Wer glaubt, er könne nie Opfer einer Cyberattacke werden, der irrt. Auch Verwaltungen werden angegriffen und müssen sich schützen. Wir sprachen mit dem Experten für IT-Sicherheit Carlo Harpes. Harpes ist Managing Director bei der IT-Sicherheitsfirma itrust aus Niederanven.
Tageblatt: Müssen wir jeden Tag Angst haben, dass eine Verwaltung Opfer einer Cyberattacke wird?
Carlo Harpes: Ich glaube nicht, dass man jeden Tag Angst haben muss. Es ist aber wichtig, sich darauf vorzubereiten und einzustellen, damit man weiß, was zu tun ist, wenn so ein Fall eintritt.
Bedeutet das, dass so ein Fall nicht immer vermeidbar ist?
Dem ist so. Man darf nicht davon überzeugt sein, dass einem selbst so etwas nicht passieren kann. Es gibt einige Beispiele von Unternehmen, die aussagten, sie seien unantastbar. Diese Firmen haben sich eine blutige Nase geholt.
Was ist zu tun, wenn der Fall der Fälle eintritt?
Wenn der Fall eintritt, ist es wichtig, schnell zu reagieren. Wir empfehlen, ein Team zu haben, die Experten in der Materie sind – Forensiker, die wissen, wonach sie suchen müssen und wie sie vorzugehen haben.
Forensiker bedeutet, man versucht herauszufinden, woher ein Angriff stammt. Wer würde heute einen Hackerangriff auf einen Staat ausführen?
Zu nennen sind wirtschaftliche und politische Interessen. Luxemburg ist für beides ein Ziel. Einerseits geht es uns wirtschaftlich gut – das vermittelt den Eindruck, dass hier etwas zu holen ist. Andererseits sind wir Mitglied in einem Bündnis, dem nicht jeder wohlgesonnen ist. Angreifer könnten folgern, dass es einfacher ist, ein kleines Land anzugreifen, weil sie glauben, ein kleines Land habe weniger Mittel, um sich zu verteidigen als ein großes.
Was ist für einen Angreifer zu holen? Was versucht ein Angreifer zu finden oder zu zerstören?
Das ist sehr vielfältig. Einerseits kann er versuchen, die öffentliche Verwaltung lahmzulegen, so wie es vor Jahren in Estland passiert ist. Er kann auch versuchen, kritische Infrastrukturen lahmzulegen. Das könnte zum Beispiel bedeuten, dass die Strom- oder Wasserversorgung unterbrochen wird, dass Banken schließen müssen oder dass Krankenhäuser nicht mehr funktionieren können.
Muss ich als Bürger dem Staat im Umgang mit meinen Daten misstrauen? Zum Beispiel mit den Informationen, die die staatliche Krankenkasse über mich hat?
Ich bin der Meinung, man hat das Recht, nicht nur Unternehmen, sondern auch Staaten im Umgang mit Daten zu misstrauen. Es gibt genug Beispiele in der Geschichte, die zeigen, dass auch demokratische Staaten nicht immer gut mit Daten umgehen. Eigentlich müsste der Staat eine Vorbildfunktion im Umgang mit Daten ausüben. Ich habe keinen Hinweis darauf, dass der Luxemburger Staat Daten nicht richtig verwaltet. Allerdings kochen diese Leute auch nur mit Wasser und haben ihre Budgets, die sie einhalten müssen.
Sollte ein Land dazu in der Lage sein, aktiv andere Länder anzugreifen?
Meine persönliche Überzeugung ist, dass ein Staat das nicht machen darf und nicht machen soll. Ich kann aber verstehen, dass es nicht-staatliche Akteure gibt, die ein Interesse am Schutz einer Volkswirtschaft haben und die Hacker zur Strecke bringen. Das bedeutet auch manchmal, dass sie in deren Server eindringen, um dort Beweise zu sichern.
Ist es nicht sehr kompliziert herauszufinden, wo eine Attacke herkommt?
Die Erfahrung zeigt, dass Hacker manchmal ähnlich schlampig arbeiten wie die Menschen, die sich gegen sie verteidigen, und dass es oft gar nicht so schwer ist, sie anzugreifen.
Jeder Mensch macht Fehler. Und Hacker sind auch nur Menschen, die in der Regel nicht perfekt arbeiten.
Wenn es in der Presse heißt, ein Hack trage die Handschrift einer bestimmten Gruppe, was ist darunter zu verstehen? Gehen Hacker nicht alle ähnlich vor?
Nein. Es gibt unterschiedliche Methoden. Wenn festgestellt werden kann, welcher Code benutzt wurde, dann kann untersucht werden, wo dieser Code vorher schon benutzt worden ist und welche «Handschrift» er hat. In diesem Sinne gehen Schadprogramm-Analysten ähnlich vor wie die Polizei – wie ein Profiler.
Stehen Menschenleben auf dem Spiel? Sie haben davon gesprochen, dass Krankenhäuser potenzielle Ziele sind.
Ja. Bislang gibt es nicht viele Fälle von Angriffen auf Computersysteme, die zum Ziel hatten, Menschenleben zu vernichten. Das ist auch gut so. Cyberangriffe sind machbar und sie können aus großer Distanz ausgeführt werden. Gegenüber brutaler, physischer Gewalt haben sie eine gewisse «Attraktivität». Im Endeffekt können sie aber zu ähnlichen Ergebnissen führen.
Hat ein Staat dann nicht einen Anreiz dazu, nicht alles informatorisch zu machen?
Nicht unbedingt. Die Digitalisierung ist ein Mittel, um Kosten zu sparen und Arbeit effizienter und besser zu machen. Wir sollten wegen unserer Angst vor Cyberattacken nicht darauf verzichten. Wir sollten uns der Gefahr durch Cyberattacken bewusst sein, um Vorsicht walten zu lassen. Ein gutes Beispiel ist die Telemedizin. Es ist praktisch, wenn man über eine weite Distanz hinweg von einem erfahrenen Spezialisten operiert werden kann. Nicht überall gibt es einen Experten für jeden Fall. Diese Technik kann zum Beispiel in Entwicklungsländern eingesetzt werden, wo es an Fachleuten fehlt. Natürlich ist diese Telemedizin von guten Verbindungen abhängig. Wenn eine solche Verbindung gekapert wird, dann kann das kritisch für den Patienten werden.
Haben Sie den Eindruck, dass die Politiker diese Gefahren verstehen?
Wir haben einen Rückstand gegenüber dem, was getan werden müsste. Das soll nicht heißen, dass wir weniger machen als andere Länder. Heute wäre viel mehr möglich und vieles könnte besser organisiert werden. Es bleibt noch viel zu tun.
Woran liegt das? Gibt es nicht genug Geld oder sind die Verantwortlichen zu unvorsichtig?
In erster Linie ist es eine Sache der Einstellung und der Verantwortung. Die Leute müssen einsehen, dass so etwas auch ihnen passieren kann. Es bringt nichts zu sagen, „ich habe das nicht kommen sehen“. Das Problem der Sicherheit ist das gleiche wie das Problem der EDV. Das Thema ist so kompliziert, dass die Menschen, die über das Budget entscheiden, es nicht richtig verstehen. Es fehlt an Managementkompetenzen, um das Thema Cybersicherheit richtig anzugehen.
Wer in der Regierung ist für Cybersicherheit zuständig?
Das Problem ist, dass drei Minister dafür zuständig sind. Premierminister Xavier Bettel ist zuständig für Datenschutz und die nationale Sicherheit. Der Innenminister ist zuständig für die EDV der Verwaltung und soll diese sicher gestalten. Etienne Schneider stellt als Wirtschaftsminister Ressourcen zur Verfügung, um die Wirtschaft zu schützen. Andererseits ist er als Verteidigungsminister zuständig für die Armee. Cyberbedrohung wird zunehmend als militärische Bedrohung angesehen.
Der Premier ist außerdem zuständig für den Geheimdienst SREL …
Das stimmt. Der Geheimdienst kümmert sich um vertrauliche Daten – also Daten von nationalem, europäischem oder militärischem Interesse. Er steckt den Rahmen, damit diese Daten gut geschützt sind. Der Geheimdienst ermittelt auch, um einschätzen zu können, ob die Menschen, die auf solche Daten zugreifen können, vertrauenswürdig sind.
Außerdem erstellt der SREL eine Übersicht über die Bedrohungen für das Land. Dazu gehören Cyberattacken genauso wie Terroranschläge.
Ist man dem als Bürger ausgeliefert oder kann man etwas dagegen tun?
Das Wichtigste ist, dass die Bürger ein Gespür im Umgang mit ihren Daten entwickeln und sich überlegen, wo sie welche Informationen preisgeben.
Beim Staat sind die Bürger teils jedoch verpflichtet, Angaben zu machen.
Das ist weniger schlimm. Der Staat ist in dieser Hinsicht stark unterteilt. Ein Ministerium hat oft keinen Zugriff auf Informationen eines anderen Ministeriums. Der Datenschutz geht in der Hinsicht extrem weit. Als Bürger ärgere ich mich dann oft, dass ich gegenüber dem Staat Angaben machen muss, die er eigentlich bereits haben sollte. Andererseits geben die Menschen oft sehr oft bereitwillig Informationen an Firmen weiter. Es ist erschreckend, wie viel Unternehmen wie Google, Facebook und so weiter über die Menschen wissen. Diese Informationen würden in den meisten Fällen reichen, um die Menschen zum Beispiel zu erpressen. Diese Firmen haben allerdings eher ein wirtschaftliches Interesse und sind darauf angewiesen, dass Kunden ihnen Daten anvertrauen.
Sie müssen angemeldet sein um kommentieren zu können