Der Virus WannaCry hat im Frühjahr dieses Jahres etwa 200.000 Computer in 150 Ländern lahmgelegt. Christoph Meinel ist Direktor und Professor für Internet-Technologien und Systeme am Hasso-Plattner-Institut in Potsdam. Er lehrt und forscht zu Security Awareness und Security Analytics und weiß, wie man sich am besten gegen solche Cyberattacken schützt. Im Interview mit Der Kontext verriet er, was Computerviren und Geschlechtskrankheiten gemeinsam haben, warum wir uns noch im Zeitalter der Dampflok befinden und wo Cyberkriminelle am liebsten zuschlagen.
Schutz im Netz
„Die größte Schwachstelle ist der Mensch“
- Der Kontext: In diesem Jahr wurden Unternehmen massiv attackiert, etwa durch WannaCry. Ist es neu, dass große Betriebe Ziel von Hackern werden?
Christoph Meinel: Neu ist das nicht. Es wurden Privatpersonen angegriffen, aber auch Firmen oder Organisationen. Für Hacker lohnt es sich aber am meisten, Unternehmen zu attackieren. Denn Privatpersonen können es meist verschmerzen, wenn ihre Daten weg sind, für Unternehmen ist das viel gravierender. Können sie einen Tag nicht arbeiten, entsteht ein riesiger finanzieller Schaden.
Wie kann man sich so einen Cyberangriff vorstellen?
Bei Angriffen werden oft Schwachstellen in den Betriebssystemen genutzt. Und die Palette an Cyberattacken ist riesengroß. Sie können verhindern, dass man mit jemandem Kontakt aufnimmt, sie können Daten abgreifen oder Systeme zerstören. Mal steckt die Schadsoftware im E-Mail-Anhang und verschlüsselt alle Daten. Dann verlangen die Hacker Geld, damit sie diese wieder entschlüsseln. Ein anderes Mal werden sogenannte Backdoors aufgebaut, durch die Hacker die komplette Kommunikation beobachten und sich Zugriff auf alle Daten verschaffen können.
Da steckt wirklich kriminelle Energie dahinter.
Ja, das stimmt. Allerdings ist auch die Einstiegsschwelle niedriger geworden, es ist heute einfacher, Cyberattacken durchzuführen. In den Anfangszeiten von IT mussten die Angriffswerkzeuge noch mühsam selbst gebaut werden. Jetzt kann man sich solche Angriffe einfach kaufen.
Wie funktioniert das?
Im Darknet kann man sich zum Beispiel ganze Botnetze mieten, um dann irgendwelche Unternehmen oder Organisationen anzugreifen.
Wo liegt die größte digitale Schwachstelle bei Unternehmen?
Die größte Schwachstelle ist sicherlich immer noch der Mensch. Selbst wenn ein Unternehmen eine perfekte Sicherheitsstrategie hat, kann ein kleiner Fehler diese Strategie zunichtemachen. Zum Beispiel wenn ein Mitarbeiter eine Phishing-Mail öffnet und sich die Schadsoftware in dem System festsetzt.
Wie kann man solche Fehler verhindern?
Wir glauben, dass so ein unsachgemäßes Verhalten oft daher kommt, weil viele Leute nicht genau verstehen, was im Internet technisch passiert. Deshalb ist die Awareness, die Aufklärung, ein ganz wichtiger Punkt. Sie müssen ein Bewusstsein dafür entwickeln, dass man nicht einfach Anhänge öffnet oder auf eine Website mit zweifelhaftem Ursprung geht. Sie müssen verstehen, was es für Sicherheitssysteme und wie sie funktionieren. Warum habe ich einen Virenscanner? Warum muss ich Updates machen?
Ja warum ist das so?
Dabei geht es darum, bekannt gewordene Schwachstellen zu stopfen. Wenn die Updates also nicht heruntergeladen werden, dann sich die Schwachstellen weiterhin gültig und können missbraucht werden. Ein weiterer Punkt, der viel Sorge bereitet, sind Passwörter. Es gibt immer noch Leute, die 12345 als Passwort wählen. Als Angreifer kann man sich damit spielend leicht, ganz ohne Angriffstools Zugang verschaffen. Diese Dinge müssen Nutzer beachten, damit professionell eingesetzte Systeme überhaupt zur Wirkung kommen können.
Haben kleine Unternehmen die gleichen Möglichkeiten, sich vor Angriffen zu schützen?
Nein, große Unternehmen haben eigene IT-Abteilungen. Sie sind gut abgesichert. Bei kleinen oder mittleren Betrieben sind die Risiken sehr viel höher. Sie können sich keinen eigenen IT-Sicherheitsmann leisten. Sie arbeiten mit externen Beratern, die nur das machen, was ihnen vorgeschrieben wird. Da wird nach dem Gefühl Uns-ist-sowieso-noch-nie-etwas-passiert vorgegangen.
Gibt es Zahlen, wie viel Schaden Hacker schon angerichtet haben oder wie viel sie durch Cyberattacken verdienen?
Im Darknet gibt es lange Listen, wie teuer es ist, Botnetze in verschiedenen Größen zu mieten. Es ist ein reges Geschäftsmodell, was dafür spricht, dass die Leute mehr damit verdienen, als sie bezahlen müssen. Aber die Zahlen in dem Bereich sind sehr vage. In meinen Vorlesungen vergleiche ich das auch gerne mit Geschlechtskrankheiten: Nicht jeder, der betroffen ist, spricht auch darüber. Außerdem merken viele gar nicht, dass sie betroffen sind. Das ist mit der Cyberkriminalität ähnlich. Aber das Geld ist oft nicht der einzige Schaden.
Welchen Schaden tragen die Unternehmen noch davon?
Cyberattacken können Unternehmen oder Organisationen blamieren. Ein Beispiel ist die Attacke auf den Bundestag. Als das herausgekommen ist, war es eine Blamage für die ganze Innung der IT-Sicherheitsfachleute in Deutschland. Alle fragten sich, wie es sein kann, dass der Bundestag nicht richtig geschützt werden konnte.
Wo liegen die Gefahren für die Industrie 4.0?
Die Industrie 4.0 hat ja nicht nur den Sinn, die Automatisierung im Betrieb voranzutreiben, sondern auch, verschiedenen Unternehmen zu verknüpfen, die in der Wertschöpfungskette zusammenhängen. Wenn zum Beispiel vom Fließband aus festgestellt wird, dass ein Ersatzteil fehlt, dann wird automatisch eine Bestellung ausgelöst. Der Hersteller des Ersatzteils wird informiert, dass für Nachschub sorgen soll. Das schafft eine Verbindung von einem produktiven System eines Unternehmens zu einem produktiven System eines anderen Unternehmens. Sehr oft konzentriert man sich dann auf die tolle neue Erfindung und vergisst dabei, dass solche Verbindungen auch immer missbraucht werden können.
Wie genau könnte das aussehen?
In der Industrie 4.0 geht man auch dazu über, Industrieanlagen zu vernetzen, sodass Hacker unmittelbar Einfluss auf Fließbänder oder Hochöfen nehmen könnten. Davor waren das immer Systeme, die typischerweise sehr abgeschlossen in einem Unternehmen waren und physikalisch von außen geschützt. Jetzt besteht eine größere Gefahr durch Angriffe von außen. Wenn man von Industrie 4.0 spricht sollte man neben den Chancen also auch immer die Risiken im Auge behalten.
Gibt es auch Unternehmen, die sich wegen den Risiken gegen diese Vernetzung entscheiden?
Das Argument „Solange die Sicherheit nicht geklärt ist, mache ich nicht mit“ habe ich schon öfter gehört. Langsam bewegen sich auch mittlere und kleine Unternehmen in die Richtung 4.0. Andere wiederum sagen, „Meine Auftragsbücher sind voll. Ich habe keine Problem, also will ich auch nichts ändern“. Diesen Unternehmern antworte ich meist: Achtung, Achtung, gerade, wenn die Auftragsbücher voll sind, ist die beste Zeit, um über Änderungen nachzudenken. Wenn die Auftragslage wieder schlechter ist, dann fehlen auch die Mittel für Innovationen.
Durch die Industrie 4.0 wird der gesamte Produktionsprozess gläsern. Ergeben sich dadurch neue Risiken?
Ja, dieser gläserne Produktionsprozess ist der Hauptgrund für Sicherheitsrisiken. Als Hacker kann ich jetzt nicht nur Informationen über einen Menschen abgreifen oder informationsverarbeitende Systeme angreifen, ich kann aktiv eingreifen, zum Beispiel ein Fließband stoppen. Man kennt auch die Bedenken, dass es Angriffe auf selbstfahrende Autos geben könnte. Ich kann nicht nur loben, das ich im Auto jetzt ins Internet gehen kann, sondern mir muss auch bewusst sein, dass sich jemand Einfluss auf die Systeme nehmen kann.
Gibt es Untersuchungen, welche Motive die Angreifer verfolgen?
Die Motivation ist wie im realen Leben sehr weitreichend. Natürlich spielt Geld eine große Rolle. Aber in Hinblick auf die Industrie 4.0 kann es auch um Wettbewerbschancen gehen. Zum Beispiel kann ein Unternehmen versuchen, ein anderes zu schädigen. Am Anfang will es vielleicht herausfinden, wie das andere Unternehmen arbeitet, welche Aufträge es hat, aber im schlimmsten Fall kann es auch Einfluss auf die Produktion oder die Lieferketten nehmen.
Wie werden solche Angriffe geahndet?
Im internationalen Raum entstehen gerade neue Technologien, Regulierungen und Gesetze. Es gibt internationale Gespräche, wie man im Informationsaustausch vorankommt. Das Perfide ist ja, dass man nicht einfach herausfinden kann, woher der Angreifer kommt. Er kann über elektronische Umwege über irgendwelche Server in anderen Ländern agieren.
Welche internationalen Gespräche finden statt?
Deutschland und die USA sind sowieso im Gespräch, wie man sich über bestimmte Dinge informiert. Im Politischen werden diese Angriffe plötzlich zu Szenarien, die Kriege auslösen können. Also das Bewusstsein, dass internationale Übereinkommen getroffen werden müssen, ist auf jeden Fall da. Aber diese Entwicklungen sind sehr viel langsamer, als die Hacker, die wieder neue Angriffe planen.
Abkommen und Regularien brauchen Zeit. Gibt es überhaupt eine Chance da hinterherzukommen?
Ich vergleiche diese Zeit gerne mit der Anfangszeit der Dampfmaschine. 50 Jahren nach Erfindung der Dampfmaschine ist ab und zu mal eine explodiert und Mensch dem zum Opfer gefallen. Wir sind in der Spanne jetzt für die IT-Technologie: Zwar gibt es keine Menschenopfer, aber es gibt andere Unfälle und Fehler. Wir müssen zuerst einmal verstehen, welche Regularien, wo sinnvoll sind.
Wie sieht es mit solchen Regularien oder Gesetzen in Deutschland aus?
Es gibt zum Beispiel das IT-Sicherheitsgesetz. Es verpflichtet Betreiber kritischer Infrastrukturen dazu, IT-Sicherheitsvorfälle zu melden. Lange wurde diskutiert, ob eine solche Meldepflicht den Betreibern zumutbar ist. Auch die Firmen waren nicht daran interessiert, Informationen preiszugeben, was bei ihnen passiert. Cyberangriffe sind ihnen unangenehm. Seit letztem Jahr ist das IT-Gesetz in Gang und nun beschwert sich keiner mehr. Jetzt kann auf Angriffe schneller reagiert werden und andere Unternehmen können etwas aus den Fehlern anderer lernen. Es laufen aber noch andere Dinge hinterher.
Was wäre das zum Beispiel?
Der hochgelobte Datenschutz. Es stammt aus dem letzten Jahrhundert. Nimmt man etwa den Bereich Digital Health. Wie kann ich diese Daten benutzen, um in der Gesundheitsforschung voranzukommen? In Deutschland ist das kaum möglich, hier ist alles versperrt. Hier sind Regularien mit bester Absicht gemacht worden, aber sie passen nicht auf den Entwicklungsstand der Technik. Meine Empfehlung wäre, in diese Regularien Experimentierklauseln einzubauen, damit man auch außerhalb der Regularien, etwa durch trial and error, etwas Neues versuchen kann.
Wie sollen sich Unternehmen und Privatpersonen verhalten, um Cyberkriminalität zu entgehen?
Besonders vorsichtig sollte man mit E-Mail-Anhängen sein und mit Seiten, wo kostenlose Programme angeboten werden. Man denkt, diese Seiten finanzieren sich durch Werbung, aber in Wahrheit lädt man sich mit dem Programm eine Malware herunter. Passwörter sollten möglichst komplex sein, noch besser sind aber kartenbasierte Zugangsmechanismen. Mit diesen Grundregeln kann man schon viele Angriffe abwehren. Ich halte mich immer an die Regel: Alles, was kostenlos ist, dem sollte man misstrauen.