"Systeme dürfen nicht per Software veränderbar sein"

Wie beurteilen Sie den gegenwärtigen Cyberkrieg zwischen Russland und der Ukraine? Sind da von beiden Seiten schon alle Register gezogen worden?

Popp: Eine Cyberattacke ist nicht zu vergleichen mit einem Angriff mit Bomben und Gewehren, bei dem es um nichts anderes geht, als sich physisch zu wehren und die Waffen der anderen auszuschalten. Ein Hackerangriff ist genau genommen gar kein Angriff, sondern ein Betrugsvorgang. Deshalb ist auch der häufig verwendete Ausdruck "massiver Cyberangriff" völlig unangebracht. Einmal entdeckt ähnelt ein solcher Angriff eher einem Schachspiel.

Aber bei einer DDoS-Attacke kann man doch schon von einem massiven Angriff sprechen.

Popp: Ja, aber Sie können einzelne Netzbereiche abschalten, die von der DDoS-Attacke betroffen sind und Gegenmaßnahmen ergreifen. So ein Angriff hat ja nicht die gleiche Auswirkung wie ein Bombenhagel, der auf uns niedergeht. Durch einen DDoS-Angriff kann ein Infrastruktursystem beeinträchtigt, aber nicht dauerhaft lahmgelegt werden, so dass es seinen Dienst nicht mehr tun kann. DDoS-Angriffe lassen sich durch koordiniertes Vorgehen der beteiligten Transportdienstleister in ihrer Wirkung gut eingrenzen.

In der Ukraine war es aber durchaus so, dass die Webseiten der Regierung in Kiew durch russische DDoS-Angriffe lahmgelegt wurden.

Popp: Ja, aber es handelte sich eben nur um Webseiten. Das ist jedoch nicht vergleichbar mit dem Abschalten eines Stromnetzes. Mit einem DDoS-Angriff ist es nicht möglich, beispielsweise einen Energieversorger oder ein Wasserwerk außer Betrieb zu setzen, wenn die entsprechenden Vorkehrungen getroffen sind. Davon können wir aber ausgehen.

Wie beurteilen Sie dann die Angriffe auf die ukrainische Stromversorgung?

Popp: Es handelte sich um Betrugsfälle, wo Schwachstellen der Steuerungssysteme attackiert wurden. Die ukrainische Stromversorgung war noch nicht resilient genug gegen solche Cyberangriffe. Das sind aber Designfehler, die sich beheben lassen. Wenn heute jemand sagt, ein Wasserwerk wurde stillgelegt, weil ein Angriff übers Internet so massiv war und es nicht geschützt werden konnte, dann ist das Unsinn. Deshalb ist Cyberkrieg eben auch kein idealer Begriff.

Aufmerksamkeit für Cyberangriffe ist gestiegen

Zurück zur Ausgangsfrage: Warum fallen die bisherigen Cyberangriffe noch nicht so dramatisch aus, wie vielfach befürchtet?

Popp: Für eine erfolgreiche Cyberattacke braucht der Angreifer die Arglosigkeit und Unaufmerksamkeit des Gegners. Beides ist in der aktuellen Situation des Ukraine-Krieges nicht gegeben. Die Arglosigkeit ist komplett weg, sowohl in der Ukraine wie auch in Deutschland und ganz Europa. Wir haben eine hohe Aufmerksamkeit durch das Kriegsgeschehen, deshalb können wir hoffen, dass Cyberangriffe im Moment weniger erfolgreich sind. Das reicht bis in die Privathaushalte hinein: Jeder Einzelne wird in diesen Tagen weniger leicht auf eine Phishing-Mail hereinfallen, als gewöhnlich.

Security-Experten wie F-Secure haben gewarnt, dass Deutschland im Vergleich zur Ukraine schlechter auf einen Cyberkrieg vorbereitet sei.

Popp: Das ist sicher richtig. Die Ukraine befindet sich schon seit acht Jahren in einem Konflikt mit Russland. Deshalb wurde dort sicher noch einmal viel mehr Aufmerksamkeit auf die Cyberabwehr gelegt, als bei uns. In Deutschland sind wir in der Vergangenheit an manchen Stellen doch recht naiv gewesen. Ich stimme zu, dass heute noch nicht alle Infrastruktur-Elemente so abgesichert sind, wie es notwendig wäre. Aber ich gehe davon aus, dass aktuell alle Betreiber solcher Systeme daran arbeiten.

Die Systeme müssen so gebaut sein, dass sie keinen Zustand annehmen, der im normalen Betrieb nicht erwünscht ist beziehungsweise vorkommen soll. Niemand würde ein Stromaggregat viele Mal in kurzen Abständen ein und wieder ausschalten wollen. Nach einigen Malen muss das System einen physischen Eingriff vor Ort fordern und aufhören, auf die Steuerung über das Internet zu reagieren. Ich bin mir sicher, dass aktuell dazu Maßnahmen laufen.

Zu den häufigsten Irrglauben gehört, dass ein mit dem Internet verbundenes Wasserwerk oder ein Stromversorger zwangsläufig besonders vulnerabel gegenüber Cyberangriffen sei. Das ist vergleichbar mit dem berühmten Szenario einer gehackten Verkehrsampel, bei der alle Ampeln einer Kreuzung gleichzeitig auf Grün geschaltet werden und dann gibt es einen Unfall.

Darüber kann man bestimmt eine spannende Geschichte schreiben, es ist aber in der Praxis viel weniger dramatisch! Eine Ampel kann nicht zur gleichen Zeit für alle vier Fahrtrichtungen auf grün geschaltet werden. Man baut sie vielmehr so, dass Zustände, die unter allen Umständen unerwünscht sind, nie eintreten können. Das nennt sich Eigensicherheit.

Es ist also nicht möglich, dass sich Angreifer in kritische Systeme hinein hacken und dort die zentrale Steuerung übernehmen?

Popp: Zumindest, wenn sie richtig konstruiert sind. Bleiben wir beim Beispiel der Ampel: Da hängt nicht jedes Lämpchen direkt am Computer. Es gibt zusätzliche Sicherungssysteme. Wenn eine grüne Lampe in eine Richtung angeht, kann die andere grüne Lampe eben nicht angehen. Das ist durch eine spezielle Schaltung geregelt. Und so kann man das natürlich auch bei einem Stromerzeuger und einem Wasserwerk bauen.

Eigensicherheit heißt, man baut ein System so, dass ein unerwünschter Zustand niemals eintreten kann. Kritische Infrastruktur hat einen hohen Anteil solcher Systeme mit hoher Eigensicherheit. Betreiber von kritischen Infrastrukturen sind seit Jahren durch das IT-Sicherheitsgesetz ganz klar auf das Thema hingewiesen worden. Ich gehe davon aus, dass gerade bei den kritischen Systemen schon längst Maßnahmen ergriffen worden sind. Natürlich lässt sich ein Designfehler nicht völlig ausschließen, aber verschlechtert hat sich sicherlich nichts.

Natürlich wird es aber weiterhin möglich sein, einen Computer mit einer Schadsoftware zu infizieren und auszuschalten.

Wie kann man das verhindern?

Popp: Das Problem ist, dass wir in der Vergangenheit universelle Computersysteme verwendet haben. Die Von-Neumann-Architektur ist immer noch das dominierende Konzept. Ihr Nachteil -in Bezug auf IT-Sicherheit- ist, dass jeder Computer theoretisch für jedes denkbare Rechenproblem genutzt werden kann. Bei einer Rollladensteuerung, die mit dem Internet verbunden ist, kann dann beispielsweise die Software so manipuliert werden, dass sie sich an einem DDoS-Angriff beteiligt.

Wenn man Sicherheit erzeugen will, baut man in solche Geräte zusätzliche Elemente ein, die eben nicht per Software veränderbar sind. Unsere Ausweis- und Kreditkarten enthalten schon immer Elemente, die nur einmal programmiert und danach nicht mehr geändert werden können. Das ist ein Trend, der sich weiter durchsetzen wird. Ich erwarte, dass Hardware-basierte Sicherheit in Zukunft einen größeren Anteil in der gesamten Wirtschaft und Verwaltung haben wird.

Im Schatten der Cyberangreifer aus Russland könnten auch andere Länder verstärkt angreifen. China ist ebenfalls bekannt für Hackerangriffe auf europäische Einrichtungen. Wie schätzen Sie die Gefahr ein?

Popp: Bei den chinesischen Cyberangriffen ging es bisher eher um Spionage. Nach meinen Beobachtungen ist die Aktivität in diesem Bereich zurückgegangen, weil die Chinesen einen hohen Wissensstand erreicht haben. Zum Teil sind sie den Europäern schon weit voraus. Inwieweit die Chinesen an Ransomware-Angriffen beteiligt sind, kann ich nicht beurteilen. Das ist jedoch nicht ihr Schwerpunkt gewesen.

Man kann sich zwar vorstellen, dass China den russischen Cyberkrieg unterstützt, aber bisher kenne ich dafür keine Beweise. Ich denke, der chinesische Staat möchte seinen Ruf der Zurückhaltung hier auch nicht gefährden. Außerdem ist Russland in Sachen Cyberattacken und Cyberspionage exzellent aufgestellt. Russische HackerHacker gehen bei ihren Angriffen sogar ein wenig subtiler vor. Insofern glaube ich, dass China da keine entscheidende Rolle spielt. Alles zu Hacker auf CIO.de

Also geht die Cybergefahr weiterhin von Russland aus?

Ja, das nehme ich an, aber ich glaube auch, dass Russland zunehmend mit eigenen Problemen beschäftigt sein wird. Die Destabilisierung anderer Länder wird sicherlich weitergehen, aber man sieht jetzt auch, dass es intern zu Verwerfungen kommt. Hinzu kommt unsere hohe Aufmerksamkeit. Ich kann mir nicht vorstellen, dass Russland seine Cyberangriffe auf Deutschland in diesen Zeiten verstärken wird. Ich glaube sogar, dass die Geheimdienste mit Desinformation in diesen Wochen weniger Erfolg haben, als vor dem Krieg.

Lesetipp: Cyberabwehr in Deutschland - "Wir brauchen ein unabhängiges BSI"