Interview: Haben Unternehmen im Cyberwar eine Chance?

Eine Bitkom-Umfrage zeigt: In Deutschland wächst die Angst vor Cyberkriegen. 76 Prozent der Menschen im Land haben Angst vor einer Eskalation im digitalen Raum. Elf Prozent gehen sogar davon aus, dass diese in einem bewaffneten Konflikt enden kann. Eine Mehrheit sieht Deutschland im Fall von Cyberangriffen schutzlos: 78 Prozent glauben, dass die Bundeswehr nicht ausreichend ausgestattet ist, um Deutschland im Cyberraum zu verteidigen – Tendenz steigend. Lediglich 16 Prozent sind aktuell der Meinung, die Bundeswehr könne Deutschland im Cyberraum ausreichend verteidigen. Doch wie sieht es bei den Unternehmen aus?

Wie kann man sich staatliche Cyberangreifer vorstellen? Was macht sie besonders gefährlich

Bogdan „Bob“ Botezatu: Staatlich geförderte Angreifer stehen an der Spitze der Pyramide der Cyberkriminalität. Attacken, die von solchen Tätern ausgehen, wurden meist in jahrelanger Arbeit entwickelt und stellen oft das Ergebnis millionenschwerer Forschungsprojekte dar. Sie nutzen oft Zero-Day-Exploits aus, die moderne Betriebssysteme unterwandern können, um verdeckt und effektiv zu bleiben.

Macht das Cyberwar zu einer solchen Bedrohung?

Als fünfte Dimension der Kriegsführung eröffnet der Cyberspace staatlich geförderten Akteuren eine Fülle von Möglichkeiten. Ganz gleich, ob es sich um Sabotage, Cyberspionage oder einfach nur um kommerzielle Gewinne handelt: Fortschrittliche bösartige Akteure bewerten und beurteilen ständig die Bedeutung ausländischer Unternehmen und Infrastrukturen. Angriffe auf kritische Infrastrukturen wie Transport oder Energie haben dabei die verheerendsten Effekte. Aber auch der kommerzielle Gewinn ist ein willkommenes Zubrot für Malwareakteure im Dienste eines Nationalstaats.

Wenn man an Industriespionage durch fremde Nachrichtendienste denkt: Werden hier eher Werkzeuge eingesetzt, wie man sie bei Cyberwar annimmt oder eher wie bei klassischem Cybercrime?

Meistens gehen Cyberkriminelle bei Wirtschaftsspionagekampagnen gezielt gegen eines oder wenige Unternehmen vor. Dies bedeutet, dass die Angreifer viel Zeit investieren, um ihre Ziele zu untersuchen und das passende Toolkit für einen erfolgreichen Angriff vorzubereiten. Einige der Elemente entleihen sie dabei altbekannten kommerziell ausgerichteten Cyberangriffen – wie zum Beispiel Phishing-Seiten oder PowerShell-Skripte. Darüber hinaus passen die Wirtschaftsspione ihre Angriffselemente aber individuell an und führen sie manuell aus.

Einige Tools sind für einen bestimmten Angriff angepasst und entwickelt, andere von der Stange erhältlich. Oftmals verwenden Angreifer öffentlich verfügbare und legitime Software wie Archivierungsprogramme, Tools zur Wiederherstellung von Passwörtern oder Betriebssystem-Dienstprogramme, um einen Angriff zu starten.

Macht es für Unternehmen überhaupt Sinn, sich mit dem Risiko durch Cyberwar zu befassen? Sind sie nicht hoffnungslos unterlegen?

Ganz klar ja, es macht Sinn. Die Angreifer haben mehr Schwierigkeiten, in die Netze der Unternehmen einzudringen, die gut in ihre Cybersicherheitsstrategien investiert haben. Diese können die Angriffe auch am ehesten abwehren. Selbst bei einem Angriff über eine noch nicht offengelegte Zero-Day-Schwachstelle können Unternehmen die geeigneten Kontrollen durchführen, das Ausmaß der Attacke begrenzen und die infizierten Systeme möglicherweise früher entdecken.

Unternehmen erhoffen sich Hilfe durch den Staat, um sich vor Cyberwar-Auswirkungen zu schützen. Wie ist hier die Erfahrung? Reicht der aktuelle, staatliche Schutz, sollte es zum Beispiel eine “Cyber-Armee” auf EU-Ebene geben oder sollte es weitere (privatwirtschaftliche) Ebenen der Verteidigung geben?

Deutschland hat eine umfassende Cybersicherheitsstrategie, welche die Grundsätze der Abwehr definiert, Empfehlungen gibt und strategische Ziele setzt. Doch Strategie und Grundsätze allein sind nur die halbe Miete. Um nicht nur kurz-, sondern auch mittelfristige Cybersicherheitsstrategien umzusetzen, brauchen Unternehmen ein ausreichendes finanzielles Budget und qualifiziertes Cybersicherheitspersonal. Regierungen können zwar Empfehlungen und Richtlinien herausgeben, aber sie werden nicht in der Lage sein, Mittel für die Prüfung privater Infrastrukturen oder für das Patchen der privaten Server bereitzustellen. Wenn es um Cybersicherheit geht, liegt die Stärke in der Vielfalt. Daher sind Partnerschaften zwischen Regierungen und der Wirtschaft der richtige Weg.

Wie sehen Sie die Zukunft staatlich geförderter Cyberattacken?

Staatlich gesponserte Malware wird in den nächsten Jahren eine komplexe Entwicklung durchlaufen. Denn es ist nur der natürliche Lauf der Dinge, das Nationalstaaten auch um die digitale Vorherrschaft konkurrieren. Cyberangriffe auf kritische Infrastrukturen werden sich wahrscheinlich auf Killware konzentrieren, da die Staatshacker diese effektiv gegen Stromnetze, Wasser- und Kläranlagen oder gegen öffentliche Verkehrsmittel einsetzen können. Solche Attacken wirken sich unmittelbar auf Städte, Gemeinden und die Gesellschaft an sich auf.

Und die Bedrohungen der staatlich geförderten Hacker strahlen aus: Sobald die Samples ihrer Attacken öffentlich zugänglich sind, werden dieser Code und die damit verbundenen Taktiken auch von finanziell motivierten Cyberkriminellen übernommen und wahllos für Angriffe auf Unternehmen und Privatanwender eingesetzt.

Bogdan “Bob” Botezatu
ist Director, Threat Research and Reporting, Bitdefender: Bogdan Botezatu ist seit 12 Jahren als Leiter der Bedrohungsforschung bei Bitdefender tätig. Zu seinen Fachgebieten gehören die Deobfuscation, Erkennung, Entfernung und Prävention von Malware.