Direkt zum Inhalt

Hackerangriffe: Deutschlands »extrem verwundbare« IT-Infrastruktur

Hacker greifen gezielt da an, wo es weh tut. Denn dort sitzen die lukrativsten Opfer. Das müsste jetzt getan werden, um Unternehmen und Behörden besser zu schützen.
Medizinisches Personal betrachtet Monitore Laden...

Katastrophenfall, das klingt dramatisch. Das klingt nach Hochwasser und Waldbränden, nach Reaktorunfällen, Flugzeugabstürzen und Terroranschlägen. Im Landkreis Anhalt-Bitterfeld steht der Begriff seit diesem Sommer für ein weiteres Szenario: einen Hackerangriff. In der ersten Juliwoche ging in der Verwaltung des Landkreises praktisch nichts mehr; keine E-Mails, keine KFZ-Zulassungen, kein Begleichen von Sozialleistungen. Um besser reagieren zu können und Hilfe von anderen Stellen anzufordern, rief der Landrat am 9. Juli schließlich den ersten Cyberkatastrophenfall in der Geschichte Deutschlands aus. Glaubt man Experten, wird es nicht der letzte gewesen sein.

Mindestens 100 deutsche Ämter, Regierungsstellen, landeseigene Kliniken, Stadtverwaltungen und Gerichte sind in den vergangenen sechs Jahren Opfer von Hackerangriffen geworden, fand unlängst eine Recherche des Bayerischen Rundfunks und von »ZEIT ONLINE« heraus. Zuletzt traf es Mitte Juli das Klinikum Wolfenbüttel. Fast immer nutzen die Angreifer so genannte Ransomware: Schadsoftware, die über Sicherheitslücken oder eine infizierte Datei eingeschleust wird und Computer und Daten verschlüsselt – so lange, bis die Opfer bereit sind, das geforderte Lösegeld zu zahlen.

In Wirtschaft und Forschung sieht es nicht besser aus. Eine aktuelle Studie des IT-Branchenverbandes Bitkom kommt zu dem Ergebnis, dass 86 Prozent der befragten Unternehmen im vergangenen Jahr Schäden durch Cyberangriffe erlitten haben. In diesem Jahr traf es unter anderem die Madsack Verlagsgruppe und den Autozulieferer EDAG, zu Beginn des Jahres zog der Angriff auf das Unternehmen SolarWinds weltweite Kreise, und vergangenen Sommer standen gleich mehrere deutsche Supercomputer, Universitäten und Forschungsinstitute im Visier. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) beurteilt in seinem jüngsten Jahresbericht die Lage der IT-Sicherheit in Deutschland als »nach wie vor sehr angespannt«.

Professionelle Cyberangriffe treffen auf anfällige Infrastruktur

»Die Beispiele der letzten Wochen und Monate zeigen, dass wir extrem verwundbar sind«, sagt Michael Wiesner, IT-Sicherheitsexperte und einer der Sprecher der unabhängigen Arbeitsgruppe Kritische Infrastrukturen (AG KRITIS). Vor allem kleine und mittlere Unternehmen, Organisationen und Kommunen seien häufig unzureichend aufgestellt, wenn es um die Abwehr von Cyberangriffen geht.

Die Gründe sind vielfältig. Eine Erklärung ist, dass sich Art und Weise der Angriffe verändern. Lange Zeit haben sich die Opfer vor allem Schadsoftware eingefangen, weil Mitarbeiter verseuchte Websites und Dateien aufriefen. Viren, Trojaner und Computerwürmer wurden von den Angreifern mit Hilfe von Botnetzen (siehe Kasten) möglichst breit gestreut, um möglichst viel unkoordinierten Schaden anzurichten. »Diese Art von Schwachstellen hat man mittlerweile einigermaßen gut unter Kontrolle«, sagt Thorsten Holz, Professor am Lehrstuhl für Systemsicherheit an der Ruhr-Universität Bochum. »Die Angreifer sind professioneller geworden, es gibt weniger Einzelkämpfer und stattdessen mehr organisierte Gruppen, die Hacking als Dienstleistung anbieten«, sagt Holz.

Das führt dazu, dass die Ziele immer genauer ausgewählt werden. Vor allem bei Ransomware-Attacken wollen die Angreifer möglichst zahlungskräftige Opfer finden; sie haben es darum meist auf Unternehmen oder die Betreiber kritischer Infrastruktur abgesehen. Beim Angriff auf die US-amerikanische Colonial Pipeline im Mai konnten damit rund 3,6 Millionen Euro erbeutet werden. »Statt sofort anzufangen, alles zu verschlüsseln, meldet der Schadcode dem Angreifer häufig erst einmal, dass er ein System infiltriert hat«, sagt Michael Wiesner. »Dann schauen die Hacker, wen sie eigentlich vor sich haben und was dort zu holen ist, teilweise werden sogar zunächst Firmenbilanzen überprüft.«

Um Schadcode einzuschleusen, nutzen die Kriminellen zunehmend so genannte Supply-Chain-Angriffe aus. So geschehen etwa Anfang des Jahres im Fall von SolarWinds oder unlängst beim Hack des US-Dienstleisters Kaseya: In beiden Fällen infiltrierten die Hacker zunächst die Hersteller von Spezialsoftware, die die Opferfirmen nutzen. Auf dem Rücken dieser Systeme drangen sie dann in die IT der Kunden vor. Das Perfide: Firmen müssen der Software, die sie von Dienstleistern nutzen, prinzipiell vertrauen. »Die betroffene Software hat typischerweise hohe Rechte in einem Netzwerk, kann sich somit schnell verbreiten und ist deshalb ein attraktiver Einstiegspunkt für Angreifer«, sagt Thorsten Holz.

Eine wichtige Schwachstelle ist immer noch der Mensch

Wie kann man sich bei immer komplexeren Angriffsszenarien überhaupt noch schützen? Wie der Branchenverband Bitkom in seiner jüngsten Studie schreibt, beginnt IT-Security beim »Faktor Mensch«, dem vermeintlich schwächsten Glied der Sicherheitskette. Tatsächlich stellen so genannte Spoofing- und Phishing-Attacken nach wie vor ein großes Einfallstor dar. Dabei geben sich die Angreifer als jemand anderes aus, etwa in gefälschten E-Mails. Darin sind dann infizierte Anhänge enthalten oder auch Links auf nachgebaute Websites. Wer ohne nachzudenken auf den Anhang klickt oder auf der Fakeseite kritische Log-in-Daten preisgibt, macht es Angreifern unter Umständen leicht, nicht nur einzelne Computer, sondern ganze Systeme zu übernehmen.

»Ich kann mich nicht gegen alle Angriffe verteidigen. Früher oder später wird irgendetwas durchkommen.«(Richard Werner, IT-Sicherheitsunternehmen Trend Micro)

Um dem entgegenzuwirken, hilft zunächst eines: Bewusstsein schaffen. »Regelmäßige Mitarbeiterschulungen, der Einsatz von starken Passwörtern, Zwei-Faktor-Authentifizierung, Firewalls und Antiviren-Software, all das sind wichtige Schritte, um Angreifern das Leben schwerer zu machen«, sagt Richard Werner, Sprecher des Sicherheitsunternehmens Trend Micro. Die Zwei-Faktor-Authentifizierung verlangt beispielsweise, dass man zusätzlich zu Nutzername und Passwort auch noch einen Code eingibt, den man via SMS auf das eigene Handy gesendet bekommt. So vermeidet man, dass der Angreifer geklaute Log-in-Daten direkt einsetzen kann – er müsste zusätzlich die Kontrolle über das Telefon seines Opfers bekommen.

Auch der Einsatz von VPN-Verbindungen, über die sich Mitarbeiterinnen und Mitarbeiter etwa aus dem Homeoffice über eine abgesicherte Verbindung ins Unternehmensnetz einloggen können, tragen zu einem rudimentären Schutz bei, genau wie das Anfertigen regelmäßiger Back-ups und die Nutzung verschlüsselter Kommunikationskanäle. Aber das allein reiche bei Weitem nicht aus, sagt Werner: »Ich kann mich nicht gegen alle Angriffe verteidigen. Früher oder später wird irgendetwas durchkommen.«

Ähnlich sieht das der IT-Experte Michael Wiesner: »Ich muss immer davon ausgehen, dass es irgendwo eine Sicherheitslücke gibt, die mir noch unbekannt ist.« Starke Passwörter und regelmäßige Back-ups seien zwar grundsätzlich wichtig, aber der Einsatz allein sage nichts darüber aus, wie wirksam sie wirklich sind. »Wenn ich als Angreifer ein System übernehme, das nicht richtig abgesichert ist, dann ist es in der Regel ein Leichtes, die Passwörter auszulesen. Ob das nun 15 Zeichen hat oder nur sieben, ist mir in dem Moment vollkommen egal«, sagt Wiesner. Ähnlich müsse man bei Back-ups stets überprüfen, ob diese wirklich vom restlichen Netzwerk abgekapselt sind und ob die Wiederherstellung überhaupt funktioniert. Hin und wieder einfach Daten auf eine externe Festplatte zu ziehen, die dann später an infizierte Rechner angeschlossen wird und anschließend selbst kompromittiert ist, bringt wenig.

Was fehlt: Ein Plan, was zu tun ist, wenn es passiert ist

Spricht man mit Experten, so fehlt es deutschen Firmen und Behörden vor allen Dingen an der richtigen Planung, die greift, sobald ein Cyberangriff stattfindet oder entdeckt wird. »Ab einer bestimmten Größe braucht jedes Unternehmen ein Managementsystem für Informationssicherheit. Also Prozesse, in denen man regelmäßig analysiert: Welche Bedrohung habe ich? Welche Risiken entstehen dadurch für mich als Unternehmen? Und was kann ich dagegen tun?«, sagt Wiesner. Zu oft würden Opfer ihre Systeme erst optimieren, wenn ein Angriff stattgefunden hat. Dann fließe mitunter viel Geld für punktuelle Nachbesserungen, die bei der nächsten Attacke schon wieder überholt seien.

»Man sollte kontinuierlich überwachen, was im eigenen Netzwerk gerade los ist, wohin die Daten fließen. So kann ich erkennen, ob vielleicht ein Angriff stattfindet und wie ich am besten darauf reagiere«, sagt Richard Werner von Trend Micro. »Detection & Response«, also »Erkennung und Antwort«, heißt dieses Verfahren. Und gerade in Sachen Antwort hapere es häufig noch. »Im besten Fall habe ich als Firma eine Checkliste vorliegen, die ich abarbeite«, sagt Werner, »da steht drauf, welche Werkzeuge es zur Abwehr gibt, welche Ansprechpartner ich habe und wie ich sie am besten erreiche.« Kleinen Unternehmen, etwa einem Steuerbüro, könne es schon helfen, mit Hilfe eines externen IT-Dienstleisters die Bedrohungslage einmal grundlegend analysieren zu lassen. Bei großen Unternehmen mit mehreren hundert oder gar tausenden Angestellten sei es dagegen unerlässlich, dass Spezialisten direkt vor Ort sind, die jederzeit sofort reagieren können.

Michael Wiesner empfiehlt, stets mit Angriffen zu rechnen und die Systeme auf dieses Szenario hin zu optimieren: So müsse, auch im Hinblick auf die erwähnten Supply-Chain-Attacken, sichergestellt werden, dass Hard- und Software stets auf dem neuesten Stand sind. Gerade in öffentlichen Einrichtungen und Firmen, die keine eigene IT-Abteilung haben, sind die Systeme häufig veraltet und somit unsicher. Auch müssen Berechtigungen immer wieder überprüft werden: Welche Mitarbeiter haben Zugriff auf welche Teile des Systems? Zu oft komme es vor, dass selbst ehemalige Mitarbeiter noch auf die Firmenrechner gelangen, sagt Wiesner. All das seien Angriffsvektoren, die man vermeiden könne, indem man klare Prozesse einführe.

Glossar: Beliebte Cyberangriffe

Zero-Day
Hierbei handelt es sich um Sicherheitslücken, für die es zum Zeitpunkt des Angriffs noch keine Gegenmaßnahme gibt. Entwickler haben keine Zeit (»null Tage«, »zero days«), die Nutzer zu schützen. Hacker halten Zero-Day-Lücken meist lange geheim oder verkaufen sie für viel Geld, zum Beispiel an staatliche Akteure. Sie gelten als eine der mächtigsten Waffen im Cyberkrieg.

Advanced Persistent Threats
Bei APTs handelt es sich um zielgerichtete Cyberangriffe auf ausgewählte Institutionen und Einrichtungen, bei denen sich ein Angreifer dauerhaften Zugriff zu einem Netzwerk verschafft und diesen in der Folge auf weitere Systeme ausweitet. Solche Angriffe, wie etwa auf den Deutschen Bundestag, sind häufig sehr spezialisiert und deshalb schwer zu entdecken.

Backdoor
Ein Backdoor (Hintertür) ist ein üblicherweise durch Viren, Würmer oder einen Trojaner installiertes Programm, das Dritten einen unbefugten Zugang zu einem Computer verschafft. Um Backdoors einzuschleusen, werden häufig Sicherheitslücken und Schwachstellen ausgenutzt.

Botnetz
Als Botnetz wird ein Verbund aus zahlreichen Rechnern bezeichnet, die allesamt von einem fernsteuerbaren Schadprogramm (Bot) befallen sind. Der Botnetz-Betreiber kontrolliert den Rechnerverbund von zentraler Stelle aus und nutzt die kombinierte Leistung, um weitere Schadsoftware zu verbreiten oder DDoS-Angriffe (siehe dort) zu starten.

DDoS
Denial-of-Service-Angriffe richten sich gegen die Verfügbarkeit von Diensten. Ziel ist es, Websites, einzelne Systeme oder ganze Netzwerke durch unzählige gleichzeitige Anfragen lahmzulegen.

Exploit
Ein Exploit ist die Möglichkeit, Schwachstellen auszunutzen, die bei der Entwicklung von Hard- und Software entstanden sind. Dabei werden Sicherheitslücken und Fehlfunktionen von Programmen oder Geräten verwendet, um sich Zugang zu verschaffen. Eine spezielle Form ist der Drive-by-Exploit: Hier werden, etwa schon beim bloßen Betrachten einer Website, automatisiert Schwachstellen im Browser oder im Betriebssystem ausgenutzt, um Schadsoftware zu installieren.

Malware
Ein anderer Begriff für Schadsoftware oder Schadcode; das Kunstwort ist abgeleitet aus Malicious Software und bezeichnet Software, etwa Trojaner und Viren, die mit dem Ziel entwickelt wurde, unerwünschte und meistens schädliche Funktionen auszuführen. Schadsoftware ist üblicherweise für ein bestimmtes Betriebssystem, etwa Windows oder Android, konzipiert.

Phishing
Zusammensetzung aus »Password« und »Fishing«: Die Angreifer versuchen, über gefälschte Websites, E-Mails oder Whatsapp-Nachrichten an persönliche Daten eines Internetnutzers zu gelangen, zum Beispiel Log-in-Daten oder Kreditkarteninformationen. Diese werden dann verwendet, um in weitere Systeme einzudringen, oder weiterverkauft.

Ransomware
Schadprogramme, die es dem Opfer unmöglich machen, auf die eigenen Daten oder Systeme zuzugreifen, indem sie die Inhalte verschlüsseln. Erst gegen Zahlung eines Lösegelds, meist in Form von Kryptowährungen, heben die Erpresser die Sperre wieder auf – wenn man Glück hat.

Supply-Chain-Angriff
Hier werden Backdoors (siehe dort) und Malware (siehe dort) nicht direkt in ein System eingeschleust, sondern über Software von Dritten. Es werden gezielt Schwachstellen bei Softwareentwicklern und Dienstleistern gesucht, um über deren Produkte auf die Systeme der Kunden zu gelangen.

Bei Unternehmen der kritischen Infrastruktur (Kritis), etwa Krankenhäusern oder Energielieferanten, sind diese Prozesse klarer geregelt als in der Privatwirtschaft. So müssen die betroffenen Unternehmen etwa »IT-Sicherheit nach Stand der Technik« einsetzen und diese regelmäßig überprüfen; sie müssen direkte Ansprechpartner für das BSI haben, Sicherheitsvorfälle melden und branchenspezifische Mindeststandards erfüllen. Allerdings scheint das, wenn man sich die Angriffe auf Kliniken und Verwaltungen anschaut, nicht genug zu sein. Und zudem, sagt Wiesner, gehören zur Kritis in vielen Branchen nur jene Betriebe, bei deren Störung die Versorgung von mehr als 500 000 Menschen beeinträchtigt wäre. Soll heißen: Nur ein vergleichsweise kleiner Teil aller Unternehmen und Einrichtungen in Deutschland unterliegt überhaupt den gesetzlich vorgeschriebenen Anforderungen.

Verbesserte Hardware und ein Flickenteppich gegen Hackerangriffe

Um die IT-Sicherheit in Deutschland zu verbessern, gilt es nicht nur, Personal und Firmen besser zu schulen. Auch die Wissenschaft kann dazu beitragen. Thorsten Holz und seine Kolleginnen und Kollegen an der Ruhr-Uni forschen beispielsweise an Algorithmen, die auch von künftigen Quantencomputern nicht entschlüsselt werden können. Ein weiteres Team beschäftigt sich mit der Sicherheit von Hardware: Wie kann man Mikrochips selbst besser schützen? Kann man Sicherheitsmechanismen wie Verschlüsselung direkt in die Hardware integrieren und so Angriffe wie Meltdown und Spectre abwehren? Andere suchen nach Werkzeugen, mit denen Programmiererinnen und Programmierer etwaige Softwarelücken aufspüren können, bevor es die Angreifer tun. Und nicht zuletzt geht es immer wieder um den Nutzer selbst: Man müsse IT-Sicherheit grundsätzlich allen näherbringen, indem man sie etwa attraktiver oder leichter zugänglich macht.

»Die Versuche mit dem Nationalen Cyber-Abwehrzentrum waren bislang ein Flop«(Michael Wiesner, Arbeitsgruppe Kritische Infrastrukturen)

»Was die Sicherheitsforschung selbst angeht, sind die Bedingungen in Deutschland super, gerade im Vergleich mit dem europäischen Ausland. Hier hat sich speziell in den vergangenen zehn Jahren einiges getan, selbst wenn es an der operativen Umsetzung bisweilen noch hapert«, sagt Holz. »Operative Umsetzung«, das betrifft letztlich auch die Politik und Strafverfolgung. So arbeitet die Bundesregierung nicht nur an einer neuen Cybersicherheitsstrategie, sondern etablierte ebenso in den letzten zehn Jahren zusammen mit anderen europäischen Staaten ein komplexes Netzwerk aus Kompetenzzentren und Behörden, das bei Prävention und Verfolgung von Hackerangriffen auch länderübergreifend helfen soll.

Dass das schon gut genug gelingt, darf angesichts der jüngsten Nachrichten bezweifelt werden. »Dieser Flickenteppich ist eher hinderlich«, sagt Michael Wiesner von der AG KRITIS. »Es fehlt an einer zentralen Koordinationsstelle; die Versuche, etwa mit dem Nationalen Cyber-Abwehrzentrum waren bislang ein Flop.« Im Fall einer groß angelegten Attacke sei es nach wie vor schwierig, die verschiedenen Zuständigkeiten von Bundes- und Landeskriminalämtern, der Zentralen Stelle für Informationstechnik im Sicherheitsbereich (ZITiS) und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zu koordinieren. Und was die Unterstützung von Opfern angehe, müsse gerade das BSI noch viel mehr in Beratung und Aufklärung investieren, damit Unternehmen künftig sicherer aufgestellt sind, fordert der Experte.

Richard Werner von Trend Micro kann allerdings auch von positiven Erfahrungen berichten: »In Deutschland und Europa passiert einiges, und die Polizei agiert, solange sie sich international organisiert, gar nicht so stumpf, wie wir das in den vergangenen Jahren oftmals empfunden haben«, sagt er und verweist etwa auf den Fall der gefährlichen Schadsoftware Emotet, deren Infrastruktur unter anderem durch Ermittlungen des Bundeskriminalamts Anfang dieses Jahres zerschlagen wurde.

Dennoch bleibt die Lage angespannt. Sofern sich nicht grundsätzlich etwas ändern sollte, ist es für Michael Wiesner nur eine Frage der Zeit, bis es die deutsche Infrastruktur so richtig erwischt: »Ich sage bei meinen Vorträgen immer, dass das, was man so bei James Bond sieht, keine Fiktion ist, sondern leider Realität. Bei Sicherheitsüberprüfungen der kritischen Infrastruktur sehen wir immer wieder, dass es mit verhältnismäßig geringem Aufwand möglich ist, dort einzubrechen und live Systeme zu manipulieren.« Und auch Thorsten Holz glaubt, dass vor allem Unternehmen, Ministerien und die kritische Infrastruktur beliebte Ziele für Hacker bleiben werden: »Dass wir in den nächsten Jahren keine erfolgreichen Angriffe sehen, ist eher unrealistisch.« Und dass der Ausdruck »Cyberkatastrophenfall« seinen fremden Klang behält, wohl leider auch.

Lesermeinung

Wenn Sie inhaltliche Anmerkungen zu diesem Artikel haben, können Sie die Redaktion per E-Mail informieren. Wir lesen Ihre Zuschrift, bitten jedoch um Verständnis, dass wir nicht jede beantworten können.

Partnerinhalte