Schöne neue Online-Welt: Alles vernetzt, alles jederzeit erreichbar. Zumindest solange es funktioniert. Denn die Einschläge kommen näher, die öffentliche Infrastruktur wird immer häufiger das Ziel von Hackern.
Gehackt und lahmgelegt
In San Francisco wurden tausende PCs und Fahrkartenautomaten der öffentlichen Verkehrsbetriebe mit Ransomware infiziert und verweigerten den Dienst. Um ein komplettes Chaos zu verhindern, musste man für einige Zeit die Fahrschein- und Zugangskontrollen deaktivieren und kostenlose Fahrten ermöglichen. Der oder die Hacker erwecken den Eindruck, aus Russland zu stammen … verifizieren kann das aber niemand. Es war bei weitem nicht die erste Ransomware- oder Malware-Infektion öffentlicher Einrichtungen: Krankenhäuser, Stadtverwaltungen, Parlamente und Versorgungsunternehmen wurden schon öfter erfolgreich attackiert.
In Österreich wurde die Website des Außenministeriums Opfer einer DDoS-Attacke. Nach Aussagen Verantwortlicher beschloss man, selbst die Website vorübergehend stillzulegen, um den Angreifern das Ziel zu nehmen. Der Angriff soll aus der Türkei erfolgt sein und im Zusammenhang mit der angespannten politischen Situation zwischen Österreich und der Türkei stehen. Ob der Angriff staatlich gelenkt wurde oder von Aktivisten in Eigenregie durchgeführt wurde … niemand weiß es.
In Deutschland hatte die Telekom mit großflächigen Ausfällen in ihrem Netz zu kämpfen, betonte aber immer wieder, dass die Störung nicht in ihrer Netzinfrastruktur liegt, sondern sich Probleme bei der Routereinwahl auf Kundenseite zeigen. Mittlerweile ist klar, dass es sich auch hier um die Folgen eines großangelegten Angriffs gehandelt hat, der nicht die Infrastruktur der Telekom selbst, sondern die Router der Kunden zum Gegenstand hatte. Das BSI stuft die Störung als Folge eines „weltweiten Angriffs auf ausgewählte Fernverwaltungsports von DSL-Routern“ ein. Und der Telekom-Chef ruft nach einer Cyber-NATO, vergisst aber zu erwähnen, dass es die Telekom selbst war, die die anfälligen Router an die Kunden ausgeliefert und nicht für Sicherheitsupdates gesorgt hat. Dabei war der Ausfall der Dienste für die betroffenen Kunden von den Hackern gar nicht beabsichtigt, sondern nur ein Kollateralschaden: Ziel der Angreifer war es eigentlich, die Router zu einem riesigen Bot-Netz zusammenzuschließen, dass die Hacker nach Belieben hätten fernsteuern und für automatisierte Angriffe nutzen können.
Wenige Wochen zuvor wurde der DNS-Dienstleister Dyn in den USA Opfer von Cyber-Attacken. Der DNS-Dienst ist für die Auflösung der Domain-Namen und die Weiterleitung der Anfragen zum richtigen Server verantwortlich. Die Nicht-Erreichbarkeit des Dienstes hatte für viele Internetnutzer in Nordamerika zur Folge, dass sie das Internet nicht oder nur eingeschränkt nutzen konnten, große Dienste wie Netflix, Spotify und Twitter waren für sie nicht erreichbar. Der Angriff selbst erfolgte nicht über PCs, sondern über ein Netzwerk von Millionen gehackter Webcams, Router, Smart-TVs und anderer „intelligenter“ Hauselektronik. Experten werten den Angriff als Vorboten für die künftigen Gefahren durch Millionen IoT-Geräte, die vollkommen ungesichert von Herstellern und Anbietern ahnungslosen Kunden offeriert und von diesen in diese Heimnetzwerke integriert wurden und werden. Es gibt keine Möglichkeit, diese Hersteller zur Verantwortung zu ziehen.
Angriffe aus dem Hintergrund
All diese Beispiele zeigen, dass Cyber-Attacken mittlerweile alltäglich sind.
Und mutmaßlich stecken dahinter nicht mehr nur ein paar jugendliche Hacker, die sich selbst einmal beweisen wollen, oder Online-Banden, die das Netz als bequeme Option für ihre kriminellen Raubzüge entdeckt haben, sondern auch politisch motivierte und staatlich gelenkte Gruppen, die den Cyberwar zur Durchsetzung ihrer Interessen nutzen.
Unvorbereitet im Netz
Dabei machen wir es den Angreifern auf verschiedenen Ebenen leicht:
- Die Infrastruktur – gerade im öffentlichen Bereich – ist oft veraltet. Es fehlt an Geld. In San Francisco waren offenbar noch Windows 2000, Flash und DOS unter OS/2 im Einsatz, das gesamte System wird gerade im Zuge der Eröffnung einer neuen U-Bahn-Linie modernisiert, was Jahre dauert. Umso beachtlicher, dass es den Verantwortlichen gelang, trotz Thanksgiving-Wochenende binnen kurzer Zeit Backups einzuspielen und das System wiederherzustellen. Doch jedes Backup hat zunächst die gleichen Schwachstellen, die die Angreifer zuvor ausgenutzt haben.
- Das Know-how und die Sensibilität für Cyber-Sicherheit ist noch wenig vorhanden. Ein Krankenhaus soll in erster Linie Patienten betreuen, ein Ministerium Politik machen und ein kommunales Versorgungsunternehmen seinem Versorgungsauftrag nachkommen. Die IT-Abteilungen wurden in den vergangenen Jahren oft eher zusammengestutzt, IT-Services ausgelagert (und damit die Abhängigkeit von externen Dienstleistern vergrößert) und Sicherheitsexperten sind Mangelware. Und welcher wirkliche Experte für Cyber-Sicherheit wird in einem Krankenhaus oder einem Verkehrsbetrieb arbeiten wollen, wenn Megakonzerne mit dem großen Geld und toller Ausstattung locken?
- Cyber-Kriminalität gilt noch immer als eine Art „Kavaliersdelikt“: Es gibt keine sichtbaren Angreifer, keine unmittelbaren Personenschäden und keine breite, öffentliche Ächtung. Im Gegenteil: Alle Regierungen behalten sich vor, selbst Cyber-Attacken zu starten, und bauen eigene Cyberwar-Abteilungen auf. Der nächste Krieg wird im Netz geführt und nicht auf dem Schlachtfeld, da sind sich alle Experten einig. Aber was passiert wirklich? Wie groß wäre der Aufschrei, wenn eine Gruppe Elitesoldaten ein fremdes Land infiltieren und dort die Energieversorgung und die Internetleitungen ein Rechenzentrum kappen würde, um Internetdienste lahmzulegen? Eine solche Handlung würde als Kriegserklärung verstanden, aber wenn das gleiche Ergebnis durch Cyber-Attacken erzielt werden soll und (zumindest temporär) auch erzielt wird, gibt es zum Teil sogar Schadenfreude in den eigenen Reihen, die betroffene Einrichtung sei ja selbst schuld, weil sie ihre Infrastruktur nicht ausreichend abgesichert habe.
Angriff oder Kollateralschaden? Und wer steckt wirklich dahinter?
Doch was wäre die Alternative? Die möglicherweise hinter einzelnen Angriffen steckenden Staaten ächten und mit Handelsboykotten belegen? Die Realität ist bei weitem nicht so einfach, denn der letzte Beweis für den tatsächlichen Urheber fehlt oft. Für entsprechende Interessengruppen ist es zudem leicht, falsche Spuren zu legen und die eigenen zu verwischen. Der Hacker in San Francisco hat eine russische Mailadresse für die Kontaktaufnahme angegeben: Für manche Beweis genug, dass es sich um einen Angriff aus Russland handelt. Andere hingegen argumentieren, dass dies gerade der Beweis sei, dass die Urheber nicht in Russland sitzen, denn dann hätten sie ihre Spuren verwischt. Wer es tatsächlich war? Keine Ahnung. Ob es sich um einen gezielten Angriff handelte, gerade zu Thanksgiving? Mittlerweile gibt es eine Stellungnahme des vermutlichen Hackers, aus der hervorgeht, es sei ein vollautomatisierter Scan nach Sicherheitslücken und Zufall gewesen, dass es Muni getroffen habe. Die hätten ihre Systeme einfach nicht ausreichend abgesichert. Mag sein … oder auch nicht.
Jedenfalls werden die Angriffe auf öffentliche Infrastruktur, Dienstleister und Online-Dienste weiter zunehmen. Und wenn es mal zufällig oder gezielt Geldautomaten, Energieversorger (Strom, Gas, Wasser), Ampelanlagen oder Flughäfen trifft und ein größerer, mehrtägiger Ausfall die Folge ist, werden wir vielleicht darüber nachdenken, doch mehr für die Absicherung der Systeme zu tun und Cyber-Kriminalität nicht mehr als Bagatelldelikt begreifen. Und wahrscheinlich online ein paar Notrationen und Akkupacks bestellen …
–––
In der Rubrik IMHO – In My Humble Opinion – veröffentlichen wir persönliche Kommentare und Meinungen, die – manchmal überspitzt formuliert – zum Nachdenken anregen sollen.
