Experte über Cyberangriffe: „Lösegeld verbessert Angriffe“

Digitale Angriffe auf eine Pipeline sorgten für Aufsehen. Wie sicher Netzwerke in Deutschland sind, erklärt Cybersicherheitsspezialist Sven Herpig.

Tankstelle ohne Benzin in Jacksonville, North Carolina, am 11. Mai Foto: ZUMA Wire/imago

taz: Herr Herpig, welcher Hackerangriff hat Sie in letzter Zeit am meisten überrascht?

Sven Herpig: Das war eine globale Angriffswelle Anfang des Jahres, bei der eine Schwachstelle in Microsoft Exchange Servern von einer Gruppe ausgenutzt wurden.

Warum war das für Sie überraschend?

Weil die An­grei­fe­r:in­nen hier sehr ungewöhnlich reagiert haben. Normalerweise ist es bei einer Cyberoperation so: Die An­grei­fe­r:in­nen schauen, dass sie das tun, was sie tun wollen, etwa Daten kopieren, und dann so schnell und unauffällig wie möglich wieder verschwinden oder für zukünftige Aktionen Zugang zu den Systemen behalten. Hier hat aber die Hafnium-Gruppe, der der Angriff zugeschrieben wird …

… und die mutmaßlich mit staatlichen Akteuren in China verflochten ist …

… etwas eher Ungewöhnliches gemacht: Sie hat sofort, nachdem sie aufgeflogen ist, fast wahllos Hintertüren in alle Systeme eingebaut, die sie erreichen konnte, die es ihnen selbst oder anderen An­grei­fe­r:in­nen ermöglicht hätten, zu einem späteren Zeitpunkt noch einmal auf diese Server zu kommen. Und in diesem Kontext stellt sich immer die Frage: Wo sind die roten Linien? Also die Linien, die ein staatlich verflochtener Akteur nicht überschreiten darf, will er nicht den angegriffenen Staat zu merkbaren Gegenmaßnahmen provozieren.

Und wo verlaufen die?

Das ist schwierig zu sagen, denn eine konkrete internationale Vereinbarung für diesen Bereich gibt es nicht. In diesem Fall würde ich sagen: Das war schon einen Tick über der roten Linie drüber. Ganz klar drüber ist die Einmischung in den Wahlkampf eines anderen Landes, wie das 2016 in den USA passiert ist, auch wenn die USA nicht sagten, dass diese gegen internationales Recht verstoßen hat.

Große Wellen in der Öffentlichkeit haben kürzlich auch zwei andere Fälle geschlagen: ein Angriff auf eine wichtige Pipeline an der US-Ostküste und einer auf Krankenhäuser in Irland, die infolgedessen ihren Betrieb herunterfahren mussten. Das war für Sie nicht überraschend?

im Interview:

Bio Sven Herpig

Foto: Sebasitan Heise

Sven Herpig, 35, ist Leiter für Internationale Cybersicherheitspolitik bei dem Thinktank Stiftung Neue Verantwortung

Angriffe mit Ransomware, also Erpressersoftware, auf Krankenhäuser sind nicht neu, auch wenn in den vergangenen Jahren Quantität und Qualität zugenommen haben. Und wenn man sich das mit der Pipeline genauer anschaut: Da ist nicht die operative Technologie, die etwa für das Weiterpumpen des Öls nötig ist, angegriffen worden. Sondern nur die Abrechnungssysteme. Der Betreiber hat sich dann entschlossen, alles abzuschalten, weil er das Öl sonst nicht mehr hätte abrechnen können. Nach den Informationen, die wir haben, sieht es daher nicht so aus, als hätten die An­grei­fe­r:in­nen die Ölversorgung stoppen wollen. Die wollten einfach nur Geld machen.

Trotzdem: Wie kann es sein, dass eine Software, die für den Betrieb anscheinend essenziell ist, so angreifbar ist?

Da gibt es verschiedene Möglichkeiten: Häufig ist das Thema IT-Sicherheit im Management nicht richtig angekommen. Vielleicht war es aber auch eine knallharte wirtschaftliche Entscheidung: Wie hoch ist das Risiko, dass so ein Angriff passiert? Was kommen dann für Schadenersatzforderungen? Was würde es kosten, die IT-Systeme entsprechend abzusichern? Da kann ein Unternehmen schon mal zu dem Ergebnis kommen, lieber das Risiko einzugehen.

Ist öffentliche Infrastruktur, also etwa Energie oder Gesundheit, besonders attraktiv für Angriffe?

Man muss sich überlegen: Was wollen Kriminelle? In der Regel wollen sie Geld und dann ihre Ruhe. Es ist eine Abwägung zwischen drei Faktoren. Erstens: Wie leicht ist das Ziel anzugreifen? In Deutschland gibt es spezielle Regeln für Betreiber von kritischer Infrastruktur, die dazu führen sollen, dass diese Anlagen möglichst gut geschützt sind und Bedrohungen früh erkannt werden. Zweitens: Wie viel Geld wird eine Erpressung bringen? Und drittens: Wie wahrscheinlich ist es – etwa in den USA –, nach einem Angriff FBI und die anderen Sicherheitsbehörden hinter sich her zu haben? Das ist eine Berechnung, die ständig wieder neu durchgeführt wird.

Der Pipeline-Betreiber hat schließlich fünf Millionen US-Dollar Lösegeld gezahlt. Hätte er das lieber sein lassen sollen?

Aus Sicht des Unternehmens, das schnell wieder Umsätze machen will, ist die Zahlung natürlich nachvollziehbar. Aber sie macht solche Angriffe für Nach­ah­me­r:in­nen attraktiv. Und man muss davon ausgehen, dass ein Teil des Geldes in eine Verbesserung der Angriffs-Infrastruktur gesteckt wird. Wer Lösegeld zahlt, verbessert also die Qualität der zukünftigen Angriffe.

In der Pandemie scheint die Zahl der Angriffe auf Krankenhäuser und andere medizinische Infrastruktur zu steigen. Was ist da los?

Ich habe keine Zahlen dazu, ob es da eine deutliche Steigerung gibt. Aber klar: In einem privatwirtschaftlichen Krankenhaus unterliegt auch die IT wirtschaftlichen Erwägungen. Ein Beispiel: Da gibt es dann halt nicht unbedingt Accounts mit unterschiedlichen Rechten für je­de:n Mitarbeiter:in, sondern mehrere Leute nutzen einen und der ist immer offen, damit je­de:r schnell rankann. Und das sind nur die kleinen Probleme, da geht es noch nicht um die dahinterstehende IT-Infrastruktur an sich.

Wie lässt sich da etwas verbessern?

Vermutlich nur über Regulierung. Es gibt jetzt gerade in der Pandemie die Debatte, ob nicht etwa zusätzliche medizinische Einrichtungen generell oder auch Impfstoffhersteller zur kritischen Infrastruktur gehören müssten.

Arztpraxen?

Wäre schön, aber ganz ehrlich: Von denen kann man kein ganz hohes Niveau an IT-Sicherheit erwarten. Da wäre es wohl sinnvoller, wenn der Staat entsprechende IT-Lösungen bereitstellt. Die müssten dann aber auch wirklich gut und auch in der Breite nutzbar sein.

Ist das Sicherheitsproblem ein Argument dafür, mit der Digitalisierung zurückhaltend umzugehen?

Es ist jedenfalls ein Argument dafür, sehr genau nachzudenken. Und nicht erst mal zu digitalisieren und sich später über IT-Sicherheit Gedanken zu machen. Aktuelles Beispiel: Die Luca-App, die schnell auf den Markt kam und bei der in den vergangenen Monaten schon haufenweise Sicherheitslücken gestopft werden mussten. Dagegen brauchte die Corona-Warn-App etwas länger, ist jetzt schon ein Jahr im Betrieb und: Gab es irgendwelche erfolgreichen Angriffe? Mir ist keiner bekannt.

Die Angst vor dem nächsten großen Angriff konzentriert sich in Deutschland auf die Bundestagswahl im Herbst. Es gibt Szenarien, dass es im Vorfeld Versuche geben wird, die öffentliche Meinung zu manipulieren oder am Wahltag die Infrastruktur zur Übermittlung der Daten anzugreifen – was ist davon realistisch?

Wichtig ist: Wir wählen analog, also vor Ort oder per Brief. Selbst falls es am Wahltag also erfolgreiche Angriffe gibt – die Ergebnisse werden am Ende korrekt sein.

Also großes Glück, dass der Chaos Computer Club vor knapp fünfzehn Jahren demonstriert hat, wie sich mit einem Wahlcomputer Schach spielen lässt und damit die Debatte über Wahlcomputer in Deutschland ziemlich erledigt war?

Ja, auf alle Fälle. Beim Wählen sollte man von digitalen Lösungen die Finger lassen. Was aber durchaus realistisch wäre: Dass Ak­teu­r:in­nen aus anderen Ländern zum Beispiel die Systeme von Po­li­ti­ke­r:in­nen angreifen und damit Desinformationskampagnen fahren. Also falsche Informationen verbreiten. Zum Beispiel etwas wie: Die Bundesregierung wusste schon viel länger von den Pandemie-Gefahren. Das halte ich für ein ernsthaftes Risiko.

Weiß man denn mittlerweile besser als noch vor einigen Jahren, wer hinter Angriffen steckt?

Sagen wir: Man kann eher selten eine Operation konkret einem Land zuordnen. Stattdessen können sie Gruppen zugeordnet werden, die nutzen bestimmte Werkzeuge und spezifische Methoden und fahren ähnliche Operationen, die übergeordneten strategischen Zielen zugeordnet werden können.

So ließ sich kürzlich etwa eine mutmaßliche iranische Cyberoperation gegen Israel zuordnen. Aber selbst wenn eine Gruppe in einem bestimmten Land sitzt, bleibt die Frage: Weiß der Staat davon und lässt sie gewähren? Unterstützt er sie? Gibt es Verflechtungen? Und: Wissen ist eines. Aber darauf eine adäquate politische Reaktion zu finden, ist mindestens ebenso kompliziert.