Tatort Cyberspace

Die grenzenlose Kommunikationsfreiheit eröffnet nicht nur ehrlichen Internetnutzern ungeahnte Möglichkeiten. Auch für Kriminelle ist die Cyberwelt eine Goldgrube. Die Zahl der Straftaten im Netz ist in den letzten Jahren dramatisch angestiegen. Und die Verbrecher werden immer raffinierter. Dabei richten sich ihre Angriffe nicht nur gegen Privatpersonen. Auch Staat und Wirtschaft geraten zunehmend ins Visier.

Text: Christine Heidemann, Grafik: Aurel Märki

 

 

Jetzt, genau in dieser Sekunde, kann es passieren. Vielleicht haben Sie einen USB-Stick mit Ihrem Firmenlogo in der Tiefgarage gefunden und schauen nur kurz, was drauf ist und wer ihn verloren haben könnte. Oder es kommt ein Anruf, den Sie als firmenintern erkennen. Ein angeblicher Kollege eines Ihnen bekannten Mitarbeiters aus der IT-Abteilung weist Sie darauf hin, dass es ein Problem mit Ihrem Rechner gibt. Er müsse nur schnell Ihren Benutzernamen und Ihr Passwort wissen, dann könne er den Fehler sofort beheben. Und kurze Zeit später ist es drauf: das schädliche Programm, die so genannte Malware.

Oft kommt sie versteckt als «Trojanisches Pferd», wobei ein scheinbar nützliches Programm das unerwünschte tarnt. Im harmlosesten Fall eine Spyware, eine Schnüffelsoftware, mit der zum Beispiel Unternehmen das Verhalten eines Nutzers im Netz ausspionieren, um gezielt Werbebotschaften platzieren zu können. Oder, schlimmer, ein als «Backdoor» bezeichnetes Programm, mit dem sich Kriminelle durch eine «Hintertür» Zugang zu fremden Rechnern verschaffen, um Passwörter oder sensible Firmendaten wie Business- oder Konstruktionspläne zu klauen. Oder, im schlimmsten Fall, um ganze Systeme zu manipulieren oder zu sabotieren.
Wie die reale Welt hat auch die Cyberwelt ihre dunkle Seite. Das Internet ist längst nicht mehr nur ein Platz, in dem Nutzer unbeschwert surfen, einkaufen, Informationen austauschen oder Geschäfte machen können. Es wird mehr und mehr zum Tatort. Jeden Tag erreichen uns neue Berichte über Viren, Würmer, Trojaner und Co. Die Angst vor folgeschweren Angriffen steigt. Und mit ihr der Ruf nach mehr Sicherheit – im privaten wie im öffentlichen Bereich. Diese zu gewährleisten fordert Staat und Wirtschaft gleichermassen heraus. Aber auch Wissenschaftler wie Srdjan Capkun arbeiten mit Hochdruck daran, das Datennetz sicherer zu machen.

Für Kriminelle ist es leichter geworden

«Die Möglichkeiten für Angreifer, fremde Systeme zu attackieren, haben enorm zugenommen», sagt der Professor am Institut für Informationssicherheit der ETH und Direk¬tor des ebenfalls an der Zürcher Hochschule angesiedelten «Zurich Information Security and Privacy Center» (ZISC). Grund dafür sei zum einen die zunehmende Vernetzung der Computersysteme, die dadurch immer komplexer würden und folglich schwerer zu überwachen seien. So können Kriminelle oft lange Zeit unbemerkt agieren – wenn sie denn überhaupt entdeckt werden.
Egal, ob es um darum geht, Kraftwerke zu warten, sensible Daten zu verwalten oder den Schienen- oder Luftverkehr zu steuern: «Alle Systeme haben Sicherheitslücken und es könnte viel mehr passieren», warnt Capkun. Ausserdem hacken Leute immer weniger aus Spass und Spiel. «Dahinter steckt mittlerweile eine ganze Industrie.»

Zum anderen, so der Experte, lässt sich Hacker-Equipment heutzutage leicht beschaffen. Ob eine eigene WLAN-Basisstation oder Programme, mit denen quasi jeder mit wenigen Mausklicks Viren generieren kann: Nie war es einfacher, anderen zu schaden. Hinzu kommt, dass Kriminelle sich immer neue Nischen suchen, immer raffinierter und schneller werden. «Bevor man ihnen auf die Schliche kommt, haben sie schon eine neue Schwachstelle entdeckt, eine neue Malware entwickelt.» Zero-Day-Exploits, bei denen eine Sicherheitslücke bereits von Kriminellen ausgenutzt wird, bevor Entwickler oder Benutzer sie entdeckt haben, nehmen stetig zu. Schutzsoftware- und Schadsoftwarehersteller liefern sich ein heisses Kopf-an-Kopf-Rennen.

Selbst Herzschrittmacher sind nicht sicher

Unglaublich: Selbst Herzschrittmacher und Luftdrucksensoren in Autoreifen können gehackt und manipuliert werden, berichtet Capkun, der fast täglich selbst zum gewieften IT-Kriminellen wird – aus Forschungszwecken versteht sich. Er will mit seinen Kollegen herausfinden, wo welche Computersysteme für Attacken besonders anfällig sind und wie sie sich schützen lassen. Dabei gehen die ETH-Sicherheitsexperten bei ihrer interdisziplinären Zusammenarbeit im ZISC auch auf die Bedürfnisse verschiedener Branchen ein. Finanziert wird das auf IT-Sicherheit spezialisierte Zentrum zurzeit von der Credit Suisse, von Google, der Bundesbehörde ArmaSuisse und vom Sicherheitstechnologie-Anbieter Kaba.

Zwar kann Srdjan Capkun in cyberkrimineller Hinsicht so schnell nichts aus der Fassung bringen. «Stuxnet allerdings hat selbst mich überrascht.» Der Stuxnet-Virus, der 2010 entdeckt wurde, hat die Diskussion um das Thema Cybersicherheit neu entfacht. Zwar haben Experten schon in den 1980er-Jahren begonnen, über IT-Sicherheit zu sprechen. Doch Stuxnet war wie ein Weckruf.

Der Virus war mit grossen Aufwand von den USA entwickelt worden, um über USB-Sticks in die iranische Atomanlage Natanz eingeschleppt zu werden. Bei seiner letzten Attacke soll der Computerwurm etwa 1000 der damals 5000 Zentrifugen zur Urananreicherung zeitweise ausser Betrieb gesetzt haben – während er gleichzeitig dem Kontrollpersonal meldete, dass alles ordnungsgemäss funktioniert. Aber auch in den Systemen von Gas-, Strom- und Wasserversorgern anderer Staaten ist der gefährliche Virus entdeckt worden.

Capkun beeindruckt vor allem «das enorme Wissen, das notwendig ist, um einen solchen Virus mit Tausenden von Funktionen zu entwickeln». Zwar ist er überzeugt, dass derart ausgefeilte und gezielte Angriffe auf Unternehmen und sensible Infrastrukturen kein Einzelfall bleiben werden. Doch Paranoia in diesem Zusammenhang sei fehl am Platz.

Stuxnet war Sabotage

Auch Myriam Dunn Cavelty von der Forschungsstelle für Sicherheitspolitik der ETH warnt vor übertriebener Panikmache. Und mit dem Wort Cyberkrieg, das seit Stuxnet immer häufiger fällt, ist sie vorsichtig. Der Begriff, meint sie, werde sehr schwammig verwendet. Zwar war dies der erste grosse Vorfall, bei dem ein Staat hinter einer Cyberattacke stand. Doch für die ETH-Wissenschaftlerin waren die Stuxnet-Attacken kein Krieg, sondern Sabotage: «Die Forderung nach Aufrüstung und Verteidigung in diesem Zusammenhang ist Kalter-Krieg-Denken und geht in eine falsche Richtung.»

Dennoch sei die Sorge, dass sich über die Cyberdimension in nicht allzu ferner Zukunft das konventionelle Kräftegleichgewicht in der Welt verschieben könne, nicht ganz unberechtigt. Davor hat vor allem eine Supermacht wie die USA grosse Angst. Aber zumindest in puncto kritischer Infrastrukturen, so die Forscherin, könne der Staat ohnehin nicht viel ausrichten: Rund 95 Prozent dieser Einrichtungen, wie etwa die Energieversorgung, sind in privatwirtschaftlichen Händen.

Myriam Dunn Cavelty berät im Auftrag des Schweizer Bundesamts für Bevölkerungsschutz vor allem das Militärdepartement in Sachen Cybersicherheit. Sie forscht nach Trends, vergleicht die Cyberstrategien verschiedener Länder, hält Vorträge zum Thema. Vor Kurzem beim Rückversicherer Swiss Re. «Die Versicherungsindustrie interessiert sich seit einiger Zeit sehr stark für Cyberrisiken, da sie hier sowohl einen Markt sieht als auch Angst hat, selbst angegriffen zu werden.»

Doch um Prämien kalkulieren zu können, brauchen die Versicherer verlässliche Zahlen. Wie gross ist die Gefahr für eine Firma, Opfer eines Cyberangriffs zu werden? Wie viele Angriffe auf ähnliche Branchen gab es in der Vergangenheit? Und was kostet es, den entstandenen Schaden zu beheben? An diesen Daten mangle es, beklagt die ETH-Expertin. «Die wenigen Zahlen, die existieren, kommen fast ausschliesslich von der Antivirenindustrie.» Also von einer Branche, die von einer hohen Cyberkriminalitätsrate profitiert.

Viele Firmen fürchten aber nicht nur, Geld zu verlieren; sie bangen um ihren Ruf. Wenn sensible Daten in die Hände Dritter geraten, ist das nicht nur peinlich, sondern die Kunden verlieren das Vertrauen. Dies und die Sorge, dass der Staat den Schutz der Sicherheitssysteme künftig regulieren könnte, führt dazu, dass viele Attacken nicht angezeigt werden. Und ein grosser Teil wird erst gar nicht entdeckt. Zwar verfügen Unternehmen über die gängigen Schutzmassnahmen wie Firewalls oder Antivirensoftware. «Doch gegen ausgeklügelte Industriespionage- oder Sabotageattacken sind die meisten nicht gewappnet», sagt Dunn Cavelty. Und diese komplexen «Advanced Persistent Threat»-Angriffe machen zurzeit geschätzte rund drei Prozent aller Angriffe aus. Tendenz steigend.

«Die ganze Wirtschaft eines Landes liesse sich durch solche Angriffe lahmlegen», meint Srdjan Capkun. Das sei vielen Unternehmen gar nicht bewusst. Entsprechend vernachlässigten sie den Schutz ihrer IT-Systeme oder spielten die Gefahr herunter. Doch gerade im Hinblick auf die zunehmende Komplexität der Systeme ist laut des Sicherheitsfachmanns Vorsicht geboten: «Man denke nur an Smart Grids, intelligente Stromsysteme, die künftig nicht nur Strom, sondern auch Daten und Informationen transportieren.» Würden sie manipuliert, könnten beispielsweise Überlastungen vorgetäuscht und so Stromausfälle provoziert werden.

Doch wie lassen sich solche massiven Eingriffe in Netzwerke verhindern? Zunächst einmal, da sind sich die ETH-Spezialisten einig, muss die Gefahr erkannt und ernst genommen werden. Ein Signal in diese Richtung ist zum Beispiel die kürzlich in der Schweiz vom Bundesrat verabschiedete «Nationale Strategie zum Schutz der Schweiz vor Cyberrisiken». Weiterhin, so Dunn Cavelty, müsse es Anreize, etwa steuerlicher Art, geben, damit Firmen mehr in Sicherheit investieren. International einheitliche Standards und rechtliche Grundlagen könnten die Gefahr weiter eindämmen. Und nicht zuletzt sind auch die Wissenschaftler gefordert.

Bewältigen statt abwehren

Eine gut funktionierende Zusammenarbeit zwischen Politikern, Unternehmern und Forschern ist auch für Myriam Dunn Cavelty eine entscheidende Voraussetzung, um der Gefahr aus der Cyberwelt zu begegnen. Zudem beobachtet sie einen Trend, der sich aus den USA kommend auch in Europa immer mehr durchsetzt: das Konzept der Resilienz, der Belastbarkeit. Dabei geht man davon aus, dass sich bestimmte Angriffe oder Ausfälle nicht verhindern lassen und es daher sinnvoller ist, sich um deren Bewältigung statt um deren Abwehr zu kümmern.

«Doch um herauszufinden, wie belastbar eine Gesellschaft in puncto Cyberattacken ist, brauchen wir zunächst einmalzuverlässige Daten», sagt Dunn Cavelty. Wie fehlertolerant sind die Netzwerke sensibler Infrastrukturen? Wie gut ist die Bevölkerung auf eine Cybersabotage, etwa einen Ausfall der Stromversorgung, vorbereitet? Wissen die Bürger, wie sie im Notfall an Wasser kommen? Einen entsprechenden Belastbarkeitsindex zu erstellen, sei eine der Hauptherausforderungen für die Forschung.

Letztlich, so die ETH-Experten, sei es vor allem das Unkontrollierbare, was die Cyberwelt so bedrohlich machte. Das Böse ist diffus, agiert versteckt. Einen sichtbaren Gegner gibt es nicht mehr. Und viel Zeit zum Nachdenken und Handeln bleibt nicht, ist Srdjan Capkun überzeugt: «In der Cyberwelt geht alles rasend schnell.» Daher will er mit seinem Team im ZISC so nahe wie möglich ins Zentrum des Geschehens vordringen: «Je intensiver wir mit den Betroffenen zusammenarbeiten, desto besser kennen wir deren Probleme und desto effizienter und schneller können wir entsprechende Lösungen entwickeln.»