Es ist ein Szenario, wie es vor allem die USA aktuell wohl am meisten fürchten: Hacker dringen in die Systeme wichtiger Infrastruktureinrichtungen ein – und legen sie lahm. Ihor Korolyshin, diensthabender Leiter in einer Schaltzentrale des ukrainischen Energiekonzerns Prykarpattyaoblenergo, hat eine solche, geradezu filmreif erscheinende Situation am 23. Dezember 2015 erlebt. „Stellen Sie sich vor, man hat die Maus in der Hand, der Cursor gehorcht aber nicht“, schilderte er sein Erlebnis dem Deutschlandfunk. „Er bewegt sich wie er will, jemand anderer kontrolliert den Cursor. Die Dispatcher aus den Bezirken rufen an. Auch ihre Cursor haben sich verselbständigt. Der Cursor bewegte sich und klickte die Schalter aus. Wir haben es gleichzeitig auf allen Bildschirmen gesehen. Es war surreal.“

Abgeschaltet wurden in jenem kalten ukrainischen Winter mehrere Umspannwerke und damit Hunderttausende elektrische Verbraucher in schneller Abfolge, was unmittelbar zu einem umfassenden Stromausfall führte, einem „Blackout“. Die Angreifer waren über das Internet in die Steuerungssoftware der Umspannwerke eingedrungen – offenbar nicht zum ersten Mal, denn sie kannten sich hervorragend darin aus.

Wer glaubt, eine solch folgenschwere Attacke könnte nur vergleichsweise unterentwickelte Länder wie die Ukraine treffen, wird von dem US-Politologen und Sicherheitsexperten Jonathan Cristol aktuell eines Besseren belehrt. „Fast mit Sicherheit“, sagte er in der vergangenen Woche der Bild-Zeitung, werde es nach der gezielten Tötung des iranischen Generals Ghassem Soleimani (Seite 8) „zu einer dramatischen Eskalation bei Cyber­attacken kommen: Die Infrastruktur in den USA könnte da angegriffen werden, wie auch Finanzinstitutionen. Es gab bereits vor Jahren Berichte, wonach die Iraner Schleusen eines Wasserdamms im US-Staat New York öffnen hätten können.“ Sie taten es nicht. Vermutlich ging es erst einmal darum, Sicherheitslücken für spätere Angriffe zu finden. In der Hacker-Szene gelten die iranischen Cyberkrieger allerdings als besonders aggressiv.

„Wirtschaftssabotage          ein Massenphänomen“

Wer genau die Angreifer waren, läßt sich im nachhinein fast nie eindeutig beweisen. Professionelle Hacker verwischen ihre Spuren schnell und unwiederbringlich, oft dadurch, daß sie rigoros Daten und Programme löschen und zerstören. Die Art und Komplexität solcher „Killerprogramme“ gibt manchmal Aufschluß darüber, ob es sich bei den Angreifern eher um eine Handvoll gewiefter Gauner oder eine große, staatlich finanzierte Hackergruppe handelt, eine „Advanced Persistent Threat Group“, wie sie in Sicherheitskreisen bezeichnet wird – kurz APT. „Typischerweise kann man eine staatlich finanzierte APT-Gruppe daran erkennen, daß die Arbeitszeiten den Bürozeiten ähneln“, berichtete Marina Krotofil, Expertin für IT-Sicherheit aus Hamburg, gegenüber dem Deutschlandfunk. „Also wird die Arbeit gegen acht oder neun Uhr aufgenommen, und die Aktivitäten fallen nach 17 oder 18 Uhr signifikant ab.“

Wer Hacker aber mit Gewißheit aufspüren will, hat nur eine Chance: Er muß ihnen eine Falle stellen, ihnen quasi im eigenen Computersystem auflauern, um sie auf frischer Tat zu erwischen. Doch das gelingt fast nie – und macht Hacking sowohl zur elektronischen Kriegsführung als auch für Computerkriminelle so attraktiv. Fast 61 Millionen Euro Schaden sind 2018 dem Lagebild „Cybercrime“ des Bundes­kriminalamts zufolge allein durch Computerbetrug in Deutschland entstanden. Der reale Schaden dürfte noch um einiges größer sein, wie die polizeilichen Statistiker eigens einräumen.

Der Digitalverband Bitkom bezifferte in einer repräsentativen Studie von Oktober 2018 den finanziellen Gesamtschaden für die deutsche Wirtschaft durch Cybercrime-Delikte wie Spionage, Sabotage und Datendiebstahl für die Jahre 2017 und 2018 auf 43,4 Milliarden Euro – konservativ berechnet. Allein der Schaden von Patentrechtsverletzungen, eben gerade auch schon vor der Anmeldung, belief sich auf 8,5 Milliarden Euro, der durch ferngesteuerte Sabotage von Abläufen und Diebstahl von Informations- und Produktionssystemen 6,7 Milliarden. Umsatzeinbußen durch den Verlust von Wettbewerbsvorteilen beliefen sich im untersuchten Zeitraum auf vier Milliarden Euro.

„Illegaler Wissens- und Technologietransfer, Social Engineering und auch Wirtschaftssabotage“, so betonte 2018 der damalige Vizepräsident des Bundesamts für Verfassungsschutz Thomas Haldenwang, seien „keine seltenen Einzelfälle, sondern ein Massenphänomen“.

Alle Beobachter sind sich einig, daß viele Unternehmen, aber auch Privatleute nie Anzeige erstatten, wenn sie Opfer von Hackern und Betrügern geworden sind. Aus Scham. Denn am Anfang der allermeisten erfolgreichen Angriffe über das Internet stehen Unaufmerksamkeit oder Dummheit eines Nutzers. An der Spitze der „Infektionswege“ mit Schadsoftware steht immer noch die E-Mail mit scheinbar harmlosen Dateien im Anhang. Vordergründig sind dies Fotos, Text- oder Tabellendokumente, die – wenn sie einmal geöffnet wurden – im verborgenen ihre Spionagetätigkeit oder ihr Zerstörungswerk entfalten.

Noch kurz vor den Weihnachtstagen schrillten in der IT-Szene wieder einmal die Alarmglocken: Emotet, ein „Trojaner“, also ein programmiertes Trojanisches Pferd, das ursprünglich wohl dazu ersonnen worden war, unvorsichtigen Computernutzern die Zugangsdaten zum Online-Banking abzuluchsen, legte erst die Computersysteme mehrerer Schulen in Nürnberg lahm, dann jenes des Klinikums Fürth, eines Großkrankenhauses, das jährlich rund 100.000 Patienten behandelt, etwa 42.000 davon stationär. Neue Patienten konnten wegen Emotet vorübergehend nicht mehr aufgenommen werden, Operationen mußten verschoben werden.

Die digitale Gesellschaft    ist extrem verwundbar 

Das bayerische Landesamt für Datenschutzaufsicht stufte Emotet als eine der momentan gefährlichsten Bedrohungen im Internet ein. Auch in anderen Bundesländern blockierten Behörden vorübergehend den Empfang von E-Mail-Anhängen. Der Leiter des Bundesamts für Sicherheit in der Informationstechnik, Arne Schönbohm, hatte Emotet im Oktober als aktuellen „König der Schadsoftware“ bezeichnet. Emotet habe „erhebliche Durchschlagswirkung“.

Emotet hat insofern eine neue Qualität, als daß nicht nur die E-Mail-Kontakte der befallenen Systeme ausgeforscht werden, sondern die gesamten Korrespondenzen. Der schlimmste befürchtete Fall ist bislang allerdings nicht eingetreten: Emotet wurde offenbar nicht dazu benutzt, sogenannte „Ransomware“, zu deutsch: ein Lösegeld-Programm, einzuschleusen. „Ransomware“ verschlüsselt sämtliche Daten und blockiert das Betriebssystem – also alles. Für die Entschlüsselung wird ein Lösegeld verlangt – zahlbar in der nicht zurückverfolgbaren Kryptowährung Bitcoin und mit ungewissem Erfolg. Bereits Ende 2015, Anfang 2016 sorgte eine Erpressungswelle mit Ransomware für Aufsehen: Betroffen waren 113 Firmen und Einrichtungen, darunter eine Reihe von Kliniken sowie das nordrhein-westfälische Innenministerium in Düsseldorf.

2017 befiel dann ein Erpressungsprogramm namens „WannaCry“ in kurzer Zeit mehrere große internationale Unternehmen. Es wurden über 230.000 Computer in 150 Ländern infiziert. Aufgrund dieses Ausmaßes bezeichnete Europol den Ausbruch als „noch nie dagewesenes Ereignis“. Als Urheber des Angriffs nahmen Sicherheitsexperten aufgrund von Indizien die Hackergruppe „Lazarus“ an, die im staatlichen Auftrag des kommunistischen Nordkoreas operiert. Besonders gefährlich machte „WannaCry“, daß es sich um einen sogenannten „Wurm“ handelte, der sich auch eigenständig, ohne E-Mails, verbreiten konnte. Allerdings nur auf Computern mit Sicherheitslücken im Betriebssystem. Wer regelmäßig seine Windows-Updates installiert hatte, war davor sicher.

Die Grenzen zwischen Computerkriminalität und -kriegsführung sind übrigens fließend. „In Nordkorea zum Beispiel sind APT-Mitglieder angehalten, ihre Aktivitäten selbst zu finanzieren. Sie übernehmen eine Aufgabe vom Staat, aber sie werden für die Entwicklung der Exploits (das Ausnutzen von Schwachstellen, Anm. d. Red.) nicht entlohnt, sondern müssen ihr Geld selbst verdienen. Zum Beispiel, indem sie eine Bank ausrauben und dadurch ihre Operationen finanzieren“, erklärte IT-Expertin Marina Krotofil dem Deutschlandfunk.

Einen solchen besonders spektakulären Fall hat es 2016 gegeben, als der Staatsbank von Bangladesch durch einen Internetbetrug im internationalen Swift-Bankensystem 81 Millionen Dollar gestohlen wurden. Experten zufolge hatte das arme Entwicklungsland sogar noch Glück: Den Hackern war ein Tippfehler unterlaufen, was zum Abbruch des Überweisungsvorgangs führte. Eigentlich hatten sie wohl etwa eine Milliarde erbeuten wollen. Die gefundene Schadsoftware wies Merkmale auf, die auf Nordkorea als Urheber des Computer-Bankraubs hindeuteten.

Eine andere, immer noch sehr erfolgreiche Masche beginnt zwar oft mit einer E-Mail und wird über das Internet ausbaldowert, in letzter Konsequenz läuft der Betrug dann aber klassisch und geradezu altmodisch: „Fake President“ oder „Chef-Betrug“ wird diese Masche genannt. Die Täter sind Kommunikationsspezialisten, die Hierarchien und Beziehungen innerhalb einer Firma, aber auch zu Kunden ganz genau analysieren. Gelingt es ihnen dann noch, Insider-Informationen aufzuschnappen, mit denen sie sich als „Eingeweihte“ präsentieren können, gehen sie zum Angriff über. Per E-Mail – ganz ohne schädliche Anhänge – oder sogar am Telefon geben sie vor, ein Vorgesetzter aus einer entfernten Firmenzentrale oder ein hochrangiger Geschäftspartner zu sein – einem, dem man ungern widerspricht. Meist werden dann dringende Überweisungen in Auftrag gegeben. Sind beim Angesprochenen Zweifel erkennbar, setzen ihn die Betrüger geschickt unter Druck, arbeiten mit Schmeicheleien und – vermeintlich plausibler – Heimlichtuerei.

Die Masche ist erstaunlich erfolgreich: 65 deutsche Kunden des großen Kreditversicherers „Euler Hermes“ seien in den vergangenen dreieinhalb Jahren darauf hereingefallen, berichtete unlängst die Welt. Schaden: mehr als 160 Millionen Euro. Den weltweit so entstandenen Schaden schätzte die EU-Polizeibehörde Europol allein für 2018 auf 1,25 Milliarden Euro.

 https://www.bsi-fuer-buerger.de/

Cyberangriffe: Techniken und Täter

Computerhackern stehen verschiedene perfide Techniken zur Verfügung, um die Kontrolle über fremde Systeme zu übernehmen: Einschleusen von Trojanern, von Ransomware (Lösegeldtrojaner) wie Ryuk, Locky, WannaCry , Computerwürmern und -viren, das Protokollieren von Eingaben auf der Tastatur (Keylogging), gezieltes Durchscannen des Systems nach Sicherheitslücken, Spoofing und Phishing, das unberechtigte Verschaffen von Admin-Rechten sowie das Knacken von Paßwörtern.

Als Gefahrenquelle Nr. 1 gelten ehemalige oder gegenwärtige Mitarbeiter von Unternehmen. Zu 60 Prozent gehen Angriffe von diesem in der Regel bestens über die Firma informierten Personenkreis aus. Und: Das beste Anti-Viren-Programm hilft nichts, wenn der Nutzer leichtfertig handelt. So war auch 2019 das häufigste Paßwort der Deutschen „123456“, wie das Hasso-Plattner-Institut (Potsdam) mitteilte.

Nach Erkenntnissen der Cyberabwehr des Bundesamtes für Verfassungsschutz (VS) sind in erster Linie Geheimdienste Rußlands, des kommunistischen Chinas sowie der Islamischen Republik Iran für Cyberangriffe auf Systeme der Regierung, Behörden, Wirtschaft, Wissenschaft und Militär in Deutschland verantwortlich. Attacken durch die russischen Dienste FSB, SWR und GRU oder den iranischen MOIS auf Kritische Infrastrukturen (wie Kraftwerke, Wasserversorgung, Informationstechnik, Telekommunikation) stellten weiterhin eine „große Gefahr für die deutsche Sicherheit“ dar. Der aktuelle VS-Bericht warnt vor iranischen Cyberangriffen auf Deutschland und sagt deren Intensivierung voraus – vor dem Hintergrund der sich verschärfenden Konfrontation mit den USA. (ru)