«Diese Vorgehensweise ist grundsätzlich nicht neu. Der Sicherheits-Trend geht seit eineinhalb Jahren in Richtung mehr Resilienz in den Systemen. Das umfasst neben Verbesserungen der passiven Massnahmen auch aktives Eingreifen», sagt Alexander Klimburg vom Österreichischen Institut für Internationale Politik gegenüber pressetext.

Mehrere Vorgehensweisen

Die Bandbreite der aktiven Massnahmen ist hoch. «Von Marketingkampagnen zur Imageverbesserung, die Gruppen wie Anonymous abhalten sollen, über Mitarbeiterüberwachung - viele Firmen lesen die E-Mails ihrer Angestellten - bis zum Versuch, tatsächlich zurückzuschlagen», erklärt Klimburg. Bei einem tatsächlichen Gegenangriff werden jedoch zumeist Gesetze verletzt.

«Auch hier gibt es im Wesentlichen zwei Motive. Zum einen wird versucht, von Angreifern gehackte Server zurückzuhacken, um die Hintermänner auszuforschen. Die andere Möglichkeit ist, dass Firmen tatsächlich aktiv einen Cyber-Kampagne führen, um der Konkurrenz zu schaden. Beides ist illegal», so Klimburg. In den USA hat ein Forscher bei einem der ersten grossen chinesischen Angriffe auf mehrere US-Unternehmen seinen Job verloren, weil er bei seinen Nachforschungen die Grenze der Legalität übertreten hat.

«Selbst die Polizei ist zu solchen Massnahmen nicht ohne Weiteres berechtigt», so der Experte. Neben der rechtlichen Situation kann die Selbstjustiz auch andere Gefahren mit sich bringen. Das Unternehmen Blue-Frog versuchte vor einigen Jahren, Spammer mit ihren eigenen Waffen zu schlagen. 2006 musste das Angebot eingestellt werden, weil Mitarbeiter bedroht wurden und eine gezielte Schmutzkübel-Kampagne gegen die Firma gestartet wurde. «Es gibt eine ganze Branche, die mit aktiver Cyber-Security Geld verdient», sagt Klimburg.

Keine Besserung in Sicht

Gefährlich wird es, wenn Unternehmen gezielt versuchen, sich gegenseitig zu schaden. «Der Versuch einem Eindringling auf die Schliche zu kommen, kann manchmal Sinn machen. Sollte es aber normal werden, dass Firmen sich durch Angriffe kommerziellen Schaden zufügen wollen, wird es gefährlich. Schon jetzt handelt es sich bei einem grossen Teil der Cyber-Kriminalität um Auftragsarbeiten. Gerade im Bereich Research und Development erhoffen sich Unternehmen dadurch einen Vorteil», so Klimburg.

Auch grosse US-Internetfirmen haben das Heft nach Angriffen schon selbst in die Hand genommen. Im Januar offenbarte Facebook die Identitäten der russischen Hintermänner der Schadsoftware Koobface, die Spam über diverse soziale Netzwerke verbreitet hatte. «Unternehmen, deren Kunden mit ihren Daten zahlen, sollten Angreifer öfter preisgeben. Sie leben schliesslich vom Vertrauen der Nutzer. Für Transparenz zu sorgen, obwohl das Eingeständnis der Verwundbarkeit dem Image schadet, ist ein Fortschritt. Bei Service-Providern geschieht das noch zu wenig», sagt Klimburg.

Die eigenmächtige Ausforschung von Angreifern hat aber auch ihre Schattenseiten: «Es stehen auch die Grundrechte auf dem Spiel. Da kein System absolut sicher ist, bleibt den Firmen wohl nur die Möglichkeit, sich weiter durchzuwursteln», so der Fachmann.

(knob/pte)