Cyberangriffe: Die Frage ist nicht ob, sondern wann.

Seit fast 26 Jahren arbeitet der IT-Sicherheitsexperte Dr. Dirk Häger für das Bundesamt für Sicherheit in der Informationstechnik (BSI). Dort leitet er die Abteilung „Operative Cyber-Sicherheit“, die sich schwerpunktmäßig darum kümmert, sicherheitsrelevante Ereignisse zu identifizieren, geeignete Maßnahmen zu ergreifen, betroffene Personen oder Organisationen zu warnen sowie Lageberichte zu erstellen. INFORM sprach mit ihm über die aktuelle Bedrohungslage, die potenzielle Gefährdung der öffentlichen Verwaltung und welchen Perspektivwechsel es braucht, um besser mit Cyberangriffen umzugehen.

INFORM: Herr Dr. Häger, welcher Weg hat Sie zur IT-Sicherheit geführt? Und was ist Ihr persönlicher Antrieb für diesen Job?

Häger: Ich habe Anfang der Neunziger Jahre Physik in Göttingen studiert. An unserem Institut waren wir selbst für die IT zuständig. Mit der Technikbegeisterung, die man per se als Experimentalphysiker mitbringt, haben wir uns ausprobiert und beispielsweise auf Systeme in den USA zugegriffen oder uns Admin-Rechte für ein Rechenzentrum in Bremen verschafft – nicht mit böser Absicht, sondern weil wir verstehen wollten, wie das funktioniert. Da man als Physiker in dieser Zeit nur schlecht einen Job bekommen hat, sind viele von uns nach dem Studium in der IT gelandet. Denn wir brachten praktische IT-Kenntnisse und Erfahrungen in der Systemadministration mit. Diese Qualifikation hat mich am Markt interessanter gemacht als die Grundlagenforschung in Atom- und Kernphysik. Daraufhin habe ich im Bereich IT-Sicherheit als Pentester gearbeitet und IT-Systeme auf Schwachstellen überprüft. Der Wille zu verstehen, wie etwas funktioniert – oder um es mit Goethes Faust zu sagen: „was die Welt im Innersten zusammenhält“ –, war und ist seit jeher mein persönlicher Antrieb gewesen.

INFORM: Zu Ihrer Abteilung gehört auch das Lagezentrum des BSI, das die Cybersicherheitslage rund um die Uhr im Blick hat. Wie fällt das Urteil für das zurückliegende Jahr aus?

Häger: Natürlich hat der Krieg in der Ukraine das letzte Jahr aus Sicht der IT-Sicherheit maßgeblich geprägt. Die große Sorge im vergangenen Jahr war, dass die Cyberangriffe auf die Ukraine zu uns herüberschwappen. Aber es ist in Deutschland verhältnismäßig ruhig geblieben. Es hat aber eines deutlich gemacht: Dass ein Land wie die Ukraine, dessen IT-Systeme massiv angegriffen worden sind und das eine Menge Daten verloren hat, sich nicht hat entmutigen lassen. Sie haben ihre Netze einfach wieder neu aufgebaut. Das hat mich beeindruckt und stimmt mich zuversichtlich: Selbst wenn öffentliche Stellen von Ransomware angegriffen werden, massiv Daten verlieren und in einen Notbetrieb übergehen würden, ginge das Leben trotzdem weiter. Es ist vielmehr ein Verlust von Bequemlichkeit. Denn IT ist in erster Linie ein Hilfsmittel, um andere Dinge zu unterstützen. Allerdings müssen dazu dann auch entsprechende alternative oder redundante Prozesse schnell umgesetzt werden können.

INFORM: Warum nimmt die Bedrohungslage gefühlt immer mehr zu?

Häger: Ich betone ungern, dass die Situation von Jahr zu Jahr schlimmer und schlimmer wird. Ich würde es lieber so formulieren: Die Angreifer werden immer besser. Das sind inzwischen Profis. Hinzu kommt, dass immer mehr kritische Systeme und Daten ans Netz gehängt werden. Das erhöht natürlich die Angriffsfläche für Kriminelle und die Möglichkeit, Geld zu machen. Das ist schließlich der Hauptantrieb für Kriminelle.

INFORM: Welche sind denn die verbreitetsten Methoden von Cyberkriminellen?

Häger: Die meisten Schadprogramme gelangen über Phishing-E-Mails in die IT-Systeme: Eine Person erhält eine E-Mail, klickt sie an oder öffnet den Anhang; ein Schadprogramm wird installiert und schon ist der Angreifer im Netz. Alles andere sind in der Regel ganz normale Hackerangriffe. Colonial Pipeline ist dafür ein prominentes Beispiel. Da wurde eine Schwachstelle im System gefunden, weil beispielsweise Remote-Systeme nur rudimentär durch Trivialpassworte abgesichert waren. Und das macht mir im Moment mehr Sorgen als Phishing: schlecht gepatchte Systeme oder Fehler in Lieferketten. Das ist beunruhigend angesichts der Tatsache, dass immer mehr Systeme ans Netz angebunden sind. Hacking ist in den letzten Jahren regelrecht in Mode gekommen. Und warum? Weil es funktioniert. Meine Befürchtung ist, dass es in den kommenden Jahren noch besser funktionieren wird, weil die Systeme immer komplexer werden.

INFORM: Wie stark ist die öffentliche Verwaltung davon betroffen?

Häger: Ein Krimineller, der die öffentliche Verwaltung getroffen hat, wird relativ schnell feststellen, dass sich das nicht lohnt, weil diese nicht zahlt. Anders in der Privatwirtschaft: Als Firmeninhaber hängt oft die Existenz an einem reibungslosen Ablauf des Geschäfts und dass die Daten verfügbar sind. Da haben Bund, Länder und Kommunen moralisch gesehen eine ganz andere Ausgangsposition. Und das machen sich Hacker auch zunutze. Dadurch sind wir unattraktiver für Cyberkriminelle. Nichtsdestotrotz vergrößert sich durch den zunehmenden Bürgerkontakt und durch mehr digitale Dienste natürlich die Angriffsfläche. Alles in allem bin ich aber der Meinung, dass die Verwaltung sogar besser aufgestellt ist als die Privatwirtschaft. Sie hat zumindest Rollen wie IT-Verantwortliche oder Sicherheitsverantwortliche definiert.

INFORM: Welche Rolle kommt öffentlichen IT-Dienstleistern wie der HZD zu? Welche Aufgaben werden Ihrer Einschätzung nach künftig noch wichtiger werden?

Häger: Es kommt meiner Meinung nach auf die richtige Haltung an. Die entscheidende Frage lautet schon lange nicht mehr, ob man angegriffen oder gehackt wird, sondern wann. Selbst wenn man seine IT-Prozesse sehr gut im Griff hat, gibt es gerade bei den immer komplexer werdenden Systemen oft Schwachstellen, die man nicht Rückendeckung von den Verantwortlichen. Ein wichtiger Punkt, der künftig noch stärker in den Fokus der IT-Sicherheit genommen werden sollte: Wie können wir uns auch vor IT-Angriffen schützen, die gerade nicht auf die zentral administrierten Systeme vorgenommen werden? Zumeist betrachten wir nur die Behördennetze. Aber auch die privaten Systeme und beispielsweise Social-Media- Aktivitäten von Politikerinnen und Politikern sowie von Beschäftigten sollten nicht außer Acht gelassen werden. Durch das vermehrte mobile Arbeiten verstärkt sich dieses Problem noch. Da hilft es wenig, wenn der Rechner über ein VPN arbeitet, solange er im lokalen Netz angreifbar ist. Hier spielt das Thema Sensibilisierung eine große Rolle.

INFORM: Wie können Bundes- und Landesbehörden bei der Bekämpfung von Cybersicherheit optimal zusammenarbeiten?

Häger: Mit dem Nationalen Cyber-Abwehrzentrum wurde 2011 eine behörden- und institutionenübergreifende Plattform geschaffen, um sich über das aktuelle Lagebild auszutauschen und Schutzmaßnahmen zu koordinieren. Dieser Austausch sollte meiner Meinung nach intensiviert werden, damit noch schneller Informationen über Vorfälle kommuniziert werden und damit die beteiligten Stellen konkrete Schutzmaßnahmen ergreifen können. Ganz unabhängig davon finde ich, dass das Rad viel zu oft neu erfunden wird. Wenn ein Ministerium oder eine Behörde eine gute Lösung hat, kupfern andere viel zu selten davon ab. Da wünsche ich mir einen besseren Austausch über funktionierende Lösungen. Natürlich müssen Fachanwendungen auch auf die jeweiligen Gesetzeslagen der Länder abgestimmt sein. Aber wir brauchen nicht 16 verschiedene Lösungen für bestimmte Anwendungen. Da könnten wir uns das Leben leichter machen, indem wir Synergien schaffen und noch stärker auf standardisierte Lösungen setzen.

INFORM: Noch ein Praxistipp zum Schluss: Was sind Ihre Top 3, um sich im privaten Umfeld vor Cyberkriminalität zu schützen?

Häger: Der wichtigste Tipp ist das Backup, also, dass man seine Daten noch an einem anderen Ort gespeichert und – vor allem – sicher verstaut hat. Denn vor ein paar Jahren ist mir eine Statistik begegnet, in der es um privaten Datenverlust ging. Die größte Gefahr stellt immer noch die Backup- Festplatte dar, die von der Schreibtischkante fällt und kaputtgeht. Mein zweiter Tipp: Fragen Sie kompetente Menschen um Hilfe, statt selbst im Internet nach Lösungen zu suchen und Probleme noch zu verschlimmern. Und: Bewahren Sie sich eine gesunde Portion Skepsis und Menschenverstand. Keine vertrauensvolle Einrichtung ruft Sie an oder fragt Sie per E-Mail nach Ihrem Passwort. Damit kommt man schon sehr weit.