Erstellt am: 4. 10. 2015 - 19:00 Uhr
Studie warnt vor "Clockwork Orange"-Internet
Pünktlich zu Beginn des "Cybersecurity"-Monats Oktober am Donnerstag wurde von der Kreditschutzfirma Experian bekanntgegeben, dass 15 Millionen Kundendaten kompromittiert wurden. Nach Angaben des Unternehmens war es ein "isolierter und zeitlich limitierter Vorfall", doch genauso hatte es anfangs auch bei allen anderen Großeinbrüchen des Rekordjahrs 2015 geheißen. Die wirklichen, weit größeren Dimensionen des jeweiligen Vorfalls wurden stets erst zeitversetzt bekannt.
Die Nachricht kam eine Woche nach den Gesprächen Präsident Barack Obamas mit seinem chinesischen Amtskollegen Xi Ping zu genau diesem Thema. Die USA hatten China ja mehrfach beschuldigt, hinter dieser Serie von Angriffen zu stecken, die heuer eskalierte. Eine aktuelle Zukunftsstudie des Thinktanks "Atlantic Council" zeichnet ein düsteres ökonomisches Bild. Sollten die Angriffe im bisherigen Thema weitergehen, dann drohe ein "Clockwork Orange Internet", das die Wachstumsraten weltweit abwürge. Das bezieht sich auf den gleichnamigen, von sinnloser Gewalt geprägten Roman von Anthony Burgess und bezeichnet das negativste von insgesamt vier Szenarien.
Warner Home Video
"A Clockwork Orange Internet"
Das "Atlantic Council" und die "Zurich Insurance Group" haben dabei die Entwicklung dieser staatlich gelenkten "Cyber"-Attacken der letzten zwei Jahre auf das globale Bruttonationalprodukt bis 2030 hochgerechnet. Sollte der Trend mit dem bisherigen Tempo eskalieren, warnen die Autoren, könnten bis 2030 weltweit um die hundert Billionen Dollar fehlen, die gegenüber dem besten angenommenen Fall nicht lukriert werden.
Wenn das volle Wachspotenzial ausgeschöpft werde ("Shangri La Internet"), könnte das 190 Billionen an weltweiten Umsatzzuwächsen bringen, heißt es in der Studie. Wie realistisch die Zahlen selbst sind, ist eher zweitrangig, Fakt ist jedenfalls, dass ein "Clockwork Orange"-Internet, wie es sich seit etwa 2013 abzeichnet, vor allem die Volkswirtschaft des Hauptangriffsziels USA enorme Summen kostet und noch kosten wird.
Nach dem Hack der fünften US-Krankenversicherung für öffentlich Bedienstete seit Jahresbeginn kamen Mitte September offene Drohungen von Barack Obama an die Adresse Chinas.
Der Hack von Experian
Allein die Kosten für den Kreditschutz der betroffenen, etwa 120 Millionen US-Staatsbürger, deren Daten alleine in dieser Serie heuer kompromittiert wurden, belaufen sich auf mehr als eine Milliarde Dollar. Das Unternehmen Experian, das sowohl Bonitätsprüfungen für Firmen anbietet wie auch "Credit Monitoring" für Kunden, deren Daten abhanden gekommen sind, wurde nun selbst erfolgreich angegriffen.
Die Betroffenen sind - bis zu einem gewissen Grad - dadurch gegen einen Verlust der Kreditwürdigkeit versichert, falls ihre Daten für Betrugszwecke missbraucht werden. Dass Experian, deren Datenbanken - nicht zum ersten Mal, aber nie in diesem Ausmaß - gehackt wurden, den Geschädigten nun die eigenen Dienste anbietet, hat bei den Betroffenen für Wut und Hohn im Netz gesorgt.
Die wahren Dimensionen und Kosten
Angeblich beschränkt sich der Vorfall bei Experian auf Kundendaten von T-Mobile, die im Rahmen von Bonitätsprüfungen angefallen waren. Ob das tatsächlich stimmt, werden die nächsten Wochen zeigen, erst Ende September hatte das Personalverwaltung des öffentlichen Dienstes (OPM) der USA - Monate nach Bekanntwerden des Vorfalls - bekanntgegeben, dass doch fünf Millionen Fingerabdrucksdateien abhanden gekommen waren, während man bis dahin von einer Million ausgegangen war.
Atlantic Council/Zurich
Der OPM-Hack wurde im Juni bekannt, die Angreifer waren jedoch bereits seit Ende 2014 im System gewesen und logischerweise hinter den hochsensiblen Personalakten mit Sicherheitsüberprüfungen her, ironischerweise ist auch das US CyberCorps betroffen.
Solche fortgeschrittenen Netzattacken sind immer das Werk von professionellen, nämlich staatlich gelenkten Akteuren, die mit ausgereiften und gut getarnten Software-Suites angreifen. So gut wie immer hatte sich danach herausgestellt, dass diese Angreifer bereits Monate vor dem eigentlichen Zugriff im Netzwerk waren und es durchgehend kompromittiert hatten. Solch große Netze von Firmen und Organisationen im Anschluss zu säubern, macht mit den einhergehenden Produktivitätsausfällen den wirklichen Kostenfaktor aus.
Hauptbetroffene USA und Europa
Eine Zusammenfassung der Ergebnisse der Studie "Risk Nexus: Overcome by Cyber Risks samt den wichtigsten Graphen der Studie
Und diese Entwicklung nagt an der Wirtschaftlichkeit des Ausbaus vernetzter Informationssysteme. Bereits 2019 werde global ein Schnittpunkt erreicht, an dem sich die Kosten für den Schutz der Systeme mit den Vorteilen ihres Einsatzes die Waage halten, prophezeit die Studie des Strategie-Thinktanks "Atlantic Council". "Die Nachrichten werden noch schlechter", heißt es da, denn in den entwickelten Volkswirtschaften der USA aber auch Europas wurde dieser Schnittpunkt bereits vor 2010 erreicht, seitdem geht die Kostenschere immer weiter auseinander. Die Abwehr von Angriffen auf diese Systeme mache bereits mehr als ein Prozent der wirtschaftlichen Gesamtleistung aus, während die Vorteile der Vernetzung nur noch weniger als ein halbes Prozent Wachstum einbrächten.
Atlantic Council/Zurich
Auf die Anklageerhebung wegen "Cyber"-Angriffen gegen fünf Offiziere der chinesischen Volksarmeeim April kam eine harsche Reaktion aus China gegen US-Firmen wie Cisco, Microsoft oder IBM.
In Schwellenländern sei aufgrund ihres weit geringeren Vernetzungsgrads die Kostenlage noch völlig anders, so die Studie, die Russland oder China mit keinem Wort dabei erwähnt. Als Vergleichsregion wird vielmehr Lateinamerika herangezogen, dort würden die Erträge der Vernetzung noch mehr als ein Jahrzehnt lang die steigenden Kosten für Systemsicherheit überwiegen. Die Schäden eines "Clockwork Orange"-Internet, wie es sich im bisherigen Rekordjahr 2015 bereits abzeichnet, schlagen daher in entwickelten Staaten ungleich heftiger zu Buche, die Kosten für die Angreifer stehen zudem in keinem Verhältnis zu den Schäden, die angerichtet werden.
Die Annahme, dass hinter diesen Großangriffen auf Versicherungskonzerne, Kreditschutzfirmen oder die Verwaltung des öffentlichen Dienstes irgendwelche "Hacker" oder gewöhnliche Kriminelle stecken könnten, ist lächerlich. Weder gibt es Gangs, die nach Art von Alex und seinen mörderischen Kumpanen in "A Clockwork Orange" das Internet mit sinnlosem Vandalismus überziehen, noch machen Serienangriffe auf solch hochkarätige Ziele für gewöhnliche Kriminelle Sinn. Die kommen erst ins Spiel, wenn staatliche Angreifer die erbeuteten Datensätze im Netz deponieren, wie es nach den Hacks von Sony oder der Sexkontaktebörse "Ashley Madison" geschehen ist.
Atlantic Council/Zurich
Dass Kriminelle diese Daten nun zu Erpressung, Identitätsdiebstahl und Betrug missbrauchen können, treibt den Gesamtschaden weiter in die Höhe. Die martialischen Inszenierungen beider Vorfälle dienten wiederum mur dazu, möglichst viel Aufmerksamkeit zu erregen, es handelt sich um klassische PsyOps - psychologische Operationen - wie sie in den Militärdoktrinen fast jeden Staates stehen. Ziel ist dabei, die Öffentlichkeit durch Angst und Schrecken so zu verunsichern, dass sich das etwa im Online-Kaufverhalten niederschlägt.
Vernachlässigte Defensive ==
Eine ebenfalls im April veröffentlichte Präsidialorder Obamas droht mit der Beschlagnahme der Vermögen aller in "Cyber"-Angriffe involvierten Firmen und Personen
"Die Welt nähert sich in schnellem Tempo dem Punkt, an dem sich das steigende Cyber-Risiko negativ auf den Anreiz für Investitionen in Cyber-Technologien auszuwirken beginnt", heißt es in der wichtigsten Schlussfolgerung der Studie. Die allererste Volkswirtschaft, wo dieser Effekt sichtbar werden wird, sind aber die USA, die das weltweite Internetgeschäft noch immer haushoch dominieren. Das ist der Grund, warum die Töne aus Washington gegenüber China zum Thema immer schärfer werden, denn die USA haben solch endemischen Angriffen wenig entgegenzusetzen.
Schon die rechtliche Lage in den USA lässt es nicht zu, dass die eigenen "Cyber"-Krieger hier mit gleicher Münze antworten. Zudem würde eine vergleichbare Art von Angriffen auf Chinas Netzinfrastruktur bei weitem nicht denselben Effekt erzielen. Es ist längst klar, dass die "Cyber"-Defensive zugunsten der Angriffstaktik von den US-Militärs gut ein Jahrzehnt lang völlig vernachlässigt worden ist.
Die Konsequenzen
Bereits 2013 hatten die USA als Reaktion auf Angriffe aus China ein Vetorecht der Regierung gegen den Einsatz chinesischer Technik im öffentlichen Dienst verkündet.
Um dem zu begegnen, wurde bereits zu Jahresbeginn ein Gesetzesvorhaben namens CISA, das im Kongress 2014 steckengeblieben war, wieder aufs Tapet gebracht. Im Rahmen dieses "Cyber Intelligence Sharing Act" sollen Firmen, die auf freiwilliger Basis Sicherheitsvorfälle an die Geheimdienste melden und die entsprechenden Kundendaten übermitteln, dafür haftungsfrei gestellt werden. Neben Microsoft, Apple und anderen Mitgliedern der Lobby-Allianz BSA hatte sich Experian als einer der vehementesten Unterstützer von CISA erwiesen.
Was die Gespräche mit Xi Ping betrifft, so wurden deren Verlauf und mögliche Ergebnisse von Obama mit den reichlich skeptischen Worten kommentiert: "Die Frage ist nun, ob den Worten Taten folgen werden." Eine Woche später kam der Hack von Experian ans Licht.