Der US-Auslandsgeheimdienst National Security Agency (NSA) entwickelt angeblich ein Cyber-Abwehrsystem, das selbständig und automatisch Cyberangriffe auf die USA neutralisieren soll. In einem Interview mit Wired sagte der Whistleblower Edward Snowden, das MonsterMind genannte System könne auch für Gegenangriffe genutzt werden.
Von der NSA entwickelte Algorithmen ermöglichen Snowden zufolge eine Analyse massenhaft gesammelter Metadaten, um normalen Datenverkehr im Netzwerk von auffälligem oder gefährlichem Traffic zu unterscheiden. Anhand dieser Informationen könne die NSA unverzüglich und eigenständig eine „ausländische Bedrohung“ erkennen und blockieren, heißt es in dem Bericht.
Matt Blaze, Kryptografieexperte und Professor für Computerwissenschaften an der University of Pennsylvania, hält es für möglich, Muster in Metadaten zu erkennen, die Rückschlüsse auf bestimmte Angriffe zulassen. „Eine einzelne Aufzeichnung eines einzelnen Datenflusses erzählt nicht viel, aber Muster von Datenflüssen, die typisch für einen Angriff sind, offenbaren möglicherweise mehr“, zitiert ihn Wired. „Wenn man Hunderte oder Tausende Datenflüsse hat, die an einem bestimmten Ort beginnen und auf eine bestimmte Maschine gerichtet sind, dann könnte das auf einen Angriff hinweisen. So funktionieren normalerweise Intrusion-Prevention-Systeme und Systeme zum Erkennen von Anomalien.“ Mit Kenntnissen über die Angriffswerkzeuge eines Feindes sei es vielleicht sogar möglich, bestimmte Angriffsmuster einem einzelnen Tool zuzuordnen.
Ein Gegenschlag beinhalte möglicherweise den Einsatz von Schadcode, um das angreifende System oder einfach nur das Angriffs-Tool zu deaktivieren oder unbrauchbar zu machen, so Snowden weiter. Das MonsterMind-Programm berge aber auch einige Risiken. Zum einen könne ein Angriff aus dem Ausland über Server unschuldiger Dritter geführt werden, beispielsweise ein Botnetz aus mit Schadsoftware infizierten Rechnern oder sogar Rechner, die einem anderen Staat gehören. Ein Gegenschlag der NSA könne dann zu einem Konflikt mit dem Land führen, in dem sich die Rechner befänden, ergänzte Snowden. Zudem führe eine Vergeltungsmaßnahme unter Umständen zu erheblichen Kollateralschäden. Die USA müssten also zuvor den Angreifer und die von ihm genutzten Systeme und Dienste identifizieren, um nicht versehentlich wichtige zivile Infrastrukturen auszuschalten.
Zum anderen gibt es Snowden zufolge aber auch verfassungsrechtliche Bedenken. Um Angriffe erkennen zu können, müsse die NSA „jeglichen“ Netzwerkverkehr sammeln und analysieren. Sonst könne sie keinen Algorithmus entwickeln, der gefährlichen von ungefährlichem Traffic unterscheide. „Das bedeutet, sie müssen allen Traffic abfangen“, sagte Snowden. Damit verstoße die NSA gegen den vierten Verfassungszusatz, der das Abhören privater Kommunikation ohne Gerichtsbeschluss oder einen konkreten Verdacht oder Grund untersage.
Ob MonsterMind tatsächlich existiert, ist nicht bekannt. Laut Wired hat Snowden die NSA verlassen, als das Programm noch in Arbeit war. Der Geheimdienst wollte Fragen von Wired zu dem Programm nicht beantworten.
Offenbar ist die NSA aber in der Lage, den gesamten Internetverkehr eines Landes lahmzulegen – wenn auch nur versehentlich. 2012 habe der Geheimdienst versucht, in die Kommunikationssysteme Syriens einzudringen, um E-Mails abzufangen, berichtet das National Journal unter Berufung auf das von Wired mit Edward Snowden geführte Interview. Der Angriff auf einen zentralen Router des wichtigsten Internet Service Providers des Landes habe jedoch ungewollt das Internet in Syrien für mehrere Tage zusammenbrechen lassen.
Tipp: Wissen Sie alles über Edward Snowden und die NSA? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…
Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…
Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…