Es häufen sich die zielgerichteten, komplexen und effektiven Cyber-Angriffe auf Regierungsinstitutionen, Parteien, Stiftungen und Mandatsträger und sie zielen damit auf unsere freiheitliche Gesellschaft und unsere Demokratie. Diese neue Dimension an Bedrohungen braucht zur Abwehr mehr als eine nationale Cyber-Armee: ein internationales Abkommen von Staaten und Technologieunternehmen, welches Angriffe auf Privatunternehmen, den Technik-Sektor und kritische Infrastrukturen ächtet.
Denn die Bedrohung im Internet ist riesig: 380.000 neue Schadprogrammvarianten werden täglich gesichtet, und mittlerweile sind mehr als 560 Millionen verschiedene Arten von ihnen bekannt. Davon ist die Mehrheit nicht zielgerichtet und dient der Verfolgung finanzieller Interessen. Aber ein wachsender Anteil der Angriffe wird immer zielgenauer und spezifischer, denn sie zielen nicht nur auf Unternehmen oder Endnutzer ab, sondern auch auf staatliche Institutionen. Der Cyberraum wird zum neuen globalen Schlachtfeld, in der Software als Waffe angewendet wird.
60 % der Deutschen befürchten eine Beeinflussung des Wahlkampfes mit digitalen Mitteln: Fake-News, Manipulationen in der Stimmenauszählung, technische Beeinflussung sowie Datenklau und Geheimnisverrat. Dies ergab eine YouGov-Umfrage im Auftrag von Microsoft. Und das Bundesamt für Sicherheit in der Informationstechnik (BSI) bestätigt diese Sorgen: Ende 2016 warnte die Behörde vor Wahlmanipulationen und Fake-News im Bundestagswahlkampf.
Cyber-Angriffe auf Regierungsnetzwerke finden täglich statt: ca. 44.000 ungezielte, mit Schadware infizierte E-Mails Angriffe werden pro Monat abgefangen und ca. 20 gezielte Angriffskampagnen täglich durch manuelle Analysen erkannt, ermittelte das BSI. Und die Angriffe werden professioneller. Sogenannte Watering-Hole-Angriffe häufen sich: Hierzu wird auf Webseiten, die für Mitarbeitende relevant sind und die sie oft besuchen, ein Schadcode platziert. Diese Codes dienen zur Spionage. Distributed Denial-of-Service (DDoS)-Attacken auf die Webseiten von Bundesbehörden haben sich von 2010 bis 2016 vervierfacht. Mit diesen Methoden rufen tausende Computer, die zumeist vorher durch Schadsoftware infiziert und zu einem Netzwerk zusammengeschlossen wurden (zu einem sogenannten Botnet), die Webseite auf und führen dadurch zu einer Überlastung des Datennetzes und so zu einer Nicht-Erreichbarkeit der Webseite. Diese sind zwar die am häufigsten stattfindenden Vorfälle, allerdings sind diese auch verhältnismäßig einfach abzuwehren, heißt es im Lagebericht 2016 des BSI.
Neben diesen ungezielten Massenangriffen häufen sich die (medial bekannt gewordenen) zielgerichteten Attacken. Die Angreifer, oft staatsnahe Gruppen, agieren professionell mit sogenannten Advanced Persistent Threats (APT)-Attacken: Äußerst präzise dringen sie in das Netzwerk ein, verursachen keinen Schaden, halten sich dort länger auf und sammeln Informationen.
Waren es vorher eher finanziell motivierte Angriffe und gab es politisch motivierte Hackerangriffe schon früher, haben diese mit den Angriffen von Nordkorea 2014 auf Sony eine neue Dimension angenommen. Diese sind jetzt auf politische Institutionen gerichtet, zu Teilen auch kombiniert mit Angriffen auf die Zivilbevölkerung.
Und auch in Deutschland häufen sich die Attacken auf staatliche Institutionen: Im März 2017 versuchten Hacker zum wiederholten Mal in das Netz des Bundestags einzudringen. Der Angriff konnte erfolgreich abgewehrt werden, da man nach dem Hackerangriff 2015, bei dem 16 GB an Daten entwendet wurden, neue Sicherheitsstandards integriert hatte.
Ein Hackerangriff auf die SPD-nahe Friedrich-Ebert-Stiftung ereignete sich im März und April 2017. Ein Angriff auf die CDU-nahe Konrad-Adenauer Stiftung wurde im gleichen Zeitraum vorbereitet, aber nicht durchgeführt.
Diese Angriffe haben Methode und seien kein einmaliges Unterfangen, treten in Wellen auf und dienen politischen Zielen, erklärt Matthias Schulze von der Stiftung Wissenschaft und Politik (SWP), der zu Hacking und Cybersecurity forscht, dem Portal die-stiftungen.de. „Der erste Angriff geht zunächst immer in die Breite, zielt also auf viele Akteure wie Parteien, Stiftungen, Verwaltung und so weiter. (…) Wer in der ersten Welle ‚anbeißt‘, der wird später tiefer kompromittiert und ausgeforscht. (…) Wenn Rechner einer Stiftung kompromittiert sind, können diese im Nachgang dazu verwendet werden, politischen Entscheidungsträgern Schadsoftware unterzujubeln, etwa durch manipulierte Dokumente.”
Die Hacker haben dabei Kenntnisse der politischen Infrastruktur Deutschlands. Sie wissen, welche Institutionen Vertrauen bei Regierungsvertreter und -Mitarbeiter besitzen. Ziel solcher Angriffe ist es, Informationen zu sammeln, um diese gezielt zu einem späteren Zeitpunkt zur Beeinflussung der öffentlichen Meinung einzusetzen.
Ende Juli 2017 erfolgte eine Angriffskampagne auf private Yahoo- und Gmail-Postfächer von Funktionsträgern aus Wirtschaft und Verwaltung, berichtet das BSI. Während Arbeitsemailpostfächer meist durch ein gutes Sicherheitssystem überwacht werden, werden private Postfächer oftmals nicht extra geschützt. Die Herangehensweise der Täter macht deutlich, dass hier gezielt Informationen von politischen und wirtschaftlichen Entscheidungsträger abgegriffen werden sollen.
Die Struktur dieser Attacken hätte damit Ähnlichkeit mit den Angriffen und darauffolgenden Leaks gegen die Demokratische Partei in den USA und die französische En Marche-Bewegung. Verantwortlich dafür soll der Cyberspionage-Zusammenschluss Pawn Storm sein, der seit 2004 besteht und damit die bislang am längsten tätigende Cybercrime-Organisation ist. Mit ihren weltweiten Angriffen verfolgt sie russische Interessen.
Eine Fake-News-Kampagne gibt es für 400.000 Euro im Darknet zu kaufen
Und auch die befürchtete Beeinflussung von Wahlen durch Fake-News ist durchaus realistisch. Davon zeugen Komplettangebote, die man im Darknet kaufen kann: Trend Micro, der weltweit führende Cybersicherheitsanbieter, zeigt in seinem Bericht einige Beispiele, wie man mit diesen die öffentliche Meinungen beeinflussen kann: Für 200.000 Dollar gibt es eine Kampagne, welche öffentliche Proteste auslösen soll. Diskreditierungen von Medienvertretern kostet 55.000 Dollar. Eine als “bekannt” dargestellte Fake-Person mit 300.000 Followern kostet nur 2.600 Dollar. Dienstleistungen beinhalten z.B. das ,,Anlegen gefälschter Profile und Gruppen in sozialen Netzwerken, Entwicklung der gefälschten Inhalte („Fake-News“) und die Erzeugung von Likes und Retweets für eine rasante Verbreitung. Sogar die Errichtung täuschend echter Nachrichtenseiten gehört zum Repertoire der Kriminellen”. Diese Pakete können auch von IT-Laien eingesetzt werden.
69 % Bürger sehen, laut einer YouGov Umfrage im Auftrag von Microsoft, Technologieunternehmen in der Pflicht, Sicherheit im Internet zu gewährleisten. 61% sehen die Pflicht bei sich selbst. Von der Regierung erwarten nur 49 % Schutz und nur 29 % der Befragten sehen multinationale Bündnisse als mögliche Organisationen an, die sie und Andere vor Gefahren im Internet schützen.
Technologieunternehmen sollen das Rote Kreuz im Cyberwar werden
Genauso ein multinationales Bündnis aus Technologieunternehmen und nationalen Regierungen hat Microsoft vorgeschlagen, um gegen die wachsende Anzahl von nationalstaatlich gesteuerten Cyberangriffen vorzugehen und um sich zu verpflichten, sich nicht gegenseitig anzugreifen. Microsoft, als weltweit größter Hersteller von Computerprogrammen hat ein ureigenes Interesse daran, dass so ein Bündnis entsteht, denn durch Cybercrime-Organisationen ausgenutzte Schwachstellen untergraben das Vertrauen in die Produkte des Konzerns.
Microsoft-Präsident und Chefjustiziar Brad Smith rief auf der größten Cybersecurity Messe – der RSA Conference – internationale Unternehmen und Regierungen dazu auf, die bereits kürzlich entwickelten Normen zur Cybersicherheit zu konkretisieren. Dazu schlug er ein multilaterales Abkommen vor. Die entwickelten Normen sollten als globale Regeln ratifiziert und diese dann in der ,,Digitale(n) Genfer Konvention zum Schutz der Zivilbevölkerung im Internet” verankert werden. Dieses Abkommen ist angelehnt an die vierte Genfer Konvention von 1949, welche den Schutz von Zivilpersonen in Kriegszeiten mit Hilfe des Roten Kreuzes regelt. Analog zum Roten Kreuz könnten die Technologieunternehmen als Ersthelfer bei nationalstaatlichen Cyberangriffe agieren.
Verzichten sollen die Staaten auf Cyberangriffe auf den Privatsektor und auf kritische Infrastruktur anderer Staaten sowie auf Hacking zum Diebstahl geistigen Eigentums. Private Initiativen sollen unterstützt werden, die Cyberangriffe erkennen, eindämmen, abwehren und unschädlich machen. Staaten, Unternehmen und IT-Dienstleister sollen gemeinsam kooperieren. Außerdem wird gefordert, dass Erkenntnisse zu Schwachstellen den Herstellern vorgelegt werden, damit diese die Sicherheitslücken schließen könnten. Eine Organisationseinheit soll geschaffen werden, die ähnlich wie die Internationale Atomenergie-Organisation (IAEO) aufgebaut ist, welche internationale Zusammenarbeit rund um Atomenergie fördert, aber die Entwicklung von Kernwaffen verhindern will.
Unternehmen sollen zu einer ,,Digitalen Schweiz” werden
Brad Smith fordert moralisches Handeln von Technologieunternehmen: Die IT-Industrie solle neutral bleiben, zu einer ”Digitalen Schweiz” werden und weder gegen Kunden noch Staaten vorgehen, auch wenn Regierungen sie beauftragten gegensätzlich zu handeln.
Diese neue Institution müsse den ,,Interessen des öffentlichen wie auch des privaten Sektors gerecht” werden und sollte, so erklärt Brad Smith, ,,aus technischen Experten aus den Regierungen, der Privatwirtschaft, der Wissenschaft und der Zivilgesellschaft bestehen. (…) Konkret brauchen wir eine Institution, die in der Lage ist, nationalstaatliche Angriffe zu untersuchen, Beweise zu sammeln und deren Zuordnung zu bestimmten Ländern öffentlich bekanntzugeben. (…) Sie sollte in der Lage sein, konkrete Angriffe zu untersuchen und Beweise für die mögliche Beteiligung einzelner Länder zu veröffentlichen”.
Um in Deutschland die Diskussion voranzutreiben hat Microsoft Berlin Vertreter aus Politik, IT-Wirtschaft und Wissenschaft zu der Veranstaltung ,,Hacking Democracy” eingeladen. Deutschland könne das Problem nicht alleine lösen, denn die Angriffe gingen über das nationale und auch europäische Recht hinaus.
Die Gefahr für die Demokratie sei offensichtlich. Um sich gegen Angriffe zu wappnen und gegen die Unterhöhlungen durch Fake-News auf die öffentliche Meinungsbildung vorzugehen, fordert Konstantin von Notz (Netzpolitischer Sprecher der Grünen Bundestagsfraktion) mehr Personal und finanzielle Mittel im Bundestag. Weder die vom Verteidigungsministerium gegründete Abteilung “Cyber- und Informationsraum” (auch als Cyber-Armee bekannt), noch die neu gegründete IT-Sicherheitsbehörde Zitis (“Zentrale Stelle für Informationstechnik im Sicherheitsbereich”) stellen ihm zufolge genügend technische Expertise bereit, um gegen Cyber-Bedrohung vorgehen zu können. Die Cyber-Armee findet kaum geeignetes Personal (Ziel: 13.500 Soldaten) und bei Zitis wären zwar schon zehn von hundert Stellen besetzt, allerdings seien dies fast nur Hausmeister und Pförtner, erklärt Konstantin von Notz, und kurioserweise würden sich die Behörden noch gegenseitig die Hacker abwerben. Die Internet- und Technikkonzerne hätten dagegen ein Vielfaches an qualifiziertem IT-Sicherheitspersonal. Microsoft beschäftigt allein 3.500 Sicherheitsingenieure. Außerdem sei es einfach nicht möglich, jede Sicherheitslücke zu schließen. Genau deshalb ist eine Konvention mit möglichst vielen beteiligten Staaten wichtig, die versichern, sich nicht gegenseitig anzugreifen, kooperieren und bei Angriffen untereinander Hilfe leisten.
Einig sind sich alle, dass Hard- und Softwareherstellern eine besondere Rolle zufällt. Bei staatlichen Angriffe müssen sie ihrer Verantwortung gerecht werden, denn schließlich sind sie verantwortlich für die Entwicklung der nationalen IT-Infrastruktur.
Viele offene Fragen sind zu klären
Auch Fragen nach Sanktionen für die angreifenden Parteien wurden diskutiert. Wie könnten diese aussehen? Und wer könnte das Hoheitsrecht erhalten, um diese durchzusetzen? Hersteller, Unternehmen oder Staaten? Wer könnte dieses zwischenstaatliche Gebilde leiten?
Genau diese Fragen und Ansätze müssen in naher Zukunft geklärt werden. Die von Microsoft initiierte Digitale Genfer Konvention ist eine globale Initiative. Diskussionen, wie sie bei Microsoft Berlin stattgefunden haben, erfolgen gerade weltweit.
politik-digital wird weiterhin über diesen Prozess berichten.
Bilder: by Microsoft Berlin
Text: CC-BY-SA 3.0