Positionen-Magazin
Kolumne – Hacker Linus Neu­mann

Die Schwa­chen zuerst

Pandemien und Cyberattacken ähneln sich: Beide verursachen große Schäden durch exponentielles Wachstum. Was wir vom Kampf gegen Corona für die IT-Sicherheit lernen können.

Seit ihrer ersten mathematischen Beschreibung sprengen Exponentialfunktionen das Vorstellungsvermögen der Menschen. Sicherlich kennen auch Sie die Überlieferung vom indischen Kaiser Sheram, der Zeta, den Erfinder des Schachspiels großzügig entlohnen wollte. Zeta wünschte sich, für das erste Feld des Schachbrettes ein Reiskorn, zwei Körner für das zweite Feld, vier für das dritte und für jedes weitere Feld doppelt so viele Körner wie für das vorhergehende. Was wie ein bescheidener Wunsch klingt, führt nach 64 Iterationen zu vielen Milliarden Tonnen Reis, der Welt-Reis-Ernte von mehreren Hundert Jahren.

Die Exponentialfunktion und der Cyber-Angriff

Auch Hacker haben immer wieder mit Exponentialfunktionen zu tun. Sie brauchen beispielsweise zum Cracken eines Passworts von sieben Zeichen wenige Millisekunden, zum Cracken eines Passworts von zehn Zeichen - nur drei mehr – aber mehrere Monate. So kleine Unterschiede mit so großer Wirkung sind für uns Menschen schwer intuitiv zu erfassen.

Auch die Autoren und Autorinnen von Computer-Würmern geraten immer wieder an die Grenzen ihrer eigenen Vorstellungskraft. Als „Wurm“ wird eine Schadsoftware bezeichnet, die sich selbst automatisch weiterverbreitet. Dafür kommt in der Regel eine kritische Schwachstelle zum Einsatz, die automatisiert ausnutzbar ist. Ein infiziertes System beginnt also, automatisch andere Systeme zu infizieren, welche wiederum beginnen, andere Systeme zu infizieren… Zeta, der bis heute auf seine Reislieferung wartet, lässt grüßen.

Vielzitierte historische Beispiele sind der„Morris“-Wurm, dessen Autor als erster Verurteilter nach dem Computer Fraud and Abuse Act in die Geschichte einging und der Wurm ILOVEYOU, der im Mai 2000 einen Großteil des E-Mail-Verkehrs zum Erliegen brachte. Auch der Ausfall von rund einer Million Telekom-Routern Ende 2016 war Kollateralschaden der Aktivität eines Computer-Wurms.

Nicht zuletzt konnten die Software-gewordenen Alpträume der Versicherungswirtschaft, WannaCry und NOTPETYA nur durch ihre Fähigkeit zur automatischen Weiterverbreitung immense Schäden anrichten: Auf die „Erstinfektion“ eines Rechners in einem Firmennetz folgte die automatische Ausbreitung innerhalb vieler Firmennetze – also in Bereiche, die Angreifer sonst nicht ohne weiteres zugänglich und daher gern schlechter geschützt sind.

Die SARS-CoV-2-Pandemie hat weltweit zu einem besseren Verständnis von sich selbst verbreitenden Infektionen geführt. Auch der Begriff der „Welle“ ist fester Bestandteil des Pandemie-Vokabulars, ebenso wie wir es im Bereich der IT-Sicherheit immer wieder mit Angriffswellen zu tun haben.

Ein Vergleich des Infektionsgeschehens  und der Mechanismen einer Pandemie und einer Cyberattacke kann helfen, Risiken besser einzuschätzen und zu managen:

Zeitachse

Während eine Pandemie sich über Monate und Jahre erstrecken kann, spielt sich bei einem exponentiell skalierenden IT-Angriff das Geschehen binnen weniger Stunden oder Tage ab. Ressourcengrenzen werden so sehr viel schneller erreicht, Gegenmaßnahmen müssen unmittelbar eingeleitet werden. Auch Landesgrenzen spielen im Internet keine Rolle. 

Lockdown 

Eine Abschottung von IT-Systemen im Notfall kann sowohl Ultima Ratio als auch drakonische Schutzmaßnahme zu Beginn des Ausbruchs sein. Sie ist mit potenziell hohen Kosten verbunden und hat eine ähnlich bittere Eigenschaft wie in der Pandemie: Je schneller der Lockdown kommt, desto kürzer ist er nötig. Und keinesfalls ist er eine tragfähige Dauerlösung. 

Immunisierung

Das Analogon zur Impfung in der IT ist die Beseitigung der ausgenutzten Schwachstelle. Glücklicherweise kann diese in der Regel schnell gefunden und beseitigt werden. Das Wissen zur „Impfung“ kann der Menschheit schnell, kostenlos und weltweit zur Verfügung gestellt werden. Dafür bleibt jedoch nur wenig Zeit, wenn die Exponentialfunktion gnadenlos läuft.

Intensivbetten

Schon ohne einen weltweiten IT-Sicherheitsvorfall sind die „Intensiv-Stationen“ der IT-Sicherheit heutzutage gut belegt. Nennenswerte Überschusskapazitäten werden auch heute schon mit einer „stressigen Woche“ erschöpft. Glücklicherweise lässt sich zumindest das Wissen über die Immunisierung leicht vermitteln und in der Breite teilen. Anders sieht es potenziell mit der Intensiv-Behandlung von komplexen Großschäden aus: Komplexe IT-Systeme mit vielen Abhängigkeiten werden mitunter intensive Betreuung von Expertinnen erfordern, bis sie als vollständig „genesen“ gelten können.

„Flattening the curve“

Die Pandemie-Strategie, vorhandene medizinische Ressourcen nicht zu überstrapazieren und Patientinnen erst nach und nach dem Schadenfall zuzuführen, steht nicht auf dem Programm: Der Zeitraum zwischen ersten Schadenfällen und der Verfügbarkeit einer Immunisierung durch Update wird dafür kurz sein. Es hängt von Aggressivität und Schadenspotenzial der Schadsoftware ab, wie positiv oder negativ dieser Umstand zu bewerten ist.

„Long Covid“

Spätfolgen und Langzeitschäden gehören zurzeit zu den großen Unwägbarkeiten der SARS-CoV-2-Pandemie. Bei einem katastrophalen Hacking-Schaden sind auch diese in vielfältiger Form nicht auszuschließen – übliche und korrekt behandelte Hacking-Schäden entwickeln jedoch selten einen „long tail“ – das risiko steigt jedoch mit unqualifizierter oder unsauberer „Behandlung“, wie sie im Fall von akuter Überlastung der Behandelnden durchaus möglich ist.

Impfgegner 

Auch im Bereich der IT-Sicherheit sind esoterische Ausreden verbreitet, um auf notwendige Schutzmaßnahmen zu verzichten. Diese lassen sich derzeit schön bei den Exchange-Schwachstellen beobachten, für die Microsoft Anfang März 2021 verspätet Security-Updates bereitstellte. Eine größere Anzahl von Exchange-Servern war zu diesem Zeitpunkt schon kompromittiert. Trotzdem finden sich auch heute noch haufenweise Exchange-Server, deren Betreiber sie noch nicht in den Genuss der kritischen Updates haben kommen lassen. Vermutlich feiert die halbe Hacking-Unterwelt auf diesem System inzwischen virtuelle Corona-Parties.

Risikofaktoren 

Hier liegt der größte Unterschied zwischen Pandemie und IT-Sicherheit – aber auch die größte Chance: Während bei Covid-19 die Betroffenen kaum direkten Einfluss auf das Risiko eines schweren Verlaufs haben, können Menschen und Organisationen ihre Resilienz gegen Cyberangriffe mit relativ geringem Aufwand stärken. Moderate Investitionen in Backup-Konzepte machen im Schadenfall den Unterschied zwischen kurzer Störung und Ruin. Unsere größte Chance besteht daher in der Vorsorge: Auch die Cyber-Pandemie bedroht zuerst die „Alten und Schwachen“. Glücklicherweise können wir hier unsere Rolle selbst bestimmen.

Fazit

Ein sich exponentiell verbreitendes Großschadenereignis in Bereich der IT kann schnell katastrophale Folgen haben. Unsere größte Chance besteht in der Vorsorge und der Verringerung unserer Risiko-Faktoren: Auch die Cyber-Pandemie wird die „Alten und Schwachen“ zuerst bedrohen. Glücklicherweise können wir unsere Rolle selbst bestimmen.

Auch inter­essant