| Forschung

Den Gefahren im Netz auf der Spur

IT-Sicherheit ist ein permanentes Wettrennen zwischen Hackern und Administrator*innen. Wie lassen sich Cyberattacken am besten abwehren? Oder noch besser: Lässt sich ein Schutz entwickeln, der Angriffe und Manipulationen gar nicht erst zulässt? Forschende der HAW Hamburg gehen berühmten Angriffen, wie dem „Log4Shell incident“, auf den Grund und entwickeln Schutzmechanismen, die etwa Deepfakes entlarven.

Volker Skwarek, Leiter des FTZ CyberSec

Volker Skwarek, Leiter des FTZ CyberSec, versieht Audioaufnahmen oder Videos mit einer Art Wasserzeichen, um so Manipulationen vorzubeugen.

Acht von zehn Deutschen sagen, sie würden ein Deepfake nicht erkennen – so das Ergebnis einer Bitkom-Umfrage von Juni 2023. Ein anschauliches Beispiel für die Möglichkeiten von Deepfake bietet Professor Volker Skwarek anhand eines kurzen Videos. „Wir leben in einer Welt, in der alles gefälscht sein kann“, erklärt ein Sprecher und führt die Bedrohung, die Deepfakes für unsere Gesellschaft darstellen können, in verschiedenen Sprachen aus, mal vor dem Weißen Haus stehend, mal vor dem Kolosseum in Rom – scheinbar. Denn tatsächlich wurden Sprache und Umgebung von einer KI generiert. Wie also finden wir heraus, was wahr ist und was nicht, fragt wiederum der Sprecher – zumal Manipulationen mit Hilfe tiefer neuronaler Netze (englisch: deep neural networks) immer einfacher werden?

Wie sich nachträgliche Manipulationen, und seien sie noch so überzeugend, ganz einfach identifizieren lassen.

Eine Antwort geben Forscher*innen des Forschungs- und Transferzentrums (FTZ) CyberSec der HAW Hamburg mit dem Projekt „Robuste Signatur audiovisueller Medien gegen (deep) fakes (SaM-fake)“. Basierend auf der Software „Trusted Cam“ werden Audioaufnahmen oder Videos mit einer Art Wasserzeichen als authentisch gekennzeichnet. „Jedes einzelne Bild in einem Video wird in Segmente zerlegt, die durch eine mathematisch generierte Signatur wie durch ein Wasserzeichen abgesichert werden. Das macht es nahezu unmöglich, das Wasserzeichen wieder vollständig zu entfernen“, erklärt Volker Skwarek, Leiter des FTZ CyberSec. Nachträgliche Manipulationen, und seien sie noch so überzeugend, lassen sich so ganz einfach identifizieren, während Drehen, Beschneiden, Skalieren oder Kompressionen weiterhin möglich sind – die Wasserzeichen bleiben bestehen. „So können beispielsweise Nachrichten aus Kriegsgebieten verifiziert werden, was wiederum das Vertrauen der Menschen in Medien und letztlich die Gesellschaft stärkt“, hofft Skwarek. 

„Mathematisch generierten Signaturen könnten Nachrichten in Social-Media-Kanälen authentifizieren und damit einen Beitrag dazu leisten, die Verbreitung von Fake News und Deepfakes zu reduzieren.“

SaM-fake wird gefördert durch das Programm ‚DATI-Innovationssprints‘ des Bundesministeriums für Bildung und Forschung, der Hamburger Technologie-Entwickler Chainstep ist als Partner aus der Wirtschaft an Bord. Als nächsten möglichen Schritt nennt Skwarek die Absicherung von Messenger-Apps. „Die mathematisch generierten Signaturen könnten Nachrichten in Social-Media-Kanälen authentifizieren und damit einen Beitrag dazu leisten, die Verbreitung von Fake News und Deepfakes zu reduzieren.“ Nun entscheide die Marktmacht, ob SaM-fake flächendeckend eingesetzt werde, fährt der Professor für Technische Informatik fort. Wenn sich also die Community für den flächendeckenden Einsatz von SaM-fake entscheidet, sind wir dann vor Manipulationen sicher? „Sicher nicht, aber sicherer“, so Skwarek. Wie generell im Bereich der IT-Sicherheit gehe es darum, eine „asymmetrische Aufwandserhöhung“ zu erreichen. „Etwas mehr Aufwand für uns und sehr viel mehr für die Hacker. Je besser ein System gesichert ist, desto unattraktiver ist es dann für Angreifer.“

Seit seiner offiziellen Gründung 2012 hat sich das aktuell rund 10-köpfige Team des FTZ CyberSec zum Ziel gesetzt, Hackern ihre Angriffe so unattraktiv wie möglich zu machen – und das in ganz verschiedenen Bereichen. Die Projekte reichen von der Sicherung von dezentralen Energiesystemen oder Identitätsverfahren bis zum Thema Cyber-Block-Forensics. „Wenn Unternehmen oder Einrichtungen nach einem Angriff mit Ransomware erpresst werden, wird Lösegeld oft in Form von Kryptowährungen, basierend auf der Blockchain-Technologie, gezahlt. In unserem Projekt versuchen wir, dem Geld anhand der Transaktionsdaten zu folgen“, erläutert Skwarek.
 

„Log4Shell incident“, eine der weitreichendsten Sicherheitslücken in der Geschichte des Internets

Im Grunde ist IT-Sicherheit ein permanentes Wettrennen: Wer ist cleverer? Wer entwickelt die besseren Codes? Wer entdeckt zuerst potentielle Schwachstellen? Hacker durchkämmen das Internet nach Sicherheitslücken und sind schon dadurch im Vorteil. Denn in den meisten Fällen offenbart erst ein erfolgreicher Angriff eine Schwachstelle im IT-System. Die von Software-Ingenieuren daraufhin entwickelten Patches können den Schaden nur noch begrenzen, Sicherheitsforschende die verschiedenen Fälle nur noch analysieren. ‚Kenne deinen Feind‘ ist immer noch ein wichtiger Aspekt zur Prävention. So erforschen Professor Thomas Schmidt und sein Doktorand Raphael Hiesgen im Department Informatik der HAW Hamburg etwa den „Log4Shell incident“, der als eine der weitreichendsten Sicherheitslücken in der Geschichte des Internets für viel Aufmerksamkeit sorgte. Ende 2021 wurde eine Softwareschwäche im Hilfsprogramm Log4j bekannt. Dieses auf der weit verbreiteten Java-Technologie basierende Programm soll eigentlich nur protokollieren, was auf einem Computerserver passiert, bot Hackern jedoch die Möglichkeit, Java-basierte Webserver weltweit zu übernehmen, darunter die von großen Unternehmen und Services wie Minecraft, Twitter und Cisco. 

„Das Perfide an der Situation war, dass keine Interaktion nötig war, um Zugang zu den Rechnern zu erhalten, wie das sonst beispielsweise bei Phishing-Mails der Fall ist“

Der „Log4Shell incident“ wurde von einem Sicherheitsingenieur des Unternehmens Alibaba entdeckt, der die Schwachstelle am 24. November 2021 meldete. Den darauffolgenden globalen Großangriff haben Schmidt und Hiesgen zusammen mit Professor Matthias Wählisch und Marcin Nawrocki von der Freien Universität Berlin in der Analyse „The Race to the Vulnerable: Measuring the Log4j Shell Incident“ publiziert. „Das Perfide an der Situation war, dass keine Interaktion nötig war, um Zugang zu den Rechnern zu erhalten, wie das sonst beispielsweise bei Phishing-Mails der Fall ist“, erläutert Raphael Hiesgen. „Ein unabsichtlicher Zugang in der Programmierung ermöglichte es nicht authentifizierten Benutzern, Codes remote auszuführen.“ Erste Angriffe verbreiteten Botnet- und Kryptomining-Malware, also eine spezielle Schadsoftware, die auf die Rechenleistung fremder Rechner zugreift, um Kryptowährung zu schürfen. Weitere Angriffe zielten auf Passwörter und vertrauliche Informationen ab oder nutzten die Gelegenheit zur Einspeisung von „Ransomware“, die sämtliche Daten auf dem Rechner verschlüsselt und diese erst gegen die Zahlung eines Lösegelds freigibt. 

„Der typische Angreifer im Netz ist dumm. Aber er nutzt Tools, die von weitaus clevereren Akteuren gebaut werden – und wird so gefährlich“

Doch nicht nur Hacker wurden aktiv, parallel zu den Angriffen wurde unter Hochdruck an der Entwicklung passender Patches zur Behebung der Sicherheitslücke gearbeitet – es kam zum „Race to the Vulnerable“. Herauszufinden, wer wann und wie aktiv wurde, war Ziel des Projekts. Unterschieden wurde zwischen gutartiger (benign) und bösartiger (malicious) Aktivität sowie solcher mit unbekannter Motivation. „Nicht nur war die Zahl der Angriffe in den Wochen nach Bekanntwerden der Sicherheitslücke wesentlich größer, unsere Untersuchungen zeigen auch eine rasche Abnahme des Interesses seitens wohlmeinender Akteure“, so Schmidt. Ganz im Gegensatz zu den Aktivitäten der verschiedenen Hacker. „Log4j war eines der am häufigsten eingesetzten Open-Source-Programme der Welt und auch die entwickelten Patches wurden wiederum freizugänglich zur Verfügung gestellt. Doch das bedeutete, betroffene Nutzer mussten selbst aktiv werden. Das verlängerte vielfach das Zeitfenster für Angriffe“, erklärt Hiesgen. Auch die Art der Angriffe, also die genutzten Tools, hat das Projektteam analysiert und festgestellt, dass die besonders großen Angriffswellen wahrscheinlich durch die Bereitstellung spezieller Tools ermöglicht wurden. „Das ist ein weiteres kriminelles Geschäftsfeld im Darkweb. Der typische Angreifer im Netz ist dumm. Aber er nutzt Tools, die von weitaus clevereren Akteuren gebaut werden – und wird so gefährlich“, weiß Schmidt.

In ihrer globalen Analyse stellten die Wissenschaftler zudem fest, dass die Angreifer für ihre Aktivitäten durch die Welt reisten. „Wir haben eindeutige Cluster nacheinander in Brasilien, Polen oder den USA festgestellt“, so Schmidt und erklärt den Hintergrund: „Sobald Angriffe entdeckt werden und die dazugehörige Adresse identifiziert ist, wird diese gesperrt – und die Hacker ziehen weiter.“ Schmidt und seine Kollegen konnten die ‚Reisetätigkeit‘ einer Angreifergruppe bis zum Oktober 2022 verfolgen. Dann stoppte die Aktivität plötzlich. „Ob die Angreifer aufgeflogen sind oder es sich für sie einfach nicht mehr lohnte weiterzumachen – wir wissen es nicht.“ Sicher ist nur: Das Rennen ist gelaufen. 

Das Projektteam konnte beim „Log4Shell incident“ Verfahren und Werkzeuge in Anwendung bringen, die ursprünglich aus anderen Gründen entwickelt wurden, sich aber nun für die Analyse als ausgesprochen erfolgreich erwiesen haben – und somit sicher auch für weitere Forschungsvorhaben eingesetzt werden könnten.

Text: Yvonne Scheller 

x