In der Nachbarschaft von Rob Joyce war kürzlich ein Dieb unterwegs. Während des Schneesturms "Snowzilla", der das öffentliche Leben lahmlegte, sind viele Leute zu Hause geblieben, die Straßen waren menschenleer. Offenbar ging währenddessen eine Person von Auto zu Auto und versuchte, die Türen zu öffnen. Aus den Autos, die nicht abgeschlossen waren, habe diese Person alles mitgenommen, was nicht niet- und nagelfest gewesen sei, erzählt Joyce.
Er ist auf die IT-Sicherheitskonferenz Enigma in San Francisco gekommen. (Der Talk ist hier zu sehen, die Anekdote beginnt bei 32:40) Joyce arbeitet seit mehr als 25 Jahren beim US-Geheimdienst NSA, seit 2013 leitet er die Abteilung Tailored Access Operations (TAO). Dort arbeitet die Elite. Sie ist für "Computer Network Exploitation" verantwortlich, findet also Wege, um IT-Systeme zu hacken. Das Team von Joyce liefert - nach Eigenaussage - so wertvolle Informationen, dass sie während Militär-Operationen eingesetzt werden.
Die SZ-Redaktion hat diesen Artikel mit einem Inhalt von Youtube angereichert
Das Beispiel mit dem Dieb ist für Joyce wichtig, denn wie dieser agieren ihm zufolge auch gewöhnliche Cyberkriminelle. Die seien Opportunisten, die klauen, was sie kriegen können. Die Menschen willkürlich Schadsoftware unterjubeln, die deren Rechner verschlüsselt, um anschließend Lösegeld zu fordern.
Dass dieser Mann redet, ist skurril
In seinem halbstündigen Vortrag erklärt Joyce auch, wie die NSA vorgeht. Um im Bild zu bleiben: Die NSA späht jahrelang gezielt ein paar Autos aus, folgt dem Fahrer, verbringt Wochen in der Nachbarschaft und nutzt kurze Unachtsamkeiten, um am Ende den ganzen Wagen zu besitzen.
Dass dieser Mann öffentlich auf einer Bühne redet, vor einem Publikum, das zu großen Teilen aus IT-Sicherheitsexperten besteht, ist auf den ersten Blick skurril. Joyce weiß das selbst: "Ich gebe zu, es ist sehr ungewöhnlich. Das passiert nicht oft." Er stehe hier, um den Anwesenden ein paar Tipps zu geben, insgesamt sechs Stück werden es am Ende. Wer alle befolge, mache ihm und seinem Team die Arbeit schwer.
Warum redet der Mann?
IT-Sicherheit wird nicht ernst genommen
Dafür gibt es drei Gründe. Erstens: Die NSA hat ein Imageproblem. Deswegen sucht der Dienst seit Monaten die öffentliche Debatte und betont das "S" in NSA - es steht für Sicherheit. Es gehört auch zu den Aufgaben der NSA, die Netzwerke der US-Regierung abzusichern und amerikanische Firmen auf Sicherheitslücken hinzuweisen.
Zweitens: Joyce verfügt über ausreichend Erfahrung. Er weiß, dass IT-Sicherheit auch heute noch in vielen Firmen nicht ernst genug genommen wird. An einer Stelle spricht er das offen an: "Wir testen ein Netzwerk. Wir finden fehlerhafte Konfigurationen. Wir teilen diese Lücken den Betreibern mit. Wenn wir später erneut mit einer Analyse beauftragt werden, passiert es nicht selten, dass wir dieselben Lücken finden."
Drittens: Joyce gibt keine Staatsgeheimnisse preis. Seine Tipps dürften die Menschen im Raum nicht ernsthaft überrascht haben. Doch der Vortrag gewinnt allein dadurch an Bedeutung, dass die Argumente vom obersten Elite-Hacker des Staates kommen. Abgesegnet von höchster Stelle also. Für jede Großfirma, die Rechner in das Internet hängt, sind diese 30 Minuten absolutes Pflichtwissen.
Die sechs Stufen eines NSA-Angriffs
Joyce erklärt einen Angriff der NSA in sechs Schritten. Er betont, dass Gruppen wie seine Abteilung TAO aus gutem Grund "Advanced Persistent Threat" (APT) genannt werden. Es sei eben eine fortgeschrittene, hartnäckige Bedrohung.
Im ersten Schritt werde ausgekundschaftet. Über diesen Punkt spricht Joyce am längsten. Jemand müsse sich die Mühe machen, das Ziel zu analysieren. Seine Gruppe investiere viel Zeit, um das Netzwerk besser zu verstehen als die Personen, die es entworfen haben. "Ihr kennt die Technologien, die ihr in dem Netzwerk einsetzen wolltet. Wir kennen die Technologien, die tatsächlich eingesetzt werden", sagt Joyce.
TAO widme sich Joyce zufolge besonders gern Details: "Glaubt nicht, dass eine Lücke zu klein ist, um wahrgenommen und ausgenutzt zu werden." Smartphones und Heim-Laptops seien ebenfalls gute Einstiegspunkte für einen Angriff. Solche Geräte seien in aller Regel von den Menschen, die sie mitbringen und an ein Firmennetz anschließen, nicht ausreichend geschützt.
Erfolgsquote Phishing: 45 Prozent
Wer angreifen will, braucht zum Beispiel wichtige Personen innerhalb der Firma (das können Systemadministratoren sein) und deren E-Mail-Adressen. Diese werden ins Visier genommen, zum Beispiel per Phishing-Attacke. Das ist Schritt Nummer zwei. Bei guten Fälschungen liege die Quote der Menschen, die mit Schadsoftware infizierte E-Mail-Anhänge öffnen, sehr hoch. Eine Google-Studie kam vor Monaten zu einem ähnlichen Ergebnis - die Erfolgsquote liegt bei 45 Prozent.
Einmal im Netzwerk, geht es im dritten Schritt darum, unerkannt zu bleiben. Wer hartnäckig sein will, darf nicht auffallen. Im Durchschnitt bleiben Angreifer mehr als 450 Tage unsichtbar. Während dieser Zeit laden sie wirkmächtige Schadsoftware über sogenannte "Command and Control"-Server nach. Die Lücke wird genutzt, um von außen Waffen durch sie zu schleusen (Schritt 4), mit dem sich die Angreifer durch das Netzwerk bewegen (Schritt 5) und dann Daten und Dokumente herausschleusen können.
Wie man sich wehren kann
Joyce nennt mehrere Wege, um sich vor den Angriffen von TAO und ähnlichen Geheimdiensten zu schützen. Die Rechte-Vergabe für Nutzer sei wichtig, ebenfalls Patches regelmäßig zu installieren und eine Anmeldung in zwei Schritten zu fordern. Wer das aktiviert hat, erhält nach der Anmeldung ein separates Passwort, zum Beispiel auf sein Handy. Erst nach dessen Eingabe wird der Zugriff erlaubt.
Grundsätzlich gehe es darum, die Angriffsfläche auf ein Minimum zu reduzieren. Das könne geschehen, indem das Netzwerk segmentiert, also in Teilnetze aufgebrochen wird, die nicht miteinander verbunden sind. Dadurch können sich Hacker nicht fortbewegen. "Nichts ist frustrierender als innerhalb eines Netzwerks zu sein, zu wissen, wo das Ding ist (die wichtige Information, Anm. d. Red), und keinen Weg zu haben, um dorthin zu gelangen", sagt Joyce. Ein weiterer Alptraum für die NSA sei ein Administrator, der Systeme installiert hat, die das Netzwerk überwachen - und diese Protokolle liest, um Anomalien zu erkennen.
Was unerwähnt bleibt
Joyce geht nicht auf Techniken ein, die spezifisch von seinem Team entwickelt wurden. So setzt die NSA beispielsweise eine Methode namens "Quantum Insert" ein. Dabei werden Zielpersonen just in jenem Moment angegriffen, in dem sie eine Webseite aufrufen wollen - sie werden auf Server der NSA umgeleitet. Mittlerweile kann diese Art von Angriff blockiert werden.
Aber auch ohne dieses Wissen ist der Talk von Joyce sehenswert. Seine Botschaft fasst er so zusammen: "Wir trainieren Erfolgsmethoden, um Netzwerke zu übernehmen. Trainiert ihr Erfolgsmethoden, um diese Angriffe abzuwehren?" Es ist eine rhetorische Frage. Die Antwort darauf lautet Opec, Vereinte Nationen, Belgacom und Airbus. Allesamt Firmen und Organisationen, bei denen Beobachter davon ausgehen, dass das Team von Joyce erfolgreich gewesen ist.