»Die machen richtig Geld«

»Wir sind uns des Ernstes der Situation nicht bewusst«, warnte Hartmut Isselhorst, als er unlängst anlässlich einer Tagung zur Cybersecurity über die aktuelle Lage berichtete. Der Leiter des Bereichs Cybersicherheit beim Bundesamt für Sicherheit in der Informationstechnik (BSI) riet: »Sie müssen davon ausgehen, der Angreifer wird in Ihre Systeme eindringen.« Die Frage sei lediglich, wie schnell das bemerkt werde und wie lange es dauere, bis man das in den Griff bekomme. Laut einer Studie wird ein Computereinbruch meist erst nach 156 Tagen bemerkt.

Für die Attacken stehe Kriminellen »ein ganzer Zoo von Angriffswerkzeugen« zur Verfügung, sagte Isselhorst. Dahinter verberge sich inzwischen ein eigener Wirtschaftssektor: »Wir haben eine ganze Industrie, die Exploit-Kits bereitstellt und die boomt.« Diese Schadsoftware, Malware, werde in industrieller Fertigung hergestellt, »Tausende pro Tag«. Dazu kämen Softwarebausätze, »mit denen können Sie sich ohne besondere Kenntnisse Ihre eigenen Angriffswerkzeuge bauen«. Und das bereits ab 100 US-Dollar.

Zusätzlich bietet ein Dienstleistungsbereich Denial-of-Service-Angriffe (DoS) an oder vermietet sogenannte Botnetze. Hierbei werden unbemerkt vom Benutzer infizierte Computer untereinander vernetzt und von Kriminellen ferngesteuert. So entstehen Botnetze, mit denen gewaltige Mengen E-Mail-Werbung, Spam, verschickt wird. Oder es werden Websites blockiert, indem massenhaft Seiten abgerufen werden, bis die Server wegen Überlastung den Dienst verweigern - Denial of Service. »Der Sektor boomt, die machen richtig Geld«, so der BSI-Vertreter. Es gebe derzeit rund 1200 Botnetze. Neben Endnutzergeräten würden mit Vorliebe Server gekapert, denn »die haben leistungsstarke Anbindungen an das Internet, damit kann man mehr Traffic generieren«.

Das BSI-Lagezentrum registriere täglich rund fünf große Spamwellen, was zu etwa einer Million E-Mails führe. »Diese Mails enthalten Malware, die noch von keinem einzigen Antivirusprodukt erkannt wird.« Der Sicherheitsexperte warnte: »Jedes Unternehmen wird angegriffen, das ist einfach der Standard«, sowohl große als auch kleine Firmen. Einen Mangel an Schwachstellen hätten die Angreifer nicht, allein in Standardprogrammen würden pro Woche rund 100 neue Sicherheitsprobleme entdeckt. Hinzu kämen Unmengen an Systemen, bei denen alte Sicherheitslücken nicht geschlossen wurden. Beliebt seien zudem noch nicht verbesserte Content-Management-Systeme bei Webseitenbetreibern sowie manipulierte Werbebanner, die auf einer großen Zahl von Webseiten eingeblendet werden. Wer diese anklickt, installiert damit unbemerkt Schadsoftware auf seinem Computer.

Das BSI beobachtet immer neue Angriffsformen: Kombiangriffe beginnen mit einer DoS-Attacke. Diese würde zwar schnell bemerkt, aber währenddessen folge ein Spionageangriff. »Der geht dann durch, weil die ganze IT mit der ersten Attacke beschäftigt ist.« Cyberspionage sei besonders schwierig zu entdecken: »Das sind meistens Zufallstreffer, wenn Merkwürdigkeiten auf den Systemen auffallen.« Die letzten Angriffe auf deutsche Regierungsnetze wären mit Standardverfahren nicht zu erkennen gewesen. »Wir können sie mit Spezialverfahren detektieren.«

Die Auswirkungen für Endnutzer und Unternehmen sind unterschiedlich. Wird ein Nutzergerät gekapert, spähen die Täter nebenbei noch Online-Identitäten, PINs und Passwörter aus. Bei Unternehmensrechnern suchen die Angreifer nach wertvollen Informationen, die sie weiterverkaufen können, etwa zur Industriespionage. Die Täter löschen auch schon mal große Datenmengen: Als im August 2012 in das Netz der Erdölfirma Saudi-Aramco eingebrochen wurde, seien »auf einen Schlag 30 000 Rechner gelöscht« worden, erzählte Isselhorst.

Eine andere Branche will ebenfalls von der veränderten Situation profitieren: Seit letztem Jahr bietet die Versicherungswirtschaft Cyberversicherungen an, sagte der Versicherungsspezialist Sven Erichsen gegenüber »nd«. Derzeit gebe es circa fünf Anbieter. Das Prämienvolumen belaufe sich in den USA auf rund eine Milliarde jährlich mit 20 bis 30 Prozent Steigerung. »Das wird eine Versicherung sein, die jedes Unternehmen zukünftig haben wird«, prognostizierte Erichsen.

Auch die EU reagierte auf die zunehmende Bedrohungslage: Im September sollte das Mandat der Europäischen Netzwerk- und Informationssicherheitsagentur, ENISA, auslaufen. Die Agentur berät Behörden und Organisationen innerhalb der EU-Länder zu Sicherheitsfragen und betreibt ein Frühwarnsystem. Nun wird das Mandat um sieben Jahre verlängert.

Die Situation darf bedenklich stimmen, auch wenn manches nach geschäftstüchtiger Panikmache klingt. Es gibt keine digitalen Systeme mehr, die vor Angriffen sicher sind: Selbst Videokonferenzanlagen seien gehackt worden, so Isselhorst. Laut Claudia Eckert vom Münchener Fraunhofer-Institut AISEC habe man inzwischen erste Viren für Herzschrittmacher gefunden. Isselhorst resümierte: »Im Augenblick haben die Cyber-Kriminellen das Oberwasser.« Weder NSA- noch BND-Überwachungsmaßnahmen konnten das bisher verhindern.

Werde Mitglied der nd.Genossenschaft!

Seit dem 1. Januar 2022 wird das »nd« als unabhängige linke Zeitung herausgeben, welche der Belegschaft und den Leser*innen gehört. Sei dabei und unterstütze als Genossenschaftsmitglied Medienvielfalt und sichtbare linke Positionen. Jetzt die Beitrittserklärung ausfüllen.
Mehr Infos auf www.dasnd.de/genossenschaft