Im Januar und Februar 2021 suchte ein Team von amerikanischen IT-Spezialisten über sechs Wochen hinweg verwundbare Stellen der amerikanischen Streitkräfte und des Verteidigungsministeriums.
„Hack the Army 3.0“ fand 238 Schwachstellen. 102 davon wurden als besonders gefährlich eingestuft und mussten sofort behoben werden.
„Hack the Army leistet hervorragende Arbeit beim Aufdecken von Inhalts- und Codierungsfehlern, die unser normales Compliance-basiertes Scannen übersehen hatte“, sagte Johann R. Wallace, der Leiter der Compliance-Abteilung des Army Network Enterprise Technology Command.
Es sei darauf hingewiesen, dass natürlich alle Hacker, die an Hack the Army 3.0 teilnahmen, im Rahmen des Programms HackerOne Clear einen Background Check absolviert hatten, bevor sie Zugang zu militärischen Zielen erhielten.
Einer dieser Hacker, der zufällig als Top-Programm-Hacker bei Hack the Army 3.0 endete, ist Corben Leo, auch bekannt als cdl. Als 21-jähriger Informatikstudent an der Dakota State University ist cdl bereits ein Hack the Army-Veteran, der auch beim letzten Event an der Spitze der Rangliste stand.
Noch Anfang des Jahres warnten Experten, dass in Deutschland auf fünf Millionen Rechnern veraltete Windows-Versionen laufen, obwohl der Support von Microsoft dafür eingestellt wurde und es keine fortlaufenden Sicherheits-Updates mehr gibt. Selbst die Bundesregierung und ihre Ministerien und Behörden betreiben noch mindestens 60.000 Computer mit Windows 7. Ausgerechnet das Bundesministerium für Verteidigung ist der Spitzenreiter in der Angelegenheit.
Gerade in den USA laufen jedes Jahr unzählige Projekte und Wettbewerbe zum Auffinden von Sicherheitslücken und einige davon sind geheim. In der Öffentlichkeit gab es viel Aufmerksamkeit für eine Übung namens Cyber Polygon des WEF.
Das World Economic Forum, eine Art Koordinierungsstelle für einige der größten Konzerne der Welt. Wirklich trauen mag man den Konzernen nicht, aber sie sind letzten Endes systemrelevant und eingebunden in eine Strategie der Biosicherheit. Auch bei einer härteren Pandemie soll schließlich nicht alles zusammenbrechen, weil ansonsten auch die Konzerne und ihre Besitzer ins Schlingern geraten. Irgendwo muss auch ein Klaus Schwab ja wohnen mit Strom und fließend Wasser. Eine Verschmelzung von Mega-Konzernen und Regierungen hat längst stattgefunden und dieses ominöse Gebilde verfügt über die intelligentesten Experten für Viren und auch Computer-Viren.
Da die systemrelevanten Konzerne anfällig sind für Cyberattacken überrascht es nicht, dass das WEF auch der Cybersicherheit eine hohe Priorität einräumt. Die Umsetzung wirft allerdings einige Fragen auf. Sieht man hinter die schicke Webseite und die PR-Videos mit bemühten Experten vor großen Bildschirmen, ergeben sich Auffälligkeiten. Zu den Gründern der Cybersicherheits-Plattform des WEF gehören Konzerne mit Spionageverbindungen, die größte Russenbank und ein saudischer Öl-Gigant. Cyber-Polygon mag angepriesen werden als defensive Veranstaltung, aber bei der Cyberkriegsführung verschwimmen die Grenzen zwischen defensiv und offensiv. Will man sich wirklich schützen, muss man die Systeme des Gegners penetriert haben. Man muss wissen, welche Offensiv- und Defensiv-Kapazitäten der Gegner hat und man muss im Ernstfall vorab von einem Angriff bescheid wissen, Maßnahmen einleiten und ggf. zu einem präventiven Gegenschlag ausholen.
Es heißt:
Cyber Polygon ist eine einzigartige Cybersicherheitsveranstaltung, die die weltweit größte technische Schulung für Unternehmensteams und eine Online-Konferenz mit hochrangigen Vertretern internationaler Organisationen und führender Unternehmen kombiniert. 120 Teams aus 29 Ländern nahmen 2020 am technischen Cybersicherheitstraining teil. Die Live-Stream-Zuschauerzahl erreichte 5 Millionen aus 57 Nationen.
Klingt zunächst sehr simpel. Eine Art Coaching und Mega-Seminar, damit systemrelevante Konzerne nicht veraltete Windows-Systeme benutzen, die mit frei erhältlichen Tools wie Mimikatz oder Eternal Blue vernichtet werden können. Damit nicht jeder Hacker Telefonnummern eines Konzerns abklappern kann und sich meldet mit „Hallo, hier ist John aus der IT, ich muss ihren Nutzeraccount überprüfen….“ und dann die Zugangsdaten erhält. Alles was über diese Basics hinausgeht, ist schrecklich geheim. Unzählige Spione aus unterschiedlichen Ländern versuchen seit vielen Jahren, in den Großkonzernen digitale Hintertüren einzubauen und andere Schwächen zu ergründen. Ein Symposium für mehr Cybersicherheit kann so schnell zu weniger Cybersicherheit führen.
Das Projekt Cyber Polygon ist Teil der Plattform des „Zentrums für Cybersicherheit des Weltwirtschaftsforums.“ Zu den Founding Partners gehören:
Es handelt sich um einen der weltweit größten Dienstleister im Bereich der Unternehmens- und Strategieberatung sowie Technologie- und Outsourcing. Das Unternehmen war ursprünglich ein Schwesterunternehmen des Wirtschaftsprüfers Arthur Andersen, der in die Enron-Pleite verwickelt war. Zum Verwaltungsrat gehört unter anderem Wulf von Schimmelmann; dieser stammt aus der holsteinisch-dänischen Adelsfamilie Schimmelmann. Heinrich Carl Schimmelmann erwarb einst vom dänischen Staat 1763 günstig mehrere Zuckerrohrplantagen in Dänisch-Westindien. Damit kam er in den Besitz von etwa 400 bis 500 Sklaven, deren Zahl er in den folgenden zwanzig Jahren auf rund 1000 erhöhen ließ. Bald darauf beteiligte er sich am atlantischen Dreieckshandel und wurde zum größten Sklavenhändler Dänemarks. Der Sklavenhandel erreichte während des Amerikanischen Unabhängigkeitskrieges (1775–1783) seinen Höhepunkt.
Die Firma vertreibt Software, Appliances und Dienste auf dem Gebiet der Informationssicherheit, zum Beispiel Firewalls, Antivirenprogramme, Intrusion Detection und Endpunktsicherheit. Gemessen am Umsatz ist es das viertgrößte Unternehmen für Netzwerksicherheit. Im Oktober 2005 wurde in einer Studie von OpenNet festgestellt, dass Appliances von Fortinet in Myanmar für die Internetzensur verwendet wurden. Fortinet gab an, dass seine Produkte von firmenexternen Resellern vertrieben werden und dass das Unternehmen US-Embargos respektiere; es kamen jedoch Fotografien ans Licht, auf denen ein Vertriebsmitarbeiter von Fortinet zusammen mit dem burmesischen Premierminister zu sehen ist.
Die Kernprodukte sind eine Plattform, die fortschrittliche Firewalls und Cloud-basierte Angebote umfasst, die diese Firewalls erweitern, um andere Aspekte der Sicherheit abzudecken.
Im Juni 2018 trat der frühere Geschäftsführer von Google und SoftBank, Nikesh Arora, als Chairman und CEO in das Unternehmen ein. Palo Alto Networks wurde 2005 von dem israelisch-amerikanischen Nir Zuk, einem ehemaligen Ingenieur von Check Point und NetScreen Technologies, gegründet, der der Hauptentwickler der ersten Stateful Inspection Firewall war und des ersten Intrusion Prevention Systems. Check Point wurde 1993 in Israel von u.a. Gil Shwed gegründet. Shwed hatte die ursprüngliche Idee für die Kerntechnologie des Unternehmens, die als Stateful Inspection bekannt ist und die Grundlage für das erste Produkt des Unternehmens, FireWall-1, bildete. Bald darauf entwickelten sie auch eines der weltweit ersten VPN-Produkte, VPN-1. Shwed entwickelte die Idee während seines Dienstes in der Einheit 8200 der israelischen Verteidigungskräfte, wo er an der Sicherung klassifizierter Netzwerke arbeitete. Die Einheit 8200 hat auch offensive Kapazitäten der Cyberkriegsfürhung.
Die Firma bietet CRM-Service (Customer Relationship Management) sowie eine ergänzende Suite von Unternehmensanwendungen, die sich auf Kundenservice, Marketingautomatisierung, Analyse und Anwendungsentwicklung konzentrieren. Das Unternehmen wurde am 3. Februar 1999 von dem ehemaligen Oracle-Manager Marc Benioff gegründet. Vor der Gründung seiner Firma waren Mata Amritanandamayi, ein hinduistischer Guru, und der ehemalige US-Verteidigungsminister Colin Powell wichtige Mentoren für ihn. Der Investor Larry Ellison begann in den 1970er Jahren nach einer kurzen Zeit bei der Amdahl Corporation bei der Ampex Corporation zu arbeiten. Zu seinen Projekten gehörte eine Datenbank für die CIA, die er „Oracle“ nannte. „Der größte Schritt, den wir Amerikaner unternehmen könnten, um Terroristen das Leben zu erschweren, wäre sicherzustellen, dass alle Informationen aus den unzähligen Regierungsdatenbanken in eine einzige, umfassende Datenbank für die nationale Sicherheit kopiert werden“, schrieb Larry Ellison im Januar 2002 in der New York Times. nach dem 11. September boomte das Geschäft von Oracle besonders. Rosen erklärt, dass auf die Bundesregierung im Jahr 2003 satte 23 Prozent der Lizenzeinnahmen von Oracle entfielen, etwa 2,5 Milliarden Dollar. Rosen erzählt von einem Treffen mit den Leuten bei Oracle, von denen einer David Carney war, ehemals die Nummer drei bei der CIA. Carney war nach 32 Jahren bei Oracle in den Ruhestand gegangen und wurde bei Oracle als Leiter des Information Assurance Center eingestellt, das nur zwei Monate nach den Anschlägen vom 11. September gegründet worden war.
Es handelt sich um die größte Erdölfördergesellschaft der Welt. 2018 betrug der Nettogewinn laut Ratingagentur Moody’s 111,1 Milliarden US-Dollar. Ab 1948 war das Unternehmen im Besitz von vier US-amerikanischen Erdölkonzernen. Zwischen 1972 und 1980 wurde ARAMCO von der saudi-arabischen Regierung (pseudo-)verstaatlicht.
Dies ist die größte Finanzinstitution Russlands und eine multinationale Finanzgruppe mit Firmensitz in Moskau. Die Sberbank (SbRF) ist überwiegend in staatlichem Besitz. Sie hält fast ein Drittel des Vermögens des russischen Bankensektors und den höchsten Anteil an Spareinlagen in Russland. Die Bank hatte 2017 eine Bilanzsumme von 471 Mrd. US$. Russland gilt als der gefährlichste Angreifer im Bereich Cyberkriegsführung und soll hinter vielen massiven Hacking-Kampagnen stecken.
Weitere Partner sind:
Carnegie Endowment for International Peace, Europol, FIDO Alliance, Global Cyber Alliance (GCA), International Telecommunications Union (ITU), INTERPOL, Israel National Cyber Directorate (INCD), Oman Information Technology Authority (ITA), Organization of American States (OAS), Republic of Korea National Information Resources Service (NIRS), Saudi Arabia National Cybersecurity Authority, Swiss Reporting and Analysis Centre for Information Assurance (MELANI), University of Oxford, UK National Cyber Security Centre (NCSC)
Und:
Absa Group, Accenture, Acronis, AIG, Aker, Allianz, Amazon Web Services, Avast Software, Banco Santander, Bank Julius Baer, Bank of America, BlackRock, BNY Mellon, Boston Consulting Group (BCG), Cantellus Group, Chainalysis, Check Point Software Technologies, China Datang, Cisco, Cloudflare, Constella Intelligence, Credit Suisse, CTM360, CUJO AI, Dell Technologies, Deloitte, Depository Trust & Clearing (DTCC), Deutsche Post DHL, Dow, Eisai, Emirates, Group, Equifax, EY, Forcepoint LLC, Fortinet, Generali, Gulfstream Aerospace, HCL Technologies, Hitachi, Huawei Technologies, IBM, Infosys, Iron Mountain Information Management, Itaú Unibanco, JD.com, JPMorgan Chase & Co., KPMG, Kudelski Group, Mahindra Group, ManpowerGroup, Marsh McLennan, Mastercard, Microsoft, Palantir Technologies, Palo Alto Networks, PayPal, PensionDanmark, PwC, QuintessenceLabs, Repsol, Salesforce, Saudi Aramco, Saudi Telecom, Sberbank, Schneider Electric, Scotiabank, Shift Technology, SITE, S&P Global, Standard Chartered Bank, State Grid Corporation of China, SWIFT, Tata Consultancy Services, Team8, Total, Trafigura, UBS, Wipro, Zurich Insurance Group
Der Bericht
Laut dem Weltwirtschaftsforum sind Cyberangriffe und Datendiebstahl „das neuntwahrscheinlichste Großschadens-Event der Welt. Der durch diese Faktoren verursachte Schaden nimmt weiter zu und wird 2030 voraussichtlich 90 Billionen (trillion) US-Dollar erreichen.“
Unsere Untersuchungen zeigen, dass 83% der Unternehmen keine Recovery-Pläne haben. In Krisenzeiten ist es für sie am schwierigsten, den Geschäftsbetrieb wiederherzustellen und ihre Effizienz aufrechtzuerhalten.
Dies ist verblüffend, angesichts der Anzahl und Schwere vergangener Cyber-Attacken und der Prävalenz von Geheimdiensten und militärischen Einrichtungen, die Abwehr zur Aufgabe haben. Kommt es in den nächsten Jahren zu einem massiven Angriff, können Behörden und das WEF darauf verweisen, dass sie ja einiges getan hätten, aber man mangels Gesetzen nicht jede Firma zwingen konnte, bestimmte Standards einzuhalten bzw. dass die Überprüfung sich schwierig gestaltete. Das Argument wird lauten, dass quasi die Freiheit schuld gewesen sei an der Misere.
Der Bericht des WEF zur Polygon-Übung ist extrem dünn. Alle Details sind geheim.
Das Training war im Wesentlichen eine Herausforderung zwischen zwei gegnerischen Mannschaften: dem roten Team (dem Angreifer) und dem blauen Team (Verteidigungsteams). Die Teilnehmer fungierten als blaues Team. Sie mussten eine Vielzahl von Aufgaben ausführen: Bewertung der Infrastruktursicherheit einer fiktiven Organisation CyberCorp, Suche nach und Behebung potenzieller Schwachstellen sowie Identifizierung und Reaktion auf Sicherheitsvorfälle. Die Organisatoren (BI.ZONE) übernahmen die Rolle des Red Teams, das die gesicherten Systeme angreift, indem man Schwachstellen in der CyberCorp-Infrastruktur identifizierte und ausnutzte. Jedes teilnehmende Team erhielt unter dem Deckmantel von CyberCorp Zugriff auf seine eigene dedizierte IT-Infrastruktur. Die Infrastruktur wurde speziell für die Schulung erstellt und in einer IBM Cloud bereitgestellt.
Die unterschiedlichen Teilnehmer schnitten unterschiedlich gut ab und bekamen eine Punktzahl zugewiesen. Die Ergebnisse sind anonymisiert, damit keine Teilnehmer öffentlich blamiert werden.
Die besten Teilnehmer erreichten nicht einmal die Hälfte der möglichen Punkte. Mehrere erreichten knapp ein Viertel. Bei solchen Übungen werden zumeist nur frei verkäufliche/erhältliche Geräte und Programme verwendet. Behörden und andere spezielle Gruppen verfügen über maßgeschneiderte, geheime Technologie und kennen Schwachstellen in weit verbreiteter Software, die dem Rest der Welt nicht bekannt sind.
Sandworm
Der Sandworm-Hack betraf den Warentansport durch LKWs, an Häfen, Paketdienstleister, Bankautomaten, Online-Banking, Internetzugang und schließlich auch den Strom. Angriffswerkzeuge wie „BlackEnergy“ oder „KillDisk“ werden immer weiterentwickelt, aber die Frage ist: Von wem? Wenn Russen diese Tools benutzen, kann auch jeder andere das benutzen und dabei sogar falsche Fährten Richtung Russland legen. Gruppen wie Sandworm haben das gleiche Problem wie Anonymous-Gruppen; man kann ihre Identität, ihr Muster stehlen und in ihrem Namen Operationen durchführen. 2015 gab es einen massiven Blackout in der Ukraine, in den 1990er Jahren gab es die Moonlight Maze Hacks und sogar in den 1980er Jahren war Cybersicherheit ein riesen Thema. Nicht immer gab es einen öffentlichen Aufschrei von den USA, sondern eher Schweigen, so wie bei den Sandworm-Attacken gegen die Ukraine. Industroyer ist ein Malware-Framework, das am 17. Dezember 2016 für den Cyberangriff auf das ukrainische Stromnetz verwendet wurde. Der Angriff hat ein Fünftel der Hauptstadt Kiew für eine Stunde abgeschaltet. Der Vorfall in Kiew war der zweite Cyberangriff auf das ukrainische Stromnetz seit zwei Jahren. Der erste Angriff erfolgte am 23. Dezember 2015. Industroyer ist die erste bekannte Malware, die speziell für den Angriff auf Stromnetze entwickelt wurde. Gleichzeitig ist es nach Stuxnet, Havex und BlackEnergy die vierte Malware, die öffentlich für industrielle Steuerungssysteme verfügbar ist. Eine Haupt-Hintertür wird verwendet, um alle anderen Komponenten der Malware zu steuern. Eine Data Wiper-Komponente löscht systemrelevante Registrierungsschlüssel und überschreibt Dateien, um das System nicht mehr bootfähig zu machen und die Wiederherstellung nach dem Angriff zu erschweren. Das NSA-Werkzeug Eternal Blue war geleakt worden und bot eine Einbruchsmöglichkeit bei allen Windows-Computern bis hin zu einer bestimmten Version. Die Malware Wannacry benutzte beispielsweise Eternal Blue. Jemand fand glücklicherweise eine seltsame Domain-Adresse, kaufte sich über einen Registrar diese Domain und konnte damit die Ausbreitung stoppen. Die Malware Mimikatz nutzte ebenfalls eine Schwachstelle in Windows und wurde zigfach verwendet. NotPetya benutzte nach dem Baukastenprinzip Mimikatz und Eternal Blue. In der Ukraraine konnten die Krankenhäuser nicht mehr richtig operieren, die Bankautomaten verweigerten ihren Dienst, die Renten wurden nicht mehr ausbezahlt, die Tankstellen funktionierten nicht mehr usw. Bei dem Transportunternehmen Maersk fielen die Computer aus und Merck verlor 15.000 Computer in 90 Sekunden unwiederbringlich. Kommt es zu einer größeren Attacke gegen den Westen, wird künftig die Regierung zusammen mit den größten Softwareherstellern bestimmen, welche Betriebssysteme installiert werden müssen und welche Standards Drittanbieter von Software einhalten müssen. Denkbar sind auch Pandemie-Bremsen, die an strategischen Punkten eingerichtet werden, um so schnell wie möglich nach einem neuen Ausbruch den Datenverkehr bei Knotenpunkten abzuschalten. Die Technologieabteilung des Pentagons, DARPA, hat in Tests ein Ersatz-Internet vorbereitet mit eigener Software, Übertragungs-Protokollen und Signalen von Antenne zu Antenne.
Das NSA Red Team machte 1997 die Übung „Eligible Receiver“, ein super-geheimer Einbruchstest mit handelsüblicher Ausrüstung, der ein sehr beunruhigendes Resultat hatte. Man simulierte einen Angriff durch nordkoreanische und iranische Hacker. Stufe 1 richtete sich gegen die Infrastruktur von Großstädten, Stufe 2 gegen die militärischen Kommandostrukturen der Amerikaner. Bereits nach vier Tagen war bereits eine starke Penetration erreicht, und das ohne jegliche Spezialausrüstung, sondern nur mit handelsüblichem Gerät und simplen Techniken.
