# taz.de -- Experte über Cyberangriffe: „Lösegeld verbessert Angriffe“ | |
> Digitale Angriffe auf eine Pipeline sorgten für Aufsehen. Wie sicher | |
> Netzwerke in Deutschland sind, erklärt Cybersicherheitsspezialist Sven | |
> Herpig. | |
Bild: Tankstelle ohne Benzin in Jacksonville, North Carolina, am 11. Mai | |
taz: Herr Herpig, welcher Hackerangriff hat Sie in letzter Zeit am meisten | |
überrascht? | |
Sven Herpig: Das war eine globale Angriffswelle Anfang des Jahres, bei der | |
eine Schwachstelle in Microsoft Exchange Servern von einer Gruppe | |
ausgenutzt wurden. | |
Warum war das für Sie überraschend? | |
Weil die Angreifer:innen hier sehr ungewöhnlich reagiert haben. | |
Normalerweise ist es bei einer Cyberoperation so: Die Angreifer:innen | |
schauen, dass sie das tun, was sie tun wollen, etwa Daten kopieren, und | |
dann so schnell und unauffällig wie möglich wieder verschwinden oder für | |
zukünftige Aktionen Zugang zu den Systemen behalten. Hier hat aber die | |
Hafnium-Gruppe, der der Angriff zugeschrieben wird … | |
… und die mutmaßlich mit staatlichen Akteuren in China verflochten ist … | |
… etwas eher Ungewöhnliches gemacht: Sie hat sofort, nachdem sie | |
aufgeflogen ist, fast wahllos Hintertüren in alle Systeme eingebaut, die | |
sie erreichen konnte, die es ihnen selbst oder anderen Angreifer:innen | |
ermöglicht hätten, zu einem späteren Zeitpunkt noch einmal auf diese Server | |
zu kommen. Und in diesem Kontext stellt sich immer die Frage: Wo sind die | |
roten Linien? Also die Linien, die ein staatlich verflochtener Akteur nicht | |
überschreiten darf, will er nicht den angegriffenen Staat zu merkbaren | |
Gegenmaßnahmen provozieren. | |
Und wo verlaufen die? | |
Das ist schwierig zu sagen, denn eine konkrete internationale Vereinbarung | |
für diesen Bereich gibt es nicht. In diesem Fall würde ich sagen: Das war | |
schon einen Tick über der roten Linie drüber. Ganz klar drüber ist die | |
Einmischung in den Wahlkampf eines anderen Landes, wie das 2016 in den USA | |
passiert ist, auch wenn die USA nicht sagten, dass diese gegen | |
internationales Recht verstoßen hat. | |
Große Wellen in der Öffentlichkeit haben kürzlich auch zwei andere Fälle | |
geschlagen: ein Angriff auf eine [1][wichtige Pipeline an der US-Ostküste] | |
und einer auf [2][Krankenhäuser in Irland], die infolgedessen ihren Betrieb | |
herunterfahren mussten. Das war für Sie nicht überraschend? | |
Angriffe mit Ransomware, also Erpressersoftware, auf Krankenhäuser sind | |
nicht neu, auch wenn in den vergangenen Jahren Quantität und Qualität | |
zugenommen haben. Und wenn man sich das mit der Pipeline genauer anschaut: | |
Da ist nicht die operative Technologie, die etwa für das Weiterpumpen des | |
Öls nötig ist, angegriffen worden. Sondern nur die Abrechnungssysteme. Der | |
Betreiber hat sich dann entschlossen, alles abzuschalten, weil er das Öl | |
sonst nicht mehr hätte abrechnen können. Nach den Informationen, die wir | |
haben, sieht es daher nicht so aus, als hätten die Angreifer:innen die | |
Ölversorgung stoppen wollen. Die wollten einfach nur Geld machen. | |
Trotzdem: Wie kann es sein, dass eine Software, die für den Betrieb | |
anscheinend essenziell ist, so angreifbar ist? | |
Da gibt es verschiedene Möglichkeiten: Häufig ist das Thema IT-Sicherheit | |
im Management nicht richtig angekommen. Vielleicht war es aber auch eine | |
knallharte wirtschaftliche Entscheidung: Wie hoch ist das Risiko, dass so | |
ein Angriff passiert? Was kommen dann für Schadenersatzforderungen? Was | |
würde es kosten, die IT-Systeme entsprechend abzusichern? Da kann ein | |
Unternehmen schon mal zu dem Ergebnis kommen, lieber das Risiko einzugehen. | |
Ist öffentliche Infrastruktur, also etwa Energie oder Gesundheit, besonders | |
attraktiv für Angriffe? | |
Man muss sich überlegen: Was wollen Kriminelle? In der Regel wollen sie | |
Geld und dann ihre Ruhe. Es ist eine Abwägung zwischen drei Faktoren. | |
Erstens: Wie leicht ist das Ziel anzugreifen? In Deutschland gibt es | |
spezielle Regeln für Betreiber von kritischer Infrastruktur, die dazu | |
führen sollen, dass diese Anlagen möglichst gut geschützt sind und | |
Bedrohungen früh erkannt werden. Zweitens: Wie viel Geld wird eine | |
Erpressung bringen? Und drittens: Wie wahrscheinlich ist es – etwa in den | |
USA –, nach einem Angriff FBI und die anderen Sicherheitsbehörden hinter | |
sich her zu haben? Das ist eine Berechnung, die ständig wieder neu | |
durchgeführt wird. | |
Der Pipeline-Betreiber hat schließlich fünf Millionen US-Dollar Lösegeld | |
gezahlt. Hätte er das lieber sein lassen sollen? | |
Aus Sicht des Unternehmens, das schnell wieder Umsätze machen will, ist die | |
Zahlung natürlich nachvollziehbar. Aber sie macht solche Angriffe für | |
Nachahmer:innen attraktiv. Und man muss davon ausgehen, dass ein Teil | |
des Geldes in eine Verbesserung der Angriffs-Infrastruktur gesteckt wird. | |
Wer Lösegeld zahlt, verbessert also die Qualität der zukünftigen Angriffe. | |
In der Pandemie scheint die Zahl der Angriffe auf Krankenhäuser und andere | |
medizinische Infrastruktur zu steigen. Was ist da los? | |
Ich habe keine Zahlen dazu, ob es da eine deutliche Steigerung gibt. Aber | |
klar: In einem privatwirtschaftlichen Krankenhaus unterliegt auch die IT | |
wirtschaftlichen Erwägungen. Ein Beispiel: Da gibt es dann halt nicht | |
unbedingt Accounts mit unterschiedlichen Rechten für jede:n | |
Mitarbeiter:in, sondern mehrere Leute nutzen einen und der ist immer offen, | |
damit jede:r schnell rankann. Und das sind nur die kleinen Probleme, da | |
geht es noch nicht um die dahinterstehende IT-Infrastruktur an sich. | |
Wie lässt sich da etwas verbessern? | |
Vermutlich nur über Regulierung. Es gibt jetzt gerade in der Pandemie die | |
Debatte, ob nicht etwa zusätzliche medizinische Einrichtungen generell oder | |
auch Impfstoffhersteller zur kritischen Infrastruktur gehören müssten. | |
Arztpraxen? | |
Wäre schön, aber ganz ehrlich: Von denen kann man kein ganz hohes Niveau an | |
IT-Sicherheit erwarten. Da wäre es wohl sinnvoller, wenn der Staat | |
entsprechende IT-Lösungen bereitstellt. Die müssten dann aber auch wirklich | |
gut und auch in der Breite nutzbar sein. | |
Ist das Sicherheitsproblem ein Argument dafür, mit der Digitalisierung | |
zurückhaltend umzugehen? | |
Es ist jedenfalls ein Argument dafür, sehr genau nachzudenken. Und nicht | |
erst mal zu digitalisieren und sich später über IT-Sicherheit Gedanken zu | |
machen. Aktuelles Beispiel: Die Luca-App, die schnell auf den Markt kam und | |
bei der in den vergangenen Monaten schon haufenweise Sicherheitslücken | |
gestopft werden mussten. Dagegen brauchte die Corona-Warn-App etwas länger, | |
ist jetzt schon ein Jahr im Betrieb und: Gab es irgendwelche erfolgreichen | |
Angriffe? Mir ist keiner bekannt. | |
Die Angst vor dem nächsten großen Angriff konzentriert sich [3][in | |
Deutschland auf die Bundestagswahl im Herbst]. Es gibt Szenarien, dass es | |
im Vorfeld Versuche geben wird, die öffentliche Meinung zu manipulieren | |
oder am Wahltag die Infrastruktur zur Übermittlung der Daten anzugreifen – | |
was ist davon realistisch? | |
Wichtig ist: Wir wählen analog, also vor Ort oder per Brief. Selbst falls | |
es am Wahltag also erfolgreiche Angriffe gibt – die Ergebnisse werden am | |
Ende korrekt sein. | |
Also großes Glück, dass der Chaos Computer Club vor knapp fünfzehn Jahren | |
demonstriert hat, wie sich mit einem Wahlcomputer Schach spielen lässt und | |
damit die Debatte über Wahlcomputer in Deutschland ziemlich erledigt war? | |
Ja, auf alle Fälle. Beim Wählen sollte man von digitalen Lösungen die | |
Finger lassen. Was aber durchaus realistisch wäre: Dass Akteur:innen aus | |
anderen Ländern zum Beispiel die Systeme von Politiker:innen angreifen | |
und damit Desinformationskampagnen fahren. Also falsche Informationen | |
verbreiten. Zum Beispiel etwas wie: Die Bundesregierung wusste schon viel | |
länger von den Pandemie-Gefahren. Das halte ich für ein ernsthaftes Risiko. | |
Weiß man denn mittlerweile besser als noch vor einigen Jahren, wer hinter | |
Angriffen steckt? | |
Sagen wir: Man kann eher selten eine Operation konkret einem Land zuordnen. | |
Stattdessen können sie Gruppen zugeordnet werden, die nutzen bestimmte | |
Werkzeuge und spezifische Methoden und fahren ähnliche Operationen, die | |
übergeordneten strategischen Zielen zugeordnet werden können. | |
So ließ sich kürzlich etwa eine mutmaßliche iranische Cyberoperation gegen | |
Israel zuordnen. Aber selbst wenn eine Gruppe in einem bestimmten Land | |
sitzt, bleibt die Frage: Weiß der Staat davon und lässt sie gewähren? | |
Unterstützt er sie? Gibt es Verflechtungen? Und: Wissen ist eines. Aber | |
darauf eine adäquate politische Reaktion zu finden, ist mindestens ebenso | |
kompliziert. | |
8 Jun 2021 | |
## LINKS | |
[1] /Gesundheitswesen-und-Erpressung/!5776571 | |
[2] /Cyberattacke-in-Irland/!5773456 | |
[3] /Cyberangriffe-auf-Bundestagwahl-2021/!5774260 | |
## AUTOREN | |
Svenja Bergt | |
## TAGS | |
Cybersicherheit | |
Digitalisierung | |
Cyberkriminalität | |
GNS | |
Banken | |
Hackerangriff | |
Datenschutz | |
Kriminalität | |
Cyberkriminalität | |
Schwerpunkt Bundestagswahl 2025 | |
Cybersicherheit | |
Cyberattacke | |
## ARTIKEL ZUM THEMA | |
Datensicherheit in der Finanzindustrie: Bafin warnt vor IT-Risiken | |
Was könnte die Finanzbranche ins Wanken bringen? Die zuständige | |
Aufsichtsbehörde setzt einen neuen Fokus. | |
Angriff auf die Bundestagswahl: Russisches Gehacke | |
Mit Cyberangriffen bereitet der russische Geheimdienst wohl eine | |
Desinformationskampagne vor. Nun droht die Bundesregierung mit | |
Konsequenzen. | |
Cybercrime und Wirtschaftsschutz: Generalschlüssel? 70 Millionen! | |
Immer öfter erpressen Kriminelle mit Software hohe Summen. Der deutschen | |
Wirtschaft entsteht damit jährlich ein Schaden von 223 Milliarden Euro. | |
Cyberangriff auf IT-Dienstleister: Zahlreiche Firmen lahmgelegt | |
Eine weitreichende Cyberattacke auf einen US-Dienstleister betrifft | |
zahlreiche Firmen. In Schweden müssen Filialen einer Supermarktkette | |
schließen. | |
Hackerangriffe nehmen weltweit zu: Unsichtbarer Krieg in den Servern | |
Pipelines und Krankenhäuser: Cyberangriffe treffen oft sensible Ziele – und | |
die Zahl der Fälle steigt, vor allem wegen der Sicherheitslücken. | |
Cyberangriffe auf Bundestagwahl 2021: Gut gerüstet gegen Hacker? | |
Die Bundestagswahl könnte Ziel von Cyberangriffen und Desinformationen | |
werden. Die Behörden sehen sich gegen Attacken aber gewappnet. | |
Cyberattacke in Irland: Gesundheitssystem ausgeknockt | |
Kriminelle haben die Daten des irischen Gesundheitsdiensts verschlüsselt. | |
Sie wollen 20 Millionen Euro erpressen. | |
Cyberangriff auf den Bundestag 2015: Drahtzieher wohl identifiziert | |
Laut Medienberichten ist für den Hackerangriff auf den Bundestag 2015 ein | |
russischer Agent verantwortlich. Das FBI hat seit Längerem nach ihm | |
gesucht. |