Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor IT-Angriffen aus dem Osten, das Hacker-Kollektiv Anonymous attackiert derweil Putin. Doch wie realistisch sind Cyber-War-Szenarien? Das kann der Ulmer Holger Heimann einschätzen, der sich seit vielen Jahren mit der Sicherheit von IT-Systemen beschäftigt.
Herr Heimann, gibt es im Umfeld des Ukraine-Kriegs mehr Hacker-Aktivitäten? Haben Sie Veränderungen in der IT-Sicherheitslandschaft wahrgenommen?
Holger Heimann: Seit ein paar Wochen nehmen wir weltweit generell mehr Aktivität wahr. Ob alles aber unmittelbaren Bezug zum Krieg hat, ist schwierig zu sagen und wäre Spekulation. Seit kurzem gibt es aber auch erkennbar mehr Spielereien zwischen ukrainischen und russischen Hacker-Gruppen, manches davon kommt von staatlichen Akteuren oder Gruppierungen, die auf staatlicher Seite stehen. Für den Rest der Welt haben wir derzeit keine Indizien für nennenswert vermehrte kriegsbezogene Angriffe. Das kann sich natürlich jede Sekunde ändern.
Unser aller Abhängigkeit von IT-Systemen ist wird durch die Digitalisierung immer größer. Steigen damit auch die Risiken, auf diesem Weg attackiert zu werden?
Ganz klar. Es ist alles schwer messbar, aber je mehr IT ich habe, desto abhängiger bin ich davon. Und IT sitzt ja nicht mehr wie vor 10, 15 Jahren an einer Stelle in der Firma, sondern an vielen Stellen im Unternehmen, dazu in der Cloud und in noch einer Cloud, dann beim Zulieferer, dazu hocken 1000 Leute im Homeoffice oder im Internetcafé vor dem Rechner. Alles mit unterschiedlichen Technologien. Alles wird schwerer zu durchschauen, auch deshalb sind die Angriffsflächen größer geworden. Und ebenso ist die Zahl der Leute, die Spaß haben, das ausnützen, gestiegen.
Durch die Pandemie sind mehr Mitarbeiter im Homeoffice. Sind dadurch zusätzliche Sicherheitslücken entstanden?
Statistisch belegen kann ich das aus unserer täglichen Erfahrung nicht. Auch weil viel größere Sicherheitsprobleme und -lücken das in den vergangenen zwei Jahren überlagert haben. Aber wir sehen schon, dass in der Corona-Not vieles nicht zu Ende gedacht wird. Da gibt es noch viel Nachholbedarf in den Firmen, weil sich neue Einfallstore aufgetan haben.
Was wäre das Ziel eines Cyber-Angriffs? Und wie hoch sind die Sicherheitsstandards in Deutschland?
Ziel wären vor allem die Kritischen Infrastrukturen, also alles, was für den Fortbestand der Nation im Krisenfall notwendig ist: Wasserversorgung, Stromversorgung, Lebensmittelversorgung und dergleichen. Theoretisch ist es möglich, dass so etwas ausfällt. Aber klugerweise hat die Bundesregierung schon vor einigen Jahren die Betreiber Kritischer Infrastrukturen gesetzlich zu Mindestsicherheitsstandards verpflichtet, deren Einhaltung gegenüber dem BSI nachgewiesen werden muss. Dadurch hat sich die Sicherheitstechnik von Produktionsanlagen und Netzwerken erhöht und ist nicht mehr so vulnerabel wie früher. Auch bei den ohnehin schon gut aufgestellten Banken hat sich viel getan, durch die sogenannten TIBER-Tests, die von der Bundesanstalt für Finanzdienstleistungsaufsicht nachdrücklich empfohlen werden. Diese Tests sind realistischer und näher dran an dem, was ein echter Hacker und ein echter Angreifer macht.
Sie haben mit Ihrer Firma Penetrationstests für große Behörden und Unternehmen durchgeführt, also fingierte Cyber-Angriffe, um Schwachstellen zu finden. Wie hat man sich das vorzustellen?
Penetrationstests sind eine Wirksamkeitskontrolle der IT-Sicherheit. Eine Firma hat ihre Sicherheitsmaßnahmen, und dann kommen wir mit unserer schrägen Denke und schauen, ob das auch funktioniert, wo es Lücken gibt, Nebeneingänge. Wie das dann konkret aussieht, ist mittlerweile eine Wissenschaft für sich.
Und ob der Angriff von einem Diktator käme, von einem wirtschaftlichen Konkurrenten oder von einem Hacker, ist egal?
Nicht unbedingt. Wenn man einem staatlichen Akteur oder engagierten Wirtschaftskriminellen gegenübersteht, werden diese über mehr Ressourcen, Know-how, Geld und Zeit verfügen als eine Gruppe interessierter Teenager. Insofern müssen meine Abwehrmaßnahmen in der Regel besser sein, ebenso meine Maßnahmen zur Erkennung von Angriffen und der Reaktion darauf. Das ist wie im richtigen Leben. Wenn ich ein Juweliergeschäft habe, werde ich mehr tun als der Pommes-Verkäufer nebenan.
Müssen oder können User derzeit auf besondere Dinge achten?
Viele Angriffe werden per E-Mail eingeleitet, und da gilt, was schon lange gilt. Achtsam sein. Sind Mail-Absender plausibel, kenne ich den Absender? Nicht auf exe-Dateien klicken! Klingt bescheuert, weil man das seit Jahren sagt, aber es passiert immer wieder. Derzeit gibt es mehr Ransom-, also Erpressungs-Software in Office-Dateien, zum Beispiel docx-Anhänge. Nicht alles öffnen, erstmal den Sicherheitsmenschen in der Firma fragen, wenn man den Sender nicht kennt. Und wenn man bisher nichts für die IT-Sicherheit getan hat, sollte man jetzt spätestens anfangen.
Und was ist mit Passwörtern?
Wir haben immer wieder Anrufe: Hilfe, wir haben Informationsabfluss, wir sind gehackt worden! Ein Riesenbohei. Oft hat dann halt der Geschäftsführer bei einem Cloud-Anbieter seinen Firmen-Account mit allen Informationen gehabt, das Passwort war banal der Vorname der Ehefrau. Oder der Seniorchef eines Maschinenbauers von der Schwäbischen Alb mit 100 Millionen Umsatz hatte noch einen alten Zugang, ein popeliges Passwort und alle Infos in der Cloud. Und daher wurden dann etwa betrügerische Rechnungen gestellt. Also: Sind die Cloud-Zugänge wirklich sicher? Habe ich eine Zwei-Faktor-Authentifizierung? Denn die ist für Angreifer wirklich eklig.
Seit 25 Jahren Spezialist für IT-Sicherheit
Zur Person Der Informatiker und Softwareentwickler Holger Heimann hat 1996 in Ulm den IT-Security-Spezialisten it.sec gegründet, dessen Geschäftsführer er dann lange war. Derzeit ist der 56-Jährige in einem Sabbatical und berät die Suisse IT Security Group, die it.sec 2019 gekauft hat, in strategischen Fragen.