SUCHEN NACH:

Spione im Netz

Wer den Schaden hat, braucht für den Spott nicht zu sorgen: Die Sicherheitsexpertin des Fraunhofer-Instituts, Prof. Claudia Eckert, erklärt, warum wir Cybersecurity ernst nehmen sollten.

  • 26. Februar 2020
  • 6 Minuten Lesezeit
  • Antje Harders
Bildrechte: umberto on unsplash

Eigentlich bringt sie nichts so schnell aus der Ruhe. „Ich schlafe generell gut“, sagt Prof. Dr. Claudia Eckert, „das heißt aber nicht, dass es keine besorgniserregenden Sicherheitslagen gäbe.“ Eckert ist so etwas wie Deutschlands Cybersecurity-Guru auf wissenschaftlicher Seite: Als Leiterin des Fraunhofer-Instituts für Angewandte und Integrierte Sicherheit (AISEC) forscht die Informatikprofessorin in München-Garching daran, wie man Hackern am besten gleich mehrere Schritte voraus ist. Mit ihrem Team führt sie sogenannte Penetration-Tests durch und versucht, im Auftrag ihrer Kunden in deren digitale Systeme einzudringen. So enttarnt sie mögliche Schwachstellen und Einfallstore und entwickelt Lösungen – bevor es zu spät ist. Eckert nennt das „auf Herz und Nieren prüfen“.

Ernüchternde Ergebnisse

Die Namen der Auftraggeber sind schon aus Sicherheitsgründen tabu. Sie stammen aus der Automobil-, Flugzeug-, Telekommunikations- oder Infrastrukturbranche. Zu den Forschungsschwerpunkten gehören die Sicherheit der Mobilfunktechnologie 5G, des autonomen Fahrens oder von Strukturen zum Austausch medizinischer Daten wie die europäische Cloud-Lösung „Gaia X“. Manchmal prüft Eckert auch Hardware, bestrahlt Sicherheitschips mit Lasern, um deren Anfälligkeit für Manipulation zu testen. Das Ergebnis ist mitunter ernüchternd. „Manche Chips lassen sich sogar mit einer Taschenlampe aufs Kreuz legen, auch wenn das sehr viel länger dauert als mit einem Laser.“

„Oft fehlt das Geld und das technische Know-how.“
Prof. Dr. Claudia Eckert

Vor allem eins bereitet ihr zunehmend Bauchschmerzen: das mangelnde Bewusstsein in der deutschen Gesellschaft für das Thema Cybersecurity. „Die Nutzung möglicher Schutzmechanismen hält nicht Schritt mit der immer schneller wachsenden Macht der Technologien. Es ist besorgniserregend und bedrohlich, wie leichtfertig manche Unternehmen und Betreiber von Infrastrukturen mit ihren Sicherheitsstandards umgehen.“ Das betreffe weniger die großen, vom Staat überwachten kritischen Infrastrukturen wie Atomkraftwerke, sondern eher kleinere Unternehmen, manche Krankenhäuser oder Stadtwerke. „Da fehlt oft das Geld und das technische Know-how. Oder es herrscht die Denke: Bisher ist ja nichts passiert.“

Kritische Infrastrukturen (KRITIS) ab einer bestimmten Größe – also etwa Unternehmen aus den Bereichen Staat und Verwaltung, Energie, Wasser, Gesundheit, Transport und Verkehr oder Telekommunikation – müssen ihre Sicherheitsstandards auf dem neuesten Stand halten und Cybervorfälle melden. In speziellen Datenbanken können sie sich über neue Erkenntnisse zu Sicherheitslücken informieren, soweit die eigene verbaute künstliche Intelligenz diese nicht eh automatisch behoben hat. Das Problem: Unternehmen außerhalb der KRITIS-Kategorie sind weder an eine Meldepflicht noch an staatliche IT-Kontrollen gebunden. Dabei gibt es auch in Deutschland längst Vorfälle genug.

Raum für Spionage und Sabotage

Ob KRITIS oder nicht – vor Attacken ist kein Unternehmen gefeit. 400.000 neue Schadprogramme fluten das Netz täglich. Allein im zweiten Halbjahr 2018 verzeichnete das Bundesamt für Sicherheit in der Informationstechnik (BSI) rund 160 Hackerangriffe auf Versorger kritischer Infrastrukturen, 19 davon richteten sich gegen das deutsche Stromnetz – Tendenz steigend. Im Herbst 2019 legte eine Schadsoftware tagelang das Computersystem des Berliner Kammergerichts lahm; 2017 führte der „WannaCry“-Virus zum Ausfall von Anzeigetafeln der Deutschen Bahn, 2016 traf es eine Million Router der Deutschen Telekom, 2015 den Deutschen Bundestag.

„Was früher Spione erledigt haben, übernimmt heute die Technik.“

Längst ist der Cyberspace zum Raum für Spionage und Sabotage geworden, auch auf staatlicher Ebene. „Wir brauchen uns nichts vormachen: Was früher Spione erledigt haben, übernimmt heute die Technik“, sagt Eckert. „Spätestens seit den Enthüllungen von Edward Snowden weiß man ja, welche Abhörmaßnahmen möglich sind. Geheimdienste versuchen, zu infiltrieren und im Zweifelsfall einzugreifen.“ Laut US-Medienberichten sollen iranische Agenten seit Jahren ausländische Flugdrohnen und Schiffe hacken, verbunden mit einer Kampagne in den sozialen Netzwerken: Angeblich bauen attraktive Frauen online den Kontakt zu einsamen Seeleuten der US-Marines auf, um Informationen über Standorte und Routen von US-Kriegsschiffen zu erschleichen. Ein weiteres Mittel des Cyberkriegs: die sogenannten Cyberminen, eine präventive digitale Verminung ausländischer Infrastrukturen für den Konfliktfall. So sollen etwa die USA nach Recherchen der „New York Times“ Schadsoftware in Anlagen des russischen Elektrizitätsnetzes deponiert haben.

Cyberarmeen auf dem Vormarsch

Das Wissen über IT-Schwachstellen, sogenannte „Zero Days“, ist im Internet längst zur Ware geworden. 2015 räumte die NSA die Nutzung solcher Sicherheitslücken für Spionagezwecke ein. 91 Prozent der entdeckten Auffälligkeiten lege man gegenüber den Softwareherstellern offen – neun Prozent nicht. Dieser Rest würde aus Gründen der „nationalen Sicherheit“ geheim gehalten oder sei bereits vom Anbieter behoben worden.

Inzwischen haben diverse Staaten ihre eigene Cyberarmee aufgebaut – denn kaum ein Konflikt zwischen Nationen läuft noch ohne Cyberdimension ab. Die Bundeswehr unterhält seit 2017 ihre eigene IT-Truppe, das Kommando Cyber- und Informationsraum. Die USA gründeten bereits 2008 das Cyber Command, nach einem massiven russischen Hackerangriff. Auch der Iran unterhält seit 2010 seine eigene Cyberarmee. Damals hatte der Computerwurm Stuxnet die Zentrifugen einer iranischen Urananreicherungsanlage und eines Atomkraftwerks manipuliert. Wer den Virus einst schrieb, ist noch immer umstritten.

„Wir können nicht nach besserer IT-Sicherheit schreien, wenn wir diesen Mehrwert nicht bezahlen wollen.“
Prof. Dr. Claudia Eckert

Vor allem die Frage nach der Autorenschaft mache einen Cyberwar kompliziert, erklärt Eckert. „Die Zuordnung, von wo aus die Attacke ausgeht, ist oft nicht eindeutig. Ein Angreifer kann vorgaukeln, er wäre ein Rechner aus Russland – dabei steht er in Wirklichkeit in Bielefeld.“ Deswegen sei es auch so schwierig für einen Staat, sich zeitnah mit einem digitalen Gegenangriff zu verteidigen: „Deutschland wird oft vorgeworfen: ‚Warum traut ihr euch nicht, digital zurückzuschlagen?‘ Das ist technisch gesehen ziemlicher Unsinn! Ein staatlicher Hack-back setzt voraus, dass man weiß, wie man in den auslösenden Rechner eindringen kann. Das wiederum setzt voraus, dass man den Rechner bereits kennt. Wenn man ihn aber schon kannte – warum hat man dann den Angriff nicht vorhergesehen?“ Wer bei einem Cyber-Gegenangriff den Falschen treffe, löse zudem internationale Konflikte aus. „Dann lieber die eigene IT abschotten, die Systeme vom Netz nehmen und im hiesigen Rechtsraum agieren.“

Gefahr der Abhängigkeit

Generell sei es wichtig, bei der IT von Anfang an auf Qualität zu setzen. „Die Politik muss ihre Einkaufsregularien ändern und nicht nur das Billigste einsetzen, weil es der Haushalt so erfordert. Wir können nicht nach besserer IT-Sicherheit schreien, wenn wir diesen Mehrwert nicht bezahlen wollen.“ Der Streit um den Einsatz von Huawei-Komponenten beim Aufbau des 5G-Netzes sei ein gutes Beispiel. „Dahinter steckt die Angst, China könne in Deutschland einen sogenannten ‚Kill Switch‘ verursachen und ganze Systeme einfach abschalten“, erklärt Eckert. Die Sorge komme spät, denn chinesische Technik sei – beispielsweise in Telekom-Anlagen – längst flächendeckend verbaut.

„Natürlich muss Deutschland versuchen, sich bei der 5G-Technik nicht von nur einem Hersteller abhängig zu machen.“
Prof. Dr. Claudia Eckert

„Natürlich muss Deutschland versuchen, sich bei der 5G-Technik nicht von nur einem Hersteller abhängig zu machen. Dafür müssen wir Geld ausgeben und die Komponenten aller Anbieter genau testen – auch aus Europa und den USA. Wir gucken immer zu Xi Jinping nach China, haben aber mit Donald Trump auf der anderen Seite des Atlantiks ein genauso unberechenbares Staatsoberhaupt.“ Ein einheitlicher Analysebewertungsrahmen für die Tests müsse her, nebst einer Pflicht zur Zertifizierung von Cybersecurity-Komponenten. „Wenn künstliche Intelligenz im autonomen Fahren oder in der Gesundheitsbranche eingesetzt wird, darf man nicht an der Sicherheit sparen.“

Im Dezember 2018 beschloss die EU zwar flächendeckende, einheitliche Cybersecurity-Zertifizierungen für Online-Dienste und digitale Geräte. Durch drei Sicherheitsstufen (niedrig, mittel, hoch) sollen nun Verbraucher das Risiko für Attacken besser einschätzen können. Die Zertifizierung ist für die Hersteller bisher aber nur freiwillig. Ein Grund für Eckert, sich vorerst nicht in ein vernetztes Auto zu setzen. „Außer einem intelligenten Energiezähler, der den Stromverbrauch misst, habe ich daheim keine Smart-Home-Geräte“, sagt Eckert. Kein Alexa, kein Smart-TV, kein smarter Backofen. „Ich vermeide das nicht, weil ich Paranoia hätte – sondern weil ich diesen Schnickschnack einfach nicht brauche.“