Jeder ist verwundbar

Die Welt beobachtet die USA und Nordkorea, denn der Konflikt zwischen diesen Ländern könnte einen Atomkrieg auslösen. Aber wäre ein Cyberkrieg, der auch enormen Schaden anrichten kann, nicht ebenso wahrscheinlich? Oder gibt es ihn vielleicht schon?
Es herrscht kein Cyberkrieg im Sinne der klassischen Definition eines Krieges mit physischer Gewalt und dem Töten von Menschen. Wenn es aber einen offenen Krieg zwischen den USA und Nordkorea oder Russland und der Nato gäbe, gäbe es zusätzlich zu Raketen und Kanonen auch Cyberoperationen.

Wie würde das konkret aussehen?
Es gäbe auf beiden Seiten Hacker, die nicht nur Informationen stehlen, sondern auch versuchen würden, das Internet zu nutzen, um physischen Schaden anzurichten. Das könnte etwas Ähnliches wie das Schadprogramm Stuxnet sein, also die Sabotage von Industrieanlagen durch die Veränderung von Temperatur oder Luftdruck, sodass sich die Anlagen selbst zerstören. Oder sie könnten Navigationssysteme manipulieren – mit diesem Szenario haben August Cole und ich im Buch „Ghost Fleet“ gespielt: Was würde passieren, wenn sich jemand ins GPS-System einhacken und die Navigationseinstellungen ändern könnte, sodass du nicht nur die Orientierung verlierst, sondern das System einen falschen Standort anzeigt. Das könnte dazu führen, dass Flugzeuge und Autos zusammenkrachen. Es würde auch die Wirtschaft in einen Crash führen, denn selbst ein Bankomat operiert mit GPS-Daten.

Technisch gesehen ist all das schon jetzt möglich. Was davon passiert bereits?
Im Moment gibt es weder Raketen- noch Atombomben oder Kanonen noch direkte physische Cyberangriffe zwischen den USA und Nordkorea oder Russland und der Nato. Stattdessen sehen wir derzeit etwas, was vergleichbar ist mit einem Kalten Krieg, wo es keinen offenen Konflikt zwischen den Mächten, aber ein geopolitisches Rangeln gibt, zu dem auch Spionage- und Proxy-Operationen gehören. Es wird definitiv versucht, Geheimnisse zu stehlen, Falschinformationen zu verbreiten und die Politik der anderen Seite zu beeinflussen. Dazu gehören auch die Cyberoperationen, die während der jüngsten Wahlen die amerikanische und die deutsche Politik getroffen haben. All das entspricht eher dem Stil eines Kalten Krieges. Aber wie im Kalten Krieg muss man sich des Risikos einer Eskalation bewusst sein. Es gibt übrigens eine interessante Entwicklung in Bezug auf Nordkorea.

Die da wäre?
Die Wirtschaftslage in Nordkorea ist furchtbar. Das führte dazu, dass das Land seine Cyberoperationen nutzt, um das Regime finanziell zu unterstützen. Es gibt Berichte, dass nordkoreanische Hacker Attacken auf das Finanzsystem durchgeführt haben. Sie wollen es aber nicht zerstören, sondern bestehlen es. Nordkorea hat sich also an seine Hacker gewandt, um die Regierung zu finanzieren. So etwas gibt es in Deutschland oder den USA und selbst in Russland nicht.

Das Buch „Cybersecurity and Cyberwar“, das Sie und Allan Friedman geschrieben haben, ist 2014 erschienen. Was hat sich seither in Bezug auf Cybersicherheit verändert?
Wir wollten den Menschen mit unserem Buch das Thema, die Dynamiken und die Bedrohungen verständlich machen und erklären, was wir dagegen tun sollten. Und obwohl sich seither scheinbar viel geändert hat, hat sich in Wahrheit nichts geändert. Das Internet funktioniert noch immer gleich, Cyberattacken funktionieren gleich, was wir dagegen tun müssen, sei es als Individuen, Unternehmen oder Nationen, ist nach wie vor dasselbe.

Wir haben also nichts dazugelernt?
Es gab viele wichtige Vorfälle wie zum Beispiel die Hacks der US-Wahl, aber die Art, wie all das passiert ist, ist genau gleich geblieben. Dass sich im Wesentlichen nichts verändert hat, ist einerseits beruhigend und andererseits ein wenig traurig und erschreckend: Denn wir als Individuen, Unternehmen und Gesellschaft verschließen uns davor. Wenn alles neu wäre, hätten wir eine sehr gute Entschuldigung, aber Fakt ist: Nichts ist neu – und wir lassen es immer noch geschehen. Die Schuld liegt eher bei uns als bei den Angreifern.

In Österreich ist die Unternehmensstruktur von KMU dominiert. Müssen sie sich weniger Sorgen um Cyberangriffe machen, weil diese nur Unternehmen mit kritischer Infrastruktur treffen?
Österreich ist in keiner Art und Weise gegen Cybergefahren immun. Das hat mehrere Gründe. Erstens ist jedes Land, jedes Unternehmen und jede Person, die mit dem Internet verbunden ist, verwundbar. Zweitens ist Österreich ein wohlhabendes Land mit profitablen Unternehmen und daher ein lohnenderes Ziel als ein Land mit weniger Geld. Drittens gehört Österreich zu einer wirtschaftlichen und politischen Gemeinschaft, die wiederholt von fremden Mächten ins Visier genommen wurde. Außerdem hat Österreich eine Geschichte als Kreuzungspunkt zwischen Osten und Westen.

Wir können uns in Sachen Cyberkriminalität also nicht entspannen?
Nein! Dieses Problem haben nicht nur die Amerikaner oder die Deutschen. Genauso wenig ist eine mittelgroße Bank oder eine kleine Bäckerei immun. Cyberangriffe treffen große, mittlere und kleine Nationen, Unternehmen oder politische Parteien. Und: Österreich hat auch noch eigene Kriminelle, die von Banken und anderen Unternehmen Geld stehlen und Ähnliches, und das tun sie heute auf digitalem Weg und nicht mehr nur mit einer Waffe in der Hand.

Was sind die wichtigsten drei Dinge, die Sie jedem Unternehmen raten, das seine Geschäfte vor Cybergefahren schützen will?
Erstens: Bewusstsein schaffen. Egal, ob es sich um einen Handwerksbetrieb, eine Beratungsfirma oder eine Bank handelt: Auf jeder Ebene – bei den Mitarbeitern, den Führungskräften und im Aufsichtsrat – muss Bewusstsein geschaffen werden, sodass alle die richtigen Fragen stellen: Was tun wir, um uns zu schützen? Wo sind wir verwundbar?

Zweitens?
Abwehrmechanismen aufbauen. Damit ist in erster Linie technologischer Schutz gemeint. Hier ist Konstanz am wichtigsten, also nicht zu sagen: Wir haben vor zwei Jahren eine Antiviren-Software gekauft, sondern: Was tun wir Tag für Tag, Woche für Woche, Monat für Monat und jährlich, um uns gegen Angriffe zu schützen? Wie ist die ITAbteilung aufgestellt? Welches Budget und welche Befugnisse hat sie?

Und zu guter Letzt?
Widerstandskraft aufbauen. Selbst wenn alle wunderbar sensibilisiert und Sie technisch ausgezeichnet geschützt sind, können Sie einen schlechten Tag haben, an dem jemand von außen oder ein Mitarbeiter Ihr System angreift. Widerstandskraft oder Resilienz heißt: Wie gehen wir mit negativen Ereignissen um? Wie können wir uns schnell davon erholen? Cybersicherheit ist alles, von der Sicherheitskopie über den Verschluss sensibler Informationen bis hin zur Cyberversicherung. Und fragen Sie sich auch, ob Ihre Partner und Kunden abgesichert sind!

Das klingt nach einem Stück Arbeit.
Nichts von diesen Punkten ist super kompliziert oder super mühevoll. Das ist lediglich die Art, wie Unternehmen im 21. Jahrhundert agieren müssen.