Im Jahr 79 nach Christus dachten die Bürger von Pompeji und Herculaneum, die kleineren Erdbeben, die sie bemerkten, seien auf verärgerte Götter zurückzuführen. Ihnen fehlte das Wissen, um sie als Warnung vor dem bevorstehenden, verheerenden Ausbruch des Vesuvs zu interpretieren. Einen ähnlichen Fehler sollten wir in Bezug auf Cyber-Sicherheit nicht begehen.
In den Tagen vor dem Ausbruch des Vesuvs fühlten die Bewohner von Pompeji und Herculaneum eine Reihe von Erdstößen, die als “harmonische Erschütterungen” bezeichnet werden. Derartige Beben sind die Vorboten einer größeren seismischen Aktivität und signalisieren typischerweise die Bewegung von Magma und einen bevorstehenden Vulkanausbruch. Natürlich ahnten die Menschen damals nicht, dass sie damit eine Warnung erhielten, und evakuierten somit auch nicht ihre Städte. Es folgt eine der verheerendsten Naturkatastrophen der Geschichte: Der Ausbruch führte zu einer totalen Zerstörung von Pompeji und Herculaneum. Alle Bewohner, die sich in ihnen aufhielten, kamen ums Leben.
Man mag denken, dass wir heutzutage besser auf ein ähnliches Ereignis vorbereitet wären. Eher bereit, auf Warnungen zu hören, zu evakuieren. Während dies auf Naturkatastrophen und ähnliche physische Bedrohungen zutreffen mag, haben wir die harmonischen Erschütterungen in der Cybersicherheit seit Jahren ignoriert.
Ein immer größer werdender Teil unseres Lebens wird durch Software bestimmt. Und genau diese Software ist anfällig für Angriffe, was zum Teil an der Verwendung angreifbarer Komponenten liegt. Es gab eine Zeit, in der sich Cyberkriminelle für jeden einzelnen Angriff ihre maßgeschneiderten Werkzeuge kreieren mussten. Es war mühselig, aber meist den Aufwand wert.
Verwendung von Software-Komponenten als Problem
Die Verwendung von Komponenten hat alles geändert. Wenn eine einzelne Open-Source-Komponente in tausenden Anwendungen ihren Platz findet, muss eine Attacke nicht mehr für jede einzelne Software geplant und durchgeführt werden, sondern lediglich die verwendete Komponente ins Visier genommen werden. So lassen sich tausende Anwendungen auf einen Schlag treffen.
Im Oktober letzten Jahres hat Veracode dieses Risiko aufgedeckt, indem gezeigt wurde, dass ein einzelner verwundbarer Punkt in mehr als 80.000 Komponenten und somit letztendlich Millionen von Anwendungen vorhanden war. Doch dies war nur eine einzelne Erschütterung.
Bereits 2014 ermöglichte eine als “Heartbleed” bekannte Schwachstelle beim Krankenhausbetreiber Community Health Systems den Zugriff auf 4,5 Millionen Patientenakten. Seitdem gab es zahlreiche Angriffe, bei denen bekannte Schwachstellen in Komponenten ausgenutzt wurden – Schwachstellen also, die problemlos hätten geschlossen werden können. Doch die Identifikation sämtlicher Komponenten in allen eingesetzten Anwendungen ist eine Herkulesaufgabe.
Zusätzlich zu den Erschütterungen durch angreifbare Komponenten sehen wir andere Warnungen in Gestalt neuer Angriffe. Die aktuellen Attacken mit Erpressungssoftware wie WannaCry und Petya trafen hunderte Unternehmen, aber auch kritische Infrastruktur wie Krankenhäuser. Oberflächlich betrachtet ging es auch bei diesen Angriffen um schnelle Beute – Geldzahlungen im Austausch für einen Schlüssel, mit dem sich die gekidnappten Systeme wieder lauffähig machen lassen. Doch die Tatsache, dass in vielen Fällen weder Informationen gesammelt noch Schlüssel angeboten wurden legt nahe, dass monetärer Gewinn für einige Angreifer zweitrangig war. Stattdessen scheint es ihre Absicht gewesen zu sein, unsere Schutzmaßnahmen auszutesten, um Schwachstellen zu identifizieren.
“Harmonische Erschütterungen” der Cyber-Sicherheit
Die weitreichende Nutzung von angreifbaren Komponenten und die daraus resultierenden Angriffe auf Krankenhäuser, U-Bahnen und andere Teile der kritischen Infrastruktur – das sind unsere “harmonischen Erschütterungen”. Im Jahr 79 nach Christus dachten die Bürger von Pompeji und Herculaneum, dass die Erschütterungen durch verärgerte Götter entstanden. Ihnen fehlten die Informationen, um sie als natürliche Warnsignale eines Ausbruchs zu verstehen.
Wir erhalten ähnliche Warnungen, nur kommen sie diesmal von den Cyber-Göttern. Und anders als die Opfer der damaligen Katastrophe besitzen wir das Wissen, um sie zu verstehen. Dennoch entwickeln wir weiterhin unsichere Software und setzen auf Hoffnung. Die Hoffnung nämlich, dass der nächste Angriff nicht von einer Terrororganisation oder einem feindlichen Staat ausgeführt wird, um unser Militär, unsere Krankenhäuser und alle anderen Notfallsysteme lahmzulegen.
Wir haben eine Chance, die die Bürger von Pompeji nie hatten: Wir können den Ausbruch des Vulkans aufhalten, indem wir die Software, auf die sich die Welt verlässt, sicher machen. Andernfalls könnte auch uns ein katastrophales Schicksal bevorstehen.