"Cybersicherheit im Jahr des Pferdes. Gute und weniger gute Vorsätze"

„One death is a tragedy, and a million is a statistic, he [Edward Snowden] says, mordantly quoting Stalin. Just as the violation of Angela Merkel’s rights is a massive scandal and the violation of 80 million Germans is a nonstory.“ (Edward Snowden auf wired.com)

.„Der schnellste Weg, einen Krieg zu beenden, ist, ihn zu verlieren.“ (George Orwell)

In der Schlacht von Cannae im Jahr 216 v. Chr. standen sich die römischen Legionen in einer Stärke von circa siebzigtausend Mann der karthagischen Armee, fünfzigtausend Mann umfassend, gegenüber. Die Römer wurden – trotz ihrer zahlenmäßigen Überlegenheit – vom Heer Hannibals besiegt und ihre Legionen dezimiert. Heute gilt die Redewendung „Cannae erleiden“ immer noch als Synonym für eine vernichtende Niederlage. Warum wurden die Römer also besiegt? „Hochmut“, erklärt sinngemäß die Militärakademieleiterin den jungen Offiziersanwärtern im Krieg gegen die Aufständischen in der neuesten Verfilmung des populären Computerspiels Halo 4: Forward Unto Down. „Unterschätze nie deinen Gegner. Und unterschätze nie, was er bereit ist, für einen Sieg zu opfern“, erklärt sie geduldig ihren Schülern, die nicht verstehen, wie sie eine Strategie aus der Antike in einem interplanetaren Krieg einsetzen sollten.

.Im Kontext der Cybersicherheit spricht man in Deutschland heute gerne vom Krieg – vom Cyberkrieg. Demzufolge sind also auch einige Worte zum Hochmut angebracht –nicht nur, weil im Januar 2015 nach dem chinesischen Horoskop das Jahr der Ziege beginnt (oder des Schafes, wie es in manchen Versionen des Horoskops heißt; das Tierzeichen gilt als eingebildet, aber artig). Auch ein Blick zurück auf das Jahr 2014 mahnt zum Nachdenken. Während die Wirtschaft zwischen übertriebener Zuversicht, man sei „gut aufgestellt“ und Wir-geben-keine-Auskünfte-Kommunikationspolitik hin und her schwankt, inszeniert sich die Politik in der Rolle des Anwalts des einfachen Bürgers und die Medien als Aufklärer und Ankläger der Wirtschaft.

Mit dem neuen IT-Sicherheitsgesetz[1] möchte die Bundesregierung angemessen auf die neue Bedrohungslage reagieren und die kritischen Infrastrukturen für die potenziellen externen Angriffe gewappnet sehen. Einer Reihe von Branchen – beispielhaft wurden im Gesetz Energie, IT und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung und der Finanz- sowie Versicherungssektor aufgeführt[2] – sollten mit dem Gesetz Mindestanforderungen an die Sicherheit ihrer IT-Systeme auferlegt werden. Hinzu kommt eine Meldepflicht für Sicherheitsvorfälle. Große Unternehmen sollen in der Zukunft branchenübergreifend dem BSI – Bundesamt für Sicherheit in der Informationstechnik – solche Vorfälle melden (diese Meldepflicht besteht aktuell schon für einzelne Branchen). Das Gesetz sieht außerdem einige Geldspritzen und neue Arbeitsplätze für diese staatlichen Stellen vor, welche künftig wichtige Aufgaben im Umfeld der Cybersicherheit übernehmen sollen. Das BSI soll beispielsweise zusätzliche 133 Planstellen mit jährlich ca. 9 Mio. Euro Personalkosten und 5 Mio. Euro Sachkosten erhalten. Zu den Begünstigten gehören ebenfalls das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK), das Bundeskriminalamt (BKA) sowie das Bundesamt für Verfassungsschutz (BfV). Der Entwurf des Gesetzes wurde im Sommer 2014 veröffentlicht und im Dezember 2014 mit geringfügigen Korrekturen vom Bundestag beschlossen.[3] Der BSI-Präsident, Michael Hange, bestätigte kürzlich auf einer Veranstaltung der Friedrich-Ebert-Stiftung, dass in seiner Organisation eine neue Cybersecurity-Einheit aufgebaut wird[4].

Eines sticht im Entwurf des IT-Sicherheitsgesetzes sofort ins Auge: Es sind nicht mehr die Informationen und Daten, die geschützt werden sollen (das bedeutet wörtlich der Begriff information security/Informationssicherheit), sondern nur die Systeme, unabhängig davon, welche Art von Informationen sie verarbeiten. Eine Abkehr vom Dogma der Informationssicherheit zeichnet sich ab: Nicht mehr die Informationen sind das schützenwürdige Gut, sondern die (datenverarbeitenden) Systeme, also die Technik.

Spätestens mit der Publikation des Buches Der NSA-Komplex[5] von zwei Journalisten einer der führenden Wochenzeitschriften Der Spiegel haben die Medien ihre Rolle als vierte Gewalt im Staat auch beim Thema Cybersecurity gefestigt: indem sie Skandale aufdecken, Schreckensszenarien entwickeln, Katastrophen ausmalen – und diese Unternehmen an den Pranger stellen, die in den Akten Edward Snowdens erwähnt wurden, durch unzureichende Sicherheitsmaßnahmen auffallen oder lässige Sicherheitspolitik betreiben. Oder solche, diegehackt wurden.

Dazu gehören zum Beispiel das Deutsche Luft- und Raumfahrtzentrum (DLR)[6] oder die Firma Engelbert Strauss im ablaufenden Jahr. Das DLR vermied allerdings das Schlimmste, indem es mit der Information über den Hackerangriff offensiv umgegangen ist. „Ja, wir sind gehackt worden“, bestätigte auf einem der wichtigsten Cybersecurity-Events in Deutschland, der Cybersecurity-Jahrestagung des Handelsblatt, der Sprecher des DLR. Das Zentrum, das sich u. a. mit der Entwicklung von Technologien für Rüstung, Kommunikation, Luftsicherheit oder die Umwelt befasst, ist über mehrere Monate hinweg ausgespäht worden. Der Angriff war offenbar sorgfältig geplant worden und mittels auf Rechner der Systemadministratoren und Mitarbeiter eingeschleuster Trojaner ausgeführt worden, welche sich nach der Aufdeckung selbst zerstört haben. Das DLR schaltete unmittelbar nach der Aufdeckung das Nationale Cyber-Abwehrzentrum beim BSI ein und informierte die Medien über den Angriff.[7] Der Vorfall wurde als äußerst ernst eingestuft, weil es sich dabei u. a. um gezielte Wirtschaftsspionage der Rüstungs- und Raketentechnologie handelte. Hinter dem Angriff wurde ein ausländischer Geheimdienst vermutet. Welcher, ist allerdings bis heute (offiziell jedenfalls) nicht bekannt.

.Doch es sind oft die einfachsten Methoden, die Kleinkriminelle im Cyberspace am effektivsten einsetzen. Für einige Aufregung sorgte das Interview mit dem rumänischen Hacker „Guccifer“, der gerade eine mehrjährige Gefängnisstraffe für Hacking in seinem Land verbüßt.[8] Der frühere Taxifahrer brachte sich seine besonderen Kenntnisse autodeduktiv bei und bezog sie direkt aus dem Internet. Um an die brisanten Informationen über u. a. die Familie der ehemaligen US-Präsidenten George H. W. Busch und George W. Busch aus den E-Mails zu gelangen, hat er einfach – die Passwörter erraten.

Ähnliches ist u. a. dem Produzenten cooler Arbeitskleidung, der deutschen Firma Engelbert Strauss passiert. Sie bestellte laut Wochenzeitschrift Der Spiegel ihre Gürtel im Ausland. Die Gürtel wurden geliefert, der Lieferant teilte eine neue Bankverbindung mit – und der Betrag i. H. v. circa 200.000 Euro landete fristgemäß auf dem Bankkonto der Hacker. Die Hacker haben die E-Mail-Korrespondenz beider Geschäftspartner eine Zeit lang mitgelesen und im geeigneten Moment die Kommunikation übernommen. In der Firma Engelbert Strauss ist es nicht aufgefallen, dass die Mail plötzlich nicht von der Adresse info@samobelt.com, sondern info@samobelts.com geschickt wurde. Als der Betrug auffiel – der tatsächliche Gürtelproduzent im Libanon erinnerte an die ausstehende Zahlung –, erstattete Strauss Anzeige bei der Staatsanwaltschaft Hanau gegen unbekannt – und Der Spiegel machte die Geschichte publik.[9]

Für einige Aufregung sorgte auch eine andere Geschichte, bei der die Telefonanlagen öffentlicher Einrichtungen und mittelständischer Firmen im Bundesland Kiel „gehackt“ worden sind. Die Hacker verschafften sich mittels spezieller Software Zugang zu den Telefonanlagen und leiteten, bevorzugt an den Wochenenden, wenn die Firmenmitarbeiter zu Hause waren, massenhaft Anrufe auf kostenpflichtige Rufnummern im Ausland um. Der Betrug fiel den Betroffenen meist erst mit der Zustellung der Telefonrechnung auf. Das Landeskriminalamt (LKA) Kiel riet den Firmen dazu, wenigstens sichere Passwörter zum Schutz der Telefonanlagen, die heute meist mit Software gesteuert und administriert werden, zu verwenden. „0000“ oder „1234“ würden hier keinen hinreichenden Schutz bieten. Im Amt Südtondern beispielsweise belief sich der Schaden auf mehr als 38.000 Euro. Dort wurden Telefonate über mehrere Tausend Minuten nach Westafrika über die internen Telefonanlagen umgeleitet. Anschließend sollen die Hacker die Anlage auch noch sabotiert und lahmgelegt haben, um ihre Spuren zu verwischen.[10]

Des Weiteren gibt es natürlich auch die Unternehmen, die sagen, dass der Staat alles richtig mache, denn ihr Geschäft mit Sicherheit entwickelt sich prächtig.[11]

Das Geschäft mit der Sicherheit ist häufig einfach nur ein Geschäft mit der Angst. FUD – Fear, Uncertainty, Doubt – und nicht die tatsächlichen Risiken sind die Haupttreiber der Investitionen in Cybersicherheit. Noch nie zuvor wurde so viel Sicherheit geprüft, getestet und zertifiziert. Das neue IT-Sicherheitsgesetz verspricht weitere Sicherheitsaudits und Meldepflichten. Es bleibt abzuwarten, was die Zertifikate, die sogenannten Stempel, staatlicher oder privater Stellen tatsächlich bewirken. Denn spätestens, wenn ein Unternehmen, eine Regierung oder eine Person Ziel eines erfolgreichen Angriffs geworden ist, gilt es als nachgewiesen, dass die Maßnahmen zur Cybersicherheit unzureichend waren – ob nun ein Zertifikat vorliegt oder nicht.

.E-Mail – made in Germany, De-Mail, deutsches Internet – Deutschland blickt heute auf zahlreiche Konzepte und Initiativen zurück, die der gestiegenen Bedrohungslage standhalten sollen. Doch nicht nationales Internetrouting oder Meldesysteme für Sicherheitsvorfälle sind sinnvolle Lösungen für mehr und bessere Sicherheit, mahnen die Experten. Die Unternehmen können täglich Millionen Angriffe melden, ohne dadurch einen signifikanten Beitrag zur Verbesserung der Gefahrenlage zu leisten. Denn diese wären ohne Sicherheitslücken in den internen Kontrollsystemen der Unternehmen nicht möglich. Ohne Schwachstelle – kein erfolgreicher Angriff. Aus diesem Grund ist das Wissen über die Sicherheitslücken (menschlicher oder technischer Natur), die den Angriff ermöglicht haben, und das Wissen darüber, wie man sie schließen kann, wesentlich für mehr und eine bessere Cybersicherheit.

Es ist wie im realen, gänzlich nichtdigitalen Leben: Wenn Einbrecher auf das eingezäunte Gelände eingedrungen sind, gilt es, das Loch im Zaun zu finden und es zu flicken. Wenn der Zaun nicht kaputt ist, sollte das Schloss im Tor ausgewechselt werden. Oder der Wächter usw. Es ist eine mühevolle und oft undankbare Aufgabe, die den Revisoren, den CISOs oder internen Ermittlern zufällt.

.Etwas Bescheidenheit schadet daher nicht. Nicht nur, weil man von den Angreifern einiges lernen kann – beispielsweise wie Kooperation und Organisation über die Grenzen hinweg effektiv funktionieren kann. Die Tatsache, dass es in einer Firma keine Sicherheitsvorfälle gibt, ist noch lange kein Grund, übermütig zu sein. Wahrscheinlich ist eher, dass die Attacken unbemerkt erfolgten und die Angreifer ihre Spuren erfolgreich verwischt haben, wie einige deutsche Unternehmen nach der Veröffentlichung der Snowden-Akten feststellen mussten. Die dort als gehackt oder ausgespäht vermerkten deutschen Unternehmen erfuhren erst von den Spiegel-Journalisten[12] über die NSA-Aktivitäten in ihren internen Systemen und konnten vielmals weder feststellen, wie in ihre Netze eingedrungen worden ist, noch was dabei „mitgenommen“ oder ausgespäht wurde. Hochmut kommt oft vor dem (Sicherheitsvor-)Fall.

Aleksandra Sowa

[1] Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz).
[2] BMI. 2014. Referentenentwurf. Entwurf eines Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz), S. 46-47.
[3] Krempl, Stefan. 2014. „Bundesregierung beschließt Entwurf für IT-Sicherheitsgesetz“. In: Heise Security, http://www.heise.de/newsticker/meldung/Bundesregierung-beschliesst-Entwurf-fuer-IT-Sicherheitsgesetz-2498915.html, 17.12.2014.
[4]Sowa, Aleksandra. 2014. „Nihil Novi. Hochkarätige Referenten diskutieren über explosive Themen“. Arbeitskreis Digitale Gesellschaft (https://akdigitalegesellschaft.de/2014/nihil-novi-hochkaraetige-referenten-diskutieren-ueber-explosive-themen/), 09.12.2014.
[5] Vgl. Rezension des Buches: Sowa, Aleksandra 2014. „United Stasi of America. Amerykanska hipokryzja versus niemiecka naiwnosc“, In: Nowe Media 8-2/2014, S. 204-207.
[6]http://www.dlr.de, letzter Zugriff: 28.12.2014.
[7] Spiegel Online. 2014. „Spähangriff auf Deutsches Zentrum für Luft- und Raumfahrt“. http://www.spiegel.de/netzwelt/web/dlr-mit-trojanern-von-geheimdienst-ausgespaeht-a-964099.html, 13.04.2014.
[8] Higgins, Andrew. 2014. „The Man Behind the Hacking: Talking to Guccifer“. In: The New York Times, http://www.nytimes.com/times-insider/2014/11/21/the-man-behind-the-hacking-talking-to-guccifer/?_r=0, 21.11.2014.
[9] Dahlkamp, Jürgen; Schmitt, Jörg. 2014. „Die Dotcom-Räuber“. In: Der Spiegel 48/2014, S. 68-69.
[10] Modrow, Bastian. 2014. „Kriminelle manipulieren Telefonanalagen von Firmen“. In: Kieler Nachrichten, 23.08.2014, S. 1.
[11]Sowa, Aleksandra. 2014. „Nihil Novi. Hochkarätige Referenten diskutieren über explosive Themen“. Arbeitskreis Digitale Gesellschaft (https://akdigitalegesellschaft.de/2014/nihil-novi-hochkaraetige-referenten-diskutieren-ueber-explosive-themen/), 09.12.2014.
[12] Rosenbach, Marcel; Stark, Holger 2014. Der NSA-Komplex. Edward Snowden und der Weg in die totale Überwachung. Deutsche Verlagsanstalt: München.