Passwort vergessen?  |  Anmelden
 |  Passwort vergessen?  |  Anmelden

Montag, 22. Januar 2018

IT-Sicherheit

Wirtschaft in der Cyberdefensive

Von Christiane Schulzki-Haddouti | 21. Dezember 2017 | Ausgabe 51

Aus dem Desaster rund um die Wanna-Cry- Erpressungssoftware haben die Sicherheitsbehörden nichts gelernt.

x - BU Wannacry und Folgen
Foto: dpa picture-alliance/Arne Dedert

Rasend schnell nehmen die Cyberangriffe mit erpresserischen Verschlüsselungen wie Wanna Cry zu. Aktuell registrieren Statistiken von Schadware-Jägern 531 verschiedene Familien der bedrohlichen Ransomware.

StoneDrill, Petya, Wanna Cry: die Varianten von Erpressungssoftware ändern sich ständig – und finden immer wieder erpressbare Unternehmen. Im Dezember 2017 listete die Website des Malware-HunterTeams bereits 531 verschiedene Ransomware-Familien mit Verschlüsselungsfunktionen auf.

Die Angriffe werden zunehmend auch von Unternehmen gemeldet, die kritische Infrastrukturen wie Kraftwerke oder Telekommunikationsnetze betreiben. Früher durften sie aus Imagegründen über Attacken und ihre Folgeschäden Stillschweigen bewahren.

Seit Mitte 2016 müssen sie diese aber an das Bundesamt für Sicherheit in der Informationstechnik (BSI) melden: Das BSI zählte seither 18 Meldungen aus dem Sektor Informationstechnik und Telekommunikation, elf aus dem Bereich Energie, drei aus dem Sektor Wasser und zwei aus der Ernährungsbranche. Die Gefährdungslage in Deutschland bezeichnet das BSI deshalb in seinem aktuellen Lagebericht als „auf hohem Niveau angespannt“.

Die meisten Angriffe zielen auf Geräte mit dem Windows-Betriebssystem, nur vereinzelt werden auch Apple-MacOS- oder Linux-Rechner befallen. Varianten der Angriffe für mobile Betriebssysteme wie Google Android wurden bereits gesichtet. Hinzu kommt, dass das Internet der Dinge immer mehr zur Gefahrenquelle wird, da IT-Sicherheit, so das BSI, „weder bei der Herstellung noch bei der Kaufentscheidung des Kunden eine ausreichende Rolle spielt“.

Im Moment liegt es in der Hand der Unternehmen, wie sicher Informationssysteme sind. Der Staat hält sich nicht nur weitgehend heraus – im Gegenteil: Er investiert 2017 rund 15-mal weniger in die Cyberdefensive als in die Cyberoffensive. In Deutschland stehen für die zivile IT-Sicherheitsforschung jährlich 42 Mio. € zur Verfügung. Das hat das Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung (FIfF) veröffentlicht. Der Bundesnachrichtendienst erhält aber 300 Mio. €, um den Cyberraum zu durchdringen. Das BSI hat 800 Mitarbeiter, bei der Bundeswehr wurde aber eine Cyber-Teilstreitkraft mit 13 000 Stellen aufgebaut.

Ingo Ruhmann, langjähriges Vorstandsmitglied im FIfF, bezeichnet daher die „staatlichen Akteure als Risikofaktoren der IT-Sicherheit“ und fordert ein „radikales Umsteuern“. Vor zwei Jahren führte Ruhmann bereits dieselbe Analyse für Deutschland und die USA durch. Damals stand das Verhältnis von Cyberkriegern zu Cyberschützern noch bei 10:1.

Abrüstungsexperte Götz Neuneck vom Institut für Friedensforschung und Sicherheitspolitik an der Universität Hamburg weiß, „dass viele Militärs weltweit an offensiven Cyberangriffen im Kriegsfall arbeiten“ und sagt: „Problematisch ist, dass wir die Cyberwaffen nicht kennen. Auch werden Kriege nicht mehr erklärt und beginnen oft früher, als die Öffentlichkeit wahrnimmt.“ Die Enthüllungen von Edward Snowden hätten die Aktivitäten in vielen Staaten in Sachen Cyberoffensive beschleunigt. Das wirkliche Wecksignal seien aber Stuxnet und die dramatische Zunahme von Cyberangriffen gewesen.

Derzeit schraube sich eine Art Rüstungskreislauf hoch, meint Neuneck und warnt: „Der Wettlauf zwischen Offensive und Defensive ist ja wie der Hase und der Igel, nur viel schneller, teurer und gefährlicher.“

Wie notwendig ein Umsteuern wäre, zeigt der Fall Wanna Cry: Die Schadsoftware verbreitete sich über eine Schwachstelle im Serverprotokoll von Windows, für die Microsoft im März 2017 einen Patch bereitgestellt hatte. Dem US-Geheimdienst NSA war die Lücke schon viel länger bekannt. Sicherheitsexperten des Chaos Computer Clubs vermuten, dass die NSA für diese Lücke ein Angriffstool entwickelte, das offenbar Hacker von ihren Servern gestohlen und für Wanna Cry genutzt hatten. Für Microsoft-Justiziar Brad Smith ist Wanna Cry daher eine „vollkommen ungewollte, aber beunruhigende Verbindung zwischen den zwei größten Gefahren für Cybersicherheit in der heutigen Welt – dem Handeln von Nationalstaaten und dem von organisierten Kriminellen“.

Auf Seiten der Bundesregierung ist ein Umsteuern nicht zu erkennen – im Gegenteil: Die 2017 aus der Taufe gehobene Zentrale Stelle für Informationstechnik im Sicherheitsbereich (Zitis) soll Sicherheitsbehörden mit Lausch-, Spionage- und Angriffswerkzeugen ausstatten.

Staatliche Angestellte konkurrieren damit mit einem Schwarzmarkt für noch nicht öffentlich bekannt gewordene Sicherheitslücken, auf dem einzelne Werkzeuge für Millionenbeträge gehandelt werden. Die Cyberaufrüstung stockt derzeit nur aufgrund akuten Personalmangels: Für Zitis sollen bis 2020 rund 400 Mitarbeiter arbeiten, doch im Dezember konnten nicht mehr als 20 Stellen besetzt werden.

Anfang Dezember gab der europäische Ministerrat der europäischen Polizeibehörde Europol grünes Licht, um eine Toolbox für „alternative Untersuchungstechniken“ zu entwickeln, die Zugriff auf verschlüsselte Informationen ermöglichen soll. Technisch könnten diese auf bislang unveröffentlichte Sicherheitsschwachstellen aufsetzen – eine Meldepflicht von Sicherheitslücken gibt es für Behörden ja nicht.rb

stellenangebote

mehr