Dienstag, 19. März 2024

Archiv

Im Visier der Hacker
Cyber-Angriffe machen Staat und Wirtschaft ratlos

Unternehmen werden von Hackern erpresst und zahlen Geld, die Bundesregierung setzt wieder auf die Vorratsdatensspeicherung und die Bundeswehr bereitet sich auf einen Cyber-Krieg vor. Das Problem der Cyber-Kriminalität ist zwar erkannt, aber erfolgreiche Konzepte für eine effektive Verfolgung oder einen verlässlichen Schutz - auch vor ausländischen Geheimdiensten - fehlen.

Von Johannes Nichelmann | 25.10.2015
    Computerkabel in einem Serverraum
    Zahlreiche Netzwerkkabel stecken in Routern in einem Serverrraum im Zentrum für IT-Sicherheit in Bochum (dpa/picture-alliance/ Andreas Balk)
    "Jede Firma, die im Internet agiert, erlebt diese Erpressungsversuche. Bei uns, der Deutschen Telekom, ist der letzte glaube ich vier Wochen her. Wir haben übrigens bezahlt. Wir hatten keine andere Möglichkeit."
    Bernd Eßer, Head of Cyber Defense, bei der Deutschen Telekom. Als der Deutschlandfunk diese Aussage vor einigen Monaten sendete, gab es Beschwerden vom Bonner Konzern. Kein Unternehmen spricht gerne über Cyber-Attacken. Zu groß die Angst, Kunden und Geschäftspartner zu verlieren oder Schwäche vor der Konkurrenz zu zeigen. Wird bekannt, dass doch etwas passiert ist, werden öffentliche Anfragen in der Regel abgeblockt: ein Versuch, schnell Gras über die Sache wachsen zu lassen.
    Doch Angriffe aus dem Internet – Erpressungsversuche oder Datenklau – zählen inzwischen zum Alltag bei deutschen Unternehmen und Behörden. Dies lassen IT-Experten, Ermittler und Unternehmer auf einschlägigen Konferenzen durchblicken. Auch der Bundestag musste sich spätestens in diesem Jahr intensiv mit dem Thema befassen. Das hohe Haus unter Bundestagspräsident Norbert Lammert, CDU, wurde von bislang Unbekannten gehackt. Trojaner – Spähsoftware – fanden sich auf hauseigenen Rechnern.
    "Der gegenwärtige Stand der Ermittlungen zu diesen Entwicklungen der vergangenen Wochen ist, dass in den letzten zwei Wochen keine Datenabflüsse mehr festzustellen sind. Wir sind uns aber darüber im Klaren, dass daraus nicht die Schlussfolgerung gezogen werden kann, dass damit das Thema abschließend und endgültig erledigt sei."
    Wie geht der Staat, wie gehen Unternehmen, gegen die Angriffe vor? Die Sensibilität in der Politik für das Thema Cyber-Sicherheit ist gestiegen. Schon vor der Attacke auf den Bundestag wurden in einigen Ministerien und Behörden Arbeitsgruppen und Task Forces gebildet. Für den Journalisten von der Online-Plattform netzpolitik.org, Markus Beckedahl, geht das bislang nicht weit genug.
    "Also der Staat bemüht sich auf vielen Ebenen, die IT-Sicherheit zu erhöhen. Bisher haben wir aber eher den Eindruck, dass eine ganze Menge Papiertiger geschaffen werden. Aber richtige Lösungen zur Erhöhung der IT-Sicherheit im politischen Betrieb gar nicht angekommen sind."
    Es seien zu viele Juristen in Entscheidungspositionen, die von der Thematik nicht besonders viel verstünden. IT-Profis gehen lieber in die Wirtschaft. Die lockt mit flexibleren Arbeitszeiten und wesentlich mehr Gehalt. Und in den Unternehmen? Die "Allianz für Cyber-Sicherheit" – ein Verbund des Bundesamtes für Sicherheit in der Informationstechnik und einigen Wirtschaftsverbänden, wie dem BDI und der IHK -, hat jüngst ihre Umfrage zur "Cyber-Sicherheit 2014" ausgewertet. Demnach waren 58 Prozent der teilnehmenden Unternehmen und Behörden zwischen 2012 und 2014 Ziel von Attacken aus dem Netz. 42 Prozent aller Angriffe waren erfolgreich.
    Schadsoftware, SPAM-Mails und Attacken auf den Server
    Wie gehen die Angreifer vor? Sie schicken Schadsoftware beispielsweise durch SPAM-Emails. Doch werden in der Umfrage auch sogenannte DDoS-Attacken oft genannt. Die Angreifer nutzen hier mehrere – meist ebenfalls gehackte – Computer und senden damit im Sekundentakt Anfragen an den Server des Opfers. Die Simulation eines Besucheransturms, dem die eigenen Systeme nicht standhalten können. Das Ergebnis: die Website ist nicht mehr aufrufbar. Das kann zum Beispiel für Online-Shops eine Katastrophe sein.
    Das ist dem Journalisten Lars Sobiraj aus Nordrhein-Westfalen schon mehrfach passiert. Auf seiner Plattform tarnkappe.info geht es oft um die Szene der Raubkopierer oder um andere illegale Machenschaften im Internet. Die Veröffentlichungen des 49-Jährigen gefallen nicht jedem.
    Leider nur Spam: Bei E-Mail-Betrug sind häufig sogenannte Botnetze beteiligt.
    Bei E-Mail-Betrug sind häufig sogenannte Botnetze beteiligt. (dpa / picture alliance / Maximilian Schönherr)
    "Dann ist es häufig so, dass kurze Zeit später oder manchmal auch erst drei oder vier Tage später, je nachdem, wie lange die gebraucht haben, um das zu sehen, dass wir dann unter einer sogenannten DDoS-Attacke stehen."
    Wer seine Gegner sind, weiß er nicht. Wie sie vorgehen, erklärt Lars Sobiraj folgendermaßen:
    "Also in den meisten Fällen läuft das so, dass ich ein sogenanntes Bot-Netz kaufe. Das kann ich auch stunden- oder tageweise tun. Das sind von Schad-Software, also Viren oder Trojanern übernommene Computer, deren Besitzer merken es gar nicht. Die Rechner laufen ganz normal, funktionieren etwas langsamer, machen dann aber im Hintergrund Dinge, von denen die Eigentümer nichts ahnen. So zum Beispiel diese DDoS-Attacken."
    Zwar gehen ihm nicht viele Werbeeinnahmen verloren, da die Angriffe oft nur wenige Stunden dauern, aber genervt ist er schon. Außerdem muss er jeden Monat Geld bezahlen - an eine Firma aus den USA, die ihn vor den Hacker-Angriffen zu schützen versucht. Bei einem früheren Arbeitgeber von Lars Sobiraj allerdings ging es um mehr. Auch hier seien kritische Artikel über die Hacker-Szene erschienen.
    "Und standen dann nach wenigen Stunden unter massiven DDoS-Attacken. Da ging also dann gar nichts mehr, und dann ist die Geschäftsleitung angeschrieben worden. Sie hätten zwei Möglichkeiten: Entweder, sie löschen den Artikel oder die Seite bleibt halt blockiert, und sie haben es dann halt wirtschaftlich entschieden. Der Artikel ist dann leider wieder entfernt worden. Danach war die Seite dann auch wieder erreichbar."
    Lars Sobirajs Ex-Arbeitgeber knickte also ein und ließ sich erpressen. Sobiraj selbst hat für die Angriffe auf sein Web-Angebot bewusst keine Anzeige erstattet.
    "Also, da ich ja schon sehr oft Opfer von solchen Attacken geworden bin, bin ich das natürlich auch von meinen Lesern oft gefragt worden. Ich halte das für sinnfrei, weil die Polizei sicherlich natürlich Ermittlungen aufnehmen würde, aber ich halte es für sehr fragwürdig, ob es ihnen gelingen kann, die Täter zu kriegen. Das glaub ich nicht."
    Der Handlungsspielraum der Polizei
    Wiesbaden im September 2015. Das Bundeskriminalamt lädt zur "Cybercrime Conference C3". Es geht um Herausforderungen für Polizei und Wirtschaft. Auf dem Podium ist auch Stefan Paris. Er leitet die Unterabteilung "Cyber Sicherheit" im Bundesinnenministerium.
    "Die Bekämpfung von Cybercrime ist keine Aufgabe, die der Staat mit seinen Behörden alleine bewältigen könnte. Cybercrime ist eine Bedrohung für die ganze Gesellschaft. Also müssen auch alle gesellschaftlichen Akteure mitwirken. Wissenschaft, Zivilgesellschaft und insbesondere die Wirtschaft. Unverzichtbar ist die Mitarbeit der IT-Wirtschaft. Ohne die Expertise der Betriebssysteme- und Antivirushersteller geht es nicht."
    Jährlich entstünden, so heißt es auf der Konferenz, weltweit Schäden in dreistelliger Milliarden-Höhe. Kosten, die auch und vor allem die Wirtschaft zu tragen hat.
    Klassische Straftaten verlagern sich ins Internet
    Fred-Mario Silberbach hat die Aufgabe, die Akteure zu finden, die hinter Angriffen und Ausspähungen stehen. Er ist stellvertretender Leiter der Abteilung "SO41- Lage und Analyse Cybercrime" im Bundeskriminalamt. 140 Mitarbeiterinnen und Mitarbeiter - Kriminalbeamte und Informatiker - ermitteln hier für die Polizeibehörde. Das Bundesinnenministerium will die Anzahl der Ermittlerinnen und Ermittler für Verbrechen im Internet bald noch erhöhen.
    "Wir stellen eine zunehmende Verlagerung von klassischen Straftaten in das Medium Internet fest. Das ist ein seit Jahren ungebrochener Trend, und wir sehen das an in der Regel steigenden Fallzahlen. An höheren finanziellen Schäden, die mit den Straftaten einhergehen und auch mit der Qualität der Angriffe."
    Das Problem: die Unternehmen scheuen sich nicht nur vor der Öffentlichkeit, sondern auch vor den Strafverfolgungsbehörden. Was, wenn die Ermittlungen publik werden?
    "Wir hatten im vergangenen Jahr knapp 50.000 Straftaten der sogenannten Cybercrime im engeren Sinne angezeigt bekommen bei der deutschen Polizei, und wir müssen hier von einem sehr, sehr hohen Dunkelfeld ausgehen. Also das, was tatsächlich an Angriffen auf Bürger, auf Firmen, auf Behörden passiert, davon erfahren wir nur zu einem geringen Teil und das macht natürlich die Ermittlungsarbeit insgesamt noch anspruchsvoller."
    Die Welt des Internets kennt kaum nationale Grenzen - die Welt der Polizei hingegen viele verschiedene Zuständigkeiten. Das BKA arbeitet nicht nur mit deutschen, sondern auch mit ausländischen Diensten zusammen, zum Beispiel mit dem FBI. Wer garantiert, dass deren Erkenntnisse nicht auch von der umstrittenen NSA oder anderen Geheimdiensten stammen und somit womöglich nicht so ermittelt worden sind, wie es dem deutschen Rechtsverständnis entspricht?
    Ein weiterer Partner: die EU-Agentur Europol. Der Abgeordnete der Linksfraktion im Deutschen Bundestag Andrej Hunko sagt, dass die Bundesregierung keine Ahnung hätte, welche digitalen Analysewerkzeuge Europol nutze. Obwohl das Bundeskriminalamt sehr häufig Daten liefere und auch selbst abfrage.
    "Wir haben ja auch das Problem, zum Teil ist in Deutschland die parlamentarische Kontrolle einigermaßen möglich, aber alles was sozusagen auf die EU-Ebene übertragen wird, zum Beispiel zu Europol übertragen wird, da läuft im Augenblick auch sehr viel, ist parlamentarisch unglaublich schwer zu kontrollieren. Parlamentarisch heißt letztlich dann auch öffentlich. Hier müssen dringend die Kontrollmöglichkeiten verbessert werden. Das Europaparlament zum Beispiel hat sehr viel weniger Möglichkeiten, ihre Agenturen zu kontrollieren, als wir das hier auf nationaler Ebene haben."
    Ermittler hierzulande sehen ihre Möglichkeiten zur Verfolgung von Cyber-Kriminalität hingegen noch zu sehr eingeschränkt. Rechtshilfewege würden mitunter Jahre dauern - für Taten, die binnen Sekunden per Mausklick am anderen Ende der Welt begangen werden können. Man hört, dass einigen Beamten der Paragraph 100 a der Strafprozessordnung zur Telekommunikationsüberwachung zu wenig Spielraum lasse, gegen Cyberangriffe vorzugehen. Sie fordern mehr Möglichkeiten zum staatlichen Abhören und Computer-Ausspähen. Schützenhilfe kommt von der großen Koalition.
    Menschen demonstrieren am 12.06.2015 vor dem Reichstagsgebäude in Berlin gegen die Speicherung von Vorratsdaten.
    Die Politik hat die Vorratsdatenspeicherung wieder aktiviert - in der Bevölkerung gibt es Proteste (hier am 12.06.2015 in Berlin) (picture alliance / dpa / Wolfgang Kumm)
    Hilft die Vorratsdatenspeicherung gegen Cyberkriminalität?
    Berlin, Mitte Oktober 2015. Die Vorratsdatenspeicherung ist zurück. Bundesjustizminister Heiko Maas, SPD, der noch vor kurzem strikt dagegen zu sein schien, macht eine Kehrtwende und verteidigt die Entscheidung.
    "Sehr geehrter Herr Präsident, meine sehr verehrten Damen und Herren. Mit dem vorliegenden Gesetzesentwurf geben wir Justiz und Polizei bei schwersten Straftaten ein zusätzliches Instrument an die Hand."
    Zehn Wochen lang sollen Telekommunikationsdaten künftig aufbewahrt werden. IP-Adressen von Computern und Verbindungsdaten zu Telefongesprächen werden nach dem neuem Gesetz sogar zweieinhalb Monate gespeichert. Daten zum E-Mail-Verkehr dürfen nach wie vor nicht erfasst werden. Den Abruf der Informationen muss vorab eine Richterin oder ein Richter erlauben. Den Ermittlungen von Hacker-Angriffen soll das zu Gute kommen. Andrej Hunko aus der Bundestagsfraktion der Linken ist skeptisch.
    "Na, ich würde mal sagen klassische Logik von solchen Sicherheitsbehörden. Vorratsdatenspeicherung ist ein Punkt, den wir auch ablehnen. Weil das sehr massiv in die Grundrechte eingreift. Mir scheint das eher als Klagen auf hohem Niveau. Also nach unserer Information hat das BKA sehr wohl weitgehende Fähigkeiten. Aber es gibt natürlich immer einen Drang, mehr haben zu wollen. Zum Beispiel eben die Vorratsdatenspeicherung. Das kollidiert dann oft eben mit Grundrechten."
    Rückfrage bei Fred-Mario Silberbach vom Bundeskriminalamt.
    "Wie einfach oder schwer ist es denn für Sie, im unbekannten großen Cyberraum die Persönlichkeitsrechte, die in der Bundesrepublik gelten, alle zu wahren? Kann man ganz klar ermitteln, wenn man Pressefreiheit, Postgeheimnisse usw. stark beachten muss?"
    "Immer wieder die versteckten Fragen nach Presse, ne? Die Polizei, also das BKA und die Landeskriminalämter und die Flächendienststellen, die arbeiten ganz klar nach der Regelung der Polizeigesetze der Länder. Das BKA nach dem BKA-Gesetz und nach der Strafprozessordnung und dem Strafgesetzbuch. Es gibt in dem sehr technisch innovativen Feld der Cybercrime sicherlich immer mal wieder Fragen: Ist ein Vorgehen zur Aufhellung eines bestimmten Forums - ist das von den gängigen Rechtsgrundlagen gedeckt oder nicht. Aber dazu gibt es einen Staatsanwalt, der als Herr des Ermittlungsverfahrens uns da die rechtliche Beratung gibt."
    Rückendeckung zur Vorratsdatenspeicherung gibt es aus einem kleinen Ort in Sachsen namens Gerwalde. Matthias Ungethüm ist 25 Jahre alt und war selbst im Visier der deutschen Sicherheitsbehörden.
    "Ich hab mich im Internet aufgespielt wie der Größte. Es war eigentlich auch mein Ziel. Es ist bei jedem das Ziel, der Größte im Internet zu sein. Ja, klar. Es war schon teilweise irgendwie peinlich. Also, ich hab auch Probleme mit der Polizei gehabt. Ich hab deswegen Sozialstunden machen müssen. Wegen manchen Aktionen."
    Ehemaliger Hacker arbeitet jetzt für die Wirtschaft
    Matthias Ungethüm lebt noch bei seinen Eltern und hat früh angefangen, sich auf der dunklen Seite des Internets herumzutreiben. In der Szene der Angreifer geht es vor allem um Geld, wenig um Moral – sagt er. Anfragen von Unternehmen, anderen Unternehmen durch Attacken zu schaden, hat er schon oft bekommen. Die technischen Möglichkeiten, sich im Netz vor der Polizei zu schützen, seien groß. Im Grunde könne man fast gefahrlos agieren.
    "Ich meine, irgendwas könnte ich wirklich sagen, was jetzt bestimmt eine Menge Leute zum Aufschreien nehmen werden. Diese Vorratsdatenspeicherung, dass die durchgesetzt werden sollte, war eigentlich gar nicht so schlecht. Es werden Polizisten dann zumindest wissen, wenn es um Hacking geht, kann das meistens gar nicht richtig behandelt werden. Weil die Leute nicht gekriegt werden können."
    Inzwischen hilft Matthias Ungethüm der Wirtschaft. Auf Wunsch von Unternehmen greift er deren Server und Netzwerke an, auf der Suche nach Sicherheitslücken, "Penetrationstest" heißt so etwas.
    Zurück in Berlin. Seit Anfang letzten Jahres versucht der NSA-Untersuchungsausschuss des Bundestags zu klären, wie und in welchem Ausmaß die US-Geheimdienste den deutschen Staat und die deutsche Gesellschaft bisher ausgespäht haben. Am 02. Juli 2015 sagt Günther Heiß, Geheimdienstkoordinator des Bundeskanzleramts, zu einer möglichen Wirtschaftsspionage der US-Geheimdienste vorm Ausschuss aus. Auf der Homepage des Bundestags wird seine Aussage wie folgt zusammengefasst:
    "Es gebe keine Belege dafür, dass US-Dienste in diesem Sinne in der Bundesrepublik tätig seien. Es sei auch glaubhaft, wenn die Amerikaner dies stets verneinten, weil ein Geheimdienst in einer marktwirtschaftlichen Ordnung "riesige kartellrechtliche Probleme" bekäme, wollte er einzelne Unternehmen zum Nachteil anderer mit vertraulichen Informationen über die internationale Konkurrenz ausstatten. Geheimdienste aus Ländern mit erheblichem Staatseinfluss auf die Wirtschaft wie China oder Russland seien in dieser Hinsicht schon eher verdächtig."
    Beckedahl: Deutsche Geheimdienste waren bei Kooperation mit NSA und Co. offensichtlich total naiv und dämlich
    Markus Beckedahl und seine Redaktion von netzpolitik.org verfolgen die öffentlichen Anhörungen von Anbeginn.
    "Die Arbeit des Geheimdienst-Untersuchungsausschusses zeigt und die Debatte um die sogenannte Selektoren-Liste zeigt, dass unsere Geheimdienste bei ihrer Kooperation mit NSA und Co. offensichtlich total naiv und dämlich waren. Und es zugelassen haben, dass fremde, befreundete Geheimdienste unsere eigenen Industrien mit unserer Hilfe überwachen können. Das ist ein Skandal sondergleichen. Ich wunder mich, dass die Industrie hier noch nicht mehr auf die Barrikaden gegangen ist."
    Markus Beckedahl, Chefredakteur von netzpolitik.org
    Markus Beckedahl, Chefredakteur von netzpolitik.org (Horst Galuschka)
    Der Journalist, der vor kurzem vom Präsidenten des Bundesamtes für Verfassungsschutz, Hans-Georg Maaßen, wegen Landesverrats erfolglos angezeigt wurde, hat eine Vermutung, weshalb es aus Reihen von Mittelstand und DAX-Unternehmen keinen Aufschrei gab.
    "Ja sicherlich gibt es dann hinter den Kulissen irgendwelche Entschuldigungen und irgendwelche Deals mit der Bundesregierung, wie das immer so abläuft so. Wo es dann heißt: Ja, tut uns echt leid. Aber wir helfen euch jetzt bei den Außenexporten mit Land XY und geben euch hier noch einen kleinen Vorteil, und dann ist man als Konzernmanager vielleicht beruhigt. Also das ist alles immer relativ intransparent. Aber so läuft das ja leider."
    Das Internet war nie ein rein ziviler Raum, und nicht nur Wirtschaft und Polizei versuchen hier, ihre Formen von Sicherheit zu schaffen. Auch das Bundesministerium der Verteidigung will im Cyber-Raum "Risiken, Bedrohungen und Verwundbarkeiten" entgegenwirken. Seit April dieses Jahres gibt es ein "Strategisches Leitbild Cyber-Verteidigung". Die Bundeswehr soll helfen, den Staat und seine Bürger vor Angriffen beispielsweise auf die Infrastruktur zu schützen. Zitat:
    "Gegebenenfalls könnte darüber hinaus mittelfristig ein Ausbau der Kooperation mit den gewerblichen Wirtschafts- und Forschungseinrichtungen angedacht werden."
    Soll heißen: Die Bundeswehr sucht zivile Unterstützung zur Bekämpfung von militärisch definierten Gefahren aus dem Internet.
    "Wir reden hier über einen Milliardenmarkt, wo viele private Dienstleister Sicherheitslösungen in Anführungsstrichen verkaufen, viel Geld damit verdienen und gleichzeitig massive Unsicherheit weiterhin schaffen, damit dieser Markt nicht versiegt. Insofern ist dieser Cyberwar eher so eine Lizenz zum Geld drucken und führt eher zu massiver Unsicherheit, als dass die IT-Sicherheit erhöht wird."
    Linken-Abgeordneter Andrej Hunko zu den Plänen des Ministeriums.
    "Man könnte sagen, wenn es um Verteidigung geht: Das Problem ist ja dabei, dass hier die Grenze zwischen Verteidigung und Angriff erst mal nicht so leicht zu ziehen ist und dass eben auch offensive Konzeptionen geübt werden. Also die Lahmlegung von Cyber-Infrastruktur von anderen Ländern. Dann kommt hinzu, dass dort die Abgrenzung von ziviler und militärischer Einrichtung sehr schwer ist. Ich hab dazu ja auch einige Nachfragen gestellt, und das ist meines Erachtens völlig unzureichend abgegrenzt."
    Bis zum Frühjahr 2016 will das Haus von Ministerin Ursula von der Leyen ein Weißbuch vorlegen, in dem die "politischen Vorgaben zur Entwicklung und Umsetzung von Grundsätzen für die Cyber-Verteidigung der Bundeswehr" erläutert werden.
    Noch sind die deutschen Ministerien nicht soweit. Aber wie es aussieht, führt kein Weg daran vorbei, dass internationale Bündnisse geschlossen werden müssen – nicht nur um dem Verbrechen und dem militärischen Angriff aus dem Netz zu begegnen, sondern auch, um eine neue Rüstungsspirale im Netz zu verhindern.