Die jüngste Flut von Cyberangriffen auf große US-Unternehmen hat die geringen Möglichkeiten aufgezeigt, die den Opfern zur Verfügung stehen, die oft nicht mehr tun können, als sich niederzukauern, die schlechte Publicity zu ertragen und ihre Abwehrkräfte zu stärken, in der Hoffnung, den nächsten Angriff zu vereiteln.
Aber hinter den Kulissen dreht sich das Gespräch unter den Firmenvertretern immer mehr um eine Idee, die einst als so leichtsinnig galt, dass nur wenige zugeben würden, dass sie sie überhaupt in Erwägung zieht: In die Offensive gehen. Oder, im Sprachgebrauch von Cybersicherheitsberatern, „hacking back“.
Die bloße Erwähnung in Cybersicherheitskreisen kann zu einem Vortrag über die vielen Risiken führen, angefangen bei der Tatsache, dass die meisten Formen des Hacking-Backs illegal sind, bis hin zu Warnungen, dass Vergeltungsmaßnahmen einen umfassenden Cyberkrieg mit Kollateralschäden im gesamten Internet auslösen könnten.
Doch die Idee des Zurückhackens – einige bevorzugen die vornehmer klingende „aktive Verteidigung“ – hat allmählich an Bedeutung gewonnen, da die Frustration über die Unfähigkeit der Regierung, die Gesetzlosigkeit im Cyberspace einzudämmen, wächst, sagen Experten. Auch die Liste möglicher Gegenmaßnahmen ist verfeinert, es geht weniger darum, Angreifer zu bestrafen, als sie davon abzuhalten, von ihren Verbrechen zu profitieren.
„Aktive Verteidigung findet statt. Es ist kein Mainstream. Es ist sehr selektiv“, sagte Tom Kellermann, Chief Cybersecurity Officer von Trend Micro und ehemaliges Mitglied der Kommission für Cybersicherheit von Präsident Obama. Dann fügte Kellermann wie reflexartig hinzu, dass er und seine Firma das niemals tun würden: „Damit Sie zurückhacken, riskieren Sie tatsächlich Unschuldige.“
So entfernen Sie ein Telefon aus meinem Google-KontoDie New York Times berichtete am Dienstag, dass russische Hacker etwa 1,2 Milliarden Kombinationen von Benutzernamen und Passwörtern gestohlen haben. In Anbetracht dessen und anderer neuer Cyber-Sicherheitsverletzungen finden Sie hier die besten Möglichkeiten, Ihre Konten zu schützen. (Sarah Parnass und Natalie Jennings/The Washington Post)
Ein lautstarker Befürworter einiger begrenzter Formen des Hackens, der ehemalige General Counsel der National Security Agency, Stewart Baker, sagte, dass sogar einige Regierungsbeamte sich für die Idee erwärmen. Beamte, sagte er, ziehen eher in Erwägung, frustrierten Unternehmen zu helfen, als mit einer Strafverfolgung zu drohen, wenn sie davon sprechen, in die Offensive zu gehen.
„Die Regierung gibt in dieser Hinsicht still und nach und nach nach, indem sie offener ist“, sagte Baker, jetzt Partner bei Steptoe & Johnson. „Ich habe ein starkes Gespür von allem, was ich gehört habe. . .dass sie viel eher bereit sind, Unternehmen zu helfen, die dies tun wollen.“
Eine beliebte Metapher in diesen Diskussionen ist das explodierende Farbpäckchen, das Bankangestellte bei altmodischen Banküberfällen manchmal in Geldsäcke stecken. Das Cyberspace-Äquivalent, das als „Beacon“ bezeichnet wird, könnte möglicherweise an sensible Daten angehängt werden, was es einfacher macht, die gestohlene Beute zu erkennen und zu bestimmen, wer sie über das Internet verschleppt hat.
Andere Ideen beinhalten, Hacker dazu zu bringen, einen gefälschten Satz sensibler Daten zu stehlen und dann seine Bewegungen im Cyberspace zu verfolgen. Einige Experten schlagen auch vor, die häufige Arbeitsweise von Hackern zu nutzen und Dateien schrittweise vom Netzwerk eines Opfers auf einen Remote-Server zu verschieben, bevor sie Stunden später gesammelt werden. Die Verzögerung gibt Unternehmen möglicherweise Zeit, die gestohlenen Dateien zu erkennen und zu vernichten, bevor Hacker den Diebstahl abschließen können.
„Ich denke, Sie betrachten eine mögliche Zukunft privater kleiner Cyberkriege, weil es ein unregierter Raum ist“, sagte Shane Harris, Autor des bevorstehenden „@War: The Rise of the Military-Internet Complex“ und leitender Autor für Außenpolitik. 'Das Militär wird nur reagieren, wenn es sieht, dass die nationale Sicherheit gefährdet ist.'
Hacking Back ist ein fester Bestandteil von Gesprächen auf Cybersicherheitskonferenzen weltweit und auch in privaten Gesprächen zwischen Unternehmen und ihren Sicherheitsberatern. Auf der Sicherheitskonferenz Black Hat USA im Jahr 2012 gaben 36 Prozent der Befragten an, mindestens einmal an „Vergeltungs-Hacking“ beteiligt gewesen zu sein, so das Cybersicherheitsunternehmen nCircle, das die Umfrage unter 181 Konferenzteilnehmern durchführte.
Sicherheitsexperten der Finanzindustrie haben hinter verschlossenen Türen Diskussionen über die Möglichkeit von Vergeltungs-Cyberangriffen geführt, kamen jedoch zu dem Schluss, dass die rechtlichen Risiken zu groß seien, um die Idee weiterzuverfolgen, so die mit den Diskussionen vertrauten Personen, die nicht berechtigt waren, öffentlich zu sprechen.
„Die meisten anstößigen Gespräche kommen aus dem Privatsektor und sagen: ‚Ich habe genug und ich werde etwas dagegen unternehmen‘“, sagte der Abgeordnete Mike Rogers (R-Mich.), Vorsitzender des Repräsentantenhauses Geheimdienstausschuss, letzte Woche bei einem Cybersicherheitsgipfel in der Washington Post. Dennoch hat Rogers, wie viele andere Regierungsbeamte, öffentlich vor den Gefahren eines Hacking-Backs gewarnt.
Das unbefugte Betreten des Netzwerks einer anderen Person oder eines Unternehmens verstößt laut Behörden gegen das Gesetz über Computerbetrug und -missbrauch, selbst wenn das Eindringen im Zuge des Versuchs geschieht, Hacker zu identifizieren oder gestohlene Daten zu zerstören.
Michael Sussmann, Partner bei Perkins Coie und ehemaliger Staatsanwalt für Cyberkriminalität, sagte: „Es ist nicht ungewöhnlich, nach einem Einbruch gerufen zu werden und auf den gutmeinenden Systemadministrator oder Ermittler zu stoßen, der, ohne es zu merken, bei einem Versuch gegen das Gesetz verstoßen hat um ihre Systeme zu schützen.“
Alle daraus resultierenden Folgen – auch unbeabsichtigte, wie die versehentliche Beschädigung des Netzwerks eines unschuldigen Unternehmens – können eine erhebliche rechtliche Haftung nach sich ziehen. Außerdem ist es notorisch schwierig, richtig zu identifizieren, wer hinter einem Cyberangriff steckt.
„Die Zuordnung ist sehr schwierig“, sagte der Cybersicherheitskoordinator des Weißen Hauses, Michael Daniel. „Die Bösen neigen nicht dazu, Dinge zu verwenden, die als ‚Bösewicht-Server‘ bezeichnet werden. Sie neigen dazu, zu korrumpieren und unschuldige Infrastruktur von Drittanbietern zu verwenden. Wir haben also immer gesagt, dass Sie wirklich vorsichtig sein müssen, wenn Sie Aktivitäten unternehmen, die „zurückhacken“ oder sogar das, was manche Leute als „aktive Verteidigung“ bezeichnen. '
So sehen Sie das WLAN-Passwort auf dem iPhone
Beamte der Finanzindustrie, das jüngste Ziel schlagzeilenträchtiger Angriffe, spiegeln Daniels Bedenken wider. „Hacking ist illegal. Die Zuordnung ist schwierig. Und die Haftung dafür, etwas falsch zu machen, ist so groß, dass kein verantwortungsbewusstes Unternehmen, sei es Bank oder andere, sich daran beteiligen wird“, sagte Greg Garcia, Executive Director des Financial Services Sector Coordinating Council, einer Branchengruppe.
Doch selbst Kritiker haben kaum Schwierigkeiten, die Anziehungskraft zu erkennen. Die jüngsten Einbrüche in JPMorgan Chase, Home Depot, Target und andere haben den Unternehmen und ihren Kunden massive Kopfschmerzen bereitet. Der Angriff auf JPMorgan und andere Finanzunternehmen löste aufgrund der kritischen Rolle der Unternehmen in der Wirtschaft besondere Besorgnis aus – bis hin zu den höchsten Ebenen der US-Regierung.
Dies führte zu aggressiven Maßnahmen des FBI und des Secret Service, aber die US-Strafverfolgungsbehörden haben oft Schwierigkeiten, Verbrechen aufzuklären, die aus dem Ausland stammen. US-Beamte könnten diplomatischen Druck auf Länder ausüben, die Cyberangriffe unterstützen oder sie sogar nicht aggressiv überwachen, aber in außenpolitischen Debatten überwiegen tendenziell andere Prioritäten, sagte James A. Lewis, Cybersicherheitsexperte am Center for Strategic and International Studies.
„Wir sind nicht bereit, das Ausmaß des Problems zuzugeben, weil wir nicht über die Werkzeuge verfügen, um damit umzugehen“, sagte Lewis. „Trotz all des Lärms ist Cybersicherheit immer noch ein zweitrangiges Anliegen.“
Dadurch fühlen sich viele Unternehmen allein gelassen.
Ehemalige Bundesbeamte sagten, sie wüssten von Fällen, in denen Unternehmen über ihre eigenen Computernetzwerke hinausreichten, um die Quelle eines Einbruchs zu finden oder gestohlene Daten zu löschen. Diese Beamten sagten, sie hätten auch eine stille Akzeptanz seitens der Bundesagenten bemerkt.
„Es gibt Unternehmen, die bestimmte Maßnahmen ergriffen haben, um festzustellen, woher die Quelle eines Hacks kommt, und um die Daten zu [löschen], und das könnte technisch gegen das Gesetz verstoßen“, sagte ein anderer ehemaliger Bundesanwalt, der unter der Bedingung sprach, Anonymität. „Und wenn die Agenten angerufen werden und verstehen, welche Tools das Unternehmen verwendet, melden sie sie möglicherweise nicht oder schließen sie wegen der Verwendung dieser Tools.“
