Cyberattacken mit Hackback beantworten?
Angesichts der Cyberattacken auf Behörden und Kritische Infrastrukturen stellt sich die Frage, ob man diese nicht mit einem Hackback beantworten sollte.
Redakteurin
Begeistert sich seit mehr als 20 Jahren für die Sicherheitsbranche. Ihr Schwerpunkt liegt auf Themen des Wirtschaftsschutzes wie öffentliche Sicherheit, Krisen- und Risikomanagement.
Telefon: 0821 319880-72
Mobil: 0160-99625253
Ist ein „Hackback“ die angemessene Antwort auf einen Cyberangriff? Vor Kurzem hat der Landkreis Anhalt-Bitterfeld den ersten Cyberkatastrophenfall in Deutschland ausgerufen. Die Verwaltung war mehrere Wochen lang lahmgelegt. Wie Schutzkonzepte aussehen können und ob „Hackback“ eine Lösung ist, erfuhr PROTECTOR von Boris Bärmichl, Vorstandsmitglied des BVSW.
Wer hackt überhaupt Kommunen? Welche Täter vermuten Sie hier?
Boris Bärmichl: Im Cybercrime gibt es heute verschiedenste Akteure. An erster Stelle stehen derzeit Kriminelle, die durch Digitalerpressung einfach steuerfrei viel Geld machen und das in sehr kurzer Zeit. Dazu nutzen diese die kryptischen Währungen, von denen es heute schon über 4.000 gibt, wobei die Täter oft noch am steigenden Kurs durch ihre Erpressungen zusätzlich verdienen.
Die zweite Gruppe sind politische Unruhestifter. Das können Agenturen sein, die für Geheimdienste oder politische Machenschaften aktiv werden oder auch für konkurrierende Unternehmen im globalisierten Markt. Hier geht es oft mehr um den Schaden, Sabotage oder Image mit medialer Wirkung.
Dann gibt es die sogenannten Hacktivisten, die aus moralischer oder ideologischer Sicht heraus agieren, wie zum Beispiel beim Tierschutz, gegen Pelz, für die Natur, freie Daten oder auch religiöser Hintergründe.
In Ihrem erwähnten Fall geht es einfach um Erpressung, um sich steuerfreies Geld zu beschaffen.
Automatisierte Cyberattacken
Handelt es sich Ihrer Erfahrung nach häufiger um gezielte Attacken oder sind es eher automatisierte Angriffe?
Boris Bärmichl: Die meisten Attacken sind automatisierte Attacken, also einfach einmal 5.000 Unternehmen automatisiert angreifen. Wenn hier 50 erfolgreich sind, hat sich alles schon mehr als gerechnet für die Angreifer. Bei gezielten Attacken sind die Chancen der Verteidigung sehr gering, was sich die meisten Firmen allerdings nicht vorstellten können. Doch ist der Aufwand für den Angreifer in dem Fall sehr hoch und somit Gott sei Dank noch nicht so häufig. Von rund 400 erfolgreichen Angriffen pro Woche in Bayern sind zwei gezielte Angriffe, doch sollten die Zahlen steigen, müssten wir mit ganz neuen Strategien agieren.
Ist es um die IT-Sicherheit von Verwaltung denn besonders schlecht bestellt?
Boris Bärmichl: Nein, die meisten Behörden und Verwaltungen sind sehr engagiert, doch die vielen Schwachstellen machen es dem Angreifer einfach zu leicht. Dazu noch die starke Monokultur, dasselbe Betriebssystem, Server und Mobile Devices machen es den Cyberkriminellen noch leichter.
KMU mit Nachholbedarf
Wie sieht es im Vergleich dazu bei KMU aus?
Boris Bärmichl: Die bilden heute leider das Schlusslicht. Sie stecken in dem Dilemma der Kosten und der fehlenden qualifizierten Mitarbeiter. Dazu kommt, dass die IT-Häuser, mit denen sie zusammenarbeiten, auch nicht immer auf dem neusten Stand der Technik agieren. So wird ihr Risiko, erfolgreich angegriffen zu werden, immer höher. Und die Zahlen zeigen auch, dass heute schon die Masse erfolgreicher Angriffe bei den KMUs erfolgt. Was mich persönlich sehr traurig macht. Aus diesem Grund stehe ich ja immer wieder ehrenamtlich über den BVSW diesen Unternehmen zur Seite.
Es wurde zwar schon oft gefragt, verliert ja aber leider nicht an Aktualität: Welche Schritte sollten ein Unternehmen sofort ergreifen, wenn es registriert, dass es gerade Opfer einer Cyberattacke wird?
Boris Bärmichl: Das erste ist, Ruhe bewahren, das zweite, Kontakt zum Notfallteam oder der IT aufnehmen. Wenn diese nicht existieren, sich an den BVSW und seine „Kummernummer“ wenden. Den Angriff dokumentieren mit Zeit, System, wie viele Systeme betroffen sind, Fotos von den Bildschirmen. Den Experten dann die Arbeit überlassen, damit zum Schluss auch alles noch gerichtsverwertbar bleibt. Die Experten sichern die Spuren und machen Analysen sowie 1:1 Kopien der relevanten Systeme. Die größte Arbeit ist dann oft die Datenwiederherstellung. Deshalb sei auch immer empfohlen, Backup-Test zu machen.
In den vergangenen Jahren hat die Bundesregierung verschiedene Maßnahmen ergriffen, um gegen Hacker vorzugehen. Vor zehn Jahren wurde beispielsweise das „Nationale Cyberabwehrzentrum“ ins Leben gerufen. Mit welchem Erfolg?
Boris Bärmichl: Jeder Schritt gegen die Bedrohungen aus dem Internet und der Computer ist wichtig. Die Gründung war genauso ein Schritt. Die Behörden haben das Thema endlich erkannt und entwickeln Lösungen und Anlaufstellen mit sehr engagierten Menschen, die teils unter Niedriglohn hervorragende Arbeit leisten. Doch ist Cybercrime schneller und hat inzwischen viel mehr Geld. Der Vorsprung, der hier entsteht, wird immer gefährlicher. Das werden wir alles noch in den kommenden Jahren erleben.
Heute geht es darum, dass jede Firma sich selbst verteidigen lernt, im Verbund mit Partnern oder sich selbst eine Truppe aufbaut. Dazu zählt auch, dass ein Unternehmen seine Hausaufgaben zu machen hat, also eine IT-Notfallplanung und eine Cyberabwehrstrategie, um seine Resilienz zu erhöhen.
Hackback führt zur Eskalation
Die Zahl der Cyberangriffe steigt trotzdem jedes Jahr. Aus diesem Grund wird auch das Hackback immer mal wieder ins Gespräch gebracht. Was versteht man überhaupt darunter?
Boris Bärmichl: Hackback ist, wenn es Spitzenkräfte ermöglichen, zurückzuschlagen. Doch aus meiner Sicht ist das Zurückschlagen immer ein Schritt in noch mehr Eskalation. In einem Krieg gewinnt meist keiner, die Verluste sind hoch, und der Wiederaufbau kostet sehr viel Geld. Wir könnten in Europa locker ein eigenes Betriebssystem entwickeln, in dem andere Betriebssysteme eingebunden und so viel besser überwacht und abgesichert werden könnten. Wir sollten das Know-how in Europa an einen Tisch bringen und zeigen, was Europa leisten kann - und das auch DSGVO-konform. Eine Hard- und Software-Produktion in Europa zu fördern, würde uns ebenso voranbringen. Das wären Strategien, die uns zukunftssicher machen, denn wir haben das Know-how.
Einem Hackback-Gesetz ist ja auch im Juli eine Absage erteilt worden …
Boris Bärmichl: Das war mir schon klar, es gibt hier einfach zu viele Unsicherheiten. Stellen Sie sich vor, Sie schlagen zurück und stellen dann fest, dass die andere Seite, die Sie gerade ausgelöscht haben, es nicht war?
Das ist ein Umstand, der in der IT sehr schnell vorkommt, denn wir haben es mit Cyberkriminellen zu tun, die uns heute schon gute drei bis vier Jahre voraus sind. Der Cyberkriminelle beschäftigt sich heute mit künstlicher Intelligenz und hochautomatisierten Angriffstools, die sich in Rekordzeit frei durch die Netzwerke bewegen, dabei auch noch verschiedenste Verschlüsselungen nutzen und in sich verschachteln. Die Zeit läuft also, das ist auch der Grund, warum der BVSW mit der Sparte D wie Digital seit zwei Jahren mit einer neuen Digitalstrategie seine Mitglieder stärkt.
Aber wie kann sich der Staat denn wehren, wenn Stromnetze oder andere Teile wichtiger Infrastrukturen angegriffen werden?
Boris Bärmichl: Mit der Definition der Kritischen Infrastrukturen (Kritis) wurde ein erster Schritt gemacht, denn die Privatisierung der Kritis war sicher nicht der beste Schritt. Somit muss der Staat sich jetzt wieder Einfluss verschaffen, doch auch das funktioniert nur bedingt. Die Awareness wäre ein wichtiger Baustein in einem IT-Schutzkonzept, auf Social Media Plattformen, in TV und Radio, eben auf allen Kanälen die Menschen mitnehmen. Daneben müssen Frühwarnsysteme entwickelt werden und Alternativen zu bestehenden Betriebssystemen. Außerdem müssen wir uns immer wieder fragen: Müssen wir alles vernetzen? Haben wir noch andere Lösungen, um die Angriffsvektoren zu senken? Der BVSW mit seinen vielen Arbeitskreisen ist hier eine wichtige Plattform für Unternehmen und Politik sowie Behörden geworden.
Boris Bärmichl, Vorstandsmitglied des BVSW und Datenschutzbeauftragter für den Arbeitskreis „Sicherheit in Rechenzentren“
Passend zu diesem Artikel
Mit einem Bedrohungsmanagement lassen sich potenziell gefährliche Situationen rechtzeitig aufdecken, bevor es zu einer physischen Eskalation kommt.
Die Kritische Infrastruktur in Deutschland soll durch das neue Dachgesetz besser geschützt werden. Ein Schritt, der längst überfällig ist.
Brandprävention für Kindertagesstätten, Schulen, Behörden, Wohnheimen und Herbergen: Lupus-Electronics entwickelt erste smarte Brandwarnanlage.