Hackerattacken auf Deutschland: "Die Politiker verstehen das Thema einfach nicht"

Cyberattacken gehören beinahe

Katastrophenalarm im Landkreis Anhalt-Bitterfeld: Vergangene Woche hatten kriminelle Hacker die Systeme der Behörden lahmgelegt. Bis auf Weiteres müssen Bürger auf staatliche Zuwendungen und Dienstleistungen wie Sozialgeld oder Jugendhilfe warten. Mehr dazu lesen Sie hier.

Wer für den Angriff verantwortlich ist, ist noch offen. Klar jedoch ist: Solche Attacken gehören in Deutschland und Europa inzwischen schon zum Alltag. Fast täglich berichten Medien über Cyberangriffe, von denen manche auch Bürger treffen.

In Schweden musste unlängst eine Supermarktkette 800 Filialen wegen eines Hackerangriffs auf den US-Dienstleister Kaseya schließen. In Düsseldorf war die Uniklinik nach einer Attacke etwa 13 Tage von der Versorgung abgeriegelt.

Ransomware-Attacken werden solche Angriffe genannt, bei denen Unbekannte System verschlüsseln und für eine Freigabe Lösegeld erpressen. Michael Wiesner kennt sich mit solchen Angriffen aus. Er arbeitet als IT-Sicherheitsberater und ist Mitglied der unabhängigen Arbeitsgruppe Kritische Infrastrukturen (AG Kritis), deren Ziel es nach eigenen Angaben ist, die Versorgungssicherheit der Bevölkerung zu erhöhen. Im Interview erklärt Wiesner, warum viele deutsche Unternehmen und Behörden die IT-Sicherheit vernachlässigen, welche Schuld die Politik trifft und was uns in Zukunft drohen könnte, wenn wir das Thema nicht ernster nehmen.

t-online: Herr Wiesner, wie gut ist Deutschland auf solche Cyberattacken vorbereitet?

Michael Wiesner: Nicht gut. Die Berichte der vergangenen Wochen zeigen wieder deutlich, dass Deutschland ein Problem hat. Und das, was bekannt wird, ist ja nur die Spitze des Eisbergs. Die nicht gemeldeten Fälle liegen sicher um einen Faktor größer, den wir uns gar nicht vorstellen können.

Wie meinen Sie das?

Viele Firmen berichten nicht über Cyberangriffe, wenn sie es nicht müssen. Denn das könnte ihrem Image schaden. Und die aktuellen Gesetze zwingen die Unternehmen lediglich, Datenschutzvorfälle zu melden. Bei klassischen Ransomware-Attacken, wo Daten verschlüsselt werden, und Opfer zahlen, wird nur ein Bruchteil davon publik. Betreiber kritischer Infrastrukturen müssen Cyberangriffe zwar melden, aber auch diese Fälle werden oft nicht öffentlich bekannt.

Eigentlich müsste das Thema doch ernster genommen werden. Wie kann es sein, dass es so viele erfolgreiche Angriffe auf Unternehmen gibt?

Da gibt es viele Gründe: In mittelständischen Unternehmen etwa interessiert sich das Top-Management oft nicht für Cybersicherheit. Ein IT-Leiter kann den ganzen Tag argumentieren, warum er mehr Ressourcen benötigt und bekommt letztendlich doch keine. Deswegen sind die Abteilungen in der Regel unterbesetzt: Bei vielen Unternehmen kommt auf 90 Mitarbeiter nur ein ITler. Und dass bei Firmen, die heutzutage größtenteils abhängig von digitalen Prozessen und ihrer IT sind. Ich kann diese Diskrepanz auch persönlich nicht nachvollziehen: Wenn ich als Unternehmer weiß, dass ich von IT abhängig bin, sollte es doch eines meiner wichtigsten Anliegen sein, die so aufzustellen, dass sie auch zuverlässig und sicher funktioniert.

Bei vielen Cyberangriffen verlangen Erpresser ein Lösegeld in Millionenhöhe. Für die Unternehmen würde es sich doch lohnen, das Geld eher in IT-Sicherheit zu stecken, oder?

Was ich oft sehe, ist diese Vogelstrauß-Taktik. Viele Chefs stecken einfach den Kopf in den Sand und sagen: Mir wird schon nichts passieren.

Wenn private Unternehmen anfällig für Hackerangriffe sind, ist das eine Sache. Wenn jedoch Behörden oder Krankenhäuser betroffen sind, bekommen es die Bürger direkt zu spüren – so wie unlängst im Landkreis Anhalt-Bitterfeld. Wie kann so etwas passieren?

Eine Behörde ist in der Regel genauso gut oder schlecht aufgestellt wie ein vergleichbares Unternehmen. Insbesondere die kleineren Städte, Gemeinden und Landkreise sind so gut wie nicht reguliert. Damit haben sie das gleiche Problem: zu wenig finanzielle Mittel und in der Folge auch kein Geld für qualifiziertes Personal.

Aber warum tut die Politik hier nichts? Viele Experten warnen doch schon seit Jahren davor, dass es immer schwerere Cyberattacken geben wird.

Meiner Meinung nach verstehen viele Politiker das Thema einfach nicht. Als Kanzlerin Merkel 2013 von dem Internet als "Neuland" sprach, war das nicht als Witz gemeint. Die Politik ist einfach zu weit weg von Themen wie Internet, Digitalisierung oder gar Cybersicherheit.

Das heißt, wir haben in Deutschland gar nicht genug Kompetenzen für das Thema?

Wir sind mit unseren Behörden und Organisationen grundsätzlich gut aufgestellt, aber es herrscht eine unglaubliche Verantwortungsdiffusion. Schauen Sie mal auf die Seite der Stiftung Neue Verantwortung – eine Denkfabrik, die sich mit politischen und gesellschaftlichen Fragen zu neuen Technologien beschäftigt. Dort gibt es eine Übersicht zu Deutschlands staatlicher Cybersicherheitsarchitektur mit allen Organisationen, die irgendwas mit Cybersicherheit machen. Wir nennen dies scherzhaft auch "Wimmelbild", da es hier so viele verschiedene Akteure gibt, dass man schnell die Übersicht verlieren kann. Die Politik schafft es einfach nicht, die Anstrengung im Bereich Cybersicherheit zu bündeln. Das ist eine unglaubliche Irrfahrt. Jeder kocht sein eigenes Süppchen. Aber das Große und Ganze fehlt eben.

Was würden Sie sich hier von der Politik denn wünschen?

Ein großer Kritikpunkt der AG KRITIS ist die fehlende Unabhängigkeit des BSI vom Innenministerium. Optimal wäre daher ein starkes, unabhängiges Bundesamt für Sicherheit in der Informationstechnik (BSI), das am besten den Hut für ganz Deutschland beim Thema Cybersicherheit aufhat. Das BSI ist weltweit als sehr gute und kompetente Organisation anerkannt. Aber solange ein starkes, unabhängiges BSI politisch nicht gewollt ist, bringt das alles nichts. Hier muss die Politik endlich in die Puschen kommen.

Was ist denn so schlimm daran, dass das BSI dem Innenministerium unterstellt ist?

Es fehlt eine klare Funktionstrennung. Denn zum einen ist das BSI für den Schutz der Bürger, Unternehmen und Behörden zuständig. Zum anderen hat es immer noch den Touch von Geheimdienstaktivitäten an sich. Solange das BSI dem Innenministerium unterstellt ist, wird es dort einen Interessenskonflikt geben, der am Ende des Tages nicht gut für unsere Sicherheit ist.

Wie meinen Sie das?

Nehmen wir zum Beispiel das kürzlich in Kraft getretene IT-Sicherheitsgesetz 2.0. In den früheren Entwürfen hieß es noch, dass gefundene Schwachstellen offengelegt werden, solange keine überwiegenden Sicherheitsinteressen entgegenstehen. Dies kann so übersetzt werden: Unsere Sicherheitsbehörden sollen Schwachstellen zurückhalten können, wenn es in deren Interesse ist. Und das kann eben auch bedeuten, dass sie Sicherheitslücken selbst ausnutzen wollen, zum Beispiel um Verdächtige mittels Quellen-Telekommunikationsüberwachung auszuspionieren. In der endgültigen Fassung wurde diese Hintertür weitestgehend entfernt – sicher auch, weil so viele, inklusive der AG KRITIS, diesen Passus scharf kritisiert haben.

Umgangssprachlich versteht man unter "Quellen-Telekommunikationsüberwachung" den Staatstrojaner. Aber wie kann es zu solchen Entscheidungen kommen?

Ganz einfach: Es wird nicht auf Experten gehört, es wird nicht auf die Wissenschaft gehört. Die Politik macht einfach, was sie will – über die Gründe kann man nur spekulieren. Aber eines ist sicher: Wir alle sind am Ende die Leidtragenden.

Nehmen wir an, die Politik zeigt sich weiter desinteressiert, die Unternehmen sparen sich die Investitionen und die Schwachstellen bleiben. Was könnte uns im schlimmsten Fall drohen?

Ganz klar: Deutschland droht ein flächendeckender Ausfall von kritischen Infrastrukturen, zum Beispiel bei der Versorgung mit Strom, Wasser oder Lebensmitteln.

Wie nach der jüngsten Cyberattacke auf die Supermarktkette tegut, als teilweise Regale leer blieben?

Richtig. Das Problem ist, glaube ich, aber ein psychologisches. Solange die Auswirkungen nicht groß genug und andauernd sind, dass es wirklich in die Köpfe der Leute geht, wird es ganz schnell wieder vergessen. Wer redet zum Beispiel heute noch über die Attacke auf die Uniklinik in Düsseldorf Ende 2020? Kein Mensch mehr.

Es müssen also erst viele Leute leiden, ehe wir als Gesellschaft das Thema auch ernst nehmen?

Scheinbar. Solange es nicht so schlimm ist, dass es bundesweite Ausfälle gibt und zum Beispiel der Strom für mehrere Tage in ganz Deutschland ausfällt, wird es nicht genügend Druck auf die Politik geben, etwas zu verändern.

Seien wir mal ehrlich: Mit einem solchen Totalausfall malen Sie doch den Teufel an die Wand. Ist das wirklich realistisch?

Wenn man einige anerkannte Fachexperten zum Beispiel im Energiesektor fragt, sieht man, dass wir uns in großen Schritten einem Blackout nähern. Das hat jetzt nicht alleine etwas mit Cybersicherheit zu tun, sondern auch mit der Struktur des Stromnetzes in Europa, der Liberalisierung des Strommarktes und den Herausforderungen, die der Umstieg auf erneuerbare Energie mit sich bringt. Aber wie es auch im Buch "Blackout" beschrieben wurde, wird so eine Cyberattacke vermutlich ein Supply-Chain-Angriff sein, wie beispielsweise aktuell die Attacke auf den IT-Dienstleister Kasaya in den USA. Supply-Chain bedeutet, dass nicht die Unternehmen oder Betreiber direkt angegriffen werden, sondern deren Lieferanten und Dienstleister. Und über diese dann die eigentlichen Ziele. Bei den kritischen Anlagen ist es zum Beispiel so, dass immer die gleichen Komponenten von einer Hand von Herstellern verbaut werden. Und wenn es einen Angriff gezielt auf diese Teile gibt, besteht die große Gefahr, dass flächendeckend Systeme kompromittiert werden und ausfallen.

Wer steckt eigentlich hinter solchen Angriffen?

Man muss hier zwischen klassischen Cyberkriminellen und staatlich unterstützen Gruppen unterscheiden. Bei den klassischen Cyberkriminellen gibt es diejenigen, die das schnelle Geld machen wollen, und professionelle Banden – wie DarkSide mit ihrem Angriff auf den Kraftstoffversorger Colonial Pipeline in den USA.

Damals gab es ja große Sorgen, dass es zu einem Benzinnotstand kommen könnte.

Solche Banden stellen ihre Software auch anderen Kriminellen zur Verfügung und erhalten nach erfolgreichen Angriffen eine Provision. Cybercrime-as-a-Service nennt man das. In der Regel bombardieren diese Kriminellen Millionen Adressen mit Phishing-Mails und schauen, was sich ergibt. Inzwischen prüfen sie sogar ihre Opfer, schauen sich die Bilanzen oder deren Wichtigkeit für das Gemeinwohl an und entscheiden dann über die Höhe des Lösegelds. Es kommt natürlich auch vor, dass die Opfer gezielt ausgewählt werden. Die Angreifer verschlüsseln dabei nicht nur Daten, sondern laden diese auch runter und drohen, sie zu veröffentlichen, wenn das Unternehmen nicht zahlt.

Da hilft auch kein Back-up mehr.

Ein gutes Backup schützt vielleicht vor Verlust der Daten, aber eben nicht davor, dass sie im Darknet veröffentlicht werden. Kleinere solcher Gruppen halten sich aber meist von großen Unternehmen fern, da diese ansonsten die Sicherheitsbehörden auf den Plan rufen. Sie konzentrieren sich auf Mittelständer, die dann schon mal schnell eine halbe Million oder eine Million Euro Lösegeld zahlen. Das interessiert weder die Sicherheitsbehörden so richtig noch die Politik. Das ist am Ende nur ein Schaden für den Mittelständer, beziehungsweise für die Cyber-Versicherung, wenn denn eine existiert.

Und was ist mit Hackern im staatlichen Auftrag?

Die haben verschiedene Aufgaben. Letztendlich hacken alle großen Mächte zum eigenen Vorteil. Beispielsweise zur Unterstützung der nationalen Wirtschaft, indem sie Wettbewerber ausspionieren oder sabotieren. Und natürlich geht es um die Destabilisierung verschiedener Regierungen, was man zum Beispiel oft vor Wahlen sieht. China zum Beispiel hat mutmaßlich bereits seit 2015 eine Truppe namens Einheit 61398, die mit mehreren Hunderttausend Soldaten den ganzen Tag nichts anderes macht.

Welche Rolle spielen normale Nutzer in solchen Cyberangriffen?

Einzelne Nutzer können zum Beispiel als Teil eines Botnetzes missbraucht werden. Oder Angreifer können über ihre privaten PCs ins Netzwerk des Unternehmens eindringen. Oft sind sie also nicht das eigentliche Ziel, sondern deren Arbeitgeber.

Wie kann man so etwas verhindern?

Hauptsächlich durch einen umsichtigen und aufgeklärten Umgang mit Technik und dem Internet. Man darf eben nicht auf alles klicken, muss die Herkunft von E-Mails hinterfragen, und darf nicht irgendwelche Dateien ausführen, die man nicht kennt. Hier ist ein gesundes Maß Skepsis angebracht. Ein guter Tipp ist auch, nicht auf Links in E-Mails zu klicken, sondern die Adresse im Browser selbst einzutippen. Phishing-E-Mails sind aktuell bei Weitem der meistgenutzte Angriffsweg, um Computer und Netzwerke zu infiltrieren. Und natürlich muss man sichere Passwörter einrichten und immer alle Software auf den Computern aktuell halten. Denn viele Angriffe laufen eben auch über veraltete Software, die Sicherheitslücken hat. Aber das ist nur ein kleiner Ausschnitt. Wer will, kann sich im Internet ausgiebig Sicherheitstipps holen, zum Beispiel auch auf den Seiten des BSI.

Jetzt haben wir darüber gesprochen, wie schlimm alles ist. Gibt es denn auch eine gute Nachricht?

Nun ja, bei vielen Führungskräften macht es zwar in letzter Zeit "Klick". Das ist gut. Gleichzeitig ist auch klar: Die Geschwindigkeit reicht nicht aus, um der Bedrohungslage Herr zu werden. Denn die explodiert gerade und die Kurve der erfolgreichen Cyberangriffe geht gerade exponentiell nach oben.

Herr Wiesner, vielen Dank für das Gespräch.