs nicht selbst - er bietet sein Wissen als Schwachstellen-Dealer an und verkauft sogenannte Exploits, so etwas wie digitale Dietriche, auf einem boomenden globalen Markt für hoch spezialisierte Angriffsprogramme.

Spezialisten wie The Grugq bedienen vor allem staatliche Hacker. Denn es sind primär Geheimdienste und andere Behörden, die das Geschäft antreiben. Sie bezahlen fünf- bis sechsstellige Summen für exklusive Bugs oder fertig programmierte Spionagesoftware, mit denen sie Cyber-Attacken gegen andere Staaten fahren.

Meist völlig unbemerkt besorgen sie sich Kopien von Dokumenten, verwandeln Rechner in Abhörwanzen oder schneiden Internet-Telefonate mit.

Angriff auf Atomanlagen

Auch wenn der Handel mit der brisanten Angriffsware von Staaten getrieben wird - kaum eine der Schwachstellen bleibt auf Dauer geheim. Und so stecken die Exploits mitunter schon wenige Wochen, nachdem die Bug-Broker sie auf den Markt gebracht haben, auch in den Händen gewöhnlicher Online-Krimineller, die damit Privatleute und Unternehmen ausspionieren.

Es gibt kaum einen Datenschatz, auf den digitale Diebe nicht schon durch Softwareschwachstellen zugegriffen hätten. Im Dezember meldeten IT-Sicherheitsdienste, die Betrugssoftware Eurograbber habe ins Online-Banking von rund 30 000 europäischen Bankkunden eingegriffen und Sparer von über 30 Geldhäusern um hochgerechnet 36 Millionen Euro erleichtert.

Solche Angriffe sind teuer - aber nicht lebensbedrohlich. Noch nicht.

(Noch) nicht lebensbedrohlich

Denn Hacker könnten durch die verborgenen Sicherheitslücken sogar Kraftwerke attackieren. Bei Atommeilern könne es "wenigstens zu einer Notabschaltung kommen", sagt der Hamburger IT-Experte Ralph Langner. Er hatte den Stuxnet-Schädling entschlüsselt, der 2010 Teile der iranischen Atomanlagen zerstörte. Wer dahinter steckte, ist noch immer unklar. Sicher ist nur: Das Geschäft, das von Dieben und Betrügern dominiert ist, könnte schon bald zum globalen Schlachtfeld werden.

Die Hinweise auf Sicherheitslücken und fertige Angriffsprogramme bieten Hacker und Bug-Dealer in versteckten Foren und Chat-Räumen an. Interessierte finden dort ganze Werkzeugkästen für Angriffe jeder Art, etwa den Trojaner-Generator Black Ice oder den Online-Banking-Spion Citadel. Preis: ein paar Tausend Dollar pro Stück.

Lange war das Geschäft fest in den Händen einer digitalen Halbwelt, die - quasi mit elektronischen Schrotflinten - Jagd auf unzureichend geschützte Privat-PCs und Büro-Computer machte. Nun wandelt sich der Markt: Neben die digitalen Dunkelmänner im Untergrund tritt eine neue Generation professioneller und in aller Öffentlichkeit agierender Exploit-Händler.

Präzisionsgewehr statt Flinte

Ihr Portfolio sind nicht mehr digitale Flinten und Brecheisen, sondern immer präzisere virtuelle Scharfschützengewehre, Waffen für den elektronischen Erstschlag. Und mit einigen Tausend Dollar Finderlohn pro Softwareleck geben sie sich nicht mehr zufrieden. Der Südafrikaner Grugq etwa lässt wenig Zweifel daran, dass er ziemlich dick im Geschäft ist: Für 2012 peilte er eine Million Dollar Umsatz an.

Neben Grugq sind es Männer wie Chaouki Bekrar, Adriel Desautels und Martin Muench. Bekrars Firma Vupen logiert im französischen Montpellier. Desautels ist Chef des US-Unternehmens Netragard aus der Nähe von Boston, das mit dem Werbeslogan "Wir schützen Sie vor Leuten wie uns" wirbt.

Und der deutsche IT-Spezialist Muench ist mit seiner Firma Gamma International in einem eleganten Geschäftsbau an der Baierbrunner Straße in München gemeldet, deren transparent verglaste Fassade so gar nicht zur verschwiegenen Branche der Schwachstellen-Dealer passt.

Neben den großen Anbietern tummeln sich im prosperierenden Markt auch US-Rüstungslieferanten wie Northrop Grumman, Raytheon oder TeleCommunication Systems - und eine unüberschaubare Zahl freischaffender Hacker.

Sie alle sind Profiteure eines gravierenden Mangels: Staaten fehlt es an Know-how und Personal zum Aufspüren der Softwarelücken. Ohne diese Fachkenntnis aber wären Cyber-Attacken wie Stuxnet ebenso undenkbar wie der sogenannte Bundestrojaner, eine Spionagesoftware, mit der deutsche Ermittlungsbehörden die PCs von Verdächtigen überwachen.

Auf die Computer gelangen die Schadprogramme teils schon, wenn der Nutzer mit einem ungeschützten Rechner manipulierte Web-Seiten aufruft. Beliebte Fallen sind auch Gratisprogramme, die viele Handynutzer allzu sorglos aus den App-Stores der Telefonproduzenten auf ihre Smartphones laden.

Ansteckende Speichersticks

Elaborierter sind Angriffe mithilfe gefälschter E-Mails an Unternehmensmanager, die vorgeblich von Kollegen oder Geschäftspartnern stammen sollen. Doch statt der Vertragsentwürfe oder Preiskalkulationen enthalten sie Einbruchssoftware. Einem solchen Angriff fiel 2011 beispielsweise das US-Unternehmen RSA zum Opfer, dessen SecurID-Technik verhindern soll, dass Unbefugte auf Unternehmensdaten zugreifen. Über das geknackte SecurID-System griffen die Hacker auf das Netzwerk des US-Rüstungsunternehmens Lockheed Martin zu. Sicherheitsexperten glauben daher, dass der Angriff von einem fremden Geheimdienst gesteuert war.

Mitunter legen Angreifer aber auch präparierte USB-Sticks auf Unternehmensparkplätzen aus, auf denen sich etwa in unverdächtig scheinenden Bildern Angriffssoftware versteckt. Heben Mitarbeiter die Sticks auf und stecken sie in ihre Computer, installieren sich die Exploits auch auf Rechnern, die nicht einmal einen Internet-Zugang besitzen. Nach Ansicht von Fachleuten gelangte so der Stuxnet-Schädling in die iranischen Atomanlagen.

Die teuerste - wenn auch verderblichste - Ware sind Programmfehler, von deren Existenz selbst die Hersteller der Programme noch nichts ahnen.

Entsprechend heißen Angriffe, die auf diese Lücken zielen, Zero-Day-Exploits. Denn sie geschehen vor dem ersten Tag, an dem der Softwarehersteller sich und seine Kunden dagegen schützen könnte - also am Tag null.

Für Hinweise auf solche Softwarelücken zahlen Käufer zum Teil astronomische Summen: In einer im vergangenen Frühjahr vom US-Magazin "Forbes" veröffentlichten Übersicht reichen die gebotenen Preise für solche Schwachstellen von 5000 Dollar - bei älteren Versionen von Adobes Dokumentensoftware Acrobat Reader - bis zu 250 000 Dollar für einen funktionierenden Angriff auf Apples Smartphone-Betriebssystem iOS.

Solche Beträge übersteigen die Budgets gewöhnlicher Cyber-Krimineller. Nicht aber die Geldtöpfe von Strafverfolgungsbehörden und Geheimdiensten, die sich auf dem Graumarkt eindecken.

Ein ambivalentes Geschäft

Auch deutsche Behörden sollen laut Szenekennern bis zu 50 000 Euro für verlässlich funktionierende digitale Einbruchswerkzeuge zahlen - und sich auch für komplette Spionageprogramme interessieren. So präsentierte der deutsche Bug-Händler Muench dem Bundeskriminalamt das Know-how seines Unternehmens Gamma International - darunter eine Spionagesoftware namens FinFisher, die Internet-Telefonate mitschneiden kann, bevor sie durch Software wie Skype verschlüsselt werden.

Programme wie FinFisher zeigen, wie ambivalent das Geschäft der Bug-Händler ist. Einerseits helfen ihre Hinweise den Sicherheitsbehörden demokratischer Länder, die Kommunikationskanäle von organisierten Kriminellen oder Terroristen auszuforschen. Andererseits werden die Spezialprogramme - etwa in autoritären Staaten - schnell zur Waffe gegen Regimekritiker.

Entsprechend kritisch beurteilt daher der US-Datenschutzspezialist Christopher Soghoian von der Bürgerrechtsorganisation American Civil Liberties Union das weltweit blühende Geschäft mit Sicherheitslücken. „Der Verkauf von Schwachstellen an Strafverfolger, Militärs oder Geheimdienste in Ländern mit Menschenrechtsverletzungen bereitet mir erhebliche Sorgen“, sagt Soghoian.

Wettlauf der Bug-Jäger

Auch Muenchs Unternehmen Gamma wurde daher von Menschenrechtlern im abgelaufenen Jahr heftig kritisiert: Denn die Deutschen sollen ihre Spionagesoftware auch an die Regierungen in Ägypten und Bahrain verkauft haben. In Bahrain wurde FinFisher, in Bilddateien versteckt, an politische Aktivisten verschickt, berichten Forscher des Citizen Lab an der Universität von Toronto. Gamma bestreitet das.

Er handle nur mit autorisierten Regierungs- und Strafverfolgungsbehörden und halte sich an deutsche und englische Exportvorschriften, sagt Muench. Kritiker wie Datenschützer Soghoian halten das für Vernebelungstaktik. Der Handel mit Zero-Day-Exploits unterliege in keinem der Länder einer Regulierung.

Auch Vupen-Gründer Bekrar bemüht sich um eine weiße Weste. Sein Unternehmen arbeite nur mit Kunden aus Staaten der Bündnisse NATO, ANZUS (Australia, New Zealand, United States) und dem Verband Südostasiatischer Nationen ASEAN. Dass Letzterem auch weniger lupenreine Demokratien wie Kambodscha, Brunei oder Myanmar angehören, unterschlägt der Schwachstellen-Dealer.

Unklar bleibt zudem, wie Gamma und Vupen verhindern wollen, dass ihre digitalen Waffen in die Hände Dritter gelangen. Denn anders als Panzer oder Raketen lässt sich ein Programmcode unbemerkt verteilen: Selbst auf kleinste USB-Sticks passen Zehntausende Exploits.

Und so ist ein Wettlauf entbrannt zwischen den Profiteuren der Lücken - und den Softwareproduzenten, die sie zu schließen versuchen.

Alle setzen auf die gleiche Taktik

Das Problem: Nahezu jedes Programm hat quasi ab Werk Bugs eingebaut. Moderne Software ist so komplex, dass Programmierer fast zwangsläufig Fehler machen. Und je umfangreicher ein Programm ist, desto mehr Bugs verstecken sich im Code.

Microsofts Betriebssystem Windows 7 soll mehr als 50 Millionen Zeilen Programmcode umfassen. Die NetWeaver-Plattform der Businesssoftware des deutschen Softwarehauses SAP bestand schon vor fünf Jahren aus mehr als 230 Millionen solcher Zeilen. Im Zahlen- und Zeilenwust Fehler zu finden erinnert an die Suche nach der Nadel im Heuhaufen.

Es ist eine Arbeit für Spezialisten. Dabei setzen Spitzel, Schurken und Softwareproduzenten auf die gleichen Taktiken. Sie rücken Anwendungen und Betriebssystemen mit speziellen Softwarewerkzeugen zu Leibe. Ziel der Stresstests für die Software ist jeweils, die Systeme zu unvorhergesehenem Verhalten oder gar zum Absturz zu bringen. Denn solche Crashs deuten auf Fehler hin, die die Experten dann auf Missbrauchspotenzial untersuchen.

Bug-Jäger aus aller Welt

Viele Softwarekonzerne gehören daher selbst zu den Kunden der Bug-Händler: Im Rahmen von Belohnungsprogrammen wie die Zero Day Initiative (ZDI) oder iDefense kauft die Industrie Hinweise auf Softwarelücken auf - und zahlt laut Brancheninformationen bis zu 10 000 Dollar pro gefundenen Fehler.

Verkäufer sind Hacker auf der ganzen Welt. Wie der junge Russe Alexander Gavrun - Hackername 0x1byte -, der nach eigenen Angaben vom Verkauf der Bugs an ZDI oder Google lebt: „Als Bug-Jäger verdiene ich in Russland mehr als ein Programmierer oder System-Administrator.“ Im Schnitt benötige er einen Monat, um schwere Bugs in weit verbreiteter Software wie etwa Adobes Flash zu entdecken. Sein Hauptabnehmer, versichert Gavrun, sei ZDI. Dass die deutlich weniger zahlten als Regierungseinkäufer oder Kriminelle, sei - "ganz ehrlich" - kein Problem. "Ich hatte Kontakt in diesen Szenen. Ich will damit nichts zu tun haben."

Pro Fehler 3000 Dollar

Auch der Chinese Wu Shi gibt sich gesetzestreu. Der 37-Jährige wandte sich Bugs zu, nachdem eine Festanstellung als IT-Spezialist in China genauso wenig einträglich war wie sein selbstgegründetes Startup. Seine Spezialität sind Browser wie Apples Safari, Chrome oder der Internet Explorer. An den kriminellen Online-Untergrund will der in Shanghai lebende Wu nicht verkaufen: "Ich arbeite gerne direkt mit Herstellern", sagt er. Im Schnitt liege das Honorar pro Bug bei 3000 Dollar. Mehr als 100 Schwachstellen hat Wu schon aufgedeckt.

Doch die Softwarebranche hat noch keine einheitliche Antwort auf den Handel mit Bugs gefunden. Adobe, Apple oder Microsoft zahlen grundsätzlich nichts für Hinweise auf Schwachstellen in ihren Produkten, um sich nicht erpressbar zu machen. Vupen-Chef Bekrar findet das inkonsequent, schließlich steckten Softwarehersteller jährlich Millionen in interne Sicherheitschecks, Programmcodeanalysen oder Prüfsoftware.

Zu denen, die auf dem Graumarkt mitbieten, gehören dagegen Facebook, Google oder der Bezahldienstleister PayPal. Sie alle haben sogenannte Bug-Bounty-Initiativen gestartet, Prämienprogramme für Fehler-Finder. Doch die von Google an Informanten ausgeschütteten Summen sind nur Bruchteile dessen, was etwa Geheimdienste zu zahlen bereit sind.

Und so nahm etwa Vupen-Chef Bekrar bereits an einer von Google organisierten Jagd nach Lücken in dessen Browser Chrome teil - nahm aber die 60 000 Dollar Preisgeld für die gefundene Lücke nicht an. Denn Google hatte gefordert, die Details des Angriffs offenzulegen. Damit aber hätte sich der Bug-Broker den lukrativen Weiterverkauf der Schwachstelle verbaut.

(Quelle: Wirtschaftswoche)