HOME
Interview

Hacker und Spione im Cyberspace: "Ich habe das erste Mal in meinem Berufsleben selber Angst"

Sandro Gaycken ist einer der renommiertesten Cyber-Sicherheitsexperten in Deutschland. Im stern-Gespräch erklärt er, warum die besten IT-Leute nicht für den Staat arbeiten - und wie verwundbar unsere Kraftwerke und Flughäfen sind.

Sandro Gaycken lehrt an der Berliner Privat-Uni ESMT im ehemaligen DDR-Staatsratsgebäude

Sandro Gaycken lehrt an der Berliner Privat-Uni ESMT im ehemaligen DDR-Staatsratsgebäude

Wird das Wahljahr in Deutschland genauso schmutzig wie die US-Präsidentschaftswahl?

Das Potenzial ist auf jeden Fall da. Eine Manipulation durch Fake News bei Facebook wäre denkbar. Die Russen könnten aber auch auf Vorrat geklaute Geheimnisse in einem prekären Moment leaken und so versuchen, das Ergebnis einer Landtags- oder der Bundestagswahl in die eine oder andere Richtung um drei Prozent zu verschieben.

Warum sollten die Russen das tun?

Die Russen denken immer strategisch. Das sind ganz harte Realpolitiker, an Clausewitz orientiert. Gerade die Trennung von Gegnern ist ihnen sehr wichtig. Eines ihrer großen Ziele ist die Schwächung der NATO. So wie ich die Russen kenne, haben sie an Deutschland ein eher freundschaftliches Interesse.

Was hat sich seit dem Hacker-Angriff auf das Netz des Bundestags vor anderthalb Jahren verbessert?

Der Bundestag ist immer noch gefährdet. Die Parlamentarier klicken auf alles drauf, was ihnen vom Wähler geschickt wird: irgendwelche Einladungen, pdf-Dateien mit Bildern. Und das System ist bei einer infizierten Nachricht sofort wieder verseucht. Das andere Problem sind Innentäter, die geheime Informationen an die Presse geben oder nach Russland schicken.

Das passiert einfach so?

Man weiß in Sicherheitskreisen, woher Geheimnisse abfließen. Man kann versuchen, das einzuhegen, aber richtig verhindern kann man es nicht.

Wie sicher ist, dass die Russen hinter dem Hack der Demokratischen Partei stecken?

Nicht so sicher. Die Beweise, die öffentlich gemacht wurden, sind alle sehr fadenscheinig. Die Russen des FSB, oder KGB, wie sie sich selbst intern nennen, gehören zu den besten Hackern der Welt. Es ist für sie überhaupt kein Problem, einen Angriff so aussehen zu lassen, als ob er aus China, Nordkorea oder Simbabwe kommt.

Sie warnen, wir könnten "die Kernelemente der Demokratie an das unsichtbar Böse der Maschine" verlieren.

Auch ohne Hacker haben wir es nicht unter Kontrolle. Es gibt PR-Institute, andere Gruppierungen. Wir sind verwundbar, wenn man Newsfeeds so manipuliert, dass man den Eindruck bekommt, meine Freunde denken dies und das. Das sind unterbewusste Mechanismen, keine bewussten Entscheidungen, wenn das soziale Netz durch einen fließt. Das ist eine furchtbare, große, wunde Flanke in der Demokratie.

Fake


Wie kann man denn Facebook und Google manipulieren?

Gefälschte Identitäten lassen sich massenhaft anlegen. Und diese Bots können dann Facebook-Gruppen in bestimmte Richtungen treiben. Da kann es leicht passieren, dass ein Viertel der "Freunde" oder "Fans" Bots sind, die von einem Nachrichtendienst betrieben werden.

Der Chef des Bundesamts für Sicherheit in der Informationstechnik (BSI), Arne Schönbohm, will eine GSG 9 für Cybersicherheit aufbauen.

Der wollte auch schon eine freiwillige Feuerwehr für Cybersicherheit aufbauen. Der hangelt sich von Analogie zu Analogie. Die Unternehmen sind erst mal gar nicht begeistert davon, was der alles mit deren Cyberexperten vorhat, die ausgeliehen werden sollen. Die Industrie hat natürlich die besseren Leute. Ein guter IT-Sicherheitsexperte fängt so bei 150.000 Euro Jahresgehalt an und geht bis 600.000 rauf. Das kann das BSI natürlich nicht bezahlen.

Und darum arbeiten die besten IT-Experten nicht für den Staat?

Das ist das große Strukturproblem, auch bei der Bundeswehr oder der neuen Behörde ZITIS (Zentrale Stelle für Informationstechnik im Sicherheitsbereich), die Verschlüsselungen knacken soll. Die Bundeswehr und die Geheimdienste denken, sie können das ausgleichen mit coolen Angriffszielen. Es gibt auch gute Leute in den Behörden, aber das sind Idealisten, die dem Staat helfen wollen.

Sollte der Staat einfach mehr zahlen?

In wenigen Sonderfällen gibt es ein Bonussystem, das die Gehälter in die Nähe unterer Industriegehälter anhebt. Ansonsten muss man wie die USA ein Ökosystem bauen, etwa mit Vertragsunternehmen, die für den Staat arbeiten. Die NSA hat sich außerdem die Hackerkultur zu Eigen gemacht. Die haben es akzeptiert, dass man schlampig gekleidet, langhaarig ins Büro kommen kann und seine räudige Karre auf dem Parkplatz des Generals abstellt. Man hat Hackerspaces gebaut, teure Kaffeemaschinen gekauft. Das hat mir jemand von der NSA erzählt. Irgendwann hatte man 1000 Leute aus der Community.

Welche Rolle spielt der Standort einer Behörde?

Das ZITIS und Kernbereiche der Cybertruppe der Bundeswehr sollen in einen Vorort von München. Das ist eine ziemlich schwierige Entscheidung. Die guten Leute sind urbane Charaktere und können sich aussuchen, was sie wo machen wollen, ein Vorort von München ist dann zu spießig und zu klein. Andere Behörden und Firmen haben solche Vorhaben nach ersten Versuchen extra wieder nach Berlin geholt, weil sie dort deutlich besseres Personal kriegen.

Sie fordern Uniformen für Cyberwaffen. Wie soll das funktionieren?

Theoretisch kann man ein kryptografisches Wasserzeichen in die Software setzen. Das diskutieren wir im Rahmen der UN. Staatliche Armeen haben ein Interesse daran, sich ans Völkerrecht zu halten und dann müssen die Angreifer erkennbar sein. Das Problem ist natürlich, dass der Großteil des Cyberkriegs von Nachrichtendiensten ausgetragen wird und für die gilt das Völkerrecht natürlich nicht. Und die haben auch kein Interesse daran, identifiziert zu werden, sondern wollen eher jemand anderen dafür verantwortlich machen.

Tobt der Cyberkrieg nicht schon längst im Dunkeln?

Nein. Es läuft sehr viel Informationskrieg, staatliche Wirtschaftsspionage, und normale Spionage. Das ist business as usual.

Wie verwundbar sind Kraftwerke, Datennetze, der Bahn- und Flugverkehr? 

Infrastrukturangriffe, etwa ein Blackout-Szenario, haben ein sehr hohes Eskalationspotenzial. Das macht man nur, wenn man ein sehr hartes Signal senden will. Der Iran baut gegenüber dem Westen eine Cyber-Abschreckungskapazität auf, nachdem es mit der Atombombe nicht geklappt hat. Die haben sich sehr intensiv darum bemüht, Steuerungsdaten von Flughäfen und Airlines herauszufinden, um das Bodenradar eines Flughafens stören zu können. Das Signal ist: der Iran kann im Westen signifikante Schäden verursachen, falls er angegriffen werden sollte.

Wie gut ist Deutschland gegen solche Gefahren gewappnet?

Deutschland hinkt in der Defensive, aber auch in der Offensive hinterher. Die Schweden sind sehr gut, die Briten ebenso, die Franzosen behaupten, sie wären sehr gut.


Lässt sich das Wettrüsten im Cyberspace eindämmen?

Ich habe die Sicherheitsstrategie im Auswärtigen Amt mitgeschrieben. Der Cyberbotschafter wurde aus Kostengründen nach einigen Jahren wieder abgeschafft. Mit Cyberwaffenkontrolle ließe sich verhindern, dass es eine hohe Proliferation dieser Fähigkeiten gibt. Man könnte verhindern, dass dritte Staaten hochwertige Hackerwerkzeuge in die Hände bekommen. Dann hätte die UN Zeit sich darauf auszurichten.

Wie groß ist die Bedrohung durch Cyberkriminalität?

Das meiste was man sieht, wie Erpressungssoftware, ist Kleinkriminalität. Die Cyberkriminalität, die richtig weh tut, ist Industriespionage und gegenüber Banken und Börsen. Viele Cyberkriminelle haben Fähigkeiten auf NSA-Level oder sie werben Insider an oder erpressen sie. Im Hochfrequenzhandel von Banken und Börsen genügt es eine Stelle hinterm Komma zu verändern, um viel Geld zu verdienen.

Ist das nicht Science Fiction?

Nein. Das gibt es alles. Da wird nur nicht drüber geredet.

Welche neuen Trends gibt es?

Kriminelle haben herausgefunden, dass es auf jedem Öltanker ein digitales Zertifikat gibt. Während der Tanker auf See ist, wird damit gehandelt – das wird fünf, sechsmal verkauft. Hacker haben diese Zertifikate gefälscht und eine Ölladung gleich zehnmal verkauft. Als das Schiff im Hafen ankam, warteten da zehn Käufer auf ihr Öl. Drogenbarone hacken die Datennetze von Häfen, um die GPS-Koordinaten von Containern hin- und herzuschieben. Dann kommt ein Container aus Kolumbien mit verstecktem Kokain scheinbar aus Bremerhaven mit einer Ladung holländischer Tulpen. Und da guckt der Zoll natürlich weniger oft rein als auf die Ladung Bananen.

Immer mehr Geräte im Haushalt verbinden sich mit dem Netz. Was bedeutet das?

Im "Internet der Dinge" ist das meiste miserabel gesichert, wobei mir eine Medizinpumpe mehr Sorgen macht als ein Babyfon. Cybergangster haben schon schlaue Thermostate blockiert und 500 Euro gefordert, damit die sich wieder verstellen lassen. Auch die Autobauer sind naiv, wenn sie Apps entwickeln, mit denen man die Tür öffnen kann.

Müssen wir uns an die Unsicherheit gewöhnen?

Nein. Den unhackbaren Computer gibt es bereits. Da läuft eine Boeing-Drohne drauf, oder ein US-Army-Truck, der autonom fährt. In zwei Jahren kommt das auch in Deutschland auf den Markt. Das wird vieles ändern.

Auf die jüngsten Wikileaks-Enthüllungen zu den Angriffsfähigkeiten der CIA haben Sie heftig reagiert. Weshalb?

Ich habe das erste Mal in meinem Berufsleben selber Angst. Dieser Leak enthält Codestücke, Strukturschwachstellen und Anleitungen zum Bau von Cyberwaffen. Jetzt kann jeder Kriminelle auf CIA-Level hacken. Auch aus Menschenrechtsperspektive ist das völlig unverantwortlich. Jeder Diktator kann darauf aufbauen.

Die Gesamtlage ist also ernst?

Mir geht es hervorragend als Sicherheitsexperte, der von Unsicherheit lebt. Ich weiß Dinge übers Fliegen oder medizinische Geräte, wo man schon große Angst haben könnte. Beim Fliegen blende ich es aus. Ein Herzschrittmacher wäre mir im Moment total unheimlich. Früher konnte man die nur über Funk aus der Nähe konfigurieren. Inzwischen geht das auch über WLAN. Da kann man sich übers Handy reinhacken und eine Konfiguration schicken, dass das Herz explodiert.

kann man sich gegen eine maßnahme vom jobcenter wehren?
hallo. ich bin quasi arbeitsunfähig seit meinem 18ten lebensjahr. ich wiege 200 kg und habe eine betreuung weil ich sonst gar nichts schaffen würde. sie bringt mich zu terminen und begleitet mich zu arzt besuchen. das einzige was ich noch alleine kann ist einkaufen und das auch nur weil es nunmal lebensnotwendig ist ,jedoch bin ich danach total erschöpft und fertig.ich kann keine 200 meter mehr laufen.und mal ganz abgesehen von meiner körperlich verfassung leide ich seit meiner kindheit an starken depressionen,borderline,panikattacken,einer traumatischen belastungsstörung und angstzuständen. ich bin demnach körperlich sowie auch psychisch ziemlich fertig. gestern war ich beim amtsarzt zur begutachtung sowie auch einmal vor 2 jahren. und die ärztin sagt mir ernsthaft,das es zumindest köperlich nicht ausreichen würde das ich weiterhin krank geschrieben werden kann und sagte,das eine maßnahme sicherlich gut sein kann.und das obwohl ich bereits sagte,das ich körperlich unfähig bin irgendwas alleine zu schaffen und ,meine betreuerin mich überallhin begleiten muss.(ich habe kein auto)ich bin vollkommen entsesetzt und habe nun angst das sie mich in eine maßnahme stecvken welche ich einfach nicht schaffe und sie mir dann das minum an geld nehmen welches ich bekomme und ich dann verhungernd und auf der starße leben muss,eben weil es ein ding der unmöglichkeit für mich darstellt.kann man sich da irgendwie wehren?sie sagt sie findet ich sei zu jung um berentet zu werden (28).ich habe gerade wirklich angst.kann man einen menschen zwingen etwas für ihn unmögliches zu tun?ich hab das gefühl die wollen irgendeine quote erfüllen und solange man die arme bewegen kann,ist man arbeitsfähig...hilfe :(