{"id":25368,"date":"2020-10-08T14:28:41","date_gmt":"2020-10-08T12:28:41","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=25368"},"modified":"2020-10-08T14:28:41","modified_gmt":"2020-10-08T12:28:41","slug":"pied-piper-hamelin","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/pied-piper-hamelin\/25368\/","title":{"rendered":"Cyberwaffen und der Rattenf\u00e4nger von Hameln"},"content":{"rendered":"

Trotz der g\u00e4ngigen Meinung wurden M\u00e4rchen und Volkslegenden nicht nur zur puren Unterhaltung erfunden, sondern auch, um Kindern (und Erwachsenen gleicherma\u00dfen) spielerisch wichtige Lektionen zu erteilen. In der Hoffnung, unser heutiges Internet sicherer zu machen, haben M\u00e4rchenerz\u00e4hler deshalb seit jeher n\u00fctzliche Cybersicherheitstipps in ihren Geschichten versteckt. Ziemlich vorrausschauend, nicht wahr? So ist das M\u00e4rchen von Rotk\u00e4ppchen<\/a> beispielsweise eine Warnung vor MitM-Angriffen und Schneewittchen<\/a> eine Anspielung auf subventionierte APT-Angriffe. Die Liste weiterer M\u00e4rchen ist endlos<\/a>.<\/p>\n

Leider sind wir Menschen einfach gestrickt und tendieren oftmals dazu, ein und denselben Fehler immer wieder zu begehen \u2013 und ignorieren dabei selbst die lehrreichsten Lektionen, die uns zahlreiche M\u00e4rchen mit auf den Weg geben. Eines dieser M\u00e4rchen ist Der Rattenf\u00e4nger von Hameln<\/em>.<\/p>\n

Der Rattenf\u00e4nger von Hameln<\/h2>\n

Wie so oft bei alten M\u00e4rchen, wird ihre Geschichte meist in verschiedenen Versionen erz\u00e4hlt. Dennoch bleibt ihre Quintessenz immer gleich. Die Haupthandlung spielt sich ungef\u00e4hr so ab: Die Stadt Hameln wird von einer Rattenplage heimgesucht, die die Essensvorr\u00e4te frisst und Menschen und Haustiere gleicherma\u00dfen angreift. Die Ratten sind Plagegeister f\u00fcr die Stadt.<\/p>\n

Angesichts der Tatsache, dass die \u00f6rtliche Regierung nichts gegen die Ratten unternehmen kann, beauftragt sie einen Experten, einen kunterbunt-gekleideten Rattenf\u00e4nger, der die Ratten mit einer Zauberpfeife aus der Stadt und in einen Fluss lockt, wo sie letztendlich ertrinken.<\/p>\n

Der B\u00fcrgermeister der Stadt weigert sich jedoch danach, seinen Teil der Abmachung zu erf\u00fcllen. Die Verg\u00fctung f\u00fcr den Rattenf\u00e4nger stellt sich als wesentlich niedriger heraus, als im Vertrag vorgesehen war. Der Rattenf\u00e4nger hingegen sagt nichts dazu. Stattdessen r\u00e4cht er sich, in dem er nochmals seine magische Pfeife spielt. Doch diesmal folgen ihm die Kinder von Hamel raus aus der Stadt, wie es auch die Ratten davor taten.<\/p>\n

Das Ende der Geschichte h\u00e4ngt oft damit zusammen, wo der Erz\u00e4hler gelebt hat und wie optimistisch er die Geschichte gestalten wollten, doch von einem Happy-End gingen die wenigsten aus. Entweder ertranken die Kinder wie die Ratten in der Weser oder verschwanden spurlos auf dem Koppenberg. Beim gl\u00fccklichen Ende f\u00fchrt der Rattenf\u00e4nger die Kinder \u00fcber die Berge hinweg in ein weitentferntes Land, wo sie eine Stadt gr\u00fcndeten.<\/p>\n

Die Bedeutung hinter der Allegorie<\/h2>\n

Komischerweise wird dem Ereignis ein exaktes Datum zugeschrieben, und zwar der 26. Juni des Jahres 1284. Die Erz\u00e4hlung wurde erstmals 1375 in den Stadtchroniken aufgenommen und wurde seither oftmals umgeschrieben und anders nacherz\u00e4hlt, wodurch die Geschichte weitere Details und Ausschm\u00fcckungen erhielt. Die meisten davon waren klar politisch oder religi\u00f6s motiviert. Einige Versionen konzentrieren sich auf die Gier der Stadtbewohner, w\u00e4hrend andere die Figur des Rattenf\u00e4ngers verteufeln. Wir \u00fcberspringen die mittelalterlichen Vorurteile und setzen unseren Schwerpunkt auf die Fakten.<\/p>\n

Angriffe auf Hameln<\/h3>\n

So wie wir es sehen, wurde die Infrastruktur von Hameln von b\u00f6sartigen Akteuren angegriffen. Sie rei\u00dfen sich Sachverm\u00f6gen (Getreide) und Informationen (juristische Dokumente) unter den Nagel und bedrohen die \u00f6rtlichen Bewohner.<\/p>\n

Keinerlei detaillierte Beschreibung des Angriffs hat \u00fcberlebt, doch es ist sehr wahrscheinlich, dass die Angreifer als Ratten bezeichnet wurden, da sie RATs, also Remotezugrifftools bzw. -trojaner verwendet haben. Generell k\u00f6nnen solche Tools\/Trojaner f\u00fcr alle Arten b\u00f6swilliger Aktivit\u00e4ten verwendet werden, da sie dem Angreifer uneingeschr\u00e4nkten Zugang zum System des Opfers geben.<\/p>\n

Der angeheuerte Spezialist<\/h3>\n

Als erstes versuchen die Stadtbewohner einen Katzen-basierten Ansatz, um ihre Endpoints zu sch\u00fctzen. Die Methode erweist sich jedoch als ineffektiv, sodass sie einen Drittanbieter beauftragen, der die Schwachstellen der RATs des Angreifers kennt. Er erstellt eine wirksame Cyberwaffe, um die Schwachstellen der RATs auszunutzen und dadurch die Rechner des Angreifers in ein Botnet verwandelt. Da alle Rechner von der Waffe erfasst werden, neutralisiert der Experte die Bedrohung.<\/p>\n

Zivilisten im Visier<\/h3>\n

Nachdem der RAT-Angreifer besiegt wurde, erf\u00fcllen die Beh\u00f6rden nicht den Teil ihrer Vereinbarung mit dem Spezialisten. Viele Versionen der Geschichte nennen finanzielle Meinungsverschiedenheiten, aber das l\u00e4sst sich nat\u00fcrlich nicht \u00fcberpr\u00fcfen. Wie auch immer, es stellt sich heraus, dass die gleiche Schwachstelle auch in den Ger\u00e4ten der Stadtkinder vorhanden ist.<\/p>\n

Leider bietet das M\u00e4rchen keine technischen Details zu der Tatsache, dass derselbe Angriff gegen RAT-Angreifer auch gegen die gew\u00f6hnliche Bev\u00f6lkerung funktioniert. Wir gehen davon aus, dass es sich bei der Schwachstelle um eine allgegenw\u00e4rtige Schwachstelle handelt, die z. B. ein Netzwerkprotokoll auf Anwendungsniveau<\/a> betrifft, das f\u00fcr den Remotezugriff verwendet wird.<\/p>\n

Es ist auch nicht wirklich klar, wieso die \u201eErwachsenen\u201c des M\u00e4rchens nicht von der Schwachstelle betroffen sind. Vielleicht bezieht sich das Wort \u201eKinder\u201c nicht auf Minderj\u00e4hrige, aber auf eine neue Generation von Ger\u00e4ten mit einem neuen Betriebssystem, das eine Schwachstelle nach einer fehlerhaften Aktualisierung des genannten Protokolls entwickelt hat.<\/p>\n

So oder so, endet das M\u00e4rchen in einer Trag\u00f6die: Der Pfeifer setzt den gleichen Botnet-Trick gegen die Kinder der Stadt ein.<\/p>\n

Der Rattenf\u00e4nger von Hameln der Gegenwart<\/h2>\n

Die Geschichte erinnert an die Hackergruppe Shadow Brokers und den EternalBlue Exploit-Leak, welche wiederum zum WannaCry-Ausbruch<\/a> sowie anderen Ransomware-Epidemien gef\u00fchrt haben. Wenn ich das M\u00e4rchen des Rattenf\u00e4ngers von Hameln kurz nach dem EternalBlue-Leak gelesen h\u00e4tte, h\u00e4tte ich den Vorfall zweifellos als einen allegorischen Bericht verfasst. Die Handlung der Geschichte ist n\u00e4mlich identisch: Eine Regierung stellt die Entwicklung einer m\u00e4chtigen Cyberwaffe in Auftrag, die danach unerwartet gegen die B\u00fcrger desselben Landes gerichtet wird.<\/p>\n

Wir k\u00f6nnen diese bemerkenswerte \u00c4hnlichkeit zwischen dem M\u00e4rchen und den Angriffen auf die Natur der menschlichen Geschichte zur\u00fcckf\u00fchren, da sie sich gerne wiederholt. Denn offensichtlich waren sich die deutschen IT-Sicherheitsexperten des 16. Jahrhunderts bereits des Problems bewusst. Mit dem M\u00e4rchen versuchten Sie uns, ihre Nachkommen, vor den Gefahren staatlich gef\u00f6rderter Cyberwaffenprogramme zu warnen, die sich eines Tages gegen zivile Nutzer richten k\u00f6nnten, und zwar mit b\u00f6sen Folgen.<\/p>\n\n","protected":false},"excerpt":{"rendered":"

Die Legende um den Rattenf\u00e4nger von Hameln wurde schon vorher als Allegorie f\u00fcr echte, tragische Ereignisse verwendet. Hier ist unsere.<\/p>\n","protected":false},"author":700,"featured_media":25369,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1848,3107,3108],"tags":[3250,1238,3395,1871,404],"class_list":{"0":"post-25368","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-botnets","11":"tag-cyberwaffen","12":"tag-marchen","13":"tag-rat","14":"tag-wahrheit"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/pied-piper-hamelin\/25368\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/pied-piper-hamelin\/21970\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/pied-piper-hamelin\/17448\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/pied-piper-hamelin\/23414\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/pied-piper-hamelin\/21602\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/pied-piper-hamelin\/20244\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/pied-piper-hamelin\/24032\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/pied-piper-hamelin\/23023\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/pied-piper-hamelin\/29208\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/pied-piper-hamelin\/8896\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/pied-piper-hamelin\/37240\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/pied-piper-hamelin\/15775\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/pied-piper-hamelin\/16229\/"},{"hreflang":"zh","url":"https:\/\/www.kaspersky.com.cn\/blog\/pied-piper-hamelin\/12081\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/pied-piper-hamelin\/29337\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/pied-piper-hamelin\/26190\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/pied-piper-hamelin\/22966\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/pied-piper-hamelin\/28255\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/pied-piper-hamelin\/28090\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/marchen\/","name":"M\u00e4rchen"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/25368","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/700"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=25368"}],"version-history":[{"count":16,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/25368\/revisions"}],"predecessor-version":[{"id":25415,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/25368\/revisions\/25415"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/25369"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=25368"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=25368"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=25368"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}