Gehacktes ist für Sie etwas zu essen? Mit diesen Sätzen können Sie trotzdem Schlaues zum Cyberkrieg sagen
„Die Methoden von staatlichen Hackern werden immer mehr auch von einfachen Cyberkriminellen genutzt.“
Haben Sie in letzter Zeit eine E-Mail bekommen, die von einem:r Kolleg:in zu kommen schien? Im Anhang eine Rechnung, die Sie noch mal überprüfen sollten – dabei haben Sie dieser Person nie eine Rechnung geschickt? Natürlich ist im Anhang keine Rechnung, sondern ein Trojaner – der auf den Namen Emotet hört. Das Bundesamt für Sicherheit in der Informationstechnik bezeichnete Emotet im Dezember als „Fall von Cyber-Kriminalität, bei der die Methoden hochprofessioneller APT-Angriffe adaptiert und automatisiert wurden“. APT, das steht für Advanced Persistent Threat, also so viel wie fortgeschrittene andauernde Bedrohung. Lange sahen sich nur Geheimnisträger:innen von Regierungen und Schlüsselindustrien dieser Art von Bedrohungen ausgesetzt – mittlerweile treffen die Angriffe auch kleine und mittelständische Unternehmen oder Behörden.
„Auch Nato-Streitkräfte trainieren mittlerweile, wie sie mit Datendiebstahl und der Verbreitung von Falschmeldungen umgehen.“
Der Titel klingt ein bisschen nach Harry Potter: „Locked Shields“ heißt die Veranstaltung, bei der Nato-Streitkräfte seit 2010 üben, wie sie mit Cyber-Angriffen umgehen. Um Datendiebstahl und die Verbreitung von Falschmeldungen ging es dabei bereits genauso, wie um einen Angriff auf das Stromnetz. Bilder der 2018er Übung zeigen Menschen, die, je nach Teamzugehörigkeit in unterschiedlicher T-Shirt-Farbe, mit Notebooks an langen Tischen sitzen. Trotzdem: Nicht jede Fake-News-Welle, nicht jedes Doxxing – das Sammeln und Veröffentlichen privater Informationen im Netz – ist gleich eine Cyberoperation. Zumindest ein staatlicher Akteur müsste schon damit zu tun haben. Und der Cyber-Sicherheitsexperte Sven Herpig (siehe Interview) grenzt noch weiter ein: Mindestens eines der drei Schutzziele der IT – die Verfügbarkeit, die Vertraulichkeit und die Integrität (das ist die Unverfälschtheit) von Daten – müsste verletzt worden sein.
„Die Angst vor einem Cyberkrieg ist doch nur deshalb so groß, weil das Szenario so unkalkulierbar ist.“
Der Ausfall des Stromnetzes ist nun fast schon ein Klassiker unter den Szenarien. Doch es ist noch mehr denkbar: Die Hacker-Armee entführt eine Flotte selbstfahrender Autos und lässt sie Amok fahren. Oder: Eine Fabrikladung mit künstlicher Intelligenz ausgestatteter Roboter wird von den Angreifern darauf trainiert, die Menschen gegeneinander aufzuhetzen. Oder: Vernetzte Rasenmäher werden mit Drohnen verbunden, die Angriffe von oben fliegen. Was Romane zum Thema Cyberkrieg angeht, ist jedenfalls noch Luft in alle Richtungen. Der Punkt ist: Weil niemand weiß, welche Technologien in, sagen wir, zehn Jahren verbreitet sind, kann niemand sagen, welche Infrastrukturen dann angreifbar, besonders vulnerabel oder vielleicht auch besonders gut abgesichert sind.
„Wer angreift, ist immer im Vorteil.“
Das gilt im Netz ganz besonders. Den Angreifenden reicht es, eine Sicherheitslücke zu finden oder eine:n Mitarbeiter:in mit geschickt gemachten E-Mails dazu zu bringen, einen virenverseuchten Anhang zu öffnen. Dass so etwas gelingt, ist meist nur eine Frage des Wann, nicht des Ob. Wer ein System schützen will, muss dagegen sämtliche potenziellen Einfallstore – technische wie personelle – auf dem Schirm haben. Und am besten schon beim Programmieren denken wie ein:e Angreifer:in.
„Jede:r kann Sicherheitslücken kaufen.“
Egal ob kriminelle Bande, Privatperson oder Staat – im Internet gibt es Sicherheitslücken für jeden Bedarf. Besonders wertvoll und daher teuer: ein Zero Day. Das ist eine Sicherheitslücke, für die es noch kein Update gibt. Zero-Day-Exploits nutzen diese Lücken aus.
„Würde ich als staatlicher Hacker richtig Chaos anrichten wollen, ich würde das Stromnetz angreifen.“
Spätestens Marc Elsbergs Thriller „Blackout – Morgen ist es zu spät“ hat reihenweise Menschen dazu motiviert, Lebensmittelvorräte anzulegen, ein Notstromaggregat zu kaufen oder zumindest eine Powerbank fürs Smartphone. Auch wenn Letztere nicht viel nutzen wird, wenn mangels Strom das Mobilfunknetz ausfällt. Zwar könnte etwa ein Angriff auf ein Atomkraftwerk noch mehr Schaden anrichten – doch auch ein längerer Stromausfall würde das öffentliche Leben bereits ziemlich zum Erliegen bringen. Ohne Licht ließe sich meist noch auskommen, doch Strom betreibt unter anderem auch Lüftungen, Ampeln, Geldautomaten, Kassen und Pumpen für die Wasserversorgung.
„Hackbacks sind doch Quatsch.“
Als Hackbacks werden digitale Gegenangriffe bezeichnet. Die Idee: Ihr hackt euch in unsere Systeme, dann hacken wir eben zurück. In der Praxis ist das allerdings nicht so einfach – und das hat mit mehreren Faktoren zu tun: Erstens merken die Angegriffenen meist nicht sofort, dass sie gehackt wurden. Zweitens: Wenn der Angriff auffällt, ist nur sehr selten zu hundert Prozent klar, wer dahintersteckt. Und drittens ist bei einem Hackback das Risiko von ungewollten Schäden groß. Was ist, wenn die Angreifenden die IT-Infrastruktur eines Krankenhauses für ihren Angriff missbraucht hatten – und der Gegenangriff diese dann lahmlegt? Außerdem bleibt die Frage: Was sollte denn mit einem Hackback überhaupt erreicht werden? Wenn Daten abgesaugt wurden, werden die damit auch nicht zurückgeholt. Die Rechner lahmlegen? Da können die Angreifenden doch problemlos wechseln. Oder geht es nur darum, Stärke zu demonstrieren? Da ließe sich wohl auch auf einem weniger risikoreichen Weg antworten. Dazu kommt: Für Hackbacks müssten Sicherheitslücken ausgenutzt werden. Deutlich besser für die IT-Sicherheit wäre es aber, wenn Behörden dazu beitrügen, Sicherheitslücken zu schließen.
„Mit Wireshark sind ja nicht nur die Guten unterwegs.“
Ein kleines blaues Logo in Form einer Haiflosse – das ist das Symbol einer Open-Source-Software, mit der IT-Experten unter anderem den Datenverkehr in Netzwerken protokollieren und analysieren können. Wireshark heißt sie. Damit lässt sich im besten Fall Verdächtiges – zum Beispiel ein Angriff – entdecken. Wireshark setzen zum Beispiel Menschen ein, die im Auftrag eines Unternehmens die IT-Infrastruktur auf Schwachstellen testen sollen, sogenannte Penetration-Tester. So weit die Guten. Doch was Pen-Tester nutzen können, das können auch Hacker verwenden und mit kriminellen Absichten ein Netzwerk angreifen. Tutorials gibt es zuhauf, etwa auf Youtube.Alle Texte: Svenja Bergt
