Hybride Kriegführung: Unternehmen sind auf Cyberattacken schlecht vorbereitet
Vor allem kleine und mittlere Unternehmen schützten sich nicht immer ausreichend vor Cyberattacken und seien ein beliebtes Ziel, heißt es auf der DWT-Konferenz.
Was US-Präsident Donald Trump von sich gebe, seien keine Fake News, sondern sei einfach nur "Bullshit", sagt Ulrich Schade. Der Forscher vom Fraunhofer-Institut für Kommunikation, Informationsverarbeitung und Ergonomie (FKIE) erklärt: "Die Mitteilungen, die er über Twitter verbreitet, sind manchmal wahr und manchmal nicht. Fake News dagegen sind gezielt platzierte Falschmeldungen, die eine bestimmte Wirkung erzielen sollen." Die Absicht sei häufig, eine Gesellschaft zu destabilisieren und ihre Abwehrkräfte zu schwächen.
Schade erläuterte in Bonn bei der Konferenz der Deutschen Gesellschaft für Wehrtechnik (DWT) zum Thema Informationstechnik im Kontext hybrider Bedrohungen, wie solche Fake News, die heute über soziale Medien rasche Verbreitung finden, mithilfe automatisierter Verfahren identifiziert werden können. Denn Zeit ist ein kritischer Faktor: Die Falschmeldungen müssen entlarvt werden, bevor sie ihre Wirkung entfalten können und unwiderrufliche Fakten geschaffen werden.
Sein oder nicht sein: Fake News erkennen
Das sei zum einen anhand sprachlicher Merkmale möglich, so Schade. Die erlaubten häufig auch Rückschlüsse auf die Herkunft der Fake-News-Kampagnen. Eine auffallend häufige Verwendung von Gedankenstrichen etwa könne auf einen russischen Ursprung hindeuten, da der Gedankenstrich in dieser Sprache gleichbedeutend mit dem Verb "sein" verwendet werde. Solche Unterschiede führen zu typischen Fehlern in deutschsprachigen Texten, die helfen, Fake News aus dem Nachrichtenstrom herauszufiltern.
Ein weiterer Ansatzpunkt sind zum anderen die Metadaten. Eine kontinuierliche Sendeaktivität rund um die Uhr sei ein klares Indiz, dass hier Bots am Werk seien, keine Menschen. Die müssten ja irgendwann auch mal schlafen, sagte Schade. Auch eine sehr rasche Sendefolge sei verdächtig. Unterstützt würde die Verbreitung von Fake News zudem durch Hate Speech, also Hass schürende Formulierungen, die bei den entsprechenden Zielgruppen die Aufnahme und Weiterverbreitung der Falschmeldungen befördern könnten. Die automatische Erkennung von Hate Speech sei jedoch noch unzureichend, da die Textbeispiele, auf deren Grundlage die Systeme lernten, teilweise umstritten seien, räumte Schade ein. Ohnehin ginge es nicht darum, Fake News und Hate Speech vollautomatisch zu erkennen, sondern verdächtige Meldungen für eine genauere Prüfung vorzusortieren.
Während Fake-News-Kampagnen zumeist auf die gesamte Gesellschaft zielen, nehmen gezielte Cyberattacken vor allem Unternehmen ins Visier. So werde der Schaden, den der Angriff auf die Reederei Maersk im Juni 2017 verursacht habe, inoffiziell auf eine halbe Milliarde Euro geschätzt, sagte Thomas Tschersich von der Deutschen Telekom und fügte hinzu: "Einige Container werden heute noch vermisst."
Angriffsziel kleine und mittlere Unternehmen
Hauptangriffsziele seien aber nicht solche großen Konzerne, die in der Regel über ausreichend Ressourcen zur Verteidigung verfügten, warnte Henning Voß vom Verfassungsschutz in Nordrhein-Westfalen, sondern kleine und mittlere Unternehmen. Die seien sich der Gefahr zumeist nicht bewusst, weil sie von der Annahme ausgingen, dass ihr Know-how für niemanden von Interesse sei. Voß nannte als Beispiel einen Münsterländer Bauunternehmer, dessen Spezialität es sei, Einfamilienhäuser in sehr kurzer Zeit zu errichten. Nachdem er von einem Angreifer aus Asien ausgeforscht worden war, musste er einsehen, dass diese Fähigkeit für ein Land mit 1,3 Milliarden Einwohnern durchaus hochinteressant sein kann.
Als hauptsächliche Ausgangspunkte für Cyberattacken nannte Voß Russland, China und Iran. Wichtiger als der Ursprung sei jedoch der angerichtete Schaden solcher Angriffe, der in Deutschland auf 50 bis 100 Milliarden Euro jährlich geschätzt werde. Das entspräche ungefähr dem Bruttoinlandsprodukt eines Landes wie Bulgarien. Angesichts dieser Bedrohungslage reichten Prävention und Detektion von Cyberattacken nicht mehr aus. Unternehmen müssten auch auf erfolgreiche Angriffe vorbereitet sein. Dazu gehöre die Identifikation und entsprechende Sicherung des Kern-Know-hows, das in der Regel fünf bis sieben Prozent der gesamten Daten ausmache.
Schutz kritischer Infrastruktur
Ein besonders problematisches Ziel für Cyberattacken ist kritische Infrastruktur. Dazu zählen die Energie- und Wasserversorgung, Verkehrs- und Kommunikationsnetze, aber auch Krankenhäuser mit mehr als 30.000 vollstationären Patienten pro Jahr. Das zum Schutz kritischer Infrastruktur im Jahr 2015 verabschiedete Gesetz hielt Voß für einen Schritt in die richtige Richtung, bemängelte aber, dass es noch zu sehr auf Selbstverpflichtung der Unternehmen setze. Marian Corbe von der Wirtschaftsberatungsgesellschaft KPMG teilte diese Kritik: Höchststrafen von 50.000 Euro bei Verstößen gegen das Gesetz seien viel zu niedrig, sagte er. Damit kämen die Unternehmen viel glimpflicher davon, als wenn sie die geforderten Sicherheitsmaßnahmen umsetzten.
Und wie ist es mit Selbstverpflichtungen, bösartige Computersysteme gar nicht erst zu entwickeln und einzusetzen? Zeitgleich zur DWT-Konferenz verbreitete die Forschungsorganisation Future of Life Institute die Nachricht, dass es das Safe Face Pledge unterzeichnet habe, eine Erklärung, Technologien zur Gesichtserkennung nicht in Verbindung mit tödlichen Waffen und zur Massenüberwachung einzusetzen. Angesichts der Skepsis, die in Bonn gegenüber internationalen Verhandlungen zur Ächtung autonomer Waffensysteme geäußert wurde, dürfte so ein Dokument bei den Teilnehmern der Tagung wohl kaum mehr als ein Achselzucken hervorrufen. Immerhin erzeugt es aber moralischen Druck, der die Entwicklung schädlicher Systeme zwar nicht verhindert, aber vielleicht doch ein wenig erschwert und das Thema im öffentlichen Bewusstsein hält. Schaden kann das eigentlich nicht. (olb)
