Cyber-Security : Cyber-Experte Granig: „Ich will den Teufel nicht an die Wand malen“

Beginnen wir mit einer Definition: Was unterscheidet den Cyberkrieger vom Cyberkriminellen?
Cornelius Granig: Beim Cyberkriminellen stehen Betrug und das finanzielle Interesse im Vordergrund, der Cyberkrieger will stören bzw. zerstören und er tut das im Dienste einer staatlichen Stelle. Der Übergang ist dabei nicht trennscharf, denn natürlich gibt es, gerade in Russland, aber nicht nur dort, Hacker die gewissermaßen als Cybersöldner Angriffe durchführen. „Crime as a Service“ ist überhaupt zu einem weltweiten Geschäftsmodell geworden.

Wie stark hat der Krieg in der Ukraine auch die Kriminalität im österreichischen Cyberspace verändert? Oder anders formuliert, welche Sektoren der österreichischen Wirtschaft und Industrie sind heute möglicherweise stärker betroffen als vor dem Krieg?
Granig: Das ist schwer zu sagen, denn viele Angriffe merkt man nicht sofort. Kein Unternehmen kann wirklich sicher sein, ob ein Angreifer nicht schon längst Zugang zu seinen Computersystemen hat und nur wartet, um eine Attacke auszuführen. Ein anderes Problem besteht darin, dass gerade im Cyberspace Angreifer sich sehr leicht tarnen können, um eben zu verschleiern, wer sie sind und aus welchem Land sie angreifen. Als Folge der Sanktionen ist allerdings schon damit zu rechnen, dass russische Cyberangriffe bevorzugt den öffentlichen, den Finanz- und Energiesektor betreffen könnten. Einen Krieg führt Russland übrigens ganz offen: den Desinformationskrieg über Fakenews und digitale Manipulation im Internet.

Lesen Sie auch: Nato-Berater Gaycken: „Kein Geheimdienst der Welt ist so gut wie Amazon“

Welchen Sinn sollen Attacken haben, die der Betroffene gar nicht merkt?
Granig: Man kann ihn zum Beispiel nach Monaten oder gar Jahren mit den erbeuteten Daten kompromittieren. In meinem Buch beschreibe ich den Fall des eines deutschen Diplomaten in der Ukraine. Angreifer haben seinen gesamten E-Mail-Verkehr kopiert, ohne dass er davon etwas bemerkt hätte. Monate später sind die Mails dann im Darknet aufgetaucht, allerdings wurden ihm da auch einige Mails untergeschoben, die er nie geschrieben hatte. Das ist schon eine sehr mächtige Manipulationswaffe, weil Sie es als Betroffener in so einer Situation sehr schwer haben zu beweisen, dass gerade die eine verfängliche untergeschobene Mail nicht von Ihnen ist.

Bei einem privatwirtschaftlichen Unternehmen würden sich die Täter aber wohl gleich zu erkennen geben?
Granig: Auch das ist nicht gesagt. Jedenfalls dann nicht, wenn sie im Auftrag fremder Dienste handeln. Auch dafür gibt es einen Beispielfall, interessanterweise aus der Ukraine. Da haben die, vermutlich russischen, Angreifer ein halbes Jahr zugewartet, die Lage sondiert und 2015 einen Tag vor Weihnachten die gesamte Energieversorgung lahmgelegt. Im Juni 2017 gab es eine ähnliche Attacke, die auf das ganze Land abzielte. Da musste dann alles vom Netz genommen werden und darunter haben auch internationale Firmen gelitten, die eigentlich gar nicht Ziel der Attacke waren. Maersk war zum Beispiel wochenlang arbeitsunfähig, sie mussten alles neu installieren. Ich will ja nicht den Teufel an die Wand malen, aber ein solches Szenario ist auch in Österreich denkbar. Die russische Regierung hat Österreich ja explizit als einen unfreundlichen Staat bezeichnet.

Wie können Betriebe sich davor schützen? Mit einer Cyberversicherung?
Granig: Eine Cyberversicherung ist sicher nicht falsch, allerdings ist es gar nicht so einfach, eine solche abzuschließen und, was Geldzahlungen betrifft, so kann es sehr lange dauern, bis geklärt ist, ob Ansprüche bestehen oder nicht. Die Pharmafirma Merck beispielsweise verhandelte 2022 immer noch über die Schäden von 2017 gegen den Cyberversicherer, erhielt aber schließlich vor einem amerikanischen Gericht mehr als eine Milliarde Dollar zugesprochen. Vor allem aber: Wenn die Produktion steht, dann geht es darum, welche Möglichkeiten Sie haben, ohne IT weiterzuarbeiten. Mein entscheidender Rat an Unternehmen ist daher: Sie sollten sich, so sie es noch nicht getan haben, dringend überlegen, wie viel an Ausfall der Daten- und IT-Infrastrukturverlust sie verkraften können, ohne die Produktion einstellen zu müssen. Und den wirklich überlebensnotwendigen Teil so gut schützen, so gut es nur irgendwie geht.

Was aber auch nicht immer einfach ist.
Granig: Das stimmt. Andererseits kommen sehr viele Angreifer bei sehr vielen Unternehmen nach wie vor über Schlupflöcher, die sich mit relativ simplen Maßnahmen schließen lassen. Aus den USA weiß man zum Beispiel, dass bei rund fünfzig Prozent der Cyberangriffe das Eintrittstor gar nicht komplizierte technische Tools sind, sondern Mitarbeiter des Unternehmens selbst, die meist unwissentlich, manchmal auch wissentlich als Handlanger der Angreifer dienen. So jemand öffnet dann einen Datei-Anhang, den er von einem vermeintlich guten Freund zugeschickt bekommen hat und schon ist der Angreifer im Unternehmen drinnen. Oder, auch das passiert oft, er überspielt Dateien von einem USB-Stick, den er von einem solchen angeblichen Freund bekommen hat. Das ist ganz Old School, funktioniert aber noch immer.

Und die Lehren, die sich daraus ziehen lassen?
Granig: Zum einen, dass es nach wie vor an Bewusstsein mangelt. Zum anderen aber, dass es sinnvoll ist, Standards zu implementieren Mit ISO 27001 existiert ein solcher Standard für Informationssicherheit, nach dem sich Unternehmen zertifizieren lassen können. Der umfasst technische Frage genauso wie die Frage, wie und wie oft man Schlüsselpersonen, die mit kritischen Daten zu tun haben, überprüfen soll. Das ist ein Punkt, den viele Unternehmen sträflich unterlassen. Entweder machen sie das gar nicht. Oder sie machen es einmal, beim initialen Setup und nie wieder, was natürlich auch nicht ausreicht. In der datenkritischen Automobilindustrie ist ISO 27001 inzwischen schon ziemlich weit verbreitet. Immer mehr Unternehmen verlangen von ihren Zulieferern, dass sie nach diesem Standard zertifiziert sind.

Gegen wirklich mächtige staatliche Angreifer, die vielleicht auch noch Software nützen, mit deren Hilfe sie remote Mobilgeräte kapern können, wird aber vermutlich auch das nichts helfen.
Granig: Hundert Prozent Sicherheit gibt es nicht. Das wissen wir alle. Aber auch für den Fall, dass ein Telefon oder Tablet gekapert wird, kann man Vorkehrungen treffen. Ich kann zwar womöglich nicht verhindern, dass Daten ausgelesen werden. Wenn es aber eine Mehrfachauthentifizierung gibt, bei der der Besitzer, bevor Befehle ausgeführt werden, direkt am Gerät etwas eingeben muss, dann lässt sich zumindest verhindern, dass von einem gekaperten Telefon Anlagen gesteuert und übernommen werden. Da ist schon viel gewonnen. Ich würde Unternehmen dennoch dazu raten, gut zu überlegen, wie viel an Steuerung über mobile Endgeräte sie zulassen wollen. Denn ein Risikofaktor bleibt das allemal, etwa wenn das Mobilgerät nicht nur gekapert, sondern auch physisch entwendet wird.

Gibt es einen Punkt, auf den gerade Industriebetriebe achten sollten?
Granig: Ich beobachte oft, dass produzierende Unternehmen, zwar die sogenannte Büro-IT gut abgesichert haben, die Produktion aber ziemlich ungeschützt lassen, vor allem, wenn die ein eigener abgeschlossener Bereich ist. Man meint, da würde ein Angreifer ja ohnehin nicht hineinkönnen, weil die Anlagen nicht am Internet hängen. Aber erstens hängen Maschinen in Zeiten von Industrie 4.0 immer öfter doch indirekt dran und zweitens der Trick mit einem USB-Stick, den jemand für Updatezwecke in eine Anlagensteuerung steckt, funktioniert auch in einem isolierten Netz.

ZUR PERSON
Cornelius Granig ist als Cybercrime-Experte bei Europol akkreditiert, Autor der Bücher „Darknet“ und „Böses Geld“, Spezialist für Krisenmanagement, Cyber Security und Compliance-Technologie bei Grant Thornton Austria sowie CEO mehrerer Beratungsunternehmen. Zuvor war er in zahlreichen Vorstandsfunktion tätig, darunter bei Siemens und der Raiffeisen Bank.