Fachleute warnen vor russischen Rache-Hacks auf kritische Infrastrukturen wie Verkehr, Energieversorger und Krankenhäuser als Teil der Kriegsführung. Sicherheitsexperte Stefan Brunthaler spricht im BSZ-Interview darüber, wie sich Sicherheit und die digitale Souveränität Deutschlands erhöhen lässt.

BSZ Herr Brunthaler, die Bundesregierung spricht von einer „erhöhten Gefährdungslage“. Teilen Sie die Einschätzung bezüglich der aktuellen Gefahr?
Stefan Brunthaler Ja. Dies hat aber nur bedingt mit dem aktuellen Kriegsgeschehen in der Ukraine zu tun, sondern eher mit der stetig wachsenden Anzahl von Computer-Angriffen. Der Schutz Kritischer Infrastrukturen ist dabei natürlich von zentraler Bedeutung. Da aber durch die Schadensereignisse der letzten Jahre innerhalb von Gesellschaft und Politik ein Prozess der Bewusstseinsbildung stattgefunden hat, sind wichtige Schritte zum Schutz der Kritischen Infrastrukturen bereits eingeleitet worden. Durch sogenannte Threat Intelligence-Systeme können Daten über Angriffe zum Beispiel gesammelt und ausgewertet werden. Am Forschungsinstitut Code gibt es dazu das Forschungsprojekt Concordia, welches sich mit einem europäischen Threat Intelligence-System für die Telekommunikations-Industrie beschäftigt. Ein solches System agiert dabei wie ein Sensor, der Angriffe registriert, aggregiert, analysiert und damit für die Erstellung eines sinnvollen Lagebilds notwendig ist.

BSZ Welche Empfehlungen gibt es von Ihrer Seite für Privatpersonen?
Brunthaler Die Empfehlung vom Bundesamt für Sicherheit in der Informationstechnik, Kaspersky nicht mehr zu verwenden, ist nachvollziehbar und wurde bereits vor mehreren Jahren in den USA von staatlichen Behörden getroffen. Das Problem an sich ist, dass ein Virenschutz-Programm mit gewissen Privilegien ausgestattet ist, die es für Angreifer besonders attraktiv machen. Die der Empfehlung zugrundeliegende Erkenntnis ist aber allgemeingültig und sollte eingehend tiefer reflektiert werden: Welche Bibliotheken verwendet ein Programm? Wer ist der Eigentümer von Bibliotheken und Programmen? Diese Fragen sollten gründlich recherchiert und beantwortet werden, insbesondere auch beim Erwerb von Software-Produkten – und das betrifft nicht nur Virenschutz und Office-Software, sondern gilt auch für jede andere Software. Der chinesische Konzern Tencent hat zum Beispiel viele Computerspiele erworben und könnte daher, zumindest theoretisch, Einfluss auf viele Computer-Systeme nehmen.

BSZ Was können Unternehmen tun, um sich zu vor Angriffen zu schützen?
Brunthaler Ein übliches Sieben-Tage-Fenster für sogenannte rollende Backups, also Backups, die immer wieder durch neue Backups überschrieben werden, kann ein Ransomware-Angriff umgehen, indem er erst nach sieben Tagen aktiv wird. Zusätzliche monatliche Backups – eventuell auch auf Band – würden hier Abhilfe schaffen. Zusätzlich können wir auf grundlegende Prinzipien der Computer-Sicherheit zurückgreifen, wie beispielsweise die Prämisse, Systeme regelmäßig zu aktualisieren. In den letzten sechs Monaten wurden einige gravierende Schwachstellen publiziert, nämlich „Printer Nightmare“ und diverse Log4J-Probleme. Solange Systeme nicht aktualisiert werden, stellen diese Schwachstellen ein großes Problem dar, da sie dem Angreifer als "Kompass" dienen. Zusätzlich sind alle Maßnahmen empfehlenswert, die einen Phishing-Vorfall erschweren. Oft sind hier auch einfache Mittel hilfreich, zum Beispiel extern empfangene Emails deutlich als "[EXTERN]" zu markieren.

BSZ Sollte das Geld des 100-Milliarden-Euro-Sondervermögens für die Bundeswehr auch in die Cyberabwehr fließen?
Brunthaler Neben dem tatsächlichen militärischen Gerät, das der Bundeswehr zur Ausübung ihrer Verteidigungsaufgaben primär zur Verfügung steht, wächst die Notwendigkeit der effektiven und effizienten Cyberabwehr stetig. Manipulierte Informationen, sichere Kommunikationskanäle und die Abwehr feindlicher Angriffe sind keine theoretischen Konzepte mehr, sondern im Verlauf des aktuellen Kriegsgeschehens verfolgbar. Glücklicherweise sind die Investitionen im Bereich der Cyberabwehr im Gegensatz zu traditionellem militärischen Gerät aber vergleichsweise gering, weshalb ich davon ausgehe, dass der Cyberabwehr auch ausreichend finanzielle Mittel zur Verfügung gestellt werden. Andernfalls wäre zwar neues militärisches Gerät vorhanden, würde aber nicht durch ausreichend fortschrittliche Computer-Sicherheit betrieben und geschützt werden.

"Europa entwirft keine eigenen CPUs, produziert keine eigenen Speicherchips, hat keinen eigenen Browser und keine Suchmaschine"

BSZ Was könnte generell getan werden, um aktuell die Cyberabwehr und die digitale Souveränität Deutschlands zu erhöhen?
Brunthaler Das Thema der digitalen Souveränität beschäftigt uns in der Wissenschaft schon seit einigen Jahren und wird noch viel Arbeit benötigen – nicht nur aus wissenschaftlicher Sicht, sondern auch von Partnern aus der Wirtschaft. Obwohl Deutschland in Europa hier eine Führungsrolle übernehmen kann, ist digitale Souveränität ohne unsere europäischen Partner weder möglich noch sinnvoll. Eine nüchterne Analyse der Situation zeigt, wie sehr wir in Europa von anderen Ländern abhängig sind: Wichtige Teile der Software, Hardware und Dienste, die wir täglich verwenden, liegen außerhalb der europäischen Einflusssphäre. Denken Sie dabei ruhig auch in größeren Dimensionen: Europa besitzt keinen sogenannten Hyperscaler, entwirft keine eigenen CPUs, produziert keine eigenen Speicherchips, keinen eigenen Browser, keine Suchmaschine, keine nennenswerten Compiler zum Übersetzen von Hochsprachen in Maschinencode et cetera. China, Russland und die USA haben hier eindeutig einen großen Wettbewerbsvorsprung und schon vor vielen Jahren angefangen, die strategische Autonomie herzustellen.

BSZ Das klingt nicht gut.
Brunthaler Die Lage ist glücklicherweise nicht so aussichtslos, wie es auf den ersten Blick erscheinen mag. Zum einen stehen wir wissenschaftlich keinem dieser geopolitischen Mitbewerber nach und zum anderen verfügt Europa über entsprechende Produktionskapazitäten und -wissen, um selbständig, selbstbestimmt und kontrollierbar einzelne Komponenten zu entwickeln. Diese Komponenten in Europa zu produzieren, ist momentan aufgrund der Preisgestaltung ökonomisch nicht sinnvoll und aufgrund der fehlenden europäischen Ressourcen, zum Beispiel im Bereich der seltenen Erden und der Lithium-Vorkommen, auch nicht einfach. Durch strategische Forschungsprogramme – kombiniert mit garantiertem Absatzmarkt durch Militärs und öffentliche Behörden – kann hier aber sehr wohl ein ökonomischer Anreiz geschaffen werden, um die europäische Wirtschaft in diesen Prozess zu integrieren. Dieser Protektionismus ist zwar aus ökonomischer Sicht problematisch, aber aus Sicht der digitalen Souveräntität wohl alternativlos.

BSZ Was halten Sie von der Forderung von Digitalministerin Judith Gerlach (CSU), Hackbacks nicht länger auszuschließen?
Brunthaler Die Forderung ist an sich nachvollziehbar, erfordert aber natürlicherweise auch das Vorhandensein der technischen Möglichkeiten und auch den politischen Willen, diese Angriffe durchzuführen. An der Debatte um den Pegasus-Trojaner der israelischen Firma NSO kann man bereits erkennen, dass ein Einsatz zumindest gesellschaftlich auf Widerstand stoßen wird. Selbst unter der Annahme, dass der Wille besteht, sowohl gesellschaftlich als auch politisch, gibt es auch technische Schwierigkeiten. Ein konkretes Problem ist dabei die sogenannte Attribution: Wer hat den Angriff durchgeführt?

BSZ Lässt sich das nicht herausfinden?
Brunthaler  Das gestaltet sich sehr schwierig: Nehmen Sie an, ein Angriff auf eine deutsche Entität erfolgt durch eine kriminelle Organisation russischen Ursprungs, wird aber über ein unbeteiligtes Drittland durchgeführt. Bei diesem Drittland könnte es sich auch um einen befreundeten Bündnisstaat handeln oder ein neutrales Nachbarland, wie etwa Österreich oder die Schweiz. Wenn also alle unmittelbar messbaren Indikatoren auf das unbeteiligte Drittland zeigen, dann braucht es gesonderte, aufwändige Analysen des Angriffscodes, um eine sinnvolle Attribution durchzuführen. Aber auch dieses aufwändigere Verfahren ist nicht fehlerfrei und kann durch geschickte Täuschmanöver sabotiert werden: Ein Angreifer könnte beispielsweise Angriffscode und -methoden von Angriffen verwenden, die Russland zugeordnet werden und dadurch die korrekte Attribution erschweren oder gar verhindern. (Interview: David Lohmann)

Stefan Brunthaler ist Professur für Sichere Software-Entwicklung am Forschungsinstitut CODE der Universität der Bundeswehr München