Russische Hacker

von Aleksandra Sowa13.05.2018Außenpolitik, Europa, Wissenschaft

Viele Hinweise, kaum Beweise – so lässt sich die Diskussion zur Beteiligung russischer Hacker an weltweiten Cyber-Angriffen zusammenfassen. Ihre Möglichkeiten scheinen schier unbegrenzt. Ihre Beherrschung digitaler Technologien grenzt an Magie. Doch das Problem ist weniger mystisch: Unternehmen und Behörden hierzulande setzen unsichere Technologien ein. Die Motivation, dies zu ändern, ist gering.

_„…die Deutschen brauchen immer einen, der an allem schuld ist.“_
Kurt Tucholsky

An einem Sommertag des 7. Juni 2017 meldete das österreichische Satiremagazin “Der Postillon”:http://www.der-postillon.com/2017/06/russische-hacker.html, der Glaube an allmächtige russische Hacker sei nun als Religion anerkannt worden. Russische Hacker könnten die Bundestagswahlen oder den Volksentscheid zum Brexit beeinflussen, entscheiden, wer US-Präsident wird, wüssten, welches Mitglied des Bundestages wann und an wen E-Mails geschrieben habe (und worüber), sie würden Nacktfotos von Promis und Dokumente des französischen Präsidenten veröffentlichen, Strom in der Ukraine abschalten oder Wasser in Kiel abstellen können. „Die Wege der russischen Hacker sind unergründlich“, konstatierte Der Postillon.

Satire oder Wahrheit?

Für solche Behauptungen gibt es zwar viele Hinweise, aber wenige Beweise. So lässt sich momentan der Stand der aktuellen Diskussion “zum Thema #russianhacking”:https://twitter.com/hashtag/russianhacking zusammenfassen. Diplomaten, Geheimdienste, Politiker und Regierungen in den USA, Großbritannien oder Deutschland beschuldigen abwechselnd russischstämmige Hacker der erfolgten oder geplanten, möglicher oder potenzieller Angriffe. Beweise legen sie keine vor. Weil sie nicht können. Oder nicht wollen. Oder, weil sie dadurch zu viel über die Arbeit der eigenen Geheimdienste verraten müssten. Oder, weil sie faktisch keine Beweise haben.

Die Politisierung der Diskussion, die Kalter-Krieg-Rhetorik und das „diplomatische Gepolter“ lenkt laut Thomas Kuhn, Redakteur Innovation und Digitales bei der WiWo, in der Ausgabe 17/2018 „vom viel größeren Problem“ ab, „das den Angriffen zugrunde liegt“ . Dies sei die „Lässigkeit“, mit der Unternehmen und Behörden ihre IT-Systeme und sich darin befindliche Daten und Informationen schützen. Beziehungsweise, die sie eben nicht schützen. „Wer sich ansieht, welche von den Hackern ausgenutzte Sicherheitslücken die Cyberschützer aufgelistet haben, den packt das Grausen“, schreibt Kuhn. „Russische Hacker“ ist zum Synonym für Hilflosigkeit und Ahnungslosigkeit der Politik und Privatwirtschaft geworden, die den Herausforderungen der Informationssicherheit nicht mehr Herr werden. „Der Staat muss seinen digitalen IQ rasch erhöhen“, fordern Viktor Mayer-Schönberger und Thomas Ramge in Das Digital. Das gilt für Datensicherheit und Datenschutz umso mehr.

Phishen in der Politik

Für Angriffe ausgenutzt werden oft bekannte Schwachstellen, oder es werden Angriffsarten eingesetzt, für die längst Warnungen durch die zuständigen Behörden oder Sicherheitsunternehmen vorliegen und für die es geeignete Gegenmaßnehmen gibt. Es sind mitnichten spezielle oder magische Fähigkeiten notwendig, um in die Systeme der Parteien oder Behörden zu gelangen, fand das Bundesamt für Sicherheit in der Informationstechnik (BSI) nach der Analyse von Sicherheitsvorfällen im Kontext politischer Wahlen in den USA, Frankreich oder den Niederlanden heraus. Phishing ist eine der Angriffsarten, aber auch schlecht, „quick and dirty“, entwickelte Apps ohne angemessene Zugriffskontrollen und Identitätsmanagement, unverschlüsselte E-Mails etc.
„Vor dem Hintergrund der Berichte aus den USA und Frankreich über Cyber-Angriffe im Zusammenhang mit den dortigen Präsidentschaftswahlen […] besteht auch in Deutschland die Sorge, dass Täter auf digitalem Wege versuchen könnten, die Bundestagswahl 2017 zu beeinflussen“ , hieß es im Bericht Die Lage der IT-Sicherheit in Deutschland 2017.

Die Ursachenanalyse des BSI ergab, dass „[m]ithilfe betrügerischer E-Mails und Phishing-Mails […] Hacker ausgesuchte Empfänger mit Schadsoftware infiziert [haben], um so an die Passwörter der Betroffenen zu gelangen. Auf diesem Wege sind sie in den Besitz einer Vielzahl von Dokumenten und umfangreicher E-Mail-Korrespondenz gelangt. Dies ermöglichte einige kompromittierende Veröffentlichungen.“ Deswegen bot BSI den Interessierten Unterstützung an, die bei – für einen Sicherheitsspezialisten – so banal klingenden Maßnahmen, wie Schutz privater E-Mail-Postfächer oder Verifizierung von Twitter- und Facebook-Accounts, ansetzte. Parteien und parteinahe Stiftungen wurden Informationen über Cyberangriffe und „auf Wunsch an besonders kritischen Stellen Penetrationstests“ angeboten.

Gut aufgestellt

Alleine auf Behörden, Parteien oder öffentliche Institutionen zu zeigen, wäre dennoch falsch. Das BSI betont nicht ohne Grund bei beinahe jeder Diskussion über den „Bundestagshack“, nicht für die Sicherheit der IT-Systeme des Bundestages zuständig zu sein. Die Bekundungen der Privatunternehmen, sie seien „gut aufgestellt“, sind mitunter mit Vorsicht zu genießen. Hardware mit Standardpasswörtern an Kunden auszuliefern, Zugänge zu den Netzwerken offen zu lassen, nicht zu kontrollieren, wer wann auf die IT-Systeme zugreift, Hintertüren in Applikationen und Software einzubauen, um die Daten der Kunden abgreifen zu können, an Monitoring und Personal zu sparen – „all das sollte den Unternehmen längst nicht mehr passieren“, so Thomas Kuhn. Doch viele der Firmen hätten nicht einmal Notfallpläne. „Gut aufgestellt“ ist das nicht.

Laut “Cyber-Sicherheits-Umfrage 2017 des BSI”:https://www.allianz-fuer-cybersicherheit.de/SharedDocs/Downloads/ACS/cyber-sicherheits-umfrage_2017.pdf im Rahmen der Allianz für Cyber-Sicherheit, an der 879 Institutionen teilnahmen, verfügen 66 Prozent der großen und 55 Prozent der kleinen und mittleren Unternehmen (KMU) beziehungsweise Institutionen über Richtlinien für die Wiederherstellung des Betriebs nach einem Störfall. Ein Viertel der befragten Unternehmen besitzt ein Cyber-Sicherheitsmonitoring, das eine Detektion potenzieller Angriffe auf die IT-Systeme ermöglichen würde. 29 Prozent der großen Unternehmen und 23 Prozent der KMU werten Logdateien und andere Informationsquellen systematisch und regelmäßig aus. Gut die Hälfte aller Unternehmen untersucht Log-Files nur bei konkretem Verdacht. Zu den präventiven Maßnahmen gehören Netzwerkabsicherung mit 89 Prozent und die Abwehr von Viren mit 86 Prozent; Kryptografie setzen immerhin 67 Prozent der Befragten ein. Doch die Wirksamkeit dieser Sicherheitsmaßnahmen bleibt unklar. Rund 70 Prozent der Befragten gaben nämlich an, in den Jahren 2016 und 2017 Opfer von Cyberangriffen geworden zu sein, etwa die Hälfte davon war erfolgreich.

Security by Obscurity

Beratend oder im Fall eines Angriffs stehen den Unternehmen auf Cyberkriminalität spezialisierte Einheiten der Landeskriminalämter und des BKA zur Seite: die sogenannten ZAC – Zentrale Ansprechstellen Cybercrime der Polizeien – sowie auf Cyberkriminalität spezialisierte Abteilungen der Staatsanwaltschaften. Ihre Aktivitäten sind darauf ausgerichtet, die Angreifer („Hacker“) zu ermitteln und zur Verantwortung zu ziehen – nicht etwa aber, die Unternehmen für schlecht abgesicherte IT-Systeme oder den Verkauf und Einsatz von unsicherer Hard- und Software zu belangen und zur Verantwortung zu ziehen. Die sogenannten Hackerparagrafen im StGB richten sich gezielt gegen Angreifer und Hacker.

Das Strafsystem setzt nicht dort an, wo die Ursachen der Probleme behoben werden, nicht bei denen, die tatsächlich etwas gegen die Cyberattacken unternehmen könnten, indem sie die Schwachstellen beheben und die Systeme härten. Dieser Ansatz hat sich ad absurdum geführt. Das beweist der “Fall eines jungen Kanadiers”:https://www.heise.de/newsticker/meldung/Kanadier-droht-Haft-weil-er-zaehlen-kann-4029250.html, dem zehn Jahre Haft drohen, weil er „gut 7.000 öffentlich zugängliche Dokumente“ vom Informationsfreiheitsportal heruntergeladen hat. Die Provinzregierung stellte auf dem Server ungeschützt u. a. für die Öffentlichkeit nicht bestimmte Dokumente ein, die der 19-Jährige fand, indem er „zu der URL jeweils 1 hinzugezählt“ hatte, nach dem Schema: dokument0001.pdf, dokument0002.pdf etc. Der Teenager wurde verhaftet und verhört, das Haus durchsucht, die Geräte seiner Familie beschlagnahmt. „Auch die Eltern und die minderjährigen Geschwister sollen stundenlang verhört worden sein“, so Daniel A. J. Sokolov, während die Provinzregierung es offenbar unterließ, die betroffenen Bürger über das Datenleck zu informieren. Sicherheitsforscher und IT-Szene organisieren nun eine Spendenkampagne, um die Verteidigung des Angeklagten zu finanzieren, dem Haft droht, weil „er zählen kann“.

IT-Sicherheit, Freiheit, Frieden

Statt über Hacker aus Russland zu klagen und stets die Politik aufzufordern, mehr, bessere und billigere Sicherheitsspezialisten auszubilden, sollten die Unternehmen und Behörden endlich verstärkt in präventive, technische und organisatorische Maßnahmen investieren und ihre IT-Systeme und darin verarbeitete Daten nach dem Stand der Technik absichern. Damit sie es auch sicher tun, ist Kontrolle notwendig. „Zu lange hat die Bundesregierung die im Mittelpunkt stehenden Fragen der IT-Sicherheit der Selbstregulierung der Wirtschaft überlassen und eine Politik verfolgt, die die Interessen von Sicherheitsbehörden vor den effektiven Schutz von Grundrechten und sichere digitale Angebote stellt“, kritisieren Abgeordnete der Fraktion Bündnis 90/Die Grünen in ihrem Antrag “IT-Sicherheit stärken, Freiheit erhalten, Frieden sichern”:http://dipbt.bundestag.de/dip21/btd/19/013/1901328.pdf. Nicht nur Unternehmen, die Betreiber kritischer Infrastrukturen sind, sollten vom IT-Sicherheitsgesetz (ITSiG) erfasst werden, auch die öffentlichen Stellen. Statt alleine auf passive Meldepflichten und Mindeststandards sollte man „viel stärker auf Anreize für proaktive Investitionen in gute IT-Sicherheitslösungen setzen“. Verbindliche IT-Mindeststandards sollten unter anderem für Zertifizierungsrahmen der Sicherheit von ITK entwickelt werden. Über effektive Kontrolle der Einhaltung dieser Vorgaben durch die Unternehmen oder zeitgemäße Geldbußen für die Nichteinhaltung schwiegt sich der Antrag aus. Die vorgesehenen Geldbußen bis zu 100.000 Euro “nach § 14 BSIG”:https://www.buzer.de/gesetz/8987/a193775.htm dürften wenig motivierend wirken.

Bedenkt man, dass rund 70 Prozent der befragten 879 Institutionen in der BSI-Umfrage angegeben haben, in den Jahren 2016 und 2017 Opfer von Cyberangriffen geworden zu sein (das wären ca. 615 Fälle), scheint die Anzahl der “beim BSI eingegangenen 34 Meldungen”:https://www.bsi.bund.de/DE/Publikationen/Lageberichte/lageberichte_node.html nach ITSiG seit Einführung der Meldepflicht bis zum 30. Juni 2017 nicht sehr realistisch die Gefährdungslage abzubilden, wobei allerdings in diesem Zeitraum für die KRITIS-Sektoren Finanz- und Versicherungswesen, Gesundheit sowie Transport und Verkehr noch keine Meldepflicht bestand.

Raum Moskau

Attribution, wie man die Zuordnung einer Attacke zu ihrem Urheber nennt, sei eine der größten Herausforderungen für die IT-Sicherheit, sagte Eugene Kaspersky auf der “IT-Sicherheitskonferenz des BMBF”:https://www.forschung-it-sicherheit-kommunikationssysteme.de/it-sicherheitskonferenz in Berlin. In der Zukunft würden koreanische Hacker in den Ferien von Amerikanern hacken, amerikanische Hacker an den Feiertagen der Chinesen und chinesische Hacker während der russischen Feiertage. Angesichts der „Zuordnungs- und Abgrenzungsprobleme von IT-Angriffen“ sieht die Bundestagsfraktion Bündnis 90/Die Grünen “in ihrem Antrag”:http://dipbt.bundestag.de/dip21/btd/19/013/1901328.pdf „die Politik der Abschreckung“ der Bundesregierung als zum Scheitern verurteilt. Nicht zuletzt wegen „potentiell schwerster Folgen im Fall einer militärischen Konfrontation“.

Gute Ansätze und viel berechtigte Kritik, zweifelsohne. Doch bei den dort genannten Umsetzungsvorschlägen zur Politik, die auf „bestmöglich geschützte IT-Systeme, digitale Infrastrukturen sowie innovative IT-Sicherheitslösungen setzte“, wäre mehr Mut erwünscht. Statt einem klaren „Nein“ zum Hack-Back, fordert man die Einrichtung einer „eigenständigen, fachlich unabhängigen Organisationseinheit“ zur „Bewertung einer etwaigen Zurechenbarkeit von Angriffen (Attribution)“. Und statt einem „Nein“ zur Onlinedurchsuchung oder Quellen-TKÜ, die die Sicherheit von IT-Systemen systematisch schwächen und den Datenschutz aushöhlen, fordert man „zumindest verhältnismäßige Rechtsgrundlagen“ – die der zuständige Innenminister vermutlich gerne liefert.

„Es gibt ein altes Wort“, schrieb Kurt Tucholsky. „Wenn der Deutsche hinfällt, steht er nicht auf, sondern sieht sich um, wer ihm schadensersatzpflichtig ist.“ Statt über einen Cyberkrieg zu fantasieren, sollten sinnvoll verteilte Zuständigkeiten in der Regierung und Vorgaben für die Privatwirtschaft gesetzt werden. Und gesetzliche Rahmen, die die Bürger schützen – und nicht kriminalisieren. Statt des „CyberBullshitBingos“ auf IT-Gipfeln, endlich und sofort eine relevante und tatsächliche Gestaltung der Digitalisierung, wie es Konstantin von Notz (MdB) auf Twitter forderte. Und: „Statt über Hacker aus Russland zu klagen, müssen Unternehmen und Behörden also endlich ihre IT vernünftig absichern“, so Thomas Kuhn in WiWo. „Dann ist am Ende auch Nebensache, wo die Angreifer tatsächlich sitzen.“

KOMMENTARE

MEIST KOMMENTIERT

Öffentlich-rechtliche Rundfunkanstalten machen linke Berichtserstattung

Zur Studie des Reuters Institute, wonach die öffentlich-rechtlichen Sender lediglich eine Minderheit der Bevölkerung erreichen, die sich darüber hinaus links der Mitte verortet, erklärt der AfD-Fraktionsvorsitzende Alexander Gauland.

Die AfD ist der Aufstand der Straße gegen die Zumutung des kategorischen Imperativs

Die mangelnde Problemlösungsfähigkeit, die den regierenden Parteien in Umfragen unterstellt wird, scheint mir das eigentliche Problem. Keiner behauptet, die AfD könne die Probleme lösen oder habe die Konzepte dafür; sie ist reine Protestpartei, inhaltlich nichts sagend.

Der Klassenkampf hat gerade erst begonnen

Es ist hohe Zeit zu begreifen, dass der linke Zeitgeist brandgefährlich ist. Jene, die das, was sie für das Gute halten, wie eine Monstranz vor sich her tragen und unermüdlich die Welt verbessern wollen, lassen alle Hemmungen fallen, wenn sie feststellen müssen, dass es Andersdenkende gibt.

Die DDR kommt wieder!

Zwei Drittel der Berliner befürworten einen Mietendeckel, wenn die Mieten zu stark ansteigen. Das Bundesverfassungsgericht sagt, dass „preisrechtliche Vorschriften, die durch sozialpolitische Ziele legitimiert werden, verfassungsrechtlich nicht ausgeschlossen sind“. Die Mietpreisexplosion in Be

Die AfD verändert die politische Geographie

Am 1. September wird in Brandenburg und Sachsen gewählt. Die ermatteten Volksparteien bekommen ihre Quittung für eine Politik politischer Lethargie. Die AfD pflügt seit Wochen die politische Landschaft um, aber warum hat sie so eine Macht in Ostdeutschland?

Greta Thunberg ist eine grüne Koboldexpertin

Tag für Tag verkünden uns Marionetta & Co. mit ernster Miene, dass das Ende der Welt bevorsteht, wenn nicht endlich, endlich, endlich die Forderungen einer schwedischen Schulschwänzerin und einer grünen Koboldexpertin eins zu eins in die Tat umgesetzt werden - sprich: Wenn unser aller Leben nich

Mobile Sliding Menu