Am Anfang ist nur eine Mail. Eine Mail, wie sie im Berufsleben zum Alltag gehört. Ein Bewerber sendet seine Unterlagen als Datei im PDF-Format. Oder der Kollege zwei Stockwerke tiefer schickt einen Link auf eine Internetseite, dazu einen Smiley, guck dir das mal an, heißt es darin. Für die Menschen, die solche Mails bekommen und die Anhänge öffnen oder auf Links klicken, sieht alles ganz normal aus. Auch der Rechner verhält sich wie immer - aber nur an der Oberfläche. Unbemerkt vom Nutzer ist schädliche Software längst dabei, ihr Werk zu verrichten. "Es ist erschütternd, wie primitiv das ist und wie gut es andererseits funktioniert", sagt der Karlsruher Experte für IT-Sicherheit, Christoph Fischer.
Funktioniert, das heißt hier: Der Computer, auf dem der verseuchte Mail-Anhang geöffnet oder der präparierte Link angeklickt wurde, wird unbemerkt zu einer Art Brückenkopf, von dem aus das weitere Terrain, das interne Netzwerk, erobert werden kann. "Meistens sind die schon 300 bis 500 Tage drin, bis sie entdeckt werden", sagt Fischer, dessen Firma Behörden und Unternehmen in Fragen der IT-Sicherheit berät. Zeit genug also, um einen Angriff zu starten wie den am späten Mittwochabend auf den französischen Fernsehsender TV 5 Monde.
Eine Attacke von bislang unbekanntem Ausmaß
Eine derartige Attacke habe es in der 30-jährigen Geschichte des Senders noch nicht gegeben, sagte die IT-Chefin von TV 5 Monde, Hélène Zemmour, dem Sender France TV info, "alles ist auf sehr koordinierte Weise abgelaufen". Die Angreifer, die sich selbst als Mitglieder des sogenannten Cyber-Kalifats bezeichnen, kaperten nicht nur die Zugänge des Senders zu den sozialen Netzwerken Facebook und Twitter und verbreiteten dort für kurze Zeit Botschaften im Namen der Terrormiliz Islamischer Staat. Die Webseite des Senders griffen sie ebenso an, sie war am Donnerstag erst von etwa 14 Uhr wieder erreichbar. Das hat es alles schon gegeben, doch die Hacker legten auch den Betrieb des Senders komplett lahm - selbst am Donnerstag konnte TV 5 Monde tagsüber nur aufgezeichnete Beiträge senden. Das hat es in der Geschichte des Fernsehens noch nicht gegeben.
Neue Dimension des Terrorismus oder schierer Vandalismus? Die Ankündigung des Cyber-Dschihads auf der Website von TV 5.
(Foto: TV5/AP)Senderchef Yves Bigot sagte am Mittag in einer Fernsehsendung, man glaube zu wissen, wie die Angreifer in die Systeme des Senders eingedrungen seien. Aber es sei noch zu früh für belastbare Aussagen über die Vorbereitung der Attacke und die Herkunft der Täter. Das französische Internetportal Breaking3zero.com will schon mehr wissen und berichtet unter Berufung auf anonyme Quellen von einem sogenannten Wurm - also einer schädlichen Software, die dazu imstande ist, sich über das interne Netz von Computer zu Computer weiterzuverbreiten. In dem Artikel werden auch die Pseudonyme der mutmaßlichen Autoren des Computervirus genannt - wie glaubhaft das ist, bleibt angesichts der ungenannten Quellen offen. Damit werden sich die Ermittler befassen müssen.
Die Cyber-Dschihadisten aber haben ihren Zweck längst erreicht. Indem sie diesmal einen Schritt weitergegangen sind: Sie haben nicht nur Webseiten oder Zugänge zu sozialen Medien gekapert, sondern einen ganzen TV-Sender lahmgelegt. So bekommen sie die Aufmerksamkeit der Medien und damit der Öffentlichkeit.
"Die Absicherung bei den Medienunternehmen ist nicht die beste"
Doch ob man von einer neuen Qualität der Angriffe selbst sprechen kann, ist noch offen. Dafür müssen erst einmal die Umstände genauer geklärt werden. Womöglich bedurfte es gar keiner besonderen Kenntnisse, um den Sendebetrieb über Stunden zu stören. "Die Absicherung bei den Medienunternehmen ist nicht die beste", sagt der Sicherheitsexperte Matthias Rosche, dessen Firma auch solche Unternehmen berät. "Da gibt es oft einen Investitionsrückstand." Außerdem sei die Vernetzung nahezu vollständig - "das kann man gar nicht mehr entkoppeln". In Medienunternehmen sei es noch schwieriger als anderswo, Beschränkungen durchzusetzen, etwa um potenziell gefährliche Webseiten zu filtern. Vieles basiere auf Kommunikation und Datenaustausch.
Die Angriffswerkzeuge muss sich heute auch niemand mehr selbst zusammenprogrammieren - es gibt sie fertig im Netz zu kaufen, sogar mit E-Mail-Kundenservice, wenn etwas nicht klappt. Und Hackergruppen bieten auf Untergrundforen ihre Dienste an - Attacke auf Bestellung sozusagen. Einige tausend fähige Hacker verdienen sich Experten zufolge auf diese Weise ihr Geld, manche davon mit eher niedriger moralischer Hemmschwelle.
Lahmgelegt: Arbeitsplätze in der Redaktion von TV 5 in Paris.
(Foto: Christophe Ena/AP)Auch Infrastruktureinrichtungen und Industriebetriebe sind gefährdet
Fernsehsender mögen bisher vielleicht noch nicht wirklich gut gegen Cyber-Attacken gesichert sein. Aber wenn man ein großes Unternehmen so angreifen kann, dass weltweit die Bildschirme schwarz bleiben, taucht unweigerlich die Frage auf, wie gefährdet Infrastruktureinrichtungen sind wie Verkehrsleitsysteme, die Stromversorgung, Wasserwerke oder Atomkraftwerke. Auch hier ist Vernetzung inzwischen unverzichtbar. Die Betreiber müssen allerdings hohe Sicherheitsauflagen erfüllen und sind mittlerweile auch sensibilisiert. So konnte vor einem Jahr ein IT-Experte, beobachtet von einem Fernsehteam, binnen zwei Tagen ins Allerheiligste der Stadtwerke Ettlingen, die Schaltzentrale, eindringen. Von seinem Computer aus hätte er für eine Zeitlang der ganzen Stadt den Saft abdrehen können.
Auch Industriebetriebe sind anfällig, weil sie oft ihre Produktion so umstellen, dass ohne Netzanbindung nichts mehr läuft. Beispiele gibt es genug. In einem deutschen Stahlwerk etwa wurden die Steuergeräte eines Hochofens von Hackern so manipuliert, dass der sich nicht mehr herunterfahren ließ - die Anlage wurde dadurch schwer beschädigt. Es stellte sich heraus: Die Angreifer hatten mit verseuchten E-Mails einen Rechner der Firma gekapert und wühlten sich von dort aus durchs interne Netz. "Fast alle Unternehmen haben dieses Problem inzwischen", sagt Sicherheitsexperte Rosche.
Doch die IT-Verantwortlichen tun sich noch immer nicht leicht, Sicherheitsregeln auch durchzusetzen. Damit etwas leichter funktioniert, verzichtet man dann eben auf die eine oder andere Sicherheitsstufe. "Oft", sagt Christoph Fischer, "ist es eine Mischung aus Problemen mit der Systemarchitektur und Bequemlichkeit."