Omas Häuschen bleibt steuerfrei. Aber wer Omas Villa erbt, der wird Steuern zahlen müssen. Peer Steinbrück

Russische Hacker

Viele Hinweise, kaum Beweise – so lässt sich die Diskussion zur Beteiligung russischer Hacker an weltweiten Cyber-Angriffen zusammenfassen. Ihre Möglichkeiten scheinen schier unbegrenzt. Ihre Beherrschung digitaler Technologien grenzt an Magie. Doch das Problem ist weniger mystisch: Unternehmen und Behörden hierzulande setzen unsichere Technologien ein. Die Motivation, dies zu ändern, ist gering.

„…die Deutschen brauchen immer einen, der an allem schuld ist.“
Kurt Tucholsky

An einem Sommertag des 7. Juni 2017 meldete das österreichische Satiremagazin Der Postillon, der Glaube an allmächtige russische Hacker sei nun als Religion anerkannt worden. Russische Hacker könnten die Bundestagswahlen oder den Volksentscheid zum Brexit beeinflussen, entscheiden, wer US-Präsident wird, wüssten, welches Mitglied des Bundestages wann und an wen E-Mails geschrieben habe (und worüber), sie würden Nacktfotos von Promis und Dokumente des französischen Präsidenten veröffentlichen, Strom in der Ukraine abschalten oder Wasser in Kiel abstellen können. „Die Wege der russischen Hacker sind unergründlich“, konstatierte Der Postillon.

Satire oder Wahrheit?

Für solche Behauptungen gibt es zwar viele Hinweise, aber wenige Beweise. So lässt sich momentan der Stand der aktuellen Diskussion zum Thema #russianhacking zusammenfassen. Diplomaten, Geheimdienste, Politiker und Regierungen in den USA, Großbritannien oder Deutschland beschuldigen abwechselnd russischstämmige Hacker der erfolgten oder geplanten, möglicher oder potenzieller Angriffe. Beweise legen sie keine vor. Weil sie nicht können. Oder nicht wollen. Oder, weil sie dadurch zu viel über die Arbeit der eigenen Geheimdienste verraten müssten. Oder, weil sie faktisch keine Beweise haben.

Die Politisierung der Diskussion, die Kalter-Krieg-Rhetorik und das „diplomatische Gepolter“ lenkt laut Thomas Kuhn, Redakteur Innovation und Digitales bei der WiWo, in der Ausgabe 17/2018 „vom viel größeren Problem“ ab, „das den Angriffen zugrunde liegt“ . Dies sei die „Lässigkeit“, mit der Unternehmen und Behörden ihre IT-Systeme und sich darin befindliche Daten und Informationen schützen. Beziehungsweise, die sie eben nicht schützen. „Wer sich ansieht, welche von den Hackern ausgenutzte Sicherheitslücken die Cyberschützer aufgelistet haben, den packt das Grausen“, schreibt Kuhn. „Russische Hacker“ ist zum Synonym für Hilflosigkeit und Ahnungslosigkeit der Politik und Privatwirtschaft geworden, die den Herausforderungen der Informationssicherheit nicht mehr Herr werden. „Der Staat muss seinen digitalen IQ rasch erhöhen“, fordern Viktor Mayer-Schönberger und Thomas Ramge in Das Digital. Das gilt für Datensicherheit und Datenschutz umso mehr.

Phishen in der Politik

Für Angriffe ausgenutzt werden oft bekannte Schwachstellen, oder es werden Angriffsarten eingesetzt, für die längst Warnungen durch die zuständigen Behörden oder Sicherheitsunternehmen vorliegen und für die es geeignete Gegenmaßnehmen gibt. Es sind mitnichten spezielle oder magische Fähigkeiten notwendig, um in die Systeme der Parteien oder Behörden zu gelangen, fand das Bundesamt für Sicherheit in der Informationstechnik (BSI) nach der Analyse von Sicherheitsvorfällen im Kontext politischer Wahlen in den USA, Frankreich oder den Niederlanden heraus. Phishing ist eine der Angriffsarten, aber auch schlecht, „quick and dirty“, entwickelte Apps ohne angemessene Zugriffskontrollen und Identitätsmanagement, unverschlüsselte E-Mails etc.
„Vor dem Hintergrund der Berichte aus den USA und Frankreich über Cyber-Angriffe im Zusammenhang mit den dortigen Präsidentschaftswahlen […] besteht auch in Deutschland die Sorge, dass Täter auf digitalem Wege versuchen könnten, die Bundestagswahl 2017 zu beeinflussen“ , hieß es im Bericht Die Lage der IT-Sicherheit in Deutschland 2017.

Die Ursachenanalyse des BSI ergab, dass „[m]ithilfe betrügerischer E-Mails und Phishing-Mails […] Hacker ausgesuchte Empfänger mit Schadsoftware infiziert [haben], um so an die Passwörter der Betroffenen zu gelangen. Auf diesem Wege sind sie in den Besitz einer Vielzahl von Dokumenten und umfangreicher E-Mail-Korrespondenz gelangt. Dies ermöglichte einige kompromittierende Veröffentlichungen.“ Deswegen bot BSI den Interessierten Unterstützung an, die bei – für einen Sicherheitsspezialisten – so banal klingenden Maßnahmen, wie Schutz privater E-Mail-Postfächer oder Verifizierung von Twitter- und Facebook-Accounts, ansetzte. Parteien und parteinahe Stiftungen wurden Informationen über Cyberangriffe und „auf Wunsch an besonders kritischen Stellen Penetrationstests“ angeboten.

Gut aufgestellt

Alleine auf Behörden, Parteien oder öffentliche Institutionen zu zeigen, wäre dennoch falsch. Das BSI betont nicht ohne Grund bei beinahe jeder Diskussion über den „Bundestagshack“, nicht für die Sicherheit der IT-Systeme des Bundestages zuständig zu sein. Die Bekundungen der Privatunternehmen, sie seien „gut aufgestellt“, sind mitunter mit Vorsicht zu genießen. Hardware mit Standardpasswörtern an Kunden auszuliefern, Zugänge zu den Netzwerken offen zu lassen, nicht zu kontrollieren, wer wann auf die IT-Systeme zugreift, Hintertüren in Applikationen und Software einzubauen, um die Daten der Kunden abgreifen zu können, an Monitoring und Personal zu sparen – „all das sollte den Unternehmen längst nicht mehr passieren“, so Thomas Kuhn. Doch viele der Firmen hätten nicht einmal Notfallpläne. „Gut aufgestellt“ ist das nicht.

Laut Cyber-Sicherheits-Umfrage 2017 des BSI im Rahmen der Allianz für Cyber-Sicherheit, an der 879 Institutionen teilnahmen, verfügen 66 Prozent der großen und 55 Prozent der kleinen und mittleren Unternehmen (KMU) beziehungsweise Institutionen über Richtlinien für die Wiederherstellung des Betriebs nach einem Störfall. Ein Viertel der befragten Unternehmen besitzt ein Cyber-Sicherheitsmonitoring, das eine Detektion potenzieller Angriffe auf die IT-Systeme ermöglichen würde. 29 Prozent der großen Unternehmen und 23 Prozent der KMU werten Logdateien und andere Informationsquellen systematisch und regelmäßig aus. Gut die Hälfte aller Unternehmen untersucht Log-Files nur bei konkretem Verdacht. Zu den präventiven Maßnahmen gehören Netzwerkabsicherung mit 89 Prozent und die Abwehr von Viren mit 86 Prozent; Kryptografie setzen immerhin 67 Prozent der Befragten ein. Doch die Wirksamkeit dieser Sicherheitsmaßnahmen bleibt unklar. Rund 70 Prozent der Befragten gaben nämlich an, in den Jahren 2016 und 2017 Opfer von Cyberangriffen geworden zu sein, etwa die Hälfte davon war erfolgreich.

Security by Obscurity

Beratend oder im Fall eines Angriffs stehen den Unternehmen auf Cyberkriminalität spezialisierte Einheiten der Landeskriminalämter und des BKA zur Seite: die sogenannten ZAC – Zentrale Ansprechstellen Cybercrime der Polizeien – sowie auf Cyberkriminalität spezialisierte Abteilungen der Staatsanwaltschaften. Ihre Aktivitäten sind darauf ausgerichtet, die Angreifer („Hacker“) zu ermitteln und zur Verantwortung zu ziehen – nicht etwa aber, die Unternehmen für schlecht abgesicherte IT-Systeme oder den Verkauf und Einsatz von unsicherer Hard- und Software zu belangen und zur Verantwortung zu ziehen. Die sogenannten Hackerparagrafen im StGB richten sich gezielt gegen Angreifer und Hacker.

Das Strafsystem setzt nicht dort an, wo die Ursachen der Probleme behoben werden, nicht bei denen, die tatsächlich etwas gegen die Cyberattacken unternehmen könnten, indem sie die Schwachstellen beheben und die Systeme härten. Dieser Ansatz hat sich ad absurdum geführt. Das beweist der Fall eines jungen Kanadiers, dem zehn Jahre Haft drohen, weil er „gut 7.000 öffentlich zugängliche Dokumente“ vom Informationsfreiheitsportal heruntergeladen hat. Die Provinzregierung stellte auf dem Server ungeschützt u. a. für die Öffentlichkeit nicht bestimmte Dokumente ein, die der 19-Jährige fand, indem er „zu der URL jeweils 1 hinzugezählt“ hatte, nach dem Schema: dokument0001.pdf, dokument0002.pdf etc. Der Teenager wurde verhaftet und verhört, das Haus durchsucht, die Geräte seiner Familie beschlagnahmt. „Auch die Eltern und die minderjährigen Geschwister sollen stundenlang verhört worden sein“, so Daniel A. J. Sokolov, während die Provinzregierung es offenbar unterließ, die betroffenen Bürger über das Datenleck zu informieren. Sicherheitsforscher und IT-Szene organisieren nun eine Spendenkampagne, um die Verteidigung des Angeklagten zu finanzieren, dem Haft droht, weil „er zählen kann“.

IT-Sicherheit, Freiheit, Frieden

Statt über Hacker aus Russland zu klagen und stets die Politik aufzufordern, mehr, bessere und billigere Sicherheitsspezialisten auszubilden, sollten die Unternehmen und Behörden endlich verstärkt in präventive, technische und organisatorische Maßnahmen investieren und ihre IT-Systeme und darin verarbeitete Daten nach dem Stand der Technik absichern. Damit sie es auch sicher tun, ist Kontrolle notwendig. „Zu lange hat die Bundesregierung die im Mittelpunkt stehenden Fragen der IT-Sicherheit der Selbstregulierung der Wirtschaft überlassen und eine Politik verfolgt, die die Interessen von Sicherheitsbehörden vor den effektiven Schutz von Grundrechten und sichere digitale Angebote stellt“, kritisieren Abgeordnete der Fraktion Bündnis 90/Die Grünen in ihrem Antrag IT-Sicherheit stärken, Freiheit erhalten, Frieden sichern. Nicht nur Unternehmen, die Betreiber kritischer Infrastrukturen sind, sollten vom IT-Sicherheitsgesetz (ITSiG) erfasst werden, auch die öffentlichen Stellen. Statt alleine auf passive Meldepflichten und Mindeststandards sollte man „viel stärker auf Anreize für proaktive Investitionen in gute IT-Sicherheitslösungen setzen“. Verbindliche IT-Mindeststandards sollten unter anderem für Zertifizierungsrahmen der Sicherheit von ITK entwickelt werden. Über effektive Kontrolle der Einhaltung dieser Vorgaben durch die Unternehmen oder zeitgemäße Geldbußen für die Nichteinhaltung schwiegt sich der Antrag aus. Die vorgesehenen Geldbußen bis zu 100.000 Euro nach § 14 BSIG dürften wenig motivierend wirken.

Bedenkt man, dass rund 70 Prozent der befragten 879 Institutionen in der BSI-Umfrage angegeben haben, in den Jahren 2016 und 2017 Opfer von Cyberangriffen geworden zu sein (das wären ca. 615 Fälle), scheint die Anzahl der beim BSI eingegangenen 34 Meldungen nach ITSiG seit Einführung der Meldepflicht bis zum 30. Juni 2017 nicht sehr realistisch die Gefährdungslage abzubilden, wobei allerdings in diesem Zeitraum für die KRITIS-Sektoren Finanz- und Versicherungswesen, Gesundheit sowie Transport und Verkehr noch keine Meldepflicht bestand.

Raum Moskau

Attribution, wie man die Zuordnung einer Attacke zu ihrem Urheber nennt, sei eine der größten Herausforderungen für die IT-Sicherheit, sagte Eugene Kaspersky auf der IT-Sicherheitskonferenz des BMBF in Berlin. In der Zukunft würden koreanische Hacker in den Ferien von Amerikanern hacken, amerikanische Hacker an den Feiertagen der Chinesen und chinesische Hacker während der russischen Feiertage. Angesichts der „Zuordnungs- und Abgrenzungsprobleme von IT-Angriffen“ sieht die Bundestagsfraktion Bündnis 90/Die Grünen in ihrem Antrag „die Politik der Abschreckung“ der Bundesregierung als zum Scheitern verurteilt. Nicht zuletzt wegen „potentiell schwerster Folgen im Fall einer militärischen Konfrontation“.

Gute Ansätze und viel berechtigte Kritik, zweifelsohne. Doch bei den dort genannten Umsetzungsvorschlägen zur Politik, die auf „bestmöglich geschützte IT-Systeme, digitale Infrastrukturen sowie innovative IT-Sicherheitslösungen setzte“, wäre mehr Mut erwünscht. Statt einem klaren „Nein“ zum Hack-Back, fordert man die Einrichtung einer „eigenständigen, fachlich unabhängigen Organisationseinheit“ zur „Bewertung einer etwaigen Zurechenbarkeit von Angriffen (Attribution)“. Und statt einem „Nein“ zur Onlinedurchsuchung oder Quellen-TKÜ, die die Sicherheit von IT-Systemen systematisch schwächen und den Datenschutz aushöhlen, fordert man „zumindest verhältnismäßige Rechtsgrundlagen“ – die der zuständige Innenminister vermutlich gerne liefert.

„Es gibt ein altes Wort“, schrieb Kurt Tucholsky. „Wenn der Deutsche hinfällt, steht er nicht auf, sondern sieht sich um, wer ihm schadensersatzpflichtig ist.“ Statt über einen Cyberkrieg zu fantasieren, sollten sinnvoll verteilte Zuständigkeiten in der Regierung und Vorgaben für die Privatwirtschaft gesetzt werden. Und gesetzliche Rahmen, die die Bürger schützen – und nicht kriminalisieren. Statt des „CyberBullshitBingos“ auf IT-Gipfeln, endlich und sofort eine relevante und tatsächliche Gestaltung der Digitalisierung, wie es Konstantin von Notz (MdB) auf Twitter forderte. Und: „Statt über Hacker aus Russland zu klagen, müssen Unternehmen und Behörden also endlich ihre IT vernünftig absichern“, so Thomas Kuhn in WiWo. „Dann ist am Ende auch Nebensache, wo die Angreifer tatsächlich sitzen.“

Lesen Sie auch die neuste Kolumne von Aleksandra Sowa: Der gute Bürger

Leserbriefe

comments powered by Disqus
meistgelesen / meistkommentiert