Angriffe auf allen Ebenen

Gute IT ist wie gute Gesundheit: Man spürt sie nicht. Sind die Schäden allerdings gut sichtbar, ist guter Rat teuer, denn meist ist es schwer zu sagen, was die richtige Therapie ist. Das Jahr 2015 dürfte als das Seuchenjahr der IT-Sicherheit in die Geschichtsbücher eingehen. Die Zahl gefährlicher Sicherheitslücken in Standard-Software hat sich laut den Erkenntnissen des Bundesamt für Sicherheit in der Informationstechnik (BSI) binnen eines Jahres deutlich erhöht. In den elf am häufigsten genutzten Produkten seien bis Ende September rund 850 kritische Schwachstellen entdeckt worden.

Vor allem Browser erwiesen sich als Problem. Das Opfer braucht nichts weiter zu tun, als eine Internet-Seite aufzurufen, und schon ist er infiziert. Drive-by-Download oder Drive-by-Exploits nennt sich diese Spielart der Cyber-Kriminellen. Kaum jemand erwartet auf der Internetseite des eigenen Kirchenchors oder des eigenen Vereins solche Angriffe. Doch ein verseuchtes Statistik-Tool im beliebten „Word-Press“ machte 2015 brave WWW-Seiten zu Virenschleudern, weil das Tool es Hackern erlaubte, die Seite mühelos zu übernehmen.

Die Anzahl mobiler Schädlinge wächst rasant. Von zwei Millionen im Jahr 2014 wird sie laut dem Antivirenhersteller Trend Micro bis zum Jahr 2016 auf geschätzte 20 Millionen anwachsen. 13 Prozent der Apps in den chinesischen Märkten sind bösartig, ermittelte die Firma. Die Gesamtzahl der Schadprogrammvarianten für PCs liegt nach Schätzungen des BSI derzeit bei über 439 Millionen – mit einem Anstieg der individuellen Verbreitung von immer neuen, automatisch generierten Schadprogrammvarianten. Diese werden durch winzige Veränderungen erzeugt, um die Antiviren-Programme zu täuschen. Diese müssen für jede Variante eine Signatur anlegen und verwalten. Die Mehrzahl der Schadprogramme ist für das Betriebssystem Windows geschrieben.

Noch nie wurden aber auch in Geräten und Bezahlsystemen so viele und so signifikante Schwachstellen sichtbar, und die Hilflosigkeit der Verantwortlichen so deutlich spürbar: Polizeibehörden, die raten, IT-Erpressern Geld zu zahlen, da vom Staat keine Hilfe zu erwarten ist, und Behörden, die aus Sicherheitsgründen vorsichtshalber das eigene IT-Netz lahmlegen. So geschehen im deutschen Bundestag.

Mit der Gelassenheit eines Zen-Meisters reagiert die Öffentlichkeit weltweit auf das Geschehen. Geld, Identitäten, Know-how, persönlichste Informationen, alles wurde gestohlen, bedroht oder verändert. Was fehlt, sind wohl gut sichtbare Personenschäden. Mit den erstmals aktenkundig gewordenen Angriffen auf Autos und Flugzeuge könnte sich das aber ändern.

Die Einschläge kommen zumindest näher, und auch die scheinbar gut geschützten Institutionen sind betroffen. So wurde das Parlakom genante Netz des Deutschen Bundestages Ziel eines Spionageangriffs. Auch der Rechner der Abgeordneten Merkel wurde angezapft. Um die Schäden zu beheben, musste das gesamte System im August für einige Tage vom Netz genommen werden, um die Folgen des Cyber-Einbruchs zu beseitigen. Danach erfolgte die Neuaufsetzung von zentralen Komponenten des IT-Systems. Wer die Einbrecher waren, konnte oder wollte niemand ermitteln. Die Täter gingen allerdings gezielt vor, infizierten zunächst einzelne Rechner und erschlichen sich immer weitergehende Möglichkeiten im System, indem sie Software nachluden. Dieses Verfahren der Cyber-Spionage wird meist mit professionellen Angreifen in Verbindung gebracht.

Zu Jahresbeginn war bereits bekannt geworden, das der hochentwickelte Trojaner Regin auf einen Rechner im Bundeskanzleramt gefunden wurde. Er wird mit dem US-Geheimdienst NSA und seinem britischen Partner GCHQ in Verbindung gebracht. Eine Mitarbeiterin der Europapolitik-Abteilung hat laut Zeitungsberichten ein Dokument auf einem privaten USB-Stick mit nach Hause genommen. Dort habe sie auf ihrem Privat-Laptop an dem Dokument weitergearbeitet und den Speicher danach wieder ins Kanzleramt mitgenommen. Als die Frau ihn dann in ihren Dienst-Laptop steckte, habe dessen Viren-Scanner wegen Regin Alarm geschlagen.
Es mag beruhigend sein, dass der Viren-Scanner schlimmeres verhütete. Bleibt zu fragen, warum man in einem der sensibelsten Arbeitsumgebungen Deutschlands die Verwendung von USB-Sticks überhaupt erlaubt ist, gelten sie doch seit vielen Jahren als zentrales Einfallstor für alle Arten von Bedrohungen. Nicht zuletzt wegen des Stuxnet-Angriffs auf die iranischen Uranmühlen, der auf eben diese Weise ausgeführt wurde. Die Schadsoftware wurde schließlich nicht per Internet, sondern über einen USB-Stick aufgespielt.
In Brüssel konnten Bedienstete des Europäischen Parlaments ihre Mail-Konten nicht mehr über die Outlook-App abrufen. Die IT-Abteilung hatte den mobilem E-Mail-Client aufgrund „schwerwiegender Sicherheitsmängel" deaktiviert.

Der französische TV Sender TV5 Monde wurde im April 2015 Opfer eines massiven Cyber-Angriffs. Die Täter sabotierten essentielle Produktions- und Übertragungsserver. Es gelang ihnen, den Sender für Stunden zum Schweigen zu bringen, und zudem die Webseiten zu übernehmen. Hier veröffentlichten sie islamistische Propaganda. Die Angreifer verfügten nicht nur über große IT-Fähigkeiten, sondern auch über erhebliche Kenntnisse, was die Architektur des Senders und den Sendebetrieb betrifft. So konnten sie Schwachstellen ermitteln und ausnutzen.
Im Juni wird ein erfolgreicher Hack-Angriff auf das Personalbüro der US-Bundesbehörden (OPM) entdeckt. Das Office of Personnel Management überprüft amerikanische Staatsdiener und ihr soziales Umfeld und ist auch für sicherheitsrelevante Behörden zuständig.
Sozialversicherungsnummern und Sicherheitsüberprüfungen von 22 Millionen Menschen sollen in die Hände einer fremden Regierung geraten sein. Ziel war es offensichtlich, Ansatzpunkte für das Anwerben neuer Agenten zu finden.
Im Juli trifft es die Bundesagentur für Arbeit (BA) in Deutschland. Für einen kompletten Tag können sie nicht auf ihre IT-Systeme zugreifen und sind zur Arbeitslosigkeit verdammt. Exakte Gründe für den Totalausfall werden nicht genannt. Im selben Monat musste die New Yorker Börse den Aktienhandel komplett einstellen, wegen „technischer Probleme bei der IT“.

Es müssen nicht immer Hacker sein, die Systeme zum Stillstand bringen. Marode IT oder schlecht ausgebildetes Personal schaffen dies auch im Alleingang. So legte ein Update in einem Sparkassenrechenzentrum im September die Geldautomaten der Sparkassen-Gruppe in Baden-Württemberg, Rheinland-Pfalz, dem Saarland, Bremen und dem Rheinland lahm. Solche Rechenzentren werden redundant betrieben. Die schadhafte Software war allerdings auf beiden Systemen ausgespielt worden. Einige Filialen waren als Folge nicht einmal telefonisch zu erreichen, da auch der Telefonverkehr mit „Voice over IP“ über das betroffene Rechenzentrum abgewickelt wird.

Auch komplette Industrieanlagen sind gefährdet. Manipulierte Messwerte führten zur Explosion einer Pipeline in der Türkei. Der Vorgang erinnert an Stuxnet, der ebenfalls Messwerte manipulierte. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnte 2014 vor einer Zunahme von Advanced Persistent Threats (APT) auf deutsche Unternehmen. Damit ist das Hacken von schlecht gesicherten Unternehmensservern gemeint. Damals wurde ein deutsches Stahlwerk schwer beschädigt, als sich offensichtlich gezielt vorgehende Angreifer vom Büronetz aus sukzessive bis in die Produktionsnetze des Unternehmens vorgearbeitet hatten. Durch Manipulation der Steuersysteme geriet der Hochofen anschließend außer Kontrolle, was zu einer Notabschaltung führte.

Krypto-Währungen wie etwa Bitcoins sind für die Lösegeldforderungen beliebt und wurden 2015 vom BSI auch verstärkt bei DDoS-Erpressungen und Krypto-Ransomware beobachtet. Dabei drohen die Täter der Firma an, sie im Internet unerreichbar zu machen, da sie die Netzwerke überlasten. Zunächst zeigen sie ihre Fähigkeiten mit einem kurzen Probeangriff. Betroffen sind vor allem Firmen, die im Internet Handel treiben. Sobald das „Internet der Dinge“ Wirklichkeit wird, könnten aber auch alle jene zur Kasse gebeten werden, die auf permanenten Datentransfer zwischen ihren Produktionsstädten angewiesen sind.