Patch me if you can: Wirologie – Lernen von Covid

Mai 2020. Ein neues Virus hat seit wenigen Wochen auch Deutschland fest im Griff. Dem Ingenieur ist nichts zu schwör, und so hatten viele in meinem Umfeld ihr hergebrachtes Wissen flugs auf das neue Biest angewandt. Risiken? Handwerkszeug. Exponentielles Wachstum? Moore. (m)RNA? 4-adische Turing-Maschine. No glory in prevention? Welcome to my world. Macht(e) Sinn: Das Finden uns bekannter Muster verspricht der Generation „Ich bin kein Virologe, aber“ Sicherheit in Zeiten, in denen alles ins Wanken gerät.

Kolumne: Patch me if you can

Er hat eine Schwachstelle für Risiken und Über-Cyber-Schreiben: Im Hauptberuf CTO bei der intcube GmbH, tobt und lässt David Fuhr sich in dieser Kolumne über aktuelle Ereignisse und allgemeingültige Wahrheiten der Informationssicherheit aus.

Inzwischen muss ich jedoch eingestehen: Das Mistvieh ist schlauer als wir! Und wenn das so bleibt, dann wird uns vielleicht nicht unbedingt diese Pandemie, aber eine ähnliche in richtig großer Anzahl vom Boden der Erde wegwischen, als deren Herren wir uns doch gerade so schön fühlten. Lernen wir also in Ehrfurcht von SARS-CoV-2. Was macht das Ding „richtig“, dass wir uns nach über einem Jahr immer noch kaum mit etwas anderem beschäftigen?

Ein Muster an Effizienz

Zunächst einmal macht „es“ nichts – es „lässt“ machen. Es wäre unmöglich, sich eine aktive Angriffsstrategie auszudenken, mit der das Produkt von nicht einmal 30 Kilobyte RNA innerhalb weniger Monate die Weltherrschaft hätte übernehmen können. Stattdessen sind WIR es, die das Virus einatmen, herumtragen, in uns millionenfach anzüchten, wieder herumtragen und unseren Mitmenschen in die Atemwege husten. SARS2 selbst sorgt nur dafür, dass wir erstens nicht zu früh zu krank werden, damit wir noch gut herumlaufen können, und zweitens zu spät merken, dass wir andere schützen sollten. Zudem ist die Sterberate geschickt so eingestellt, dass die „Nur die Grippe“-Fraktion sich nicht selbst für bekloppt erklärt. Wäre Corona deutlich tödlicher, hätten wir es vielleicht längst niedergerungen. (Wäre es deutlich weniger tödlich, läsen Sie diese Zeilen hier nicht.)

Auch wenn es mich schmerzt: Alles, was wir aus der Security kennen, ist Kinderkram dagegen. Exponentielles Wachstum haben wir in der Rechenpower und mit etwas gutem Willen bei der Anzahl der Vernetzungen, aber sicher nicht in den Bedrohungen. Computerviren mutieren lächerlich wenig im Vergleich und nutzen kaum Superkräfte wie „Selektionsdruck“ aus. IoCs (Indicators of Compromise), also Angriffsspuren, verlaufen niemals unter einer „Nachweisgrenze“ – man muss „nur“ hingucken; der Test selbst ist trivial.

Nicht falsch verstehen, Informationssicherheit ist ein schwerwiegendes Problem und hielt zu Recht immerhin sogar im Corona-Jahr 2020 den dritten Platz (in Deutschland den zweiten) im Allianz Risk Barometer 2021 hinter Geschäftsunterbrechungen und Pandemie. Es geht mir darum, dass Cyberbedrohungen heute noch gar nicht angefangen haben, ernst zu machen.

Stellen wir uns einmal vor, ein Computerwurm der Zukunft wäre bei Covid und Co. in die Lehre gegangen und hätte einen Angriffsvektor gefunden, der sich, wenn überhaupt, nur extrem aufwendig großflächig patchen („impfen“) lässt. Bisher haben das nur Spam und insbesondere Kettenbriefe in Ansätzen geschafft. Vorstellbar wäre zum Beispiel automatisiertes Social Engineering durch menschenähnliche Bots, die mit den richtig „gefuzzten“ Gründen erfolgreich um Zugang in Systeme betteln. Und sich dann erst einmal vor allem um weitere Verbreitung kümmern, bevor sie einen mittelgroßen Schaden anrichten, um die Anstrengungen zu ihrer Bekämpfung nicht zu groß werden zu lassen.

Händisch zusammengeschustert

Einzelne Elemente davon erkennen wir vielleicht heute schon wieder, etwa in Techniken von Ransomware-Trojanern, aus vergangenen E-Mail-Konversationen zu zitieren, um Kontext vorzugaukeln. Oder auch in der Preisstrategie von Erpressergangs, die den geforderten Bitcoin-Betrag dynamisch an Opfertyp und Zahlungswilligkeit anpassen. Das ist jedoch alles noch ziemlich stümperhaft und handgemacht, also aufwendig, verglichen mit der Natur.

Es gibt Dinge, die die digitale Welt leichter zu verteidigen machen als die Menschheit, zum Beispiel die theoretisch schnelle Möglichkeit, zentral zu patchen, wenn erst mal ein Patch bereitsteht, oder auch die Tatsache, dass wir Software oft einfach „sterben“ lassen können, wenn es der Heilung dient. Andererseits dürften wir uns umschauen, wenn irgendwann einmal ein Stück wahre Evolution in Computerviren einzieht. Solange ein einziges Signatur-Update oder eine einzige Firewallregel einen automatisierten Angriff noch stoppen kann, befinden wir uns in Bezug auf Cyberangriffe noch auf einem Niveau, das die Natur vor knapp vier Milliarden Jahren mit der Entstehung der RNA verlassen hat. Hoffen wir, dass das noch eine Weile so bleibt – damit mehr Energie für den Kampf gegen Corona und zukünftige Pandemien bleibt.

(ur)