Foto: Wulf Rohwedder

Foto: Rohwedder

Spätestens seit WannaCry sprechen alle über das Thema Cyber Security. Bei der nr-Jahreskonferenz 2017 wurde auf dem Panel „Hacker im Staatsauftrag?“ über die Bedrohung staatlich agierender Hackerkollektive diskutiert. Von René Bucken, JONA/KAS

Die Angst vor Hackerangriffen spielt vor allem im Superwahljahr 2017 eine verstärkte Rolle in Deutschland. Die Sorge besteht, dass es auch vor der Bundestagswahl im September zu Angriffen wie auf Demokraten im Rahmen der US-Präsidentschaftswahl oder den französischen Präsidenten Emmanuel Macron kommen könnte.

Täter oft unbekannt

Wer tatsächlich hinter solchen politisch motivierten Angriffen steckt, lässt sich nicht immer eindeutig zurückverfolgen. Häufig steht das Hackerkollektiv „Sofacy Group / APT28“ unter Verdacht, die eng mit den russischen Geheimdiensten FSB und GRU zusammen arbeiten sollen. Darüber und welche Rolle der deutsche Verfassungsschutz bei der Abwehr von Cyberangriffen spielt, diskutierten der Präsident des Bundesamtes für Verfassungsschutz Hans-Georg Maaßen, SZ-Cyberexperte Hakan Tanriverdi und Tillmann Werner von der amerikanischen Cybersicherheitsfirma „CrowdStrike“. Besonders umstritten sind sogenannte „Hack Backs“.

Ist Angriff die bessere Verteidung?

„Hack Back“ wird der digitale Gegenschlag in der Cyberwelt genannt.  Wurden bei einer Hacker-Attacke Daten abgegriffen, sollte es eine Möglichkeit geben, diese von dem fremden Server zu löschen, bevor sie weiter verkauft werden, meint Hans-Georg Maaßen. Er möchte, dass Deutschland Angriffe nicht nur abwehren, sondern in Einzelfällen den Gegner auch angreifen darf.

Angst vor Angriffen auf kritische Infrastruktur

Das kann zum einen der Fall sein, wenn sensible Daten gestohlen wurden, wie zum Beispiel beim Angriff auf den Bundestag 2015. Oder aber auch, wenn eine Gefahr durch Hacker unmittelbar bevor stünde. Sein Horror-Szenario: Es droht ein Angriff auf ein Kraftwerk oder das SCADA-System eines Flughafens – und der Verfassungschutz darf nicht handeln, obwohl der Angriffsserver bekannt ist. „Wir wollen ausschließen, dass aus einer Gefahr ein Schaden wird“, sagt Maaßen. Die gesetzliche Grundlage dafür sieht er im Gefahrenabwehrrecht. Wer den Angriff dann ausführe, müsse aber noch besprochen werden.

Risiko eines Fehlschlags

Kritiker befürchten, dass Hacker ihre Spuren so gut verwischen und über mehrere Server gehen, sodass der richtige Server schwer auszumachen sei und schlimmstenfalls ein Krankenhaus getroffen werden könnte. Hakan Tanriverdi von der Süddeutschen Zeiten schlägt vor, die Defensive zu verbessern, bevor tatsächliche wie juristisch komplizierte Gegenangriffe ausgeführt würden. Zudem dauere es sehr lange zu analysieren, wer Urheber eines solchen Angriffs ist, meint Tillmann Werner von CrowdStrike. Er rät daher insbesondere Journalisten, nicht vorschnell auf Aussagen von vermeintlichen Experten zu vertrauen.

Nicht nur Politiker werden Opfer von Cyberattacken, auch Journalisten stellen ein interessantes Ziel für Hacker dar.

Tillmann Werner macht auf die Gefahr aufmerksam und gibt Tipps, wie sich Journalisten am besten schützen können:

Good to know: Diskussionen zum Thema Cyber Sicherheit bedienen sich häufig spezieller Begriffe. Die wichtigsten Ausdrücke zum besseren Verständnis gibt es in der folgenden Übersicht:

  • APT sind komplexe und zielgerichtete Angriffe auf kritische Infrastrukturen (z. B. Strom, Wasser, Telekommunikation) sowie Behörden. Der Begriff setzt sich zusammen aus „Advanced“ (= erfolgt nicht zufällig, sondern auf bestimmte Personen oder Institutionen), „Persistent“ (= infiziert nicht nur einzelne Rechner, sondern gleich ganze lokale Netze, um langfristig spionieren und sabotieren zu können) und „Threat“ (= stellt eine ernstzunehmende Bedrohung für infizierte Systeme dar).
  • Bellingcat ist ein britisches Investigativ-Netzwerk. Prominentester Vertreter ist der britische Netzaktivist Eliot Higgins. Bekannt wurde Bellingcat vor allem durch ihre Recherchen zum Einsatz von Waffen im syrischen Bürgerkrieg und gefälschten russischen Satellitenbildern vom Absturz der Passagiermaschine MH-17.
  • Command-and-Control-Server (C&C-Server) bezeichnen in der Fachsprache Kommunikationskanäle, die als Botnetz-Operatoren fungieren und Bots (automatisierte Schadprogramme) überwachen und steuern können. Dabei installieren die Betreiber solcher illegaler Botnetze die Bots ohne Wissen der Inhaber auf vernetzten Rechnern. Laut Bericht des BSI (Bundesamt für Sicherheit in der Informationstechnik) gab es in Deutschland täglich rund 60.000 neu infizierte Systeme im ersten Halbjahr 2015.
  • Exploits (eng. „to exploit“ = ausnutzen) stellen eine systematische Möglichkeit dar, mit Hilfe von Programmcodes Sicherheitslücken auszunutzen. Verwendet wird dieser Vorgang, um sich Zugang zu Ressourcen oder Computersysteme zu verschaffen. Ist eine Lücke im System noch gänzlich unbekannt und wird von Hackern entdeckt und ausgenutzt, handelt es sich um einen sogenannten Zero-Day-Exploit. Die Entwickler der Software können meist erst nach einem Angriff reagieren, sie hatten also „null Tage“ Zeit, die Lücke zu schließen.
  • FSB (Federalnaja sluschba besopasnosti Rossijskoi Federazii), zu deutsch „Föderaler Dienst für Sicherheit der Russischen Föderation“, ist der russische Inlandsgeheimdienst. Zu den Aufgaben der Organisation mit Sitz in Moskau gehören vor allem der Staatsschutz, die Inlandsspionage und die Grenztruppen Russlands.
  • GRU (Glawnoje Raswedywatelnoje Uprawlenije), zu deutsch „Hauptverwaltung beim Generalstab der Streitkräfte der Russischen Föderation“, ist das leitende Zentralorgan des russischen Militärnachrichtendienstes. Gemeinhin wird es auch als das „alles sehende Auge“ des russischen Militärs bezeichnet. Sowohl der FSB als auch der GRU stehen unter Verdacht, eng mit Hackerkollektiven wie „Sofacy Group / ATP28“ zusammen zu arbeiten.
  • Ransomware (eng. „ransom“ = Lösegeld) bezeichnet Malware (Schadprogramme), die Computer infizieren, den Zugriff auf Daten oder das gesamte Computersystem durch Verschlüsselung verhindern und für die Entsperrung Geld verlangen. Jüngstes Beispiel für einen Ransomware-Angriff ist das Schadprogramm „WannaCry“, bei dem über 230.000 Rechner in 150 Ländern infiziert wurden.
  • SCADA Systeme (Supervisory Control and Data Acquisition) überwachen und steuern technische Prozesse. Da sie vor allem in sensiblen Bereichen der Energie- und Trinkwasserversorgung, Telekommunikation und Industrie vorkommen, sind sie ein attraktives Angriffsziel für Hackerkollektive.
  • Sofacy Group (weitere Synonyme: APT28, Fancy Bear oder Cozy Bear) ist ein Hackerkollektiv, das unter Verdacht steht, eng mit den russischen Geheimdiensten FSB und GRU zusammenzuarbeiten. Die Gruppierung ist seit etwa 2007 aktiv und wird unter anderem verantwortlich gemacht für Angriffe im Zusammenhang mit der Präsidentschaftswahl in den USA 2016 und auf den Bundestag 2015.

René Bucken auf Twitter: @renebucken