 |
# taz.de -- Experte über Cyberangriffe: „Lösegeld verbessert Angriffe“ |
|
|
|
> Digitale Angriffe auf eine Pipeline sorgten für Aufsehen. Wie sicher |
|
> Netzwerke in Deutschland sind, erklärt Cybersicherheitsspezialist Sven |
|
> Herpig. |
|
|
 |
Bild: Tankstelle ohne Benzin in Jacksonville, North Carolina, am 11. Mai |
|
|
|
taz: Herr Herpig, welcher Hackerangriff hat Sie in letzter Zeit am meisten |
|
überrascht? |
|
|
|
Sven Herpig: Das war eine globale Angriffswelle Anfang des Jahres, bei der |
|
eine Schwachstelle in Microsoft Exchange Servern von einer Gruppe |
|
ausgenutzt wurden. |
|
|
|
Warum war das für Sie überraschend? |
|
|
|
Weil die Angreifer:innen hier sehr ungewöhnlich reagiert haben. |
|
Normalerweise ist es bei einer Cyberoperation so: Die Angreifer:innen |
|
schauen, dass sie das tun, was sie tun wollen, etwa Daten kopieren, und |
|
dann so schnell und unauffällig wie möglich wieder verschwinden oder für |
|
zukünftige Aktionen Zugang zu den Systemen behalten. Hier hat aber die |
|
Hafnium-Gruppe, der der Angriff zugeschrieben wird … |
|
|
|
… und die mutmaßlich mit staatlichen Akteuren in China verflochten ist … |
|
|
|
… etwas eher Ungewöhnliches gemacht: Sie hat sofort, nachdem sie |
|
aufgeflogen ist, fast wahllos Hintertüren in alle Systeme eingebaut, die |
|
sie erreichen konnte, die es ihnen selbst oder anderen Angreifer:innen |
|
ermöglicht hätten, zu einem späteren Zeitpunkt noch einmal auf diese Server |
|
zu kommen. Und in diesem Kontext stellt sich immer die Frage: Wo sind die |
|
roten Linien? Also die Linien, die ein staatlich verflochtener Akteur nicht |
|
überschreiten darf, will er nicht den angegriffenen Staat zu merkbaren |
|
Gegenmaßnahmen provozieren. |
|
|
|
Und wo verlaufen die? |
|
|
|
Das ist schwierig zu sagen, denn eine konkrete internationale Vereinbarung |
|
für diesen Bereich gibt es nicht. In diesem Fall würde ich sagen: Das war |
|
schon einen Tick über der roten Linie drüber. Ganz klar drüber ist die |
|
Einmischung in den Wahlkampf eines anderen Landes, wie das 2016 in den USA |
|
passiert ist, auch wenn die USA nicht sagten, dass diese gegen |
|
internationales Recht verstoßen hat. |
|
|
|
Große Wellen in der Öffentlichkeit haben kürzlich auch zwei andere Fälle |
|
geschlagen: ein Angriff auf eine [1][wichtige Pipeline an der US-Ostküste] |
|
und einer auf [2][Krankenhäuser in Irland], die infolgedessen ihren Betrieb |
|
herunterfahren mussten. Das war für Sie nicht überraschend? |
|
|
|
Angriffe mit Ransomware, also Erpressersoftware, auf Krankenhäuser sind |
|
nicht neu, auch wenn in den vergangenen Jahren Quantität und Qualität |
|
zugenommen haben. Und wenn man sich das mit der Pipeline genauer anschaut: |
|
Da ist nicht die operative Technologie, die etwa für das Weiterpumpen des |
|
Öls nötig ist, angegriffen worden. Sondern nur die Abrechnungssysteme. Der |
|
Betreiber hat sich dann entschlossen, alles abzuschalten, weil er das Öl |
|
sonst nicht mehr hätte abrechnen können. Nach den Informationen, die wir |
|
haben, sieht es daher nicht so aus, als hätten die Angreifer:innen die |
|
Ölversorgung stoppen wollen. Die wollten einfach nur Geld machen. |
|
|
|
Trotzdem: Wie kann es sein, dass eine Software, die für den Betrieb |
|
anscheinend essenziell ist, so angreifbar ist? |
|
|
|
Da gibt es verschiedene Möglichkeiten: Häufig ist das Thema IT-Sicherheit |
|
im Management nicht richtig angekommen. Vielleicht war es aber auch eine |
|
knallharte wirtschaftliche Entscheidung: Wie hoch ist das Risiko, dass so |
|
ein Angriff passiert? Was kommen dann für Schadenersatzforderungen? Was |
|
würde es kosten, die IT-Systeme entsprechend abzusichern? Da kann ein |
|
Unternehmen schon mal zu dem Ergebnis kommen, lieber das Risiko einzugehen. |
|
|
|
Ist öffentliche Infrastruktur, also etwa Energie oder Gesundheit, besonders |
|
attraktiv für Angriffe? |
|
|
|
Man muss sich überlegen: Was wollen Kriminelle? In der Regel wollen sie |
|
Geld und dann ihre Ruhe. Es ist eine Abwägung zwischen drei Faktoren. |
|
Erstens: Wie leicht ist das Ziel anzugreifen? In Deutschland gibt es |
|
spezielle Regeln für Betreiber von kritischer Infrastruktur, die dazu |
|
führen sollen, dass diese Anlagen möglichst gut geschützt sind und |
|
Bedrohungen früh erkannt werden. Zweitens: Wie viel Geld wird eine |
|
Erpressung bringen? Und drittens: Wie wahrscheinlich ist es – etwa in den |
|
USA –, nach einem Angriff FBI und die anderen Sicherheitsbehörden hinter |
|
sich her zu haben? Das ist eine Berechnung, die ständig wieder neu |
|
durchgeführt wird. |
|
|
|
Der Pipeline-Betreiber hat schließlich fünf Millionen US-Dollar Lösegeld |
|
gezahlt. Hätte er das lieber sein lassen sollen? |
|
|
|
Aus Sicht des Unternehmens, das schnell wieder Umsätze machen will, ist die |
|
Zahlung natürlich nachvollziehbar. Aber sie macht solche Angriffe für |
|
Nachahmer:innen attraktiv. Und man muss davon ausgehen, dass ein Teil |
|
des Geldes in eine Verbesserung der Angriffs-Infrastruktur gesteckt wird. |
|
Wer Lösegeld zahlt, verbessert also die Qualität der zukünftigen Angriffe. |
|
|
|
In der Pandemie scheint die Zahl der Angriffe auf Krankenhäuser und andere |
|
medizinische Infrastruktur zu steigen. Was ist da los? |
|
|
|
Ich habe keine Zahlen dazu, ob es da eine deutliche Steigerung gibt. Aber |
|
klar: In einem privatwirtschaftlichen Krankenhaus unterliegt auch die IT |
|
wirtschaftlichen Erwägungen. Ein Beispiel: Da gibt es dann halt nicht |
|
unbedingt Accounts mit unterschiedlichen Rechten für jede:n |
|
Mitarbeiter:in, sondern mehrere Leute nutzen einen und der ist immer offen, |
|
damit jede:r schnell rankann. Und das sind nur die kleinen Probleme, da |
|
geht es noch nicht um die dahinterstehende IT-Infrastruktur an sich. |
|
|
|
Wie lässt sich da etwas verbessern? |
|
|
|
Vermutlich nur über Regulierung. Es gibt jetzt gerade in der Pandemie die |
|
Debatte, ob nicht etwa zusätzliche medizinische Einrichtungen generell oder |
|
auch Impfstoffhersteller zur kritischen Infrastruktur gehören müssten. |
|
|
|
Arztpraxen? |
|
|
|
Wäre schön, aber ganz ehrlich: Von denen kann man kein ganz hohes Niveau an |
|
IT-Sicherheit erwarten. Da wäre es wohl sinnvoller, wenn der Staat |
|
entsprechende IT-Lösungen bereitstellt. Die müssten dann aber auch wirklich |
|
gut und auch in der Breite nutzbar sein. |
|
|
|
Ist das Sicherheitsproblem ein Argument dafür, mit der Digitalisierung |
|
zurückhaltend umzugehen? |
|
|
|
Es ist jedenfalls ein Argument dafür, sehr genau nachzudenken. Und nicht |
|
erst mal zu digitalisieren und sich später über IT-Sicherheit Gedanken zu |
|
machen. Aktuelles Beispiel: Die Luca-App, die schnell auf den Markt kam und |
|
bei der in den vergangenen Monaten schon haufenweise Sicherheitslücken |
|
gestopft werden mussten. Dagegen brauchte die Corona-Warn-App etwas länger, |
|
ist jetzt schon ein Jahr im Betrieb und: Gab es irgendwelche erfolgreichen |
|
Angriffe? Mir ist keiner bekannt. |
|
|
|
Die Angst vor dem nächsten großen Angriff konzentriert sich [3][in |
|
Deutschland auf die Bundestagswahl im Herbst]. Es gibt Szenarien, dass es |
|
im Vorfeld Versuche geben wird, die öffentliche Meinung zu manipulieren |
|
oder am Wahltag die Infrastruktur zur Übermittlung der Daten anzugreifen – |
|
was ist davon realistisch? |
|
|
|
Wichtig ist: Wir wählen analog, also vor Ort oder per Brief. Selbst falls |
|
es am Wahltag also erfolgreiche Angriffe gibt – die Ergebnisse werden am |
|
Ende korrekt sein. |
|
|
|
Also großes Glück, dass der Chaos Computer Club vor knapp fünfzehn Jahren |
|
demonstriert hat, wie sich mit einem Wahlcomputer Schach spielen lässt und |
|
damit die Debatte über Wahlcomputer in Deutschland ziemlich erledigt war? |
|
|
|
Ja, auf alle Fälle. Beim Wählen sollte man von digitalen Lösungen die |
|
Finger lassen. Was aber durchaus realistisch wäre: Dass Akteur:innen aus |
|
anderen Ländern zum Beispiel die Systeme von Politiker:innen angreifen |
|
und damit Desinformationskampagnen fahren. Also falsche Informationen |
|
verbreiten. Zum Beispiel etwas wie: Die Bundesregierung wusste schon viel |
|
länger von den Pandemie-Gefahren. Das halte ich für ein ernsthaftes Risiko. |
|
|
|
Weiß man denn mittlerweile besser als noch vor einigen Jahren, wer hinter |
|
Angriffen steckt? |
|
|
|
Sagen wir: Man kann eher selten eine Operation konkret einem Land zuordnen. |
|
Stattdessen können sie Gruppen zugeordnet werden, die nutzen bestimmte |
|
Werkzeuge und spezifische Methoden und fahren ähnliche Operationen, die |
|
übergeordneten strategischen Zielen zugeordnet werden können. |
|
|
|
So ließ sich kürzlich etwa eine mutmaßliche iranische Cyberoperation gegen |
|
Israel zuordnen. Aber selbst wenn eine Gruppe in einem bestimmten Land |
|
sitzt, bleibt die Frage: Weiß der Staat davon und lässt sie gewähren? |
|
Unterstützt er sie? Gibt es Verflechtungen? Und: Wissen ist eines. Aber |
|
darauf eine adäquate politische Reaktion zu finden, ist mindestens ebenso |
|
kompliziert. |
|
|
|
8 Jun 2021 |
|
|
|
## LINKS |
|
|
 |
[1] /Gesundheitswesen-und-Erpressung/!5776571 |
|
[2] /Cyberattacke-in-Irland/!5773456 |
|
[3] /Cyberangriffe-auf-Bundestagwahl-2021/!5774260 |
|
|
|
## AUTOREN |
|
|
|
Svenja Bergt |
|
|
|
## TAGS |
|
|
|
Cybersicherheit |
|
Digitalisierung |
|
Cyberkriminalität |
|
GNS |
|
Banken |
|
Hackerangriff |
|
Datenschutz |
|
Kriminalität |
|
Cyberkriminalität |
|
Schwerpunkt Bundestagswahl 2025 |
|
Cybersicherheit |
|
Cyberattacke |
|
|
|
## ARTIKEL ZUM THEMA |
|
|
|
Datensicherheit in der Finanzindustrie: Bafin warnt vor IT-Risiken |
|
|
|
Was könnte die Finanzbranche ins Wanken bringen? Die zuständige |
|
Aufsichtsbehörde setzt einen neuen Fokus. |
|
|
|
Angriff auf die Bundestagswahl: Russisches Gehacke |
|
|
|
Mit Cyberangriffen bereitet der russische Geheimdienst wohl eine |
|
Desinformationskampagne vor. Nun droht die Bundesregierung mit |
|
Konsequenzen. |
|
|
|
Cybercrime und Wirtschaftsschutz: Generalschlüssel? 70 Millionen! |
|
|
|
Immer öfter erpressen Kriminelle mit Software hohe Summen. Der deutschen |
|
Wirtschaft entsteht damit jährlich ein Schaden von 223 Milliarden Euro. |
|
|
|
Cyberangriff auf IT-Dienstleister: Zahlreiche Firmen lahmgelegt |
|
|
|
Eine weitreichende Cyberattacke auf einen US-Dienstleister betrifft |
|
zahlreiche Firmen. In Schweden müssen Filialen einer Supermarktkette |
|
schließen. |
|
|
|
Hackerangriffe nehmen weltweit zu: Unsichtbarer Krieg in den Servern |
|
|
|
Pipelines und Krankenhäuser: Cyberangriffe treffen oft sensible Ziele – und |
|
die Zahl der Fälle steigt, vor allem wegen der Sicherheitslücken. |
|
|
|
Cyberangriffe auf Bundestagwahl 2021: Gut gerüstet gegen Hacker? |
|
|
|
Die Bundestagswahl könnte Ziel von Cyberangriffen und Desinformationen |
|
werden. Die Behörden sehen sich gegen Attacken aber gewappnet. |
|
|
|
Cyberattacke in Irland: Gesundheitssystem ausgeknockt |
|
|
|
Kriminelle haben die Daten des irischen Gesundheitsdiensts verschlüsselt. |
|
Sie wollen 20 Millionen Euro erpressen. |
|
|
|
Cyberangriff auf den Bundestag 2015: Drahtzieher wohl identifiziert |
|
|
|
Laut Medienberichten ist für den Hackerangriff auf den Bundestag 2015 ein |
|
russischer Agent verantwortlich. Das FBI hat seit Längerem nach ihm |
|
gesucht. |
