Was Sie über Cyberangriffe wissen sollten

Die Transformation der Gesellschaft von analog nach digital verlangt nach regelgerechtem Verhalten der Beteiligten. Es ist Aufgabe der Medien, die Zusammenhänge darzustellen und über Lösungsmöglichkeiten zu berichten.

Ein Kommentar von Joachim Jakobs

Wussten Sie schon, dass das Ukrainische Stromnetz im Dezember zum zweiten Mal in zwölf Monaten einem Cyberangriff zum Opfer gefallen ist? Experten meinen, ein mehrtägiger Ausfall der Stromversorgung wäre eine „Katastrophe“. Bislang muten wir unseren Zuschauern und Lesern Überlegungen zur Sicherung der allgegenwärtigen Informationstechnik allenfalls in homöopathischen Dosen zu: Auf spiegel.de und handelsblatt.com wird die ‚ISO 27001‘ wenigstens mal erwähnt – eine sehr umfassende Norm, die für einen DAX-Konzern geeignet ist – aber nicht für einen Mittelständler mit 500 Mitarbeitern. Und – „erwähnen“ reicht nicht, sondern der Leser müsste wenigstens die Bedeutung verstehen und eine Vorstellung davon haben, auf welchem Weg  sein Unternehmen das Regelwerk der Internationalen Standardisierungsorganisation (ISO) integrieren kann. Angemessen fände ich es, wenn ein Mittelstandsmagazin einen (wöchentlichen) Erfahrungsbericht zur Implementierung einer Norm wie der ISIS12 oder der VdS 3473 veröffentlichen würde. Eine solche Kolumne würde sicher Monate laufen.

Wir sollten verstehen, was die Angreifer tun

Wer allerdings den Redaktionen solche Themen anbietet, der erfährt: „Das verstehen unsere Leser nicht.“ Ich fürchte, die Urheber dieser Sprüche schließen allzu schnell von sich selbst auf Andere. Aber sei‘s drum: Wenn wir nicht einmal verstehen, was die Angreifer tun, geschweige denn, uns damit auseinander setzen wollen,  wie wir unsere Zivilisation erhalten können, wird das bei Geheimdiensten, Kriminellen und Terroristen nicht zu Mitleid führen. Im Gegenteil: Frenetischer Beifall ist uns sicher! Angesichts der exponentiell rasenden technischen Entwicklung würde die Verbesserung der Situation selbst dann schwierig, wenn wir jetzt augenblicklich mit der Arbeit anfingen.

Das Verständnis des Publikums ist wichtig: Denn auch die Arbeitgeber unseres Publikums pflegen angreifbare Datenbanken – von Bürgern, KFZ-Haltern, Kunden, Lieferanten, Mandanten, Mitarbeitern, (Partei-)mitgliedern, Steuerzahlern und Versicherten. Zu allem Überfluss lassen sich die verschiedenen Quellen auch noch miteinander zu Personenprofilen kombinieren; solche „identity kits“ aus Kranken-/Versicherungsdaten, Personalausweisen und Führerscheinen werden  bereits im „dunklen Netz“ für für 1.500 – 2.000 Dollar gehandelt. Sollten solche Preise tatsächlich bezahlt werden, bestünde ein überzeugender Anreiz, Daten weiterer Personen zu beschaffen.

Technische Schwächen lassen sich automatisiert ausnutzen

Der Virenjäger Kaspersky behauptet jedenfalls, dass die Masche bereits in der Telekommunikationswirtschaft läuft. Und es wird deutlich: Die Sicherheit des DAX-Konzerns hängt auch von dem verantwortungsvollen Umgang der privaten Dienstleister (Arbeitsämter, Immobilienmakler oder Zulassungsbehörden) der Mitarbeiter ab.

Für die Angreifer wäre es äußerst interessant, die „lebenslange Papierspur“ – von der Geburts- bis zur Sterbeurkunde – aller Bundesbürger nachzuzeichnen. Ich glaube nicht, dass die Datenakquise im Lande der Teutonen allzu schwierig wäre – schließlich lassen sich menschliche wie technische Schwächen automatisiert ausnutzen. Und die Opfer glauben ja bis heute, sie hätten nix zu verbergen. Auch das anschließende Erstellen von 80 Millionen Personenprofilen in beliebiger Detailtiefe ist heute nicht mehr sonderlich aufregend: Der IT-Riese Hewlett Packard (HP) will 160 Petabytes (= 160.000 Terabytes) in 250 Nanosekunden (= 0,00000025 Sekunden) verarbeiten können. In dieser Zeit legt das Licht 75 Meter zurück. Sie halten das für überzogene Paranoia? Keineswegs: Per „Chefbetrug“ lassen sich heute bereits mittelständische Automobilzulieferer Millionen Euro abknöpfen. Es wäre die Aufgabe von Autozeitschriften und Buchhaltungsmagazinen die Zielgruppe über Entwicklungen und Lösungsmöglichkeiten zu informieren.

Neben den personenbezogenen Daten sind auch Geräte mit der Vorsilbe „smart“ interessant: Telekom-Chef Timotheus Höttges wirbt regelrecht darum, jede Schraube mit jeder Büroklammer zu verknüpfen. Die Kehrseite: Sein Sicherheitschef gibt zu, dass sich der Bonner Konzern erpressen lässt. Die  sabotierbaren Dinge verlangen jedenfalls nach mehr Aufmerksamkeit als das bei der Telekom üblich zu sein scheint. Diese Forderung bezieht sich auf die gesamte Prozesskette: Zulieferer, Hersteller, Händler und Nutzer.

Das Problem der vernetzten, aber angreifbaren Haushaltsgeräte

Vor einem halben Jahr wollte ein unzufriedener Spieler Sony per Überlastungstungsangriff plattmachen und mietete dazu ein Botnetz mit 150.000 vernetzten, aber angreifbaren Haushaltsgeräten. Tatsächlich hat der Angreifer aber nicht Sony, sondern ‚Dyn‘ erwischt – ein Dienstleister, der aus sony.com maschinenlesbare Zeichen macht. Durch die Störung der Zuordnungstabelle von Dyn waren anschließend unter anderem Twitter und Ebay über Stunden nicht erreichbar. Nicht nur die Hersteller von Geräten mit der Vorsilbe „smart“, sondern vor allem auch die Betreiber „kritischer Infrastrukturen“ sollten aber zur Kenntnis nehmen, dass bereits Botnetze mit Milliarden an Geräten gesichtet worden sein sollen. Es müsste ihnen halt jemand mitteilen. Und die Betreiber dieser Botnetze wissen vermutlich besser mit ihren leistungsfähigen Kanonen umzugehen als irgendwelche Spielsüchtigen.

Auch die Vielfalt der Infektionswege wächst

Vom erbärmlichen Ist-Zustand kündet eine Meldung vor wenigen Tagen: Die Grünen sollen die Datensicherheit ihrer Server vernachlässigt. So als hätte es die Angriffe auf die Demokratische Partei bei den US-Präsidentschaftswahlen im November nicht gegeben. Wie bitte schön machen denn die Grünen Politik in der Informationsgesellschaft von zehn Landesregierungen für Millionen Menschen, wenn sie nicht einmal ein paar Parteiserver sicher betreiben können?

Noch doller treibts nur die Bundesregierung: Trotz ihrer Ahnungslosigkeit schwadroniert Angela Merkel von der Bedeutung des Datenhandels. Und ihre Minister imitieren die Chefin perfekt: Der Innenminister ruft die Bevölkerung dazu auf, Bilder zur Aufklärung des Anschlags vom Breitscheid-Platz zu übermitteln – das dazu eingerichtete Portal war aber angreifbar und deshalb stundenlang nicht zu erreichen. Und das nach bereits bekannten schwerwiegenden Sicherheitsmängeln der  Strafverfolgungsbehörden, durch die die Daten des eigenen Personals in die Hände von Unbefugten gelangen könnten. Genauso in der Wirtschaft: Im vergangenen Jahr sollen sich die Datenpannen in Bayern nahezu verdreifacht haben. Ich vermute, dass das in anderen Bundesländern ähnlich ist.

Dieses Bewusstsein muss schon im Kindergarten losgehen

Jeder Klick von Microsofts Schlaumäusen lässt sich verfolgen und in Echtzeit auswerten: Jugendliche sind angeblich „leichtsinnig“ im Umgang mit ihren persönlichen Daten. Studierende behaupten zwar, sie seien risikobewusst, klicken jedoch zur Hälfte unbekannte Internetlinks an – aus „Neugier“.

Also müssen wir auch unser Bildungssystem auf Lücken abklopfen – und zwar nicht nur die Inhalte derer, die künftig auf den Chefsesseln Platz nehmen, sondern auch die Bildung, die wir den übrigen Teilnehmern der Informationsgesellschaft zukommen lassen; also denen, die auf Basis der Entscheidungen künftig Informationstechnik entwickeln, einrichten, verwalten oder nutzen, um vernetzte Geräte zu steuern oder personenbezogene Daten damit zu verarbeiten. Bislang weigern sich die Verbände der Wissenschaft – allen voran die Hochschulrektorenkonferenz (HRK) – der Frage, wie sie die Informationssicherheit qualitativ und quantitativ in die Curricula hineinbringen. Damit versagt die HRK bei ihrer selbstgesteckten Aufgabe – der „Grundlagen- und Standardentwicklung im Hochschulsystem“.

Es ist die Aufgabe der Medienmacher die Inhalte publikumsspezifisch und altersgerecht zu präsentieren und zur kollektiven Bewusstseinsbildung beizutragen: Wer Deutschland 4.0 will, muss für Sicherheit 4.0 sorgen. Alles Andere ist Russisches Roulette!

Hier finden Sie Joachim Jakobs ersten Kommentar.