Cybersicherheitsreport aus Mittelerde

5 Mrz 2019

Einige lesen J. R. R. Tolkiens Meisterwerke zur persönlichen Unterhaltung, während andere sie als tiefgründige, christliche Philosophie oder sogar als Propaganda bezeichnen. Ich persönlich sehe in seinen Werken Parabeln zur Cybersicherheit; und das liegt übrigens nicht ausschließlich daran, dass diese mich in den letzten Jahren auf Schritt und Tritt begleiten.

Wussten Sie eigentlich, dass Tolkien kurz vor Ausbruch des Zweiten Weltkriegs an der British Government Code and Cypher School zum Kryptoanalytiker ausgebildet wurde? Bei der GC&CS handelt es sich übrigens um den Sicherheitsdienst, der die Codes der Enigma – die deutsche Standard-Maschine für Verschlüsselungen im Zweiten Weltkrieg – erfolgreich knacken konnte. Später taufte man die britische Regierungsbehörde auf den Namen Government Communications Headquarters; ihre Zuständigkeit gilt der Signalaufklärung und Informationssicherung der britischen Regierung und Streitkräfte. Tolkien vereinte also die Fähigkeiten eines studierten Sprachwissenschaftlers und, mehr oder weniger, ausgebildeten Kryptoanalytikers; zwei Eigenschaften, die erforderlich waren, um feindliche Chiffren entschlüsseln zu können. Hier ist also definitiv von Informationssicherheit die Rede; demnach ist Tolkien also gewissermaßen ein geschätzter Kollege von uns.

Die Ringe der Macht

Der Roman „Der Herr der Ringe“ handelt hauptsächlich von der Vernichtung des Einen Ringes, der von Sauron erschaffen wurde, um die Weltherrschaft gewaltsam an sich zu reißen; dieser allmächtige Ring überwacht und beherrscht weitere 19 Ringe: die drei Ringe der Elben, die sieben Ringe der Zwerge und die neun Ringe der Menschen. Die Protagonisten des Romans befürchten, dass Sauron mithilfe des Einen Ringes die Weltmacht erlangt und der gesamten Bevölkerung seinen Willen aufzwingt. Klingt auf den ersten Blick nach reiner Fantasie; doch wenn man etwas genauer hinsieht, wird einem klar, dass es sich hierbei um echte Science-Fiction handelt.

Drei Ringe den Elbenkönigen hoch im Licht

Damals als Kind erschien mir die Geschichte der Elben-Ringe am unverständlichsten. Angeblich von den Elben selbst geschmiedet, blieben die Ringe zwar von Saurons Hand unberührt, waren dem Einen Ring aber dennoch untertan. Aus diesem Grund hielten die Elben ihre Ringe immer sicher versteckt.

Betrachtet man die Situation aus einer modernen Perspektive und bringt sie mit der Informationssicherheit in Verbindung, kommt Folgendes dabei heraus:

  • Die Elben stellen firmenintern drei Geräte her;
  • Die Firmware dieser Geräte wird mit einem von Sauron entwickelten SDK erstellt;
  • Die Adresse des C&C-Centers des Einen Ringes ist auf den Ringen hardkodiert;
  • Die Elben wissen dies und gehen besonders vorsichtig mit der Verwendung ihrer Geräte um, während Sauron den C&C-Server kontrolliert.

Mit anderen Worten, handelt es sich hierbei um einen klassischen Supply-Chain-Angriff. Nur in diesem Fall konnten die Elben die Bedrohung rechtzeitig erkennen, um die gefährdeten Geräte vorsorglich außer Betrieb zu setzen.

Sieben den Zwergenherrschern in ihren Hallen aus Stein

Die Sieben Ringe wurden den Zwergenherrschern von Sauron persönlich übergeben. Die Zwerge hatten diese angeblich genutzt, um nach und nach Wohlstand anzuhäufen. Dem Roman zufolge sind die Träger der Ringe Saurons Kontrolle zwar nicht direkt erlegen, wurden durch seinen Einfluss aber zunehmend habsüchtiger. Indem er ihre Gier und ihren Zorn beeinflusste, gelang es Sauron, die sieben Zwergenfürsten zu stürzen.

Leider gingen die Sieben Ringe lange vor den in „Der Herr der Ringe“ beschriebenen Ereignissen verloren, sodass eine forensische Analyse dieser Geräte nicht möglich ist. Aber das „Ausnutzen von Habgier“ ist eine typische Phishing-Technik. Cyberkriminelle manipulieren die Art und Weise, wie Geräteinhaber Informationen wahrnehmen, was letztendlich zu Ihrem Untergang führt. Wenn das kein Phishing-Angriff ist, was dann?

Den Sterblichen, ewig dem Tode verfallen, neun

Hier gibt es nicht viel zu erklären. Sauron übergab die Neun Ringe an Normalsterbliche. Die Träger wurden zu großen Königen, mächtigen Zauberern und unbesiegbaren Kriegern, verloren aber letztlich ihren eigenen Willen und verwandelten sich in Saurons Marionetten. Mit anderen Worten: ein Botnetz.

Interessanterweise scheint das Nazgûl-Botnetz über ein Backup-Kontrollprotokoll zu verfügen, denn selbst nachdem er den C&C-Server verloren hatte, konnte Sauron seinen Ringgeistern Befehle erteilen.

Einer dem Dunklen Herrscher auf Dunklem Thron

In unserer Enzyklopädie wird ein C&C-Server als Server bezeichnet, über den Cyberkriminelle Botnetze steuern, böswillige Befehle senden und Spyware verwalten können. Ist es bei dem Einen Ring anders?

Wird der Eine Ring zerstört, verlieren alle untergeordneten Ringe ihre Macht. Möglicherweise wurde in die Firmware eine periodische C&C-Verfügbarkeitsprüfung und ein Selbstzerstörungsmechanismus integriert, der bei Verlust der Kommunikation aktiviert wird. Ein solches Verhalten ist unseren Cyberbedrohungs-Analysten durchaus bekannt, denn Cyberkriminelle verwenden häufig Selbstzerstörungsmechanismen, um der Forensik Steine in den Weg zu legen.

Ein Ring sie zu knechten, sie alle zu finden, ins Dunkle zu treiben und ewig zu binden.

Diese Schlusslinien sind nicht umsonst auf der Innenseite des Rings eingraviert. Wissen Sie noch, warum der Eine Ring auch als Isildurs Fluch bezeichnet wird? Der Ring rutschte Isildur vom Finger, als er versuchte, den Fluss zu überqueren. Auch Gollum hat seinen „Schatz“ verloren. Und das alles, weil es sich bei der Inschrift auf dem Ring um eine Anweisung handelt. Eine, die scheinbar falsch übersetzt oder vollkommen ignoriert wurde.

Die ursprüngliche Ringgravur lautet wie folgt:

Ash nazg durbatulûk, ash nazg gimbatul,
Ash nazg thrakatulûk agh burzum-ishi krimpatul.

Das letzte Wort, krimpatul, wird für gewöhnlich mit „binden“ übersetzt. Aber das Binden von Ringen ist eine ziemlich sinnlose Aufgabe, nicht wahr? Was ist, wenn es sich dabei nicht um Schwarze Sprache handelt, sondern um eine grobe Umschreibung eines „Crimp-Tools“, das allen IT-Spezialisten sehr bekannt ist?

Wenn dem so ist, meint die Inschrift eigentlich, dass der Ring gecrimpt werden muss; deshalb ist er auch von Isildurs Finger gerutscht. Die Moral von der Geschichte ist also, dass die gesamte Dokumentation mit Gollum-ähnlicher Hingabe gelesen und übersetzt werden muss; ganz egal wie kurz und einfach sie auch sein mag.