Die gute Nachricht zuerst: Es gibt Möglichkeiten, sensible Daten auf einem Computer verlässlich abzusichern. Die Methode, die Fachleute dafür empfehlen: Man schaltet den Rechner aus, schließt ihn in einen Safe, gießt diesen in Beton - und vergräbt den Block tief in der Wüste. Praktischere Systeme? Fehlanzeige. Das ist die schlechte Nachricht.
Bei einem Unternehmen werden durchschnittlich 70 Angriffe pro Woche registriert, einer im Monat ist erfolgreich", sagt Michael Teschner vom IT-Sicherheitsanbieter RSA. "Wir müssen davon ausgehen, dass der Angreifer fast immer im Firmennetz ist, das kann man nicht mehr verhindern." Wenn einer seiner Kunden ein Sicherheitssystem einbaut, ist es also eigentlich bereits zu spät. Und dabei geht es um ganz normale Angriffe ganz normaler Hacker; nicht um hochkomplexe Systeme wie die Schadsoftware Flame, die, wie jetzt entdeckt wurde, seit über drei Jahren im Nahen Osten Gespräche belauscht und Netzwerke ausspäht - aber die Ausnahme ist.
Teschner kann sich um Schadensbegrenzung bemühen; etwa mit Software, die verdächtige Datenbewegungen aufspürt. Und jedes Unternehmen kann versuchen, sich so gut abzuschotten, dass nur besonders erfahrene Hacker durchkommen. Wenn sie all zu lange an einem Angriff tüfteln müssen, lohnt sich die Mühe irgendwann nicht mehr.
Völlig veraltete Software
Doch nur wenige Firmen sind so sicher: Unter 800 Unternehmen, die der IT-Verband Bitkom kürzlich befragte, schätzte jedes dritte seine IT-Sicherheit als unzureichend ein. Und dabei geht es meist nicht um hochmoderne maßgeschneiderte Sicherheitslösungen: Oft ist völlig veraltete Software im Einsatz, sensible Daten sind nicht oder mit schwachen Passwörtern gesichert. Unter diesen Umständen kann sich jeder drittklassige Hacker bei den Firmen bedienen.
Theoretisch ist Sicherheit normiert: ISO 27001 enthält Vorgaben für minimale Maßnahmen. Aber die werden längst nicht überall umgesetzt - und mit der Realität haben sie ohnehin nicht viel zu tun. "Viele Unternehmen glauben, es wäre damit getan, die Vorgaben dieser ISO-Norm zu befolgen wie ein Kochrezept", klagt Teschner. Stattdessen sollten sie sich seiner Ansicht nach lieber Gedanken machen: Welche Informationen gilt es zu schützen? Was sind sie wert? Wer hat Interesse daran? Und wie kann man überprüfen, ob der Schutz funktioniert?
Oft sind Kundendaten oder Produktionsgeheimnisse Ziel der Angreifer. Laut einer Unternehmensbefragung der Beratungsfirma KPMG aus dem Jahr 2010 war deren Diebstahl die häufigste Straftat im Netz; insgesamt gab ein Viertel der befragten Unternehmen an, in den drei Jahren zuvor von Cybercrime betroffen gewesen zu sein.
Das Ausspähen von Daten hat stark zugenommen: Zwischen 2000 und 2010 wurden aus gut 500 Fällen pro Jahr in der Kriminalstatistik mehr als 15 000. Andere Angreifer setzen darauf, fremde Computer für Attacken zu kapern, mit denen sich Internetseiten lahmlegen und Online-Dienste erpressen lassen: Wer nicht zahlt, wird abgeschaltet. Und schließlich sind da Hacktivisten und Cyber-Terroristen, die im Sinne ihrer Sache sabotieren.
Vorläufer von Flame
Was gezielte Cyber-Attacken anrichten können, zeigte im Jahr 2010 der Computerwurm Stuxnet, eine Art Vorläufer von Flame, der Teile des iranischen Atomprogramms lahmlegte. Seine Zerstörungskraft war so groß, dass die Geschichte für Scott Borg in zwei Epochen zerfällt: "vor Stuxnet" und "nach Stuxnet". Borg ist der Chef der US Cyber Consequences Unit, ein Think Tank der US-Regierung. " Stuxnet bewegt sich von Rechner zu Rechner, verwischt seine Spuren, braucht keine Internetverbindung", sagt er.
"Man muss ihn nur auf einem USB-Stick in die Nähe des Zielobjekts bringen, und warten, bis den jemand in einen Rechner steckt." Bei jeder Gelegenheit warnt Borg davor, dass solche Attacken wichtige Infrastruktur in die Knie zwingen könnten. Wenn der Strom nur für zehn Tage abgeschaltet bleibe, breche die gesamte Wirtschaft zusammen. "Dann fangen die Leute an zu sterben", sagt Borg. "Das ist mit einem Atomkrieg vergleichbar."
Das Problem ist den Behörden nicht entgangen. "Die Gefahr durch Cyber-Angriffe nimmt weiter zu und wird teilweise noch unterschätzt", teilt das Bundesamt für Sicherheit in der Informationstechnik (BSI) mit. Intelligente Netze, die etwa die Stromnachfrage mit dem unsteten Stromangebot austarieren, oder Cloud Computing, mit dem sich Daten wie Anwendungen ins Netz auslagern lassen, bergen zusätzliche Risiken. Das BSI kann diese Daten und Netze ebenso wenig verteidigen wie die zehn Mitarbeiter im Cyber-Abwehrzentrum der Bundesregierung.
Stattdessen gibt es seit einigen Jahren einen Plan zum Schutz kritischer Infrastrukturen, in dem sich etwa Strom- und Wasserversorger auf Sicherheitsstandards verpflichten und Notfallszenarien ausarbeiten. Gemeinsam mit dem Branchenverband Bitkom hat das BSI zudem eine Allianz für Cyber-Sicherheit gestartet, um Sicherheitsstandards zu fördern: Firmen sollen Angriffe dort anonym melden können. Bislang werden viele Straftaten nicht bekannt, weil die Opfer um ihr Image fürchten.
Schwarzmarkt im Netz
Die Kräfte sind ungleich verteilt: Technisches Wissen kann leicht zu Geld gemacht werden. Auf dem Schwarzmarkt im Netz werden Sicherheitslücken in gängiger Software für Tausende Dollar gehandelt. Um dem illegalen Geschäft etwas entgegenzusetzen, bieten seit einigen Jahren auch Unternehmen Geld für bisher unbekannte Schwachstellen. Der Sicherheitsdienst Tipping Point etwa, der die Informationen kauft, den betroffenen Firmen weiterreicht - und sie veröffentlicht, sobald das Leck geschlossen ist. Zahlende Kunden werden sofort informiert. Auch Mozilla, Google und Facebook bieten Geld für diskrete Hinweise auf die Problemstellen ihrer Software. Die Einstiegssumme liegt bei 500 Dollar, für wichtige Lücken gibt es einige Tausend Dollar. Die kriminelle Konkurrenz zahlt unter Umständen ein Vielfaches.
Deshalb rüsten die Hüter der Sicherheit auf. Der weltweite Markt für IT-Sicherheit wächst seit Jahren mit zweistelligen Wachstumsraten; die auf IT spezialisierten Analysten von Gartner schätzen den weltweiten Markt in diesem Jahr auf 38 Milliarden Dollar. Neben den großen Anbietern sind Nischendienstleister entstanden - so wie die Firma Syss in Tübingen, die Sicherheitstests anbietet: Ihre Hacker greifen das Firmennetz der Kunden an und suchen nach Schwachstellen. Karsten Kinder ist einer von ihnen.
Die Clients, so sagt der Experten, die einfachen Rechner also, das seien die schwächsten Glieder in der Sicherheitskette. Anders als bei den Servern werden dort leicht Schwächen übersehen, weil ein Unternehmen so viele Rechner zu betreuen hat. Manche duldeten die Lücken auch, weil sie das Sicherheitsrisiko für geringer halten, als den Aufwand, es zu beseitigen. "Von innerhalb der Firma schafft man es fast immer, einen solchen Client zu übernehmen, und dann hat man ein Rieseneinfallstor ins System", warnt Kinder - dafür reiche meist schon der Zugang zum Praktikantenrechner.
Von außen, über die Homepage oder ein Firmenportal, ist es schwieriger, aber nicht unmöglich. Wer einen Rechner kontrolliert, kann sich oft erweiterte Rechte beschaffen, sich womöglich zum Domain-Administrator machen. "Und das ist im Netzwerk Gott", sagt Kinder trocken. Egal, wie gut ein Kunde gesichert ist: Mit dem entsprechenden Aufwand komme man meistens ans Ziel.