Im Jahr 2021 für die IT-Sicherheit eines Unternehmens tätig zu sein, ist nervenzehrend, doch eines sind solche Jobs: krisenfest. Schon seit mehreren Jahren greifen immer dreistere Banden immer mehr Unternehmen mit Schadsoftware an und erpressen Lösegeld. Das ist mittlerweile zur traurigen Normalität geworden. Nicht normal dagegen ist Folgendes: Im Dezember wurde bekannt, dass mutmaßlich russische Staatshacker die Netzwerksoftware der Firma Solar Winds mit Schadprogrammen verseucht haben, die in Hunderttausenden Unternehmen zum Einsatz kommt. Zehntausende Unternehmen wurden über ein Update verwundbar. Anfang dieser Woche wurde nun öffentlich, dass mutmaßlich chinesische Staatshacker Softwarelücken in Microsoft Exchange ausnutzten, über die auch der Outlook-Mailverkehr läuft. Die Lücken waren dem Unternehmen seit spätestens Anfang Januar bekannt. Ein Sicherheitsupdate hat Microsoft erst vor gut einer Woche zur Verfügung gestellt.
Ursprünglich hatten es die chinesischen Staatshacker offenbar gezielt auf die US-Forschung abgesehen. Doch sie scheinen von den Update-Plänen erfahren zu haben und änderten dann ihren Fokus. Zwischen dem 26. Februar und dem 3. März automatisierten sie ihre Angriffe und hinterließen Hintertüren in so gut wie jedem Microsoft-Exchange-Server, den sie finden konnten. Experten sagen: Wer sein System nicht direkt geupdatet hat, kann davon ausgehen, dass er nun eine chinesische Hintertür im System hat. IT-Sicherheitsunternehmen haben nicht genug Leute, um allen Firmen zu helfen, die jetzt Hilfe bräuchten. Ein IT-Profi spricht von einer Art Cyber-Triage, also Hilfe nur für ausgewählte Firmen.
Eigentlich unbeteiligte Unternehmen werden hier zum Kollateralschaden der unregulierten Cyberspionage. Was die Hacker hier gemacht haben, ist vergleichbar mit dem Einsatz von Streubomben auf zivile Infrastruktur, nur weil der Gegner den Bau einer Mauer angekündigt hat. Betroffen sein dürften Hunderttausende Unternehmen. Mittlerweile sind zusätzlich kriminelle Hacker unterwegs, die sich um die von den Chinesen installierten Hintertüren streiten.
Unbeteiligte Unternehmen müssen mit großen Schäden rechnen
Der wirtschaftliche Schaden dürfte immens sein. Gegen das, was die chinesischen Hacker hier angerichtet haben, war die russische Solar-Winds-Kampagne eine Hochpräzisionsoperation. Die Russen, die ihre Beteiligung am Solar-Winds-Hack genauso abstreiten wie jetzt die Chinesen den Microsoft-Hack, hatten potenziell Zugriff auf Hunderttausende Ziele, kompromittierten aber nur einige Dutzend. Spionage-Experten waren sich deshalb schnell einig: Was die Russen getan haben, war vertretbar. Die chinesischen Hacker dagegen hielten sich nicht an Spionage-Gepflogenheiten.
Der Streubombenvergleich ist drastisch, aber anschaulich. Im Cyber-Raum gilt keine Kriegswaffen-Konvention, Staaten können sich seit Jahren nicht darauf einigen, staatliches Hacking international zu regulieren. Dabei sind die Folgen von unkontrollierten Hacking-Aktionen für die Zivilgesellschaft ähnlich groß wie die des Einsatzes analoger Waffen. In Florida hackten jüngst Unbekannte ein Wasserwerk, Ähnliches ist auch in Israel passiert. In der Ukraine legten russische Hacker 2015 zeitweise die Stromversorgung lahm. 2017 entwischte den Russen ein für den Cyberkrieg gebauter elektronischer Schadwurm, der sich selbst vervielfältigt, und richtete weltweit Schäden von rund zehn Milliarden Dollar an. Der Wurm "NotPetya" nutzte übrigens Sicherheitslücken, die der US-Geheimdienst NSA lieber geheim hielt, anstatt sie zu melden. Dann wurde er selbst gehackt - und die Sicherheitslücken wurden von anderen genutzt.
Und was macht Deutschland? Am liebsten mit. Im Entwurf für das neue IT-Sicherheitsgesetz 2.0 versteckt sich eine Passage, die dem Amt für IT-Sicherheit BSI nur dann vorschreibt, Sicherheitslücken zu melden, wenn "überwiegende Sicherheitsinteressen" dem nicht entgegenstehen. Heißt im Klartext: Wenn das BSI eine Microsoft-Sicherheitslücke findet, die der Bundesnachrichtendienst gut gebrauchen könnte, dann stehen die Chancen künftig nicht schlecht, dass die Meldung beim Geheimdienst anstatt bei Microsoft landet.
Auf die strategischen Planungen der russischen, chinesischen oder auch US-Geheimdienste kann Deutschland wenn überhaupt nur mittelbar Einfluss nehmen. Dass die eigenen Dienste jedoch einen aktiven Part bei der Verunsicherung des Cyber-Raums spielen sollen, ist unverantwortlich. So ist es nur eine Frage der Zeit, bis deutsche Unternehmen zum Kollateralschaden auch deutscher Cyberunsicherheitspolitik werden.
