Hackerangriff auf Rhein-Pfalz-Kreis - Experte spricht von "Geschäftsmodell"

Ludwigshafen. Herr Haschler, sind Sie ein Hacker?

Steffen Haschler: Ja. Hacking heißt für uns im Mannheimer Chaos Computer Club aber erst einmal, einen kreativen Umgang mit Technik zu haben. Das bedeutet nicht, dass ich alles kaputt mache und einen eigenen Profit daraus schlage. Ich wühle nicht in Daten anderer Leute rum. Wenn ich eine Schwachstelle finde, helfe ich den Betreibern, dass sie ihr System besser schützen.

Um was geht es den Leuten, die Behörden und Firmen über das Internet angreifen?

Haschler: Ich glaube nicht, dass es ihnen um die Daten der Menschen geht, in diesem Fall der Bevölkerung im Rhein-Pfalz-Kreis, sondern ihnen geht es ums Geld. Das ist einfach ein Geschäftsmodell, das in der vernetzten Gesellschaft existiert.

Das heißt: Die Hacker werden zu Erpressern mit den Daten, die sie vorher verschlüsselt oder gestohlen haben.

Haschler: Exakt das. Wobei der übliche Angriff eher das Verschlüsseln ist.

Wie muss man sich das vorstellen? Ist das eine Gruppe, die sich zufällig zusammenfindet im Netz oder kennen sich die Betrüger aus der realen Welt? Und muss es überhaupt eine Gruppe sein?

Haschler: Theoretisch kannst du das alleine machen. Theoretisch brauchst du nicht mal IT-Kenntnisse. Es kommt drauf an, auf welcher Ebene du arbeiten willst. Es gibt die Technik-Ebene. Da würdest du selbst nach Lücken in einem System suchen und dafür dann Programme (Exploits) schreiben. Aber ganz ehrlich: Du kannst auch einfach ein wenig Geld bezahlen und Dir solche Programme im Darknet kaufen. Es gibt dort entsprechende Angebote.

Was sagt der erfolgreiche Hackerangriff auf die Kreisverwaltung Ludwigshafen über deren Sicherheitsarchitektur aus?

Haschler: Es ist immer ein Katz-und Maus-Spiel zwischen den Herstellern von Software und diesen Hackern, die ich allerdings lieber als Cracker bezeichnen würde. Es gibt diesen Spruch, dass kein System sicher ist. Bei Firmen gibt es regelmäßige Audits mit externen Spezialisten, die nach den gängigen Problemen schauen. Hundertprozentig vermeidbar sind die Szenarien nicht. Zumal es mit dem Menschen einen weiteren Faktor gibt, den du technisch nicht komplett auffangen kannst. Wir nennen das „das Layer-8-Problem“.

Gibt es überhaupt eine Chance, den Hackern auf die Schliche zu kommen? Man könnte ja vermuten, dass sie den Ermittlern haushoch überlegen sind.

Haschler: Ja und nein. Wenn die Angreifer gut sind, kann man ihnen nicht auf die Schliche kommen. Digitale Spuren sind viel schwieriger zu verfolgen. Vor allem, weil ja auf der realen Ebene ermittelt wird. Das heißt, dass es Ländergrenzen gibt, die ich überschreiten muss. Ich müsste also vielleicht nach Indien reisen. Man müsste jeweils an die Server in dem jeweiligen Land. Da vergeht unfassbar viel Zeit. Vielleicht entdeckt man mal einen Täter durch Zufall und kann ihm dann retrospektiv viele Fälle zuordnen.

Nochmal die Frage: Sind das homogene Gruppen aus einem bestimmten Land mit dem einen gemeinsamen Ziel des Geldverdienens?

Haschler: Wie im normalen Leben auch. Es gibt lokale, nationale und internationale Akteure. Das ist - wenn man den ethischen Gedanken und die kriminelle Energie mal außen vor lässt - wie in der normalen Wirtschaft. Auch bei der Zielrichtung gibt es Unterschiede: Es gibt staatliches Hacking. Die Leute bekommen Aufträge von politischer Seite. Das wird in Ludwigshafen kaum der Fall sein. Dann gibt es Hacking gegen einzelne Personen, und Firmen werden angegriffen. Der Normalfall sind Gruppen, die untereinander auch mal Rivalitäten austragen. Manchmal kennen die sich, manchmal ist es über Ländergrenzen hinweg mehr oder weniger anonym.

Es ist nicht ausgeschlossen, dass sensible Daten betroffen sind. Das hat der zuständige Landrat Clemens Körner gesagt. Kommen da Hacker auch ganz einfach dran?

Haschler: Aus meiner Sicht dürfen solche Daten nicht von außen leicht erreichbar sein. Wie das bei der betroffenen Kreisverwaltung gelöst war, kann ich nicht sagen. Beispielsweise in Krankenhäusern achtet man darauf schon sehr.

Ist das nur die Spitze des Eisbergs, die wir da sehen derzeit. Die Anzahl der Angriffe nimmt spürbar zu.

Haschler: Es ist so, dass die Fälle zunehmen - gerade bei den kleinen und mittleren Unternehmen. Und es gibt Meldepflichten, wenn Daten von Kunden betroffen sind. Das heißt aber nicht, dass die breite Öffentlichkeit davon erfährt. Manche Unternehmen bezahlen und arbeiten dann weiter. Es gibt insgesamt mehr Aufmerksamkeit in der Presse, denn natürlich wurde in den vergangenen Jahrzehnten geschlampert. Manchmal wissen Firmen und Behörden nicht mal genau über ihr eigenes Netzwerk bescheid. Sie wissen also nicht, was sie schützen müssen. Das sehen Kollegen öfter in ihren Audits.

Viele sind also nach wie vor schlecht geschützt?

Haschler: Ja und dann ist es besonders sträflich, wenn es keine Reaktionspläne für das Worst-Case-Szenarien gibt. Wenn ein Brand in einem Gebäude ausbricht, gibt es einen klaren Plan. So etwas müsste auch für Hackerangriffe existieren.

In der Kreisverwaltung hat man nach einigen Stunden einfach den Stecker gezogen . Was muss getan werden, um mehr Sicherheit im Internet zu haben?

Haschler: Viele Leute verdienen Geld mit diesen Angriffen. Das Grundproblem des Internets ist, dass im Laufe seiner Entwicklung vom militärischen zum kommerziellen Netzwerk neue Geschäftsmodelle entstanden sind. Riesige Geldströme laufen über dieses Netzwerk. Und nie wurde das Internet, das so komisch gewachsen ist, aufgeräumt. Was man eigentlich machen müsste, sind saubere Netzwerke für eine kritische Infrastruktur wie Krankenhäuser, Kraftwerke et cetera. Das müsste man vom Rest trennen.

Der Landrat sprach zunächst recht schnell von einem russischen Hackerangriff, musste aber dann zurückrudern. Kommen von dort nachvollziehbar mehr Angriffe in letzter Zeit?

Haschler: Das ist zu vermuten. Aber sicher kann man sich nie sein, da das Internet keine Ländergrenzen kennt - du kannst von überall her angreifen. Fest steht, dass es staatlich gelenkte Militäreinheiten gibt und die haben schon länger entsprechende Aufträge. Man spricht ja vom Cyberwar. Unsere Bundeswehr hat auch ein Kommando aufgebaut und die Nachrichtendienste sowieso. Wobei es Unterschiede in der Ausrichtung gibt.

Wie lange dauert es denn, bis man sich von einem solchen Angriff wie in Ludwigshafen erholt hat.

Haschler: Als der Bundestag 2015 gehackt wurde, hat das sehr lange gedauert. Es ist auch eine Sicherheitsentscheidung. Je besser du weißt, was der Angriff war, umso besser kannst du dein System wiederherstellen. Wenn du auf Nummer sicher gehen willst, dann müsste man alles platt machen und neu aufsetzen. Und sogar in der Hardware könnte ein Code versteckt sein. Aber das ist dann sehr professionell in der Ausführung. Ransomware ist dagegen technologisch gesehen sehr, sehr einfach.