Der Angreifer saß in Wiesbaden, mehr war den Zuschauern in Berlin nicht bekannt. Über seinen Bildschirm huschten gelb auf schwarz schnell getippte, kryptische Befehlszeilen. Er analysierte sein Opfer, eine Berliner Firma, und wählte Schwachstellen für seine Attacke aus. Der erste, allzu simple Versuch, in den Rechner eines nichts ahnenden Angestellten einzudringen, scheiterte zwar: Der Computer ließ sich nicht mit einem Passwort von einer Liste gebräuchlicher Begriffe wie "123456", "Snoopy", "Garfield" oder "Sommer" öffnen. Doch die zweite Strategie führte den Hacker zum Erfolg: Der angegriffene Rechner war noch nicht gegen eine bekannte Sicherheitslücke im Betriebssystem Windows XP geschützt.
Jetzt hatte der Fachmann aus Wiesbaden freie Bahn. Er kopierte sich eine Datei mit geheimen Daten und löschte dann das Original. Außerdem installierte er ein Programm, einen sogenannten Trojaner, der ihm fortan den Zugriff auf den Computer erlauben würde, selbst wenn dessen rechtmäßiger Benutzer nach dem Verschwinden seiner Daten die Sicherheitsleute seiner Firma einschaltete. Nach nicht einmal zehn Minuten verabschiedete sich der Eindringling leise. Sollten seine Auftraggeber einen weiteren Angriff von ihm verlangten, würden sie dafür erneut bezahlen müssen.
Der ganze Angriff war nur gespielt, sonst hätten die Zuschauer in Berlin nicht sehen können, was auf den Bildschirm des Hackers in Wiesbaden vorging. Die Aktivität des Angreifers wurde über eine Datenleitung in den fünften Stock des Fraunhofer-Instituts für offene Kommunikationssysteme (Fokus) übertragen und dort mit einem Beamer an die Wand geworfen.
Sabotage und Spionage im großen Stil
Seit einigen Monaten betreibt das Institut zusammen mit Industrie-Partnern wie dem Hardwarehersteller Hewlett-Packard, der Sicherheitsfirma McAfee und dem Dienstleistungskonzern CSC ein Demonstrationszentrum für Cybersecurity, also für Sicherheit in weltumspannenden Kommunikationsnetzen. Es soll Besuchern zeigen, wie sich die Bedrohung durch Hacker gewandelt hat und was dagegen zu tun ist.
"Die Angreifer sind inzwischen Professionelle", sagt Jens Fromm von Fokus. "Sie haben oft einen politischen oder kommerziellen Auftrag, auf die Infrastruktur eines konkurrierenden Unternehmens oder einer Organisation zuzugreifen." Es geht um Sabotage und Spionage im großen Stil. Vorbei sei die Zeit, in der übermütige Teenager in Firmenrechnern herumspielten, motiviert durch das Ansehen im eigenen Freundeskreis. Mit dem Berliner Demonstrationszentrum wollten das Institut und die Partnerfirmen Bewusstsein schaffen. "Hier im Labor können auch mal Industrievertreter als Partner zusammenarbeiten, die draußen in der Realität Konkurrenten sind."
Unternehmen sollen Angriffe an den Staat melden
Dieses Ziel passt in die politische Agenda. Gerade erst hat Bundesinnenminister Hans-Peter Friedrich (CSU) eine Initiative gestartet, damit Betreiber von kritischer Infrastruktur dem Staat Angriffe aus dem Internet melden. Stromkonzerne, Wasserwerke, Banken und Verkehrsbetriebe sollen das Bundesamt für Sicherheit in der Informationstechnik (BSI) informieren. Die Behörde wiederum solle die Sicherheitsstandards der Unternehmen prüfen und zertifizieren, heißt es in einem Papier aus dem Ministerium. Noch vor der Bundestagswahl in einem Jahr soll daraus ein Gesetz werden.
Das Bundesamt in Bonn betreibt seit April 2011 das nationale Cyber-Abwehrzentrum, das Angriffe auf Behörden und staatliche Stellen aufdeckt und bewertet. Auch die Wirtschaft denkt über die Verstärkung ihrer Sicherheit nach. Beim ersten Cybersecurity-Gipfel Mitte September trafen sich 70 Manager, Politiker und Sicherheitsexperten. Unter anderem waren die Chefs von Deutscher Bahn, RWE und Eon sowie des Baukonzerns Bilfinger Berger da, sowie die Aufsichtsratsvorsitzenden der Deutschen Bank und der Commerzbank.
Sie forderten unter anderem den Aufbau einer Art digitaler GSG9-Einheit, also einer Elitetruppe im Kampf gegen Internetverbrechen. Außerdem sprachen sie sich für einen offenen Austausch über Angriffsszenarien, allerdings auf freiwilliger Basis aus. Staatlicher Zwang oder Selbstverpflichtung - diese Frage liefert unter Computerfachleuten derzeit ähnlich viel Konfliktstoff wie die Frauenquote in Vorstandsetagen.
Anders als bei der Gleichberechtigung der Geschlechter sind die Schäden der Unternehmen, die sich nicht an die Empfehlungen halten, genau zu quantifizieren. 294 829 Euro kostet es ein Unternehmen im Durchschnitt, nach einem Angriff aus dem Internet die Schäden zu beseitigen, hat Hewlett-Packard ermittelt. Der vor drei Wochen veröffentlichten Studie zufolge brauchen die Firmen dazu im Mittel 22 Tage. Weil aber manche Industriebranche im Wochenrhythmus erfolgreich attackiert wird, kosten die virtuellen Verbrechen Großunternehmen im Schnitt 4,8 Millionen Euro im Jahr.
Zehn Milliarden kosten Cyber-Angriffe jährlich
Auf die Welt hochgerechnet muss die Wirtschaft zehn Milliarden Dollar pro Jahr für das Aufräumen nach Angriffen ausgeben, schätzt zudem eine Studie von Wissenschaftlern um Ross Anderson von der University of Cambridge und Rainer Böhme von der Universität Münster. Sie verglichen die Taten der Cyberkriminellen auf einer Konferenz des Deutschen Instituts für Wirtschaftsforschung im Juni mit Metalldieben und Terroristen, die mit einfachen Mitteln vergleichsweise geringe Schäden anrichten, aber die Gesellschaft zu enorm teuren Schutzmaßnahmen zwingen.
Indien zum Beispiel bildet 500 000 Fachleute für Cybersicherheit aus, berichtete vor kurzem die Times of India. Wenn Großunternehmen wie die Ölgesellschaft Saudi Aramco, der französische Stromkonzern EDF oder Sony und Staaten wie Estland oder Iran Opfer von Angriffen aus dem Netz werden, ist das offenbar nur die Spitze des Eisbergs.
Die Berliner Forscher vom Fokus-Institut und ihre Industriepartner fordern daher, dass die Sicherheit zu einer Aufgabe für den Vorstand wird. "Das ist keine Techie-Frage, das gehört auf die Entscheiderebene", sagt Philipp Müller von dem Konzern CSC, der 16 Milliarden Dollar Umsatz im Jahr macht und seinen Kunden Computerdienstleistungen samt Zentren zur Cyberabwehr anbietet. "Es gibt immer dann einen Aha-Effekt, wenn der Vorstand erkennt, dass er rechtlich verantwortlich ist", weiß Müller.
Sicherheitsarchitektur nach dem Baukastenprinzip
Die Fachleute in Berlin propagieren eine Sicherheitsarchitektur auf vier Ebenen. Auf der untersten liegen die individuellen Geräte, Computer, Smartphone oder Drucker, die in einem Firmennetzwerk verbunden sind. Findet ein Hacker zu einem einzigen der Geräte über das Internet Zugang, hat er bereits einen Fuß in der Tür. Schon auf dieser Ebene hapert es aber oft, sagt Jens Fromm. "In vielen Firmen bringen Angestellte ihre privaten Geräte mit und koppeln sie dort mit dem drahtlosen Netz." Zudem wehren sich Benutzer gegen rigide Sicherheitsmaßnahmen oder stecken gedankenlos USB-Sticks in ihre Rechner. Oft stehen auch Vorschriften des Persönlichkeitsschutzes der lückenlosen Kontrolle entgegen, und das Management muss mit dem Betriebsrat verhandeln, welche Apparate der Sicherheitsdienst untersuchen darf.
Die zweite Ebene ist der Schutz des internen Netzes zum Beispiel durch Firewalls und Virenscanner. Hier gebe es kaum noch Lücken, so die Experten. Auf der vierten und obersten Schicht schließlich bilden der Staat oder große Wirtschaftsverbände einen Schutzwall, in dem sich Firmen gegenseitig über aktuelle Gefahren informieren und Gegenmaßnahmen abstimmen. Das ist es, worüber der Innenminister und Unternehmer gerade diskutieren.
Zwischen der einzelnen Firma und dem Staat sollte allerdings nach den Vorstellungen der Berliner Experten noch die dritte Ebene liegen, die eigentliche Neuerung: ein Sicherheitszentrum, das alle Daten aus den Ebenen darunter zusammenfasst, abgleicht und Muster erkennt, die auf Angriffe und Missbrauch hindeuten. Eine solche Einrichtung mit den entsprechenden Softwarewerkzeugen führten Fromm und Müller bei dem simulierten Hackerangriff vor, der nach Worten des CSC-Vertreters "trivial einfach" war.
Das System erkannte sowohl, dass jemand mit gewöhnlichen Passwörtern in einen Computer einzudringen versuchte, als auch den folgenden Angriff auf eine bekannte Windows-Schwachstelle. Sogar den Trojaner fand das Überwachungssystem. Mit diesem sei es auch möglich, ungewöhnliche Ereignisse festzustellen, zum Beispiel den Zugriff über einen ansonsten kaum genutzten Kanal oder regelmäßige lange Druckaufträge zwei Stunden nach Feierabend.
Sicherheitsfirmen haben Eigeninteresse an hohen Sicherheitsvorkehrungen
"Wichtig ist aber, dass da Menschen 24 Stunden am Tag davor sitzen", sagt Müller. Welche Sicherheitsbedürfnisse eine solche Zentrale befriedigen solle, könnten sich interessierte Firmen wie aus einem Baukastensystem zusammenstellen. Fällt den Mitarbeitern dort ein Angriff auf, können diese je nach Schwere der Attacke und Uhrzeit das betroffene Unternehmen alarmieren oder selbst Gegenmaßnahmen einleiten. In jedem Fall aber sei der Kampf gegen Hacker "ein Wettrüsten, dem wir uns stellen können und müssen", sagt Müller.
Zweifellos gehört es zum Geschäftsmodell von Sicherheitsanbietern, auf die hohe Gefahrenlage hinzuweisen. Viele Warnungen vor Cyberangriffen stammen von Unternehmen, die mit dem Verkauf der Gegenmaßnahmen Geld verdienen. Daher kommt es auch zu Übertreibungen, aber die generelle Bedrohung bestätigen auch unabhängige Forscher und Behörden.
Für Müller hat der Kampf neben der wirtschaftlichen auch kulturelle Bedeutung. "Hundertprozentige Sicherheit kann es nicht geben. Wenn wir die Dividende der Offenheit nutzen wollen, bleiben immer Schwachstellen." Das sei aber kein grundsätzliches Problem, sagt er und wählt ein simples Beispiel: "Wir haben doch auch gelernt, uns auf unsere Türen und unsere Autos zu verlassen."
