Martin Zagatta: Computer sind blockiert, und wenn man wieder an seine Daten kommen will, dann soll man Erpressungsgeld zahlen. Seit gestern Abend sind weltweit solche Cyberattacken zu beobachten. In fast 100 Ländern, heißt es jetzt heute Morgen. Deutschland sei etwas weniger betroffen, aber der Versanddienst FedEx in den USA, der soll ziemlich lahmgelegt sein. Behörden in Russland, die spanische Telefónica, Krankenhäuser in Großbritannien – darüber haben wir vorhin schon berichtet. Sandro Gaycken ist am Telefon, er ist Experte für Cybersicherheit, leitet als Direktor das Digital Society Institute in Berlin, er berät auch die NATO in Fragen dieser IT-Sicherheit. Guten Morgen, Herr Gaycken!
Sandro Gaycken: Guten Morgen!
Zagatta: Herr Gaycken, einen so groß angelegten Internetangriff, hat es das schon einmal gegeben?
Gaycken: Ja, die hat es schon früher gegeben, allerdings in anderen Varianten. Die jetzige Variante ist schon interessant …
Zagatta: Aber fast 100 Länder betroffen?
Gaycken: Ja, ja, klar. Conficker zum Beispiel war auch so ein Wurm, der sehr weit verbreitet war, sehr lange sehr viele Probleme verursacht hat. Jetzt bei der Variante ist ganz interessant, dass die auf einer relativ hochwertigen Schwachstelle beruht, die die NSA ja gefunden hat, die zwar inzwischen gepatcht ist, theoretisch seit März, aber die viele Rechner doch nicht so richtig drauf haben.
"Die Angriffe können ganze Organisationen komplett hochnehmen"
Zagatta: Gepatcht heißt, durch Updates im Prinzip repariert.
Gaycken: Genau. Man könnte sie durch Updates entschwächen sozusagen, entkräften, dass sie nicht mehr funktioniert. Aber wie das immer so ist mit den Updates, ganz viele können die nicht machen, weil sie irgendwann dann Daten verlieren oder Strukturen nicht mehr richtig haben. Ganz viele machen es einfach nicht, weil sie es nicht machen wollen, gar nicht dran denken. Und von daher sind da viele, viele Millionen Rechner jetzt im Moment verwundbar für diese sehr hochwertige Geschichte. Und dann sind diese Ransomware-Angriffe (Angriffe über Erpressungstrojaner, Anm. der Red.) auch relativ gefährlich, weil die Verschlüsselungen meistens sehr gut sind, und man die nicht irgendwie anders beheben kann als zu zahlen.
Zagatta: Wie muss man sich so einen Angriff vorstellen? Die ersten Meldungen kamen ja aus Großbritannien, da werden bestimmte Firmen, dort Krankenhäuser, angegriffen, gezielt vielleicht, und das geht dann ganz automatisch so weiter und verbreitet sich unter Umständen weltweit dann nach dem Zufallsprinzip.
Gaycken: Anscheinend ist es so, dass die einen guten Verbreitungsmechanismus gefunden haben, da werden wohl viele Millionen von diesen Angriffen gleichzeitig rausgeschickt per E-Mail. Da klicken dann einige drauf, und wenn die erst einmal auf einem Rechner installiert sind, sind die wohl in der Lage, alle Rechner, die zu diesem speziellen Netzwerk gehören, noch mal durchzuscannen, ob die genauso verwundbar sind. Wobei die Wahrscheinlichkeit da ja relativ hoch ist, weil die normalerweise einen relativ gleichen Patchstatus haben. Von daher verbreitet der sich sehr rasant und kann von da aus dann natürlich auch immer gleich ganze Organisationen komplett hochnehmen.
Zagatta: Und wenn man da betroffen ist – Sie haben es vorhin schon gesagt –, dann ist es schwierig, wieder an seine Daten zu kommen. Sind die dann tatsächlich verloren, oder gibt es da dann Experten wie Sie oder andere Spezialisten, die man dann einschalten kann, die sagen, okay, wir holen das zurück?
Gaycken: Also wir wissen jetzt die Details nicht. Welche Verschlüsselung die genutzt haben und was für einen Schlüsselmechanismus die dahinter haben. Da kann es sein, dass die Fehler gemacht haben. Aber wenn man davon ausgeht, dass sie normalerweise keine Fehler machen, dann sind die Daten wirklich absolut verloren, es sei denn eben, man zahlt. Und ich würde auch in diesem Fall raten dazu, möglichst schnell sofort zu zahlen, weil ich mir vorstellen kann, dass die Kriminellen – das sind ja Kleinkriminelle meistens, Zweier-, Dreierbanden, die so was machen –, dass die gerade gehörig Angst bekommen haben vor ihrem eigenen Erfolg und vermutlich die Operation bald runterfahren werden, also keinen Schlüssel mehr ausgeben. Da sind alle verschlüsselten Rechner verloren.
Zagatta: Also Sie raten, habe ich Sie jetzt richtig verstanden, zu zahlen? Nein, nicht zu zahlen, oder …
Gaycken: Doch, zu zahlen, auf jeden Fall zu zahlen.
Zagatta: Man soll zahlen.
Gaycken: So schnell zu zahlen wie möglich.
Zagatta: Aber damit fördern Sie doch diese Kriminalität.
Gaycken: Na ja, entweder das, oder Sie kriegen Ihre Daten nie wieder zurück. Das müssen Sie wissen, wenn die Daten wichtig sind, dann würde ich empfehlen zu zahlen.
"Wir sind in Deutschland genauso schlecht aufgestellt wie alle anderen auch"
Zagatta: Unsere Nachrichten haben vorhin gemeldet, da gibt es jetzt entsprechende Nachrichten aus Großbritannien, dass es dort einem Wissenschaftler gelungen sein soll, einem Spezialisten, diese Verbreitung jetzt zu stoppen. Kann man das auch dann so zentral mit einem Programm, das man entwickelt, und es stoppt dann diese Virenverbreitung weltweit?
Gaycken: Da gibt es verschiedene Mechanismen, das zu machen. Die Verbreitung kann man schon ganz gut stoppen, allerdings ist es weltweit immer ein bisschen schwierig. Das hängt dann von vielen anderen Faktoren ab. Und vor allem muss man da Kooperationen der Telekommunikationsprovider ganz häufig haben oder von ganz bestimmten IT-Sicherheitsfirmen, idealerweise von allen. Und das muss man alles erst mal herstellen. Bis dahin können die sich natürlich noch weiter verbreiten.
Zagatta: Wie sind wir da jetzt international in Deutschland eigentlich aufgestellt? Es sind ja entsprechende Behörden gegründet worden, die Bundeswehr hat da jetzt eine eigene Einheit aufgestellt. So im Vergleich, was würden Sie sagen – Sie beraten da ja auch entsprechend die Politik beziehungsweise Behörden –, wie sind wir da aufgestellt?
Gaycken: Genauso schlecht wie alle anderen auch. Die großen Supermächte sind natürlich alle ein bisschen besser aufgestellt, weil die es schon länger machen und vor allen Dingen in Offensive mehr Erfahrung haben, dass sie natürlich auch viel mehr wissen, wo die Defensivprobleme liegen. Aber ansonsten haben wir wie alle anderen auch immer noch gigantische Probleme. Wir haben nicht genug Experten, die Sicherheitsprodukte sind alle viel zu schlecht. Diese ganzen Basisprodukte wie Microsoft, Oracle, SAP et cetera sind alle furchtbar verwundbar. Die kümmern sich auch fast gar nicht um Sicherheit beziehungsweise können auch gar nicht um Sicherheit machen, weil die Produkte per se schlecht gebaut sind. Und das ist eine riesige Müllhalde, auf der wir da nach wie vor leben. Das wird sich auch die nächsten Jahre nicht ändern.
Zagatta: Ist da ein Versäumnis der deutschen Politik – ich meine, Sie sind ja da Berater –, hört man da nicht auf Sie oder woran liegt das?
Gaycken: Das sind sehr große, sehr schwierige Probleme. Und dann bin ich ja nicht der einzige Experte da. Da sitzen noch mal ganz viele Lobbyisten von den IT-Konzernen zum Beispiel, die erzählen denen natürlich genau das Gegenteil, bezahlen auch teilweise Stiftungen und so weiter dafür, dass die dann auch noch mal das Gegenteil erzählen. Und dann wird das natürlich für einen Laien als Entscheidungsträger schwierig zu sagen, wer jetzt Recht hat und wer nicht. Und meine Lösungen, die also wirklich Sicherheit liefern, sind sehr teuer. Von daher tendiert man dann lieber dazu, die ein bisschen billigere Lösung zu nehmen, die dann nicht so viel kostet, aber halt eben auch keine Sicherheit entfaltet.
Zagatta: Aus der Politik beziehungsweise von Experten, die da für Behörden, für die Politik arbeiten, hören wir dann immer wieder, in solchen Fällen solle man auf keinen Fall zahlen, solle nicht zahlen. Da sind Sie mit Ihrem Rat, doch zu zahlen an die Erpresser, politisch nicht ganz korrekt.
Gaycken: Na, die Behörden können natürlich jetzt nicht kriminelle Geschäftsmodelle fördern. Die dürfen natürlich nicht sagen, dass Sie zahlen sollen. Aber dann kriegen wir halt eben auch Ihre Daten nicht wieder zurück. Wenn es also kritische Patientendaten sind – in Großbritannien konnten ja zum Beispiel Krebspatienten nicht behandelt werden, weil die Blutwerte nicht da waren –, dann würde ich sagen, ist dann das Prinzip schon, eher zu zahlen, um die Daten wiederzubekommen, bevor man Menschenleben gefährdet.
Angreifer aus Russland, Europa, Asien und Afrika
Zagatta: Lässt sich denn sagen, wer hinter solchen Attacken steht – das sind rein Kriminelle oder aus welchen Ländern kommt so was, ist da weltweit auch verbreitet, lässt sich da irgendetwas sagen?
Gaycken: Das ist inzwischen weltweit verbreitet. Bei Ransomware haben wir immer noch wieder Angreifer aus Russland, aber auch viele Angreifer aus Europa, inzwischen auch viele aus Asien und Afrika, die das auch inzwischen ganz gut beherrschen und können. Von daher ist das Spektrum sehr, sehr weit. Wir haben jetzt hier natürlich den Vorteil und den Nachteil gleichzeitig, dass das Kleinkriminelle sind, sehr kleine Banden, sehr unprofessionell. Das heißt, die können Fehler gemacht haben, man könnte sie prinzipiell finden. Das bedeutet aber auch, dass die sich jetzt vermutlich sehr schnell aus dem Staub machen werden und versuchen werden, alle ihre Spuren zu verwischen. Was dann natürlich alle Rechner, die bis dahin nicht entschlüsselt sind, in Müll verwandelt.
Zagatta: Sie sagen Kleinkriminelle, muss man da gar nicht so viel können, um so etwas weltweit dann sogar in Gang zu setzen?
Gaycken: Nee, wir haben nämlich leider das Problem – da hatte ich in der "FAZ" was geschrieben, im Februar, glaube ich –, dass diese ganzen Leaks, die neueren Leaks von WikiLeaks und Shadow Brokers, die bringen keinen richtigen politischen Neugewinn oder Mehrwert in der Meinungsbildung. Wir wissen ja, dass die CIA und die NSA Rechner hacken und Dinge überwachen, aber die führen zu einer ganz massiven Proliferation von Angriffswerkzeugen. Die machen ja nichts anderes, als Angriffswerkzeuge zu publizieren. Die können Angreifer analysieren, dann umbauen, direkt nutzen teilweise. Und genau das ist hier passiert. Und da können also selbst äußerst untalentierte Angreifer diese Angriffe auf militärischem Niveau sozusagen nutzen und dann massenhaft in die Welt schießen. Das wird ein Problem sein, das uns auch noch lange begleiten wird, weil ganz viele der Angriffe gerade noch in der Auswertung sind.
Zagatta: Sandro Gaycken ist Experte für Cybersicherheit, leitet als Direktor das Digital Society Institute in Berlin, auch Beratung für unter anderem die NATO. Herr Gaycken, ich bedanke mich für diese Informationen und für Ihre Einschätzungen, für das Gespräch, danke schön!
Gaycken: Sehr gern!
Äußerungen unserer Gesprächspartner geben deren eigene Auffassungen wieder. Der Deutschlandfunk macht sich Äußerungen seiner Gesprächspartner in Interviews und Diskussionen nicht zu eigen.