Cybersicherheit "30 Prozent aller Angestellten klicken auf alles, was du ihnen schickst"

Crowdstrike-CTO und Mitgründer Dmitri Alperovitch.

(Foto: oh)

Dmitri Alperovitch, Mitgründer der IT-Sicherheitsfirma Crowdstrike, über die Frage, warum russische Hacker die schnellsten sind, was an Nordkorea innovativ ist und warum KI seine Firma nie ersetzen wird.

Interview von Max Muth

Dmitri Alperovitch wurde 1980 in Moskau geboren und zog 1994 in die USA. Heute ist er eine der schillerndsten Figuren der IT-Security-Branche. Das liegt einerseits an seiner Vorliebe für karierte Anzüge, aber auch an der Arbeit seiner Firma Crowdstrike. 2016 wurde das IT-Sicherheitsunternehmen auf einen Schlag weltbekannt, als es die Demokratische Partei in den USA als Kunden gewann, nachdem das Demokratische Nationale Kommittee (DNC) von Unbekannten gehackt worden war. Entgegen der damaligen Gepflogenheiten legte sich Crowdstrike öffentlich fest: Das DNC sei von russischen Hackern attackiert worden.

SZ: Ihre Firma hat gerade den Crowdstrike Annual Threat Report, eine Art Trendschau der Cyberattacken, veröffentlicht. Was hat sich im vergangenen Jahr verändert und wer ist besonders betroffen?

Dmitri Alperovitch: Es gab eine Zeit, da haben Leute gesagt: "Ich bin keine Bank, ich bin kein Rüstungskonzern, ich werde sicher nicht angegriffen." Diese Zeiten sind lang vorbei. Jede Branche wird angegriffen, entweder wegen der Informationen, die es zu holen gibt, oder als Kollateralschaden eines anderen Angriffs, wie wir es bei der NotPetya Erpressersoftware gesehen haben.

Von wo kommen die meisten Angriffe?

Was staatlich unterstützte Hackergruppen angeht, beobachten wir hauptsächlich China, Iran, Russland und Nordkorea. Zum ersten Mal haben wir in diesem Jahr ein Ranking der erfolgreichsten Hackergruppen erstellt, dafür nutzen wir die sogenannte Breakout Time: Das ist die Zeit, die Hacker brauchen, um sich nach dem ersten Eindringen in ein System einzurichten, um wirklichen Schaden anzurichten. Nicht ganz überraschend liegt Russland auf Platz eins, aber dass sie acht Mal so schnell sind wie das zweitplatzierte Nordkorea, ist beeindruckend. Nordkorea auf zwei ist ebenfalls überraschend - viele hätten da wohl China vermutet. Aber das zeigt, dass du nicht das größte Land sein und das meiste Geld ausgeben musst, um erfolgreiche Hacker zu haben.

Berichten zufolge wird der Hackernachwuchs in Nordkorea schon in der Grundschule rekrutiert. Zudem sollen die Cyber-Unis in Nordkorea schon 7000 Hacker ausgebildet haben. Wieso ist Russland dann noch an der Spitze?

Die Russen machen das seit den 1980er Jahren. Sie haben ein großartiges Bildungssystem für Hacker, sie haben außergewöhnliche IT-Forschung und sind exzellente Militärplaner. Cyberattacken von staatlich unterstützten Hackern sind nichts anderes als Geheimdienstoperationen. Und wenn du das in der physischen Welt gut kannst, wie Russland, dann wirkt sich das auch auf deine Cyber-Operationen aus.

Nordkorea aber wird unterschätzt, das Land baut seit 20 Jahren an ihren Angriffs-Werkzeugen und hat immer wieder Südkorea mit Cyber-Operationen angegriffen. Meiner Meinung nach sind die Nordkoreaner der innovativste staatliche Akteur. Sie haben als erste Hackerangriffe eingesetzt, die physischen Schaden anrichten, um ihre diplomatischen Ziele zu erreichen. Lange bevor wir angefangen haben, über Russlands Desinformationskrieg zu reden, gab es den Angriff auf Sony. Auch da wurden E-Mails gestohlen und über Wikileaks an Reporter weitergegeben - genauso wie zwei Jahre später bei Russland und der Demokratischen Partei in den USA. Andere Staaten machen nach, was Nordkorea tut. Heute konzentriert sich Nordkorea allerdings vor allem auf kriminelle Angriffe, etwa auf Banken, um Geld zu stehlen.

In Ihrem Ranking tauchen keine westlichen Staaten auf. Gibt es dort keine Hacker?

Wir haben sie nicht in unser Ranking aufgenommen, weil uns dafür die Daten fehlen. Unsere Kunden sitzen nicht in Iran, Russland oder China, das heißt, wir können Angriffe auf diese Systeme nicht beobachten. Aber es gibt sie. Und ich würde davon ausgehen, dass sie ganz oben wären, vielleicht sogar noch vor Russland.

Was treibt staatliche Hacker heutzutage an?

Es geht darum, die Ziele des jeweiligen Regimes zu unterstützen. China konzentriert sich auf Industriespionage. Das Land hat den Plan "Made in China 2025", in fünf Jahren wollen sie in einigen Industriebereichen Weltmarktführer sein. Russland hat verschiedene Ziele, natürlich geht es dabei auch darum, die Ukraine zu destabilisieren, Wahlen zu beeinflussen, aber auch Industriespionage in einigen Bereichen. Für Russland ist das vor allem der Energie- und Finanzsektor. Iran will regionale Dominanz, also richtet sich alles, was sie tun, gegen Saudi-Arabien und dessen Verbündete, zum Beispiel als Vergeltung für Jemen oder Syrien. In letzter Zeit sehen wir aber auch wieder iranische Angriffe auf den Westen.

Ihre Firma wurde auch dadurch bekannt, dass Sie sich 2016 nach dem Hack auf die US-Demokraten ganz klar festlegt haben: Der Angriff komme aus Russland. Seitdem gibt es immer häufiger derartige öffentliche Schuldzuweisungen, aber genützt haben sie nichts. Wieso hat die öffentliche Zuschreibung keine abschreckende Wirkung?

Zuerst müssen Sie sagen, wer für einen Angriff verantwortlich ist, aber in einem zweiten Schritt muss es auch Konsequenzen geben. Es gab ein paar Sanktionen, ein paar Diplomaten wurden des Landes verwiesen. Mittlerweile gibt es auch Anklagen und vor ein paar Monaten zum ersten Mal auch eine Verhaftung. Im Oktober wurde ein Vizedirektor des chinesischen Sicherheitsministeriums in Belgien verhaftet und an die USA ausgeliefert. Aber damit das eine wirklich abschreckende Wirkung hat, muss es mehr konkrete Konsequenzen wie diese geben.

Aus der Politik gibt es hauptsächlich zwei Vorschläge, um die Cybersicherheit zu erhöhen. Der erste heißt Regulierung, also verpflichtende Updates für Geräte und Software. Andere sagen, man müsse vor allem die Nutzer aufklären, also die Medienkompetenz stärken.

Das sind beides gute Vorschläge, aber es wird das Problem nicht lösen. Etwa 30 Prozent aller Angestellten klicken auf alles, was du ihnen schickst. Die paranoideste Firma schafft es mit extremem Aufwand vielleicht auf fünf Prozent. Menschen machen Fehler, und die Phishing-Mails werden immer besser. Wenn sie ein Verkäufer sind und jemand schickt ihnen eine Angebotsabfrage, dann klicken Sie darauf. Wenn sie in der Buchhaltung arbeiten und jemand Ihnen eine Rechnung schickt, dann klicken Sie darauf: Es ist Ihr Job das zu tun.

Wenn es ein fähiger Angreifer wirklich darauf anlegt, dann kommt er in Ihr System. Es gibt immer Schwachstellen. Neue Patches schaffen neue Schwachstellen. Mittlerweile gibt es Schwachstellen in der Hardware. Die einzige Lösung ist dann oft, das Produkt wegzuwerfen. Die größte Schwachstelle aber ist der Mensch.

Gibt es eine Lösung?

Die beste Verteidigungsstrategie ist die, die davon ausgeht, dass jemand in Ihr System einbrechen wird. Sie müssen konstant nach Eindringlingen suchen, sie finden und aus dem System werfen. Ich bin ein großer Fan der 1/10/60-Regel. Es gibt drei Parameter: Die Zeit, die sie brauchen um einen Angriff zu erkennen; die Zeit, bis Sie den Angriff analysiert haben; die Zeit, bis sie ihn abgewehrt haben. Gute Verteidiger entdecken in einer Minute, analysieren in zehn und lösen das Problem in 60 Minuten. Bei Cybersicherheit geht es darum, so schnell wie möglich zu sein.

Das klingt nach einem ewigen Wettrüsten.

Es ist ein ewiges Wettrüsten.

Es gab Vorschläge, das Internet nochmal zu erfinden und es diesmal von Grund auf sicher zu designen. Was halten Sie davon?

Wenn wir ehrlich sind, haben wir keine Ahnung, wie man ein absolut sicheres System bauen kann. Es gibt keinen Anhaltspunkt aus 70 Jahren Computergeschichte dafür, zu glauben, dass wir das könnten: sichere Software oder sichere Hardware zu bauen. Die Systeme sind einfach zu komplex und am Ende ist der Nutzer die größte Schwachstelle. Egal was wir bauen, es wird immer anfällig sein. Und ich sehe nichts am Horizont, was das ändern könnte

Erst vergangene Woche hat Russland beschlossen, das Internet teilweise zu verstaatlichen, so dass alle Verbindungen über kontrollierte Verbindungen laufen. Bringt das mehr Cybersicherheit?

Es gibt diesen Trend zur Balkanisierung des Internets, das können sie an China und Russland sehen, die ihre eingezäunten Netze schaffen. Aber dabei geht es nicht um Cybersicherheit in dem Sinn, wie wir das verstehen. Es geht diesen Staaten um Informationssicherheit und die Kontrolle ihrer Bevölkerung. Putin hat es im Jahr 2000 ganz deutlich gesagt. Ein regierungskritischer Blogpost, der von Russen gelesen werden kann, ist für ihn ein Cyberangriff. Wenn man Cybersicherheit so versteht, dann ist das geplante Runet eine Lösung. Gegen Cyberspionage hilft es weniger.

Eine ähnliche Debatte wird gerade über 5G-Technologie und Huawei geführt. Sollte Deutschland dem chinesischen Konzern Huawei erlauben, seine 5G-Netze zu bauen?

Als NATO-Mitglieder kaufen wir aus offensichtlichen Gründen keine Flugzeugträger oder Panzer von China oder Russland, warum sollten wir dann Telekommunikationssysteme von ihnen kaufen? 5G-Technologie wird in Zukunft genauso wichtig für das Militär sein wie heute Panzer oder Flugzeugträger. Es geht nicht um Huawei als Firma. Es geht darum, dass diese Firma in einem Land sitzt, das zumindest mal ein Konkurrent ist. Und in China ist das Rechtsystem so, dass wenn die Regierung zu Huawei geht und sie um etwas bittet, Huawei nicht Nein sagen kann.

Würde es helfen, wenn der Software-Code von Huawei für die Technologie Open Source wäre, also öffentlich einsehbar?

Es geht nicht nur um den Code. 5G-Technologie ist hochkomplex. Das ist kein iPhone, dass Sie im Laden kaufen und zu Hause einrichten. Dazu gehört Wartung, Leute kommen und installieren das System, und schon allein das kann Sie verwundbar machen. Wer kommt und richtet das ein und sieht, dass diese eine Leitung in den Bundestag führt? Zudem: Vielleicht hat das System heute keine Hintertür und wir haben auch noch keine gesehen. Aber stellen Sie sich vor, dass eine große Schwachstelle entdeckt wird und die 5G-Infrastruktur ein Update braucht: Wer garantiert Ihnen, dass Sie als Kunde genau dasselbe Update bekommen wie alle anderen auch und nicht vielleicht ein paar Zeilen besonderen Code? Sie haben nicht die Zeit, das alles zu überprüfen.

Ein anderes Thema, über das bei der Münchner Sicherheitskonferenz viel diskutiert wurde, ist Künstliche Intelligenz (KI). Wie werden sich die intelligenten Systeme auf Cybersicherheit auswirken? Hilft KI eher Angreifern oder Verteidigern?

KI ist nützlich, wird aber kein Allheilmittel sein. Auch Angreifer werden lernen, KI zu nutzen oder zu umgehen. Wir sehen jetzt schon erste Ergebnisse der KI-Forschung für Angreifer, also wie sie KI nutzen, um KI zu besiegen.

Laufen IT-Sicherheitsexperten Gefahr, in den kommenden Jahren von Maschinen ersetzt zu werden?

Cybersicherheit wird eine der letzten Branchen sein, die automatisiert wird. Es gibt einen entscheidenden Unterschied zwischen unserem und allen anderen Bereichen. Selbstfahrende Autos werden irgendwann kommen, es gibt ein Ziel, das erreicht werden kann. Unser Ziel ist beweglich. Wir werden besser, Hacker werden besser. Wir haben ein denkendes Gegenüber. So ähnlich ist das vielleicht auch in der Medizin, aber die Evolution passt sich deutlich langsamer an als feindliche Hacker. Stellen Sie sich vor, sie müssten selbstfahrende Autos bauen und es gibt auf der Straße noch andere Autos, deren einziges Ziel ist, sie zu rammen. Das ist oft ein Kampf Mann gegen Mann. Deshalb glaube ich, dass Menschen noch viele Jahre lang ein wichtiger Teil unseres Geschäfts sein werden.

IT-Sicherheit "Wenn Ihr Fingerabdruck im Netz landet, ist er für alle Zeiten verbrannt"

Sicherheit im Internet

"Wenn Ihr Fingerabdruck im Netz landet, ist er für alle Zeiten verbrannt"

Je mehr Smartphones, vernetzte Gadgets und Web-Dienste wir nutzen, desto mehr Angriffsfläche bieten wir. IT-Experte Christian Funk erklärt, wie man sich im Internet schützt.   Interview von Max Muth