Die Zahl der Cyber-Angriffe hat signifikant zugenommen. Laut Bitkom waren 2021 mindestens 86 Prozent der Unternehmen betroffen. Schäden in Milliardenhöhe sind dadurch verursacht worden – im Vergleich mit 2019 haben sie sich verdoppelt, gegenüber 2017 sogar vervierfacht. Matthias Erler von GIT SICHERHEIT sprach darüber mit Prof. Dr. Haya Shulman, Spezialistin für Cybersicherheit und Professorin für Informatik an der Goethe-Universität Frankfurt, Leiterin der Abteilung Cybersecurity Analytics and Defences am Fraunhofer SIT in Darmstadt und Mitglied im Direktorium und Forschungsbereichskoordinatorin am ­Nationalen Forschungszentrum für angewandte Cybersicherheit Athene.
 

GIT SICHERHEIT: Frau Shulman, um gleich mal mit einem kleinen Cyber-Knalleffekt zu beginnen: Sie haben kürzlich in einem Gespräch mit dem Hessischen Rundfunk die Ansicht geäußert, dass die Ukraine angesichts des russischen Angriffs ­cyberabwehrmäßig besser aufgestellt sei, als es Deutschland in dieser Situation wäre. Wie kommen Sie zu dieser Einschätzung? 

Haya Shulman: Dem jetzigen Angriff auf die Ukraine sind schon viele Cyberangriffe vorausgegangen, und die Ukraine hat daraus die richtigen Konsequenzen gezogen und sich intensiv vorbereitet. Beispielsweise gab es schon 2014 nach der Annexion der Krim Cyberangriffe auf die Wahlkommission. 2015 wurde das Stromnetz der Ukraine durch einen Cyberangriff lahmgelegt. 2017 folgten weitere Angriffe durch die Schadsoftware NotPetya, die weltweit Milliarden von US-Dollar Schaden verursachte. 

All diese Vorfälle haben die Ukraine dazu veranlasst, ihre Abwehrfähigkeit und Resilienz auszubauen, mit Unterstützung insbesondere der USA, aber beispielsweise auch Israels. Infolgedessen konnte man zum Beispiel Schadsoftware im Eisenbahnsystem der Ukraine rechtzeitig finden und unschädlich machen. Wäre dies nicht gelungen, wären später Fluchtmöglichkeiten aus der Ukraine über den Bahnverkehr nicht möglich gewesen. Insgesamt sind heute Russland, aber auch China, sehr aktiv und systematisch in diesem Bereich tätig – das sieht man deutlich an der Zunahme von Malware aus diesen Ländern.

Wir sprechen bei Cyberattacken von so unterschiedlichen Dingen wie dem Angriff auf die Funktionsfähigkeit von Kritischen Infrastrukturen, auf die Arbeit von Behörden, das Stören von Internetseiten oder auch Desinformationskampagnen. Wie angreifbar sind wir in Deutschland nach Ihrer Einschätzung – und an welchen Schwachstellen sollten wir am stärksten nachlegen?

Haya Shulman: Wir haben tatsächlich in verschiedenen Sektoren Schwachstellen was die Cybersicherheit angeht. Sehr bekannt sind etwa Fehlkonfigurationen, die ausgenutzt werden, um in bestimmte Netze hineinzukommen. Wir haben das beispielsweise für die politischen Parteien im Bundestag untersucht und arbeiten nun mit einigen von ihnen an der Verbesserung ihrer digitalen Sicherheit. Angreifbar sind insbesondere auch die Industrie und wissenschaftliche Einrichtungen.

Die Probleme gleichen sich überall: Es geht um ausnutzbare Fehlkonfigurationen und bekannte Schwachstellen, aber auch um Phishing-Emails, die beim Anklicken und Herunterladen von Anhängen zur Infizierung des Rechners führen. Solche Emails können auch auf entsprechend gefährliche Websites führen, die darauf hinauslaufen, dass Schadsoftware eingeschleppt wird. Erstaunlich viele Anwendungen verwenden keine Verschlüsselung, viele erlauben unverschlüsselten Zugriff z.B. auf Emails und ähnliches.

Im Darknet werden viele gestohlene bzw. geleakte Nutzerdaten angeboten. Das ist ein großes Problem. Wir haben bei Athene festgestellt, dass über 40 Prozent der von uns untersuchten Netze gefälschte Emails akzeptieren, also nicht blockieren. Das betrifft die Industrie genauso wie Medien, wissenschaftliche Einrichtungen, etc. Mit gefälschten Emails kann man sich als jemand anderes ausgeben als man ist: Der Kriminelle wird nicht blockiert.

Von den meisten Nutzern kann man ja ­vermutlich nicht verlangen, jede Fälschung erkennen zu können...?

Haya Shulman: Tatsächlich können Nutzer oft nicht wirklich unterscheiden, welche Email echt ist und welche nicht. Das, was der Nutzer sieht, kann leicht gefälscht werden. Es gibt eine nicht ohne weiteres sichtbare Email-Adresse im SMTP-Header, das Protokoll, das für die Beförderung der Emails zwischen den Servern zuständig ist. Diese sieht man aber nicht ohne weiteres. Auch wenn es technisch immer möglich ist, kann man es von den Nutzern nicht verlangen. Die Blockade gefälschter Emails muss technisch im Vorfeld geschehen, also schon in den Servern. Es gibt ja Maßnahmen – es ist aber Aufgabe der jeweiligen Organisation, diese zu ergreifen.

Sie machen bei Fraunhofer regelmäßig Studien in verschiedenen Sektoren wie Politik und Wirtschaft. Welche Ergebnisse und Tendenzen lassen sich hier herauslesen?

Haya Shulman: Das wird Sie und Ihre Leser jetzt vielleicht überraschen – aber wir stellen fest, dass sich die Cybersicherheit verbessert. Es wird sehr viel investiert und das Bewusstsein für den notwendigen Schutz gegen Cyberangriffe ist stark gestiegen. Dennoch haben die Angriffe signifikant zugenommen. Laut Bitkom waren 2021 mindestens 86 Prozent der Unternehmen von Cyberangriffen betroffen. Und das hat Schäden von vielen Milliarden Euro verursacht. Die Schadenszahlen haben sich im Vergleich mit 2019 verdoppelt – und gegenüber 2017 sogar vervierfacht. Wir verstehen einerseits immer mehr und immer besser, wie Cyberattacken ablaufen und wir investieren auch viel Geld – aber wir müssen mehr machen.

Was vor allem...?

Haya Shulman: Wir müssen den Schutz unserer Netze dauernd verbessern, regelmäßig Patches aufspielen, Schwachstellen schließen. Aber es braucht auch eine grundlegende Modernisierung der Sicherheitsarchitekturen. Interessant ist zum Beispiel eine im Januar von der US-Regierung veröffentlichte Vorgabe einer Zero-Trust-Architecture, die für alle Bundesbehörden in den USA gilt. Bis zum Ende des Fiskaljahrs 2024 müssen entsprechende Cybersicherheitsziele und -standards erfüllt sein. Das ist sehr konkret, ambitioniert und ein interessanter Ansatz. 

Wie sieht das genau aus?

Haya Shulman: Die Zero-Trust-Architektur geht davon aus, dass Kriminelle immer in ein System hineinkommen, sie müssen nur genügend Ressourcen einsetzen und sich die erforderliche Zeit nehmen. Das liegt einfach daran, dass es leichter ist, etwas anzugreifen, als etwas zu beschützen. Wenn das aber so ist, dann sollten wir uns mehr darauf konzentrieren nicht nur das Netz insgesamt, sondern die einzelnen Systeme zu schützen. Denn meist ist es so: Ist der Angreifer erst mal drin, dann kann er sich praktisch völlig frei im Netz bewegen. Alles was er braucht, sind im Darknet geleakte Passwörter, die probiert er aus – und sobald es geklappt hat, sobald er durch die Firewall gekommen ist, trifft er keine Hindernisse mehr an. Und genau das müssen wir ändern. Wenn man sich bei dem einen Server erfolgreich angemeldet hat, darf das für den anderen Server nichts heißen. Jedes einzelne System muss getrennt geschützt werden. Sich und seine Rechte jedes Mal neu ausweisen zu müssen – das ist eines der Grundprinzipien von Zero Trust, von „null Vertrauen“. 

Das klingt plausibel – aber auch anspruchsvoll und aufwendig. Sie finden ja auch akti­vere Methoden interessant, die über die bloße Verteidigung hinausgehen...?

Haya Shulman: Ja, das ist ein zweiter Punkt. Wir investieren immer mehr, wehren ab und stellen fest, dass das alles nicht ausreicht. Es ist deshalb eine Überlegung wert, ob wir nicht auch aktive Cyberabwehr betreiben wollen. Die Debatte darüber kommt immer wieder auf, auch seitens der Politik. Anders als in den USA, ist dieser Ansatz bei uns umstritten, aber auch die Bundesinnenministerin hat sich nun sehr deutlich für die aktive Cyberabwehr ausgesprochen.

Er hört sich ja auch vergleichsweise aggressiv an...

Haya Shulman: Die Diskussion ist oft von Missverständnissen und falschen Vorstellungen darüber geprägt, worum es sich genau handelt und wie es funktioniert. Oft wird aktive Cyberabwehr zum Beispiel mit sogenannten „Hackbacks“ gleichgesetzt, also digitalen Vergeltungsangriffen, wie wir sie tatsächlich in der Ukraine und Russland jetzt gesehen haben. Wir meinen mit aktiver Cyberabwehr aber etwas ganz anderes. Es geht nicht um Vergeltung, sondern um die Unterstützung der Strafverfolgungsbehörden bei der Verfolgung und Vereitelung von Straftaten. Und dafür gibt es Methoden.

Welche sind das?

Haya Shulman: Es gibt prinzipiell vier Kategorien von Möglichkeiten der aktiven Cyberabwehr. Die erste ist die Manipulation des Internetverkehrs, also Eingriffe in Protokolle, die zur Trennung von Netzen führen und dadurch Angriffe stoppen. Man identifiziert z. B. ein Netz, das viele Pakete in unser Netz schickt, und stoppt im Internet diesen Verkehr, so dass er uns nicht mehr erreichen kann.

Dann geht es darum, sich abzukoppeln von Ressourcen, die für Angriffe genutzt werden. Die Angreifer brauchen ja Netze, Server, Domains etc., um mit Botnets zu kommunizieren bzw. den Bots Befehle zu geben. Man kann dann zum Beispiel eine für einen Angriff genutzte Domain übernehmen, so dass die Kriminellen nicht mehr darüber kommunizieren können. Anfang des Jahres ist das in den USA geschehen: 65 Domains, die von einem Botnet verwendet worden sind, hat man abgeschaltet.

Die dritte Kategorie: Sagen wir, ein Rechner wurde infiziert oder ein Router wurde von einem Botnet verwendet. Die Strafverfolgungsbehörden können diese Router bereinigen, z. B. durch ein Update des Herstellers, so dass die Schwachstelle geschlossen wird. Hierbei müssen aber im Vorfeld rechtliche Fragen geklärt werden.

Viertens: schließlich kann man in die Systeme eingreifen, die von den Kriminellen, den Tätern, verwendet werden, z. B. indem man Schwachstellen oder geleakte Passwörter ausnutzt. Auch hier sind im Detail viele juristische Fragen zu klären.

Aktive Cyberabwehr ist vor allem eine staatliche Aufgabe – niemand kann oder sollte das allein machen. Solche Maßnahmen können aber sehr effektiv sein, auch wenn es vieler regulatorischer Rahmenbedingungen, der Zusammenarbeit von Staaten und Behörden und viel Forschung bedarf.

Stichwort Forschung: Lassen Sie uns etwas näher über die Art der Forschung sprechen, die Sie betreiben, Frau Shulman. Sie sagten einmal, man müsse wie ein Hacker denken, um Cyberattacken zu verstehen und abwehren zu können. Und dieses Denken ist oft als Spiel, als ein Ausprobieren und ein getriebenes Suchen nach Schwachstellen beschrieben worden. Trifft es das? Oder wie gehen Sie vor?

Haya Shulman: Wie ein Hacker zu denken – das beschreibt tatsächlich einen großen Teil meiner Arbeit und meiner Forschung. Und zusätzlich muss ich mit den Medien zusammenarbeiten, Artikel schreiben, Interviews führen . . . Ich arbeite am Fraunhofer SIT und an meinem Lehrstuhl an der Goethe-Universität Frankfurt aber auch mit einem exzellenten Team zusammen. Wir veröffentlichen unsere Ergebnisse auf Topkonferenzen und haben auch bereits an sehr zentralen Stellen des Internets Schwachstellen gefunden und geholfen, sie zu beheben.

Wir beschäftigen uns insbesondere mit der Suche nach unbekannten Schwachstellen in der Internet-Infrastruktur. Es geht uns nicht um einzelne Systeme, sondern um Strukturen, die Auswirkungen für alle haben. In diesem Jahr haben wir uns zum Beispiel mit einem sehr wichtigen Sicherheitsmechanismus beschäftigt, der oft unbemerkt von China und Russland ausgehebelt wird. So konnten die Angreifer diese Mechanismen abschalten, ohne dass man etwas davon mitkriegt. Wir arbeiten dabei mit Herstellern zusammen, aber auch mit den Behörden, Netzbetreibern, etc.

Frau Shulman, Sie sind ja international ­erfahren – und haben sich schon in Ihrer ­Militärzeit in Israel mit Cyberabwehr beschäftigt. Das Militär hat bei diesem Thema insgesamt einen höheren Stellenwert in ­Israel. Es hat einen hervorragenden Ruf und ist auch Kaderschmiede für Cyberschutz­experten in der Wirtschaft. Wie kann man sich das genau vorstellen?

Haya Shulman: In Israel sind die Cybereinheiten des Militärs sehr bekannt – jeder will dort arbeiten. Es ist gleichzeitig eine sehr konkurrenzstarke Umgebung dort zwischen den Soldaten. Man kann stolz auf sich sein, wenn man dort erfolgreich ist.

Kann das für Deutschland ein Vorbild sein? Sollten also Bundeswehr und Universitäten stärker oder überhaupt zusammenarbeiten? Immerhin hat Bundeskanzler Olaf Scholz ja eine Zeitenwende und ein 100-Milliarden-Programm für die Bundeswehr ausgerufen?

Haya Shulman: Das könnte durchaus ein Beispiel für die Bundeswehr sein. Wichtig ist dabei eben diese Konkurrenz, wie sie in Israel praktiziert wird: Die Soldaten müssen sich sehr anstrengen. Von 300 Soldaten in einer Einheit schaffen es nur 30. Und sie arbeiten praktisch rund um die Uhr, um zu den Besten zu gehören.

Allerdings können beide Seiten voneinander lernen. Deutschland ist führend in der Cybersicherheitsforschung. Auch arbeitet man in Deutschland viel gründlicher als in Israel – auch das ist wichtig. Was die „Zeitenwende“ betrifft, wäre meine Empfehlung, mehr in Cybersicherheit zu investieren. Exzellente Forschungseinrichtungen sollten gefördert werden. Und Stellen, die schon exzellent sind, sollten mit der Bundeswehr zusammenarbeiten und Cyberkompetenz aufbauen – das ist einfacher, als von Grund auf Exzellenz selbst neu aufzubauen.

Brauchen wir für all das nicht viel mehr ­Leute? Fachkräfte sind schließlich knapp? Wo können die herkommen?

Haya Shulman: Wir müssen definitiv mehr in Ausbildung investieren. Um noch einmal auf Israel zurückzukommen: Dort wirbt die Armee in den Schulen und wirbt bereits gegenüber 12- bis 14-jährigen IT-affinen Schülern für sich. Bei uns könnte man das in Form von Ausbildungsplätzen auch bei der Bundeswehr machen. Aber auch schon in der Schule selbst könnten exzellente Schüler schon in Cybersicherheit unterrichtet werden.

In Israel wird sehr früh zwischen exzellenten, mittelmäßigen und schlechten Schülern unterschieden und der Unterricht entsprechend differenziert. In Deutschland habe ich oft den Eindruck, dass alle exzellent sein sollen – aber das gibt es einfach nicht. Wenn niemand als schlecht gelten darf, fördert man die Mittelmäßigkeit – denn wofür soll man sich dann anstrengen? Woher soll die Motivation kommen? Mangelnder Wettbewerb erzeugt Mittelmäßigkeit. Hier könnte Deutschland noch viel mehr erreichen und tatsächlich viel von Israel lernen.