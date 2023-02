Carsten Roemheld: Die jüngsten Sabotageakte auf Pipelines, Bahn- und Energienetze machen hellhörig. Die russische Hackergruppe ‚Killnet‘ ist Berichten zufolge hochaktiv und attackierte zuletzt unter anderem Webseiten von Flughäfen in den USA. Während die Ursachen von Angriffen auf Infrastruktur häufig ungeklärt bleiben, wachsen die Sorgen in der öffentlichen Wahrnehmung. Wie gefährdet sind Energienetze, Verkehrswege, Strom- und Wasserversorgung? Wie sehr müssen wir uns vor Cyberattacken fürchten? Wie sicher ist unser digital verwahrtes Geld? Was kann der Staat, was aber können auch Unternehmen und jeder Einzelne tun, um sich zu schützen? Und wie bereitet man sich eigentlich auf Versorgungsausfälle oder einen sogenannten Blackout vor?

Darüber sprechen wir mit Manuel Atug. Er ist IT-Sicherheitsberater und Gründer und Leiter einer ehrenamtlichen Arbeitsgruppe, die sich ‚AG KRITIS‘ nennt und zu der sich seit dem Jahr 2019 rund 40 Fachleute zusammengetan haben, um sich für mehr Sicherheit unserer kritischen Infrastrukturen einzusetzen. Herr Atug ist als Experte für das Thema ‚Hackback‘ bekannt. Damit bezeichnen Profis einen digitalen Gegenschlag nach einem Cyber- oder Hackerangriff.

Heute ist Mittwoch, der 18. Januar 2023, mein Name ist Carsten Roemheld, ich bin Kapitalmarktstratege bei Fidelity und ich freue mich sehr auf das kommende Gespräch mit Manuel Atug beim ersten Kapitalmarkt-Podcast von Fidelity im neuen Jahr.

Herzlich willkommen, Herr Atug!

Manuel Atug: Hallo!

Carsten Roemheld: Herr Atug, in jüngster Zeit sind wieder mal viele Fälle bekannt geworden, in denen Unternehmen oder Behörden zum Ziel von Cyberangriffen wurden. Hacker brechen in die IT-Systeme ein, erbeuten Datensätze, stellen Lösegeldforderungen. Sie sind Experte auf dem Gebiet der Cybersicherheit und deswegen gleich zu Beginn die eigentlich wichtigste Frage: Wie bewerten Sie die akute Sicherheitslage für Unternehmen und staatliche Institutionen in Deutschland?

Manuel Atug: Ungefähr genauso schlecht wie vor dem Krieg und vor der Pandemie. Denn die meisten machen nicht sichere Systeme und sicheren Betrieb, sondern einen günstigen Betrieb, einen gewinnorientierten Betrieb oder sagen eben: „Cybersicherheit ist Magie, das ist irgendwas wie Glitzer, Blockchain und KI oder was auch immer.“ Nur die Basissicherheitsmaßnahmen, die wirklich den Schutz bringen, werden nicht umgesetzt und demzufolge sieht die Cybersicherheitslandschaft in Deutschland wie auch weltweit grundsätzlich eher schlecht aus.

Carsten Roemheld: Das heißt, wir machen Hackern im Prinzip das Leben einigermaßen leicht, indem wir so vulnerable Systeme bei uns in der Infrastruktur haben, ja?!

Manuel Atug: Na ja, wir machen es allen Akteuren im Cyberraum sehr leicht; dann, wenn wir eben schwachstellenbehaftete Systeme betreiben, die aus dem Internet erreichbar sind, wenn wir Systeme nicht up to date halten, wenn wir die nicht warten und pflegen. Das Fahrzeug muss man alle zwei Jahre zum TÜV bringen. Wenn man merkt, die Bremse funktioniert nicht richtig, geht man aus Eigeninteresse zur Reparatur. Wenn eine Warnmeldungen anzeigt, dann kümmert man sich normalerweise drum.

Wenn aber die IT nicht funktioniert oder tatsächlich Angriffe erfolgen oder auch geglückt sind, dann zuckt man mit den Schultern und sagt, das waren irgendwie so total erfahrene Angreifer und wir waren Opfer. Aber die meisten fragen sich nie: Waren wir vielleicht grob fahrlässig, haben wir die Systeme nicht ordentlich betrieben, was müssten wir eigentlich tun dafür? Und gucken lieber darauf, wer sind die Täter, was sind die Strukturen und warum sind die böse zu mir, als zu sagen: Wie kann ich mich defensiv aufstellen und das Ganze absichern und dafür sorgen, dass ich eben nicht erfolgreich angegriffen werde? Und wenn doch, dass ein solcher Angriffsversuch oder ein solches Ereignis eben nicht zu einer Krise oder Katastrophe führt, sondern maximal zu einer Störung, weil ich eben entsprechende Maßnahmen ergriffen habe.

Carsten Roemheld: Jetzt hatten Sie von ‚Katastrophe‘ gesprochen: Welchen Schaden können denn Hacker bei einem Cyberangriff anrichten? Jetzt haben wir viel von solchen Ransomware- und Lösegeldforderungen gehört. Besteht denn auch bei einem erfolgreichen Angriff Gefahr für Leib und Leben?

Manuel Atug: Na, wir sehen ja in unregelmäßigen Abständen, dass Unternehmen, die einem Cyberangriff unterliegen, insolvent gehen und Insolvenz anmelden müssen oder eben viel, viel Geld investieren müssen für die Behebung dieser Schäden, die deutlich besser in eine Prävention und viel günstiger in eine Prävention investiert gewesen wären. Wir sehen bei den kommunalen und Landkreissystemen, die angegriffen werden und verschlüsselt werden und erpresst werden, dass die Daten veröffentlicht werden als sozusagen Erpressungserweiterung, als Teaser, nach dem Motto „Hier schaut mal, einen kleinen Teil des Datensatzes veröffentlichen wir mal, dass ihr auch seht, das ist wirklich wichtig und wertvoll“, und manchmal werden eben auch alle Daten veröffentlicht.

Und wenn das eben bei kommunalen oder Systemen der Verwaltung sozusagen geschieht, dann sind das tatsächlich lebensbedrohliche Szenarien für Leib und Leben der BürgerInnen, aber auch für die Unternehmen. Vielleicht zwei Beispiele: Für Leute, die Hartz IV oder sonstige Sozialleistungen ausgezahlt bekommen, und wenn das Fachverfahren eben auch mitverschlüsselt wurde und diese Auszahlung nicht mehr erfolgen kann, dann haben diese Leute, die an der Armutsgrenze leben, eben keine Möglichkeiten zu kompensieren, wie sie Essen und Trinken kaufen. Das ist dann tatsächlich lebensbedrohlich. Wenn Leute eine zweite Identität haben, weil sie beispielsweise beim Nachrichtendienst arbeiten, oder wenn sie im Kronzeugenschutzprogramm sind und eine zweite Identität erhalten haben und geschützt in einem neuen Ort leben und diese zweite Identität veröffentlicht wird, dann ist das Gefahr für Leib und Leben dieser Menschen.

Und als Unternehmen: Es gab beispielsweise im Landkreis Anhalt-Bitterfeld die ganzen KFZ-Händler, die gesagt haben, wir können jetzt keine KFZ mehr anmelden und wir verkaufen demzufolge auch keine mehr; denn die Leute kaufen nur KFZ, die auch angemeldet werden. Jetzt hat man gedacht, na ja, dann ist das alles defekt und verschlüsselt und kann nichts mehr gemacht werden, dann geht man zur Kommune nebenan und meldet halt da irgendwie eine Ersatzanmeldung an. Aber gesetzlich ist das gar nicht vorgesehen; das heißt, sie können das gar nicht machen. Da war dann relativ schnell auch die Frage: Wie viele Wochen und Monate soll das noch dauern, wie lange können wir überbrücken, gar nicht zu verkaufen und Pleite zu gehen und damit auch Insolvenz anzumelden? So ein KFZ-Händler hat ja auch durchaus ein Dutzend oder mehrere Dutzend MitarbeiterInnen und dann hängt halt einfach mal die gesamte Familie davon ab, von dem Wohlergehen, ob Cybersicherheit wirklich in dieser Kommune ernst genommen wurde oder nicht.

Wir haben ja schon Wiederholungstäter: wie die Stadt Potsdam, die zum zweiten Mal angegriffen wurde, erfolgreich; wo man sich schon fragen muss: Was haben wir eigentlich beim ersten Mal daraus gelernt? Und warum muss eigentlich niemand dafür haften und Rede und Antwort stehen und persönlich mal irgendwie dafür Sorge tragen, dass das alles so nicht weitergeht? Die zucken alle mit den Schultern und sagen: „Ja, war halt ein Angriff, ne!?“

Carsten Roemheld: Also, wenn jemand bisher geglaubt hat, dass das sozusagen ein Thema ist, das weit weg von einem persönlich ist, ich glaube, diese Beispiele haben hervorragend gezeigt, dass jeder von uns betroffen sein kann und dass deswegen auch jeder sich schützen muss. Jetzt noch ein Beispiel für eine etwas schwerwiegendere Sicherheitslage: Im Iran wurde ja 2010 die Atomaufbereitungsanlage Natanz attackiert. Wie groß ist denn die Sorge, dass es auch bei uns mal ein Atomkraftwerk tatsächlich treffen könnte?

Manuel Atug: Also eine Urananreicherungsanlage wie in Natanz ist ja schon mal ein ganz anderer Maßstab als ein Atomkraftwerk. Atomkraftwerke sind auch im produktiven Betrieb nicht ans Internet gekoppelt. Da gibt es einen sogenannten ‚Air Gap‘, also eine Luftbrücke, die Systeme sind nicht direkt mit dem Internet verbunden. Das war übrigens in Natanz auch der Fall.

Dieser Stuxnet-Schadcode wurde ja über Jahre von den Israelis und den Amerikanern entwickelt und über Jahre in verschiedenen Versionen in den Umlauf gebracht, aber konnte nicht in Natanz eingebracht werden. Am Ende musste man einen dritten Staat und nachrichtendienstliche Akteure aktivieren, sodass die Niederlande einen, ich glaube, pakistanischen Wissenschaftler in Natanz vor Ort eingeschleust haben, der einen USB-Stick reingesteckt hat, damit endlich die Schadsoftware da ihr Geschehnis tun kann. Aber das zeigt eben auch, dass solche Angriffe hochkomplex sind und sehr schwierig sind. Und es ist mehr oder weniger der einzige Fall, in dem tatsächlich ein physischer Schaden massiv bewirkt wurde.

Es heißt aber auch, man hat Natanz oder den Iran da vielleicht so ein halbes Jahr oder mehrere Monate zurückgeschmissen in der Entwicklung. Dafür, dass man viele Jahre und mit vielen 100 Millionen Dollar investiert hat, sogar eine Fabrikhalle genutzt hat, um einen baugleichen Aufbau zu machen der Komponenten, um das sozusagen zu erforschen, wie man das zerstören kann, das rechnet sich nicht so ganz. Und dieser Angriff ist jetzt verpufft, den kann man halt nicht noch mal nutzen.

Insofern sind solche Szenarien in der Theorie sehr schnell ein Thema bei, ich sag jetzt mal ‚alten weißen Männern aus der Rüstungsindustrie‘, die irgendwie auf bunten Powerpointfolien vom Cyberwar reden. In der Realität wirft Putin eben in seinem Angriffskrieg gegen die Ukraine Raketen und Granaten auf Stadtwerke oder auf Kraftwerke und hat ja auch ein Atomkraftwerk beispielsweise in der Ukraine beschossen; hat auch Tschernobyl bedroht, sozusagen den Angriff auch da teilweise durchgeführt.

Das heißt, kinetische Wirkmittel und kriegerische Handlungen sind tatsächlich das, was massiv bedroht und wirklich gefährlich ist. Naturereignisse, die zu Katastrophen ausarten können auch. Das haben wir ja auch in Fukushima erlebt. Und Cyberangriffe sind – noch glücklicherweise – eher hochkomplex zu orchestrieren, wenn man einen wirklichen, langanhaltenden und überregionalen oder auch wirklich physischen Schaden langfristig bewirken will.

Wenn man aber eben nicht auf staatliche Akteure schaut, sondern auf hochkriminelle Täterstrukturen, also organisierte Kriminalität, das sind dann die Ransomwareerpressungsbanden, die machen eben pro Jahr mehrere 100 Millionen Dollar Umsatz und der ist gleich Gewinn, weil steuerfrei. Das ist eine verdammt hohe intrinsische Motivation, da am Ball zu bleiben und zu überlegen, wie man eben durch solches Anteasern und Veröffentlichen der Daten ans Ziel kommt. Und die haben ja auch eine andere Zielsetzung. Die wollen ja nicht zerstören, die wollen nur verschlüsseln und übernehmen und sagen: „Wir können das aber jederzeit freischalten. Du kannst also sofort wieder arbeiten, wenn du uns das Geld gibst. Dann lassen wir dich in Ruhe.“

Wenn sie wirklich zerstören wollen würden, dann wäre ja der Bedarf, zu zahlen bei der Erpressung, nicht mehr vorhanden. Deswegen müssen die sehr gut aufpassen, dass sie sozusagen auch eine zerstörungsfreie Geiselnahme bewirken, aber auch eine sichere Verschlüsselung machen. Weil: Wenn die eben nicht gut entwickelt ist und nicht gut ausgebaut ist, hat es in der Vergangenheit [Fälle] gegeben, dass beispielsweise auch da die niederländische Polizeibehörde gesagt hat: „Hm, wir haben jetzt rausgefunden, wie diese Verschlüsselung funktioniert. Wir haben jetzt für alle Angegriffenen eine Funktionalität gebaut, dass die sich selbst wieder diese Entschlüsselung organisieren können bei uns auf der Webseite und einfach ihre Daten wieder entschlüsseln.“

Da haben diese organisierten Täterstrukturen verstanden: Wir brauchen sichere Softwareentwicklung, wir brauchen echt gute Kryptographie und Verschlüsselung und wir brauchen knallharte Business Cases, die nicht kompromittierbar sind. Ansonsten kommen uns die Polizeibehörden dazwischen und wir machen keinen Umsatz. Und seitdem haben diese Täterstrukturen eine wirklich gute Softwareentwicklung. Die sind ein Paradebeispiel dafür, wie man sichere Software entwickelt, wie man sichere Verschlüsselung einbringt. Also da könnte sich auch die freie Marktwirtschaft und der private Wirtschaftsbereich wirklich viele Scheiben von abschneiden, denn die haben wirklich gelernt, dass es sie ihren gesamten Business Case kostet, wenn sie schlecht entwickeln. – Leider! [lacht]

Carsten Roemheld: Wie ist denn die Aufteilung? Sie haben jetzt von diesen Täterstrukturen und Organisationen gesprochen, die nichtstaatlicher Natur sind. Also von den bekannteren Staaten, über die man spricht, werden ja meistens Russland, Iran, Nordkorea genannt. Wie ist denn die Aufteilung sozusagen? Kann man sagen, dass die staatlichen Akteure eher für die größeren Angriffe verantwortlich sind, während sich diese privaten Organisationen eher kleinere Ziele vornehmen? Oder wie kann man das beschreiben?

Manuel Atug: Also in der Ransomware-Entwicklung der letzten Jahre war es so, dass sie sich erst auf Privatmenschen und alles fokussiert haben. Dann haben Sie gelernt, dass Privatmenschen – salopp gesagt – zu blöd sind, sich Bitcoins zu kaufen und dann dahin zu überweisen, und es sehr mühselig ist, für 200 Dollar irgendwie die ganze Zeit mit jemandem wochenlang zu diskutieren. Und haben eben gesagt: „Na ja, gut, dann machen wir jetzt lieber Unternehmen. Das ist lukrativer und da kommt man besser zum Ziel.“

Dann gab es eine Zeit, wo es ein sogenanntes ‚Big Game Hunting‘ gab. Das heißt, die haben sich richtig große und fette Ziele ausgesucht, die dann allerdings so groß und so fett waren, dass eben auch die staatlichen Sicherheitsbehörden darauf aufmerksam geworden sind und auch die Unternehmen selbst, die eben auch selber viele Cybersicherheitsverteidigungsbereiche haben, also einen CERT-Betrieb, ein Operation Center oder verschiedene Threat-Intel-Analysten und so weiter. Und haben eben gemeinsam mit den staatlichen Strukturen und Behörden versucht, eben denen den Garaus zu machen oder sie eben zurückzuverfolgen.

Bei Verdacht auf Todesfolge, das gab es ja bei der Uniklinik Düsseldorf, eine Frau ist auf dem Weg zu einem anderen Krankenhaus, weil Düsseldorf einen Aufnahmestopp hatte, dann am Ende verstorben und die Staatsanwaltschaft hat ermittelt wegen Todesfolge, das hat dann auch noch mal ein anderes Kaliber. Es ist am Ende rausgekommen, dass es nicht wegen dem Cyberangriff sozusagen zur Todesfolge kam oder wegen dem Umleiten dieses Krankenwagens, sondern sie wäre sozusagen sowieso den Folgen erlegen. Aber das bringt natürlich Staatsanwaltschaften aufs Ziel. Es wird wegen Tötung oder was auch immer ermittelt und das hat ein anderes Kaliber.

Und deswegen ist dieses ‚Big Game Hunting‘ so ein bisschen eine Sackgasse gewesen und die haben gesagt, „Na ja, gut, die ganz dicken Fische, wo wir 50, 70 und mehr Millionen Dollar erpressen wollen, das skaliert nicht so gut mit der Verfolgung“, und konzentrieren sich dann eher auf beispielsweise Hochschulen, auf beispielsweise Verwaltungen, Krankenhäuser, weil die halt auch den Bedarf haben, sozusagen funktional zu sein, aber auch leichte Ziele sind. Und bedienen sich natürlich aller anderen Bereiche: KMU, die natürlich auch schnelles, gutes Geld sind, wenn sie da 50, 70, 100 Mitarbeiter haben oder 300 und auch ein paar Millionen oder viele 100.000 als Erpressung zahlen können. Die loten ja auch ihre Ziele aus. Die gucken also, wie viel Jahresbilanz haben die, wie viele Rechnungen stellen die, wie viel Geld fließt da so. Und dann taxieren die auch, wie viel Erpressungssumme die nehmen. Vorher war‘s so ein bisschen pauschalisiert, jetzt ist es sehr individuell. Man wird als VIP-Kunde behandelt, ja.

Diese Bandenstrukturen sind tatsächlich weltweit. Es gab eine sehr, sehr bekannte Tätergruppierung, die lange Zeit die Nummer eins war. Die haben auch eine Twitter-Meldung abgesetzt, dass, wer Russland angreift, davon ausgehen muss, dass sie die kritischen Infrastrukturen des jeweiligen Landes zurückangreifen und verschlüsseln würden. Und daraufhin gab es dann anscheinend intern einen Disput in dieser Gruppe von Kriminellen und es sind mehrere Gigabyte Daten aus den internen Chatsystemen und Kommunikationsstrukturen veröffentlicht worden, weil eben unter anderem mindestens eine Person entweder Ukrainer war oder Ukraine-pro eingestellt war und gesagt hat: „Ja nee, so gehen wir als Gruppe nicht um.“ Es gab auch eine andere Tätergruppierung, die gesagt hat: „Ja, liebe Leute, es gibt gerade einen Krieg in Russland, Ukraine und so … Also wir haben mit beiden nichts zu tun! Das ist uns alles völlig egal. Wir sind auch apolitisch, wir wollen nur Geld. Also wir sind nur auf Geld aus. Wir halten uns da völlig raus. Schönen Tag noch!“

Also da sieht man, dass das nicht spezielle Länder sind, sondern geldgierige Menschen, die dieses Gen haben der Kriminalität und da knallhart vorgehen. So.

Carsten Roemheld: Und wie oft kommt man den Tätern auf die Schliche? Es hört sich ja fast so an, als wären die immer einen guten Schritt voraus in gewisser Weise und die Behörden sind da ein gutes Stück benachteiligt. Kann man das so sagen?!

Manuel Atug: Na ja, das ist schwierig. Denn die Tätergruppierungen sind ja sehr stark vernetzt und im Cyberraum aktiv. Die sind auch sehr fähig und haben ja auch einen entsprechenden Business Case, dieses Interesse, die Befähigung hochzuhalten. Während unsere Sicherheitsbehörden – na ja, Beamte nine to five – schlecht bezahlt sind und auch nicht unbedingt die Cyberbefähigung in dem Ausmaß haben. Aber darüber steht ja auch ein Bundesinnenministerium, was alle drei Minuten krakeelt: „Wir brauchen Vorratsdatenspeicherung! Wir brauchen dies, das, jenes an offensiven Maßnahmen, an Hackback (also invasiven Eingriffen in fremde IT-Systeme)! Wenn uns jemand von einem System aus angreift und hackt, dann hacken wir zurück und zerstören dieses System!“

Das nennt man im Völkerrecht ‚Vergeltungsschlag‘ und das ist völkerrechtlich nicht zulässig. Und deswegen haben wir diese Art von Hackback in Deutschland noch nicht, obwohl das Bundesinnenministerium das wirklich sehr gerne hätte. Es ist halt völkerrechtlich illegal. So. Das ist also das Hauptproblem: dass da diese Forderungen im Raum stehen und diese Hoffnung da ist, dass man offensiv im Cyberraum sozusagen alles wegcybern kann und dann ist Frieden. Aber so funktioniert‘s nicht in einem weltweiten Cyberraum. Wir müssten ja alle Kriminellen im Internet komplett dingfest machen in deutschen Gefängnissen, die dann … überlaufen?! – Keine Ahnung! Und dann können wir in Frieden leben!? Das ist, glaube ich, ein komischer Ansatz.

Und wenn man sich so was wie die Vorratsdatenspeicherung mal anguckt, die ja schon vom Europäischen Gerichtshof mehrfach als verfassungsfeindlich kommuniziert wurde und gesagt wurde, gibt‘s nicht, außer in ganz speziellen Sonderfällen. Das Letzte war ja Ende letztes Jahr und da hat die Frau Faeser als Bundesinnenministerin gleich danach gesagt: „Ja, aber dann brauchen wir IP-Vorratsdatenspeicherung!“ Also nur die IP-Adressen. Und wofür? Gegen sexuelle Gewalt an Kindern. Kurz vorher wurde noch gesagt, die Täter, die das tun, gehen ins sogenannte ‚Darknet‘ und sind nicht mehr im öffentlichen Netz verfügbar. Der Witz an der Sache ist: Das Darknet funktioniert nicht mehr mit IP-Adressen. Also eine IP-Adressen-Speicherung ist für das Argument, was sie bringt, sexuelle Gewalt gegen Kinder zu ermitteln, sinnlos.

Also so inkompetent sind unsere Sicherheitsbehörden, so unfähig sind sie, das auch wirklich zu unterscheiden, und holen ihre, ich weiß nicht, 10, 20 Jahre alten Forderungen raus und rudern die gebetsmühlenartig ab, statt sich auf die Zukunft einzurichten und zu sagen: „Wie können wir denn in der Defensive eine Verfügbarkeit unserer Infrastruktur in Deutschland so aufbauen, dass einfach Ereignisse nicht so wirken? Wenn eine Verschlüsselung versucht wird, na dann kommen die ein, zwei, drei Maschinen weit und danach stoppen wir das!“ Statt zu sagen: „Die verschlüsseln die ganzen Unternehmen, die ganzen kritischen Infrastrukturen, die gesamte Verwaltung.“ Und dann machen alle dicke Backen und sagen: „Boar, das war krass.“

Also da sind wir noch lange nicht, weil lieber populistisch gesagt wird: „Wir müssen Täter jagen!“ Und in der Privatwirtschaft oder auch in der Bevölkerung wird sehr, sehr oft – auch in den Verwaltungen –, sehr, sehr oft diskutiert: „Wir müssen wissen, wer die Täter sind, aus welchem Land die kommen, was die tun. – War das Russland?“ Und dann sagen wir als AG KRITIS ganz klar: Es kann euch völlig wumpe sein, wer der Täter ist und woher der kommt oder wie viele es sind und was deren Interesse ist. Die Schutzmaßnahmen sind relevant! Lasst doch den staatlichen Akteuren den Auftrag, Täter zu ermitteln.

Für euch ist doch relevant: Wenn eine Verschlüsselung stattfindet, was braucht ihr? Zum Beispiel ein funktionales Backup. Wenn jemand euch die Umgebung zerstört, was braucht ihr? Ach ja, immer noch ein aktuelles Backup. Wenn jemand eindringt und irgendwelche Dinge tut und ihr könnt es nicht feststellen und ihr sagt, bis wir das analysiert haben sind Wochen um, braucht man ein Backup. Wenn ein In-Täter freidreht, weil es ein Administrator war, der irgendwie frustriert ist und alles zerstört – oh, da braucht man immer noch ein Backup!

Also: Bevor ihr nicht Backups einrichtet und die auch wirklich habt, hört doch auf zu sprechen über Täterstrukturen und Länder. Kümmert euch doch mal darum, dass ihr eure Hausaufgaben macht. Das passiert aber leider nicht, weil alle irgendwie lieber diskutieren, ob es jetzt ein Russe, weiß ich nicht, ein Südsuaheli war oder ein Nordamerikaner. Auch unsere Freunde sind in unseren Systemen, denn die Nachrichtendienste und Geheimdienste überall weltweit versuchen, in andere Systeme einzudringen. Und es kommt immer wieder auch raus, dass amerikanische oder die ‚Five Eyes‘ oder englische oder französische oder eben auch deutsche Geheimdienste und Nachrichtendienste in anderen Systemen sind und da Schindluder treiben. Auch das hilft uns ja nicht in der Diskussion ‚wer war's?‘. Wir sind‘s ja selber auch teilweise.

Carsten Roemheld: Ja, Sie haben völlig recht, da werden scheinbar wirklich die falschen Gespräche geführt. Aber lassen Sie uns die aktuelle Situation noch mal kurz betrachten: Wir hatten ja 2017 dieses WannaCry-Virus, das weite Teile des Internets lahmgelegt hat, und einige Leute sprechen von regelrechten Cyberepidemien, die von großangelegten Cyberattacken herrühren könnten. Einige Experten haben gewarnt, von Kaspersky unter anderem, dass 2023 eine ähnlich starke Viruswelle über uns hereinbrechen könnte. Wie sehen Sie das? Glauben Sie, dass die Gefahr zunimmt? Vor welchen digitalen Herausforderungen stehen wir im aktuellen Jahr?

Manuel Atug: Dazu muss man ja mal beleuchten: Was sind denn die Ursachen für solche Fälle wie WannaCry? Die Ursache für WannaCry war ja, dass ein amerikanischer Nachrichtendienst oder Geheimdienst seine Sicherheitslücken, die er in Softwareumgebungen kennt, und auch Angriffsmuster, also Exploits, sogenannte Angriffssoftware, nicht ausreichend schützen konnte und eine fremde Tätergruppierung diese Daten eben von denen abgegriffen und veröffentlicht hat.

Daraufhin sind mutmaßlich Russen, aber man weiß es nicht genau, eben hingegangen und haben gesagt: „Oh, da gibt‘s so eine Schwachstelle, die heißt ‚Eternal Blue‘ (Das ist eine Schwachstelle in Windows-Serversystemen, die eben viele nutzen. Dieser Geheimdienst in den USA hatte diese Lücke schon vor mindestens fünf Jahren gekannt, aber Microsoft nicht gemeldet zum Schließen und hat die offenbar fünf Jahre lang selber genutzt). Diese Lücke ist so fies und so brutal, dann können wir die doch nutzen, um Schindluder zu betreiben.“ Das haben die dann auch gemacht und haben im Endeffekt aus dieser Eternal-Blue-Sicherheitslücke WannaCry und Notepad ja als Schadsoftware gebaut und diese dann freigelassen. Und die hat eben viele 100 Millionen Dollar an Schaden bewirkt weltweit.

Das heißt, die Ursache ist zum einen, dass eben Täter Zerstörung provozieren wollen, aber die Ursache davon war: Dafür brauchen die erst mal Sicherheitslücken und Fähigkeiten und die halten eben Nachrichtendienste und Geheimdienste vor. Die USA hat schon vor mehreren Jahren gesagt, dass mindestens 100 Staaten Geheimdienste oder Nachrichtendienste oder andere staatliche Akteure haben, die Sicherheitslücken recherchieren und zurückhalten, um ihr eigenes Digitalwaffen-Arsenal aufzustocken sozusagen. Und das ist eben so, dass Edward Snowden damals durch diese ganzen Veröffentlichungen zwar gezeigt hat, wie schlimm diese Überwachung und dieses ganze aggressive Gebaren der Amerikaner ist oder der Five Eyes. Aber während die Bevölkerung eben gesagt hat, „Oh mein Gott, was passiert da?!“, haben sozusagen alle Länder, also die staatlichen Strukturen der Länder, gesagt: „Was? Das können die alles?! Das ist jetzt der Maßstab, das wollen wir auch können!“

Das heißt, die Nachrichtendienste und Geheimdienste drehen gerade völlig frei und sind so eine Büchse der Pandora, die geöffnet ist; und die skalieren im Cyberraum auf eine sehr perverse Art. Die Deutschen machen auch mit, weil wir beispielsweise vor zwei Jahren in der Bundesnachrichtendienstreform des Gesetzes reingeschrieben haben: „Unser Bundesnachrichtendienst darf ausländische Telekommunikationsunternehmen hacken.“ Telekommunikationsunternehmen sind kritische Infrastruktur. Die dürfen also laut Gesetz offiziell reinhacken und deren Systeme unterwandern, zerstören, kaputt machen, Daten rausziehen. Auf der anderen Seite haben wir im IT-Sicherheitsgesetz in Deutschland zur selben Zeit gesagt: „Huawei ist aus China und total böse und die dürfen nicht in unseren 5G-Telekommunikationsnetzen genutzt werden, wir müssen die irgendwie da raushalten.“

Und dann frage ich mich halt: Doppelzüngig funktioniert IT-Sicherheit nicht. Entweder mache ich es sicher oder ich treibe es in die Unsicherheit. Und man kann nicht auf der einen Seite Sicherheit predigen, auf der anderen Seite Unsicherheit machen. Solange wir dieses widersprüchliche Verhalten in den deutschen Sicherheitsbehörden haben, wird auch die Wirtschaft und auch die Bevölkerung darunter leiden müssen. Denn: Unsicherheit und Sicherheit führt zu Unsicherheit. Es führt nicht zu Sicherheit.

Carsten Roemheld: Absolut! Können Sie noch mal ‚Five Eyes‘ definieren? Das hat mir noch gefehlt als Definition.

Manuel Atug: Ja, ‚Five Eyes‘ ist ein Zusammenschluss von fünf Ländern sozusagen, die sich damals zusammengetan haben, um sozusagen im Geheimen, im Austausch mit den Amerikanern sehr, sehr viel Spionage und Überwachung vorzunehmen; und das sind eher englischsprachige, die im engen Kontakt waren. Das waren eben die Amerikaner selber, die Australier, die Kanadier, Neuseeland und eben England. Die haben sich als Gruppe von Geheimdiensten in diesen Ländern zusammengetan und all diese Informationen sehr aggressiv gesammelt und auch ausgetauscht.

Carsten Roemheld: An dieser Stelle machen wir einen kurzen Schnitt. Ordnen wir also einmal die Debatte, um die es hier geht: Manuel Atug hat deutlich gemacht, dass Unternehmen mehr in Cybersicherheit investieren müssen. Der Krieg in der Ukraine, der mit einem russischen Hackerangriff eingeleitet wurde, habe leider nicht dazu geführt, dass sich die Sensibilität für das Thema erhöht hat.

Atug sieht das so: Jeder Autobesitzer würde sein Auto bei einer akuten Warnmeldung in die Werkstatt fahren und alle zwei Jahre zum TÜV bringen. In Unternehmen hingegen werde oft mit den Schultern gezuckt, wenn sie von einer Cyberattacke getroffen wurden. Dabei könnten bereits einfache Backups den Schaden begrenzen. Oft müssen Unternehmen, die einem Cyberangriff unterliegen, Lösegeld zahlen, manche danach sogar Insolvenz anmelden. Auch kann die Veröffentlichung sensibler Daten unter Umständen schwere Schäden hervorrufen. Doch in der öffentlichen Debatte geht es statt um die Abwehr solcher Schäden allzu oft um die Idee vom digitalen Vergeltungsschlag. Während Behörden und Unternehmen der digitalen Entwicklung hinterherhinken, haben kriminelle Akteure ihre Hausaufgaben gemacht. Sie sind bei der Softwareentwicklung enorm gut aufgestellt, weil sie wissen, dass ihr verbrecherisches Geschäft leidet, wenn sie mit veralteter Technik agieren.

Im zweiten Teil unseres Podcasts sprechen wir weiter über die Herausforderungen der Cybersicherheit. Wir reden über Angriffe auf kritische Infrastruktur, darüber, wie gefährlich digitale Erstschläge sein können und was sinnvolle Maßnahmen zum Schutz vor Hackerangriffen wären. Hören Sie rein!

