„Vollständigen Schutz wird es nie geben“
Die Kommunen, die vom Cyber-Angriff auf einen IT-Dienstleister in Südwestfalen getroffen wurden, sind zum Teil immer noch offline. Der IT-Sicherheitsexperte Prof. Borgolte erklärt im Interview, wer hinter solchen Angriffen steckt und wie man sich besser schützen kann.
Herr Prof. Borgolte, ist die Zahl der Cyberangriffe gestiegen?
Es ist nicht unbedingt die Zahl sondern vielmehr die Größe der Angriffe, die gestiegen ist. Es werden eher größere Unternehmen, Verwaltungen und Einrichtungen angegriffen. So wie aktuell der Angriff auf die Kommunen in Südwestfalen und im Ruhrgebiet oder im vergangenen Jahr der Angriff auf die Universität Duisburg Essen.
Wer steckt hinter diesen Angriffen?
In der Regel sind es Kriminelle, die es auf Erpressung anlegen. Da werden quasi ganze Rechner verschlüsselt, um vom Opfer Geld für den Freigabecode zu erpressen. So scheint es ja auch im aktuellen Fall zu sein.
Weshalb geraten Kommunen wie zuletzt in Südwestfalen ins Blickfeld von Kriminellen?
Nicht nur Kommunen oder deren IT-Dienstleister geraten in den Fokus von Cyberkriminellen. Verschiedenste Anbieter von Regierungen auf unterschiedlichen Ebenen werden angegriffen. Zum einen, weil es dort interessante Daten abzugreifen gibt. Attraktiv sind diese als Ziel für Hacker aber auch, weil man dort einen sehr großen Schaden anrichten kann. Legt man die Systeme lahm, sind viele Menschen betroffen. Und außerdem lässt sich darüber auch das politische Bild beeinflussen. Die Angreifer versprechen sich dann vielleicht gezielte Desinformationen platzieren zu können und sogar auf Wahlen Einfluss nehmen zu können.
Warum dauert es nach einem Angriff so lange, bis die Systeme wieder laufen?
Da kann ich nur spekulieren. Aber vielleicht liegt es auch daran, dass Überprüfungen der Backups nicht erfolgt sind. Möglich ist aber auch, dass sehr viele Änderungen am System für jede Kommune einzeln vorgenommen wurden. Dann muss der Dienstleister für jede Stadt ein minimal anderes System aufbauen. Das dauert seine Zeit und ist sehr aufwändig.
Ist es eigentlich gut, wenn viele Kommunen auf denselben Anbieter setzen?
Das ist kein Problem. Da gibt es natürlich viele Synergieeffekte. Es ist zum Beispiel ziemlich unsinnig, von zig unterschiedlichen Anbietern die Software einzukaufen, um die Hundesteuer zu berechnen. Das sollte doch in den meisten Kommunen recht ähnlich sein. Das Risiko für einen Angriff verringert sich nicht dadurch, dass mehr Dienstleister die Software anbieten.
Kann man sich als Privatperson vor Hacker-Angriffen schützen?
Vollständigen Schutz wird es nie geben. Aber man kann sich bestmöglich schützen. Dazu gehören sichere Passwörter. Leider existiert noch der Irrglaube, dass man alle paar Wochen sein Passwort wechseln sollte. Das erhöht aber nicht die Sicherheit, sondern gefährdet sie.
Warum?
Meistens wählt ein Nutzer am Anfang ein sehr sicheres Passwort. Danach geht es dann oft mit dem Passwort 1, bei der nächsten Änderung mit dem gleichen Passwort und der Ziffer 2 weiter, danach dann Passwort 3. Das führt dazu, dass ein Angreifer, der den Schlüssel einmal geknackt hat, auch an weitere Passwörter kommen kann.
Gibt es andere Wege, sich zu schützen?
Wichtig ist es, mit dem Worst-Case-Szenario zu planen. Also davon auszugehen, dass man Opfer eines Hackerangriffs werden kann. Das gilt im Privaten wie für Organisationen, Unternehmen und öffentliche Einrichtungen ebenso. Man sollte das so behandeln wie jeden anderen Desasterfall auch. Kommunen haben ja für verschiedene Szenarien Notfallpläne bei Brand, Hochwasser oder ähnlichem. Das muss es eben auch für einen Hackerangriff geben.
Wie kann dieser in der IT aussehen?
Man sollte also für den Fall planen, wenn ein System komplett ausfällt oder wenn es durch einen Trojaner verschlüsselt wird. Weiß man in einem solchen Fall, wie das System möglichst zeitnah wieder aufgebaut werden kann? Sind alle Veränderungen am System dokumentiert und ist diese Dokumentation auf dem neuesten Stand? Und wenn man schon Backups erstellt, dann sollte man auch versuchen, sie tatsächlich wiederherzustellen, wenn die Systeme noch laufen. Häufig gibt es Backups, aber es wird nicht überprüft, ob diese Sicherungen auch wiederherstellbar sind. Im Grunde genommen hat man damit auch keine Sicherung, weil man nicht weiß, ob es funktioniert.
Interview: Jürgen Bröker, wsp
Kevin Borgolte ist Professor für Softwaresicherheit an der Ruhr-Universität Bochum (RUB). Er ist Mitglied der Arbeitsgruppe Informatik am Host Götz Institut für IT-Sicherheit an der RUB und des Exzellenzclusters für Cyber Security in the Age of Large-Scale Adversaries (Cybersicheheit im Zeitalter von großskalierten Angreifern, CASA). Zu seinen Forschungsschwerpunkten gehört die Auseinandersetzung mit Schadsoftware und Cyberangriffen.