Interview | Cyberattacken in Kriegszeiten - "Antiviren-Programme sind selbst ein Sicherheitsrisiko"
Viele Firmen und Behörden in Deutschland sind immer noch schlecht gegen Cyberattacken gerüstet. Mit dem Krieg gegen die Ukraine rückt Russland verstärkt in den Fokus. Ein IT-Experte warnt: Das Thema werde noch immer unterschätzt.
rbb|24: Herr Dörr, das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor dem Einsatz von Virenschutzsoftware des russischen Herstellers Kaspersky. Es empfiehlt, Anwendungen aus dem Portfolio von Virenschutzsoftware des Unternehmens Kaspersky durch alternative Produkte zu ersetzen. Droht da ein realer Angriff?
Christian Dörr: Das BSI [bsi.bund.de] warnt davor, dass Regierungen Hersteller für Cyberangriffe missbrauchen können, und spricht mit der Warnung aber auch das absolut Offensichtliche aus.
In der Security-Szene spricht man bei Antiviren-Software manchmal von Placebo. Man kann sich das so vorstellen: Die typische Antiviren-Software hat kleine DNA-Sequenzen und diese sucht mit diesen kleinen Fingerabdrücken, ob irgendeine Datei auf dem Rechner genau diese Signatur, diesen E-Mail-Fingerabdruck enthält. Und dann sagt diese Software, das ist bösartig.
Aber schon seit Jahrzehnten wird Schadsoftware immer raffinierter gebaut, so kann moderne Malware ihre Struktur bei jedem Kopiervorgang verändern. Angreifer, die entsprechend aufgestellt sind, bauen für jeden Angriff neue Software. Es gibt eine Studie, die zeigt, dass 98 Prozent der Antiviren-Fingerabdrücke nach weniger als einer Minute nicht mehr funktionieren, weil sich die Bedrohung weiterentwickelt hat.
In der Sicherheitsszene heißt es deshalb oft, dass es gut ist, dass die Leute mit Antivirensoftware wenigstens etwas tun. Optimaler Schutz sieht aber anders aus. Antiviren-Software kann unter Umständen sogar schaden, wenn sich die Nutzer in falscher Sicherheit wiegen und dann leichtsinniger werden, zum Beispiel E-Mail-Anhänge von unbekannten Absendern öffnen. Antiviren-Software ist leider nicht so effektiv, wie man es eigentlich wünscht.
Schlimmstenfalls stellen Antivirenprogramme sogar selbst ein Sicherheitsrisiko dar. Sie laufen auf den Rechnern und Systemen an ganz zentraler Stelle. Sie kommunizieren auch nach außen, können deshalb im Prinzip Daten verändern, modifizieren und sie beobachten. Auf diese Weise können unbemerkt Daten abgegriffen werden. Das ist beispielsweise bei der Firma Avast passiert. Hier sind Nutzerdaten abgegriffen worden, so ist beispielsweise das Surfverhalten der Nutzer im Internet zu Werbezwecken weiterverkauft worden.
Wenn das Antivirenprogramm, welches mich ja eigentlich schützen soll, nun selbst eine Sicherheitslücke aufweist, auch das ist schon des Öfteren vorgekommen, habe ich die Angriffsoberfläche sogar noch vergrößert.
Diese Probleme sind seit Jahren bekannt. Das ist bislang in der Deutlichkeit wie jetzt bei Kaspersky vom BSI nur noch nicht so ausgesprochen worden.
Auf den Punkt gebracht: Kann über Kaspersky angegriffen werden?
Natürlich! Das gilt aber generell für alle Anbieter am Markt, nicht nur das russische Kaspersky. Angreifer können sich im Cyberraum beispielsweise auch den amerikanischen Konkurrenten Symantec oder andere vornehmen. Dann kommt die Attacke vordergründig nicht aus Russland. Generell kann man bei Cyberattacken nicht pauschal sagen, woher sie kommen. Wir wissen aber, dass Russland beispielsweise Hackerfarmen betreibt.
Und es muss auch nicht unbedingt eine Antivirensoftware sein. So ist vor anderthalb Jahren eine Software vom amerikanischen Hersteller Solarwinds, mit der Unternehmen ihre Systeme managen, angegriffen worden. Im Handumdrehen hatten die Hacker Zugang zu amerikanischen Behörden, Ministerien und prominenten Unternehmen. Weltweit sind Tausende Behörden, Unternehmen und Betreiber kritischer Infrastrukturen umfassend kompromittiert worden. Neben Nordamerika traf es Firmen und Behörden auch in Europa, im Mittleren Osten und in Asien.
Dieses fundamentale Problem - wir sprechen hier von Supply-Chain-Security - besteht, egal woher die Software kommt, die ich einsetze. Darauf muss ich mich als Unternehmen vorbereiten und entsprechend absichern.
Also stehen Privatpersonen nicht im Fokus geplanter Operationen?
Nein, der Otto-Normal-Verbraucher ist gewöhnlich nicht das Ziel von solch gezielten Cyberoperationen. Privatpersonen sind meist von Spyware und einfacher Ransomware, die man sich über einen geöffneten Mailanhang einfangen kann, betroffen. In der Folge verschlüsselt jemand ihren Rechner und gegen Zahlung von 300 bis 600 Dollar werden die Daten möglicherweise wieder freigegeben.
Wenn man Attacken mit Ransomware bei Unternehmen beobachtet, dann wird das vorher genau ausgelotet, wie viel hier zu holen ist und systematisch werden die wichtigen Daten der Firma verschlüsselt, um dann Beträge in Höhe von 50.000 Dollar oder sehr viel mehr zu verlangen. Es sind schon Summen im Millionenbereich gefordert und gezahlt worden. Auch deshalb verbreitet sich das Problem der Ransomware wie eine Epidemie.
Cyberattacken kennt man doch nicht erst seit Russlands Krieg gegen die Ukraine?
Nein, das sind Phänomene, die lange bekannt sind. So fließen beispielsweise seit Jahrzehnten Daten aus Deutschland ab. Neben kriegerischen Auseinandersetzungen an Land, in der Luft, im Wasser und im Weltraum ist der fünfte Raum, der Cyberspace, hinzugetreten.
Attacken werden weltweit seit vielen Jahren gefahren. Ich erinnere an Stuxnet, ein Schadprogramm, das 2010 entdeckt wurde, und sich primär gegen das iranische Atomprogramm richtete. Als Programmierer und Auftraggeber werden Israel und die USA vermutet, aber es gibt keine offizielle Bestätigung. [CD1] Geheimdienste und Militärs auf der ganzen Welt befassen sich schon lange intensiv mit Cyberspionage und Cyberattacken.
Auch in Deutschland müssen wir uns diesbezüglich dringend besser aufstellen. Angriffe auf die wirtschaftlichen Infrastrukturen oder Behörden, wie beispielsweise auf die Stadtverwaltungen von Angermünde (Uckermark) oder Potsdam beweisen, dass wir alles andere als gut geschützt sind. In diesem Bereich muss auch personell aufgerüstet werden. Es darf nicht sein, dass sich in Betrieben und Verwaltung vielfach nur jemand in Teilzeit um IT-Sicherheit kümmert.
Wie meinen Sie das?
Wir haben eine Mauer um unsere Häuser und Städte gebaut, die oft so niedrig ist, dass ein Angreifer ganz einfach drübersteigen kann. Die Firmen haben in der Breite heutzutage ein stark veraltetes Sicherheitsmodell - das sogenannte Perimeter-Modell. Sie haben eine Firewall nach draußen, um ihre Firma vor dem 'Bösen', das von außen kommt, zu schützen. Sie bauen einen Außenschutz auf und innendrin befindet sich eine Sicherheitszone, wie bei einem Ei. Wenn Angreifer aber einmal die harte Schale überwunden haben, erhalten sie die volle Kontrolle. Diese Sicherheitsarchitektur war vor 25 Jahren eine gute Idee, heute ist sie das nicht mehr.
Heute haben wir mobiles Arbeiten, Homeoffice, Geräte wandern rein und raus aus der Organisation. Dazu kommt Cloud-Integration. Es gibt keine "harte Schale" mehr. Viele Firmen und auch Behörden haben ihre Sicherheitsmodelle und Herangehensweise aber noch nicht an die neuen Bedingungen angepasst.
Schauen wir auf Putins Krieg: Schon weit im Vorfeld meldete die Ukraine Cyberattacken.
Wir sehen seit dem Krieg um die Krim 2014 einen schwelenden Cyberkonflikt zwischen Russland und der Ukraine. 2014 gab es zum Beispiel Angriffe auf Regierung und Militärinfrastruktur. Es gab Angriffe auf das ukrainische Stromnetz. Weihnachten 2015 störten Hacker das Stromnetz in der Ukraine, wodurch bis zu 200.000 Menschen ohne Strom waren.
Später fand die NotPetya-Malware weltweit Beachtung. Der Code beruhte auf einer Ransomware. Die Malware sollte ihre Opfer aber nicht zu einer Lösegeldzahlung zwingen, um Daten wieder nutzen zu können, sondern war auf die Zerstörung von Computersystemen in der Ukraine ausgelegt.
Ein prominentes Beispiel war die dänische Reederei Maersk. Wahrscheinlich über ein Büro in der Ukraine verbreitete sich die Malware im Netzwerk der Firma, und machte das Buchungssystem unbrauchbar. Die gesamte Schiffslogistik funktionierte nicht mehr. Man muss ja wissen, wo welcher Container auf dem Schiff ist, und in welchem Hafen er entladen wird.
Für diesen Angriff allein hat Maersk den Schaden auf 1,4 Milliarden Dollar beziffert. Weltweit schätzt man den Schaden durch diesen Cyberangriff auf mindestens zehn Milliarden Dollar. Seit der Annexion der Krim im Jahr 2014 gab es also zahlreiche Vorfälle und Cyberangriffe mit teils weltweiten Auswirkungen.
Vielen Dank für das Gespräch!
Das Interview führte Georg-Stefan Russew, rbb|24
