«Die Kriminellen brauchen Forscher, Entwickler, Geld»

Wer steckt hinter dem Datendiebstahl bei der Ruag? Ein Experte gibt Einblick in die Welt der Cyberkriminellen und Geheimdienste.

Feedback

Tragen Sie mit Hinweisen zu diesem Artikel bei oder melden Sie uns Fehler.

Der beste Einbruch ist der, den keiner bemerkt. Woran merkt man überhaupt, dass man gehackt wurde?
Man merkt es an zwei Ausprägungen: Man merkt, wenn es passiert, wenn zusätzliche Verbindungen da sind und wenn auf Dokumente zugegriffen wird. Dazu braucht es aber ein Überwachungssystem, das solche Aktivitäten kontrolliert. Die zweite Möglichkeit ergibt sich später. Nämlich dann, wenn Dokumente verwendet werden, die nur gestohlen worden sein können. Aber dann ist es meist schon zu spät.

Bei der Ruag war es Ersteres?
Es klingt so, als hätte man dort den Angriff bemerkt, als er noch lief.

Was macht man, wenn man einen solchen Angriff bemerkt? Einfach Stecker ziehen geht in der heutigen vernetzten Welt ja nicht mehr. Oder doch?
Es ist wichtig, dass sich Firmen darauf vorbereitet haben und schon entschieden haben, wie sie im Notfall damit umgehen wollen. Will man den Angriff weiterlaufen lassen, um den Urheber zu finden oder weil man Material für eine Anzeige sammeln möchte, oder will man die Stecker ziehen. Dann muss man aber ganz genau wissen, welche das sind, damit man auch wirklich von der Aussenwelt getrennt wird. Natürlich muss man dann auch dafür sorgen, dass das eigene Geschäft, das auf diese Verbindung ja angewiesen ist, irgendwie weitergeführt werden kann. Da diese Entscheidungen schwierig sind, lohnt es sich, sie im Voraus zu fällen.

Bundesrat Parmelin spricht von Massnahmen, die beschlossen worden seien. Was kann man sich darunter vorstellen?
Ich denke, dass die Ruag von sich aus Massnahmen vorgeschlagen hat und dass der Bundesrat die für sinnvoll hält. Wie vollständig diese Massnahmen sind, ist von aussen nur schwer zu beurteilen. Sie werden vermutlich dazu dienen, solche Angriffe künftig schneller zu erkennen. Sie können aber vermutlich kaum helfen, zukünftige andere und neuartige Angriffe abzuwehren. Es wird weiterhin ein Wettrennen geben zwischen Angriffen und Gegenmassnahmen.

Absolute Sicherheit gibt es bekanntlich nicht.
Die kann es gar nicht geben. Wir sprechen hier von einem sehr beweglichen Ziel. Die Ausgangslage, die technologische Basis und die Nutzungsart ändern sich ständig.

Was macht eine Rüstungsfirma so interessant?
Bei solchen Firmen ist es üblich, dass sie unter der Beobachtung fremder Aufklärungsdienste stehen. Schaut man dann einen Mischkonzern an, der nicht nur Rüstungsgüter, sondern auch andere Hochtechnologieprodukte herstellt, ist klar, dass hier mehr als ein Interesse im Spiel ist. Einerseits geht es darum, herauszufinden, was ein anderes Militär im Bereich Rüstung vorhat. Andererseits geht es auch darum, einen Vorsprung zu gewinnen, der der heimischen Industrie zugänglich gemacht werden kann, sodass man Wettbewerbsnachteile ausgleichen kann. Bei der Ruag kann ich mir gut vorstellen, dass beide Motivationen eine Rolle gespielt haben könnten.

Drehen wir die Sache um und schauen uns die Täter an: Hinter dem Einbruch werden Hacker aus Russland vermutet. Können die das von dort aus, oder mussten sie dazu nach Bern?
Aufgrund der komplexen Informatikstruktur ist es tatsächlich möglich, ohne Unterstützung vor Ort auf Systeme zuzugreifen. Aber gerade Geheimdienste sind darauf spezialisiert, komplexe Angriffe vorzutragen, bei denen vielleicht eine Kombination aus Technologie und einer eingeschleusten Person eine Rolle spielt. Dank modernster Technologie ist der Angriff von entfernten Orten aber einfacher geworden. Die Verbindungen sind sehr gut, und je komplexer die Informatiksysteme werden, desto grösser ist die Chance, eine Schwachstelle zu finden.

Kann man solche Attacken überhaupt mit Sicherheit einem Land oder gar einer Stadt zuschreiben?
Die Urheberschaft, die hier behauptet wird, muss natürlich erst einmal nachgewiesen werden. Es ist heute zwar möglich, aufgrund von Zeitverläufen bestimmte Tageszeiten oder lokale Feiertage zu identifizieren. So kann man auf Zeitzonen und sogar Länder schliessen. Die IP-Adressen, die verwendet werden, sind meist durch so viele Zwischensysteme manipuliert worden, dass man mit solchen Beweisführungen zumindest vorsichtig sein muss. Es kann gut sein, dass man sonst zu einem falschen Schluss kommt oder dass ein Angreifer sogar absichtlich eine falsche Spur gelegt hat.

Bei solchen Angriffen stellt sich auch immer wieder die Frage, ob ein Staat dahintersteckt. Wie unterscheiden sich staatliche Angriffe von kriminellen Angriffen?
Bis vor einiger Zeit zielten staatliche Angriffe darauf ab, lange und unerkannt in einem Unternehmen zu verbleiben. Da es nicht um den schnellen Erfolg ging, liessen sich solche Angriffe kaum feststellen. Entsprechend hoch ist die Dunkelziffer. Das organisierte Verbrechen dagegen war auf den schnellen Gewinn aus. Letztes Jahr haben wir aber zum ersten Mal einen langfristigen Angriff auf das Bankensystem gesehen. Bei Carbanak haben Kriminelle über zwei Jahre vorinvestiert und in aller Stille zugehört, bis sie zugeschlagen haben. Darum ist es heute schwierig, zwischen staatlichen und kriminellen Angriffen zu unterscheiden. Die Profile der Angriffe fangen an, sich zu ähneln, weil auch das organisierte Verbrechen langfristig investiert.

Sie sprechen von Investitionen: Inwiefern ist es eine Ressourcen-Frage ob ein Angriff Chancen auf Erfolg hat?
Wenn man sieht, dass internetbasierte Kriminalität in etwa denselben Umsatz hat wie der internationale Drogenhandel, und wenn man sich vorstellt, dass diese Organisationen, statt Steuern zu zahlen, in Forschung und Entwicklung investieren, haben wir es mit gut aufgestellten Firmen zu tun. Und die braucht es auch: Die Entdeckung von Schwachstellen, das Entwickeln von Schadcode und das Testen, ob der auch unbemerkt funktioniert, verbraucht erhebliche Ressourcen. Man braucht Forscher, man braucht Entwickler, man braucht Rechenzentren, und man braucht Geld. Durchführen kann man so einen Angriff anschliessend aber auch auf einem Laptop in einem Internetcafé.

Die Rede bei solchen Angriffen ist immer von Datendiebstahl, aber geht es nicht auch um Sabotage: also das Verändern von Dokumenten oder gar das Manipulieren von Maschinen?
Der Hauptgrund solcher Angriffe ist schon der Diebstahl von geistigem Eigentum, etwa mit dem Ziel, einen Wettbewerbsnachteil auszugleichen oder davon zu profitieren. Es ist aber inzwischen nicht mehr ausgeschlossen, dass auch destruktive Angriffe durchgeführt werden. Wir haben erste solche Angriffe auf ganze Wirtschaftsbranchen oder Länder gesehen, wo mit Denial-of-Service-Attacken Server lahmgelegt wurden. Es braucht nicht viel Fantasie, um sich vorzustellen, dass auf die Weise auch mal ein Konkurrent aus dem Geschäft gedrückt werden könnte. Wenn ich zum Beispiel weiss, dass ein Konkurrent genau wie ich innert 24 Stunden eine wichtige Offerte einreichen muss, könnte man sich schon überlegen, diesen netzwerktechnisch so lahmzulegen, dass er die Frist nicht einhalten kann. Noch weiter gedacht, könnte man so auch Maschinen oder all die Geräte, die über das «Internet der Dinge» ebenfalls am Netz hängen, manipulieren. Dass das nicht ausgeschlossen ist, zeigt der Angriff auf die iranische Uranaufbereitungsanlage.

Wenn jeder mit dem Internet verbundene PC ein Risiko ist, müsste man Büro-PCs und Maschinen dann nicht ganz davon abtrennen?
Wenns denn mit dem Büro-PC getan wäre. Jeder Mitarbeiter kommt heute mit einem Smartphone und möchte darauf seine Termine und Mails synchronisiert haben. Was man abschalten müsste, wäre so flächendeckend, dass es für eine moderne Firma dann ziemlich schwierig werden würde. Abschalten wird also nur da funktionieren, wo es um wirklich sensitive Teilbereiche geht. Da muss man dann aber auch akzeptieren, dass die einem unterwegs nicht mehr zur Verfügung stehen. Je mehr Sachen in die Cloud ausgelagert werden, desto schwieriger wird es. Denn ich kann nichts abschalten, was nicht auf meinem Grund und Boden steht. Darum wird es darauf hinauslaufen, dass man auch in Zukunft Schutzdispositive baut, bei denen es nicht um Abschaltung, sondern um präzise Überwachung geht. Aber eben hundertprozentige Sicherheit gibt es damit nicht. (Tagesanzeiger.ch/Newsnet)

Erstellt: 04.05.2016, 12:42 Uhr

Jet-Wartung bei der Ruag in Emmen (Archivbild). (Bild: Keystone )

Hannes Lubich ist Professor an der Fachhochschule Nordwestschweiz. Er beschäftigt sich seit über 25 Jahren mit Betriebssystemen, Netzwerk- und Kooperationstechnologien, IT-Architekturen, Informationssicherheit und Risiko-Management. Während 10 Jahren war er Forscher und Dozent an der ETH Zürich und war zudem am Aufbau und Betrieb des Schweizerischen Hochschulnetzes SWITCH und des Sicherheitszentrums SWITCH-CERT beteiligt. Während 7 Jahren war er Chief Information Security Officer der Julius Bär Gruppe.

Artikel zum Thema

Cyberangriffe aus Moskau

Hinter einem Datenklau beim staatseigenen Schweizer Rüstungskonzern Ruag werden russische Hacker in Staatsdiensten vermutet. Mehr...

«Als ich am WEF war, wurde mein Departement attackiert»

Interview Laut Verteidigungsminister Guy Parmelin wurde auch die Bundesverwaltung von Hackern angegriffen. Nun ergreift der Bundesrat Massnahmen. Mehr...

Die Redaktion auf Twitter

Stets informiert und aktuell. Folgen Sie uns auf dem Kurznachrichtendienst.

Die Redaktion auf Twitter

Stets informiert und aktuell. Folgen Sie uns auf dem Kurznachrichtendienst.

Die Redaktion auf Twitter

Stets informiert und aktuell. Folgen Sie uns auf dem Kurznachrichtendienst.

Abo

Abo Digital - 26 CHF im Monat

Den Tages-Anzeiger unbeschränkt digital lesen, inkl. ePaper. Flexibel und jederzeit kündbar.
Jetzt abonnieren!

Blogs

Sweet Home Schweizer Gartenparadiese

Tingler Spuren des Fortschritts

Werbung

Weiterbildung

Ausbildung & Weiterbildung Finden Sie die passende Weiterbildung Technischer Kaufmann, Deutsch lernen, Coaching Ausbildung, Präsentationstechnik, Persönlichkeitsentwicklung

Die Welt in Bildern

Fanliebe: Kurz vor dem sechsten Spiel des NBA Finals zwischen den Toronto Raptors und den Golden State Warriors herrscht im Fansektor grosse Anspannung. (Toronto, 13. Juni 2019)
(Bild: Chris Helgren ) Mehr...