Carsten Roemheld: Die jüngsten Sabotageakte auf Pipelines, Bahn- und Energienetze machen hellhörig. Die russische Hackergruppe ‚Killnet‘ ist Berichten zufolge hochaktiv und attackierte zuletzt unter anderem Webseiten von Flughäfen in den USA. Während die Ursachen von Angriffen auf Infrastruktur häufig ungeklärt bleiben, wachsen die Sorgen in der öffentlichen Wahrnehmung. Wie gefährdet sind Energienetze, Verkehrswege, Strom- und Wasserversorgung? Wie sehr müssen wir uns vor Cyberattacken fürchten? Wie sicher ist unser digital verwahrtes Geld? Was kann der Staat, was aber können auch Unternehmen und jeder Einzelne tun, um sich zu schützen? Und wie bereitet man sich eigentlich auf Versorgungsausfälle oder einen sogenannten Blackout vor?

Darüber sprechen wir mit Manuel Atug. Er ist IT-Sicherheitsberater und Gründer und Leiter einer ehrenamtlichen Arbeitsgruppe, die sich ‚AG KRITIS‘ nennt und zu der sich seit dem Jahr 2019 rund 40 Fachleute zusammengetan haben, um sich für mehr Sicherheit unserer kritischen Infrastrukturen einzusetzen. Herr Atug ist als Experte für das Thema ‚Hackback‘ bekannt. Damit bezeichnen Profis einen digitalen Gegenschlag nach einem Cyber- oder Hackerangriff.

Heute ist Mittwoch, der 18. Januar 2023, mein Name ist Carsten Roemheld, ich bin Kapitalmarktstratege bei Fidelity und ich freue mich sehr auf das kommende Gespräch mit Manuel Atug beim ersten Kapitalmarkt-Podcast von Fidelity im neuen Jahr.

Herzlich willkommen, Herr Atug!

Manuel Atug: Hallo!

Carsten Roemheld: Herr Atug, in jüngster Zeit sind wieder mal viele Fälle bekannt geworden, in denen Unternehmen oder Behörden zum Ziel von Cyberangriffen wurden. Hacker brechen in die IT-Systeme ein, erbeuten Datensätze, stellen Lösegeldforderungen. Sie sind Experte auf dem Gebiet der Cybersicherheit und deswegen gleich zu Beginn die eigentlich wichtigste Frage: Wie bewerten Sie die akute Sicherheitslage für Unternehmen und staatliche Institutionen in Deutschland?

Manuel Atug: Ungefähr genauso schlecht wie vor dem Krieg und vor der Pandemie. Denn die meisten machen nicht sichere Systeme und sicheren Betrieb, sondern einen günstigen Betrieb, einen gewinnorientierten Betrieb oder sagen eben: „Cybersicherheit ist Magie, das ist irgendwas wie Glitzer, Blockchain und KI oder was auch immer.“ Nur die Basissicherheitsmaßnahmen, die wirklich den Schutz bringen, werden nicht umgesetzt und demzufolge sieht die Cybersicherheitslandschaft in Deutschland wie auch weltweit grundsätzlich eher schlecht aus.

Carsten Roemheld: Das heißt, wir machen Hackern im Prinzip das Leben einigermaßen leicht, indem wir so vulnerable Systeme bei uns in der Infrastruktur haben, ja?!

Manuel Atug: Na ja, wir machen es allen Akteuren im Cyberraum sehr leicht; dann, wenn wir eben schwachstellenbehaftete Systeme betreiben, die aus dem Internet erreichbar sind, wenn wir Systeme nicht up to date halten, wenn wir die nicht warten und pflegen. Das Fahrzeug muss man alle zwei Jahre zum TÜV bringen. Wenn man merkt, die Bremse funktioniert nicht richtig, geht man aus Eigeninteresse zur Reparatur. Wenn eine Warnmeldungen anzeigt, dann kümmert man sich normalerweise drum.

Wenn aber die IT nicht funktioniert oder tatsächlich Angriffe erfolgen oder auch geglückt sind, dann zuckt man mit den Schultern und sagt, das waren irgendwie so total erfahrene Angreifer und wir waren Opfer. Aber die meisten fragen sich nie: Waren wir vielleicht grob fahrlässig, haben wir die Systeme nicht ordentlich betrieben, was müssten wir eigentlich tun dafür? Und gucken lieber darauf, wer sind die Täter, was sind die Strukturen und warum sind die böse zu mir, als zu sagen: Wie kann ich mich defensiv aufstellen und das Ganze absichern und dafür sorgen, dass ich eben nicht erfolgreich angegriffen werde? Und wenn doch, dass ein solcher Angriffsversuch oder ein solches Ereignis eben nicht zu einer Krise oder Katastrophe führt, sondern maximal zu einer Störung, weil ich eben entsprechende Maßnahmen ergriffen habe.

Carsten Roemheld: Jetzt hatten Sie von ‚Katastrophe‘ gesprochen: Welchen Schaden können denn Hacker bei einem Cyberangriff anrichten? Jetzt haben wir viel von solchen Ransomware- und Lösegeldforderungen gehört. Besteht denn auch bei einem erfolgreichen Angriff Gefahr für Leib und Leben?

Manuel Atug: Na, wir sehen ja in unregelmäßigen Abständen, dass Unternehmen, die einem Cyberangriff unterliegen, insolvent gehen und Insolvenz anmelden müssen oder eben viel, viel Geld investieren müssen für die Behebung dieser Schäden, die deutlich besser in eine Prävention und viel günstiger in eine Prävention investiert gewesen wären. Wir sehen bei den kommunalen und Landkreissystemen, die angegriffen werden und verschlüsselt werden und erpresst werden, dass die Daten veröffentlicht werden als sozusagen Erpressungserweiterung, als Teaser, nach dem Motto „Hier schaut mal, einen kleinen Teil des Datensatzes veröffentlichen wir mal, dass ihr auch seht, das ist wirklich wichtig und wertvoll“, und manchmal werden eben auch alle Daten veröffentlicht.

Und wenn das eben bei kommunalen oder Systemen der Verwaltung sozusagen geschieht, dann sind das tatsächlich lebensbedrohliche Szenarien für Leib und Leben der BürgerInnen, aber auch für die Unternehmen. Vielleicht zwei Beispiele: Für Leute, die Hartz IV oder sonstige Sozialleistungen ausgezahlt bekommen, und wenn das Fachverfahren eben auch mitverschlüsselt wurde und diese Auszahlung nicht mehr erfolgen kann, dann haben diese Leute, die an der Armutsgrenze leben, eben keine Möglichkeiten zu kompensieren, wie sie Essen und Trinken kaufen. Das ist dann tatsächlich lebensbedrohlich. Wenn Leute eine zweite Identität haben, weil sie beispielsweise beim Nachrichtendienst arbeiten, oder wenn sie im Kronzeugenschutzprogramm sind und eine zweite Identität erhalten haben und geschützt in einem neuen Ort leben und diese zweite Identität veröffentlicht wird, dann ist das Gefahr für Leib und Leben dieser Menschen.

Und als Unternehmen: Es gab beispielsweise im Landkreis Anhalt-Bitterfeld die ganzen KFZ-Händler, die gesagt haben, wir können jetzt keine KFZ mehr anmelden und wir verkaufen demzufolge auch keine mehr; denn die Leute kaufen nur KFZ, die auch angemeldet werden. Jetzt hat man gedacht, na ja, dann ist das alles defekt und verschlüsselt und kann nichts mehr gemacht werden, dann geht man zur Kommune nebenan und meldet halt da irgendwie eine Ersatzanmeldung an. Aber gesetzlich ist das gar nicht vorgesehen; das heißt, sie können das gar nicht machen. Da war dann relativ schnell auch die Frage: Wie viele Wochen und Monate soll das noch dauern, wie lange können wir überbrücken, gar nicht zu verkaufen und Pleite zu gehen und damit auch Insolvenz anzumelden? So ein KFZ-Händler hat ja auch durchaus ein Dutzend oder mehrere Dutzend MitarbeiterInnen und dann hängt halt einfach mal die gesamte Familie davon ab, von dem Wohlergehen, ob Cybersicherheit wirklich in dieser Kommune ernst genommen wurde oder nicht.

Wir haben ja schon Wiederholungstäter: wie die Stadt Potsdam, die zum zweiten Mal angegriffen wurde, erfolgreich; wo man sich schon fragen muss: Was haben wir eigentlich beim ersten Mal daraus gelernt? Und warum muss eigentlich niemand dafür haften und Rede und Antwort stehen und persönlich mal irgendwie dafür Sorge tragen, dass das alles so nicht weitergeht? Die zucken alle mit den Schultern und sagen: „Ja, war halt ein Angriff, ne!?“

Carsten Roemheld: Also, wenn jemand bisher geglaubt hat, dass das sozusagen ein Thema ist, das weit weg von einem persönlich ist, ich glaube, diese Beispiele haben hervorragend gezeigt, dass jeder von uns betroffen sein kann und dass deswegen auch jeder sich schützen muss. Jetzt noch ein Beispiel für eine etwas schwerwiegendere Sicherheitslage: Im Iran wurde ja 2010 die Atomaufbereitungsanlage Natanz attackiert. Wie groß ist denn die Sorge, dass es auch bei uns mal ein Atomkraftwerk tatsächlich treffen könnte?

Manuel Atug: Also eine Urananreicherungsanlage wie in Natanz ist ja schon mal ein ganz anderer Maßstab als ein Atomkraftwerk. Atomkraftwerke sind auch im produktiven Betrieb nicht ans Internet gekoppelt. Da gibt es einen sogenannten ‚Air Gap‘, also eine Luftbrücke, die Systeme sind nicht direkt mit dem Internet verbunden. Das war übrigens in Natanz auch der Fall.

Dieser Stuxnet-Schadcode wurde ja über Jahre von den Israelis und den Amerikanern entwickelt und über Jahre in verschiedenen Versionen in den Umlauf gebracht, aber konnte nicht in Natanz eingebracht werden. Am Ende musste man einen dritten Staat und nachrichtendienstliche Akteure aktivieren, sodass die Niederlande einen, ich glaube, pakistanischen Wissenschaftler in Natanz vor Ort eingeschleust haben, der einen USB-Stick reingesteckt hat, damit endlich die Schadsoftware da ihr Geschehnis tun kann. Aber das zeigt eben auch, dass solche Angriffe hochkomplex sind und sehr schwierig sind. Und es ist mehr oder weniger der einzige Fall, in dem tatsächlich ein physischer Schaden massiv bewirkt wurde.

Es heißt aber auch, man hat Natanz oder den Iran da vielleicht so ein halbes Jahr oder mehrere Monate zurückgeschmissen in der Entwicklung. Dafür, dass man viele Jahre und mit vielen 100 Millionen Dollar investiert hat, sogar eine Fabrikhalle genutzt hat, um einen baugleichen Aufbau zu machen der Komponenten, um das sozusagen zu erforschen, wie man das zerstören kann, das rechnet sich nicht so ganz. Und dieser Angriff ist jetzt verpufft, den kann man halt nicht noch mal nutzen.

Insofern sind solche Szenarien in der Theorie sehr schnell ein Thema bei, ich sag jetzt mal ‚alten weißen Männern aus der Rüstungsindustrie‘, die irgendwie auf bunten Powerpointfolien vom Cyberwar reden. In der Realität wirft Putin eben in seinem Angriffskrieg gegen die Ukraine Raketen und Granaten auf Stadtwerke oder auf Kraftwerke und hat ja auch ein Atomkraftwerk beispielsweise in der Ukraine beschossen; hat auch Tschernobyl bedroht, sozusagen den Angriff auch da teilweise durchgeführt.

Das heißt, kinetische Wirkmittel und kriegerische Handlungen sind tatsächlich das, was massiv bedroht und wirklich gefährlich ist. Naturereignisse, die zu Katastrophen ausarten können auch. Das haben wir ja auch in Fukushima erlebt. Und Cyberangriffe sind – noch glücklicherweise – eher hochkomplex zu orchestrieren, wenn man einen wirklichen, langanhaltenden und überregionalen oder auch wirklich physischen Schaden langfristig bewirken will.

Wenn man aber eben nicht auf staatliche Akteure schaut, sondern auf hochkriminelle Täterstrukturen, also organisierte Kriminalität, das sind dann die Ransomwareerpressungsbanden, die machen eben pro Jahr mehrere 100 Millionen Dollar Umsatz und der ist gleich Gewinn, weil steuerfrei. Das ist eine verdammt hohe intrinsische Motivation, da am Ball zu bleiben und zu überlegen, wie man eben durch solches Anteasern und Veröffentlichen der Daten ans Ziel kommt. Und die haben ja auch eine andere Zielsetzung. Die wollen ja nicht zerstören, die wollen nur verschlüsseln und übernehmen und sagen: „Wir können das aber jederzeit freischalten. Du kannst also sofort wieder arbeiten, wenn du uns das Geld gibst. Dann lassen wir dich in Ruhe.“

Wenn sie wirklich zerstören wollen würden, dann wäre ja der Bedarf, zu zahlen bei der Erpressung, nicht mehr vorhanden. Deswegen müssen die sehr gut aufpassen, dass sie sozusagen auch eine zerstörungsfreie Geiselnahme bewirken, aber auch eine sichere Verschlüsselung machen. Weil: Wenn die eben nicht gut entwickelt ist und nicht gut ausgebaut ist, hat es in der Vergangenheit [Fälle] gegeben, dass beispielsweise auch da die niederländische Polizeibehörde gesagt hat: „Hm, wir haben jetzt rausgefunden, wie diese Verschlüsselung funktioniert. Wir haben jetzt für alle Angegriffenen eine Funktionalität gebaut, dass die sich selbst wieder diese Entschlüsselung organisieren können bei uns auf der Webseite und einfach ihre Daten wieder entschlüsseln.“

Da haben diese organisierten Täterstrukturen verstanden: Wir brauchen sichere Softwareentwicklung, wir brauchen echt gute Kryptographie und Verschlüsselung und wir brauchen knallharte Business Cases, die nicht kompromittierbar sind. Ansonsten kommen uns die Polizeibehörden dazwischen und wir machen keinen Umsatz. Und seitdem haben diese Täterstrukturen eine wirklich gute Softwareentwicklung. Die sind ein Paradebeispiel dafür, wie man sichere Software entwickelt, wie man sichere Verschlüsselung einbringt. Also da könnte sich auch die freie Marktwirtschaft und der private Wirtschaftsbereich wirklich viele Scheiben von abschneiden, denn die haben wirklich gelernt, dass es sie ihren gesamten Business Case kostet, wenn sie schlecht entwickeln. – Leider! [lacht]

Carsten Roemheld: Wie ist denn die Aufteilung? Sie haben jetzt von diesen Täterstrukturen und Organisationen gesprochen, die nichtstaatlicher Natur sind. Also von den bekannteren Staaten, über die man spricht, werden ja meistens Russland, Iran, Nordkorea genannt. Wie ist denn die Aufteilung sozusagen? Kann man sagen, dass die staatlichen Akteure eher für die größeren Angriffe verantwortlich sind, während sich diese privaten Organisationen eher kleinere Ziele vornehmen? Oder wie kann man das beschreiben?

Manuel Atug: Also in der Ransomware-Entwicklung der letzten Jahre war es so, dass sie sich erst auf Privatmenschen und alles fokussiert haben. Dann haben Sie gelernt, dass Privatmenschen – salopp gesagt – zu blöd sind, sich Bitcoins zu kaufen und dann dahin zu überweisen, und es sehr mühselig ist, für 200 Dollar irgendwie die ganze Zeit mit jemandem wochenlang zu diskutieren. Und haben eben gesagt: „Na ja, gut, dann machen wir jetzt lieber Unternehmen. Das ist lukrativer und da kommt man besser zum Ziel.“

Dann gab es eine Zeit, wo es ein sogenanntes ‚Big Game Hunting‘ gab. Das heißt, die haben sich richtig große und fette Ziele ausgesucht, die dann allerdings so groß und so fett waren, dass eben auch die staatlichen Sicherheitsbehörden darauf aufmerksam geworden sind und auch die Unternehmen selbst, die eben auch selber viele Cybersicherheitsverteidigungsbereiche haben, also einen CERT-Betrieb, ein Operation Center oder verschiedene Threat-Intel-Analysten und so weiter. Und haben eben gemeinsam mit den staatlichen Strukturen und Behörden versucht, eben denen den Garaus zu machen oder sie eben zurückzuverfolgen.

Bei Verdacht auf Todesfolge, das gab es ja bei der Uniklinik Düsseldorf, eine Frau ist auf dem Weg zu einem anderen Krankenhaus, weil Düsseldorf einen Aufnahmestopp hatte, dann am Ende verstorben und die Staatsanwaltschaft hat ermittelt wegen Todesfolge, das hat dann auch noch mal ein anderes Kaliber. Es ist am Ende rausgekommen, dass es nicht wegen dem Cyberangriff sozusagen zur Todesfolge kam oder wegen dem Umleiten dieses Krankenwagens, sondern sie wäre sozusagen sowieso den Folgen erlegen. Aber das bringt natürlich Staatsanwaltschaften aufs Ziel. Es wird wegen Tötung oder was auch immer ermittelt und das hat ein anderes Kaliber.

Und deswegen ist dieses ‚Big Game Hunting‘ so ein bisschen eine Sackgasse gewesen und die haben gesagt, „Na ja, gut, die ganz dicken Fische, wo wir 50, 70 und mehr Millionen Dollar erpressen wollen, das skaliert nicht so gut mit der Verfolgung“, und konzentrieren sich dann eher auf beispielsweise Hochschulen, auf beispielsweise Verwaltungen, Krankenhäuser, weil die halt auch den Bedarf haben, sozusagen funktional zu sein, aber auch leichte Ziele sind. Und bedienen sich natürlich aller anderen Bereiche: KMU, die natürlich auch schnelles, gutes Geld sind, wenn sie da 50, 70, 100 Mitarbeiter haben oder 300 und auch ein paar Millionen oder viele 100.000 als Erpressung zahlen können. Die loten ja auch ihre Ziele aus. Die gucken also, wie viel Jahresbilanz haben die, wie viele Rechnungen stellen die, wie viel Geld fließt da so. Und dann taxieren die auch, wie viel Erpressungssumme die nehmen. Vorher war‘s so ein bisschen pauschalisiert, jetzt ist es sehr individuell. Man wird als VIP-Kunde behandelt, ja.

Diese Bandenstrukturen sind tatsächlich weltweit. Es gab eine sehr, sehr bekannte Tätergruppierung, die lange Zeit die Nummer eins war. Die haben auch eine Twitter-Meldung abgesetzt, dass, wer Russland angreift, davon ausgehen muss, dass sie die kritischen Infrastrukturen des jeweiligen Landes zurückangreifen und verschlüsseln würden. Und daraufhin gab es dann anscheinend intern einen Disput in dieser Gruppe von Kriminellen und es sind mehrere Gigabyte Daten aus den internen Chatsystemen und Kommunikationsstrukturen veröffentlicht worden, weil eben unter anderem mindestens eine Person entweder Ukrainer war oder Ukraine-pro eingestellt war und gesagt hat: „Ja nee, so gehen wir als Gruppe nicht um.“ Es gab auch eine andere Tätergruppierung, die gesagt hat: „Ja, liebe Leute, es gibt gerade einen Krieg in Russland, Ukraine und so … Also wir haben mit beiden nichts zu tun! Das ist uns alles völlig egal. Wir sind auch apolitisch, wir wollen nur Geld. Also wir sind nur auf Geld aus. Wir halten uns da völlig raus. Schönen Tag noch!“

Also da sieht man, dass das nicht spezielle Länder sind, sondern geldgierige Menschen, die dieses Gen haben der Kriminalität und da knallhart vorgehen. So.

Carsten Roemheld: Und wie oft kommt man den Tätern auf die Schliche? Es hört sich ja fast so an, als wären die immer einen guten Schritt voraus in gewisser Weise und die Behörden sind da ein gutes Stück benachteiligt. Kann man das so sagen?!

Manuel Atug: Na ja, das ist schwierig. Denn die Tätergruppierungen sind ja sehr stark vernetzt und im Cyberraum aktiv. Die sind auch sehr fähig und haben ja auch einen entsprechenden Business Case, dieses Interesse, die Befähigung hochzuhalten. Während unsere Sicherheitsbehörden – na ja, Beamte nine to five – schlecht bezahlt sind und auch nicht unbedingt die Cyberbefähigung in dem Ausmaß haben. Aber darüber steht ja auch ein Bundesinnenministerium, was alle drei Minuten krakeelt: „Wir brauchen Vorratsdatenspeicherung! Wir brauchen dies, das, jenes an offensiven Maßnahmen, an Hackback (also invasiven Eingriffen in fremde IT-Systeme)! Wenn uns jemand von einem System aus angreift und hackt, dann hacken wir zurück und zerstören dieses System!“

Das nennt man im Völkerrecht ‚Vergeltungsschlag‘ und das ist völkerrechtlich nicht zulässig. Und deswegen haben wir diese Art von Hackback in Deutschland noch nicht, obwohl das Bundesinnenministerium das wirklich sehr gerne hätte. Es ist halt völkerrechtlich illegal. So. Das ist also das Hauptproblem: dass da diese Forderungen im Raum stehen und diese Hoffnung da ist, dass man offensiv im Cyberraum sozusagen alles wegcybern kann und dann ist Frieden. Aber so funktioniert‘s nicht in einem weltweiten Cyberraum. Wir müssten ja alle Kriminellen im Internet komplett dingfest machen in deutschen Gefängnissen, die dann … überlaufen?! – Keine Ahnung! Und dann können wir in Frieden leben!? Das ist, glaube ich, ein komischer Ansatz.

Und wenn man sich so was wie die Vorratsdatenspeicherung mal anguckt, die ja schon vom Europäischen Gerichtshof mehrfach als verfassungsfeindlich kommuniziert wurde und gesagt wurde, gibt‘s nicht, außer in ganz speziellen Sonderfällen. Das Letzte war ja Ende letztes Jahr und da hat die Frau Faeser als Bundesinnenministerin gleich danach gesagt: „Ja, aber dann brauchen wir IP-Vorratsdatenspeicherung!“ Also nur die IP-Adressen. Und wofür? Gegen sexuelle Gewalt an Kindern. Kurz vorher wurde noch gesagt, die Täter, die das tun, gehen ins sogenannte ‚Darknet‘ und sind nicht mehr im öffentlichen Netz verfügbar. Der Witz an der Sache ist: Das Darknet funktioniert nicht mehr mit IP-Adressen. Also eine IP-Adressen-Speicherung ist für das Argument, was sie bringt, sexuelle Gewalt gegen Kinder zu ermitteln, sinnlos.

Also so inkompetent sind unsere Sicherheitsbehörden, so unfähig sind sie, das auch wirklich zu unterscheiden, und holen ihre, ich weiß nicht, 10, 20 Jahre alten Forderungen raus und rudern die gebetsmühlenartig ab, statt sich auf die Zukunft einzurichten und zu sagen: „Wie können wir denn in der Defensive eine Verfügbarkeit unserer Infrastruktur in Deutschland so aufbauen, dass einfach Ereignisse nicht so wirken? Wenn eine Verschlüsselung versucht wird, na dann kommen die ein, zwei, drei Maschinen weit und danach stoppen wir das!“ Statt zu sagen: „Die verschlüsseln die ganzen Unternehmen, die ganzen kritischen Infrastrukturen, die gesamte Verwaltung.“ Und dann machen alle dicke Backen und sagen: „Boar, das war krass.“

Also da sind wir noch lange nicht, weil lieber populistisch gesagt wird: „Wir müssen Täter jagen!“ Und in der Privatwirtschaft oder auch in der Bevölkerung wird sehr, sehr oft – auch in den Verwaltungen –, sehr, sehr oft diskutiert: „Wir müssen wissen, wer die Täter sind, aus welchem Land die kommen, was die tun. – War das Russland?“ Und dann sagen wir als AG KRITIS ganz klar: Es kann euch völlig wumpe sein, wer der Täter ist und woher der kommt oder wie viele es sind und was deren Interesse ist. Die Schutzmaßnahmen sind relevant! Lasst doch den staatlichen Akteuren den Auftrag, Täter zu ermitteln.

Für euch ist doch relevant: Wenn eine Verschlüsselung stattfindet, was braucht ihr? Zum Beispiel ein funktionales Backup. Wenn jemand euch die Umgebung zerstört, was braucht ihr? Ach ja, immer noch ein aktuelles Backup. Wenn jemand eindringt und irgendwelche Dinge tut und ihr könnt es nicht feststellen und ihr sagt, bis wir das analysiert haben sind Wochen um, braucht man ein Backup. Wenn ein In-Täter freidreht, weil es ein Administrator war, der irgendwie frustriert ist und alles zerstört – oh, da braucht man immer noch ein Backup!

Also: Bevor ihr nicht Backups einrichtet und die auch wirklich habt, hört doch auf zu sprechen über Täterstrukturen und Länder. Kümmert euch doch mal darum, dass ihr eure Hausaufgaben macht. Das passiert aber leider nicht, weil alle irgendwie lieber diskutieren, ob es jetzt ein Russe, weiß ich nicht, ein Südsuaheli war oder ein Nordamerikaner. Auch unsere Freunde sind in unseren Systemen, denn die Nachrichtendienste und Geheimdienste überall weltweit versuchen, in andere Systeme einzudringen. Und es kommt immer wieder auch raus, dass amerikanische oder die ‚Five Eyes‘ oder englische oder französische oder eben auch deutsche Geheimdienste und Nachrichtendienste in anderen Systemen sind und da Schindluder treiben. Auch das hilft uns ja nicht in der Diskussion ‚wer war's?‘. Wir sind‘s ja selber auch teilweise.

Carsten Roemheld: Ja, Sie haben völlig recht, da werden scheinbar wirklich die falschen Gespräche geführt. Aber lassen Sie uns die aktuelle Situation noch mal kurz betrachten: Wir hatten ja 2017 dieses WannaCry-Virus, das weite Teile des Internets lahmgelegt hat, und einige Leute sprechen von regelrechten Cyberepidemien, die von großangelegten Cyberattacken herrühren könnten. Einige Experten haben gewarnt, von Kaspersky unter anderem, dass 2023 eine ähnlich starke Viruswelle über uns hereinbrechen könnte. Wie sehen Sie das? Glauben Sie, dass die Gefahr zunimmt? Vor welchen digitalen Herausforderungen stehen wir im aktuellen Jahr?

Manuel Atug: Dazu muss man ja mal beleuchten: Was sind denn die Ursachen für solche Fälle wie WannaCry? Die Ursache für WannaCry war ja, dass ein amerikanischer Nachrichtendienst oder Geheimdienst seine Sicherheitslücken, die er in Softwareumgebungen kennt, und auch Angriffsmuster, also Exploits, sogenannte Angriffssoftware, nicht ausreichend schützen konnte und eine fremde Tätergruppierung diese Daten eben von denen abgegriffen und veröffentlicht hat.

Daraufhin sind mutmaßlich Russen, aber man weiß es nicht genau, eben hingegangen und haben gesagt: „Oh, da gibt‘s so eine Schwachstelle, die heißt ‚Eternal Blue‘ (Das ist eine Schwachstelle in Windows-Serversystemen, die eben viele nutzen. Dieser Geheimdienst in den USA hatte diese Lücke schon vor mindestens fünf Jahren gekannt, aber Microsoft nicht gemeldet zum Schließen und hat die offenbar fünf Jahre lang selber genutzt). Diese Lücke ist so fies und so brutal, dann können wir die doch nutzen, um Schindluder zu betreiben.“ Das haben die dann auch gemacht und haben im Endeffekt aus dieser Eternal-Blue-Sicherheitslücke WannaCry und Notepad ja als Schadsoftware gebaut und diese dann freigelassen. Und die hat eben viele 100 Millionen Dollar an Schaden bewirkt weltweit.

Das heißt, die Ursache ist zum einen, dass eben Täter Zerstörung provozieren wollen, aber die Ursache davon war: Dafür brauchen die erst mal Sicherheitslücken und Fähigkeiten und die halten eben Nachrichtendienste und Geheimdienste vor. Die USA hat schon vor mehreren Jahren gesagt, dass mindestens 100 Staaten Geheimdienste oder Nachrichtendienste oder andere staatliche Akteure haben, die Sicherheitslücken recherchieren und zurückhalten, um ihr eigenes Digitalwaffen-Arsenal aufzustocken sozusagen. Und das ist eben so, dass Edward Snowden damals durch diese ganzen Veröffentlichungen zwar gezeigt hat, wie schlimm diese Überwachung und dieses ganze aggressive Gebaren der Amerikaner ist oder der Five Eyes. Aber während die Bevölkerung eben gesagt hat, „Oh mein Gott, was passiert da?!“, haben sozusagen alle Länder, also die staatlichen Strukturen der Länder, gesagt: „Was? Das können die alles?! Das ist jetzt der Maßstab, das wollen wir auch können!“

Das heißt, die Nachrichtendienste und Geheimdienste drehen gerade völlig frei und sind so eine Büchse der Pandora, die geöffnet ist; und die skalieren im Cyberraum auf eine sehr perverse Art. Die Deutschen machen auch mit, weil wir beispielsweise vor zwei Jahren in der Bundesnachrichtendienstreform des Gesetzes reingeschrieben haben: „Unser Bundesnachrichtendienst darf ausländische Telekommunikationsunternehmen hacken.“ Telekommunikationsunternehmen sind kritische Infrastruktur. Die dürfen also laut Gesetz offiziell reinhacken und deren Systeme unterwandern, zerstören, kaputt machen, Daten rausziehen. Auf der anderen Seite haben wir im IT-Sicherheitsgesetz in Deutschland zur selben Zeit gesagt: „Huawei ist aus China und total böse und die dürfen nicht in unseren 5G-Telekommunikationsnetzen genutzt werden, wir müssen die irgendwie da raushalten.“

Und dann frage ich mich halt: Doppelzüngig funktioniert IT-Sicherheit nicht. Entweder mache ich es sicher oder ich treibe es in die Unsicherheit. Und man kann nicht auf der einen Seite Sicherheit predigen, auf der anderen Seite Unsicherheit machen. Solange wir dieses widersprüchliche Verhalten in den deutschen Sicherheitsbehörden haben, wird auch die Wirtschaft und auch die Bevölkerung darunter leiden müssen. Denn: Unsicherheit und Sicherheit führt zu Unsicherheit. Es führt nicht zu Sicherheit.

Carsten Roemheld: Absolut! Können Sie noch mal ‚Five Eyes‘ definieren? Das hat mir noch gefehlt als Definition.

Manuel Atug: Ja, ‚Five Eyes‘ ist ein Zusammenschluss von fünf Ländern sozusagen, die sich damals zusammengetan haben, um sozusagen im Geheimen, im Austausch mit den Amerikanern sehr, sehr viel Spionage und Überwachung vorzunehmen; und das sind eher englischsprachige, die im engen Kontakt waren. Das waren eben die Amerikaner selber, die Australier, die Kanadier, Neuseeland und eben England. Die haben sich als Gruppe von Geheimdiensten in diesen Ländern zusammengetan und all diese Informationen sehr aggressiv gesammelt und auch ausgetauscht.

Carsten Roemheld: An dieser Stelle machen wir einen kurzen Schnitt. Ordnen wir also einmal die Debatte, um die es hier geht: Manuel Atug hat deutlich gemacht, dass Unternehmen mehr in Cybersicherheit investieren müssen. Der Krieg in der Ukraine, der mit einem russischen Hackerangriff eingeleitet wurde, habe leider nicht dazu geführt, dass sich die Sensibilität für das Thema erhöht hat.

Atug sieht das so: Jeder Autobesitzer würde sein Auto bei einer akuten Warnmeldung in die Werkstatt fahren und alle zwei Jahre zum TÜV bringen. In Unternehmen hingegen werde oft mit den Schultern gezuckt, wenn sie von einer Cyberattacke getroffen wurden. Dabei könnten bereits einfache Backups den Schaden begrenzen. Oft müssen Unternehmen, die einem Cyberangriff unterliegen, Lösegeld zahlen, manche danach sogar Insolvenz anmelden. Auch kann die Veröffentlichung sensibler Daten unter Umständen schwere Schäden hervorrufen. Doch in der öffentlichen Debatte geht es statt um die Abwehr solcher Schäden allzu oft um die Idee vom digitalen Vergeltungsschlag. Während Behörden und Unternehmen der digitalen Entwicklung hinterherhinken, haben kriminelle Akteure ihre Hausaufgaben gemacht. Sie sind bei der Softwareentwicklung enorm gut aufgestellt, weil sie wissen, dass ihr verbrecherisches Geschäft leidet, wenn sie mit veralteter Technik agieren.

Im zweiten Teil unseres Podcasts sprechen wir weiter über die Herausforderungen der Cybersicherheit. Wir reden über Angriffe auf kritische Infrastruktur, darüber, wie gefährlich digitale Erstschläge sein können und was sinnvolle Maßnahmen zum Schutz vor Hackerangriffen wären. Hören Sie rein!

Wenn Sie Anregungen oder Hinweise zu unserem Gespräch haben, mailen Sie mir gern. Den Kontakt finden Sie in den Show-Notes. Und wenn Ihnen unser Podcast gefällt, abonnieren Sie ihn oder empfehlen Sie uns weiter. Das geht natürlich auch über Likes und positive Bewertungen bei Ihrem Podcast-Anbieter. Ich danke Ihnen jetzt schon für Ihre Rückmeldungen.

Wir hören uns.

Ihr Carsten Roemheld

Carsten Roemheld: Wer angegriffen wird, will sich verteidigen, das ist ja klar! Digitale Gegenschläge aber sind äußerst gefährlich, warnt Manuel Atug. Er ist Experte für Cybersicherheit und heute im Podcast mein Gast. Staaten, sagt Atug, könnten Gegenschläge nämlich als kriegerischen Akt werten und wiederum mit neuen Angriffen reagieren. Davon abgesehen ist bei einem sogenannten Hackback, also einem Zurückschlagen nach einem Cyberangriff, das Risiko von Kollateralschäden extrem groß. Statt Angriff wäre also Abwehr angesagt, sagt der profilierte Experte.

Etwa, indem die Bundesregierung keine kritische Infrastruktur mehr ans Ausland verkauft, indem sie US-amerikanische Cloud-Systeme meidet oder Seekabel in ihren Besitz bringt. Der Bund sollte nach Meinung von Manuel Ertug auch weniger Schwachstellen-Management betreiben, sondern mehr verbindliche Regeln schaffen und Unternehmen wie Institutionen zwingen, Lücken in IT-Systemen zu melden. Über diese und weitere Themen rund um unsere Sicherheit spreche ich mit Manuel Atug im zweiten Teil unseres Kapitalmarkt-Podcasts.

Herr Atug, klären Sie uns zum Start bitte mal auf: Im September detonierten die deutsch-russischen Nord-Stream-Pipelines in der Ostsee. Kurz darauf wurden Glasfaserkabel der deutschen Bahn gekappt, wodurch wesentliche Teile des Flugverkehrs zum Erliegen kamen. Vermuten Sie bestimmte Drahtzieher hinter diesen Anschlägen? Und ist es für Sie überhaupt relevant, wer dahintersteckt? Oder kommt es vielmehr darauf an, kritische Infrastruktur gegen alle möglichen Attacken zu schützen?

Manuel Atug: Also, dass jemand im Meer Unterwasserpipelines sprengt, das deutet schon sehr auf nachrichtendienstliche oder staatliche Akteure hin. Dass man es nicht sauber attribuieren kann auf die Russen, deutet ja auch darauf hin, dass es eben noch nicht ermittelt ist und gesicherte Erkenntnis ist. Vermuten kann man viel. Gerade in der aktuellen Zeit würden natürlich auch andere staatliche Akteure sagen: „Wenn wir da jetzt agieren, ist es ja offensichtlich, dass es die Russen sein würden. Ein super Deckmantel, unter dem kann ich alles tun!“ Genauso wie ja die prorussische Killnet-Truppe oder eben auch die proukrainische Anonymous als Kollektiv natürlich ein hervorragendes Gewässer [sind], in dem Nachrichtendienst oder eben staatliche Akteure sagen können: „Wir tun so, als wären wir jetzt Killnet oder Anonymus und machen was und versuchen, das denen zuzuordnen, und da können wir natürlich wunderbar agieren. Das ist eine wunderbare Tarnfunktionalität.“

Wenn man sich den wahren Angriff der Trassentrennung, dieser Kabeltrennung, dieser Glasfasertrennung, anschaut: Also für die Bahn ist das kein Neuland, die haben tagtäglich mit Kabeltrennungen zu tun. Das passiert aus vielerlei Gründen. Es gibt schon seit vielen, vielen Jahrzehnten Sabotage gegen diese Bereiche, weil, beispielsweise wenn es politische Saboteure sind, aus dem linken oder rechten Spektrum, dann wird oftmals, wenn demonstriert oder radikaler vorgegangen wird, gegen den deutschen Staat, in der Vergangenheit sehr oft gegen die Bahn, vorgegangen, weil die Bahn sozusagen die Repräsentanz des deutschen Staates ist und die Verletzlichkeit zeigt. Das heißt, auch bei den Castor-Transporten oder bei sonstigen Maßnahmen, irgendwelchen Gipfeln in Deutschland oder so gab‘s immer auch Angriffe gegen die Bahn und gegen ihre Infrastruktur, um eben den Staat anzugreifen.

Das heißt, politische Akteure können das sein aus dem linken, rechten Spektrum. Es können genauso sein: Querdenker und andere verwirrte Spinner; weil dieses Querdenkertum halt echt eine schwachsinnige faktenfreie Radikalisierung von Menschen mit sich bringt. Wir haben ja teilweise Leute, die meinen, wir werden von Mini-Chips per 5G-Funknetz kontrolliert, die in unseren Blutbahnen sind, und gehen dann hin und zünden Mobilfunkmasten an oder trennen dort die Kabel durch. Ironischerweise in den letzten Jahren sehr oft an den Stellen, wo noch nicht 5G auf dem Mobilfunkmast montiert wurde. Also das ist wirklich faktenfrei und sinnlos, was da passiert.

Und diese Menschen können natürlich auch einen solchen Angriff machen. Nachrichtendienstlich oder staatlich kann das auch jeder mögliche Staat sein, der ein Interesse hat, da Unsicherheiten in Europa, in Deutschland oder wo auch immer einzubringen. Und die Bahn hat zum Beispiel auch ganz banal am allermeisten mit Kabeldurchtrennungen zu tun durch den sogenannten Baggerbiss. Das ist in der Versicherungsbranche bekannt: Ein Bagger hat ein Kabel durchtrennt bei Baggeraushubarbeiten, Tiefbauarbeiten. Das passiert tagtäglich dutzendfach in ganz Deutschland: bei Strom, bei Wasser, bei Telekommunikationskabeln, bei Bahnen. Insofern ist das auch nichts Neues.

Und die Bahn hat ja auch gezeigt, dass sie bei diesen zwei großen Durchtrennungen, es waren ja viele Glasfasern, die da durchtrennt waren, und jedes einzelne muss man spleißen, so nennt man das, also zwei Glasfaserecken sauber abschneiden und aufeinanderkleben, sodass das Licht, was da durchgeht, nicht gebrochen wird in ein Prisma oder so, sondern wirklich eins zu eins durchgeht. Dafür braucht man Schweißgerät und ausgebildete MitarbeiterInnen, die das bedienen können. Die Bahn hatte ja offensichtlich einige zur Hand, die innerhalb von, ich weiß gar nicht mehr, drei, vier Stunden dafür gesorgt haben, dass das alles wieder repariert war.

Das heißt, im Notfallmanagement hat die Bahn Endstörtrupps parat, die damit tagtäglich agieren und gesagt haben: „Ja gut, das ist jetzt eine größere Trennung, und zwar an zwei relevanten Stellen. Das ist schon ein bisschen fieser, aber da können wir uns drum kümmern und haben es auch gemacht.“ Hätten wir jetzt mehr Endstörtrupps an mehr Stellen in Deutschland, die 24/7 verfügbar sind und Material haben, dann wäre es sogar noch schneller gefixt gewesen. Und so wie ich eingangs erklärt habe, wäre dann eben dieses Ereignis nur eine kleine Störung und nicht eine kleinere Krise.

Was hat unsere Innenministerin als Gegenmaßnahme vorgeschlagen? Wir stellen tausend Bundespolizeibeamte ein. – Die stellen sich dann bei mehreren 100 Kilometern Kabeltrassen dahin und bewachen die dann … oder so?! Ich meine, ich suche mir dann halt eine andere Ecke. Oder wenn die mich in flagranti erwischen: Ja, sollen die mich erschießen, oder was?! Also keine Ahnung, was da die Logik ist. Ich hätte eher gesagt: Na ja, 1000 Endstörtrupp-MitarbeiterInnen würden ja Sinn machen … gut, 1000 vielleicht nicht, aber [in die Richtung], ne. Also das ist populistisch und sinnfrei, aber wirkt natürlich schön für die Bevölkerung zur Beruhigung, hat aber überhaupt keinen Schutzmehrwert. Aber es wurde klar gesagt: Das hilft dann gegen Sabotage. – Nein, hilfts nicht! Also wirklich null.

Die andere Maßnahme war: Wir bauen dann überall an diesen Trassen Kameraüberwachung auf und dann verhindern wir die Angriffe, weil wir es filmen. – Ja gut, also da trennt jemand ein Kabel durch. Dann wissen wir, die Bahn kann nicht mehr fahren, weil die Kommunikation unterbrochen ist. Es steht alles. Wir sagen: „Okay, wir brauchen den Abschnitt so und so zu dem Zeitpunkt und gucken da rein und sehen tatsächlich ein bis drei maskierte TäterInnen, die irgendwie ein Kabel durchtrennen, und zwar mit einer, weiß ich nicht, Seitenzange, wo die Schnittkante genauso aussieht. Eine bahnbrechende Erkenntnis! Aber auch: Hat nicht die Sabotage verhindert, gewöhnt aber die Leute an die Überwachung und ist wieder populistisch.

Also das sieht man, dass der Schutz gegen sabotagekritische Infrastrukturen nicht eine Diskussion über Täter ist, sondern über: Wie kann ein Ereignis möglichst störungsfrei ablaufen? Und da sind wir bei den Sicherheitsbehörden [bei] null und nada.

Carsten Roemheld: Es scheint, dass die politischen Akteure manchmal ein bisschen sehr weit weg sind vom Alltag und sollten sich ein bisschen besser beraten lassen wahrscheinlich bei dem, was man für Maßnahmen dann am Schluss ergreift – vielleicht von Leuten wie Ihnen zum Beispiel!

Manuel Atug: Ja, wir waren ja beispielsweise als AG KRITIS in der Anhörung im Bundestag für das IT-Sicherheitsgesetz 2.0, wo ja der Schutz kritischer Infrastrukturen im Vordergrund stand. Und wir sind ja wie fünf andere Sachverständige, also ich persönlich, wir waren ja präsent und haben sehr viele Anregungen in unseren Stellungnahmen eingebracht, wie man das Gesetz verbessern kann, was Maßnahmen sind, die wirklich die Sicherheit erhöhen. Und die GroKo, also im Wesentlichen die CDU/CSU, die das ja geleitet hat, hat halt gesagt: „Danke fürs Gespräch, wir ignorieren eure Expertenmeinungen und lassen das Gesetz so, wie es ist. Danke fürs Gespräch. Die Anhörung war ja dekorativ. Wir machen halt weiter wie bisher.“

Und deswegen ist das Gesetz, na ja, so schlecht, wie es ist, und wurde nicht verbessert, obwohl ExpertInnen eingeladen wurden. Jetzt am 25., und zwar noch mal im Bundestag, da bin ich als Sachverständiger für die AG Kritis geladen für die Cybersicherheit. Das wird wieder ein buntes Potpourri. Die Ampel hört schon eher zu, aber wie gesagt: Vieles davon macht das Innenministerium. Und Frau Faeser und das Innenministerium scheinen noch sehr auf dem Digital-Kompetenzniveau eines Faxgeräts zu agieren.

Carsten Roemheld: Das passt ja! [lacht]

Manuel Atug: Und das ist halt schwierig, solchen Menschen dann noch zu erklären, was hat Digitalisierung für einen Impact; was bedeutet denn Schutz kritischer Infrastrukturen oder der Wirtschaft und der Bevölkerung; wie kann man Maßnahmen ergreifen, die auch wirklich wirken; und was ist beispielsweise Security by Design, Privacy by Design, nämlich am Ende: Menschenschutz. Und da sind die noch lange nicht. Leider!

Carsten Roemheld: Können wir noch mal ganz kurz benennen, was denn genau die kritische Infrastruktur ist?! Wir haben ja schon ein paar Dinge genannt: Wir haben vor allem Telekommunikationsnetze genannt, sicherlich auch Strom- und Gasnetze. Was gehört alles dazu?

Manuel Atug: Also dazu muss man sagen, es gibt eine amerikanische Definition, es gibt eine EU-weite Definition, es gibt eine Bundesdefinition, dann gibt‘s eine nach BSI-Gesetz, wo bestimmte Sektoren tatsächlich Maßnahmen ergreifen müssen, und es gibt landesspezifische Definitionen; und noch mal eine vom Bundesamt für Bevölkerungsschutz und Katastrophenhilfe, die auch eine andere Sicht hat.

Aber nehmen wir mal die zehn Sektoren und Branchen kritischer Infrastrukturen, die in Deutschland definiert sind: Das ist also Transport und Verkehr, Wasser, Energie, Ernährung, Finanz- und Versicherungswesen, Gesundheit, Informationstechnik und Telekommunikation, es ist Siedlungsabfallentsorgung (seit letztem Jahr neu dazugekommen), Medien und Kultur und Staat und Verwaltung.

Wobei Medien und Kultur landeshoheitlich ist und damit nicht über diese BSI-Gesetzgebung tatsächlich Anforderungen hat und PrüferInnen, die das prüfen, und Staat und Verwaltung ist auf Bundesebene. Das BSI ist ja nicht unabhängig und untersteht dem BMI und damit kann es natürlich dem Staat nicht vorgeben, einem demokratischen Rechtsstaat, was er zu tun hat. Demzufolge ist Staat und Verwaltung genauso wie Medien und Kultur unreguliert. Es gibt zwar eine Definition, was ist Staat und Verwaltung, aber die haben keine Sicherheitsanforderungen und auch keine externen Prüfer, die da unabhängig draufgucken. Insofern passiert da eben nichts.

Carsten Roemheld: Jetzt hatten wir ja schon gesprochen auch von einer möglicherweise erhöhten Bedrohungslage jetzt dieses Jahr, insbesondere nach dem Ausbruch des Ukrainekrieges letztes Jahr. Haben Sie denn den Eindruck, dass sich die Bedrohungslage verschärft hat für unsere kritische Infrastruktur in Deutschland durch dieses Kriegsereignis? Oder sehen Sie da keine gesteigerten Risiken?

Manuel Atug: Nicht wesentlich – und so sieht es beispielsweise auch das Bundesamt für Sicherheit in der Informationstechnik, das BSI in Deutschland, denn die haben in den letzten 31 Jahren, die sie existieren, dreimal eine rote Warnmeldung veröffentlicht. Vor vielen Jahren mal eine und die letzten zwei waren vor zwei Jahren. Das war einmal die Hafnium-Sicherheitslücke in Microsoft-Exchange-E-Mail-Servern, wo eben auch wirklich tausende von Systemen kompromittiert und verschlüsselt und kaputt gemacht wurden, wo eben auch in Deutschland sehr, sehr viele, also mehrere 10.000, ich glaube, es waren zu Beginn über 70.000 Systeme, ungepatcht, die also ungeschützt im Netz standen und angegriffen wurden. Von kleinen KMU- bis DAX-30-Konzernen [war] alles mit dabei. Und das BSI hat die alle gewarnt bis zum Gehtnichtmehr und gesagt: „Ey, das wird hier gerade missbraucht. Ihr könnt davon ausgehen, dass euer System jetzt kompromittiert ist. Ihr müsst dringend eine Sicherheitsuntersuchung veranlassen und diese Patches installieren.“ Und ganz, ganz viele haben Monate gebraucht, bis sie überhaupt reagiert haben.

Das war Warnstufe rot und das zweite war ‚Log4j‘. Das ist eine Softwarebibliothek für das Logging von Information in einer Anwendung. Das ist eine kleine Bibliothek, aber die wird eben fast überall als freie Software genutzt und die hatte eben eine Sicherheitslücke, mit der man sehr banal auch diese Systeme, in der das zur Anwendung kommt, übernehmen und angreifen kann. Und das wurde eben dann auch zuhauf vorgenommen, sodass auch eine rote Warnmeldung entstehen musste.

Der Ukrainekrieg hat es nur bis zu einer orangen Warnmeldung gebracht. Denn am Ende gibt es natürlich durch einen Kriegsgeschehen in der Nähe in Europa eine höhere Bedrohungslage, aber tatsächlich sind die hochangepriesenen Cyberwar-Angriffe der alten weißen Männer auf bunten Powerpointfolien eben im Wesentlichen ausgeblieben. Das, was so passiert, ist so ein Angriff von tausend kleinen Nadelstichen. Das kann von ukrainischer Seite, von russischer Seite, pro Russen, pro Ukrainer oder wem auch immer sein. Das können auch, ich nenne sie mal: ‚Cyber-Hooligans‘, sein, die einfach Randale im Netz machen wollen und sagen: „Joa, da ist ein schöner Vorwand.“ Das können die Kollektive sein wie Killnet oder Anonymus, aber auch die Nachrichtendienste und Geheimdienste sind definitiv mit dabei, aber auch das Militär.

Es gibt einen Angriff, der tatsächlich von den Europäern an Russland attribuiert wurde und klar öffentlich kommuniziert wurde. Also Europa hat gesagt: „Das waren die Russen, das ist nachweisbar.“ Das war der Viasat-Angriff. Die Russen haben über eine Fernwartung [zugegriffen], also ein User-Passwort, um in das sichere Netz der Bodenstation einzudringen. Auch da: Stand der Technik ist eine Zwei-Faktor-Authentifizierung und nicht ein User-Passwort. Aber man kann natürlich auch kritische Infrastruktur im Stand des Desolaten betreiben und das machen eben auch viele.

Fernwartung ist wirklich ein gruseliges Thema. Ich habe auf meinem YouTube-Channel so einen Sieben-Minuten-Auszug: Ich habe mal so einen Vortrag gehalten ‚Erlebnisse eines KRITIS-Prüfers‘, der schon für sich gruselig ist. Bei diesen sieben, acht Minuten, da habe ich mal über Fernwartung erklärt, wie gruselig die so ist aktuell und dass man eben weit weg von irgendwelchem Stand der Sicherheit [ist]. Und ich habe auch eine Berufsgattung neu eingeführt dafür: Fernwartungsarchäologie; weil das halt wirklich sehr interessant ist, was da teilweise betrieben wird. Aber auf dem Niveau agiert man und das haben die Russen sich dann zu eigen gemacht, um Satellitenmodems zu stören, um eben auch die Ukrainer da zu stören, also das Militär und die Sicherheitsbehörden. Man hat insgesamt 30.000 Modems fehlkonfiguriert, dass sie keine Verbindung mehr aufnehmen konnten, und unter anderem waren davon 5200 oder 5800 in Windkraftanlagen in Deutschland verbaut, die dann eben auch nicht mehr ferngewartet werden konnten. Man musste also zu jedem einzelnen hinfahren, hochkraxeln, das Modem austauschen, um die wieder an den Betrieb anzuschließen.

Und diese Kollateralschäden sind eben das, was eine Gefährdung eines Krieges im Cyberraum darstellen, also weniger dieser Cyberwar an sich, sondern die Kollateralschäden, die entstehen durch komplexe Supply Chains, durch Dienstleister und vernetzte Systeme, wo man nicht mehr durchblickt, wenn hier was umkippt, was da noch passiert. Und das ist genau dasselbe Problem, was wir eben auch haben bei so was wie Hackback und offensiven Maßnahmen im Netz. Man weiß eben nicht, was kann noch alles passieren. Und das ist immer so ein – haha, Wortwitz: Russisch-Roulette-Spiel.

Carsten Roemheld: ‚Russisch Roulette‘ ist gut, ja! Wir kommen gleich noch mal ganz kurz zu den Hackbacks. Ein, zwei kurze Fragen noch zum Thema ‚kritische Infrastruktur‘. Eine Frage zum Thema ‚Hochwasserkatastrophe im Ahrtal‘: Da hatten wir ja kein gut funktionierendes Frühwarnsystem. Sind wir da jetzt schon mit diesem Cell-Broadcast-Frühwarnsystem auf dem Stand, den wir haben sollten? Frage eins. Und Frage zwei noch zum Thema ‚COSCO-Beteiligung des chinesischen Staatskonzerns am Hamburger Hafen‘: Sehen Sie da Risiken, Gefahren, dass wir Teile unserer kritischen Infrastruktur sozusagen verkaufen? Oder sehen Sie das nicht so?

Manuel Atug: Also zum Frühwarnsystem und Ahrtal: Wir haben im Ahrtal gesehen, dass der Warnmittelmix, den das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) immer wieder sagt, absolut nicht ausreichend war. Es gab keine Frühwarnung und wenn doch, waren die kryptisch und unzureichend. Selbst, als die ersten Kommunen überflutet wurden ganz massiv, hatten die anderen ja noch eine Reaktionszeit von ein bis mehreren Stunden und es erfolgte keine Warnung in geeigneter Form an die, weil: Das Problem ist nicht, ob wir Cell Broadcast brauchen als weiteren Warnmittelmix, sondern was für eine Art von Meldung wird eingestellt; wie erreiche ich die Bevölkerung; was sind die Handlungsmaßnahmen und nimmt man diese Warnungen dann auch ernst.

Und jetzt haben wir zwar Cell Broadcast, einen Teil schon, Ende Februar soll es ja vollständig adressiert werden, dass auch alte Telefone funktionieren. Da haben wir unter anderem das BBK als AG KRITIS und auch die Bundesnetzagentur an der technischen Richtlinie unterstützt und gesagt: „Diese und jene Funktion müsste man so und so adaptiv noch ändern und ergänzen, damit das auch flächendeckend funktioniert.“ Und das hat man dann auch mit uns besprochen und gesagt: „Oh ja, da habt ihr einen guten Punkt, den bauen wir in das Update der technischen Richtlinie 1.1 ein und es wird jetzt ausgerollt.“ Also wir konnten da wirklich zivilgesellschaftlich guten Input leisten, da haben wir uns auch sehr drüber gefreut.

Der Punkt ist aber: Diese Warnmeldungen, die da teilweise im Ahrtal erfolgt sind, waren … In Ahrweiler beispielsweise hat man gar keine Warnmeldungen genutzt. Also die NINA-Warn-App und dieses mobile Warnsystem des BBK, weil Ahrweiler … Also: Es ist so, dass jede Kommune und jeder Landkreis für sich entscheidet, wer und was meldet. Das macht nicht das BBK, das stellt nur die Plattform bereit. Und in Ahrweiler hat man halt eher so die Meinung gehabt, diese Plattform ist doof, NINA finden wir auch doof und wir nutzen diese Meldeumgebung nicht. Und dann hat man eben auch nicht gewarnt, bis es halt wirklich zur Katastrophe kam. Und dann hat man doch entschieden so: „Na ja, vielleicht nutzen wir das doch ein bisschen, weil der Vorwurf könnte ja laut werden, dass wir es nicht genutzt haben.“

Aber naja, teilweise sind die Warnmeldungen, die da kommuniziert wurden, beispielsweise so; Originalzitat: „Es wurden Pegelstände an den Wasserstellen gemessen.“ Das habe ich dann gelesen und gedacht: „‚Es wurden Pegelstände gemessen‘ … Also wenn der Fluss irgendwie Wasser tragen soll, dann muss er einen Pegel haben, sonst wäre er ausgetrocknet.“ – Das hilft mir nicht und es steht auch nicht eine Handlungsanweisung, was soll ich jetzt tun. Insofern: Selbst, wenn Leute diese Meldung bekommen haben, so wie ich auch: Was soll man daraus schließen?! Das ist unklar.

Also all diese vielen Meldenden können das melden, was sie wollen, wie sie wollen und tun das auch. Es wird jetzt über Cell Broadcast dann auch verteilt, aber dann steht halt wie so eine SMS auf dem Display vergleichbar eine Warnmeldung, wo steht: „Es sind Pegelstände gemessen worden. Hochwassergefahr!“ Also daraus leiten immer noch Leute nicht ab: Ist das jetzt lebensgefährlich oder ist das wieder mal nur ein Regen?! Insofern haben wir da immer noch ein Defizit in dieser organisatorischen Kommunikationsstruktur und das ist nicht angefasst worden vom Bundesinnenministerium. Demzufolge würde ein weiteres Ahrtal-Szenario zu einer genau gleichen Katastrophe kommen, auch mit Cell Broadcast voll funktional.

Zweite Frage ‚COSCO im Hamburger Hafen als Beteiligung‘. Kann ich nur sagen: Politisch können wir nicht nachvollziehen, warum wir uns abhängig machen und ausverkaufen. Wir haben ja mit der Abhängigkeit von Gas von Russland gesehen, wie brutal das enden kann, wenn man jahrelang günstig, billig sich ausverkauft. Das ist auf Pump und auf Kredit der kommenden Generationen. Und dann haben wir eben solche Szenarien wie aktuell, die halt unheimlich schmerzen. Eine Resilienz, also eine Widerstandsfähigkeit unserer kritischen Infrastruktur und der Versorgung, bekommen wir ja nicht hin, indem wir von einem Land über eine Doppelpipeline abhängig sind. Das leuchtet, glaube ich, jedem ein; nur nicht den politisch Verantwortlichen über die letzten Jahrzehnte.

Wir haben ja auch mit der CDU gesehen, dass die über die Aserbaidschan-Connection da viele, viele Millionen mit fast einem Dutzend oder mehr Politikerinnen irgendwie Machenschaften und Seilschaften pflegen, die ja hochgradig ungesund für ein gemeinsames Miteinander waren. Wenn wir bei den Chinesen irgendwie sagen: „Joa, die kaufen sich halt überall ein.“ – Wir können ja gerne mal fragen, wo COSCO sich schon eingekauft hat: Ich glaub, Malaysia war‘s oder so. Die haben nichts mehr zu melden und COSCO steuert, ob und wo die Warenflüsse herlaufen und priorisieren sich selbst. Was machen die eben auch? Die kaufen sich systematisch auch in europäische Häfen gerade ein. Und wenn wir das eben ausverkaufen und beteiligen, dann müssen wir uns eben auch nicht wundern, wenn so was dann irgendwie missbraucht wird sozusagen im politisch-wirtschaftlichen Konstrukt.

Das haben wir in der Vergangenheit bei AEG erlebt, das haben wir bei Putzmeister, die so spezielle Hochleistungspumpen entwickeln, die sind verkauft worden, Kuka, die Industrieroboter machen, sind verkauft worden an Chinesen und an Ausländer. Wir haben ja fast nur noch amerikanische Clouds in Deutschland, weil wir nicht phasen, europäische oder deutsche Clouds in Betrieb zu nehmen; obwohl das illegal ist, Stand aktuelle Rechtsprechung der DSGVO. Aber wir haben eben keine Rechtsdurchsetzung und dann ist das halt okay, wenn der Datenschutz nicht funktioniert und wir amerikanische Clouds nutzen.

Also Seekabel gehören ja auch kaum deutschen Unternehmen oder europäischen Unternehmen oder der Verwaltung oder dem Staat. Google besitzt etliche. Die Chinesen bauen gerade eine 1400-km-Trasse, die PEACE heißt – Ironie! –, aber die wollen eben die volle Überwachung und Kontrolle. Und wir geben das alles aus den Händen. Keine gesunde Entwicklung!

Carsten Roemheld: Da hat Europa tatsächlich noch einiges an Nachholbedarf, in der Tat! Lassen Sie uns noch mal über Hackbacks sprechen. Das Thema ist ja mehr und mehr in die Diskussion gekommen. Die Bundesregierung lehnt es laut dem Koalitionsvertrag ja ab, aber der entlassene Chef des Bundesamtes für Sicherheit in der Informationstechnik, Arne Schönbohm, hatte sich für die Einsetzung von Hackbacks ausgesprochen. Auch die Innenministerin Nancy Faeser ist Verfechterin des Ansatzes. Wie schätzen Sie die Situation ein? Wird es vielleicht kommen, die Hackbacks als notwendige Maßnahme? Welcher Meinung sind Sie? Sie haben vorhin aus völkerrechtlicher Sicht gesprochen, dass es illegal ist, weil es eben eine Vergeltungsmaßnahme beschreibt. Aber wie ist Ihre Ansicht, welchen Fortgang dieses Themas wir hier in Deutschland sehen werden?

Manuel Atug: Also das Bundesinnenministerium will ja seit Jahren einen Hackback haben, einen Angriff auf fremde IT-Systeme und ein Einwirken auf diese Systeme. Dazu hat auch Innenministerin Faeser eben laut und deutlich kommuniziert, sie will es haben, obwohl es im Koalitionsvertrag steht, dass es nicht kommen soll. Also ihre eigene Arbeitsagenda ignoriert sie und sagt: „Ich mache das Gegenteil.“ Ich weiß auch nicht, warum die Koalition dann irgendwie stillschweigend zuguckt und sagt: „Ja, ja, die kann mal das Gegenteil von dem machen, was wir uns eigentlich als Aufgabe gegeben haben.“ Aber das zeigt ja auch, wie willkürlich das Innenministerium da handeln kann und wie frei Nase die irgendwie Freigeister sind und unkontrolliert agieren.

Auch zu ‚Hackback‘ habe ich ein kurzes Video, ich glaube, auch so sechs Minuten, auf meinem YouTube-Channel mal veröffentlicht und mal erklärt und hergeleitet, warum das eine ganz schlechte Idee ist. Es ist eben so, dass ich, wenn ich einen solchen Angriff auf fremde IT-Systeme mache, nicht weiß, was die Implikationen sind, die daraus abgeleitet werden. Und wenn ich jetzt ein Angreifer bin, der kritische Infrastruktur in Deutschland angreifen möchte, dann mache ich das ja nicht von meinem eigenen System aus. Dann gehe ich über irgendwelche Systeme in irgendwelchen Ländern, die ich kompromittierte und von da aus den Angriff habe. Oder noch besser: Ich greife Systeme in Deutschland an, die kritische Infrastruktur sind, Krankenhaus oder eine Cloud oder was auch immer, und von da aus fahre ich den echten Angriff.

Und wenn dann das Innenministerium meint, dass man solche Systeme zurückhackt und kaputt macht und wegcybert, ja, dann cybert man eben eine kritische Infrastruktur in Deutschland weg – und dann habe ich mir selber einen Kollateralschaden verpasst. Also ich würde als Angreifer so agieren und sagen: Na ja, dann hüpfe ich zum nächsten angegriffenen Server, den ich übernommen habe (Das gibt es ja zuhauf im Netz, die machen ja alle kaum Sicherheit!) und dann habe ich halt 300 Maschinen im Netz stehen und greif von der ersten an. Dann cybern die das weg, dann nehme ich halt die zweite und mach weiter und dann nehm ich die dritte und dann nehm ich die vierte. Ich mein, als Angreifer kann ich das Spiel ewig spielen und die machen dann alles kaputt und hinterlassen eine Wüste von kaputten Umgebungen – entweder in Deutschland oder vielleicht sogar bei Bündnispartnern. Wenn ich jetzt von Amerika aus in Deutschland angreife oder von Frankreich aus, wird das bestimmt nicht tiefenentspannt in der diplomatischen Beziehung untereinander.

Insofern: Wenn ich auch zum Beispiel aus einer Cloud-Infrastruktur angreife und man jetzt diese Cloud-Infrastruktur zurückangreift, das hat ja noch viele andere skalierende Faktoren. Was geht da noch alles kaputt? Also welche Unternehmen und welche Privatmenschen können dann nicht mehr auf ihre Cloud-Infrastruktur zugreifen, wenn da irgendwas kaputtgeht bei diesem Zurückhacken? Um so was überhaupt tun zu können, einen Hackback, muss ich ja Sicherheitslücken oder Schwachstellen vorhalten und offensive Maßnahmen erarbeiten. Das heißt, ein Hackback funktioniert nur, indem ich Schwachstellen in kritischen Infrastrukturen und in der Umgebung kenne, und zwar möglichst in allen und vielen, die hochbrisant sind und wirklich Schmerzen verursachen und Systeme zerstören können. Und die muss ich alle vorhalten.

Und wenn so eine Lücke dann zufällig gepatcht wird, weil der Hersteller das rausgefunden hat oder jemand anders, dann ist meine Lücke verbrannt und ich muss also demzufolge viele andere Sicherheitslücken vorhalten. Das versucht das Bundesinnenministerium zu verkaufen als: „Wir brauchen ein Schwachstellen-Management.“ Und da sagen wir als AG KRITIS: „Wir brauchen kein Schwachstellen-Management. Denn wir wollen nicht Schwachstellen managen, wir wollen sie beheben!“

Wir wollen, dass alle Behörden und Institutionen in Deutschland verpflichtet sind und gezwungen sind, Schwachstellen, von denen sie Kenntnis erlangen, an zum Beispiel ein unabhängiges BSI zu melden, und das BSI muss verpflichtet sein, mit dem Hersteller die Kommunikation und den Austausch in einem sogenannten ‚Responsible Disclosure‘ vorzunehmen. Also dem Hersteller zu erklären: „Das ist eine Schwachstelle, die du hast. Du musst das jetzt beheben und wir werden, wenn das alles behoben ist und die Kunden das installiert haben, dann auch öffentlich machen, dass es diese Lücke gab. Damit das eben auch transparent ist.“

Und das ist das, was wir wirklich brauchen. Wir brauchen kein Schwachstellen-Management und wir brauchen auch keine offensiven Maßnahmen. Davon ist kein einziges System gesichert und keine Sabotage wird verhindert, sondern wir bauen kaputte Infrastrukturen oder wir sorgen dafür, dass sie kaputt bleiben und angreifbar bleiben. Und es ist ja nicht so, dass nur der BND oder wer auch immer dann beim Innenministerium definiert wird als ‚Ihr seid ihr zuständig für diese Angriffe, das BKA‘. Dann kann ja nicht nur das BKA diese Schwachstellen missbrauchen und zurückhacken, sondern Ransomware-Banden. Für die ist das ein gefundenes Fressen. Die sagen: „Ja super, die haben ja für uns die Vorarbeit gemacht, das greifen wir uns kurz ab und darüber dringen wir in die Unternehmen ein und erpressen die und holen Kohle raus.“ Staatliche Akteure aus China, Russland, USA, wo auch immer, werden sagen: „Ach super, da gibt‘s eine Hintertür und eine Lücke, ja die können wir ja wunderbar auch für uns nutzen.“

Also es ist ja nicht so, als würde so eine Tür nicht von anderen Akteuren auch genutzt werden. Es ist eben digital im Cyberraum und wenn ich die Fähigkeiten habe, kann ich an der Tastatur sitzen und eingreifen. Und das tun alle Akteure im Cyberraum eben auch. Das ist nicht wie eine physische Tür. Da muss ich hinfahren und es ist nur eine Tür, und da können nicht Hunderte gleichzeitig durchgehen. Und wenn da jemand durchgeht und jemand ist drin, merkt der ja, dass jemand kommt. Im Cyberraum funktioniert das halt anders. Das ist oftmals unbemerkt und deswegen, durch diese Kollateralschäden, durch dieses ‚Ich kann gar nichts vorhersehen‘, ‚Ich muss strukturiert Schwachstellen und Lücken in der Infrastruktur lassen‘, insbesondere auch in Infrastruktur, die unsere Wirtschaft betreibt. Also ich habe auch nicht verstanden, warum die Privatwirtschaft dagegen nicht völlig gegen die Barrikaden geht.

Denn eigentlich sagt der Staat: „Wir versuchen, eure Umgebung unsicher und kaputt zu halten, damit Ransomware-Banden, staatliche Akteure aus dem Ausland, aber auch wir jederzeit dort eindringen können und Dinge abschalten, kaputt machen oder abgreifen für die staatliche Sicherheit der Nation.“ Und dass da niemand sagt, das finden wir gruselig, sondern teilweise Wirtschaftsverbände sogar sagen: „Joa, dann ist das so. Wie viel Geld kriegen wir denn, wenn wir das unterstützen sollen? Ist es bezahlt? Ja, dann macht doch!“ – Völliges Unverständnis!

Carsten Roemheld: Ja, kann man wirklich nicht nachvollziehen! Letzte Frage: Auf EU-Ebene entsteht ja auch was, ein Koordinationszentrum für Cyberverteidigung. Welchen Umfang soll das denn haben? Und sind diese Brüsseler Pläne in irgendeiner Weise konträr zu denen der Bundesregierung aktuell damit?

Manuel Atug: Nee, weil die nennen das Cyberverteidigung, aber wollen damit eine Verteidigung durch offensive Maßnahmen und Angriffe in großen Teilen. Insofern versuchen die also auch eine offensive EU-was-auch-immer-Funktionalität umzusetzen. Und Deutschland? Das Innenministerium freut sich natürlich, weil es sagt: „Wir konnten auf EU-Ebene einbringen, dass man so was braucht, dann kommen wir zwar in Deutschland nicht vorwärts, aber über die EU müssen wir jetzt ‚leider‘ offensive Dinge tun.“ Dieses EU-Spiel hat man schon öfter getrieben und auf der EU-Ebene reden halt auch, na ja, diese alten weißen Männer untereinander in offensiver Maßnahme und sagen: „Boar, wir müssen uns verteidigen durch Angriff!“

Es hat ja auch schon von den Amerikanern die Aussage gegeben: „Wer uns im Cyberraum angreift, da antworten wir vielleicht mit kinetischen Mitteln, also mit Bomben und Raketen zurück.“ Die Israelis haben ja ein Hamas-Headquarter, ein Cyber-Headquarter, weggebombt. Also die haben wirklich ein Gebäude, wo die Hamas das als Cyber-Headquarter genutzt hat, [weggebombt]. Das konnte man wohl analysieren dadurch, dass da sehr viele Glasfasern zusammenkommen, dass Angriffe offensichtlich oft diesen Ursprung hatten etc. Üblicherweise, das ist aber nicht bestätigt, machen die Israelis das so, dass sie in dem Bereich eine SMS versenden an alle, die in dem Bereich sind, und sagen: „Dieses Gebäude wird in fünf Minuten gesprengt. Sie können jetzt noch rausgehen oder bleiben Sie halt da.“ Und es ist halt weggebombt und zersprengt worden und es wurde auch kommuniziert öffentlich. Die Russen haben sich auch vorbehalten, zu sagen: „Wenn uns jemand angreift, greifen wir zurück an.“

Das heißt, diese Aggressionslevel und dieses ‚Wenn jemand irgendwelche Cyberangriffe tut, könnte ein anderer daraus interpretieren, dass das ein offensiver Angriff war und damit einen Krieg auslösen‘, das steigert sich durch solche Maßnahmen wie eben ein EU-Cyberverteidigungszentrum, was auch Angriffe fahren will. Und irgendwann könnte dadurch ein solches Geschehnis passieren. – Keine gesunde Entwicklung!

Carsten Roemheld: Also eine Eskalationsspirale könnte dadurch ausgelöst werden. Ich habe Sie richtig verstanden, Herr Atug, und das nehme ich jetzt wirklich aus dem Gespräch mit: Wenn alle ihre Hausaufgaben machen würden und alle Sicherheitslücken so schnell wie möglich gestopft würden, dann würden wir diese Probleme gar nicht haben und diese Diskussion gar nicht haben. Ich glaube, dann wäre allen mehr gedient, als wenn wir uns darin versuchen, wer wem möglichst mehr schaden kann und dafür eben solche Sicherheitslücken sozusagen vorzuhalten. Das ist wirklich eine relativ, ja, kindische Diskussion!

Also vielen Dank, dass Sie uns diese Einblicke gegeben haben, Herr Atug. Ich habe heute viel gelernt. Vielen Dank, dass Sie Ihre Analysen und Erkenntnisse mit uns geteilt haben.

Und Ihnen, liebe Zuhörer, vielen Dank für Ihre Teilnahme. Ich hoffe, Sie konnten heute wieder das eine oder andere mitnehmen, so wie ich auch. Wir sehen und hören uns sicher bald wieder. Bis dahin viele Grüße!

Ihr Carsten Roemheld

Manuel Atug: Dankeschön und tschüss!