Interview : Nato-Berater Gaycken: „Kein Geheimdienst der Welt ist so gut wie Amazon“

INDUSTRIEMAGAZIN: Wie groß ist die Gefahr, dass der aktuelle Konflikt zwischen Russland und dem Westen auch auf der Cyberebene eskaliert?

Sandro Gaycken: Es gibt sie. Im Moment sind die Nachrichtendienste aber eher darüber erstaunt, dass Putin seine Cyberwaffen im Schrank lässt. Eine mögliche Erklärung dafür ist, dass es international noch keine verbindlichen Regeln gibt, wie solche Angriffe rechtlich zu werten wären und Putin den Krieg, der ihm ohnehin entglitten ist nicht noch weiter eskalieren will.

Welche Cyberwaffen sind es, die Putin noch im Schrank lässt?

Gaycken: Die Cybertruppen von FSB und GRU sind bekannt dafür, dass sie sehr gute, sehr massive Angriffe und Sabotageakte bauen können. Ein Sabotageakt, mit dem russische Geheimdienste in Verbindung gebracht werden, ist der Hack der Colonial-Pipeline in den USA, ein anderer Angriffe auf Ölterminals in Europa. Da weisen die Tools sehr klar in Richtung russische Dienste hin, auch wenn in Russland dafür ein Krimineller verhaftet wurde. Vermutlich ein Bauernopfer.

Lesen Sie auch: Raiffeisen-Manager Hameseder: "Müssen Stopptafel gegenüber Russland aufstellen"
UND: Industriekongress 2022 - das Jahrestreffen der Industrie am 23. Juni

Der Colonial-Hack hat in den USA eine ziemliche Diskussion über Cyber-Sicherheit ausgelöst. Wie gut vorbereitet auf Cyber-Angriffe ist Europa?

Gaycken: Schlecht. Sehr schlecht. Vor allem die öffentlichen Institutionen können mit dem Stand der Technik nicht mithalten. Ausschreibungen dauern bei uns so lange und sind so kompliziert, dass die Abwehr-Systeme mit ihren hohen Innovationsgeschwindigkeiten oft falsch oder veraltet gekauft werden. Es fehlt auch an Geld, um Spezialisten zu bezahlen. Leute mit brauchbaren Kenntnissen in der Cyber-Verteidigung steigen mit einem Jahresgehalt von 80.000 bis 120.000 Euro ein, sie steigen oft auf 200.000 bis 300.000 hinauf, manchmal auch bis zu einer Million. Das können sich Behörden nicht leisten. Auch in der Wahl der genutzten Tools ist man eingeschränkt.

In wie fern?

Gaycken: Es wird zum Beispiel keine Technologie von außerhalb Europas verwendet, weil man fürchtet, dass die Dienste anderer Staaten durch irgendeine Hintertür mitlesen könnten. Dadurch hinken wir aber technologisch immer hinterher. Im Moment finden Sie zum Beispiel keine sicherere Cloudlösung als Amazon Web Services. Auch Nachrichtendienste geben zu, dass sie da nichts Besseres bauen können.

Was doch ziemlich verwunderlich ist.

Gaycken: Nicht unbedingt. Die Firmen im Silicon Valley sind unglaublich agil, sie haben im Gegensatz zu staatlichen Stellen auch keine großen bürokratischen Strukturen, die sie durchfüttern müssen. Dafür haben Sie ein inhärentes Interesse daran, keine Sicherheitslücken zuzulassen, denn solche Schwächen sprechen sich sehr schnell herum und schaden dem Geschäft. Die Vorstellung, dass das Militär und die Geheimdienste die Speerspitze der technologischen Entwicklung sind, trifft heute absolut nicht mehr zu, auch in den USA nicht. Selbst das Pentagon kann mit dem Budgets von den führenden High-Tech-Unternehmen nicht mithalten.

Wenn staatliche Stellen schlecht geschützt sind, weil ihnen das Geld fehlt, gilt dann der Umkehrschluss, dass es in der Industrie besser aussieht?

Gaycken: Nein, denn die Industrie bekommt auch nicht die Leute, die sie braucht. Wenn ein großer Dax-Konzern 200.000 Angestellte und 300.000 Rechner hat, dann reichen selbst 200 Spezialisten nicht aus, um das Unternehmen auch nur in den Kernbereichen abzusichern. Diese 200 Spezialisten gibt es aber sowieso nicht. In dieser Hinsicht haben es autoritäre Regime leichter. In Russland oder China werden die Top-Leute von der Universität weg engagiert. Die haben gar nicht die Möglichkeit für das Silicon Valley zu arbeiten oder ein Start-Up zu gründen.

Sehen Sie Branchen, die im Moment besonders durch Cyberangriffe gefährdet sind?

Gaycken: Was im Moment zu befürchten ist, sind Angriffe auf kritische Infrastruktur, auf Finanzziele und auf Ziele, die gut sichtbar sind. Es ist außerdem damit zu rechnen, dass es Angriffe sein werden, die zwar staatliche Akteure im Hintergrund haben, aber eine Interpretation als krimineller Akt zulassen. Denn im Moment will Russland nicht mit offenen Cyber-Angriffen eskalieren.

Welchen Sinn haben aber solche halb versteckten Angriffe?

Gaycken: Auf dem gegenwärtigen Stand der Auseinandersetzung geht es darum, ganz in der Logik des Kalten Kriegs ein Bedrohungsszenario aufzubauen und mit Angriffen, von denen man sich notfalls auch distanzieren kann, zu zeigen, wozu man in der Lage ist, welchen ökonomischen Schaden man anrichten kann. Da eignen sich Unternehmen als Ziel natürlich sehr gut, denn solche Angriffe bleiben nicht unbemerkt, können aber dennoch relativ leicht als Tätigkeit von Kriminellen kaschiert werden. An anderen Zielen, etwa in der Finanzbranche, kann man viel Geld verdienen und Sanktionen aushebeln. Viele Unternehmen sind auch gute Ziele, weil sie sich bisher kaum um Risikomanagement gekümmert haben. Risikomanagement bringt ja keinen Return on Investment, deshalb wird es gern vernachlässigt.

Zur Logik des Kalten Kriegs würde es dazu gehören, dass der Westen mit virtuellen Gegenschlägen selbst ein Abschreckungsszenario aufbaut.

Gaycken: Ja, das ist eine gute Idee. In einigen wenigen Fällen passierte das auch und der Erfolg war sehr groß. Denn solche Angriffe treiben die Kosten der Gegenseite in die Höhe, das ist ein sehr wirksames Mittel. Schon die Androhung eines Angriff ist sehr wirksam, etwa, wenn man einem Angreifer signalisiert: Wir wissen, dass unser Land gerade angegriffen wird. Wenn ihr das innerhalb von zehn Minuten nicht abstellt wird es einen Gegenangriff geben. Die Drohung darf in so einem Fall aber natürlich nicht leer sein.

Wenn Gegenangriffe funktionieren, warum werden sie dann so selten genutzt?

Gaycken: Zum einen aus rechtlichen Gründen. Angreifende Computer in einem fremden Land auszuschalten kann als kriminell ausgelegt werden. Wobei die Abwehr einer Gefahr völkerrechtlich durchaus zulässig sein kann. Der zweite Grund ist, dass Politiker fürchten, in der rechtlichen und technischen Komplexität des Problems unterzugehen. Und bevor sie das tun, machen sie lieber gar nichts.

Auch weil die öffentliche Meinung Cyberangriffe auf Russland ablehnen würde?

Gaycken: Das ist nicht der Fall, das glauben Politiker nur. Europa ist in dieser Frage einfach viel zu zögerlich. Wir wissen, was wir tun müssten, nämlich massiv in die Cybersicherheit investieren, tun es aber nicht. In den USA ist der Mindset anders, da gibt es sehr enge Kooperation zwischen Rüstungsindustrie und dem Pentagon, auch im IT-Bereich, mit den entsprechenden Erfolgen.

Wie steht Österreich in diesem Kontext da?

Gaycken: Für europäische Verhältnisse sehr gut. Ich hatte einige Berührungspunkte mit Österreich, vor allem mit österreichischem Militär und mein Eindruck war sehr gut. Da gibt es Cyberprofis mit wirklich sehr guten, sehr tiefen Kenntnissen. Die Errichtung der neuen Direktion für Staatsschutz und Nachrichtendienst gibt Österreich außerdem die Möglichkeit, viel von Anfang an richtig zu machen. Das ist sehr viel versprechend. Österreich hat auch hervorragende IT-Sicherheitsfirmen. Deutschland hat schon öfter Sicherheitssysteme in Österreich gekauft, weil die so gut sind. Als kleines Land ist Österreich auch viel agiler

Ist Österreich wegen seiner Größe auch weniger gefährdet?

Gaycken: Nein, ob ein Land groß oder klein ist Angreifern grundsätzlich egal. Am sichersten sind noch Länder, wo es eine Sprachbarriere gibt. Vor allem kriminelle Angreifer scheuen sich Länder anzugreifen, wo nur wenige Menschen Englisch sprechen und man damit rechnen muss, dass Verhandlungen um Lösegeld deshalb scheitern.