Herr Herpig, laut des aktuellen Berichtes des BKA gab es im Jahr 2023 28 Prozent mehr Cyberangriffe aus dem Ausland als im Vorjahr. Wer genau greift da eigentlich wen oder was an?
Das Bundeskriminalamt zählt Aktivitäten mit kriminellem Hintergrund. Es handelt sich hier also um organisierte Kriminelle, deren Opfer vornehmlich Unternehmen sind. Denn die Kriminellen wollen mit ihren Aktivitäten Geld verdienen.
Wie läuft so ein Angriff ab?
Es gibt nicht nur das eine Schema, aber oft ist es so: Es wird eine E-Mail an ein Unternehmen verschickt. Diese Mail soll den Empfänger dazu bringen, auf einen Anhang oder auf einen Link zu klicken. Indem auf den Link geklickt wird, erhalten die Kriminellen Zugriff auf das Netzwerk der Firma. Dort breiten sie sich aus. Normalerweise rollen sie eine sogenannte Ransomware aus. Das ist ein Programm, das Daten erst aus dem Netzwerk kopiert und dann verschlüsselt. Zum Unternehmen sagen sie dann: Entweder ihr zahlt, oder ihr kriegt eure Daten nicht wieder. Wenn die Firma sich weigert zu zahlen, weil sie beispielsweise ohnehin ein Back-up hat, drohen die Kriminellen damit, die Daten zu veröffentlichen.
Zur Person
Sven Herpig, 38, ist Leiter für Cybersicherheitspolitik und Resilienz bei der Denkfabrik "Stiftung Neue Verantwortung". Zuvor arbeitete er mehrere Jahre für Bundesbehörden, zuerst als Mitarbeiter des Stabs IT-Sicherheit im Auswärtigen Amt, danach als stellvertretender Referatsleiter für Cyber-Sicherheit beim Bundesamt für Sicherheit in der Informationstechnik.
Das klingt für Einzelpersonen eher ungefährlich.
Es kann schon sehr unangenehm sein, seine Daten im Internet veröffentlicht vorzufinden. Wenn man sich dann vorstellt, dass es sensible Daten sind, umso mehr – zum Beispiel Informationen, die von einem Krankenhaus-System stammen. Vor allem können die geklauten Informationen in einem weiteren Schritt gegen die Personen verwendet werden: Zum Beispiel, um besser gemachte Phishing-Aktivitäten gegen sie zu richten – ihnen also die Art von E-Mail zu schreiben, die sie dazu zu bringt, auf einen Link zu klicken. Nehmen wir zum Beispiel an, Person A ist von einem Eindringen in ein Krankenhaus-System betroffen. Dadurch erhalten Kriminelle die Information, dass Person A regelmäßig Laborberichte erhält. Die Kriminellen schreiben der Person A dann eine Mail, in der ein Link auf einen angeblichen Laborbericht führt. Das wird den Erfolg der Kriminellen natürlich steigern, vor allem wenn sie auf echte Laborwerte Bezug nehmen können.
In dieser Weise personalisierte Phishingmails klingen nach ziemlich viel Aufwand. Passiert das denn so oft?
Wie häufig das passiert, ist unklar. Die Zweitverwertung von solchen geklauten Informationen wurde bisher zu wenig analysiert. Aber natürlich muss man sagen, dass Cyberkriminelle mit wenig Aufwand so viel Geld wie möglich machen wollen. Das gelingt ihnen nicht notwendigerweise, indem sie Datensätze aufkaufen und individuelle Personen anschreiben. Deswegen sind Unternehmen – wie gesagt – auch die beliebteren Ziele.
Gibt es andere Arten, durch die man als Einzelperson von solchen Unternehmens-Hacks betroffen sein kann?
Ja, aber indirekt. Wenn Kriminelle in die Systeme von Unternehmen eindringen, sind deren Produkte zumindest für einen kurzen Zeitraum oft nicht verfügbar. Langfristig kann es dazu führen, dass Unternehmen den Schaden in Form von Preissteigerungen an den Kunden weitergeben müssen.
Nun werden aber nicht nur Unternehmen, sondern auch Behörden gehackt.
Ja, ein berühmtes Beispiel ist der Landkreis Anhalt-Bitterfeld, der 2022 von Cyberkriminellen lahmgelegt wurde. Das betraf die Menschen vor Ort durchaus, denn es konnten keine KFZ-Zeichen ausgestellt oder beispielsweise keine Sozialhilfe ausgezahlt werden.
Cyberangriffe: Auch Behörden sind beliebte Ziele
Das ist eine besondere Art der Bedrohung, vor allem angesichts der Tatsache, dass sich laut dem Branchenverband Bitcom die Zahl der Angriffe aus Russland und China verdoppelt haben. Kann man da noch trennen, zwischen kriminellen Banden, die nur Geld machen wollen und Angriffen auf den Staat?
Nein, das ist nicht trennscharf. Cyberkriminalität findet in manchen Fällen, vor allem in Russland, aber auch in China am staatlichen Nexus statt. Dann geben Kriminelle beispielsweise ihre Informationen an Nachrichtendienste weiter. Es gab bereits Fälle, in denen es russische Kriminelle auf Dokumente mit NATO-Bezug abgesehen haben. Die haben sie dann an die russischen Sicherheitsbehörden weitergereicht. Solche Fälle sind eine Grauzone zwischen diesen beiden Bereichen. Aber das ist dann immer noch nicht als Aktivität im Sinne eines Krieges zu werten.
Und wann würde man von einem Krieg sprechen?
In Europa merkt man, dass das sogenannte "Pre-Positioning" immer häufiger geschieht. In diesem Fall wird versucht, Zugriff auf die kritische Infrastruktur zu erhalten. Also auf Strom, Wasser, Transport oder Telekommunikation, um diese zu einem bestimmten Zeitpunkt ausschalten zu können. Ein anderes Beispiel: Gerade gibt es Debatten darüber, was passiert, wenn es im Taiwan-Streit zu einem heißen Konflikt zwischen den Vereinigten Staaten und China kommt. Momentan geht man davon aus, dass die chinesischen Cyberoperationen vor allem auf die Kontrollstrukturen, also Kommunikation und Logistikzentrum der Vereinigten Staaten, abzielen würden, um die Streitkräfte zu verlangsamen. So könnte China den Konflikt militärisch gewinnen, bevor die USA effektiv einschreiten könnten.
Wie ist Deutschlands Sicherheit hier aufgestellt?
Hier ist es sehr wichtig zu differenzieren: Greifen Cyberkriminelle an, um Geld zu machen? Oder greifen Nachrichtendienste mit politischen Interessen an? An ersterem hat Deutschland in den letzten Jahren viel gearbeitet und die Sicherheitsstandards verbessert. Natürlich muss in diesem Bereich noch viel mehr getan werden. Und wenn es um Eindringen durch Nachrichtendienste geht, muss man sagen: Wenn China, Russland oder die USA Zugriff auf unsere kritische Infrastruktur wollen, dann kriegen sie ihn. Das ist eine Frage von Ressourcen, Motivation und Zeit.
