Maximilian Schönherr: Vor 30 Jahren, meine Damen und Herren, verlief ein Hacker-Angriff typischerweise so: jemand bekam von einem Freund eine Diskette, legte sie in den Computer ein. Der Bildschirm wurde plötzlich schwarz, darauf erschienen die Worte: "Blöd gelaufen! Ich lösche jetzt alle Daten auf deiner Diskette." Später, als Festplatten üblich waren, nisten sich solche Viren im Datendurcheinander ein und meldeten sich nicht sofort, sondern zum Beispiel zu Weihnachten, zeigten dem verblüfften PC-Besitzer einen Weihnachtsbaum und löschten den kompletten Inhalt der Festplatte. Aber es gab damals auch schon gute Hacker, die sich über ein Modem in eine Bank einloggten, unerlaubt Tausende von Mini-Überweisungen vornahmen und am nächsten Morgen an die Presse gingen, um zu zeigen: So erbärmlich gesichert ist diese Hamburger Sparkasse. Diese Aktion machte die Gruppe langhaariger Hacker über Nacht berühmt. Sie hieß der "Chaos Computer Club". Mit der Verbreitung des Internets seit ziemlich genau 20 Jahren nahm die Virologie eine andere Dimension an. Der große Paradigmenwechsel bestand darin, dass der Virus Trojaner hieß und sich im Stillen verbreite, heimlich Informationen auf dem befallenen Rechner ausspionierte und unbemerkt woandershin meldete. Von solchen Bot-Netzen wimmelt es heute noch, und sie sind auch in der Industriespionage höchst willkommene Gäste – unwillkommene für die Industrie natürlich. Wenn sich Hackerangriffe offen präsentieren, dann in Form sogenannter verteilter Massenangriffe. Sie bedienen sich der Bot-Netze, also der Trojaner, um koordiniert Webseiten anzusurfen, bis diese unter der Last der Anfragen zusammenbrechen. Über eine nach einem solchen distributed-denial-of-service-Angriff zusammengebrochene Webpräsenz, also eine Webseite bricht zusammen, gelingt es dem Hacker dann häufig, das dahinterliegende Rechenzentrum in der Achillesverse zu treffen und für kurze Zeit – bis es wieder zu Bewusstsein kommt – zu kapern. Weil diese Attacken rasch zunehmen und auch Regierungsverwaltungen und Industriekonzerne treffen, drängen die Sicherheitsbehörden, aber auch Vertreter der Wirtschaft darauf, sich darüber auszutauschen. Von einer Meldepflicht für Hackerangriffe ist die Rede. Achim Killer, was hat es damit auf sich, was soll so eine Meldepflicht bringen?
Achim Killer: Vor zwei Jahren sind Hacker in die Server der IT-Sicherheitsfirma RSA Security eingedrungen. Das muss man sich mal vorstellen, ausgerechnet RSA Security. Dort haben sie digitale Schlüssen entwendet – und mit diesen Schlüsseln sind sie dann beim Rüstungskonzern Lockheed Martin eingebrochen. Seitdem sind sich eigentlich alle Experten einig, dass man IT-Netze einfach nicht hermetisch abschotten kann. Von Advanced Persistent Threats spricht man da. Dagegen reichen Firewalls und Antivirensoftware nicht aus. Man braucht viel mehr Informationen, Verhaltensmuster von Hackern und Schadsoftware, um diese Bedrohungen frühzeitig erkennen zu können. Und diese Informationen sollen Meldungen liefern, zu denen die Betroffenen Unternehmen verpflichtet werden.
Schönherr: Das soll nun in Europa und damit auch in der Bundesrepublik eingeführt werden. Und das ist der aktuelle Diskussionsstand:
Beginn Beitrag:
"Unser Entwurf sieht vor, dass Sektoren, die für Wirtschaft und Gesellschaft lebenswichtig sind, in der Lage sein müssen, IT-Risiken zu bewältigen. Und sie müssen bedeutende Sicherheitsvorfälle melden, so wie es bereits in der Telekommunikationsbranche der Fall ist. Das ist also nicht neu. Aber jetzt kommen weitere Wirtschaftsbereiche hinzu. Wir denken dabei an den Energie-Sektor, Transport, die Finanzbranche und Schlüsselunternehmen der Internetwirtschaft. Die Mitgliedsstaaten der Europäischen Union sollten gut gerüstet sein, um sich schützen zu können",
so Neelie Kroes, die EU-Kommissarin für die Digitale Agenda. Zusammen mit der Vize-Präsidentin der Kommission, Catherine Ashton, und der Kommissarin für Innenpolitik, Cecilia Malmström, schlägt sie im Februar eine europäische Cyber-Security-Strategie vor. Die zentralen Punkte: Unternehmen, die entscheidend für das Funktionieren der Wirtschaft sind, müssen ihre IT auf dem aktuellen Sicherheitstand halten. Und es soll eine Meldepflicht für Hackerangriffe eingeführt werden. In anderen Worten steht dies auch im bundesdeutschen Entwurf eines "Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme", den das Berliner Innenministerium erarbeitet hat. Unternehmen, die wichtige Infrastruktur-Dienstleistungen erbringen, sollen demnach ihre IT regelmäßigen Sicherheitsüberprüfungen unterziehen. Und über gravierende Vorfälle müsste das Bundesamt für Sicherheit in der Informationstechnik unterrichtet werden. Eine derartige Meldepflicht gilt derzeit international als entscheidend im Kampf gegen Cyberkriminalität und Wirtschaftsspionage.
"Wir benötigen Erkenntnisse über die Angriffsarten, wie sie ausgeführt werden, forensische Analysen, die vielleicht schon durchgeführt wurden, die Auswirkungen eines Angriffs - so dass man den Verlauf und die Folgen solcher Vorfälle nachvollziehen kann"
so Steve Durbin, Vice-President des Information Security Forum. Der multinationale Wirtschaftsverband mit Sitz in London erarbeitet Empfehlungen für die IT-Sicherheit, sogenannte best practices. Dazu sind auch Informationen über tatsächlich aufgetretene Sicherheitsprobleme notwendig. Aber die sind nur schwer zu bekommen, weil Unternehmen, die Opfer eines Hackerangriffs geworden sind, um ihr Renommee fürchten und deshalb eine erfolgreiche Attacke lieber verheimlichen. Am AISEC, am Fraunhofer Institut for Applied and Integrated Security, werden deshalb Systeme für den anonymen Austausch sicherheitskritischer Informationen entwickelt. Mit solchen Daten könnten Angreifer an ihrer Vorgehensweise, quasi ihrer Handschrift, erkannt werden, sagt die Leiterin des AISEC, Professor Claudia Eckert:
"Ich bin der Meinung, dass es schon etwas bringen würde, wenn wir mehr wissen würden, welche Hackerangriffe tatsächlich stattfinden, wie, auf welche Weise Hacker vorgegangen sind. Dann könnte man sehr viel effektiver, effizienter auch die Abwehrmaßnahmen einleiten."
Der Informationsaustausch über Sicherheitsprobleme würde in erster Line der Wirtschaft zugute kommen. Aber die einschlägigen deutschen Verbände, der BITKOM und der BDI etwa, haben sich gegen eine Meldepflicht ausgesprochen, wie sie der Entwurf des Innenministeriums vorsieht. Die Unternehmer scheuen Verwaltungsaufwand und Kosten und befürchten staatliche Bevormundung. Informationen über Angriffe auf Unternehmensnetze halten ihre Organisationen gleichwohl für nützlich. Aber diese sollten auf freiwilliger Basis ausgetauscht werden. Auch der Vice President des internationalen Information Security Forum möchte die Kosten für die Unternehmen möglichst gering halten. An einer Meldepflicht führt seiner Meinung nach aber trotzdem kein Weg vorbei.
Schönherr: Herr Killer, also wollen alle irgendwie Daten über Internetangriffe haben, nur die Hacker geben sie ungern her. Und die Wirtschaftsverbände möchten, dass sie auf freiwilliger Basis erhoben werden und Politiker wollen es verpflichtend vorschreiben. Was ist denn gegen die Freiwilligkeit eigentlich einzuwenden?
Killer: Na ja, dass da wohl keine verwertbaren Informationen zusammenkommen würden. Es ist ja wirklich aufwendig, solche Daten zu erheben und zu übermitteln. Und schlecht fürs Image und damit fürs Geschäft kann es auch sein. Mann muss sich nur mal anschauen, wie so eine freiwillige Datensammlung aussieht. Der Branchenverband BITKOM hat ein derartiges Meldesystem eingerichtet. Das besteht im Wesentlichen aus einem Webformular, wo man dann ankreuzen kann, ob man Script-Kiddies oder fremde Staaten hinter so einem Angriff vermutet. Das ist nun wirklich nicht der Stand der Technik.
Schönherr: Und wie ist der Stand der Technik?
Killer: Das Fraunhofer AISEC beispielsweise hat so ein Informationssystem konzipiert. Da kommen etwa Honeypots zum Einsatz, also Rechner, die Schadsoftware anziehen. Aber die kann auf diesen Rechnern kein Unheil anrichten. Muster werden entwickelt, um Anomalien im Netz zu erkennen. Und alle diese Daten werden automatisch erfasst und automatisch und anonymisiert an die anderen Teilnehmer an diesem Informationsverbund übermittelt. Das geht dann sehr schnell. Und die Teilnehmer können mit diesen Informationen etwas anfangen, weil sie noch heiß sind.
Schönherr: Es gibt doch, Herr Killer, bereits eine Meldepflicht für Hackerangriffe in der Bundesrepublik und in Europa.
Killer: Ja, für Telekommunikationsunternehmen.
Schönherr: Wann kommt diese Meldepflicht denn dann für die Anderen?
Killer: Also bis zur Bundestagswahl geht sicherlich nichts mehr. Das Bundesinnenministerium hat diesen Gesetzesentwurf erarbeitet, wo im Wesentlichen nur drinsteht, dass die Sicherheitsvorkehrungen der Unternehmen auf dem aktuellen Stand sein müssen und dass sie sich das von kompetenter Steller bestätigen lassen müssen und dass sie verpflichtet sind, Angriffe zu melden. Die Wirtschaftsverbände haben dagegen Bedenken erhoben – wegen der Kosten und wegen der Reglementierungen. Und das Bundeswirtschaftsministerium hat sich diesen Bedenken angeschlossen. Damit ist die Meldepflicht praktisch für dieses Jahr vom Tisch.
Schönherr: Die USA werfen ja der Volksrepublik China vor, Unternehmen und Behörden in den Vereinigten Staaten massiv auszuspionieren und ausspioniert zu haben. Gibt es dort eine Meldepflicht?
Killer: Nein, es sind mehrere Versuche in dieser Richtung unternommen worden – zuletzt letztes Jahr mit CISPA, dem Cyber Intelligence Sharing and Protection Act. Die sind aber alle gescheitert. In den USA ist letztes Jahr ja viel protestiert worden – gegen Internetüberwachung zum Schutz des Urheberrechts. Damit hatte CISPA eigentlich nichts zu tun. Es ist aber damit in Verbindung gebracht worden und letztlich an den Protesten gescheitert. Derzeit gilt ein Dekret des Präsidenten, das Unternehmen ermutigt, freiwillig Informationen auszutauschen.
Schönherr: Achim Killer, eine letzte Frage, eine Einschätzung: Gehen Sie davon aus, dass bei der Industrie in Europa im Moment viele Hackerangriffe stattfinden, die die innere IT-Abteilung natürlich mitkriegt, aber die keiner nach außen kommuniziert bekommt – verschlüsselt oder unverschlüsselt an Behörden oder wen auch immer?
Killer: Ja, also es gibt einige Unternehmen, die melden horrende Zahlen – die Telekom beispielsweise. Und es ist nicht zu erwarten, dass es bei anderen Unternehmen weniger sein werden. Es wird eine gewaltige Anzahl von Angriffen sein.
Zum Themenportal "Risiko Internet"
Achim Killer: Vor zwei Jahren sind Hacker in die Server der IT-Sicherheitsfirma RSA Security eingedrungen. Das muss man sich mal vorstellen, ausgerechnet RSA Security. Dort haben sie digitale Schlüssen entwendet – und mit diesen Schlüsseln sind sie dann beim Rüstungskonzern Lockheed Martin eingebrochen. Seitdem sind sich eigentlich alle Experten einig, dass man IT-Netze einfach nicht hermetisch abschotten kann. Von Advanced Persistent Threats spricht man da. Dagegen reichen Firewalls und Antivirensoftware nicht aus. Man braucht viel mehr Informationen, Verhaltensmuster von Hackern und Schadsoftware, um diese Bedrohungen frühzeitig erkennen zu können. Und diese Informationen sollen Meldungen liefern, zu denen die Betroffenen Unternehmen verpflichtet werden.
Schönherr: Das soll nun in Europa und damit auch in der Bundesrepublik eingeführt werden. Und das ist der aktuelle Diskussionsstand:
Beginn Beitrag:
"Unser Entwurf sieht vor, dass Sektoren, die für Wirtschaft und Gesellschaft lebenswichtig sind, in der Lage sein müssen, IT-Risiken zu bewältigen. Und sie müssen bedeutende Sicherheitsvorfälle melden, so wie es bereits in der Telekommunikationsbranche der Fall ist. Das ist also nicht neu. Aber jetzt kommen weitere Wirtschaftsbereiche hinzu. Wir denken dabei an den Energie-Sektor, Transport, die Finanzbranche und Schlüsselunternehmen der Internetwirtschaft. Die Mitgliedsstaaten der Europäischen Union sollten gut gerüstet sein, um sich schützen zu können",
so Neelie Kroes, die EU-Kommissarin für die Digitale Agenda. Zusammen mit der Vize-Präsidentin der Kommission, Catherine Ashton, und der Kommissarin für Innenpolitik, Cecilia Malmström, schlägt sie im Februar eine europäische Cyber-Security-Strategie vor. Die zentralen Punkte: Unternehmen, die entscheidend für das Funktionieren der Wirtschaft sind, müssen ihre IT auf dem aktuellen Sicherheitstand halten. Und es soll eine Meldepflicht für Hackerangriffe eingeführt werden. In anderen Worten steht dies auch im bundesdeutschen Entwurf eines "Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme", den das Berliner Innenministerium erarbeitet hat. Unternehmen, die wichtige Infrastruktur-Dienstleistungen erbringen, sollen demnach ihre IT regelmäßigen Sicherheitsüberprüfungen unterziehen. Und über gravierende Vorfälle müsste das Bundesamt für Sicherheit in der Informationstechnik unterrichtet werden. Eine derartige Meldepflicht gilt derzeit international als entscheidend im Kampf gegen Cyberkriminalität und Wirtschaftsspionage.
"Wir benötigen Erkenntnisse über die Angriffsarten, wie sie ausgeführt werden, forensische Analysen, die vielleicht schon durchgeführt wurden, die Auswirkungen eines Angriffs - so dass man den Verlauf und die Folgen solcher Vorfälle nachvollziehen kann"
so Steve Durbin, Vice-President des Information Security Forum. Der multinationale Wirtschaftsverband mit Sitz in London erarbeitet Empfehlungen für die IT-Sicherheit, sogenannte best practices. Dazu sind auch Informationen über tatsächlich aufgetretene Sicherheitsprobleme notwendig. Aber die sind nur schwer zu bekommen, weil Unternehmen, die Opfer eines Hackerangriffs geworden sind, um ihr Renommee fürchten und deshalb eine erfolgreiche Attacke lieber verheimlichen. Am AISEC, am Fraunhofer Institut for Applied and Integrated Security, werden deshalb Systeme für den anonymen Austausch sicherheitskritischer Informationen entwickelt. Mit solchen Daten könnten Angreifer an ihrer Vorgehensweise, quasi ihrer Handschrift, erkannt werden, sagt die Leiterin des AISEC, Professor Claudia Eckert:
"Ich bin der Meinung, dass es schon etwas bringen würde, wenn wir mehr wissen würden, welche Hackerangriffe tatsächlich stattfinden, wie, auf welche Weise Hacker vorgegangen sind. Dann könnte man sehr viel effektiver, effizienter auch die Abwehrmaßnahmen einleiten."
Der Informationsaustausch über Sicherheitsprobleme würde in erster Line der Wirtschaft zugute kommen. Aber die einschlägigen deutschen Verbände, der BITKOM und der BDI etwa, haben sich gegen eine Meldepflicht ausgesprochen, wie sie der Entwurf des Innenministeriums vorsieht. Die Unternehmer scheuen Verwaltungsaufwand und Kosten und befürchten staatliche Bevormundung. Informationen über Angriffe auf Unternehmensnetze halten ihre Organisationen gleichwohl für nützlich. Aber diese sollten auf freiwilliger Basis ausgetauscht werden. Auch der Vice President des internationalen Information Security Forum möchte die Kosten für die Unternehmen möglichst gering halten. An einer Meldepflicht führt seiner Meinung nach aber trotzdem kein Weg vorbei.
Schönherr: Herr Killer, also wollen alle irgendwie Daten über Internetangriffe haben, nur die Hacker geben sie ungern her. Und die Wirtschaftsverbände möchten, dass sie auf freiwilliger Basis erhoben werden und Politiker wollen es verpflichtend vorschreiben. Was ist denn gegen die Freiwilligkeit eigentlich einzuwenden?
Killer: Na ja, dass da wohl keine verwertbaren Informationen zusammenkommen würden. Es ist ja wirklich aufwendig, solche Daten zu erheben und zu übermitteln. Und schlecht fürs Image und damit fürs Geschäft kann es auch sein. Mann muss sich nur mal anschauen, wie so eine freiwillige Datensammlung aussieht. Der Branchenverband BITKOM hat ein derartiges Meldesystem eingerichtet. Das besteht im Wesentlichen aus einem Webformular, wo man dann ankreuzen kann, ob man Script-Kiddies oder fremde Staaten hinter so einem Angriff vermutet. Das ist nun wirklich nicht der Stand der Technik.
Schönherr: Und wie ist der Stand der Technik?
Killer: Das Fraunhofer AISEC beispielsweise hat so ein Informationssystem konzipiert. Da kommen etwa Honeypots zum Einsatz, also Rechner, die Schadsoftware anziehen. Aber die kann auf diesen Rechnern kein Unheil anrichten. Muster werden entwickelt, um Anomalien im Netz zu erkennen. Und alle diese Daten werden automatisch erfasst und automatisch und anonymisiert an die anderen Teilnehmer an diesem Informationsverbund übermittelt. Das geht dann sehr schnell. Und die Teilnehmer können mit diesen Informationen etwas anfangen, weil sie noch heiß sind.
Schönherr: Es gibt doch, Herr Killer, bereits eine Meldepflicht für Hackerangriffe in der Bundesrepublik und in Europa.
Killer: Ja, für Telekommunikationsunternehmen.
Schönherr: Wann kommt diese Meldepflicht denn dann für die Anderen?
Killer: Also bis zur Bundestagswahl geht sicherlich nichts mehr. Das Bundesinnenministerium hat diesen Gesetzesentwurf erarbeitet, wo im Wesentlichen nur drinsteht, dass die Sicherheitsvorkehrungen der Unternehmen auf dem aktuellen Stand sein müssen und dass sie sich das von kompetenter Steller bestätigen lassen müssen und dass sie verpflichtet sind, Angriffe zu melden. Die Wirtschaftsverbände haben dagegen Bedenken erhoben – wegen der Kosten und wegen der Reglementierungen. Und das Bundeswirtschaftsministerium hat sich diesen Bedenken angeschlossen. Damit ist die Meldepflicht praktisch für dieses Jahr vom Tisch.
Schönherr: Die USA werfen ja der Volksrepublik China vor, Unternehmen und Behörden in den Vereinigten Staaten massiv auszuspionieren und ausspioniert zu haben. Gibt es dort eine Meldepflicht?
Killer: Nein, es sind mehrere Versuche in dieser Richtung unternommen worden – zuletzt letztes Jahr mit CISPA, dem Cyber Intelligence Sharing and Protection Act. Die sind aber alle gescheitert. In den USA ist letztes Jahr ja viel protestiert worden – gegen Internetüberwachung zum Schutz des Urheberrechts. Damit hatte CISPA eigentlich nichts zu tun. Es ist aber damit in Verbindung gebracht worden und letztlich an den Protesten gescheitert. Derzeit gilt ein Dekret des Präsidenten, das Unternehmen ermutigt, freiwillig Informationen auszutauschen.
Schönherr: Achim Killer, eine letzte Frage, eine Einschätzung: Gehen Sie davon aus, dass bei der Industrie in Europa im Moment viele Hackerangriffe stattfinden, die die innere IT-Abteilung natürlich mitkriegt, aber die keiner nach außen kommuniziert bekommt – verschlüsselt oder unverschlüsselt an Behörden oder wen auch immer?
Killer: Ja, also es gibt einige Unternehmen, die melden horrende Zahlen – die Telekom beispielsweise. Und es ist nicht zu erwarten, dass es bei anderen Unternehmen weniger sein werden. Es wird eine gewaltige Anzahl von Angriffen sein.
Zum Themenportal "Risiko Internet"