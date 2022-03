Potsdam

Christian Dörr ist Professor für Cybersicherheit und Unternehmenssicherheit am Potsdamer Hasso-Plattner-Institut (HPI). Im Interview erläutert er, wie gefährdet das Netz besonders in Zeiten des Krieges ist.

Eine grundsätzliche Frage: Auch private Rechner sind mit Schutzprogrammen versehen. Warum dringen Angreifer trotzdem durch?

Christian Dörr Schutzprogramme können nur Dinge abwehren, die sie als bösartig erkennen. Virenscanner haben zum Beispiel sogenannte Signaturen. Man muss sich darunter eine Art DNA-Stückchen in Software-Form vorstellen. Dringt eine bösartige Schadsoftware in den Rechner ein und weist – bildlich gesprochen - solche DNA-Stückchen auf, dann erkennt das Schutzprogramm sofort die Schadsoftware und wirft sie raus. Das funktioniert ganz gut. Allerdings kann ich Schadsoftware natürlich immer neu zuschneiden und verändern. Dann identifizieren Virenscanner die Eindringlinge nicht mehr so ohne Weiteres. Professionelle Cyberkriminelle und staatliche Akteure haben Techniken entwickelt, die die Abwehr umgehen. So wird Schadsoftware oft so passgenau gemacht, dass die Abwehr es nicht mehr erkennt, oder die Schadsoftware ist so gebaut, dass sie bei jedem Kopiervorgang mutiert. Trotzdem gibt es Möglichkeiten, auch raffinierte Angriffe abzuwehren. Dafür benötige ich allerdings eine genaue Kenntnis darüber, wie sich mein eigenes Netzwerk und System normalerweise verhalten sollten. Je nach Komplexität der Systeme – zum Beispiel bei großen Banken – kann es aber sehr schwierig sein, Anomalien zu identifizieren. Das überfordert sehr viele Firmen, weil es eine sehr tiefe Kenntnis des eigenen Geschäfts und des eigenen Netzwerks erfordert.

Aber müssten solche Organisationen wie große Banken nicht auch über die viel besseren Schutzsysteme verfügen?

Natürlich haben sie mehr Möglichkeiten, sich zu schützen. Aber es gibt eben eine ganze Reihe von Einfallstoren für Angreifer. Und das klassische Einfallstor ist der Mensch. Phishing-Angriffe funktionieren immer wieder. Man bekommt eine Mail, die teilweise täuschend echt wirkt. Wenn Sie 300 Mitarbeiter haben und nur einer davon klickt auf die Mail, haben Sie als Angreifer schon einen Fuß in der Tür. Zusätzlich haben Sie als Nationalstaat die Möglichkeit, so genannte Zero-Days aufzuspüren und zu nutzen. Das sind Verwundbarkeiten eines Systems, die noch kaum einer kennt. Für das Aufspüren solcher Schwachstellen wird sehr viel Geld aufgewendet. Angreifer können die Kenntnis darüber für den Fall der Fälle bewahren. Wenn man sie dann in einem Konflikt braucht, sind sie Gold wert. Die unbekannte Schwachstelle ist wie ein Schlüssel, der Ihnen dort die Tür öffnet, wo die Software eingesetzt wird. Der Verteidiger kann nichts machen, weil die Stelle sich nicht ohne weiteres reparieren lässt. Wenn die Software dann auch noch geschäftskritisch ist, kann ich sie auch nicht einfach abstellen. Dann muss ich warten, bis der Hersteller mir ein Update liefert.

Wie kommt man an solche „Schlüssel“, also Schwachstellen heran?

Zum Beispiel indem Sie die Software in Ihren eigenen Laboren auseinandernehmen und so nach Verwundbarkeiten suchen. Sie können auch bei den Herstellern einbrechen und den ursprünglichen Quelltext der Software stehlen und anhand des Textes nach Programmierfehlern suchen. Entsprechend dieser Fehler bastele ich mir dann meinen Schlüssel, um in die betriebene Software einzudringen.

Hinweise auf eine staatliche Hackerstruktur

Hat der russische Staat solche Laboratorien, die Software und Quellcodes untersuchen?

Es ist bekannt, dass der russische Staat unter der Hand mehrere Gruppen unterhält. Viele sind mit dem Geheimdienst GRU verbandelt. Solche Gruppen sollen zum Beispiel den Deutschen Bundestag angegriffen oder die privaten E-Mails von Hillary Clinton veröffentlicht haben. Es gab aber auch schon seit 2014 Angriffe auf ukrainische Banken und Energieversorger. All dies wird zumindest indirekt dem russischen Staat zugeordnet. Man hat viele Indizien aufgrund der Malware, der verwendeten Infrastruktur und Vorgehensweise. Die Experten sind sich ziemlich sicher, dass es faktisch eine staatliche Hackerstruktur gibt.

Nehmen die Cyberattacken seit Beginn des Krieges zu?

Wir hier vor Ort haben tatsächlich schon eine Zunahme an Phishing-Angriffen auf die Universität Potsdam gesehen. Daneben gab es zu Beginn des Krieges eine Zunahme großflächiger DDoS-Angriffe, also solcher Angriffe, die durch massenhafte Anfragen ganze Systeme lahmlegen. Wir haben hier am Hasso-Plattner-Institut eine Art Teleskop welches sozusagen das Echo dieser DDoS-Angriffe weltweit auffangen kann. Wir sehen eigentlich schon seit mehreren Wochen, dass solche DDoS-Angriffe laufen. Zum Beispiel gibt es seit Mitte Februar Angriffe auf Banken, später dann auf Regierungsorganisationen und schließlich auf private Webseiten. Kürzlich haben wir einen Angriff auf einen Verbindungspunkt zwischen Banken gesehen. Wir haben auch sogenanntes Network-Highjacking beobachtet. Man kann das Internet nämlich so manipulieren, dass der Datenverkehr in bestimmte Richtungen umgeleitet wird. Ich kann ihn zum Beispiel durch Russland leiten. Auch das sehen wir seit mehreren Tagen. Network-Highjacking wird zum Beispiel verwendet, um ukrainische Seiten aus dem Netz zu nehmen. Wir sehen auch Malware, die in der Ukraine ziemlichen Schaden anrichtet. Das wurde schon seit Wochen, zum Teil seit Monaten vorbereitet.

Lässt sich ein bestimmtes Muster oder gar ein Stil bei russischen Angriffen erkennen?

Es gibt eine sehr lange Historie von russischen Cyberangriffen. Ein großer Angriff fand 2007 auf Estland statt. 2008 schließlich, beim Angriff auf Georgien, wurde auch der Datenverkehr umgeleitet. Als es 2014 um den Krim-Krieg ging, gab es viele DDoS-Angriffe aber auch gezielte Cyberangriffe auf militärische Infrastruktur. 2015 gab es einen massiven Cyberangriff auf die Ukraine um die Weihnachtszeit. Dort wurde die kritische Infrastruktur der Steuerung der Energieübertragung angegriffen. Über 200 000 Leute saßen im Dunkeln. All diese Angriffe dienen der Schadensmaximierung oder der Verschleierung. Leute können zum Beispiel plötzlich kein Geld mehr abheben oder bestimmte Webseiten nicht mehr erreichen. Wir leben in einer Informationsgesellschaft und fast alles wird auch durch Computer gesteuert. Wenn das Netzwerk nicht mehr funktioniert, ist das normale gesellschaftliche Leben deutlich schwieriger. Neben der analogen Kriegsführung ist der Cyberspace dadurch inzwischen ein weiterer Raum der Kriegsführung geworden. Wir sehen schon seit Jahren einen solchen Kampf auf Cyberebene, der unterhalb der normalen Ebene der Kriegsführung stattfindet – und der auch oft nicht einem bestimmten Angreifer zuzuordnen ist.

Politischer Druck durch Cyberangriffe

Aber was könnte das übergeordnete politische Ziel hinter solchen Angriffen sein?

Sie können schon eine enorme politische Drohkulisse aufbauen. Sie können zeigen: Ich kann euch auf ganz einfache Weise enorm schaden, ja, eure ganze Volkswirtschaft lahmlegen. Ich habe eine Waffe, ohne direkt einen Krieg vom Zaun zu brechen.

Die Cyberwaffe ist also sozusagen eine alternative Atombombe, die ich ständig zücke, um mir den Gegner politisch gefügig zu machen?

Genau. Und zugleich lässt sich die Urheberschaft ja auch immer abstreiten. 2018 gab es zum Beispiel Cyberangriffe auf Südkorea mit der sogenannten Olympic-Destroyer-Malware. Die Schadsoftware wurde zunächst Nordkorea in die Schuhe geschoben, weil alle digitalen Fingerabdrücke und Indizien Richtung Nordkorea gewiesen haben. Mittlerweile sagt man, es war wahrscheinlich Russland, das das als sogenannte False-Flag-Operation durchgeführt hat. Es wurde dafür gesorgt, dass es so aussah, als käme die Schadsoftware von den Nordkoreanern.

Kann man die Spuren immer völlig verwischen oder käme man mit viel Zeit und Technologie den Tätern doch auf die Schliche?

Einfache Cyberkriminelle sind ziemlich gut zu verfolgen, zum Beispiel weil man gewisse Handschriften in den Angriffen erkennt. Als Geheimdienstler sind Sie natürlich extrem gut darin, Ihre Handschrift zu verschleiern. Sie werden einen Angriff zum Beispiel über unzählig viele Ecken gleichzeitig starten, etliche Zwischenstationen zwischen Ihnen und dem Opfer nutzen, und falsche Fährten legen. Gleichzeitig legt so ein Vorgehen natürlich nahe, das man es mit einem sehr potenten Gegner zu tun hat. Die „TTPs“ wie wir Fachleute sagen, die Techniken, Taktiken und Prozeduren, weisen oft auf die Angreifer hin und Fachleute erkennen die Handschrift – gerichtsfest ist das aber nicht und es kann natürlich auch bewusst gefälscht werden, wie wir eben besprochen haben.

Was können wir tun, um uns besser gegen solche Angriffe zu wappnen?

Auf der einfachsten Ebene der individuellen Nutzer reden wir seit Jahren immer über dasselbe: Erhöhtes Sicherheitsbewusstsein, das Nutzen von sicheren Passwörtern, die Software aktuell halten, und zum Beispiel Backups von Daten und Programmen machen. Wir wissen zum Beispiel seit vielen Jahren, dass es Erpresser-Software gibt, die Ihr System verschlüsselt. Fragen Sie aber mal bei einer Firma nach, ob sie regelmäßige Backups ihrer Systeme gemacht hat, lautet die Antwort viel zu oft: Nein. Das sind Basis-Hausaufgaben, die jeder eigentlich machen müsste. Leider ist das bei vielen Betrieben immer noch nicht angekommen. Auch ein Vorfalls-Management gibt es kaum. Aktuelle Studien zeigen, dass etwa 70 Prozent der Firmen kein solches Vorfalls-Management betreiben. Wenn bei diesen eine Attacke passiert, müssen sie sich erst zusammensetzen und beraten, was sie tun. Aber die Notfallpläne oder Vorsorge für solche Angriffe hätte man eigentlich zuvor schon machen müssen – mit genauen Anweisungen für jeden Mitarbeiter. Die Mitarbeiter können übrigens die beste Firewall werden, indem ich sie zum Beispiel dazu ausbilde, Phishing-Mails zu entdecken und sofort zu melden. Dann könnte die Organisation die Mails sofort blockieren.

Sicherheit ist wichtig, aber oft zu teuer

Und wie sieht es auf der höheren Ebene, über dem einzelnen Nutzer aus?

Man sollte zum Beispiel wissen, wie eine gute Systemarchitektur auszusehen hat. Wir bauen in Unternehmen die Sicherheit seit jeher wie eine Art Eierschalenmodell auf. Ich nehme an, alle Bedrohungen und Angreifer sind draußen, und ziehe einen großen Wall um meine ganze Unternehmung – innen ist alles offen. Dringt nun eine Bedrohung durch diesen Wall, zum Beispiel eine Phishing-Mail, kann sie sich in diesem Innenraum unkontrolliert verbreiten. Jemand klickt den Link einer solchen Mail an – und schon ist die Schadsoftware im ganzen Unternehmen. Was man machen könnte, wäre eine andere Systemarchitektur für das Unternehmen. Man müsste die Organisation in einzelne Sicherheitszonen unterteilen. Wenn ich die Schadsoftware in einer einzigen Abteilung festhalten kann, ist der Schaden natürlich viel kleiner. Dazu geht man jetzt immer mehr über. Jetzt kommt aber noch etwas hinzu. Da inzwischen viele Mitarbeiter weit verteilt arbeiten, etwa im Homeoffice oder im Ausland, muss man eine ganze Systemlandschaft verteidigen. Auch dazu gibt es Techniken. Aber die setzt kaum jemand ein. Auch auf Ebene der Netzwerkprovider und Nationalstaaten gibt es Möglichkeiten, zum Beispiel um das Umleiten des Datenverkehrs zu verhindern. Man kann durch eine Art kryptografische Unterschrift die Wege, die die Daten im Internet nehmen, verifizieren. Man könnte so zum Beispiel nachweisen, dass ein bestimmter Weg nicht gültig ist, weil die digitale Unterschrift fehlt. Die Lösung für bestimmte Angriffe, die wir jetzt wieder sehen, existieren seit 20 Jahren, aber diese Sicherheitssysteme kosten natürlich Geld und wurden oft auch aus politischen Gründen nicht genutzt. Wir haben viele Optionen um uns besser zu schützen, in der Breite müssen wir leider in Deutschland immer noch zuerst einmal eine Basis-Sicherheit schaffen.

Von der eigenen Sicherheit abgesehen: Wäre es nicht lohnend, mal zurückzuschlagen und es dem Gegner so richtig zu zeigen?

Das hört und sagt man immer wieder gern. Es gibt viele Länder, die das so machen. In Deutschland haben wir uns dafür entschieden, es nicht zu tun. Das Problem ist: Der Gegner hat viele Möglichkeiten, falsche Fährten zu legen und eine Attacke einem anderen in die Schuhe zu schieben. Wenn sie jetzt einen Gegenangriff starten, schaden sie womöglich einem Opfer, das gar nichts mit dem Angriff zu tun hatte. Solche Möglichkeiten lassen sich nie ausschließen. Die Beweisführung ist – anders als bei analogen Ereignissen – nie sicher.

Mit anderen Worten, es ist besser defensiv zu bleiben, anstatt das Risiko einzugehen, gegenüber Unschuldigen unverantwortlichen Schaden anzurichten.

Das ist der eine Punkt. Das Zweite ist: Ein Gegenangriff bringt Ihnen, besonders wenn Sie ein Unternehmen sind, überhaupt nichts. Wenn Ihnen jemand Ihre Daten klaut, dann holen sie die Daten nie mehr zurück. Die Daten könnten längst verkauft sein. Und was hätten Sie davon, sich jetzt durch einen Gegenangriff zu rächen? Nichts. Ihre Priorität im Cyberspace ist es immer, einen Angriff überhaupt zu verhindern, nicht einen Gegenangriff zu starten. Es geht hier eigentlich nur um den digitalen Selbstschutz.

Wenn Sie an die ganze Cyberkriegsführung der Russischen Föderation denken, kommt da der jetzt sehr analoge Angriff auf die Ukraine überhaupt noch überraschend?

Das kann ich nicht beantworten, aber es gab ja viele Berichte über die wochen-, ja monatelangen Vorbereitungen. Auch auf der Cyberseite befand sich die Ukraine seit vielen Jahren bereits in einem Ausnahmezustand, und auch die aktuellen Cyberangriffe wurden wochen-, ja monatelang etwas vorbereitet. Dass also parallel zum Krieg die Cyberangriffe auch wieder stärker werden, ist überhaupt nicht überraschend und beobachten wir seit vielen Jahren. Solche physischen Konflikte beeinflussen immer auch den Cyberspace. Und natürlich ist das ein wichtiger Punkt, auf den wir uns auch in Deutschland vorbereiten müssen, zumal solch ein Cyberangriff einfach viel niederschwelliger ist als ein analoger Krieg.

Von Rüdiger Braun