Interview | IT-Experte zu Cyberattacken - "Dieser Angriff funktioniert nur, wenn man sich nicht um den Schutz gekümmert hat"

Do 06.04.23 | 10:31 Uhr | Von Simon Wenzel
  29
Symbolbild: Fiktive html-Seiten und Hacker-Programme sind auf Bildschirmen zu sehen, während ein Mann seinen Hände auf der Tastatur hat. (Quelle: dpa/Annette Riedl)
Bild: dpa/Annette Riedl

Ein Cyberangriff legt aktuell Online-Dienste der Brandenburger Polizei lahm. IT-Sicherheitsexperte Manuel Atug erklärt im Interview, wieso ihn das verwundert und wie man sogenannten "DDoS"-Attacken leicht hätte vorbeugen können.

rbb|24: Herr Atug, seit Dienstag legt ein Cyberangriff mehrere Verwaltungsseiten in Deutschland lahm. In Brandenburg und Berlin war beispielsweise die Polizei betroffen. Es handelt sich um einen sogenannten "DDos"-Angriff (Anmd. d. Red.: Distributed Denial of Service). Können Sie erstmal für Laien erklären, was das ist?

Manuel Atug: Das funktioniert im Prinzip wie eine digitale Sitzblockade auf der Netzleitung zum Server, so kann man sich das vorstellen. Der Angreifer versucht dadurch die Leitung zu überlasten und damit auch den Server, der normalerweise die Webseiten abruft. Die regulären Anfragen kommen durch die Masse an unrechtmäßigen Anfragen nicht mehr durch oder es sind so viele, dass der Server durch die Überlast in die Knie geht.

Zur Person

Manuel Atug (Quelle: Katrin Chodor Photography)
Katrin Chodor Photography

Seit mehr als 20 Jahren ist Manuel alias "HonkHase" Atug als Berater und Prüfer in der Informationssicherheit und für den Schutz kritischer Infrastrukturen tätig. Er ist Diplom-Informatiker und hat einen Master in IT-Security.

Atug ist Gründer und Sprecher der AG Kritis. Die unabhängige Gruppe von mehr als 40 Fachleuten beschäftigt sich mit der IT-Sicherheit der Kritischen Infrastruktur in Deutschland.

Das klingt nicht besonders aufwendig für einen Hacker ...

Das ist auch nicht sehr aufwendig, es ist auch gar kein Hack im eigentlichen Sinne, weil man ja gar nichts hacken muss. Man überlastet einfach nur die Leitung. Dazu braucht es keine spezifischen Vorkenntnisse, nur genug Systeme, die genug Bandbreite haben und die rufen alle gleichzeitig dasselbe System auf, dann geht das System in die Knie. Es ist eigentlich eher eine Störung durch Überlastung für einen bestimmten Zeitraum als ein Hack.

Könnte man sich dagegen nicht wehren?

Man kann sich dagegen natürlich angemessen wappnen. Es gibt sogenannte präventive Anbieter für DDoS-Angriffe. Auch das BSI - das Bundesamt für Sicherheit in der Informationstechnik - hat beispielsweise eine Liste von qualifizierten Dienstleistern, da sind mehr als ein Dutzend drauf, die gewisse Mindestanforderungen erfüllen. Die kann man einsetzen.

Oder man wartet eben, bis es "peng" macht, weil DDoS-Angriffe keine neue Problematik sind. Wenn man die geeigneten Maßnahmen nicht umsetzt, weil es zu teuer ist, man das Know-how nicht hat oder teilweise uralte Systeme einsetzt, dann muss man sich nicht wundern, wenn Angreifer - warum auch immer - leichtes Spiel haben. Das müssten noch nicht mal, wie es jetzt viele gerne sagen, die Russen sein als besondere Bedrohung. Woher der Angreifer bei so einer Attacke kommt, ist eigentlich völlig egal, von mir aus kann es auch ein 16-jähriger Deutscher sein, der Langeweile hat. Das gab es schon mal, dass ein 16-Jähriger eine Bank mit dieser Methode angegriffen hat, weil ihm langweilig war. Das ist also das Niveau, von dem wir reden. Und wenn man sich gegen 16-Jährige nicht wappnet, dann hat man etwas falsch gemacht, würde ich sagen.

Ein 16-Jähriger hat mit dieser Methode schonmal eine Bank angegriffen, weil ihm langweilig war. Das ist also das Niveau, von dem wir reden. Und wenn man sich gegen 16-Jährige nicht wappnet, dann hat man etwas falsch gemacht.

Manuel Atug über einen sogenannten DDoS-Angriff

Der aktuelle Vorfall ist nicht der erste in diesem Kalenderjahr: Von Januar bis Ende März waren immer wieder Teile der Potsdamer Verwaltung offline, wegen eines drohenden Cyberangriffs mit Erpressungssoftware, sogenannter "Ransomware". Die Attacke konnte wohl abgewendet werden. Wieso die Verwaltung dafür drei Monate lang teilweise vom Netz musste, verwunderte aber schon einige. Sie auch?

Leider nicht. Das kann so lange dauern, wenn man sich Jahrzehnte zu wenig um IT-Sicherheit gekümmert hat, wenn man Sicherheitsmaßnahmen nicht umgesetzt und etabliert hat und wenn man den Investitionsstau auf Jahre vorgeschoben hat. Dann können schon kleinere oder mittlere Probleme einen Stillstand verursachen. Vor allem wenn es dann noch Akteure wie in Potsdam Anfang des Jahres - professionelle "Ransomware"-Banden - es mit Erpressungen versuchen. Da stehen ja hochkriminelle Tätergruppierungen als organisierte Kriminalität dahinter, das sind Leute, die erbeuten mehrere hundert Millionen Dollar im Jahr, die gehen daher schon sehr professionell vor.

In Büros wird häufig bei Schulungen vor allem vor Phishing- oder Spam-Mails gewarnt. Das ist dann ein tatsächlicher Hack. Wie läuft ein Angriff eigentlich konkret ab?

Wenn jemand in die Systemlandschaft eindringen will, dann kann er beispielsweise eine Phishing-Mail schicken, in der ein manipulierter Link oder ein Anhang drin ist. Wenn ein Mitarbeiter den öffnet, dann lädt er sich unwissentlich eine Schadsoftware runter oder führt diese direkt im Anhang aus - möglichst klein, kompakt und effizient. Die schaut dann, wie es sie sich ins System einnisten kann und wie ein Angreifer von außen ähnlich einer Fernwartung auf das System zugreifen und Dinge tun kann.

Der Angreifer würde dann eine sogenannte Privilegieneskalation auf dem System ausführen, also weitere Schadsoftware nachladen oder Lücken ausnutzen - zum Beispiel bei alter Software. Die Lücken können dann dazu führen, dass derjenige nicht mehr nur noch Nutzer, sondern zum Beispiel Administrator wird. Von dort kann er sich im System bewegen und umschauen, welche Systeme noch existieren und vielleicht sogar auf den Server zugreifen, um dort dasselbe zu machen - also erneut erweiterte Zugriffsrechte erlangen.

So könnte der Angreifer später der Domain-Administrator werden - da ist man dann quasi der Netzwerksverwaltungs-Gott aller Systeme. Darüber lassen sich alle Systeme steuern und befehlen. So lässt sich beispielsweise Erpressungssoftware auf alle Systeme installieren und dann gleichzeitig ausführen, um alles mit einem Mal zu verschlüsseln und Lösegeld zu verlangen. Das ist eine Methode, wie man mit nur einer Mail die ganze Systemlandschaft übernehmen kann.

So könnte der Angreifer später der Domain-Administrator werden - da ist man dann quasi der Netzwerksverwaltungs-Gott aller Systeme.

Manuel Atug über Angriffe mit Phishing-Mails

Immer wieder gibt es Berichte darüber, dass Verwaltungen stark veraltete Systeme, beispielsweise alte Windows-Versionen, nutzen, die keinen oder wenig Schutz bieten. Wie verbreitet ist das Problem wirklich und von was für Systemen reden wir da?

Beim Kritis-Sektor "Staat und Verwaltung" (Anm. d. Red: Kritis = Kritische Infrastrukturen) und auch bei den Kommunen und Ländern reden wir teilweise von Systemen, die auf Basis von Windows 95, 98, XP oder 2000 laufen. Das sind Systeme, die sind archäologisch wertvoll, aber die sollte man nicht mehr im Produktivbetrieb nutzen und schon gar nicht ans Internet anbinden. Genau das machen aber viele Verwaltungen und Behörden.

Es gibt zwar diesen Kritis-Sektor "Staat und Verwaltungen", aber anders als beispielsweise bei den Sektoren "Energie" oder "Wasser" gibt es für den keine Sicherheitsanforderungen im Gesetz, was den Stand der Technik in der Cybersicherheit anbelangt. Und weil es den nicht gibt, haben die Kommunen und Behörden nicht nur jahrzehntelang gespart, sondern - Stand heute - auch keine verpflichtende gesetzliche Grundlage, Cybersicherheit umzusetzen.

Es überprüft also kein Dritter die Systemlandschaft und es kommen auch keine Sanktionierungs- oder Haftungsfragen bei einem Sicherheitsvorfall. Wenn jemand in einer Kommune mit einer Ransomeware attackiert wurde, kann er sich hinstellen und sagen: "Wir waren Opfer eines krassen Angriffs". Dann sagen alle: "Genau, die sind ja Opfer gewesen." Dass man mit solch maroden Infrastrukturen aber ein fast schon grob fahrlässiges Verhalten an den Tag legt, sehen die meisten nicht. Das müssen wir dringend ändern in Deutschland.

Können Hacker solche Systeme von außen finden und dann gezielt schwache Systeme angreifen?

Es gibt durchaus sogenannte Suchdatenbanken, die frei verfügbar sind und sich speziell darauf fokussieren. In denen kann man - vergleichbar mit einer Suchmaschine - nach bestimmten Systemen, IP-Adressen oder Sicherheitslücken suchen und bekommt dann unverbindliche Informationen dazu. Die muss man noch verifizieren, aber wenn das dann passt, weiß man zum Beispiel: Hier ist ein Behördensystem, das scheint veraltet zu sein und es ist auch noch am Internet. Wenn man dann die Sicherheitslücken kennt und weiß, wie man sie ausnutzen kann, kommt man in den Netzverbund. Von da könnte sich ein Angreifer - wie bereits beschrieben - durchs System bewegen und alles kompromittieren.

Wir schützen Daten ja nicht für die Daten, sondern für die Menschen dahinter. Daher haben wir durch schlechte Digitalisierung einen schlechten Menschenschutz.

Manuel Atug, IT-Experte

Wann wird denn ein Hack einer Behörde für die Bürgerinnen und Bürger gefährlich?

Um mal direkt zwei extreme Beispiele zu wählen: Stellen Sie sich vor, jemand ist im Zeugenschutzprogramm oder beim Nachrichtendienst tätig und hat eine zweite Identität. Wenn diese Meldedaten durch einen Angriff abhanden kommen und öffentlich werden, dann reden wir ganz schnell von der konkreten Gefährdung eines Menschenlebens.

Aber auch wenn die Behörden eine Zeit die Sozialabgaben nicht mehr auszahlen können - Bafög, Sozialhilfe, Arbeitslosengeld und so weiter: Da reden wir von Menschen, die das beträfe, die eh schon am unteren Rande des sozialen Miteinanders agieren müssen, weil sie nicht genug Geld haben. Wenn die ihre Sozialhilfen nicht ausgezahlt bekämen, dann hätten wir ebenfalls sehr schnell ein bedrohendes Szenario. Und selbst wenn wir mal einen banal wirkenden Prozess wie die KfZ-Anmeldung als Beispiel nehmen: Das heißt auch nicht nur, dass die dann eben mal nicht gemacht werden kann. Wenn wir das weiter denken, hieße das auch, dass Autoverkäufer in der betroffenen Kommune keine Wagen mehr anmelden können, die sie verkaufen wollen - sie können also nichts verkaufen. Wenn das dann mehrere Monate anhält - was es schon gab - kann das im Extremfall zur Insolvenz führen. Das wiederum kann die Mitarbeiterinnen arbeitslos machen.

Auch so etwas kann also, schneller als man denkt, die Brügerinnen und Bürger direkt und sehr hart betreffen. Dass digitale Prozesse nicht mehr funktionieren, hat häufig einschneidende Auswirkungen auf das alltägliche Leben. Wenn die Digitalisierung nicht ordentlich gesichert ist, ist es eben eine schlechte Digitalisierung. Dann haben wir nicht nur schlechten Datenschutz, sondern wir schützen die Daten ja nicht für die Daten sondern für die Menschen dahinter. Daher haben wir dann durch schlechte Digitalisierung einen schlechten Menschenschutz.

Was könnten schlecht aufgestellte Kommunen denn schnell an ihrer Situation ändern?

Das allereste, was man als Kommune, als Unternehmen, als Institution braucht, ist eine Sicherheitsbeauftragte. Jemand, der den Hut auf hat und sagt: Ich kümmere mich um IT-Sicherheit. Solange es die Person nicht gibt, eiert das alles in der Verantwortungsdiffusion herum.

Wenn man diese Person hat, muss man ihr auch die Möglichkeit geben, sich auszubilden, die Mitarbeiterinnen und Mitarbeiter zu befragen, um die größten Risiken zu identifizieren und dann Maßnahmen zu erarbeiten - was müssen wir machen, was würde das kosten, welche Menschen müssen wir einstellen oder ausbilden?

Und dann müssen die Verantwortlichen aber auch die benötigten Mittel und Ressourcen bereitstellen. Denn man kann ja nicht sagen: Liebe Bürgerinnen und Bürger, unsere Fachverfahren sind kaputt oder wurden mit DDoS-Angriffen blockiert, dann machen wir jetzt erstmal nichts mehr. So kann ein souveräner Staat ja nicht funktionieren. Aber das wären die ersten wesentlichen Schritte, die an vielen Orten noch nicht getan wurden.

Man kann ja nicht sagen: Liebe Bürgerinnen und Bürger, unsere Fachverfahren sind kaputt oder wurden mit DDoS-Angriffen blockiert, dann machen wir jetzt erstmal nichts mehr.

Manuel Atug, IT-Experte

Abschließend nochmal zurück zum aktuellen DDoS-Angriff: Wie könnte die betroffene Behörde dagegen vorgehen?

Was man normalerweise macht, ist, die massenhaften Aufrufe, die da gerade vorgenommen werden, herauszufiltern - und zwar am möglichst frühesten Zeitpunkt, nicht erst direkt vor dem eigenen betroffenen Server. Im Idealfall da, wo die ganzen Systeme stehen, die diese Aufrufe machen. Je früher ich unterbinde, desto mehr Leitung bleibt ja frei.

Dafür gibt es Filtermöglichkeiten, mit denen man herausfiltert, was legitime Serveranfragen sind und was diese massenhaften DDoS-Angriffe machen. Die Anfragen, die zum Angriff gehören, werden dann wie bei einer Firewall geblockt. Das machen beispielsweise die sogenannten DDoS-Mitigationsanbieter, die das BSI in seiner Liste empfiehlt, die ich schon erwähnt hatte. Wenn man so einen dieser Dienste davor schaltet, dann kann entsprechend gefiltert werden.

Man könnte es auch selber leisten, wenn man das Know-How hat. Aber wenn man eben nichts dergleichen tut, dann ist das System nicht mehr erreichbar und man muss sagen: "Ein DDoS ist ein total krasser Hacker-Angriff". Die Wahrheit ist allerdings, dass dieser Angriff nur funktioniert, wenn man sich nicht um den Schutz gekümmert hat.

Lässt die Blockade des Systems durch einen solch verhältnismäßig simplen Angriff einen Rückschluss darauf zu, wie schlecht die Verwaltung insgesamt in der IT aufgestellt ist?

Das würde ich nicht pauschal sagen. Wer sich heutzutage noch DDoS-en lässt, hat sich aber zumindest um dieses, mindestens seit den 90er Jahren bekannte Problem nicht angemessen gekümmert. Das muss nicht zwingend heißen, dass die Systemlandschaft insgesamt total schlecht ist, aber es ist zumindest ein deutlicher Indikator dafür. Zumindest hat man mal eine sehr offensichtliche Problematik nicht adressiert, die heutzutage eigentlich kein großes Problem mehr darstellen sollte.

Vielen Dank für das Gespräch.

 

Das Interview führte Simon Wenzel, rbb|24.

Beitrag von Simon Wenzel

29 Kommentare

Wir schließen die Kommentarfunktion, wenn die Zahl der Kommentare so groß ist, dass sie nicht mehr zeitnah moderiert werden können. Weiter schließen wir die Kommentarfunktion, wenn die Kommentare sich nicht mehr auf das Thema beziehen oder eine Vielzahl der Kommentare die Regeln unserer Kommentarrichtlinien verletzt. Bei älteren Beiträgen wird die Kommentarfunktion automatisch geschlossen.

  1. 29.

    Alter Schwede, so interessant dieser Artikel auch sein mag: hat den mal jemand gegengelesen? Da wimmelt es von Rechtschreibfehlern! Lasst doch wenigstens einmal eine sog. "KI" darüber laufen, die wenigstens die Rechtschreibfehler prüft. Qualitativ schon traurig. Aber inhatlich, wie gesagt, interessant!

  2. 28.

    Auch wenn ich nur aus drei Kommunen in einem Bundesland sprechen kann (zwei traditionell schwarz, eine traditionell geführt): Verwaltung ist überall gleich sch… ausgestattet.

  3. 27.

    Den Kontext des Interviews mit einbezogen ergibt sich da eine schöne Analogie - die "Taktik" des Verständnisses bei Ransomware-Gruppen anzuwenden ist genau die Sorte Fatalismus, durch den es dazu kommt, dass man am Ende die richtig große Summe zahlt und sich statt aktiv handeln zu können von Kriminellen den Takt vorgeben lässt.

  4. 26.

    Weil hier etliche Bezug auf die regierenden Parteien, insbesondere RRG, nehmen: sieht es denn in unionsgeführten Bundesländern besser aus? Oder auf anderer Ebene: die staatliche IT-Infrastruktur ist doch da auch nicht besser aufgestellt, egal wer gerade regiert. Das ist m.E. keine Besonderheit von RRG, das hat die gesamt Politik über Jahrzehnte verschlampt. Warum? Weil es Geld kosten würde und die schwarze Null heilig ist. Wer mit Bananen bezahlt...

  5. 25.

    IT Security Experten verdienen in der freien Wirtschaft deutlich sechsstellig, da kommen sie mit TVöD, BAT oder regulären Besoldungsgruppen nicht weiter.

  6. 24.

    Mit dem kleinen Unterschied, dass man es zu einem Krieg gar nicht erst kommen lassen muss, wenn man dem vermeintlichen Gegner mit friedlichen Absichten und Verständnis für dessen Probleme entgegen tritt.

  7. 23.

    Wenn ich eine Stelle als „Sachbearbeiter IT“ mit einer E9a ausschreibe und in die Tätigkeitsbeschreibung "IT-Sicherheit, Datenschutz, Anwender Support, "Programmierkenntnisse“, gute MS Office Kenntnisse“ (kein Witz, so gelesen)schreibe, dann ist das nicht unbedingt ein Fehler der Personalabteilung. Solange der Dienstleister genügend Bewerber findet, die sich darauf einlassen, wird sich an dieser Politik nichts ändern. Aber unbestritten ist wohl, dass viele „gute“ Leute diese Dienstleister früher oder später verlassen, um in der Privatwirtschaft deutlich! mehr Gehalt zu bekommen. Natürlich kann man auch eine E11 ausschreiben, aber die Kosten......

  8. 22.

    Und wo loggt sich die App ein? Ob der _vorgesehene_ Zugriff über eine App oder einen Browser erfolgt ist ja wohl völlig egal.

  9. 21.

    CDU hat da genauso ihren Anteil dran. Von der AfD die ja noch gar nichts geschissen bekommen hat mal ganz abgesehen.

  10. 20.

    Warum? Mit dem Gendern kann man doch so schön von den großen Problemen ablenken. Da ist die Zufriedenheit innerhalb der IT-Abteilung nicht wichtiger als ein vergessenes Sternchen. Willkommen im öffentlichen Dienst.

  11. 19.

    Man muss auch sagen, dass es im öffentlichen Dienst von einer ausschreibung bis zum ersten Arbeitstag gut ein halbes Jahr dauern kann. Witzig wird es dann wenn die Führungskräfte aus einem kritischen it-ma einen befehlsempfänger machen wollen. Aufstiegschancen ohne studium: keine. Zulagen: keine. Man verdient teilweise weniger als die bürotanten und -Onkel.
    Unterhaltsam wird dann, wenn die leistungsbezogenen Prämien nur bei den vorgesetzten voll ausgezahlt werden.

    Na ja, kündigen gleich mehrere

  12. 18.

    Wer it-ler schlecht behandelt, der wird sehen was er davon hat. Da gehen dann schon zwei oder drei engagierte Leute. Und die stellen können monatelang nicht neu besetzt werden. ^^

    Es ist nicht nur das Geld. Gerade im it-Bereich sind einige Häuptlinge keine führungspersönlichkeiten. Irgendwann ist der Punkt erreicht, wo man innerlich kündigt und sich einen freundlichen und besseren Arbeitsplatz sucht.

    Aber unstudierte können in der Regel nicht mehr verdienen als unstudierte bürotanten. ^^

  13. 17.

    Sie zählt nicht nur besser als der ÖD, die freie Wirtschaft, sie setzt auch keine Graduierung in SozPäd oder ähnlichen Schnippschnorres voraus für die Einstellungen! Es war nicht möglich, vom CIO eines großen globalen Unternehmens in die Berlin-eigene IT zu wechseln, mir fehlten für die IT diverse Weiterbildungen in Beamtenrecht Pipapo. Ne, ging um Technik, nicht um einen HR Posten nahe der Senatorin *o*

    Erst war es jahrelang der sog. Pool, der Vorrang hatte, also Fachfremde, dann hat man als Hindernis die nicht vorhandene Ausbildung im ÖD entdeckt.

    So wird das nie was mit "Fachkräften", Leute!

    Aber ne Ausschreibung der Stelle konntet ihr wenigstens jedesmal nachweisen beim Personalrat... toll gemacht!

  14. 16.

    Torsten hat recht - das ganze SPD/Grüne-Konstrukt läuft sowas von gegen die Wand - in jedem Bundesland.

  15. 15.

    "Server, der normalerweise die Webseiten abruft"
    "unrechtmäßigen Anfragen"
    "Server durch die Überlast in die Knie geht"

    Nein, der Server ruft nicht die Webseiten ab. Das macht der Client.
    Und nein, es gibt keine unrechtmäßigen Anfragen.
    Und auch nein, der Server geht nicht in die Knie. Die Anfragen können nur nicht beantwortet werden, weil die Hardware es nicht hergibt. Ein übliches Verstopfungsproblem. Jeden Tag auf der Straße zu erleben.


  16. 14.

    Stimme voll zu - aber man ist bekanntlich immer erst hinterher schlauer

  17. 13.

    Jeder gelangweilte 16jährige kann innerhalb 15 Minuten auf Google lernen, wie er ins "Darknewt" kommt. Da innerhalb einer Stunde herausfinden, wo man ein Botnet für kleines Geld oder gegen Services mieten kann - und das dann tun.

    100.000 schmalbandige Devices für 24h kosten unter 100€. Deren gesammelte Bandbreite ist zwar mit mind. 100 GBit/s nichts, was Google oder Amazon auch nur merken würden - aber die IT der Brandenburgische Landesregierung kann man damit trivial abschießen.

    Oh, und das interne Systeme nicht am Internet hängen ist ein Traum von Ihnen. Der leider mit der Realität nichts zu tun hat. Homeoffice, Wartungszugänge (inkl. zu Kraftwerken, Wasserversorgung, ...) ... alles übers Internet weils so schön billig ist.

  18. 12.

    Hat jeder gelangweilte 16-jährige heutzutage ein Botnetz für DDOS parat?

  19. 11.

    Auch bei mobilen Apps steht am anderen Ende ein Server. Die Adresse lässt sich herausfinden und danach wird die App nicht mehr benötigt. Das stellt also keinen Schutz dar.

  20. 10.

    "Das BSI warnt schon lange und in Berlin hat RRG geschlafen und eher auf Verkehrskollaps geplant. "

    Welch ein Stuss! Was hat RRG mit Brandenburg zu tun?

Nächster Artikel