Seynsche: Peter Welchering, was ist denn bei dieser Bilanz herausgekommen? Sind die Computer, die diese kritische Infrastruktur darstellen, die Stromversorgung, die Flugsicherung, die Telekommunikation, wirklich sicherer geworden?
Welchering: Also laut der regierungsamtlichen Aussage ja, dann ist die nationale Cybersicherheitsstrategie ein voller Erfolg, aber die Berliner Konferenz, die hat ein etwas anderes, ein etwas differenzierteres Bild ergeben. Und selbst Martin Schallbruch in seiner offiziellen Funktion musste dann nach seinem Hochglanzvortrag doch zugeben in der Diskussion: Wir sind von den Zielen der nationalen Cybersicherheitsstrategie, also von flächendeckender Sicherheit, doch deutlich entfernt. Und die anwesenden Militärs, die anwesenden Forscher und Wissenschaftler, aber auch die Unternehmensvertreter, die sagen eigentlich unisono: Die Bedrohung steigt, die Zahl der Angriffe ist gestiegen, die Sicherheit nimmt insgesamt ab, nicht nur die gefühlte Sicherheit, sondern die tatsächlich messbare. Und es sagen nur 30 Prozent der IT-Manager in den Unternehmen: Unsere Netze sind ausreichend geschützt. Die restlichen 70 Prozent sagen: Wir haben wahnsinnige Lücken, die Dunkelziffer ist sehr hoch und vor allen Dingen die Aufklärungsquote von Cyberkriminalität, die liegt eben einmal gerade bei mageren 25 Prozent.
Seynsche: Was sind denn die größten Bedrohungen?
Welchering: Ganz neu haben sich in den vergangenen Jahren so genannte gestaffelte Angriffe, die nennt man dann auch multi threat Angriffe, ergeben. Bei den gestaffelten Angriffen werden ein, zwei oder drei Angriffswellen wie bei einem konventionellen Angriff bei den Militärs hintereinander gefahren. Also da gibt es beispielsweise als erste Welle eine Art Überlast-Angriff, da werden Hunderttausende oder Millionen von Datenpäckchen auf einen Webserver abgeschossen. Der geht darauf in die Knie. Und während die Sicherheitssysteme dieses Webservers noch damit beschäftigt sind, diesen Überlast Angriff mit diesen Hunderttausenden oder Millionen Datenpäckchen fertig zu werden, schleusen die Hacker dann eben über diesen Webserver ein Programm, eine Schadsoftware in den dahinterliegenden Datenbank-Server, kommen auf das Betriebssystem und können in der dritten Angriffswelle beispielsweise ein Computervirus, der etwa dort Daten löscht, oder etwa eine logische Bombe [installieren]. Das ist sehr beliebt bei Stromverteilungsrechnern, diese logische Bombe, das ist ein Computervirus und zu einer bestimmten Zeit, die da einprogrammiert ist, da sorgt dann die logische Bombe dafür, dass dann beispielsweise dieser Stromverteilungsrechner einfach den Strom abstellt. Die Verteidigung auf einer Ebene, die klappt noch, auf eine Welle, aber ab der zweiten Welle sind die Angriffe erfolgreich, weil die Systeme überfordert sind. Und da muss man eindeutig sagen: Die Militärs haben hier mit ihren Einsatzszenarien zu einer ganz erheblichen Modernisierung der gesamten Schadsoftware-Programmierung geführt.
Seynsche: Was ist denn daran moderner geworden, an diesen Cyberattacken?
Welchering: Also da haben wir drei Entwicklungen. Zum einen erfolgen immer mehr automatisierte Angriffe, die sind dann auf Servern im Internet hinterlegt und diese Kontrollserver steuern diese Angriffe, können auch, weil dahinter erhebliche künstliche Intelligenz steht, eben entscheiden: Welche Einsatzwelle müssen wir auslösen? Dann gibt es eine bessere Tarnung. Die Angriffe können nicht zurückverfolgt werden, man weiß also nicht, wer dahinter steckt, kann auch den Server nicht einfach vom Netz nehmen, von dem das Ganze kommt. Und dann arbeiten Computerviren zunehmend mit Sicherheitszertifikaten. Solche Sicherheitszertifikate werden ja eigentlich ausgestellt von besonderen Stellen, etwa auch von Regierungen beauftragt oder von besonders vertrauenswürdigen Stellen, damit das System weiß: Aha, diese Software ist geprüft und sicher. Und da werden häufig entweder mit gefälschten Zertifikaten oder mit gestohlenen Zertifikaten eben Computerviren und Schadsoftware versehen, da meint dann das System: Gut, diese Software ist ja geprüft worden. Aber dahinter steckt eine reguläre Schadsoftware, diese Prüfung wird eben nur vorgegaukelt. Und Militärs und Regierungen mit Spionageaufträgen, die sind gerade bei diesem Handel mit Sicherheitszertifikaten die treibende Kraft.
Seynsche: Haben Sie denn ganz kurz noch ein paar Empfehlungen? Was sagen die Experten auf der Konferenz? Was müsste getan werden?
Welchering: Die sagen: Zum einen müssen die Schadensfälle einfach besser dokumentiert werden, weil die Dunkelziffern sehr hoch bleibt. Zum anderen sagen sie: Wir brauchen eine Vernetzung der Computer-Notfallteams auf Bundes- und Länderebene. Das ist auch vor einem Jahr gefordert worden. Stattdessen haben wir einen nationalen Cybersicherheitsrat bekommen, der von Politikern oder von Verwaltungsleuten, aber nicht von Informatikern besetzt ist. Und sie sagen: Wir müssen weg von der Maschinensicherheit. Nicht die PCs und Smartphones müssen abgesichert werden, sondern die Datenpäckchen und die Informationen, die müssen gesichert werden. Nur Datenpäckchen zu sichern, das ist nicht ganz unproblematisch, da könnte auch eine Totalüberwachung dahinterstecken. Und so ist die Konferenz auch ein wenig zwiespältig geblieben.
Welchering: Also laut der regierungsamtlichen Aussage ja, dann ist die nationale Cybersicherheitsstrategie ein voller Erfolg, aber die Berliner Konferenz, die hat ein etwas anderes, ein etwas differenzierteres Bild ergeben. Und selbst Martin Schallbruch in seiner offiziellen Funktion musste dann nach seinem Hochglanzvortrag doch zugeben in der Diskussion: Wir sind von den Zielen der nationalen Cybersicherheitsstrategie, also von flächendeckender Sicherheit, doch deutlich entfernt. Und die anwesenden Militärs, die anwesenden Forscher und Wissenschaftler, aber auch die Unternehmensvertreter, die sagen eigentlich unisono: Die Bedrohung steigt, die Zahl der Angriffe ist gestiegen, die Sicherheit nimmt insgesamt ab, nicht nur die gefühlte Sicherheit, sondern die tatsächlich messbare. Und es sagen nur 30 Prozent der IT-Manager in den Unternehmen: Unsere Netze sind ausreichend geschützt. Die restlichen 70 Prozent sagen: Wir haben wahnsinnige Lücken, die Dunkelziffer ist sehr hoch und vor allen Dingen die Aufklärungsquote von Cyberkriminalität, die liegt eben einmal gerade bei mageren 25 Prozent.
Seynsche: Was sind denn die größten Bedrohungen?
Welchering: Ganz neu haben sich in den vergangenen Jahren so genannte gestaffelte Angriffe, die nennt man dann auch multi threat Angriffe, ergeben. Bei den gestaffelten Angriffen werden ein, zwei oder drei Angriffswellen wie bei einem konventionellen Angriff bei den Militärs hintereinander gefahren. Also da gibt es beispielsweise als erste Welle eine Art Überlast-Angriff, da werden Hunderttausende oder Millionen von Datenpäckchen auf einen Webserver abgeschossen. Der geht darauf in die Knie. Und während die Sicherheitssysteme dieses Webservers noch damit beschäftigt sind, diesen Überlast Angriff mit diesen Hunderttausenden oder Millionen Datenpäckchen fertig zu werden, schleusen die Hacker dann eben über diesen Webserver ein Programm, eine Schadsoftware in den dahinterliegenden Datenbank-Server, kommen auf das Betriebssystem und können in der dritten Angriffswelle beispielsweise ein Computervirus, der etwa dort Daten löscht, oder etwa eine logische Bombe [installieren]. Das ist sehr beliebt bei Stromverteilungsrechnern, diese logische Bombe, das ist ein Computervirus und zu einer bestimmten Zeit, die da einprogrammiert ist, da sorgt dann die logische Bombe dafür, dass dann beispielsweise dieser Stromverteilungsrechner einfach den Strom abstellt. Die Verteidigung auf einer Ebene, die klappt noch, auf eine Welle, aber ab der zweiten Welle sind die Angriffe erfolgreich, weil die Systeme überfordert sind. Und da muss man eindeutig sagen: Die Militärs haben hier mit ihren Einsatzszenarien zu einer ganz erheblichen Modernisierung der gesamten Schadsoftware-Programmierung geführt.
Seynsche: Was ist denn daran moderner geworden, an diesen Cyberattacken?
Welchering: Also da haben wir drei Entwicklungen. Zum einen erfolgen immer mehr automatisierte Angriffe, die sind dann auf Servern im Internet hinterlegt und diese Kontrollserver steuern diese Angriffe, können auch, weil dahinter erhebliche künstliche Intelligenz steht, eben entscheiden: Welche Einsatzwelle müssen wir auslösen? Dann gibt es eine bessere Tarnung. Die Angriffe können nicht zurückverfolgt werden, man weiß also nicht, wer dahinter steckt, kann auch den Server nicht einfach vom Netz nehmen, von dem das Ganze kommt. Und dann arbeiten Computerviren zunehmend mit Sicherheitszertifikaten. Solche Sicherheitszertifikate werden ja eigentlich ausgestellt von besonderen Stellen, etwa auch von Regierungen beauftragt oder von besonders vertrauenswürdigen Stellen, damit das System weiß: Aha, diese Software ist geprüft und sicher. Und da werden häufig entweder mit gefälschten Zertifikaten oder mit gestohlenen Zertifikaten eben Computerviren und Schadsoftware versehen, da meint dann das System: Gut, diese Software ist ja geprüft worden. Aber dahinter steckt eine reguläre Schadsoftware, diese Prüfung wird eben nur vorgegaukelt. Und Militärs und Regierungen mit Spionageaufträgen, die sind gerade bei diesem Handel mit Sicherheitszertifikaten die treibende Kraft.
Seynsche: Haben Sie denn ganz kurz noch ein paar Empfehlungen? Was sagen die Experten auf der Konferenz? Was müsste getan werden?
Welchering: Die sagen: Zum einen müssen die Schadensfälle einfach besser dokumentiert werden, weil die Dunkelziffern sehr hoch bleibt. Zum anderen sagen sie: Wir brauchen eine Vernetzung der Computer-Notfallteams auf Bundes- und Länderebene. Das ist auch vor einem Jahr gefordert worden. Stattdessen haben wir einen nationalen Cybersicherheitsrat bekommen, der von Politikern oder von Verwaltungsleuten, aber nicht von Informatikern besetzt ist. Und sie sagen: Wir müssen weg von der Maschinensicherheit. Nicht die PCs und Smartphones müssen abgesichert werden, sondern die Datenpäckchen und die Informationen, die müssen gesichert werden. Nur Datenpäckchen zu sichern, das ist nicht ganz unproblematisch, da könnte auch eine Totalüberwachung dahinterstecken. Und so ist die Konferenz auch ein wenig zwiespältig geblieben.