Anzeichen für die Proliferation von Schadsoftware

Eines der Forschungsthemen am hiesigen Institut betrifft die Non-Proliferation von Waffentechnologien, also die Eingrenzung der Weiterverbreitung von Waffen-Technologien sowie Waffen-fähigen Materialien. Grundsätzlich unterscheidet man in vertikale und horizontale Proliferation:

Unter vertikaler Proliferation versteht man die Weiterentwicklung und Verbesserung vorhandener Kapazitäten durch militärische Forschung und Entwicklung. Unter horizontaler Proliferation kann man all die Prozesse zusammenfassen, bei denen sich Staaten oder nulstaatliche Akteure Waffenarsenale zulegen, ohne sie vorher besessen zu haben. Horizontale Proliferation hat somit einen stark geografischen, industriepolitischen Nachahmungseffekt, während vertikale Proliferation sich stark auf die militär-technologische Verbesserung stützt.

Die Proliferation wird dabei als eines der Hauptprobleme internationaler Sicherheit betrachtet, weil diese Dynamik zum einen neue Konfliktlinien heraufbeschwört wenn weitere Staaten in den Besitz von neuer Waffentechnologien gelangen,  zum anderen aber auch, weil im Zuge der Ausbreitung oft das Bedrohungspotential sub-staatlicher Akteure zunimmt. Bei aller Unvollkommenheit des Kontruktes der internationalen Sicherheit gibt es bei staatlichen Akteure zumindestens die Möglichkeit der Diplomatie und der Vereinbahrung von Regularien und Abkommen zur Eingrenzung des Gefahrenpotentials. Für sub-staatliche Akteure gilt dies zumeist nicht. Vor diesem Hintergrund werfen die neuen Technologie wie die Entwicklung bewaffneter Drohnen oder die Militarisierung des Cyberspace mit der Entwicklung von „Cyberwaffen“ die Frage des Proliferationspotentials solcher Technologien auf, ebenso wie die Möglichkeiten für Ansätze der Non-Proliferation und Rüstungskontrolle.

Vor diesem Hintergrund ist ein aktueller Bericht über Cyberattacken mit Hilfe des Mirai-Botnetzes (lokale Kopie) interessant. Das Mirai-Botnetz ist bereits seit einiger Zeit aktiv und war unter anderem im vergangenen Jahr in den mehrstündigen Ausfall des Telekom-DSL-Netzwerkes verwickelt. Ende des vergangenen Jahres wurde der Quellcode für den Betrieb des Botnetzes veröffentlicht. Der jetzt entdeckte Angriff ist den Analysten zufolge eine technische Weiterentwicklung der Mirai-Software und vermutlich bislang nicht in Erscheinung getretenen Angreifern zuzurechnen. Die neu in Mirai implementierte Angriffsmethodik wird für DDoS-Attacken auf der Anwendungsebene von Netzwerkprotokollen (dem sog. Application Layer Attack) eingesetzt, eine Methodik die den Analysten zufolge ungleich schwerer zu entdecken und zu bekämpfen ist.

Ever since the Mirai source code was made public last year, we’ve seen offenders continue to evolve the malware’s capabilities to expand its range and launch more elaborate and impactful assaults. (..) Looking at the bigger picture, this variant of Mirai might be a symptom of the increased application layer DDoS attack activity we saw in the second half of 2016. (..) That said, with over 90 percent of all application layer assaults lasting under six hours, an  attack of this duration stands in a league of its own.

Angesichts der bereits bestehenden Schwierigkeiten den Cyberspace mit den  etablierten Regeln und Prozessen des Völkerrechts und der internationalen Sicherheit in Richtung einer friedlichen Entwicklung zu bewegen weisen die Ergebnisse der obigen Studie nun auch deutlich auf Proliferationsprozesse in dieser neuen Domäne hin.