Inhalt

NETZKRIMINALITÄT
Claudia Wessling
Das Internet als Kampfzone

Cyberangriffe werden immer ausgefeilter. Ziele sind Banken, Verbraucher und auch Industrieanlagen

Angela Merkel will Neuland erobern: „Unendliche neue Möglichkeiten“ biete die digitale Vernetzung der Industrieproduktion, sagte die Kanzlerin Mitte März bei der Eröffnung der Computermesse Cebit in Hannover. Es gelte „unsere hohe Industriekompetenz auch im digitalen Zeitalter“ fortzuentwickeln, beschwor sie die Chancen der „Industrie 4.0“. Noch keine zwei Jahre ist es her, da zog die CDU-Politikerin mit der Aussage, das Internet sei in vieler Hinsicht „Neuland“, den Spott der Netzgemeinde auf sich. Heute preist ihre Regierung die Innovationschancen, die sich aus Anwendungen wie Cloud Computing oder dem als „Big Data“ bekannten Sammeln und Auswerten der im Netz anfallenden Daten ergeben. Breitbandausbau, mehr öffentliches W-Lan, vernetzte Energieversorgung, Gesundheits- und Verkehrssysteme – in all diesen Bereichen soll Deutschland künftig vorne mit dabei sein.

Gefährliche Attacken

Doch über dem allenthalben verbreiteten Optimismus in Sachen Digitalisierung liegt ein langer Schatten: Bürger, Unternehmen und staatliche Einrichtungen sind heute stärker denn je durch gefährliche Cyberangriffe bedroht. Neben Kriminellen, Terroristen und Spaßhackern sind auch Geheimdienste im Internet unterwegs, wie die seit anderthalb Jahren nicht abreißenden Enthüllungen des ehemaligen US-Geheimdienstlers Edward Snowden über massenhaftes Abgreifen von Daten und Überwachung der Internet-Kommunikation durch die NSA oder verbündete Dienste zeigen.

Auch der Blick auf die Menge der Angriffe belegt das Ausmaß der Bedrohung: Die Deutsche Telekom verzeichnet täglich bis zu eine Million Angriffe auf ihr Netz. Fünf gezielte Spionageangriffe auf die Bundesverwaltung beobachtet das Bundesamt für Sicherheit in der Informationstechnik (BSI) täglich; monatlich werden rund 30.000 Zugriffsversuche aus dem Regierungsnetz auf böswillig manipulierte Webseiten verhindert. Doch obwohl das BSI den Bundesbehörden strenge Vorgaben macht, gibt es keine absolute Sicherheit. Ende vergangenen Jahres wurde bekannt, dass sich auf dem Privatrechner einer Kanzleramts-Mitarbeiterin die Spionagesoftware Regin eingenistet hatte. Der Angriff drang nur fast ins Zentrum der Macht vor: Der Schädling konnte das Kommunikationsnetz des Kanzleramts offiziellen Angaben zufolge nicht befallen.

In den Anfängen des Internet-Zeitalters waren vor allem von Lust am virtuellen Vandalismus getriebene Hacker unterwegs, die Firmenserver zum Absturz brachten oder anarchische Parolen auf Webseiten schmuggelten. Heutzutage agieren hochprofessionelle, international organisierte Gruppen. Sie durchkämmen gängige Programme und Betriebssysteme auf Lücken, um darüber in vernetzte Systeme einzudringen. Solches Spezialwissen anzusammeln, kostet Zeit und Geld – da könnten „selbst Experten an der Universität oft nicht mehr mithalten“, sagt Hannes Federrath, auf Sicherheit und Verschlüsselung spezialisierter Informatik-Professor an der Uni Hamburg.

Auf ganz unterschiedlichen Wegen versuchen die Täter an Geld zu kommen: Durch sogenannte Phishing-Attacken stehlen sie über gefälschte Webseiten oder Mails persönliche Daten von Internetnutzern oder kapern deren Rechner für größere Angriffe. Auch Smartphones und Tablets mit dem gängigen Betriebssystem Android geraten nach einer aktuellen Analyse des Antiviren-Herstellers Kaspersky Labs zunehmend ins Visier. Mit Spionage-Trojanern und manipulierten Apps versuchen Kriminelle, Kreditkarteninformationen oder Zugangsdaten für das Online-Banking zu beschaffen. „Viele dieser Trojaner haben gleich mehrere Funktionen und können zum Beispiel private Daten auslesen und auch Hintertüren einbauen, über die der Angreifer das Gerät missbrauchen kann“, sagt Christian Funk, Leiter der Forschungsabteilung der deutschen Kaspersky-Filiale in Ingolstadt.

Private PC- und Mobilgerät-Nutzer sehen sich auch häufiger mit Erpressungsversuchen durch sogenannte Ransom Ware konfrontiert. Dabei wird der Rechner durch den Software-Schädling gesperrt, die Hacker fordern für die Freischaltung Geld. Ein guter Virenschutz sei für private Computernutzer unverzichtbar, sagt Funk. Er warnt davor, Apps bei dubiosen Drittanbietern zu kaufen. „Besonders beängstigend“ seien die Meldungen über millionenfachen Datenklau von Webportalen und Online-Shops. „Die meisten machen sich gar nicht klar, was das für Konsequenzen haben kann“, sagt der Informatiker mit Blick auf Identitätsdiebstahl oder Missbrauch für ausgefeiltere Angriffe. Zugleich geben Millionen Menschen freiwillig sensible Informationen heraus, um im Internet einzukaufen oder in sozialen Netzwerken aktiv zu sein. Kaum jemand weiß genau, was mit den Daten im Netz passieren kann.

Kriminelle zielen auch auf Unternehmen. 2013 stieg weltweit die Zahl der Angriffe auf deren IT-Systeme um 48 Prozent auf 42,8 Millionen. Die Schäden für die Weltwirtschaft schätzte die Unternehmensberatung PwC auf 575 Milliarden Dollar. Dem Branchenverband Bitkom zufolge verzeichnete jedes dritte deutsche Unternehmen in den vergangenen zwei Jahren Sicherheitsvorfälle im IT-Bereich. Zu Jahresanfang sorgte Kaspersky Lab mit der Mitteilung für Schlagzeilen, eine Hackergruppe habe in einem „beispiellosen Cyber-Raubzug“ rund eine Milliarde Dollar von etwa hundert Finanzinstituten gestohlen. Kein Wunder, dass internationale Polizei- und IT-Behörden seit einiger Zeit ihre Zusammenarbeit in der Kampfzone Internet verstärken. Aus gutem Grund, weiß Kaspersky-Experte Funk: „Cybercrime ist ein globales Geschäft und nimmt wenig Rücksicht auf Grenzen.“

Die produzierende Industrie sah sich lange gegen Cyberattacken gefeit: Denn sogenannte Scada-Anlagen (Supervisory Control and Data Acquisition), die den Bau von Autos, die Lebensmittel-Produktion oder auch Computertomographen steuern, werden als Solitäre für bestimmte Verfahren entwickelt, laufen oft jahrzehntelang ohne Sicherheitsupdates. An ihre fortschreitende Vernetzung mit der Außenwelt und deren Risiken wurde bei der Konzeption lange nicht gedacht, auch wenn seit der Jahrtausendwende immer wieder Meldungen über gelungene Manipulationen auch solcher Anlagen die Runde machten.

Endgültig geöffnet wurde die „Büchse der Pandora“, so formulierte es kürzlich der IT-Sicherheitsexperte Ralph Langner, im Jahr 2010: Damals richtete der Computerwurm Stuxnet in der iranischen Atomanlage Natans schwere Schäden an; Langner identifizierte den hochkomplexen Schädling maßgeblich. Als sicher gilt heute, dass der auf Sicherheitslücken in einer Scada-Anlage zielende Wurm von Experten des US- und des israelischen Geheimdienstes hergestellt wurde – die Kosten werden auf einen zweistelligen Millionenbetrag geschätzt. Teile des Stuxnet-Codes kursieren heute im Netz, Folgeschädlinge haben Schäden angerichtet, Attacken auf Scada-Anlagen sind in die Höhe geschnellt.

Längst nicht alle Angriffe sind so sorgfältig orchestriert wie im Fall Stuxnet: Durch Standardmaßnahmen wie das Aufspielen von Sicherheitspatches und das Wählen sicherer Passwörter könnten rund 80 Prozent der Cyberangriffe erfolgreich abgewehrt werden, heißt es im BSI. Doch manche Produzenten und auch Betreiber kritischer Infrastrukturen wie Elektrizitäts- oder Wasserwerke agieren offenbar weiter nachlässig. Mehr als 50.000 Unternehmen hierzulande steuern ihre Anlagen bereits über das Internet. Eine im Januar ausgestrahlte NDR-Dokumentation zeigte, dass ein von ihr beauftragter Experte schon bei einer kurzen Autofahrt durch ein Industriegebiet über die Netze der Firmen in mehrere Anlagen hätte eindringen können. Im Frühjahr 2014 hätte der IT-Spezialist Felix Lindner um ein Haar die Stromversorgung für die 40.000 Einwohner der Stadt Ettlingen lahmgelegt – zum Glück handelte es sich bei dem Hackerangriff um einen von den Stadtwerken in Auftrag gegebenen Test. In einer Großstadt wie Berlin, so haben Experten errechnet, würde ein einstündiger Stromausfall zur Mittagszeit zu einem Schaden von 23 Millionen Euro führen. Würde ein Krankenhauses oder ein Atomkraftwerk sabotiert, wären Menschenleben bedroht.

Um ihre „Industrie 4.0“-Vision trotz der Gefahren umzusetzen, ist die Bundesregierung in die Offensive gegangen. Rund 180 Millionen Euro investiert der Bund in den kommenden fünf Jahren in ein Forschungsrahmenprogramm zum Schutz von Staat, Unternehmen und Bürgern gegen Cyberattacken. Noch 2015 soll das Parlament das IT-Sicherheitsgesetz verabschieden, das etwa 2.000 Betreiber kritischer Infrastrukturen verpflichtet, Sicherheitsvorfälle zu melden. „IT-Sicherheit made in Germany“ könne zu einem überzeugenden Markenzeichen werden, zeigte sich Merkel in Hannover überzeugt.

Nach Einschätzung der Gesellschaft für Informatik wird das Internet durch die angepeilten Maßnahmen vor allem für die Bürger kaum sicherer. Eine „schizophrene Haltung“ werde insbesondere in Fragen der Verschlüsselung deutlich, sagt Präsidiumsmitglied Federrath. „Die wenigsten Entscheider wollen in Vertraulichkeit investieren, wenn es um Bürgerrechte geht, bei Geschäftsgeheimnissen sieht das dann plötzlich ganz anders aus.“ Positiv bewertet er, dass das Forschungsprogramm auch Projekte für einfach zu bedienende Verschlüsselung für Jedermann fördern will. „Solche Möglichkeiten müssten eigentlich per Knopfdruck im E-Mail-Programm genutzt werden können.“

Auch das geplante IT-Sicherheitsgesetz sieht Federrath mit Skepsis. Die Regierung könne nicht von Unternehmen das Offenlegen von Sicherheitslücken fordern und andererseits Geheimdiensten gestatten, Lücken für sich zu behalten, um eigene Angriffe zu fahren.

In den Vereinigten Staaten sind diesbezüglich offenbar alle Dämme gebrochen: Die NSA sei längst so etwas wie ein „nationaler Hacker-Dienst“ und investiere dreistellige Millionenbeträge, um jederzeit Zugriff auch auf vernetzte Systeme anderer Länder zu haben, sagte Edward Snowden kürzlich dem NDR. Auf dem Weg zur Industrie 4.0 bleiben noch einige Hürden zu überwinden.

Die Autorin arbeitet als Wissenschaftsjournalistin in Berlin.

Aus Politik und Zeitgeschichte

© 2016 Deutscher Bundestag