Cyberangriffe wie die gegen den Darmstädter Versorger Entega nehmen zu. Dahinter können Geheimdienste oder kriminelle Banden stecken. Expertin Haya Shulman ist überzeugt, dass wir mehr tun müssen, um uns vor solchen Angriffen zu schützen. Ein Interview.

Die Cyberattacke auf den Darmstädter IT-Dienstleister Count+Cares, der den Versorger Entega, die Mainzer Stadtwerke und auch den Frankfurter Entsorger FES getroffen hat, zeigt, wie anfällig die digitale Infrastruktur ist. Wie können wir uns vor solchen Attacken schützen? Wer sind die Angreifer und welche Ziele verfolgen sie?

Prof. Dr. Haya Shulman verantwortet am Fraunhofer Institut für Sichere Informationstechnologie (SIT) in Darmstadt den Forschungsbereich für Netzwerk- und Computersicherheit und ist Mitglied im Direktorium des Forschungszentrums ATHENE. Seit Februar 2022 hat sie außerdem eine Professur am Institut für Informatik an der Frankfurter Johann-Wolfgang-Goethe-Universität inne. Sie glaubt, dass wir mehr für unsere digitale Sicherheit tun müssen.

Frau Shulman, die Cyberattacke auf den IT-Dienstleister Count+Care hat gezeigt, dass die digitale Infrastruktur in Deutschland anfällig ist. Unterschätzen Firmen und Institutionen die Gefahr?

Das Bewusstsein für die Gefahren durch Cyberangriffe ist in Deutschland eigentlich sehr hoch, in der Wirtschaft, aber auch in der Politik. Aber viele Organisationen bleiben hinter dem Stand der Technik zurück. Mit bekannten Verfahren könnten sie einen Großteil der heute bekannten Cyberangriffe abwehren. Dazu kommt, dass wir insgesamt sehr viel mehr in die Vorbereitung für den Notfall und in moderne Ansätze wie "Zero-Trust-Architekturen" investieren müssen. Dahinter steht vereinfacht gesagt das Prinzip, dass man nicht nur das Netzwerk als Ganzes schützt, sondern Benutzer ihre Zugangsberechtigungen für jeden Dienst, jede Anwendung einzeln verifizieren müssen. Eindringlinge können so nicht über einen einzigen Zugang auf das gesamte System zugreifen.

Die Versorgung durch Entega war laut Unternehmen nicht beeinträchtigt? Hätte das auch anders ausgehen können?

Was in dem speziellen Fall hätte passieren können, kann ich nicht sagen. Versorgungsunternehmen wie die Entega achten natürlich darauf, dass ihre IT-Systeme, die sie z.B. für Web, Email oder die Buchhaltung verwenden, strikt von den Systemen getrennt sind, die für die Versorgung benötigt werden. Allerdings klappt das nicht immer.

Als beispielsweise letztes Jahr Colonial Pipeline Opfer von Ransomware (Erpresser-Software, Anm.d.Red.) wurde, waren eigentlich nur deren IT-Systeme betroffen, aber dennoch schaltete die Firma vorsichtshalber die eigentliche Ölpipeline ab und verursachte so Chaos und Mangel an den Tankstellen.

Was könnte denn schlimmstenfalls passieren?

Das hängt davon ab, wie gut ein Unternehmen auf so etwas vorbereitet ist. Zunächst einmal muss man davon ausgehen, dass nach einem erfolgreichen Ransomware-Angriff ein großer Teil der Unternehmens- und Infrastrukturdaten verloren ist. Sobald man den Angriff bemerkt, fährt man alles herunter und setzt meist die gesamte IT neu auf.

Wenn es von allen kritischen Daten aktuelle Backups gibt und das Umschalten auf ein Ersatzsystem gut vorbereitet und geübt ist, dauert es nur Stunden bis wenige Tage, bis die IT und alle Anwendungen wieder laufen. Anders sieht es natürlich aus, wenn es keine Backups gibt, und richtig schlimm könnte es werden, wenn einmal ein Ransomware-Angriff tatsächlich auch die Systeme des eigentlichen Betriebs, also z.B. die IT, die die Stromerzeugung und -verteilung kontrolliert, lahmlegt.

Wer sind die Angreifer, was sind die Ziele?

Für die Cyberangriffe sind meist unterschiedliche Gruppen verantwortlich, sie arbeiten direkt im Auftrag staatlicher Geheimdienste oder auch organisierter krimineller Hackergruppen. Bei Ransomware-Angriffen sind es meist Kriminelle. Sie haben ihre Angriffswerkzeuge, also die Schadsoftware, und ein paar Methoden, wie sie die in Unternehmen und Behörden hineinbekommen, und dann schauen sie, dass sie möglichst viele Opfer erreichen.

Wie gehen die Hacker bei ihren Angriffen vor? Gibt es bestimmte Muster?

Sehr oft wird die Schadsoftware über Emails mit Anhängen verteilt, oder die Kriminellen locken mit einer Phishing-Nachricht einen Mitarbeiter auf eine präparierte Webseite. Die Schadsoftware installiert sich dann, breitet sich im Unternehmen aus, und nach einiger Zeit fängt sie dann an, alle erreichbaren Daten zu verschlüsseln. Die Zuordnung eines bestimmten Angriffs zu einer bestimmten Gruppe erfolgt meist aufgrund von Ähnlichkeiten im Vorgehen, in den verwendeten technischen Hilfsmitteln und oft auch aufgrund der verwendeten Sprachen und Arbeitszeiten der Hacker.

Um einen gezielten Cyberangriff auf ein Ziel durchführen zu können, muss der Angreifer zuerst verstehen, wie dieses Ziel im technischen Sinne aufgebaut ist. Welche digitalen Ressourcen gehören zu dem Ziel, z.B. welche IP-Adressen? Ohne dieses Wissen ist ein gezielter Angriff nicht möglich.

Die Hacker versuchen zu analysieren, welche Software, Betriebssysteme und Anwendungen verwendet werden, welche Schwachstellen sie haben, und dann auch in einzelne Systeme einzubrechen und - wenn dies gelungen ist - sich nach und nach im Ziel weiter auszubreiten, also weitere Systeme zu kompromittieren und dort Schadsoftware oder Hintertüren zu installieren.

Heutzutage werden viele Systeme der Versorgung digital gesteuert. Sehen Sie darin eine Einladung für Cyberterroristen?

Ich würde eher sagen, die Digitalisierung insgesamt, auch die der Versorgung, ist absolut notwendig, aber sie kann nur gelingen, wenn wir ausreichend Vorsorge treffen und in Cybersicherheit investieren. Ohne Cybersicherheit gibt es keine Digitalisierung.

Kann die Sicherheit bei dem wachsenden Tempo der Digitalisierung überhaupt mithalten?

Das ist natürlich eine große Herausforderung. Immer mehr Systeme sind angreifbar, und auch Unternehmen, die früher wenig mit IT zu tun hatten, müssen sich jetzt um die Cybersicherheit ihres Betriebs und ihrer Angebote kümmern. Die Cyberkriminellen sind da sicher erstmal im Vorteil, aber auch die Cybersicherheit entwickelt sich weiter. Also ja, wir können da mithalten, aber wir - also Unternehmen, Verwaltungen, jeder einzelne - müssen uns anstrengen und bereit sein, etwas zu tun.

Wie sieht es im privaten Bereich aus? Das intelligente Haus, der vernetzte Pkw, all das soll uns das Leben leichter machen. Sorgt es auch für mehr Gefahren?

Natürlich, alles was vernetzt ist, kann angegriffen werden. Im Automobilbereich hat man das gut gesehen, da gab es vor einigen Jahren eine ganze Flut von Angriffen. Der Grund war schlicht, dass Cybersicherheit für die Automobilhersteller und Zulieferer vorher kaum ein Thema war. Seither hat es gerade in dieser Branche sehr viel Fortschritt gegeben, man kümmert sich um Cybersicherheit.

Beim Smart Home stehen wir da meiner Meinung nach eher am Anfang. Auch da gibt es viele Hersteller, die aus ganz anderen Bereichen kommen und deshalb erst lernen müssen, wie man ihre Produkte und Dienste richtig absichert.

Was kann jeder Einzelne am Arbeitsplatz oder auch privat tun, um für mehr digitale Sicherheit zu sorgen?

Wenn jeder die üblichen Regeln einhält und die üblichen Schutzmechanismen verwendet, ist schon viel gewonnen. Im Privaten sind das sicher Antivirus-Programme zu verwenden, Updates zulassen und durchführen, regelmäßig Backups der eigenen Daten machen, keine Dateien von unbekannten Quellen öffnen. Wer mehr wissen will, findet auf den Webseiten des Bundesamts für Sicherheit in der Informationstechnik (BSI) viele gute Tipps.

Sie forschen schon lange zum Thema Cybersicherheit? Wie alt ist das Problem und wie gehen Sie bei Ihrer Forschung vor?

Ich denke das Problem ist so alt wie die Informatik selbst. In meiner Forschung geht es vor allem darum, das Internet und seine Nutzung sicherer zu machen. Zum einen erforschen wir ganz praktisch, wie Angreifer vorgehen und wie verwundbar das Internet ist, und zum anderen, was man ganz real tun kann, um die Sicherheit zu erhöhen. Das ist natürlich viel Technik, aber uns beschäftigen auch Fragen, wie man die richtigen Anreize setzt, rechtliche und wirtschaftliche, damit neue Sicherheitsverfahren eingesetzt werden.

Seit 2019 gibt es das Cyber Comptence Center des Landes (Hessen3C). Wie ist die Zusammenarbeit mit dem Fraunhofer SIT?

Sehr gut, das Land Hessen und das Hessen3C ist für uns, also das Nationale Forschungszentrum für angewandte Cybersicherheit ATHENE, und auch für mich, einer der wichtigsten Praxispartner. Wir stehen sehr häufig im Austausch.

Welche Herausforderungen sehen Sie für die Zukunft?

Es ist ganz klar, dass die heute vorwiegend verwendeten Sicherheitsarchitekturen ausgedient haben, ansonsten würden wir nicht eine so dramatische Zunahme an Angriffen sehen. Es gibt aber schon viele sehr interessante und vielversprechende und praxistaugliche Ansätze, etwa "Zero Trust Architekturen". In den USA wurde beispielsweise gerade im Januar festgesetzt, dass die Bundesverwaltung bis 2024 auf solche modernen Architekturen umsteigen muss. Bei uns diskutiert man noch.

Die größte praktische Herausforderung sehe ich deshalb darin, dass wir als Gesellschaft im Bereich Cybersicherheit sehr viel ambitionierter werden müssen. Und natürlich braucht das auch noch sehr viel Forschung und Entwicklung, aber ohne die Ambitionen, das dann auch einzusetzen, hilft das nicht viel.

Das Interview führte Uwe Gerritz.