Whistleblower wie Edward Snowden haben uns eindrücklich vor Augen geführt, dass nicht nur Kriminelle sondern auch Staaten Überwachungstools nutzen, um Personen und Institutionen auszuspionieren. Am Fraunhofer FKIE entwickeln Forscher Methoden, mit denen die Werkzeuge des Spionagebaukastens der NSA erkannt und in ihrer Wirkung eingedämmt werden können.   

Hallo Herr Prof. Meier, Sie und Ihr Team am Fraunhofer-Institut für Kommunikation, Informationsverarbeitung und Ergonomie FKIE analysieren Methoden der NSA für Cyberangriffe.

Es ist ein offenes Geheimnis, dass die NSA eine von ihr selbst so bezeichnete »Quantum-Suite« nutzt, die eine ganze Fülle an Werkzeugen beinhaltet. Das jedenfalls entnehmen wir den Unterlagen, die durch Edward Snowden veröffentlicht werden konnten. 17 dieser Werkzeuge sind uns mittlerweile gut bekannt. Unser Ziel ist es, möglichst viele Spionage-Methoden der NSA so gut zu analysieren, dass wir uns effektiv schützen können.

Das hört sich nach einem umfassenden Regierungsauftrag an.

Zunächst steht eigentlich nur das klassische Forschungsinteresse im Vordergrund. Wir analysieren das Vorgehen der NSA bei ihren Cyberangriffen und veröffentlichen unsere Ergebnisse, die dann von der Sicherheitsindustrie genutzt werden können. Denn natürlich ist es auch für die Regierung, aber auch für Verbände, Institutionen und Unternehmen wichtig, sich besser gegen Cyberspionage schützen zu können – auch gegen Angriffe der NSA.

Wie muss man sich die Quantum-Suite vorstellen?

Die NSA beschäftigt eine Menge von Experten, um im Rahmen der Quantum-Suite vermutlich einige Dutzend Werkzeuge zu konstruieren, die bei unterschiedlichen Operationen mit verschiedenen Zielsetzungen zum Einsatz kommen. Eines dieser Werkzeuge heißt Quantuminsert. Das Tool gehört wohl zu den wichtigsten der NSA. Das Ziel ist bei fast allen Werkzeugen dasselbe: Rechner von Zielpersonen mit Spionagesoftware zu infizieren.

Was ist das Besondere an Quantuminsert?

Normalerweise erfolgen Angriffe nach dem klassischen »Man-in-the-Middle«-Prinzip. Wenn also A und B miteinander kommunizieren steht »in der Mitte« der Kommunikationsleitung ein Dritter. Er hört nicht nur mit sondern nimmt alle Datenpakete aktiv an. So kann er sie manipulieren und erst dann weiterleiten. Ein Quantuminsert-Angriff folgt diesem Prinzip nicht, sondern verwendet einen »Mann-an-der-Seite«-Ansatz: Der Angreifer ist in der Lage, sämtliche Daten mitzulesen, kann aber selbst nicht eingreifen oder Daten manipulieren. Er kann allerdings zusätzliche Pakete selbst in den Weg einschleusen. Aus Performance-Gesichtspunkten ist das für einen Angreifer ein deutlich eleganterer und ressourcenschonenderer Ansatz. Der Aufwand ist deutlich überschaubarer und damit effizienter.

Was leisten die anderen Werkzeuge?

Grundsätzlich leisten auch die anderen Tools ähnliches: Sie unterstützen die Cyberspionage der NSA. Wie sie das tun, ist noch nicht bis ins Letzte untersucht. Was ich aber sagen kann: Bei einem der Werkzeuge geht es wohl unter anderem darum, dass Ihr Rechner ein Update aus dem Internet herunterladen soll und dieses Update von der NSA durch eine andere Software ausgetauscht wird, um an Daten heranzukommen. Bei einem weiteren Tool geht es vermutlich darum, Facebook zu nutzen, um andere gezielt zu infizieren.

Ein schematischer Aufbau eines Angriffs nach dem Man-on-the-Side-System der NSA Quelle: ©Fraunhofer FKIE

Die NSA hat eine regelrechte Spionage-Infrastruktur im Internet ausgerollt …

Sie hat verschiedene Knotenpunkte besetzt, um die Internetkommunikation zu beobachten oder nutzt Knoten, um dort ihre Systeme einzusetzen, sodass sie mehr oder weniger jedes Individuum zumindest in der westlichen Welt angreifen kann.

Wie funktioniert das?

Zum Beispiel so: »Hier gibt es einen Michael Meier am Fraunhofer FKIE. Seinen Rechner würden wir gerne unbemerkt infizieren!« Also warten die NSA beziehungsweise ihre Systeme darauf, bis ich mich zum Beispiel bei einem sozialen Netzwerk wie Xing anmelde. Das ist wichtig, denn so kann ich als »der Richtige« identifiziert werden. Gleichzeitig antwortet mir – schneller als die Webseite von Xing das tut - ein NSA-System. Damit wird die Rückmeldung des richtigen Anbieters verworfen und die NSA kann mich nun auf ihr System umleiten. Beispielsweise, um eine Schwachstelle in meinem Webbrowser auszunutzen und so auf meinem Computer ein Programm zu installieren.

Aber das ist doch eigentlich ein Klassiker, oder?

Das stimmt. Diese Art des »drive-by«-download, bei der man sich beim Surfen irgendeine Schadsoftware einfängt, ist tatsächlich ein Klassiker. Allerdings gibt es einen Unterschied: Im Gegensatz zu den Wald- und Wiesenfängern, die jeden Besucher angreifen, wählt die NSA Personen gezielt aus, um die Ergebnisse personenbezogen zu verwerten. Auch wer bewusst ein vorsichtiges Surf-Verhalten an den Tag legt und riskante Webseiten meidet um »drive-by«-downloads zu entgehen, ist dem Vorgehen der NSA ausgeliefert.

Von all den Werkzeugen ist Quantuminsert am weitesten erforscht?

Soweit das die Arbeit des Fraunhofer FKIE betrifft: Ja. In den Snowden-Dokumenten finden sich keine vollständigen Beschreibungen zu den einzelnen Werkzeugen. Es stehen dort meist nur Informationshappen, also: Was gibt es? Wie könnte das Werkzeug eingesetzt werden? Wir mussten anhand dieser skizzenhaften Beschreibungen die Instrumente Stück für Stück rekonstruieren, um Funktionsweise und Wirkung umfassend zu analysieren.

Ein nächster Schritt wäre es, Abwehrmechanismen für Quantuminsert zu entwickeln …

… genau das tun wir. Wir haben ein Werkzeug gebaut, das erkennt, ob man mit Quantuminsert angegriffen wird. Allerdings haben wir es nun ironischerweise mit datenschutzrechtlichen Problemen zu tun: Denn wir müssen in den sogenannten Payload hineinschauen, sehen also die Daten und Texte, die beispielsweise ein Mitarbeiter in einer Firma über seinen Webbrowser ausgetauscht hat. Um eine Software anzubieten und in Betrieb nehmen zu können, die kontrolliert, ob ein oder mehrere Rechner von Quantuminsert infiltriert wurden, müssen vorab also datenschutzrechtliche Vorkehrungen getroffen werden.

Und selbst dann würde der Angriff an sich nicht verhindert!

Nein, aber wer weiß, dass er Opfer geworden ist, kann den Angriff zumindest untersuchen. So erfahre ich mehr über die Verwundbarkeit meiner Systeme. Und ich kann feststellen, ob und was mir »untergejubelt« wurde.

Sie werden nun auch die anderen Tools der Quantum-Suite erforschen, damit geeignete Gegenmaßnahmen entwickelt werden können?

Das ist das Ziel. Ich gehe davon aus, dass es noch einige Monate oder länger dauern wird, bis wir ähnliche Erfolge vermelden können.

 (aku)

Keine Kommentare vorhanden

Das Kommentarfeld darf nicht leer sein
Bitte einen Namen angeben
Bitte valide E-Mail-Adresse angeben
Sicherheits-Check:
Zwei + = 8
Bitte Zahl eintragen!
image description
Interviewpartner
Alle anzeigen
Prof. Dr. Michael Meier
  • Fraunhofer-Institut für Kommunikation, Informationsverarbeitung und Ergonomie FKIE
Weitere Artikel
Alle anzeigen
Außergewöhnliches erkennen
Security von Automotive bis Zahnbürste
Aus eins mach zwei, drei, vier ...
Stellenangebote
Alle anzeigen