Wenn
man eine Schadsoftware basteln wollen würde, die in die Steuerung
von Gasturbinen derart eingreift, dass sie die Gleitlager der
Turbinen zerstört oder zumindest schädigt, wie würde man da
vorgehen? Wie würde man das Projekt aufsetzen? Machen wir einmal ein
kleines Projektlayout. Man würde mal einige Projektmitglieder um
sich versammeln wollen. Da bräuchte man die IT-Security-Spezialisten
(nicht so wohlwollend Hacker genannt), damit man das Schadprogramm
auch auf die gewünschten Zielrechner bekommt – nehmen wir mal die
themenbezogen Besten: Israelis. Projektleitung würde natürlich aus
dem Auftraggeberland kommen, die sind ja für ihre pragmatische
Targetorientierung bekannt. Am Besten noch mit familiären Bezügen
zu Israel – und Amerika. Weiters bräuchte man das Know How über
die Zentrifugensteuerungen, am Besten vom Produzenten selber. Nehmen
wir an, dass auch bei diesen Produkten einer der Weltmarktführer ein
deutsches Unternehmen ist, sagen wir der Einfachkeit halber Siemens.
Da Siemens auch noch ein ganzes Schippl an Sublieferanten hat auch
noch ein paar von denen – also alles Deutsche. Das ist sozusagen
das Grundgerüst aus der Softwareentwicklungsecke. In einem weiteren
Schritt sollte man die Software aber auch testen. Eine Teststellung
muss her.
Diese
Projektphase ist schon etwas sensibler. Die kann man nicht mehr im
stillen Kämmerlein betreiben. Da muss man im Echtbetrieb
Funktionalität und Wirkung des Schadprogramms ausprobieren und vor
allem optimieren. Jetzt sollte jeder davon ausgehen, dass seit den
Erfahrungen mit Tschernobyl niemand gerne seine Atomkraftwerke gerne
für gezielte Angriffstests zur Verfügung stellt. Also sollte man
doch eher einen Testreaktor dafür nehmen. Noch besser gepaart mit
dem Maximum des Wissens über die realen Gegebenheiten in den
Zielreaktoren. Wer durfte da schon mal einen professionellen Blick
darauf werfen und hat auch das Know How dafür, die Feinheiten zu
verstehen? Nehmen wir am Besten Inspektoren der IAEA. Wer wenn nicht
die kennt die Zielreaktoren und die restliche Infrastruktur von innen
im Detail?
So
– jetzt müssten wir diese unterschiedlichen Gruppen auf einem
Haufen zusammenbringen und eine Netzinfrastruktur und ein paar
ordentliche Hobeln irgendwo aufbauen wo sie von niemanden beobachtet
oder hinterfragt werden können. Vielleicht in der Abgelegenheit
eines Truppenübungsplatzes? Mit einer offiziellen militärischen
Infrastruktur als Schnittstelle zur Projektaussenwelt. Alles von den
Speziallisten für Personen- und Objektschutz bewacht. Dort wo sie
niemand vermuten würde. Auf neutralem Boden. Was niemand vermutet,
dass man sich mit solchen Projekten auch gleich ein ganz ordentliches
Backdoor aufmachen läßt. Geheim und von hinten ist man schon sehr
offen – und was ein echter geheimer Hacker ist, haut schon mal
seinen kleinen Dietrich überall rein wo er nur kann. Man kann ja nie
wissen wo man in Zukunft noch mal reinwill. Der geöffneten
Infrastruktur gibt man dann noch eine Goldmedaille für ihre
Cyberkriegsabwehrfähigkeiten, damit sie auch ja niemand anderen
reinlassen. Nach getaner Arbeit schwirren wieder alle mit den
zweimotorigen Chessnas vom Flughafen Bad Vöslau ab.
Jetzt
sind die social engineers dran um mal die richtigen Türen über
Flame vorzubreiten und später dann die Cyberdrohne Stuxnet auf die
Reise in sein Ziel zu schicken. Kleine Informationslücken werden mit
Autobomben geschlossen. Ein nettes Projekt im Großen und Ganzen.
Lustige Spielchen der Mächtigen und deren geldgeilen
wirtschaftlichen Erfüllungsgehilfen. Alle sind zufrieden, die paar
Toten sind halt der Preis dafür, dass hier die Verfassung von uns so
rechtsstaatlichen Ländern verteidigt wird. Und straffrei kleine
Kinder vergewaltigt werden – Juhuuu – so ein geiles Projekt.
DI
Mathias Gruböck Seminyak, 04.07.2013