Die Enthüllungen rund um Pegasus, also die Spyware der israelischen NSO Group, halten die Welt noch immer auf Trab. Ein internationales Journalistenkonsortium konnte aufdecken, dass sie für die Überwachung tausender Menschen, darunter zahlreiche Politiker, Menschenrechtsaktivisten und Journalisten, genutzt wurde. Auch ein österreichischer Unternehmer war betroffen. Der Fall wirft zahlreiche Fragen auf, immerhin gelangte die Software trotz Exportkontrollen des israelischen Verteidigungsministeriums in die Hände autoritärer Staaten. Zudem geriet das Unternehmen wegen ähnlicher Vorfälle schon mehrfach in die Schlagzeilen.

Trotz allem scheint es sich bei den Geschäften der NSO Group nur um einen kleinen Baustein im – inzwischen – sehr ertragreichen Ökosystem der Cyberattacken zu handeln. Während private Akteure realisiert haben, dass mit Ransomware große Geldsummen verdient werden können, haben auch Regierungen ihre Verteidigungs- und vor allem Angriffskapazitäten ausgebaut.

Über die aktuellen Entwicklungen hat DER STANDARD mit Oded Vanunu, Head of Vulnerability Research bei Check Point, gesprochen. Mit 18 Jahren Erfahrung bei einem der größten und wahrscheinlich dem bekanntesten israelischen Anbieter von Cybersicherheitslösungen ist er tagtäglich auf der Suche nach Schwachstellen in reichweitenstarken Plattformen, in den letzten zwei Jahren entdeckte sein Team schwerwiegende Schwachstellen bei Konzernen wie Facebook, Whatsapp, Telegram, Tiktok, aber auch bei Apple und Amazons Alexa.

STANDARD: In den letzten Monaten gab es mehrere schwerwiegende Ransomware-Angriffe, zum Beispiel auf Solar Winds, Colonial Pipelines und den US-Fleischproduzenten JBS. Nun wurde publik, dass eine Spyware namens Pegasus genutzt wurde, um Journalisten, Politiker und Aktivisten abzuhören. Was ist der Grund für die steigenden Zahlen?

Vanunu: Ich sage schon seit mehreren Jahren, dass eine sehr aggressive Cyber-Ära beginnt und dass wir deshalb verstehen müssen, wie das Cyber-Ökosystem funktioniert. Dafür müssen wir wissen, was hinter dem Vorhang passiert. Also warum dieses Ökosystem genau so handelt, wie es derzeit handelt – und was die Kräfte sind, die es bewegen. Dafür müssen wir das konventionelle Wettrüsten betrachten. Vor rund zehn Jahren gab es nämlich weltweit Regierungsentscheidungen, Budgets von konventionellen Waffen zu Cyberwaffen zu verschieben. Sie haben also Cyberstreitkräfte geschaffen. Am Ende des Tages muss nämlich jede Regierung andere Staaten infiltrieren, um an Informationen und Daten zu gelangen. Das Problem dabei ist, dass damit Staaten wie China, Russland, USA und Israel begonnen haben. Dadurch wurde dieses Aufrüsten zu einem Standard, und in den letzten zehn Jahren wurde eine Privatwirtschaft erschaffen, die Cyberwaffen liefert.

STANDARD: Wie hat sich die Art des Angriffs über die Jahre hinweg verändert?

Vanunu: Es gab eine Evolution. Die Angriffsmethoden haben sich entwickelt, da immer ausgeklügeltere Waffen gebraucht werden, um Nutzer angreifen können. Außerdem hat sich die Angriffsfläche bewegt. Während früher zentralisierte Verschlüsselung zum Einsatz kam, ist heute alles Ende-zu-Ende-verschlüsselt. Das heißt, das Rüstungsrennen konzentriert sich inzwischen auf das Endgerät (zum Beispiel das Smartphone, Anm.). Will man heutzutage noch an Daten gelangen, muss man den Client angreifen, man muss also Betriebssysteme von Apple, Google und Microsoft infiltrieren. Aber auch Applikationen, weil sie das Tor für die zu stehlenden Daten sind. Die Angriffe werden also immer ausgeklügelter. Und dabei beziehe ich mich ausschließlich auf Regierungen.

STANDARD: Wie sieht es mit privaten Akteuren aus?

Vanunu: Cyberkriminelle Organisationen sind heutzutage aufgebaut wie Unternehmen. Sie haben einen CEO, einen CTO, einen Operations-Manager, einen CFO – denn wegen des Aufstiegs der Kryptowährungen haben sie die Möglichkeit, Geld zu verdienen. Seit den Angriffen auf die US-Wahlen 2016 haben wir außerdem gesehen, wie weit Angreifer gehen. Fälle wie Solar Winds und Colonial Pipelines sind Beispiele für Hackergruppen und Regierungen, die keine rote Linie kennen. Dadurch ist es das erste Mal vorgekommen, dass eine Regierung mit einem aktiven Gegenangriff reagiert hat, um einen Angreifer offline zu nehmen.

STANDARD: Bei den oben genannten Beispielen handelt es sich um Ransomware-Angriffe. Was ist der Unterschied zu Spyware wie Pegasus?

Vanunu: Es ist genau so, wie ich es seit Jahren sage: Regierungen bauen Unternehmen auf, die ihre Bedürfnisse stillen. Firmen wie NSO bauen die Technologie, sie sind nicht für die Nachfrage verantwortlich. Und sie sind nicht die einzigen am Markt. Regierungen brauchen Cyberwaffen, und sie beauftragen private Unternehmen, um ihnen diese Waffen zur Verfügung zu stellen. NSO ist dabei nur Teil eines Marktes. Ein anderes Beispiel ist Zerodium, das auf seiner öffentlichen Website die Preise auflistet, die für die Lieferung von Schwachstellen gezahlt werden. Wenn man zum Beispiel einen Zero-Day für Windows liefert, zahlen sie eine Million Dollar. Dabei geht es allerdings nicht nur um Desktopcomputer und Server, sondern auch um Mobilgeräte wie Android. Ein One-Click für letzteres Betriebssystem kostet 2,5 Millionen Dollar. Ein Zero-Day für iOS bringt zwei Millionen Dollar ein. Ich brauche also nur eine Schwachstelle zu finden, um in den Ruhestand zu gehen. Der Markt ist also viel größer als nur NSO. Natürlich ist es nicht in Ordnung, dass Regierungen Zero-Days nutzen, um Journalisten zu überwachen. Aber sich nur auf eine Firma zu konzentrieren, ist ignorant, wenn man bedenkt, dass es hunderte solcher Unternehmen gibt.

STANDARD: Man bekam in den letzten Monaten das Gefühl, dass Zero-Days, also vom Entwickler noch nicht entdeckte Sicherheitslücken, das derzeit größte Problem in Sachen Cybersicherheit sind. Stimmt das?

Vanunu: Nein, es gibt sehr viele Probleme in diesem Bereich, zum Beispiel One-Day-Exploits. Also Schwachstellen, die bereits bekannt sind, aber noch nicht geschlossen wurden. Das wirklich große Problem ist aber, dass heute alles digital ist. Und wie ich schon gesagt habe, gibt es dabei zwei Hauptvektoren: einerseits Kryptowährungen, die wie Benzin für Cyberkriminalität sind. Und andererseits den Wechsel zu Ende-zu-Ende-Verschlüsselung. Das verändert das gesamte Konzept, wie Angriffe ablaufen. Denn wenn man den Client (das Endgerät, Anm.) angreifen muss, wird er viel aggressiver. Während alles verbunden ist, glaube ich zudem nicht, dass Unternehmen Sicherheit ernst genug nehmen. Abwehr heißt heute aber sowohl die Abwehr von staatlich gesponserten Akteuren als auch von hochentwickelten Cyberkriminellen. Man braucht also erfahrenes Personal und Budget.

STANDARD: Was ist mit kleineren Firmen? Nicht alle können sich ein ausgeklügeltes System und das richtige Personal leisten.

Vanunu: Dem stimme ich nicht zu. Kleine Unternehmen geben vielleicht mehr Geld für Dinge aus, die weniger relevant sind als der Schutz ihrer Daten. Ein Angriff kann dein Geschäft auslöschen. Die oberste Priorität sollte der Chief Technical Officer (CTO) und die Abwehr von Cyberangriffen sein. Darauf kann man eine Firma aufbauen, weil die Firma selbst auf Daten und geistigem Eigentum aufbaut.

STANDARD: Inwiefern unterscheiden sich Spyware und Ransomware?

Vanunu: Die Methoden und Techniken sind sehr unterschiedlich. Bei Ransomware kommen üblicherweise zwei Techniken zum Einsatz. Eine davon ist Spearfishing, man verschickt also Millionen E-Mails, und eine davon ist erfolgreich und infiltriert die Organisation. Die zweite Möglichkeit ist, die Firma tatsächlich zu hacken. Dafür wird eine Schwachstelle genutzt. Üblicherweise geht es dabei nicht um Zero-Days, sondern nicht geschlossene One-Days. Firmen werden also penetriert, die Daten gestohlen und anschließend verschlüsselt. Spyware ist in der Regel von Staaten gesponsert und sehr teuer. Meistens geht es dabei um Zero-Clicks, das heißt, es werden Sicherheitslücken ausgenutzt, ohne dass das Angriffsziel es bemerkt. Dafür werden üblicherweise Zero-Day-Lücken genutzt.

STANDARD: Gibt es wirklich eine Möglichkeit, sich vor Spyware-Angriffen zu schützen?

Vanunu: Es gibt die Möglichkeit, die Gefahren zu minimieren. Das Wichtigste ist, das Betriebssystem immer auf den neuesten Stand zu bringen, weil es ständig neue Sicherheitsfixes gibt. Hackergruppen vergleichen immer Updates mit der letzten Software-Version. Dadurch sehen sie, was gepatcht wurde, und bauen darauf basierend ihre Angriffstools. Außerdem gibt es heutzutage mobile Applikationen, die auffällige Aktivitäten auf dem Smartphone erkennen können. Also eine Art Antivirusprogramm. Die Installation eines Zero-Days kann man dadurch nicht erkennen, sobald er aber aktiv wird, gibt es die Möglichkeit. Die Gefahren kann man also minimieren, es ist aber sehr schwer, sich vor staatlich gesponserten Zero-Days zu verteidigen.

STANDARD: Schon jetzt wird von einer Ransomware-Pandemie gesprochen. Worauf muss man sich in den kommenden Jahren einstellen?

Vanunu: Meiner Meinung nach werden Cyberkriminelle weiterhin stark auf kritische Infrastruktur abzielen. Diese Firmen zahlen gutes Geld, um sich zu befreien und ihren Ruf zu retten. Außerdem wird der Ransomware-Bereich weiter wachsen. Während früher nur ein paar tausend Dollar gefordert wurden, sind es inzwischen mehrere Millionen. Außerdem werden staatliche Hackeraktivitäten weiterhin eskalieren. Wir werden Regierungen sehen, die sich gegenseitig angreifen. Ein vierter Vektor sind Deep Fakes, die dem Cyberkrieg eine weitere Dimension hinzufügen. Mit Software kann man somit zum Beispiel mein Gesicht und meine Stimme auf einen anderen Körper setzen. Das ist ein Trend, den wir vor allem im Bereich der Fake-News wiedersehen werden. Und wir brauchen Lösungen, um das zu erkennen. Doch das wird schwierig sein. (Mickey Manakas aus Tel Aviv, 22.7.2021)