Dass in Deutschland überhaupt noch etwas funktioniere, sei eine Mischung aus Glück und dem mangelnden Druck zu Sabotage, meinte Neumann: "Spionage ist das bessere Business-Modell". Das Geschäftsmodel der Angreifer sei es ja, Geld zu verdienen, indem etwa Unternehmen erpresst würden.
Nach Neumanns Einschätzung ist Deutschland nicht ausreichend für die voranschreitende Digitalisierung gerüstet. Es gebe hierzulande nicht das Fachpersonal, um Infrastrukturen wie die öffentliche Verwaltung zu sichern. Solche Fachkräfte hätte man vor vielen Jahren ausbilden können, erklärte Neumann. Er sehe aber nicht, wie das jetzt noch funktionieren solle.
Das Gespräch in voller Länge:
Doris Simon: Früher hatten Unternehmen Angst vor Wirtschaftsspionage. Heute gibt es keinen Bereich mehr in unserem Alltagsleben, der nicht bedroht ist durch Sabotage. Sabotage, die über das Internet gesteuert wird, und das Internet ist ja eigentlich überall drin. Strom- und Wasserversorgung, große, kleine, mittelständische Unternehmen, Ampelschaltung in einer Stadt, Krankenhäuser oder der Bundestag, alles ist digital vernetzt und deshalb angreifbar.
Täglich entdecken Sicherheitsbehörden und Unternehmen in Deutschland 380.000 neue Varianten von Schadprogrammen. - Linus Neumann vom Chaos Computer Club, der beschäftigt sich schon länger mit diesen Gefahren. Guten Morgen!
Linus Neumann: Guten Morgen!
Simon: Herr Neumann, 380.000 Varianten von Schadprogrammen täglich in Deutschland. Wie kommt es, dass bei uns noch irgendwas funktioniert?
Neumann: Vielleicht sollte man zunächst mal diese Zahl ein bisschen ins Verhältnis rücken. Das entscheidende Wort in diesem Satz ist "Varianten". Diese hohe Zahl ergibt sich dadurch, dass ein Schadprogramm, wenn es einmal massiv oder auch nur ein bisschen in Verbreitung gekommen ist, natürlich seine Entdeckungswahrscheinlichkeit erhöht, weshalb die Angreifer die Programme automatisch variieren lassen.
Das heißt, sie sind nicht immer gleich, sie sind immer wieder ein kleines bisschen anders, oder man verändert einen kleinen Teil des Programmes, häufig vor allem die Infektionsroutine. Das heißt, wir haben es nicht wirklich mit 380.000 genuinen neuen Bedrohungen zu tun, sondern wir haben es mit vielen Hunderttausend Varianten oft einiger weniger Bedrohungen zu tun.
"Es ist relativ einfach, seine Spuren zu verwischen oder auch falsche zu legen"
Simon: Trotzdem noch mal: Wie kommt es, dass bei uns dann immer noch was funktioniert, auch wenn es nur Varianten sind?
Neumann: Das ist eine Frage, die ich mir natürlich durchaus seit einiger Zeit stelle. Ich denke, es liegt an einer Mischung aus Glück und einer Mischung aus doch nicht so hohem Druck zur Sabotage. Ich denke, dass Spionage auch heute noch das bessere Business-Modell ist, wenn ich als Angreifer operiere.
Sie müssen sich das so vorstellen: Ich möchte ja als Angreifer am Ende irgendwo Geld verdienen. Ich möchte ja irgendetwas machen und belohnt werden. Das heißt, ich muss entweder für mich selber einen Business Case finden, oder ich muss den Business Case eines anderen erfüllen. Das ist häufig einfach so, dass ich ungezielt versuche, relativ viele Rechner in meine Kontrolle zu bringen und diese dann zum Versenden von Spam-Nachrichten zu benutzen, oder diese zum Ausführen von Denial of Service Angriffen zu benutzen. Denial of Service Angriffe, wo meine ganzen gekaperten Rechner einen anderen Server im Internet zum Erlahmen bringen, und das Geschäftsmodell dahinter ist dann, dass ich die Zielperson erpresse und sage: Pass auf, möchtest Du, dass das aufhört, dann musst Du jetzt hier Geld bezahlen.
Oder dass ich Randsomware verschicke, diese Krypto-Trojaner, die das komplette IT-System verschlüsseln und dem Nutzer alle Daten quasi wegnehmen, und dann schreibe ich dem Nutzer eine Nachricht und sage: Pass auf, wenn Du diese Daten noch mal wiedersehen möchtest, dann musst Du mir Geld bezahlen. In dem Ungezielten sehe ich immer noch bessere Business-Modelle als in der Erpressung durch Sabotage.
Simon: Aber es gibt sie natürlich. Wenn wir zum Beispiel schauen - und da ging es nicht ums Geld verdienen, nehme ich mal an -, wo die Abwehr nicht geklappt hat, das war beim Bundestag. Was ist denn da passiert?
Neumann: Da haben wir es mit einem staatlichen Akteur zu tun. Das ist genau der Punkt. Da hat vermutlich - es wird immer wieder gesagt, das wäre wahrscheinlich Russland gewesen; einen Beweis dafür bleibt die Analyse weiterhin schuldig, was aber nicht verwunderlich ist. Es ist relativ einfach, seine Spuren da zu verwischen oder auch falsche zu legen. - Na ja, da hatte jemand Interesse an der Kommunikation der Bundestagsabgeordneten, wo natürlich klar ist, dass das relativ viele haben. Aber auch da Spionage, nicht Sabotage.
"Wir haben Unmengen an Sicherheitslücken"
Simon: Wo kommen die Schadprogramme her? Wer programmiert die? Wer schafft so was?
Neumann: Es ist nicht so schwer, die Schadprogramme zu schreiben. Das ist eine Kunst, die eigentlich mehr oder weniger seit längerer Zeit unverändert ist. Es gibt immer wieder neue Schutzmaßnahmen des Betriebssystems, aber letztendlich ist es einfach klar, dass ein Computer bei einer Anweisung nicht unterscheiden kann, ob sie im Sinne seines Besitzers ist oder nicht. Das heißt, es ist für uns schon schwer genug, einem Computer beizubringen, dass er das macht was wir wollen, aber es ist quasi unmöglich, dem Computer beizubringen, nur das zu machen und zu erkennen, wenn etwas nicht in unserem Sinne ist. Deswegen kommt man mit Ideen wie Virenscannern und so weiter auch nie an ein Ende. Die müssen einfach immer weiter lernen und können nicht das Problem letztendlich lösen.
Der spannende Teil ist: Wie kommt diese Software auf unsere Computer. Da gibt es natürlich immer wieder neue Wege. Da gibt es dann die immer wieder angesprochenen Sicherheitslücken, die genutzt werden, um den Computer zu infizieren. Da haben wir Unmengen an Sicherheitslücken in dem Adobe Flashplayer, da haben wir viele Sicherheitslücken in Microsoft Office, die immer wieder neu gefunden und geschlossen werden. Das ist auch was Gutes, wenn die gefunden und geschlossen werden. Und am Ende haben wir immer den Menschen, der einfach mal auf eine E-Mail, auf einen E-Mail-Anhang klickt und sich somit den Rechner infiziert und zweimal irgendeine Warnmeldung wegklickt und dann am Ende als Opfer dasteht. Das heißt, wir werden das Problem nicht wirklich los.
Simon: Diese Probleme kennen wir eigentlich fast alle auch persönlich. Jetzt haben wir eine Entwicklung: In Unternehmen gibt es einen Digitalisierungsschub, aber vor allem auch in Verwaltungen in Gemeinden, Städten und Ländern. Da ersetzt der Computer jetzt immer öfter den Aktenordner. Wie gut ist man denn da auf Angriffe vorbereitet und geschützt? Da geht es ja um mehr als bei unserem persönlichen Computer.
Neumann: Das Bundesamt für Sicherheit in der Informationstechnik rühmt sich mit einem guten E-Mail Spam- und Virenscanner zum Schutz der Bundesverwaltung. Ich denke, wir müssen aber der Tatsache ins Auge sehen, dass wir allgemein in Deutschland, vielleicht auch in vielen anderen Ländern dieser Erde nicht das Fachpersonal haben, um großflächig solche Infrastrukturen wirklich zu sichern.
"Es gibt nirgendwo einen so großen Expertenmangel wie in der IT-Sicherheit"
Simon: Kann man das nicht ausbilden?
Neumann: Das hätte man ausbilden können vor vielen Jahren. Ja, das hätte man tun können. Das ist richtig. Wie man das heute noch in den Griff kriegen möchte, in naher Zukunft, sehe ich nicht. Es gibt nirgendwo einen so großen Expertenmangel wie in der IT-Sicherheit und diesen Bedarf. Gleichzeitig gibt es aber, wenn wir über Unternehmen reden, natürlich auch Vorbehalte, in IT-Sicherheit zu investieren. Wenn Sie sich vorstellen, Sie sind der Geschäftsführer eines Unternehmens und dann kommt jemand und sagt, ich mach bei Ihnen IT-Sicherheit, das kostet was weiß ich, so und so viel, und außerdem möchte ich ein Budget von so und so viel hunderttausend Euro haben, dann haben Sie da erst mal nur eine große rote Zahl und Ihnen steht nicht gegenüber, was diese Investition Ihnen bringt.
Die bringt Ihnen im besten Fall, dass keine Angriffe durchgekommen sind, und dann werden Sie sagen, na wunderbar, das kriegt man doch vielleicht auch für die Hälfte hin. Erst wenn das Kind in den Brunnen gefallen ist, dann machen Sie sich langsam Sorgen darüber, in diesen Bereich zu investieren, und dann stellen Sie fest, dass Sie echt ein Problem haben, dafür das entsprechende Fachpersonal überhaupt anstellen zu können.
Simon: Herr Neumann, schauen wir noch mal auf die öffentliche Infrastruktur. Da wissen wir ja auch, die Kassen sind dort oft sehr, sehr klamm, und bei der Digitalisierung steckt man oft noch in den Kinderschuhen. So was wie das, was jetzt zuletzt in der Ukraine passiert ist, dass dort ein ganzes Kraftwerk lahmgelegt wird von irgendwelchen mysteriösen Hackern, ist das bei uns vorstellbar?
Neumann: Das ist ohne Frage vorstellbar. Es ist immer nur eine Frage dessen, wieviel Aufwand die Angreifer betreiben. Sicherheit ergibt sich auch aus einem Missverhältnis von Aufwand und potenziellem Gewinn oder Ziel, was die Angreifer damit verfolgen. Ich würde vermuten, der Grund, dass in Deutschland noch kein größerer derartiger Vorfall registriert ist, liegt primär auch daran, dass es bisher noch niemand wirklich wollte.
Die Frage wäre nach der Motivation. Aber wir erkennen jetzt langsam den Vorfall in der Ukraine. Wir haben in kälteren Regionen dieser Erde kürzlich Angriffe auf Blockheizkraftwerke gesehen, wo dann Menschen auf einmal im Kalten saßen. Es wird auf jeden Fall noch mal ein bisschen schlimmer werden, bevor es wieder besser wird.
Simon: Linus Neumann vom Chaos Computer Club. Herr Neumann, vielen Dank für Ihre Einschätzungen.
Neumann: Ich danke Ihnen.
Simon: Auf Wiederhören!
Äußerungen unserer Gesprächspartner geben deren eigene Auffassungen wieder. Der Deutschlandfunk macht sich Äußerungen seiner Gesprächspartner in Interviews und Diskussionen nicht zu eigen.
