Es kann jeden treffen
INTERVIEW STEPHAN STRZYZOWSKI
Befinden wir uns aktuell im Cyberkrieg? Mit dem Vokabel sollte man sehr vorsichtig sein. Krieg bezeichnet Gewaltanwendung zwischen Staaten, um politische Ziele zu erreichen. Diese Situation haben wir aktuell im Cyberbereich nicht. Wir erleben aber das, was als hybride Kriegsführung bezeichnet wird. Dabei geht es auch um politische Ziele, aber ohne offene Gewaltanwendung. Ein Mittel sind dabei Cyberangriffe.
Worauf zielen diese Angriffe ab? Die Angreifer versuchen zum Beispiel Wahlen oder die öffentliche Meinung zu manipulieren. Solche Angriffe reichen aber bis zum Versuch, die Stromversorgung eines Landes lahmzulegen oder Uran-Anreicherungsmaschinen zu sabotieren. Diese Art der Angriffe läuft immer knapp unterhalb der Schwelle, wo der Angegriffene zu den Waffen greifen würde. Es ist eine verdeckte Konfliktaustragung. Dazu eignet sich diese Art der Kriegsführung sehr gut. Auch weil die Zuordnung extrem schwierig ist. Die Angreifer können ihre Identität im Netz gut verschleiern und sich verstecken. Es gibt nur wenige Fälle, wo man die Herkunft der Angriffe genau identifizieren kann. Und selbst dann kann man nur schwer nachweisen, dass der Angriff vom Staat ausgegangen ist. Erst dann bestünde völkerrechtlich Handlungsbedarf. Denn der Staat müsste solche Angriffe natürlich unterbinden. Allerdings gibt es auch Länder wie Nordkorea, die sich recht offensichtlich mittels Cybercrime- Methoden Devisen beschaffen.
Unsere gesamte Welt wird immer stärker von Digitalisierung durchdrungen. Wird dadurch ein echter Cyberkrieg wahrscheinlicher? Die Angriffsfläche wird jedenfalls größer. Alleine durch die Tatsache, dass unzählige Menschen ins Homeoffice gegangen sind und die Sicherheitsvorkehrungen nach wie vor zu wünschen übrig lassen. Auch mit jedem Sensor und mit jedem Gerät, das mit dem Internet verbunden wird, steigt das Risiko. 20 bis 50 Milliarden Devices sind mittlerweile mit dem Internet verbunden. Die vernetzte Heizung oder der Kühlschrank sind für den Staat nicht kritisch. Aber wenn es um Kläranalagen, Flughäfen oder Wasserkraftwerke geht, die teilweise auch über das Netz gesteuert werden, sieht die Sache anders aus.
Wer sind die Angreifer? Was wollen sie? Es gibt staatsnahe Angreifer, die Instrumente sind, um Macht auszuüben. Ihnen geht es um politische Ziele und nicht um Geld. Die andere Gruppe sind Cyberkriminelle mit finanziellen Interessen. Vor allem die Angriffe dieser Gruppe schießen massiv in die Höhe. Wir sehen alleine in Österreich einen Anstieg der Anzeigen um 26 Prozent im letzten Jahr. Es geht also dramatisch hinauf, und dabei ist die Dunkelziffer noch nicht berücksichtigt.
Vermutlich geraten damit auch immer mehr Unternehmen in den Fokus? Ja, der Kranhersteller Palfinger musste beispielsweise kürzlich Lösegeld zahlen, um wieder Zugriff auf seine Systeme zu erhalten, die von Cyberkriminellen lahmgelegt wurden. Das ist sehr bitter für so ein erfolgreiches Unternehmen. Vor allem, weil Palfinger sehr viel für die Sicherheit getan hat. Aber die Kriminellen haben den Vorteil, dass sie sich lange mit ihrem Opfer befassen können und so auch in eine wirklich gut beschütze Burg eindringen können. Das ist ein Trend, den man beobachten kann. Die Erpresser befassen sich sehr intensiv mit ihren Opfern. Und sie verlangen von großen Betrieben sehr hohe Summen.
Halten sie wenigstens in der Regel Wort, wenn bezahlt wird? Besonders bösartige Angreifer erpressen zuerst Geld und stellen die Daten dann trotzdem ins Netz. Immer häufiger werden auch Angriffe, bei denen Botprogramme auf Millionen Rechnern verbreitet werden, die dann den Auftrag erhalten, alle gleichzeitig auf einer Unternehmensseite Anfragen zu stellen. Das System bricht dann natürlich zusammen. Früher kamen solche Angriffe von PCs, heute sind es oft Hochleistungsserver. Die Bandbreiten werden größer. Darum tun sich heute selbst große Provider schwer, wenn sie angegriffen werden. Dadurch haben solche Kriminelle die Unternehmen echt in der Hand.
Gibt es im Cyberwar auch ein Wettrüsten? Und wer hat mehr Mittel zur Verfügung? Es gibt ein Wettrüsten – absolut. Anfang der 2000er haben viele Länder erkannt, dass man etwas gegen die kriminellen Netzwerke tun kann, und sie haben offensive Cyberfähigkeiten aufgebaut. Vergleichbare Fähigkeiten haben aber auch die kriminellen Gruppen entwickelt. Sie wollen Geld und ein schönes Leben. Staaten wollen politische Macht ausüben und sich rüsten. Wer angreifbar ist, muss heute Defence-Konzepte aufbauen, die weit über technische Maßnahmen hinausgehen. Österreich hat deshalb eine umfassende Strategie für Cybersicherheit erarbeitet, die seit 2013 auf einen immer besseren Schutz der Infrastruktur abzielt.
Wann rückt Ihre Einheit aus? Wir kommen ins Spiel, wenn die Handlungsfähigkeit des Staates eingeschränkt ist. Beispielsweise wenn ausländische Mächte versuchen, Österreich etwas abzupressen. Letztes Jahr gab es einen Angriff auf das Außenamt, dessen Handlungsfähigkeit lahmgelegt wurde. Das Innenministerium hat uns um Unterstützung ersucht, und meine Experten haben gemeinsam mit dem Team des Innenministers erfolgreich an der Wiederherstellung der Systeme gearbeitet.
Schlagen Sie in solchen Fällen auch mit gleichen Mitteln zurück? Wir schießen nicht zurück. Das ist rechtlich nicht möglich. Wir dürfen aber den militärischen Eigenschutz wahren. Das Bundesheer muss ja handlungsfähig bleiben, und wir sind auch von der digitalen Infrastruktur abhängig. Zum Eigenschutz sind wir berechtigt, in besonderen Fällen auch offensive Maßnahmen zu setzen. Das heißt: Wir identifizieren den Server, von dem viele Angriffe starten, suchen dann den diplomatischen Weg, und wenn das nichts nutzt, ergreifen wir technische Lösungen. Das ist rechtlich abgedeckt.
Unser Bundesheer gilt, was die finanzielle Ausstattung anbelangt, nicht gerade als gesegnet. Trifft das auch auf die Cyberdefence zu? Das österreichische Bundesheer hat tatsächlich im internationalen Vergleich nur eine geringe DoDotierung. Die NATO legt circa zwei Prozent des BIP für die Verteidigung fest. Wir liegen bei 0,64 Prozent. Der Cyberbereich wurde allerdings sukzessive immer wieder ausgebaut. Meine Abteilung wurde sechsmal in 15 Jahren vergrößert. Da wird also ein wenig mehr investiert.
Weil hier die Kosten geringer sind, als wenn Panzer oder Flugzeuge angeschafft werden müssen? Vor allem, weil die Awareness steigt. Man hat erkannt, dass auch industrielle Systeme angreifbar sind und es dadurch rasch zu wirklich kritischen Situationen kommen kann. Im Jahr 2010 konnte der Computerwurm Stuxnet sogar in physikalisch abgeschlossene Urananreicherungsanlagen eingeschleust werden. Das hat einen Wake-up-Call erzeugt. Auch in der Politik. Daraufhin kam der Auftrag, ein militärisches Computer Emergency Response Team, kurz CERT, aufzubauen. Die Strategie haben wir ernsthaft ausgearbeitet. 2013 wurde eine Strategie zur staatlichen Sicherheit erarbeitet. Darin haben wir uns auf ein hohes Sicherheitsniveau für die strategisch wichtige Infrastruktur festgelegt.
Wie sicher ist die heimische Infrastruktur, wenn man etwa an die Stromversorgung oder die Telekommunikation denkt? Das Kuratorium Sicheres Österreich hat kürzlich mit KPMG eine Studie dazu präsentiert. Die wesentliche Aussage: 60 Prozent der heimischen Unternehmen wissen, dass sie in den letzten zwölf Monaten angegriffen wurden. 25 Prozent wissen es nicht. Und es gibt eine Dunkelziffer. Es kann jeden treffen. Das gilt natürlich auch für Stromversorger und IKTUnternehmen. Allerdings sind die Infrastruktur-Betreiber in der Regel besser geschützt. Auch Banken sind zum Beispiel besonders heikel und entsprechend gut vorbereitet. Nicht zuletzt, weil sie durch internationale Vorgaben dazu verpflichtet sind. Das gilt auch für die Energieversorger, die ein eigenes CERT aufgestellt haben. Auch die großen Telekom- Unternehmen tun sehr viel. Wir sehen insgesamt eine deutliche Verbesserung in allen möglichen Bereichen. 100-prozentigen Schutz gibt es aber nicht.
Wie gut sind Österreichs KMU geschützt? KMU sind am meisten gefährdet. Weil ihnen vielfach die Ressourcen fehlen. Es reicht nicht, einen Mitarbeiter in ein Sicherheitsseminar zu stecken. Sie stehen vor zwei wesentlichen Herausforderungen: Sie müssen die Ressourcen schaffen und dann die hohe Qualität nachhaltig sichern. Bei einem Angriff fällt es einem kleinen Betrieb zudem schwer durchzuhalten. Beim Angriff auf das Außenamt waren bis zu 30 Experten gleichzeitig tätig. In solchen Fällen muss man manchmal alles neu aufstellen. Das ist ein Riesenaufwand. Bei einem Angriff auf A1 mussten 50.000 Passwörter neu erstellt werden. In solchen Fällen wird es extrem aufwendig. Darin liegt ein Dilemma für kleine Unternehmen. Sie alle brauchen Digitaltechnik. Sonst können sie nicht reüssieren, und alle haben Daten in der Cloud und müssen mobil sein. Doch für die permanente Absicherung steht kein Personal zur Verfügung.
Wie entgeht man diesem Dilemma? Als Unternehmen mit Hausverstand verkleinert man die Angriffsfläche durch Abkoppelung der wichtigen Systeme von unsicheren. Und man sucht sich einen Partner, der sich umfassend um die IT-Sicherheit kümmert. So wie man eine Schneeräumung, den Steuerberater oder das Facility-Management beauftragt.
Gerade manches kleinere Unternehmen mag sich aber vielleicht denken: Ich bin zu unbedeutend, um angegriffen zu werden. Ein Irrglaube? Das ist ein großer Denkfehler. Von dem Gedanken muss man sich schleunigst verabschieden. Der erste Angriff kommt nämlich immer von einer Maschine, die ein Programm abspult. Sie schaut im übertragenen Sinn, wo die Türen offen sind, wo keine Kamera hängt, wo kein Hund Wache hält. Die Maschine klopft Schwächen ab und liefert dem Hacker eine Liste. Niemand ist davor gefeit, attackiert zu werden. Denn auch vielen kleinen Betrieben jeweils 2.000 Euro abzupressen führt zu enormen Summen.
Österreich ist die Heimat vieler Weltmarktführer. Sind solche Firmen ganz besonders gefährdet? Definitiv. Und während man eine Erpressung durch Verschlüsselung der eigenen Daten sofort wahrnimmt, wird man jemanden, der Know-how und Betriebsgeheimnisse stehlen will, nicht sofort erkennen. So ein Angreifer legt alles drauf an, möglichst lange unerkannt zu bleiben und Informationen zu stehlen. Oft dauert es mehrere Monate, bis so eine Attacke erkannt wird. Solche Operationen sind sehr geschickt gemacht und durchgeplant. Die Angreifer haben nachrichtendienstliche Aufträge. Wir haben in Österreich 300 Weltmarktführer, die höchst interessant sind für alle Nachrichtendienste der Welt.
Betrifft das jede Art von Innovation oder insbesondere Unternehmen wie zum Beispiel den Drohnenhersteller Schiebel, die Sicherheitstechnik entwickeln? Drohnen sind ein Milliarden-Geschäft, das erst aufblüht: von der Landwirtschaft bis zum Militär und der Sicherheitspolizei. Schiebel wird also sicher gezielt von anderen Staaten attackiert. Staatliche Dienste zahlreicher Länder sind verpflichtet, Wirtschaftsspionage zu betreiben.
„Niemand ist davor gefeit, attackiert zu werden.“
Wirklich? Es klingt natürlich sehr nach James Bond, aber Spione und Geheimagenten kosten sehr viel Geld. Wir müssen davon ausgehen, dass auch viele Diplomaten, die in Wien tätig sind, für entsprechende Nachrichtendienste arbeiten. Solche Mitarbeiter kassieren hohe Gehälter und müssen dafür etwas liefern. In Wien ist viel zu holen, weil die Stadt eine internationale Drehscheibe mit tollen Unternehmen und entscheidenden politischen Institutionen ist. Die heimische Wirtschaft ist innovativ, und auch die Forschung ist sehr gut aufgestellt. Wir gehören zu den reichsten Ländern der Welt. In Österreich ist für Spione viel zu holen. Know-how zu stehlen ist billiger, als es selbst zu entwickeln. Auf 200 Liftanlagen in China steht der Markenname Doppelmayr, aber nur ein Teil davon wurde wirklich von dem Unternehmen gebaut. Es gibt viele solcher Beispiele.
„In Österreich ist für Spione viel zu holen.“
Was ist der wichtigste Gedanke zum Thema Cybersicherheit, den Unternehmer verinnerlichen sollten? Sicherheit muss Chefsache sein. Wer operativ für das Thema im Betrieb zuständig ist, muss direkten Zugang zum Chef haben. Der fünfzehnte Zwerg von links kann das nicht machen. Genauso wichtig: Alle im Unternehmen müssen die Spielregeln kennen. Oft wissen die Mitarbeiter nicht einmal, wer der Sicherheitsbeauftragte ist. Es braucht klare Regeln, die alle kennen. Man muss selbst oder durch eine Fachfirma ein Sicherheitskonzept erstellen und es dann leben. Es ist auch wichtig zu begreifen, dass Sicherheit kein Hemmschuh ist, sondern ein Business-Enabler, der immer wichtiger wird. Man kann damit werben, dass Daten in besten Händen sind. Das ist heute ein extrem wichtiger Punkt. Sicherheit ist kein Hindernis, sie ermöglicht vielmehr zusätzliche Geschäfte.