Hackback 2.0 - Electric Hackaloo

Über die Thematik Zero Days, das Zurückhalten von Sicherheitslücken, die Stärkung von kriminellen Schwachstellen-Händlern und das Reversen von Zero Days gibt es schon genug professionelle Kommentare.

Ich habe also nun Kontrolle über eine IP-Adresse, die vielleicht mal von der angreifenden Gruppierung genutzt wurde. Hier wäre die Frage angebracht, welche Maßnahmen erforderlich wären, um den initialen Angriff auf meinen fiktiven Energieversorger durch meine offensive Tätigkeit zu unterbinden - den Angriff, der ja die ganze Zeit läuft oder schon vorbei ist, wohlgemerkt.

Ich könnte den Server, den sie nutzen, ihrem Zugriff entziehen. Dann nehmen sie halt einen anderen oder man hat eh schon lange einfach Remote-Zugänge für den Energieversorger übernommen und loggt sich da direkt ein. Das stoppt den Angriff nicht.

Ich könnte Honeypots bauen, also leicht angreifbare Systeme als Lockmittel, um die Attacken beobachten zu können, und Logs sichten, um mich selbst in deren Organisation auszubreiten und deren Systeme anzugreifen. Tage oder Wochen sind realistische Zeiträume für so etwas. Während ich das tue, verhindere ich natürlich den laufenden Angriff auch nicht.

Ich übernehme also gedanklich jetzt jede einzelne Maschine dieser Gruppe und sperre sie aus jedem Gerät, das sie besitzen, aus und identifiziere sie dabei sogar noch. Der Supergau. Danach übergebe ich eine Liste mit den Namen von fünf Personen und dem Land, aus dem sie agieren, nennen wir es Fantasialand, an den Energieversorger, die Staatsanwaltschaft und alle, die sie haben wollen.

Dem Energieversorger bringt das für den vergangenen Angriff direkt nichts. Langfristig könnte man mit den Infos aus dem Vorgehen der Angreifer zumindest theoretisch die Defensive stärken. Aber das hätte man davor auch schon tun können.

Fantasialand dementiert einen Angriff und liefert auch niemanden aus. Jedes Gruppenmitglied kauft sich einen neuen Laptop und ist spätestens nach zwei Wochen wieder einsatzfähig. Dann schreibt die Gruppe dem Energieversorger wieder ein paar Phishing-Mails oder sie findet ein paar ungeschützte Fernwartungszugänge und wir machen das ganze Spiel nochmal.

Hackback ist keine Verteidigung

Anhand dieser vereinfachten Gedankenspiele wird klar, dass der so beschriebene Hackback als Gegenschlag nicht geeignet ist, den Angriff zu verhindern. Das kann nämlich nur defensiv geschehen.

Gegnerische Hacker sind nämlich keine Haubitzen, deren Beschuss dann aufhört, wenn ich die Maschine unbrauchbar gemacht habe. Genau daher ist das viel zu oft vermittelte Bild des Gegenangriffs als Teil des defensiven Schutzes nicht anwendbar und oft auch schlicht falsch.

Natürlich kann man generell über Sinn, Nutzen und die Notwendigkeit offensiver Cyberaktionen diskutieren, sollte diese dann aber auch klar und ehrlich so benennen. Denn diese offensiven Aktionen verbessern die defensiven Fähigkeiten des fiktiven Energieversorgers zu keinem Zeitpunkt, dies kann nämlich nur durch Resilienz geschehen.

Ich würde mir hier eine ehrliche Auseinandersetzung wünschen, inklusive der klaren Benennung von offensiven Cyberaktionen als solche sowie deren Zielen. Wen wollen wir eigentlich warum angreifen? Was wollen wir damit erreichen, welche Daten erbeuten oder welche Systeme angreifen?

Dies muss natürlich ausführlichst vorher geklärt werden, denn dies sind genau die Fragen, die sich die ausführende Person am Ende stellen wird, sobald man ihr eine IP-Adresse hinlegt und sagt: "Hack das mal".

IMHO ist der Kommentar von Golem.de. IMHO = In My Humble Opinion (Meiner bescheidenen Meinung nach)