ZEIT ONLINE: Hacker sind in ein deutsches Regierungsnetzwerk eingedrungen und haben möglicherweise ein Jahr lang Daten gestohlen: Was bedeutet das?
Das heißt, dass kein Netz der Welt, und sei es noch so gut gesichert, geschützt ist vor derlei Angriffen. Hundertprozentige Sicherheit gibt es im Netz nicht. Meistens ist der Faktor Mensch für Fehler verantwortlich. Solche Angriffe finden normalerweise mit menschlicher Hilfe statt. Das Opfer ermöglicht der Schadsoftware versehentlich, in das geschützte Netz einzudringen. Zum Beispiel öffnet es eine E-Mail mit einem Dateianhang. Selbst eine Word-Datei kann einen Programmcode enthalten, der eine Schadsoftware im System installiert. So könnte das auch bei dem aktuellen Angriff passiert sein.
ZEIT ONLINE: Wie gut war das Regierungsnetz denn geschützt?
Federrath: Spätestens seit dem Angriff 2015 auf die Rechner von deutschen Bundestagsfraktionen, der vermutlich von einer russischen Hackergruppe begangen wurde, war man sich auch beim zuständigen Bundesamt für Sicherheit in der Informationstechnik bewusst: Solche Angriffe können immer wieder stattfinden. Das heißt, es gab genug Zeit zu analysieren, wie solche Täter vorgehen. Offensichtlich war das aber nicht ausreichend.
ZEIT ONLINE: Schützen sich andere Länder besser vor solchen Angriffen als Deutschland?
Federrath: Nein, der Standard ist allgemein bekannt – sowohl bei Regierungen als auch bei Firmen. Schützen kann man sich vor solch einem Angriff nur, wenn man die Kommunikation vollständig unterbindet. Manche Behörden, so auch das deutsche Außenministerium, das angegriffen wurde, haben zwei oder mehrere Netze. Sie sind physikalisch streng voneinander getrennt: einerseits das Netz, das vom Internet erreichbar ist und über das zum Beispiel der Mailverkehr läuft, andererseits eines mit den sensiblen Daten. Zwischen den Netzen findet kein direkter Datenaustausch statt. Aber: Mittlerweile gibt es auch sehr fortgeschrittene Angriffsmethoden, die solche völlig isolierten Netze miteinander verbinden. Man kann gewissermaßen von dem einen auf das andere Netz überspringen.
ZEIT ONLINE: Heißt das, die womöglich entwendeten Daten waren nicht sensibel?
Federrath: Zunächst einmal
wissen wir überhaupt noch nicht, ob überhaupt Daten kopiert wurden,
aber man darf davon ausgehen. Auch hier spielt der Faktor Mensch eine
bedeutende Rolle: Wenn Mitarbeiter im nicht geschützten Bereich
vertrauliche Informationen eingeben, zum Beispiel in ein
Textverarbeitungsprogramm oder eine E-Mail, können unter Umständen
solche Daten dann auch abgegriffen werden.
ZEIT ONLINE: Es heißt, Russland steckt hinter dem Angriff. Wie sicher ist das?
Federrath: Schon bei den Angriffen 2015 auf Rechner der Bundestagsfraktionen waren es vermutlich Hacker, die vom russischen Militär und Nachrichtendienst gesteuert wurden. Das liegt hier ebenfalls nahe – absolute Sicherheit gibt es aber noch nicht.
ZEIT ONLINE: Mit welchen Methoden arbeiten diese Täter?
Federrath: Die Täter benutzen neben den breit bekannten Angriffsmethoden, etwa dem Verbreiten von Schadsoftware per E-Mail, auch fortgeschrittenere Tricks. Dabei handelt es sich um Schadprogramme, die sich so tief im System verankern, dass selbst bei kompletter Neuinstallation der Software auf einer Festplatte die Schadsoftware trotzdem zurückbleibt. Staatlich organisierte Hacker haben sicherlich die Kompetenz, solch einen Angriff zu starten. Da gehört neben Russland, China, USA und Israel vermutlich auch der Iran dazu.
Ähnlich trickreiche Angriffe hat man zum Beispiel im Iran 2010 gesehen. Da haben die USA und Israel gemeinsam iranische Systeme angegriffen. Viele Angriffe lassen sich allerdings auch spiegeln, das heißt, das Opfer nutzt die gleiche Angriffsmethode gegen die Täter. So hätte der Iran problemlos zurückschlagen können. Wenn Staaten andere Staaten im Cyberspace angreifen, ist die Ressourcenlage ganz anders als bei privaten Hackern. Wir sprechen dann auch vom Cyberwar.
ZEIT ONLINE: Es heißt jetzt ja auch: Dieser Angriff kommt einer Kriegserklärung oder einem Atomschlag nahe. Wie schlimm ist es wirklich?
Federrath: Das ist hauptsächlich Polemik. Mit solch einem Angriff kann man normalerweise nicht unmittelbar Leib und Leben bedrohen. Bei diesem Angriff sieht es eher so aus, als sei es um das Mitlesen der Informationen gegangen. Das wäre dann ein reiner Spionageangriff auf die Bundesrechner – wie schon bei der NSA-Affäre.
ZEIT ONLINE: Sie sagen, beispielsweise bei dem Angriff 2010 hätte der Iran problemlos zurückschlagen können. Braucht es völkerrechtliche Regelungen, damit so ein Angriff nicht doch in einen Krieg ausartet?
Federrath: Es gibt mittlerweile erste Ideen dazu. Die Drohnenangriffe der Amerikaner in Pakistan und im arabischen Raum haben das Bewusstsein dafür geschärft, dass sich Täter und Opfer nicht mehr physikalisch gegenüberstehen müssen. Ebenso ist es bei Cyberangriffen. Die Täter – egal ob Soldaten oder Geheimdienstler – sind quasi Teil eines Geschehens, das sich wie ein Computerspiel anfühlt. Da ist es durchaus naheliegend, solche zwischenstaatlichen Cyberangriffe völkerrechtlich ähnlich zu ächten wie etwa Angriffe mit Landminen. Die werden ausgelegt, ohne dass die Verantwortlichen kontrollieren, wer dadurch später zu Schaden kommt.
ZEIT ONLINE: Und was muss jetzt unmittelbar passieren?
Federrath: Erst einmal müssen Spezialisten untersuchen, was genau geschehen ist. Es braucht eine präzise Analyse. 2015 nach der Attacke auf die Bundesrechner gab es Gerüchte, dass nun alle Regierungsrechner weggeworfen werden müssten, weil man den Code des Schadprogramms nicht entfernen könne. Das hat sich glücklicherweise nicht bewahrheitet. Jetzt ist die Schulung und Sensibilisierung der Beschäftigten notwendig. Zudem sollte überprüft werden, welche Daten in welchen Netzsegmenten erforderlich sind. Datensparsamkeit und Datenvermeidung waren und sind eine gute Präventionsstrategie.
ZEIT ONLINE: Der Angriff war den Behörden schon seit Dezember bekannt. Warum wurde das nicht gleich öffentlich gemacht?
Federrath: Aus jedem Angriff kann man viel lernen. Und wenn ich mir vorstelle, dass diese Angriffe intern seit Dezember bekannt waren, können wir davon ausgehen, dass die Angriffe in den letzten Monaten beobachtet wurden. Das Risiko ist natürlich, dass weitere Daten gestohlen werden. Aber man kann auch aus Verhaltensweisen der Täter für die Zukunft lernen. Das ist wie bei einer polizeilichen Ermittlung: Wenn Sie den Verdächtigen, den Sie beobachten, in einer Pressemitteilung über die Überwachung informieren, wird er sein Verhalten ändern. Wenn Sie im Verdeckten weiter ermitteln, können Sie ihn vielleicht durchschauen. So ist das hier wohl auch gewesen.
ZEIT ONLINE: Hacker sind in ein deutsches Regierungsnetzwerk eingedrungen und haben möglicherweise ein Jahr lang Daten gestohlen: Was bedeutet das?
Das heißt, dass kein Netz der Welt, und sei es noch so gut gesichert, geschützt ist vor derlei Angriffen. Hundertprozentige Sicherheit gibt es im Netz nicht. Meistens ist der Faktor Mensch für Fehler verantwortlich. Solche Angriffe finden normalerweise mit menschlicher Hilfe statt. Das Opfer ermöglicht der Schadsoftware versehentlich, in das geschützte Netz einzudringen. Zum Beispiel öffnet es eine E-Mail mit einem Dateianhang. Selbst eine Word-Datei kann einen Programmcode enthalten, der eine Schadsoftware im System installiert. So könnte das auch bei dem aktuellen Angriff passiert sein.