Cyber Defence: Wie lässt sich Wachsamkeit für Cyberattacken erhöhen?

Wie leicht es ist, in Netzwerke einzudringen, wurde auf der Cyber Defence Conference der Deutschen Gesellschaft für Wehrtechnik deutlich.

In Pocket speichern vorlesen Druckansicht 27 Kommentare lesen
Cyber Defence: Wie lässt sich Wachsamkeit für Cyberattacken erhöhen?

(Bild: Daniel Jedzura/Shutterstock.com)

Lesezeit: 5 Min.
Von
  • Hans-Arthur Marsiske
Inhaltsverzeichnis

Die zehn Stunden, die ihm eingeräumt worden waren, brauchte Andreas Rieb nicht. Bereits nach einem guten Drittel der Zeit hatte es der Airbus-Sicherheitsexperte geschafft, bei seinem Kunden in alle zehn Sicherheitszonen vorzudringen und sogar in den Serverraum zu kommen. Dazu brauchte er keine ausgefeilte Technik wie James Bond oder Ethan Hunt, sondern er stützte sich ausschließlich auf Methoden des "Social Engineering".

"Social Engineering ist mehr als nur nach dem Passwort zu fragen" – lautete der Titel des Vortrags, mit dem Rieb auf der Cyber Defence Conference der Deutschen Gesellschaft für Wehrtechnik (DWT) in Bonn illustrierte, wie Cyberattacken ablaufen können. "Wenn jemand Sie direkt nach dem Passwort fragte, läuten natürlich sofort alle Alarmglocken", sagte er. Erfolg versprechender sei es, das Opfer "anzuknabbern" und "universelle menschliche Gefühle" auszunutzen, etwa Eitelkeiten zu identifizieren und für sich auszunutzen.

So gelang ihm nicht nur der Zutritt zu gesicherten Räumen, wobei nicht einmal seine gefälschte Chipkarte auffiel. Er konnte auch am Telefon sensible Informationen abfragen: Hierfür hatte er nach Recherchen im Internet zunächst eine Phishing-E-Mail an einen Mitarbeiter verschickt. Später rief er den Mitarbeiter an, gab sich als Sicherheitsexperte aus und behauptete, die Mail sei vermutlich aus Russland gekommen. Schließlich stellte er die Frage: "Können Sie sich vorstellen, warum die Russen es gerade auf Sie abgesehen haben?" Da hatte sein Geprächspartner durchaus einige Ideen, die er freimütig preisgab.

Die ganze Aktion erfolgte in einem Penetrationstest und hatte keine negativen Folgen. Auch die überlisteten Mitarbeiter mussten keine Konsequenzen befürchten, das war vorher ausdrücklich vereinbart worden. Es wäre auch unangemessen gewesen, wie Dirk Backofen, Leiter der Security der Deutschen Telekom und Vorsitzender des Cyber Security Cluster Bonn, betonte. Kleine und mittlere Unternehmen seien mit der Abwehr von Cyberangriffen überfordert: "Das kann keiner alleine."

Zumal Prävention allein nicht mehr ausreiche. Vielmehr sei es notwendig, in Echtzeit auf Angriffe reagieren zu können. Die Telekom beschäftige dafür 240 Mitarbeiter. Bei täglich 42 Millionen Angriffen auf die Infrastruktur der Telekom müsse die Abwehr allerdings auch automatisiert erfolgen, etwa um Registrierungen verdächtiger Domains frühzeitig zu erkennen, die für Phishing-Attacken genutzt werden könnten.

Die Angriffe würden immer komplexer, erläuterte Backofen. Täglich würden drei bis acht neue Angriffsvektoren beobachtet. Das Wissen darüber sei der wichtigste Aktivposten einer Firma oder Institution, nicht die Technik. Das unterstrich auch Michael Vetter, Leiter der Abteilung Cyber- und Informationstechnik im Verteidigungsministerium. Cybersicherheit sei keine rein technische Frage, sondern beträfe auch die Organisationsstruktur und die Kompetenz der Mitarbeiter. Um letztere zu testen und das Bewusstsein für die Bedrohung zu schärfen, seien innerhalb der Bundeswehr E-Mails mit einem Link verschickt worden. Wer auf diesen Link klickte, bekam dadurch sogleich einen Termin mit dem Cybersicherheitsberater.

Wie wichtig ein geschärftes Bewusstsein für Cyberattacken ist, zeigen Beispiele wie das von Jürgen Fähnle (Zentrum für Cybersicherheit der Bundeswehr) zitierte: Da enthielt das Bild eines Hubschraubers im Irak, das 2007 auf Facebook gepostet wurde, auch GPS-Daten, die zu einem Mörserangriff führten. Ramon Mörl (itWatch GmbH) berichtete vom Diebstahl eines Smartphones, der nur dazu diente, den Besitzer einige Zeit später auf seinem Ersatzgerät, das er inzwischen erhalten hatte, anzurufen und zu behaupten, das gestohlene Handy sei gefunden worden. Um es ihm zuschicken zu können und zu verifizieren, dass er wirklich der Eigentümer sei, müssten jedoch noch einige Daten abgefragt werden – was schließlich zur Räumung verschiedener Konten führte.

Solche Beispiele zeigen allerdings auch die Grenzen des Schutzes, den die Wachsamkeit der Nutzer bieten kann. "Wir werden nicht 80 Millionen Bundesbürger zu Sicherheitsexperten machen können", mahnte Mörl. Außerdem müsse ein Mitarbeiter der Personalabteilung nunmal die Anhänge von Bewerbungen öffnen. Das erforderliche Bedrohungsbewusstsein könne daher nicht für jeden gleich sein. Es gelte, "in Prozessen zu denken, die zu mehr Cybersouveränität führen".

Was genau das bedeuten könnte, klärt möglicherweise der zweite Tag der Konferenz. Am Ende des ersten Tages blieb zunächst der Eindruck, dass die Dimension des Problems erkannt, aber keine wirkliche Lösung in Sicht ist. Wie sollte es auch anders sein, angesichts der fantastischen Möglichkeiten, die sich im Cyberraum eröffnen: Kriminelle verdienen hier mittlerweile mehr Geld als mit Drogen; Terroristen und staatliche Akteure können ihre Gegner mit vergleichsweise wenig Aufwand empfindlich treffen. Dieser Geist wird sich kaum wieder in die Flasche zwingen lassen. (anw)