Archiv

Fehlende IT-Sicherheitsstrategie
Cyberangriffe auf Daten von Corona-Impfstoffen

Der Aufschrei war groß, als die Europäische Arzneimittelbehörde digital angegriffen wurde. Hacker erbeuteten Daten zum Biontech-Impfstoff. Dabei seien die Sicherheitstechniken für Netzwerke und Computer vorhanden, so der Dlf-IT-Experte Peter Welchering. Die Verantwortlichen dürften aber nicht schlampen.

Peter Welchering im Gespräch mit Manfred Kloiber |
Eine Cyberattacke treibt die Bundesregierung um
Nicht nur die Europäische Arzneimittelagentur EMA wurde von Hackern angegriffen, es gab auch Phishing-Attacken auf die Lieferketten für den Corona-Impfstoff. (imago )
Udo Helmbrecht: Die Erfahrung lehrt halt, dass alles das, was an Technologien im Computerzeitalter zur Verfügung steht, weiterentwickelt wird, natürlich auch von Kriminellen oder von Staaten und Institutionen für Spionage beispielsweise missbraucht wird.
Kriminellen Machenschaften im Netz auf den Grund kommen: Forensiker haben neue Wege entwickelt.
Russische Hackerangriffe auf Corona-Forschung befürchtet
Britische Behörden werfen Hackern vor, im Auftrag Moskaus weltweit Cyber-Spionage bei Impfstoff-Forschern zu betreiben. Das geht aus einer Mitteilung des britischen Zentrums für Cyber-Sicherheit NCSC hervor.

Der politische Wille in Sachen IT-Sicherheit fehlt

Manfred Kloiber: Das stellte Professor Udo Helmbrecht, der frühere Chef der europäischen IT-Sicherheitsbehörde Enisa und jetzige Technische Direktor des Forschungsinstituts Code an der Universität der Bundeswehr, am Dienstagabend auf einer gemeinsamen Veranstaltung des Digital Cyber Institute Berlin und der Initiative Deutschland sicher im Netz über künftige digitale Sicherheit fest.
Eine Woche vor der Veranstaltung hatte die Europäische Arzneimittelagentur bekanntgegeben, dass sie Opfer eines Hackerangriffs geworden ist. Die Angreifer haben Daten zum Corona-Impfstoff von Biontech und Pfizer erbeutet. Konnten denn die versammelten Sicherheitsexperten am Dienstagabend mit einer Strategie aufwarten, wie solche digitalen Angriffe verhindert werden können, Peter Welchering?
Peter Welchering: Nein, das konnten sie nicht. Das lag zum einen daran, dass die Sicherheitsexperten sozusagen die Marschrichtung für digitale Sicherheit bis ins Jahr 2030 aus der Vogelperspektive betrachten wollten. Das lag und liegt aber auch daran, dass es diese Strategie, digitale Angriffe zu verhindern, in Deutschland einfach nicht gibt. Da sind dann auch viele Ansatzpunkte genannt worden, wie man zu solch einer Strategie kommen kann.
Das Problem ist, dass diese Ansatzpunkte einfach miteinander verknüpft werden müssen. Und das macht im Augenblick niemand. Und das wiederum hat nicht nur mit zersplitterten Zuständigkeiten in Sachen IT-Sicherheit zu tun, sondern das liegt in erster Linie am fehlenden politischen Willen. Die Diskussion um das neue IT-Sicherheitsgesetz hat das ja aufgezeigt. Statt konsequent Sicherheitslücken zu schließen, Schwachstellen zu vermeiden, eine Sicherheitsarchitektur in technischer Hinsicht aufzusetzen, werden Lobby-Interessen der Militärs und anderer Sicherheitsbehörden bedient. Und dadurch wird ein konsequentes Sicherheitsmanagement gerade unterlaufen.
Der Vorsitzende des Innenausschusses des Bundestages, Ansgar Heveling (CDU).
Cyberangriff auf den Bundestag: "Behörden müssen besonders wachsam sein"
Seit dem Hacker-Angriff im vergangenen Jahr auf den Bundestag werde mehr zum Schutz vor solchen Attacken getan, so der CDU-Politiker Ansgar Heveling im Dlf.
Kloiber: Schauen wir uns doch mal diese Ansatzpunkte näher an, aus denen eine IT-Sicherheitsarchitektur entstehen kann, die effektiv digitale Angriffe verhindert.
Wilfried Karl: Wenn Sie sich die Landschaft angucken der Sicherheitsbehörden alleine in Deutschland, oder die mit Cybersicherheit zu tun haben, da gehören ja auch noch dann IT-Sicherheitsbehörden dazu, alleine in Deutschland, dann ist das ein riesiges Sammelsurium an Behörden, die sicherlich alle ihre Aufgaben haben und ihre Berechtigung. Aber in dem Bereich, über den wir hier reden: Technologie, Digitalisierung, wahrscheinlich alle vor mindestens ähnlichen, wenn nicht gleichen Herausforderungen stehen. Und da muss man sich tatsächlich dann auch mal unbequeme Fragen stellen und sagen Passt diese ganze Struktur überhaupt noch für eine Weiterentwicklung? Wenn wir jetzt zehn Jahre in die Zukunft denken, werden wir auf dem Weg überhaupt eine Souveränität erreichen können oder verzetteln wir uns da nicht?

"Dauerhafte Lösungen nicht in Sicht"

Provokante Fragen, und die stellte ausgerechnet Wilfried Karl, der Präsident der Zentralen Stelle für Informationstechnik im Sicherheitsbereich, kurz: Zitis. Das ist jene Behörde, die gerne auch mal als "Hackerorganisation der Bundesregierung" bezeichnet wird. Dass die Landschaft der Behörden, die sich hierzulande mit digitaler Sicherheit beschäftigen, eher einem Wimmelbild als einer klaren Struktur gleicht, das ist ja keine neue Erkenntnis. Nicht umsonst sind die von der "Stiftung Neue Verantwortung" erstellten Organigramme zur IT-Sicherheit, die als "Wimmelbilder" stets aktualisiert werden, ein richtiger Renner. Weg von zersplitterten Zuständigkeiten, hin zu einem verzahnten Modell der IT-Sicherheit, das ist der Ansatzpunkt, den Martin Schallbruch, früherer IT-Chef der Bundesregierung und heute Direktor des "Digital Society Instituts" der European School of Management and Technology Berlin, vorschlägt.
Er sieht hier gleich vier Probleme:
  • Virtualisierung mache es schwieriger, Sicherheit direkt am Gerät zu realisieren.
  • Die Abhängigkeit von ausländischen Technologielieferanten vergrößere die Sicherheitsprobleme.
  • IT-Sicherheit werde noch nicht ausreichend als gemeinsame Aufgabe von Staats und Wirtschaft wahrgenommen.
  • Und es fehle an globalen Sicherheitsregeln.
Martin Schallbruch: Wir schaffen es ja nicht einmal innerhalb der Europäischen Union oder auch innerhalb der NATO, mit eng Verbündeten zu einem globalen Regelwerk zu kommen für den Bereich der Cybersicherheit. Und diese vier Punkte, glaube ich, die müssen wir miteinander verzahnen und gemeinschaftlich angehen. Und die Zeit des Experimentierens ist meiner Meinung nach vorbei. Das haben wir seit 2004 bis 2020 gemacht und jetzt geht es darum, dauerhafte Lösung zu finden.
Doch genau diese dauerhaften Lösungen sind nicht in Sicht. Damit die aber entwickelt werden können, muss eine viel bessere Kooperation aller Beteiligten her, fordert Annegret Bendieck, Forschungsleiterin Europa der Stiftung Wissenschaft und Politik.
Annegret Bendieck: Es geht nicht anders, dass die Universitäten sich öffnen für diese Belange, die auch die Öffentlichkeit betrifft. Und gleichzeitig, glaube ich, muss Politik offener werden, auch für Kooperationen mit der Wissenschaft. Ich glaube, da liegt wirklich Potenzial, was noch unausgeschöpft ist. Und ich glaube, sowas kann auch die Wirtschaft massiv befördern.
Keine Frage: Digitale Angriffe werden an der Tagesordnung bleiben, technologische Souveranität muss neu gedacht werden, weil Deutschland viel zu stark von ausländischen Technologielieferanten anhängig ist. Auf die alles entscheidende Frage aber hat so recht niemand eine Antwort: Wie kann ein die erforderliche Neuausrichtung der IT-Sicherheitsarchitektur in Angriff genommen werden? Auf jeden Fall muss dafür eine wesentliche Voraussetzung erfüllt sein: Die Verankerung eines breiten Sicherheitsbewusstseins.

Nach Angriffen: Schneller Übergang zur Tagesordnung

Kloiber: Da wurde in der Vergangenheit ja schon des Öfteren und teils zynisch angemerkt, der IT-Sicherheit fehlten eben die Toten, die die Sache genügend ernst machten. Weil es bisher glücklicherweise nicht zu größeren Katastrophen aufgrund eines IT-Sicherheitsproblems gekommen sei, sei eben auch das Sicherheitsbewusstsein nicht so weit verbreitet. Nun ging in der vergangenen Woche ein Aufschrei durch das Land: Die Europäische Arzneimittelbehörde wurde digital angegriffen. Daten zum Corona-Impfstoff von Biontech und Pfizer wurden erbeutet. Und weil es sich eben um den Corona-Impfstoff handelt, da war das mediale Interesse natürlich riesengroß. Ist die bevorstehende Impfkampagne ein Anlass, um IT-Sicherheitsbewusstsein breit in den Köpfen zu verankern, Peter Welchering?
Welchering: Da bin ich skeptisch. Denn auch in diesem Fall lief ja so das übliche mediale Prozedere ab. Der digitale Angriff wird bekannt. Daten zum Corona-Impfstoff sind ausgespäht worden. Wahlweise werden dafür China, Nordkorea oder Russland verantwortlich gemacht. Einzelne Experten verweisen auf Industriespionage und Organisierte Kriminalität generell. Und dann geht man wieder zur Tageordnung über.
Eine Woche zuvor gab es dieses Spiel ja mit den Angriffen auf die Lieferketten für den Corona-Impfstoff. Da war dann auch nach wenigen Tagen das öffentliche Interesse wieder verflogen. Für die systematischen Zusammenhänge und die dahinterstehende Sicherheitsproblematik mit den Schwachstellen interessiert sich dann niemand. Statt nach den Ursachen, eben den Sicherheitslücken oder Schwachstellen systematisch zu forschen, sie systematisch zu sammeln und systematisch zu schließen, gibt es ein paar Vorwürfe wahlweise gegen China, Nordkorea, Russland und die Versicherung aus der Politik: Wir sind noch mal davon gekommen, brauchen aber mehr Überwachung und Hintertüren in Verschlüsselungssoftware.

Phishing-Mails schienen authentisch

Kloiber: Bleiben wir gerade noch mal bei den Angriffen auf die Lieferketten. Was war da los?
Welchering: Es gab Phishing-Angriffe auf Führungskräfte von Unternehmen und Organisationen, die an der Verteilung der Impfstoffe beteiligt sind. Die haben Mails erhalten, mit denen nach Preisen konkreter Kühlprodukte gefragt wird, mit denen Produktinformationen angefordert worden, und die haben Bestellungen per Mail erhalten. In den Mailanhängen fand sich Schadsoftware, genau genommen Spionagesoftware, mit der die Netzwerke der Unternehmen und Organisationen ausgespäht werden können.
Kloiber: Wer steckt denn hinter diesen Angriffen?
Welchering: Einige Phishing-Mails sollen aber von einem Absender stammen, der sich als Führungskraft von Haier Biomedical ausgegeben hat, die in der Pandemiebekämpfung eine wichtige Rolle einnehmen. Deshalb erschienen die Mails den angeschriebenen Führungskräften auch als authentisch. Andere Mails stammen von Absendern, die sich als Beauftragte der Impfallianz Gavi ausgegeben haben. Bei der EMA laufen die Untersuchungen noch. Das sind natürlich gefälschte Absenderadressen, gut gefälschte. Die sagen aber nichts darüber aus, wer hinter diesen Angriffen steckt. Dabei ging es um Zugangsdaten zu den entsprechenden Computer-Netzwerken, also Benutzername samt Passwort inklusive weiterem Identifizierungsmerkmal der Angeschriebenen. Außer an solchen Zugangsdaten waren die Angreifer an konkreten sicherheitstechnischen Informationen über das Netzwerk interessiert.

"Solche Angriffe sind nicht neu"

Kloiber: Wie haben denn die betroffenen Unternehmen und Organisationen auf diese Angriffe und die Warnung der Sicherheitsforscher reagiert?
Welchering: Die nehmen die Warnung ernst. UNICEF, die die Impfstoffverteilung in Ländern mit schlechter Infrastruktur durchführt, hat zusätzliche Forensiker und IT-Sicherheitsfachkräfte beauftragt, die Versorgungsnetze zu überprüfen du ggf. besser abzusichern. Das haben beteiligte Unternehmen, Kühlschranklieferanten, Hersteller von Sonnenkollektoren, die Strom für den Kühlprozess unterwegs liefern, Speditionen mit Kühl-LKW auch getan.
Solche Angriffe sind ja nicht neu. Bei der Suche nach Impfstoffen und Medikamenten wurden Rechenzentren und Superrechner, auf denen die Simulationen liefen, angegriffen. Wir wissen von Angriffe auf Laborrechnern. Das hat sich seit dem Frühsommer noch einmal verstärkt. Die Sicherheitstechniken, um die Netzwerke und Computer abzusichern sind da. Jetzt darf eben keiner der Verantwortlichen schlampen. Die Gefahr ist da groß. So lange wir keine effiziente IT-Sicherheitsstrategie entwickeln, sind wir solchen digitalen Angriffen einfach ausgeliefert.