Interview | IT-Experte zu Cyberattacken - "Dieser Angriff funktioniert nur, wenn man sich nicht um den Schutz gekümmert hat"
Ein Cyberangriff legt aktuell Online-Dienste der Brandenburger Polizei lahm. IT-Sicherheitsexperte Manuel Atug erklärt im Interview, wieso ihn das verwundert und wie man sogenannten "DDoS"-Attacken leicht hätte vorbeugen können.
rbb|24: Herr Atug, seit Dienstag legt ein Cyberangriff mehrere Verwaltungsseiten in Deutschland lahm. In Brandenburg und Berlin war beispielsweise die Polizei betroffen. Es handelt sich um einen sogenannten "DDos"-Angriff (Anmd. d. Red.: Distributed Denial of Service). Können Sie erstmal für Laien erklären, was das ist?
Manuel Atug: Das funktioniert im Prinzip wie eine digitale Sitzblockade auf der Netzleitung zum Server, so kann man sich das vorstellen. Der Angreifer versucht dadurch die Leitung zu überlasten und damit auch den Server, der normalerweise die Webseiten abruft. Die regulären Anfragen kommen durch die Masse an unrechtmäßigen Anfragen nicht mehr durch oder es sind so viele, dass der Server durch die Überlast in die Knie geht.
Das klingt nicht besonders aufwendig für einen Hacker ...
Das ist auch nicht sehr aufwendig, es ist auch gar kein Hack im eigentlichen Sinne, weil man ja gar nichts hacken muss. Man überlastet einfach nur die Leitung. Dazu braucht es keine spezifischen Vorkenntnisse, nur genug Systeme, die genug Bandbreite haben und die rufen alle gleichzeitig dasselbe System auf, dann geht das System in die Knie. Es ist eigentlich eher eine Störung durch Überlastung für einen bestimmten Zeitraum als ein Hack.
Könnte man sich dagegen nicht wehren?
Man kann sich dagegen natürlich angemessen wappnen. Es gibt sogenannte präventive Anbieter für DDoS-Angriffe. Auch das BSI - das Bundesamt für Sicherheit in der Informationstechnik - hat beispielsweise eine Liste von qualifizierten Dienstleistern, da sind mehr als ein Dutzend drauf, die gewisse Mindestanforderungen erfüllen. Die kann man einsetzen.
Oder man wartet eben, bis es "peng" macht, weil DDoS-Angriffe keine neue Problematik sind. Wenn man die geeigneten Maßnahmen nicht umsetzt, weil es zu teuer ist, man das Know-how nicht hat oder teilweise uralte Systeme einsetzt, dann muss man sich nicht wundern, wenn Angreifer - warum auch immer - leichtes Spiel haben. Das müssten noch nicht mal, wie es jetzt viele gerne sagen, die Russen sein als besondere Bedrohung. Woher der Angreifer bei so einer Attacke kommt, ist eigentlich völlig egal, von mir aus kann es auch ein 16-jähriger Deutscher sein, der Langeweile hat. Das gab es schon mal, dass ein 16-Jähriger eine Bank mit dieser Methode angegriffen hat, weil ihm langweilig war. Das ist also das Niveau, von dem wir reden. Und wenn man sich gegen 16-Jährige nicht wappnet, dann hat man etwas falsch gemacht, würde ich sagen.
Der aktuelle Vorfall ist nicht der erste in diesem Kalenderjahr: Von Januar bis Ende März waren immer wieder Teile der Potsdamer Verwaltung offline, wegen eines drohenden Cyberangriffs mit Erpressungssoftware, sogenannter "Ransomware". Die Attacke konnte wohl abgewendet werden. Wieso die Verwaltung dafür drei Monate lang teilweise vom Netz musste, verwunderte aber schon einige. Sie auch?
Leider nicht. Das kann so lange dauern, wenn man sich Jahrzehnte zu wenig um IT-Sicherheit gekümmert hat, wenn man Sicherheitsmaßnahmen nicht umgesetzt und etabliert hat und wenn man den Investitionsstau auf Jahre vorgeschoben hat. Dann können schon kleinere oder mittlere Probleme einen Stillstand verursachen. Vor allem wenn es dann noch Akteure wie in Potsdam Anfang des Jahres - professionelle "Ransomware"-Banden - es mit Erpressungen versuchen. Da stehen ja hochkriminelle Tätergruppierungen als organisierte Kriminalität dahinter, das sind Leute, die erbeuten mehrere hundert Millionen Dollar im Jahr, die gehen daher schon sehr professionell vor.
In Büros wird häufig bei Schulungen vor allem vor Phishing- oder Spam-Mails gewarnt. Das ist dann ein tatsächlicher Hack. Wie läuft ein Angriff eigentlich konkret ab?
Wenn jemand in die Systemlandschaft eindringen will, dann kann er beispielsweise eine Phishing-Mail schicken, in der ein manipulierter Link oder ein Anhang drin ist. Wenn ein Mitarbeiter den öffnet, dann lädt er sich unwissentlich eine Schadsoftware runter oder führt diese direkt im Anhang aus - möglichst klein, kompakt und effizient. Die schaut dann, wie es sie sich ins System einnisten kann und wie ein Angreifer von außen ähnlich einer Fernwartung auf das System zugreifen und Dinge tun kann.
Der Angreifer würde dann eine sogenannte Privilegieneskalation auf dem System ausführen, also weitere Schadsoftware nachladen oder Lücken ausnutzen - zum Beispiel bei alter Software. Die Lücken können dann dazu führen, dass derjenige nicht mehr nur noch Nutzer, sondern zum Beispiel Administrator wird. Von dort kann er sich im System bewegen und umschauen, welche Systeme noch existieren und vielleicht sogar auf den Server zugreifen, um dort dasselbe zu machen - also erneut erweiterte Zugriffsrechte erlangen.
So könnte der Angreifer später der Domain-Administrator werden - da ist man dann quasi der Netzwerksverwaltungs-Gott aller Systeme. Darüber lassen sich alle Systeme steuern und befehlen. So lässt sich beispielsweise Erpressungssoftware auf alle Systeme installieren und dann gleichzeitig ausführen, um alles mit einem Mal zu verschlüsseln und Lösegeld zu verlangen. Das ist eine Methode, wie man mit nur einer Mail die ganze Systemlandschaft übernehmen kann.
Immer wieder gibt es Berichte darüber, dass Verwaltungen stark veraltete Systeme, beispielsweise alte Windows-Versionen, nutzen, die keinen oder wenig Schutz bieten. Wie verbreitet ist das Problem wirklich und von was für Systemen reden wir da?
Beim Kritis-Sektor "Staat und Verwaltung" (Anm. d. Red: Kritis = Kritische Infrastrukturen) und auch bei den Kommunen und Ländern reden wir teilweise von Systemen, die auf Basis von Windows 95, 98, XP oder 2000 laufen. Das sind Systeme, die sind archäologisch wertvoll, aber die sollte man nicht mehr im Produktivbetrieb nutzen und schon gar nicht ans Internet anbinden. Genau das machen aber viele Verwaltungen und Behörden.
Es gibt zwar diesen Kritis-Sektor "Staat und Verwaltungen", aber anders als beispielsweise bei den Sektoren "Energie" oder "Wasser" gibt es für den keine Sicherheitsanforderungen im Gesetz, was den Stand der Technik in der Cybersicherheit anbelangt. Und weil es den nicht gibt, haben die Kommunen und Behörden nicht nur jahrzehntelang gespart, sondern - Stand heute - auch keine verpflichtende gesetzliche Grundlage, Cybersicherheit umzusetzen.
Es überprüft also kein Dritter die Systemlandschaft und es kommen auch keine Sanktionierungs- oder Haftungsfragen bei einem Sicherheitsvorfall. Wenn jemand in einer Kommune mit einer Ransomeware attackiert wurde, kann er sich hinstellen und sagen: "Wir waren Opfer eines krassen Angriffs". Dann sagen alle: "Genau, die sind ja Opfer gewesen." Dass man mit solch maroden Infrastrukturen aber ein fast schon grob fahrlässiges Verhalten an den Tag legt, sehen die meisten nicht. Das müssen wir dringend ändern in Deutschland.
Können Hacker solche Systeme von außen finden und dann gezielt schwache Systeme angreifen?
Es gibt durchaus sogenannte Suchdatenbanken, die frei verfügbar sind und sich speziell darauf fokussieren. In denen kann man - vergleichbar mit einer Suchmaschine - nach bestimmten Systemen, IP-Adressen oder Sicherheitslücken suchen und bekommt dann unverbindliche Informationen dazu. Die muss man noch verifizieren, aber wenn das dann passt, weiß man zum Beispiel: Hier ist ein Behördensystem, das scheint veraltet zu sein und es ist auch noch am Internet. Wenn man dann die Sicherheitslücken kennt und weiß, wie man sie ausnutzen kann, kommt man in den Netzverbund. Von da könnte sich ein Angreifer - wie bereits beschrieben - durchs System bewegen und alles kompromittieren.
Wann wird denn ein Hack einer Behörde für die Bürgerinnen und Bürger gefährlich?
Um mal direkt zwei extreme Beispiele zu wählen: Stellen Sie sich vor, jemand ist im Zeugenschutzprogramm oder beim Nachrichtendienst tätig und hat eine zweite Identität. Wenn diese Meldedaten durch einen Angriff abhanden kommen und öffentlich werden, dann reden wir ganz schnell von der konkreten Gefährdung eines Menschenlebens.
Aber auch wenn die Behörden eine Zeit die Sozialabgaben nicht mehr auszahlen können - Bafög, Sozialhilfe, Arbeitslosengeld und so weiter: Da reden wir von Menschen, die das beträfe, die eh schon am unteren Rande des sozialen Miteinanders agieren müssen, weil sie nicht genug Geld haben. Wenn die ihre Sozialhilfen nicht ausgezahlt bekämen, dann hätten wir ebenfalls sehr schnell ein bedrohendes Szenario. Und selbst wenn wir mal einen banal wirkenden Prozess wie die KfZ-Anmeldung als Beispiel nehmen: Das heißt auch nicht nur, dass die dann eben mal nicht gemacht werden kann. Wenn wir das weiter denken, hieße das auch, dass Autoverkäufer in der betroffenen Kommune keine Wagen mehr anmelden können, die sie verkaufen wollen - sie können also nichts verkaufen. Wenn das dann mehrere Monate anhält - was es schon gab - kann das im Extremfall zur Insolvenz führen. Das wiederum kann die Mitarbeiterinnen arbeitslos machen.
Auch so etwas kann also, schneller als man denkt, die Brügerinnen und Bürger direkt und sehr hart betreffen. Dass digitale Prozesse nicht mehr funktionieren, hat häufig einschneidende Auswirkungen auf das alltägliche Leben. Wenn die Digitalisierung nicht ordentlich gesichert ist, ist es eben eine schlechte Digitalisierung. Dann haben wir nicht nur schlechten Datenschutz, sondern wir schützen die Daten ja nicht für die Daten sondern für die Menschen dahinter. Daher haben wir dann durch schlechte Digitalisierung einen schlechten Menschenschutz.
Was könnten schlecht aufgestellte Kommunen denn schnell an ihrer Situation ändern?
Das allereste, was man als Kommune, als Unternehmen, als Institution braucht, ist eine Sicherheitsbeauftragte. Jemand, der den Hut auf hat und sagt: Ich kümmere mich um IT-Sicherheit. Solange es die Person nicht gibt, eiert das alles in der Verantwortungsdiffusion herum.
Wenn man diese Person hat, muss man ihr auch die Möglichkeit geben, sich auszubilden, die Mitarbeiterinnen und Mitarbeiter zu befragen, um die größten Risiken zu identifizieren und dann Maßnahmen zu erarbeiten - was müssen wir machen, was würde das kosten, welche Menschen müssen wir einstellen oder ausbilden?
Und dann müssen die Verantwortlichen aber auch die benötigten Mittel und Ressourcen bereitstellen. Denn man kann ja nicht sagen: Liebe Bürgerinnen und Bürger, unsere Fachverfahren sind kaputt oder wurden mit DDoS-Angriffen blockiert, dann machen wir jetzt erstmal nichts mehr. So kann ein souveräner Staat ja nicht funktionieren. Aber das wären die ersten wesentlichen Schritte, die an vielen Orten noch nicht getan wurden.
Abschließend nochmal zurück zum aktuellen DDoS-Angriff: Wie könnte die betroffene Behörde dagegen vorgehen?
Was man normalerweise macht, ist, die massenhaften Aufrufe, die da gerade vorgenommen werden, herauszufiltern - und zwar am möglichst frühesten Zeitpunkt, nicht erst direkt vor dem eigenen betroffenen Server. Im Idealfall da, wo die ganzen Systeme stehen, die diese Aufrufe machen. Je früher ich unterbinde, desto mehr Leitung bleibt ja frei.
Dafür gibt es Filtermöglichkeiten, mit denen man herausfiltert, was legitime Serveranfragen sind und was diese massenhaften DDoS-Angriffe machen. Die Anfragen, die zum Angriff gehören, werden dann wie bei einer Firewall geblockt. Das machen beispielsweise die sogenannten DDoS-Mitigationsanbieter, die das BSI in seiner Liste empfiehlt, die ich schon erwähnt hatte. Wenn man so einen dieser Dienste davor schaltet, dann kann entsprechend gefiltert werden.
Man könnte es auch selber leisten, wenn man das Know-How hat. Aber wenn man eben nichts dergleichen tut, dann ist das System nicht mehr erreichbar und man muss sagen: "Ein DDoS ist ein total krasser Hacker-Angriff". Die Wahrheit ist allerdings, dass dieser Angriff nur funktioniert, wenn man sich nicht um den Schutz gekümmert hat.
Lässt die Blockade des Systems durch einen solch verhältnismäßig simplen Angriff einen Rückschluss darauf zu, wie schlecht die Verwaltung insgesamt in der IT aufgestellt ist?
Das würde ich nicht pauschal sagen. Wer sich heutzutage noch DDoS-en lässt, hat sich aber zumindest um dieses, mindestens seit den 90er Jahren bekannte Problem nicht angemessen gekümmert. Das muss nicht zwingend heißen, dass die Systemlandschaft insgesamt total schlecht ist, aber es ist zumindest ein deutlicher Indikator dafür. Zumindest hat man mal eine sehr offensichtliche Problematik nicht adressiert, die heutzutage eigentlich kein großes Problem mehr darstellen sollte.
Vielen Dank für das Gespräch.
Das Interview führte Simon Wenzel, rbb|24.