# taz.de -- Experte über Cyberangriffe: „Lösegeld verbessert Angriffe“
> Digitale Angriffe auf eine Pipeline sorgten für Aufsehen. Wie sicher
> Netzwerke in Deutschland sind, erklärt Cybersicherheitsspezialist Sven
> Herpig.
IMG Bild: Tankstelle ohne Benzin in Jacksonville, North Carolina, am 11. Mai
taz: Herr Herpig, welcher Hackerangriff hat Sie in letzter Zeit am meisten
überrascht?
Sven Herpig: Das war eine globale Angriffswelle Anfang des Jahres, bei der
eine Schwachstelle in Microsoft Exchange Servern von einer Gruppe
ausgenutzt wurden.
Warum war das für Sie überraschend?
Weil die Angreifer:innen hier sehr ungewöhnlich reagiert haben.
Normalerweise ist es bei einer Cyberoperation so: Die Angreifer:innen
schauen, dass sie das tun, was sie tun wollen, etwa Daten kopieren, und
dann so schnell und unauffällig wie möglich wieder verschwinden oder für
zukünftige Aktionen Zugang zu den Systemen behalten. Hier hat aber die
Hafnium-Gruppe, der der Angriff zugeschrieben wird …
… und die mutmaßlich mit staatlichen Akteuren in China verflochten ist …
… etwas eher Ungewöhnliches gemacht: Sie hat sofort, nachdem sie
aufgeflogen ist, fast wahllos Hintertüren in alle Systeme eingebaut, die
sie erreichen konnte, die es ihnen selbst oder anderen Angreifer:innen
ermöglicht hätten, zu einem späteren Zeitpunkt noch einmal auf diese Server
zu kommen. Und in diesem Kontext stellt sich immer die Frage: Wo sind die
roten Linien? Also die Linien, die ein staatlich verflochtener Akteur nicht
überschreiten darf, will er nicht den angegriffenen Staat zu merkbaren
Gegenmaßnahmen provozieren.
Und wo verlaufen die?
Das ist schwierig zu sagen, denn eine konkrete internationale Vereinbarung
für diesen Bereich gibt es nicht. In diesem Fall würde ich sagen: Das war
schon einen Tick über der roten Linie drüber. Ganz klar drüber ist die
Einmischung in den Wahlkampf eines anderen Landes, wie das 2016 in den USA
passiert ist, auch wenn die USA nicht sagten, dass diese gegen
internationales Recht verstoßen hat.
Große Wellen in der Öffentlichkeit haben kürzlich auch zwei andere Fälle
geschlagen: ein Angriff auf eine [1][wichtige Pipeline an der US-Ostküste]
und einer auf [2][Krankenhäuser in Irland], die infolgedessen ihren Betrieb
herunterfahren mussten. Das war für Sie nicht überraschend?
Angriffe mit Ransomware, also Erpressersoftware, auf Krankenhäuser sind
nicht neu, auch wenn in den vergangenen Jahren Quantität und Qualität
zugenommen haben. Und wenn man sich das mit der Pipeline genauer anschaut:
Da ist nicht die operative Technologie, die etwa für das Weiterpumpen des
Öls nötig ist, angegriffen worden. Sondern nur die Abrechnungssysteme. Der
Betreiber hat sich dann entschlossen, alles abzuschalten, weil er das Öl
sonst nicht mehr hätte abrechnen können. Nach den Informationen, die wir
haben, sieht es daher nicht so aus, als hätten die Angreifer:innen die
Ölversorgung stoppen wollen. Die wollten einfach nur Geld machen.
Trotzdem: Wie kann es sein, dass eine Software, die für den Betrieb
anscheinend essenziell ist, so angreifbar ist?
Da gibt es verschiedene Möglichkeiten: Häufig ist das Thema IT-Sicherheit
im Management nicht richtig angekommen. Vielleicht war es aber auch eine
knallharte wirtschaftliche Entscheidung: Wie hoch ist das Risiko, dass so
ein Angriff passiert? Was kommen dann für Schadenersatzforderungen? Was
würde es kosten, die IT-Systeme entsprechend abzusichern? Da kann ein
Unternehmen schon mal zu dem Ergebnis kommen, lieber das Risiko einzugehen.
Ist öffentliche Infrastruktur, also etwa Energie oder Gesundheit, besonders
attraktiv für Angriffe?
Man muss sich überlegen: Was wollen Kriminelle? In der Regel wollen sie
Geld und dann ihre Ruhe. Es ist eine Abwägung zwischen drei Faktoren.
Erstens: Wie leicht ist das Ziel anzugreifen? In Deutschland gibt es
spezielle Regeln für Betreiber von kritischer Infrastruktur, die dazu
führen sollen, dass diese Anlagen möglichst gut geschützt sind und
Bedrohungen früh erkannt werden. Zweitens: Wie viel Geld wird eine
Erpressung bringen? Und drittens: Wie wahrscheinlich ist es – etwa in den
USA –, nach einem Angriff FBI und die anderen Sicherheitsbehörden hinter
sich her zu haben? Das ist eine Berechnung, die ständig wieder neu
durchgeführt wird.
Der Pipeline-Betreiber hat schließlich fünf Millionen US-Dollar Lösegeld
gezahlt. Hätte er das lieber sein lassen sollen?
Aus Sicht des Unternehmens, das schnell wieder Umsätze machen will, ist die
Zahlung natürlich nachvollziehbar. Aber sie macht solche Angriffe für
Nachahmer:innen attraktiv. Und man muss davon ausgehen, dass ein Teil
des Geldes in eine Verbesserung der Angriffs-Infrastruktur gesteckt wird.
Wer Lösegeld zahlt, verbessert also die Qualität der zukünftigen Angriffe.
In der Pandemie scheint die Zahl der Angriffe auf Krankenhäuser und andere
medizinische Infrastruktur zu steigen. Was ist da los?
Ich habe keine Zahlen dazu, ob es da eine deutliche Steigerung gibt. Aber
klar: In einem privatwirtschaftlichen Krankenhaus unterliegt auch die IT
wirtschaftlichen Erwägungen. Ein Beispiel: Da gibt es dann halt nicht
unbedingt Accounts mit unterschiedlichen Rechten für jede:n
Mitarbeiter:in, sondern mehrere Leute nutzen einen und der ist immer offen,
damit jede:r schnell rankann. Und das sind nur die kleinen Probleme, da
geht es noch nicht um die dahinterstehende IT-Infrastruktur an sich.
Wie lässt sich da etwas verbessern?
Vermutlich nur über Regulierung. Es gibt jetzt gerade in der Pandemie die
Debatte, ob nicht etwa zusätzliche medizinische Einrichtungen generell oder
auch Impfstoffhersteller zur kritischen Infrastruktur gehören müssten.
Arztpraxen?
Wäre schön, aber ganz ehrlich: Von denen kann man kein ganz hohes Niveau an
IT-Sicherheit erwarten. Da wäre es wohl sinnvoller, wenn der Staat
entsprechende IT-Lösungen bereitstellt. Die müssten dann aber auch wirklich
gut und auch in der Breite nutzbar sein.
Ist das Sicherheitsproblem ein Argument dafür, mit der Digitalisierung
zurückhaltend umzugehen?
Es ist jedenfalls ein Argument dafür, sehr genau nachzudenken. Und nicht
erst mal zu digitalisieren und sich später über IT-Sicherheit Gedanken zu
machen. Aktuelles Beispiel: Die Luca-App, die schnell auf den Markt kam und
bei der in den vergangenen Monaten schon haufenweise Sicherheitslücken
gestopft werden mussten. Dagegen brauchte die Corona-Warn-App etwas länger,
ist jetzt schon ein Jahr im Betrieb und: Gab es irgendwelche erfolgreichen
Angriffe? Mir ist keiner bekannt.
Die Angst vor dem nächsten großen Angriff konzentriert sich [3][in
Deutschland auf die Bundestagswahl im Herbst]. Es gibt Szenarien, dass es
im Vorfeld Versuche geben wird, die öffentliche Meinung zu manipulieren
oder am Wahltag die Infrastruktur zur Übermittlung der Daten anzugreifen –
was ist davon realistisch?
Wichtig ist: Wir wählen analog, also vor Ort oder per Brief. Selbst falls
es am Wahltag also erfolgreiche Angriffe gibt – die Ergebnisse werden am
Ende korrekt sein.
Also großes Glück, dass der Chaos Computer Club vor knapp fünfzehn Jahren
demonstriert hat, wie sich mit einem Wahlcomputer Schach spielen lässt und
damit die Debatte über Wahlcomputer in Deutschland ziemlich erledigt war?
Ja, auf alle Fälle. Beim Wählen sollte man von digitalen Lösungen die
Finger lassen. Was aber durchaus realistisch wäre: Dass Akteur:innen aus
anderen Ländern zum Beispiel die Systeme von Politiker:innen angreifen
und damit Desinformationskampagnen fahren. Also falsche Informationen
verbreiten. Zum Beispiel etwas wie: Die Bundesregierung wusste schon viel
länger von den Pandemie-Gefahren. Das halte ich für ein ernsthaftes Risiko.
Weiß man denn mittlerweile besser als noch vor einigen Jahren, wer hinter
Angriffen steckt?
Sagen wir: Man kann eher selten eine Operation konkret einem Land zuordnen.
Stattdessen können sie Gruppen zugeordnet werden, die nutzen bestimmte
Werkzeuge und spezifische Methoden und fahren ähnliche Operationen, die
übergeordneten strategischen Zielen zugeordnet werden können.
So ließ sich kürzlich etwa eine mutmaßliche iranische Cyberoperation gegen
Israel zuordnen. Aber selbst wenn eine Gruppe in einem bestimmten Land
sitzt, bleibt die Frage: Weiß der Staat davon und lässt sie gewähren?
Unterstützt er sie? Gibt es Verflechtungen? Und: Wissen ist eines. Aber
darauf eine adäquate politische Reaktion zu finden, ist mindestens ebenso
kompliziert.
8 Jun 2021
## LINKS
DIR [1] /Gesundheitswesen-und-Erpressung/!5776571
DIR [2] /Cyberattacke-in-Irland/!5773456
DIR [3] /Cyberangriffe-auf-Bundestagwahl-2021/!5774260
## AUTOREN
DIR Svenja Bergt
## TAGS
DIR Cybersicherheit
DIR Digitalisierung
DIR Cyberkriminalität
DIR GNS
DIR Banken
DIR Hackerangriff
DIR Datenschutz
DIR Kriminalität
DIR Cyberkriminalität
DIR Schwerpunkt Bundestagswahl 2025
DIR Cybersicherheit
DIR Cyberattacke
## ARTIKEL ZUM THEMA
DIR Datensicherheit in der Finanzindustrie: Bafin warnt vor IT-Risiken
Was könnte die Finanzbranche ins Wanken bringen? Die zuständige
Aufsichtsbehörde setzt einen neuen Fokus.
DIR Angriff auf die Bundestagswahl: Russisches Gehacke
Mit Cyberangriffen bereitet der russische Geheimdienst wohl eine
Desinformationskampagne vor. Nun droht die Bundesregierung mit
Konsequenzen.
DIR Cybercrime und Wirtschaftsschutz: Generalschlüssel? 70 Millionen!
Immer öfter erpressen Kriminelle mit Software hohe Summen. Der deutschen
Wirtschaft entsteht damit jährlich ein Schaden von 223 Milliarden Euro.
DIR Cyberangriff auf IT-Dienstleister: Zahlreiche Firmen lahmgelegt
Eine weitreichende Cyberattacke auf einen US-Dienstleister betrifft
zahlreiche Firmen. In Schweden müssen Filialen einer Supermarktkette
schließen.
DIR Hackerangriffe nehmen weltweit zu: Unsichtbarer Krieg in den Servern
Pipelines und Krankenhäuser: Cyberangriffe treffen oft sensible Ziele – und
die Zahl der Fälle steigt, vor allem wegen der Sicherheitslücken.
DIR Cyberangriffe auf Bundestagwahl 2021: Gut gerüstet gegen Hacker?
Die Bundestagswahl könnte Ziel von Cyberangriffen und Desinformationen
werden. Die Behörden sehen sich gegen Attacken aber gewappnet.
DIR Cyberattacke in Irland: Gesundheitssystem ausgeknockt
Kriminelle haben die Daten des irischen Gesundheitsdiensts verschlüsselt.
Sie wollen 20 Millionen Euro erpressen.
DIR Cyberangriff auf den Bundestag 2015: Drahtzieher wohl identifiziert
Laut Medienberichten ist für den Hackerangriff auf den Bundestag 2015 ein
russischer Agent verantwortlich. Das FBI hat seit Längerem nach ihm
gesucht.