Internet 2020: Spionage, Sabotage und Datendiebstahl

Angriffe auf die Infrastrukturen im Internet werden zunehmend komplexer und professioneller. Zeitgleich führt die Digitalisierung und Vernetzung zu wachsenden IT-Abhängigkeiten bei Verwaltungen, Unternehmen und privaten Nutzern. Der Gegenangriff ist eröffnet – ein neues Wettrüsten hat begonnen.

Mit dem Lagebericht zur IT-Sicherheit legt das Bundesamt für Sicherheit in der Informationstechnik (BSI) jedes Jahr einen umfassenden Überblick über die Bedrohungen Deutschlands, seiner Wirtschaft und seiner Bürger im Cyber-Raum vor. Der Bericht attestiert Deutschland eine „erfolgreiche Abwehr von Cyber-Angriffen in einer weiterhin angespannten IT-Sicherheitslage“.

Den größten Schaden verursachte dem Bericht zufolge die Trojaner-Software Emotet, die das BSI bereits im Dezember 2018 als die gefährlichste Schadsoftware der Welt bezeichnet hatte. In der Folge häuften sich die Meldungen beim Bundesamt – in Einzelfällen führte der Ausfall der befallenen IT-Infrastruktur zu Einschränkungen kritischer Geschäftsprozesse für die Unternehmen. IT-Schäden in Millionenhöhe inklusive.

Emotet und seine Folgen

Bei Emotet handelte es sich ursprünglich um ein Programm, welches Bank-Zugangsdaten abfischen wollte. Es ist inzwischen auch in der Lage, E-Mail-Adressen sowie Mailinhalte aus den Postfächern infizierter Systeme auszulesen und WLAN-Netzwerke zu unterwandern. So versendet es vertrauenswürdig aussehende Schadmails, die so wirken, als ob sie von einem Absender stammen, mit dem man kurz zuvor in Kontakt stand.

Wegen der bekannten Namen wirken diese Nachrichten auf viele Nutzer glaubwürdig. Sie öffnen infizierte Anhänge wie Office-Dokumente oder klicken auf harmlos aussehende Links. Galt früher die flapsige Aussage, dass das größte Problem immer vor dem Computer sitzt, so ist diese Vermutung heute nicht mehr zeitgemäß.

Der Ausarbeitungsgrad der Mailinhalte ist hochprofessionell – die feindlichen E-Mails sehen mittlerweile enorm vertrauenswürdig aus. Einmal im System, kann Emotet weitere Schadsoftware nachladen, mit denen die Angreifer u.a. Zugangsdaten auslesen, Daten verschlüsseln oder den vollständigen Remote-Zugriff des Systems übernehmen können. Aufgrund ständiger Modifikationen an der Software erkennen die Virenschutzprogramme die neuen Versionen erst mit Verzögerung, so dass ein Schließen der Sicherheitslücke für das betroffene System zu spät kommt.

Angriff auf sensible Daten

Der erst kürzlich am Berliner Kammergericht bekannt gewordene Raubzug von Justizdaten offenbart das zwischenzeitliche Schadensausmaß. So ergab das forensische Gutachten des IT-Dienstleisters T-Systems, dass die Angreifer „höchstwahrscheinlich in der Lage gewesen“ sind, den „gesamten Datenbestand des Kammergerichts zu exfiltrieren“.

Damit haben die Eindringlinge Zugriff auf Informationen von am Kammergericht verhandelten Prozessen, also auch Namen von Beklagten, Klägern, Gerichtspersonen, Zeugen sowie verdeckten Ermittlern und Informanten. Das Berliner Kammergericht ist unter anderem für Terrorprozesse zuständig, die Daten sind höchst sensibel.

Emotet ist aber nur die sichbarste Spitze im digitalen Dauerfeuer. Insgesamt registrierte das BSI in 2019 rund 114 Millionen neue Schadprogramm-Varianten und über 110.000 Bot-Infektionen täglich – häufig auf Smartphones, Tablets oder IoT-Geräten. Allein in deutschen Regierungsnetzen wurden etwa 770.000 schädliche E-Mails abgefangen.

Die rund 3.000 von der Deutschen Telekom digital ausgelegten Honeypots gelten ebenfalls als ein guter Indikator für die Cybersicherheit. Im April 2019 verzeichnete die Telekom an einem Tag 46 Millionen Hackerattacken auf ihre Köder. Im Schnitt registriert das Telekommunikationsunternehmen 31 Millionen Angriffe am Tag. Noch im April 2017 wurden durchschnittlich „nur“ vier Millionen Cyberattacken gezählt. Pro Tag.

In Zeiten der digitalen Vernetzung zeigt sich die neue Qualität der Angriffe immer häufiger auch beim Identitätsdiebstahl. Weite Kreise zog hierbei kürzlich der Doxing-Vorfall, wobei Daten von Anwendern sozialer Netzwerke als „Collection #1–6“ öffentlich im Internet verfügbar wurden. Veröffentlicht wurden vor allem Kontaktdaten wie Handynummern und Adressen von prominenten Personen.

Außerdem befanden sich unter den via Twitter veröffentlichten Daten Kopien von Personalausweisen und Mietverträgen, Privatadressen, Rechnungen und Briefe. Sogar private Chats und Sprachnachrichten von Ehepartnern und Kindern sowie Skype-Namen von Kindern der Betroffenen wurden veröffentlicht.

Die Lage der Nation

Nach Angaben des Bundeskriminalamts (BKA) belief sich die Zahl der Cyber-Attacken im Jahr 2018 auf rund 87.000 Fälle. Das sind allerdings nur die Angriffe, die der Polizei gemeldet wurden. Die Aufklärungsquote liegt bei knapp 39 Prozent. Drei Viertel davon waren Computerbetrug, also Hacker-Attacken auf Unternehmen mit dem Ziel des Datendiebstahls.

Eine Umfrage des Verbands Deutscher Maschinen- und Anlagenbau (VDMA) ergab, dass bereits mehr als ein Drittel der vom VDMA befragten Mitglieder von Produktionsausfällen berichten. Der Grund sind Hackerangriffe mit teilweise nachgelagerter Erpressung. Kapitalschäden verzeichnen bereits die Hälfte der befragten Unternehmen. Laut Branchenverband Bitkom sollen im Jahr 2018 zirka 70 % der deutschen Unternehmen nachweislich durch Datendiebstahl, Spionage und Sabotage betroffen gewesen sein.

Insbesondere mittelständische Unternehmen sind dabei für die Angreifer interessant. Sie sind statistisch zwar genauso gefährdet wie größere Unternehmen, haben in der Regel aber nicht die gleichen Ressourcen wie große Konzerne zur Schadensabwehr. Auch führt mangelndes Gefahrenbewusstsein oft zu nachlässiger Prävention oder Absicherung.

Unternehmen müssen sich die geschäftskritische Bedeutung der IT viel deutlicher bewusstmachen und verstehen, dass nicht nur Großkonzerne von Hackerangriffen betroffen sind. Wichtig ist es vor allem, die Mitarbeiter für das Thema zu sensibilisieren.

IT-Sicherheitsgesetz 2.0

Die Schadensfälle machen deutlich, dass bessere Prävention und schnelle professionelle Expertenhilfe im Notfall entscheidend sind, heißt es unisono seitens BSI, BKA, VDMA und Bitkom. Nur die Informationssicherheit ist die Voraussetzung für eine erfolgreiche Digitalisierung. Mit Instrumenten wie der Allianz für Cyber-Sicherheit, der sich inzwischen fast 4.000 Unternehmen angeschlossen haben, oder dem neuen IT-Sicherheitsgesetz 2.0 möchte der Staat den Herausforderungen begegnen.

Das BSI soll mit dem neuen Gesetz mehr Kompetenzen in der Prävention von Cyber-Kriminalität bekommen. So soll es verpflichtende Mindeststandards in der IT-Sicherheit setzen und kontrollieren dürfen. Geplant ist auch, unsichere Systeme aufzuspüren, zu hacken und die Daten per Fernzugriff zu löschen. Angriff soll die bessere Verteidigung sein.

Kritiker sehen sowohl im Gesetzentwurf als auch in der Gründung der „Agentur für (disruptive) Innovationen in der Cybersicherheit“ (ADIC) eine Weichenstellung hin zu einer stärker offensiv geprägten Cyber-Strategie des Staates. Nach dem Vorbild der amerikanischen DARPA wird die deutsche ADIC Forschung finanzieren, um einerseits der Aufrechterhaltung der Inneren Sicherheit zu dienen.

Zum anderen werden gezielt digitale Waffen für die Zwecke von Polizei und Militär entwickelt. Das bedeutet, dass sich die Bundeswehr künftig stärker im Bereich der Cybersicherheit engagieren wird. Innen- und Verteidigungsministerium finanzieren den Etat der ADIC zu gleichen Teilen. Die Behörde erhält 200 Millionen Euro innerhalb der ersten fünf Jahre. Investitionen in die Informationssicherheit werden zum Schlüsselfaktor der 2020er-Jahre.