SUNBURST – Was wir daraus lernen müssen

Auch wenn langfristige Operationen zur Infiltration und Überwachung von Systemen (z.B. SUNBURST) in erster Linie die Domäne von nationalstaatlichen Akteuren sind, werden die Früchte der hierfür entwickelten Tools und Techniken irgendwann auch in der freien Wildbahn landen. Dafür gibt es zahlreiche Präzedenzfälle, z.B. nutzten Nordkorea und die WannaCry-Ransomware den Eternal Blue Windows SMB-Exploit der NSA. Kriminelle Organisationen werden im Laufe der Zeit die Vorgehensweise imitieren, die es SUNBURST ermöglichte, derart effektiv zu sein, wie z.B. das gezielte Tarnen von Malware und das Warten auf ihren Einsatz, bis sie nicht mehr in einer Sandbox eingeschlossen ist.

Während nationalstaatliche Akteure offensive Cyber-Kampagnen in der Regel nicht aus monetären Gründen durchführen (Nordkorea bildet hier eine Ausnahme), geht es kriminellen Organisationen quasi ausschließlich um die finanzielle Ausbeute. Sie werden herausfinden, wie sie SUNBURST-ähnliche Angriffe und Techniken ausnutzen und zu Geld machen können.
SUNBURST nutzte menschliche Schwächen und veraltete Denkweisen aus. Diese Probleme können nicht einfach durch mehr Investitionen in Technologie gelöst werden. Stattdessen müssen neue Wege und Ansätze gefunden werden, um den Bemühungen von Cyberkriminellen entgegenzuwirken.

Kryptowährung muss reguliert werden

Vertrauen, wie wir es kennen, gibt es nicht mehr. Traditionelle Ansätze haben uns immer wieder im Stich gelassen. Dies ist weniger ein technologisches Problem als vielmehr ein Problem das aus der Art und Weise, wie wir über die Lösung von Cybersicherheitsproblemen nachdenken, entsteht.

Cyberkriminelle nutzen für ihre Transaktionen bevorzugt Kryptowährungen wie Bitcoin. Hier ist Anonymität die Grundlage des Designs. Wenn man es genau nimmt, ist Bitcoin technisch gesehen allerdings nicht anonym, sondern pseudonym. Die Adresse, auf der Bitcoin erhalten werden, ist ein Pseudonym. Wenn ein User diese Adresse nie ändert und irgendwann dessen Identität entdeckt und mit einer Adresse verknüpft wird, dann sind alle Transaktionen dieses Nutzers auffindbar.

Da der Code für Bitcoin per Design öffentlich zugänglich ist, wäre der Versuch irgendeine Art von Code einzufügen und Manipulation zu betreiben, fast unmöglich, da die Community jede Entwicklung nachvollziehen kann. Es ist grundsätzlich immer möglich, ein Pseudonym mit einer tatsächlichen Identität zu verknüpfen, wenn man genug Daten und Traffic-Analysen hat, denn jede Transaktion benötigt eine Adresse (egal ob Bitcoin, Etherium, XRP, Litecoin, etc.).

Einen Sonderfall stellt die Kryptowährung Monero dar, denn sie bietet ein hohes Maß an Anonymität. Das komplexe Design von Monero macht es fast unmöglich, Nutzer und Beträge in Transaktionen zu identifizieren. Aber je komplexer ein Dienst ist, desto weniger Nutzer hat er tendenziell – so ist auch Monero wesentlich weniger verbreitet als z.B. Bitcoin.

Fazit

Mit der Zeit werden Regierungen einen Weg finden müssen, um Kryptowährungen zu regulieren, so dass (wenn nötig) eine klare Zuordnung stattfinden kann. Im Moment bedeutet der Mangel an Regulierung, dass Kryptowährungen immer weiter wachsen und sich verbreiten. Entgegen der gängigen Meinung sind diese digitalen Währungen allerdings selten zu 100 Prozent anonym. Wer also Wert darauf legt, dass die eigenen Transaktionen auf keinen Fall zurück verfolgbar sind, dem bleibt nach wie vor nur das gute alte Bargeld.

Autor Morgan Wright, Chief Security Advisor bei SentinelOne