Hinweis zu Affiliate-Links: Alle Produkte werden von der Redaktion unabhängig ausgewählt. Im Falle eines Kaufs des Produkts nach Klick auf den Link erhalten wir ggf. eine Provision.

Cheat Sheet / Warum der Hack eines Krankenhauses sogar den Bundestag beschäftigt

von Max Biederbeck
Ein Cheat Sheet ist mehr als ein Spickzettel. Studenten packen Gleichungen darauf, kritzeln Aufzählungen, listen Infos. Während sie den Zettel für ihre Klausur zusammenschreiben, lernen sie die Hintergründe der Materie. Am Ende brauchen sie ihn vielleicht gar nicht mehr. Wir wollen euch so einen Cheat Sheet für aktuelle Debatten zur Hand geben. Heute: Warum der Hack eines Krankenhauses sogar den Bundestag beschäftigt.

Was ist passiert?
Seit Ende vorigen Jahres ist die Zahl an Angriffen mit so genannter Ransomware explodiert. Die Schadprogramme werden durch fingierte E-Mails und Websites auf einen Computer übertragen und infizieren mit Hilfe etlicher gekaperter Rechner dann ganze Netzwerke und sogar Cloud-Dienste. Sie verschlüsseln zentrale Dateien, die von den Angreifern nur dann freigelassen werden, wenn Lösegeld fließt. Der vielleicht prominenteste Vertreter dieser Gattung ist Locky, der sich gerade weltweit ausbreitet und auch in Deutschland Schlagzeilen macht — vor allem, weil er Windows-Rechner im Fraunhofer Institut unbrauchbar gemacht hat und zwischenzeitig 5000 Rechner pro Stunde neu infizierte. Andere verwandte Programme, etwa Teslacrypt, befallen Krankenhäuser in den USA und auch in Deutschland. „Kriminelle verbingen viel Zeit damit, die Kommunikation mit ihrer Malware zu verbessern und deren Verbreitung zu vergrößern“, sagt Kevin Epstein, Vize-Präsident des Threat Operations Center bei Proofpoint, einem amerikanischen Anbieter von Sicherheitssoftware. „Locky wurde in wenigen Stunden über rund zehn Millionen Mails verschickt.“ Es war Epsteins Team, das den Trojaner vergangene Woche zum ersten Mal entdeckt hat. Im Interview mit WIRED erklärt er: „Ob ein Angriff durch Kriminelle stattfindet oder durch andere Staaten, lässt sich kaum noch sagen.“ Und genau das ist ein wachsendes Problem.

Warum ist das wichtig?
Attacken auf kritische Infrastruktur sind Alltag geworden: Ob Wirtschaftsunternehmen, NGOs, Unternehmen wie ThyssenKrupp oder EADS oder der Bundestag im vergangenen Mai — meist geht es den Angreifern darum, Informationen aus sensiblen Netzwerken zu stehlen. Ein anderes Feld ist Sabotage: Im Dezember zwang eine koordinierte Attacke mehrere Stromkraftwerke in der Ukraine vom Netz. Es gab Angriffe auf ein Stahlwerk von Thyssen und die italienische Marine. Mittlerweile legendär: Stuxnet, die Cyber-Waffe, die 2010 Atomanlagen im Iran zerstörte.

Ob es sich bei den Angriffen nun solche aufwändig programmierten und koordinierten Advanced Persistent Threats (APTs) handelt oder um zufällige Infektionen durch automatisierte Software, ob kriminelle Gruppen dahinter stecken oder staatliche Akteure — all das lässt sich zunächst oft nicht sagen. Bis der Ursprung einer Malware bekannt ist, vergehen teilweise Monate. Selbst dann ist vieles immernoch Vermutung.

Darauf versucht der Staat zu reagieren. „Die Verwundbarkeit von wirtschaftlichen und staatlichen Institutionen nimmt zu. Es gibt immer neue Varianten und Angriffsarten“, sagt Klaus Vitt, Staatssekretär beim Innenministerium. Innere und Äußere Sicherheit fielen mittlerweile zusammen und verlangten nach einer Reaktion über einzelne Ministerien und Behörden hinaus. Als ersten Schritt könne man das neue IT-Sicherheitsgesetz 2015 werten, sagt Vitt. Unter anderem verpflichtet es Unternehmen dazu, schwere Cyberangriffe zu melden.

Melderegeln und ein erhöhtes Problembewusstsein sind aber nur der Anfang. Das wissen alle Beteiligten: Politiker, Unternehmen, Geheimdienste und Militär. Der Bundestagshack, die Angriffe auf das Fraunhofer-Institut und Krankenhäuser waren häufig genannte Beispiele einer Anhörung des Verteidigungsausauschusses im Bundestag. Die These war eindeutig: Es gehe bei Cyber-Angriffen nicht nur um die Technik — sondern auch um deren Bedeutung für das Völkerrecht, die internationale und vor allem die Verteidigungspolitik.

Was ist ein Angriff?
Ist es ein Angriff auf deutsches Territorium, wenn ein kleines Unternehmen im Rhein-Neckar-Gebiet mit Schadsoftware attackiert wird? Was, wenn es sich um ein staatliches Krankenhaus handelt? Was, wenn der Bundestag selbst betroffen ist?

Die Grenzen verschwimmen, und sehr selten nur gibt es absolute Sicherheit, woher ein Angriff kommt und wer dahinter steckt. Die üblichen Reaktionen — politischer Druck, Abbruch von diplomatischen Beziehungen, Gegenschläge als Antwort auf herkömmliche Bedrohungen — versagen im Kampf mit dem Code. 

Selbst wenn Fachleute davon ausgehen, dass russische Akteure hinter dem Trojaner im System des Bundestags stecken, wissen Staaten bis heute nicht, wie sie auf solchen Informationen adäquat reagieren sollen. „Cyber ist ideal für Ziele gerade unterhalb der Schwelle von militärischen Angriffen“, sagt Katrin Suder, Generalsekretärin des Bundesverteidigungsministeriums.

Bleibt die Frage: Wie umgehen mit der ständigen Online-Agression? Eine erste Anleitung gibt das Tallinn Manual, ein Forschungsapparat, der seit 2009 versucht zu definieren, was einen „digitalen Konflikt“ eigentlich ausmacht. Selbst die Forschung kommt hier noch immer zu keinem abschließenden Ergebnis. „Tallin konnte nicht sagen, wann es sich um einen militärischen Angriff handelt, wann um Sabotage, wann um Spionage oder ein Verbrechen“, sagt Thomas Rid, Experte für Cyber War am Kings College in London.

Eine Annährung versucht der Rechtswissenschaftler Michael Bothe. „Es kommt auf die Wirkung an und nicht auf das Mittel“, sagt er. Gesteht aber zu: „Die Vergleichbarkeit mit herkömmlichen militärischen Angriffen ist schwierig.“ Seine Frage: Hätte der Iran nach der Sabotage seiner Atomanlagen durch den Stuxnet-Wurm Israel angreifen können? Die Cyber-Attacke vielleicht sogar als Vorwand nutzen können für einen traditionellen militärischen Angriff?

Wie verteidigen?
Ist es die Aufgabe einzelner Unternehmen, sich selbst zu schützen? Oder sollten sie sich auf den Staat verlassen können? Zumindest die Bundeswehr baut gerade ein eigenes Cyber-Abwehrzentrum auf. Die Experten in der Anhörung des Verteidigungsausschuss waren sich einig darin, dass der Weg in Richtung Kooperation führen muss. „Die Bundeswehr steht vor ähnlichen Herausforderungen wie die Privatwirtschaft“, sagt Thomas Kremer, Vorstandsmitglied bei der deutschen Telekom. Es sei daher wichtig, genug Ausbildungsmöglichkeiten für qualifiziertes IT-Personal zu schaffen, denn bisher fehlten Fachkräfte für das neue digitale Krisen-Gebiet.

Die Hacker profitieren von einem grundsätzlichen Vorteil: Es ist leichter, nach Schwachstellen im System zu suchen und nicht beseitigte Sicherheitslücken zu finden, so genannte Zero Days, als die Systeme verlässlich abzuschirmen. „Für jeden Angriff mit Schadsoftware brauchen wir eine Vielzahl an Verteidigern“, erklärt Gabi Rodosek von der Bundeswehr-Universität in München. Gutes Personal wird oft von privaten Unternehmen im Ausland abgeworben. Ohnehin hinkt Deutschland bei Cybersecurity-Software bisher hinterher. „Es gibt kaum Unternehmen, die sich hier einen Namen gemacht haben“, sagt Thomas Rid. „Es braucht gezielte Förderung.“ 

Gegenangriffe?
Aber gehört zur Verteidigung nicht auch der Angriff? Es gibt im Krieg mit dem Code auch immer die Möglichkeit, einen Angriff auf den Servern des Gegners auszutragen. Das bringt allerdings neue Probleme. Das Größte: Meist lässt sich nicht ohne weiteres feststellen, woher ein Angriff tatsächlich kommt. Nutzen Hacker etwa gekaperte Server aus einem eigentlich unbeteiligten Drittland, könnte ein überhasteter Gegenangriff völlig Unschuldige treffen. „Es gibt sogar Fälle, bei denen Verteidiger ohne es zu Wissen ihre eigenen Server attackierten, um das Eindringen von Malware zu unterbinden“, sagt Proofpoint-Vizepräsident Kevin Epstein. Ohnehin verlangen solch radikale Maßnahmen die Zustimmung des Bundestages. Schon das macht den Gegenangriff zur Lösung für Ausnahmefälle. Manche, wie Marcel Dickow von der Stiftung Wissenschaft und Politik, befürchten dennoch ein „Wettrüsten im Cyberspace“, das politischen Bemühungen schaden könne. Er mahnt zur Zurückhaltung, weil es in der Regel zu viele Unbekannte gebe.

Wie geht es weiter?
Klar ist: Das Thema Cyber-Abwehr wird mit zunehmender Digitalisierung weiter an Bedeutung gewinnen — in der Politik genau wie in Unternehmen. Angreifer lernen neue Tricks, Attacken werden noch schwerer zu identifizieren sein, und die Betroffenen werden darum ringen, den Schaden zu begrenzen und angemessen zurückzuschlagen. Klar ist auch: Deutschland braucht nicht nur mehr IT-Experten, sondern ganz allgemein ein größeres Bewusstsein für den Schutz vor Hacker-Angriffen. Denn das größte Einfallstor, das ist unter Sicherheitsforschern eine Binsenweisheit, bleibt der Faktor Mensch: so genanntes Social Engineering — ein Virus etwa, getarnt als persönliche Mail, oder ein Anruf durch einen IT-Berater, der in Wahrheit keiner ist. „Die größte Gefahr für kritische Systeme sind auch 2015 weder APTs noch Ransomware wie Locky“, sagt Epstein. Es sind Nutzer, die sich falsch verhalten und — ohne Böses zu ahnen — den Böswilligen zu Helfern werden.

GQ Empfiehlt