Zwischenruf Nr. 3

--- 22.04.2021 ---

Der Blindflug der Unternehmen im Cyberkrieg

Die Zahl der Cyberangriffe steigt so rasant, dass viele Unternehmen auf einen Mehrfronten-Kampf mit mehreren Banden nicht vorbereitet sind. Das Problem ist hausgemacht: Um Kosten zu sparen, verzichten die Opfer auf die vollständige Aufklärung aller Attacken auf ihre IT-Systeme.

Studien über die aktuelle Bedrohungslage im Cyberraum kommen eigentlich immer zu dem gleichen Ergebnis: Die Zahl der erfolgreichen Cyberangriffe steigt stetig an. Eine Trendwende ist trotz zusätzlicher Investitionen in die IT-Sicherheit nicht in Sicht. Die in dieser Woche publizierten Ergebnisse einer Umfrage des Spezialversicherers Hiscox reihen sich da nahtlos in die schier endlose Kette ähnlicher Security-Reports ein.

Eher am Rande warnen die Autoren des Hiscox-Reports vor einer neuen Bedrohung, die in den Briefings des Bundesamtes für Sicherheit in der Informationstechnik (BSI) überhaupt noch keine Rolle spielt: Unternehmen, die nur einen einzigen Hackerangriff erlebt haben, sind nur noch eine kleine Minderheit. Die Mehrzahl räumt inzwischen ein, dass ihr Unternehmen von mehreren Hackergruppen erfolgreich unter Beschuss genommen wurde — entweder gleichzeitig oder zeitversetzt.

Die Unternehmen sind auf diese neue Form der Bedrohung überhaupt nicht vorbereitet. Dabei zeichnet sich schon länger ab, dass Cyberbanden bei ihren Opfern einen Mehrfronten-Kampf eröffnen. Bei rund einem Dutzend in Deutschland aktiven hochprofessionellen Angreifergruppen, die meist eng mit ausländischen Geheimdiensten zusammenarbeiten, ist es sehr wahrscheinlich, dass mehrere Gruppen besonders innovative Unternehmen ins Visier nehmen und die IT-Systeme mit ihren Spionageprogrammen verseuchen. Solche geschickt getarnten Angriffe bleiben über viele Monate und mitunter sogar Jahre unentdeckt. Genug Zeit für andere Angreifergruppen, ebenfalls dort einzudringen. Viele Unternehmen entdecken das erst, wenn auch noch die organisierte Kriminalität ihre IT-Systeme kapert und hohe Lösegelder zur Freigabe aller Daten fordert.

Diese offene Flanke ist Teil eines verantwortungslosen Missmanagements. Das Problem ist hausgemacht: Auch im Notfall stocken Vorstände und Geschäftsführer nicht das IT-Budget auf und verzichten auf eine vollständige Aufklärung des Cyberangriffs. Diese Erfahrung machen die von IT-Sicherheitsfirmen wie G Data in Bochum und Syss in Tübingen aufgebauten Spezialeinheiten, die Unternehmen bei besonders schweren Cyberangriffen zu Hilfe eilen. Ihre Notfall-Einsätze sind gefragt, mehr aber auch nicht. Danach dürfen sie wieder abrücken.

Dabei ist das IT-System nur von dem Schadprogrammen befreit, das den Alarm ausgelöst hat. Erst eine vollständige Gefahrenanalyse würde eine intensive Fahndung nach weiteren gefährlichen Eindringlingen auslösen, die sich schon länger in den IT-Systemen verstecken. Nur: Solch eine Jagd mit dem Einsatz neuester forensischen Methoden bei der Spurensuche ist den meisten Führungskräften zu teuer. Sie verzichten lieber auf vollständige Transparenz und machen im Blindflug weiter.

 

Zwischenruf Nr. 2

--- 09.03.2021 ---

Wenn Cyberspionage zur Lappalie wird

Können Sie sich noch an Edward Snowden erinnern? Vor sieben Jahren wirbelten die Enthüllungen des ehemaligen NSA-Agenten die Welt durcheinander. Die von Snowden veröffentlichten Geheim-Dokumente stellten die US-amerikanische IT-Industrie unter den Generalverdacht, eng mit den Nachrichtendiensten zu kooperieren.

Die Aufregung war groß, aber die Bundesregierung zog daraus nur eine Konsequenz. Um Spionage durch Hintertüren in IT-Produkten zu verhindern, formulierte der damalige Bundesinnenminister Thomas de Maizière im Sommer 2014 den sogenannten No-Spy-Erlass. Bei öffentlichen Ausschreibungen sollte nicht mehr nur der Preis eine zentrale Rolle bei der Auftragsvergabe spielen, sondern auch die Vertrauenswürdigkeit des Unternehmens. Wer mit Deutschland Geschäfte machen will, muss schriftlich die Garantie abgeben, nicht mit ausländischen Nachrichtendiensten bei Späh-Operationen zusammenzuarbeiten. Mit diesem Versprechen wollte die Bundesregierung versteckten Kooperationen ein Ende bereiten oder zumindest erschweren.

Das will sie offenbar immer noch. Denn in dem jetzt im Bundestag debattierten Entwurf des Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetze 2.0) sind solche Selbst-Erklärungen zur Vertrauenswürdigkeit mit hohen Vertragsstrafen bei Verstößen weiterhin enthalten.

Inzwischen scheinen einige Behörden die guten Vorsätze nach den Snowden-Enthüllungen aber wieder zu vergessen. Die politischen Ziele des No-Spy-Erlasses werden jedenfalls nicht mehr so gelebt wie sich das die Autoren im Bundesinnenministerium damals vorgestellt haben. Das zeigt eine unterschriftsreife Rahmenvereinbarung des Landeskriminalamtes (LKA) in Bayern. Bei der anstehenden Modernisierung der IT-Systeme soll der US-amerikanische Ausrüster Cisco Systems den 40-Millionen-Euro-Auftrag zur Erneuerung der Router und andere Netzkomponenten bekommen — mit einer No-Spy-Klausel, die ihren Namen nicht verdient.

Denn ausgerechnet bei der obersten bayerischen Kriminalbehörde, die im Zuge ihrer Ermittlungen auch überaus sensible Daten auswertet, verkümmert der No-Spy-Erlass zum zahnlosen Papiertiger. Sollte das Landeskriminalamt feststellen, dass Cisco einem ausländischen Nachrichtendienst Zugang zu vertraulichen Ermittlungsakten verschafft, dann deckelt der Kaufvertrag die dann zu zahlende Vertragsstrafe auf 10.000 Euro. „Im vorliegenden Fall“, erklärt das LKA auf meine Nachfrage, sei eine Vertragsstrafe in dieser Höhe „ausreichend“ — zumal „der Vertrag mit einem Zwischenhändler und nicht mit Cisco Systems geschlossen wird“.

Im Klartext heißt das: Wer einen Zwischenhändler einschaltet, bekommt quasi einen Freibrief. Spionage durch versteckte Hintertüren wird dann zur Lappalie. Eine Strafe in Höhe von 10.000 Euro kann jedes größere IT-Unternehmen locker aus der Portokasse zahlen.

Das bayerische Landeskriminalamt sendet damit das falsche Signal. So eine No-Spy-Garantie kann jeder Spion abgeben.

 

Zwischenruf Nr. 1

--- 16.02.2021 ---

Ruiniert Solarwinds den Ruf der IT-Branche?

Der Cyberangriff auf den US-amerikanischen Netzmanagement-Spezialisten Solarwinds stürzt die IT-Industrie in eine Vertrauenskrise.

Wenn Unternehmen ihre Abläufe und Prozesse digitalisieren, dann hören sie bei der Suche nach dem passenden IT-Anbieter gerne auf ihr Bauchgefühl. Oft gehen dann Systemlieferanten als Sieger aus den Ausschreibungen hervor, die auch Spezialisten für Cybersecurity sind oder sich zumindest solch einen Ruf erarbeitet haben. Große IT- und Cloud-Anbieter wie Microsoft und IBM, aber auch die Deutsche Telekom profitieren von diesem Vertrauensvorschuss und freuen sich über hohe Zuwachsraten auf dem Cybersecurity-Markt. All die Erfahrungen beim Schutz der eigenen IT-Systeme, so die laut hinaus posaunte Marketing-Botschaft, sollen auch den Geschäftskunden zugute kommen.

Dieses Bauchgefühl entpuppt sich inzwischen als eine gefährliche Illusion.
Denn eine wichtige Lehre ziehen Sicherheitsspezialisten aus dem kurz vor Weihnachten 2020 bekannt gewordenen Cyberangriff auf die bislang wenig beachtete US-amerikanische IT-Firma Solarwinds: Auch in den Lieferketten der IT-Systeme gibt es schwarze Schafe, die die Sicherheit ihrer Produkte vernachlässigen. Solarwinds fällt nach Ansicht des US-amerikanischen Cybersicherheitsexperten Bruce Schneier genau in diese Kategorie. „Sehr miese IT-Sicherheit, hervorgerufen durch eine bewußte Geschäftsentscheidung zur Kostenreduktion“, stellt er dem Top-Management ein ganz schlechtes Zeugnis aus. Dabei müssten Produkte wie die von Solarwinds gebaute Netzmanagement-Software Orion behütet werden wie ein Goldschatz. Denn sie sind die ideale Plattform, um über die regelmäßigen Updates Millionen von Unternehmen und Behörden in aller Welt mit Malware zu infizieren.

Auch Solarwinds-Großkunden wie Microsoft und Cisco hatten diese offene Flanke nicht auf ihrem Radarschirm und trugen letztlich zur massenhaften Verbreitung der Hintertüren bei. Selbst die hoch gelobten, selbstlernenden Frühwarnsysteme der IT-Riesen schlugen viel zu spät Alarm. Neun Monate konnten sehr professionelle Cyberbanden Solarwinds als Basis für ihre versteckten Operationen nutzen. Es wird mehr als neun Monate dauern, bis wir einen genauen Überblick bekommen, bei welchen Solarwinds-Kunden sich die Cyberspione überall einnisten konnten, welche Geheimdienste hinter den Operationen stecken und wie hoch die Schäden sind.

Es ist bereits der zweite Fall, der die Reputation der IT-Branche schwer beschädigt. Vor vier Jahren gelang es der vermutlich von China gesteuerten Hackergruppe „Cloud Hopper“, die IT-Systeme von mehr als 45 Technologieunternehmen zu kompromittieren, um auf diesem Wege die doch nicht so gut bewachten Datenschätze gutgläubiger Cloud-Nutzer zu heben. Die US-Administration konnte sogar zwei chinesische Mitglieder dieser Bande aufspüren und vor Gericht stellen. Nur: Eine komplette, öffentlich zugängliche Übersicht, welche Cloud-Anbieter nun wegen versteckter Hintertüren ein Sicherheitsrisiko sind, gibt es bis heute noch nicht. Der IT-Branche ist so viel Transparenz offenbar zu gefährlich. Dabei wäre Transparenz das erste Gebot, damit die Vertrauensbasis für die vielen, noch bevorstehenden Digitalprojekte erhalten bleibt.