Zum Hauptinhalt springen
22.01.2021

Cyberangriffe und Stand der IT-Sicherheit in Deutschland

In den vergangenen Monaten sind in Deutschland immer wieder Fälle von Hacks, digitalen Angriffen und Erpressungsversuchen bekanntgeworden: vom Cyberangriff auf die Uniklinik Düsseldorf über den Angriff auf die Funke Mediengruppe bis zu Hacks und Spionageversuchen bei Impfstoffherstellern.

Insbesondere der Mitte Dezember bekanntgewordene SolarWinds-Hack hat wieder einmal gezeigt, wie anfällig die IT-Infrastruktur auch international ist. Noch unbekannte Angreifer konnten dabei über Updates der Netzwerkmanagement-Plattform Orion des amerikanischen Unternehmens SolarWinds Malware auf Systeme der Nutzer der Orion-Plattform einschleusen. Insgesamt sollen ungefähr 18.000 Anbieter Opfer des Angriffs geworden sein. Auch große US-Anbieter wie Microsoft und Intel sowie Abteilungen der US-Regierung, unter anderem die Nationale Verwaltung für Nukleare Sicherheit (NNSA) sind betroffen.

Auch in Deutschland haben viele Firmen und Behörden Software von SolarWinds eingesetzt und sind damit möglicherweise betroffen, unter anderem das Verkehrsministerium, das Bundesamt für Sicherheit in der Informationstechnik (BSI), das Bundeskriminalamt (BKA) und das Robert Koch-Institut (RKI) [I]. Inwiefern Angreifer wirklich Zugriff auf diese Systeme hatten und was sie in den Netzen möglicherweise gemacht haben, ist noch nicht abschließend geklärt. Nach Aussage eines Vertreters des Innenministeriums (BMI) gab es nach Kenntnis des BMI keinen Datenabfluss deutscher Firmen oder Behörden [II]. Mittlerweile stellt sich sogar die Frage, ob auch Unternehmen, die keine Software von SolarWinds eingesetzt haben, betroffen sein könnten [III].

Damit gilt dieser Angriff als einer der bedrohlichsten und größten Cyberangriffe der vergangenen Jahre. Da es noch keine Informationen über Erpressungsversuche oder eine Verschlüsselung von Daten gibt, wird angenommen, dass es sich um einen Spionageversuch handeln könnte. Durch den SolarWinds-Hack, aber auch andere Angriffe ist noch einmal klar geworden, wie verwundbar IT-Infrastruktur sein kann – auch in kritischen Bereichen.

Das SMC möchte mit diesen Einschätzungen von Experten einen generellen Überblick zu den Themen Cyberangriffe, Hacks und IT-Sicherheit anbieten, damit deutlich wird, vor welchem Wissenshintergrund sich die aktuelle Debatte abspielt.

Die Redaktion des SMC hat folgende Fragen gestellt:

1. Was macht den Solarwinds-Hack so ungewöhnlich und gefährlich? Wie ist die Gefahr solcher Hacks allgemein zu beurteilen und welche Angriffe sind zu befürchten?

2. Was kann man gegen solche Hacks und zur Verbesserung der IT-Sicherheit auf verschiedenen Ebenen tun? Wie kann man Software in kritischen Bereichen besser überprüfen?

3. Wie ist der momentane Status in Deutschland? Wie gut ist die IT-Sicherheit in wichtigen Bereichen und bei kritischen Infrastrukturen (Krankenhäuser, Energienetz, Behörden) und welche Bereiche sind besonders gefährdet?

4. Was sollten Journalistinnen und Journalisten bei der Berichterstattung über dieses Thema beachten? Wie sicher kann man sich zum Beispiel bei der Attribution der Angriffe sein? Zu welchem Zeitpunkt können Einschätzungen von unabhängigen Expertinnen und Experten einen Mehrwert liefern?


Übersicht

     

  • Prof. Dr. Tibor Jager, Professor für IT-Sicherheit und Kryptographie, Bergische Universität Wuppertal
  •  

  • Prof. Dr. Hannes Federrath, Professor für Sicherheit in verteilten Systemen, Universität Hamburg, und Präsident der Gesellschaft für Informatik
  •  

  • Prof. Dr. Christian Rossow, Professor und Leiter der System Security Research Group, Helmholtz-Zentrum für Informationssicherheit (CISPA), Saarbrücken
  •  

  • Prof. Dr. Dominik Herrmann, Professor für Privatsphäre und Sicherheit in Informationssystemen, Otto-Friedrich-Universität Bamberg
  •  

  • Prof. Dr. Thorsten Holz, Professor für Systemsicherheit, Horst-Görtz-Institut für IT-Sicherheit (HGI), Ruhr-Universität Bochum
  •  


Statements der Experten zu den Fragen

1. Was macht den Solarwinds-Hack so ungewöhnlich und gefährlich? Wie ist die Gefahr solcher Hacks allgemein zu beurteilen und welche Angriffe sind zu befürchten?


Prof. Dr. Tibor Jager

„Das Besondere an diesem Angriff ist, dass nicht direkt eine einzelne Organisation angegriffen wurde. Stattdessen ist eine Software eines IT-Dienstleisters betroffen, die von zahlreichen Organisationen genutzt wird. Darunter sind nicht nur Unternehmen aus verschiedensten Branchen, sondern auch Behörden und andere öffentliche Einrichtungen. Das hat die Auswirkungen des Angriffs multipliziert.“

„Die besondere Schwierigkeit liegt darin, dass die Nutzer solcher Software Sicherheitsupdates regelmäßig installieren müssen, um Sicherheitslücken zu vermeiden. Wenn aber das vermeintliche Sicherheitsupdate selbst die Sicherheitslücke erst mitbringt, dann ist das ein Problem. Und so etwas ist hier auch passiert.“

„Durch den erwähnten Multiplikationsfaktor und die Tatsache, dass die Verteilung der gehackten Software gleich über den Hersteller erfolgt, sind IT-Dienstleister und Softwarehersteller natürlich ein interessantes Ziel – ganz besonders, wenn es den Angreifern darum geht, Backdoors in möglichst viele Systeme einzubauen.“

„Wie hoch die Gefahr ist, hängt vor allem davon ab, wie sorgfältig ein Hersteller auf die Sicherheit achtet. Viele haben natürlich ein großes Interesse an Sicherheit, weil solche Angriffe ja auch mit einem immensen Reputationsschaden verbunden sein können. Aber es gibt eben auch nicht wenige Hersteller, die dadurch auffallen, dass sie eher an kurzfristigem Profit interessiert sind.“

„Letzteres ist zum Beispiel bei vielen kostengünstigen ‚Internet of Things‘-Geräten der Fall, bei denen mich weitere derartige Angriffe nicht wundern würden. Hier ist es oftmals allerdings sogar so, dass es überhaupt keine Sicherheitsupdates gibt, das ist natürlich noch schlimmer.“

„Es betrifft aber nicht nur Billighersteller. Gegen professionelle Angriffe, wie zum Beispiel Ende 2015 beim Juniper-Vorfall (eine auf Geheiß der NSA vom Netzausrüster Juniper in eigene Software eingebaute Hintertür wurde von vermutlich chinesischen Hackern übernommen; Anm. d. Red.), kann man sich nur mit entsprechender Sorgfalt schützen.“

Prof. Dr. Hannes Federrath

„Nach allem, was man inzwischen über den SolarWinds-Hack weiß, handelt es sich um ein sogenanntes Transitives Trojanisches Pferd, das seine Angriffsfunktion zumindest über einen Zwischenschritt realisiert hat: Zunächst wurde in die Entwicklungsserver des Softwareanbieters SolarWinds eingebrochen und dort Schadcode hinterlassen, der ohne Wissen von SolarWinds in die Anwendungsprogramme des Softwareanbieters integriert wurde. Diese Anwendungsprogramme haben dann bei den Kunden von SolarWinds Daten ausgespäht, möglicherweise auch manipuliert oder zerstört.“

„Die Programmierung solcher Angriffswerkzeuge setzt normalerweise viel Wissen über die Zielsysteme der Opfer voraus. Abgesehen von Konzeptbeispielen für solche Angriffsverfahren sind erfolgreiche Angriffe mit Transitiven Trojanischen Pferden in der Realität bisher kaum bekannt. Etwa der Stuxnet-Angriff auf die iranischen Anlagen zur Urananreicherung gelang ebenfalls über die Entwicklungsrechner der Steuerungssysteme.“

„Beim SolarWinds-Hack scheint es allerdings so zu sein, dass den Hackern der Einbruch in die Entwicklungsserver leicht gemacht wurde: Es soll ein leicht zu erratendes und noch dazu in öffentlich zugänglichen Dokumentationen genanntes Kennwort verwendet worden sein. Dies spricht nicht gerade für die Sensibilität und Sorgfalt des Softwareanbieters.“

„Es lässt sich beobachten, dass insbesondere staatlich organisierte Hacker heute über detailliertes Wissen sowohl der Grundlagen als auch der Anwendungen verfügen und dieses bei ihren Hacks auch zunehmend nutzen – und teilweise auch nutzen müssen, um erfolgreich anzugreifen. Die gute Seite dieser Beobachtung ist, dass die allgemeine Sensibilität für Sicherheitsfragen in Wirtschaft und Politik deutlich zugenommen hat und immer seltener ‚einfache‘ Hacks gelingen. Vielmehr müssen inzwischen auch sehr trickreiche Angriffsvektoren zum Einsatz kommen, um noch erfolgreich zu sein. Insoweit ist dies möglicherweise ein Zeichen dafür, dass das Schutzniveau der Wirtschaft, der Verwaltung und auch der Bürgerinnen und Bürger in den letzten Jahren gewachsen ist.“

Prof. Dr. Christian Rossow

„Cyberangreifern ist es gelungen, schadhaften Code über ein manipuliertes Update für ein etabliertes IT-Sicherheitsprodukt einzuschleusen. Sie erlangten somit Kontrolle über IT-Systeme, auf denen die SolarWinds-Software zur zentralen Netzwerküberwachung installiert war. Durch die zentrale Position der Software wurden etliche Firmen und Behörden an einer sehr verwundbaren Stelle in ihren Netzwerken getroffen. Diese Voraussetzungen und die weite Verbreitung der Solarwinds-Software sorgten letztendlich dafür, dass es Angreifern gelang, höchst sensible Daten abzugreifen. Außergewöhnlich ist jedoch nicht nur die Tragweite, sondern auch, wie ausgeklügelt der Angriff war und über welche ‚Lieferketten‘ er sich verbreitet hat. Ähnliche Angriffe können sich – eine Professionalität der Angreifer vorausgesetzt – prinzipiell wiederholen, da Updates gewöhnlich gemäß der allgemeinen Empfehlung automatisiert eingespielt werden.“

Prof. Dr. Dominik Herrmann

„Seit einigen Jahren häufen sich im digitalen Bereich Angriffe über Bande – im Fachjargon: Supply-Chain-Angriffe. Angreifer infiltrieren dazu zunächst die Systeme eines Software-Anbieters, damit sie Schadsoftware in dessen System einschleusen können. Die Schadsoftware gelangt dann mittels eines Updates zu den Kunden des Anbieters. Die Angreifer haben dann auf einen Schlag Zugriff auf die Netze zahlreicher Unternehmen und Behörden.“

„Die größte Bedrohung geht dabei von Software und Systemen aus, denen man weitreichende Zugriffsrechte einräumt. Dazu gehören etwa IT-Sicherheits- und Netzwerkmanagement-Tools, wie sie von SolarWinds angeboten werden. Aber auch über Betriebssystem- und Firmware-Updates können Angreifer weitreichende Kontrolle über ein Netz erlangen und eine Vielzahl von Sicherheitsmechanismen umgehen, etwa solche, die auf schädliche E-Mails abzielen.“

Prof. Dr. Thorsten Holz

„Vor kurzem wurde ein bedeutender Angriff auf IT-Systeme entdeckt, bei dem sich böswillige Akteure Zugang zum Quellcode der IT-Monitoring-Software Orion der Firma SolarWinds verschafft und heimtückische Änderungen in diesen Quellcode einfügt haben. Besonders problematisch ist dabei, dass die eingefügte Schadsoftware im Zuge von regulären Software-Updates an SolarWinds-Kunden automatisch verteilt wurde. Kommt diese zum Einsatz, können Kunden mit den durch die Software vorgenommenen Änderungen an ihrem System überwacht werden. Die Angreifer konnten außerdem potenziell beliebige Kontrolle über die von der Software verwalteten Systeme erlangen. Ein solches Maß an Kontrolle gibt den Angreifern auch Möglichkeiten für weitergehende Angriffe durch Missbrauch der erbeuteten Informationen.“

„Mittlerweile ist bekannt, dass tausende Kunden das manipulierte Update unwissentlich installiert haben. Darunter befinden sich zahlreiche US-Bundesbehörden und Unternehmen auf der ganzen Welt sowie 15 deutsche Ministerien oder Bundesämter, die zumindest teilweise oder ‚vereinzelt‘ Produkte der US-Firma nutzen oder nutzten. Andere Firmen berichteten außerdem von weitergehenden Angriffen, die auf gestohlenen Informationen beruhen.“

„Es ist wichtig zu erwähnen, dass es sich bei diesem Angriff um einen gut geplanten und ausgeführten Angriff handelt. So wurden die subtilen Änderungen auf Quellcode-Ebene über Monate hinweg durchgeführt, möglicherweise waren Innentäter dabei beteiligt. Der manipulierte Code wurde zwar von SolarWinds getestet, die Manipulationen fielen aber nicht auf. So wurde die Software inklusive des Schadens schließlich digital signiert, über die SolarWinds-Plattform freigegeben und verteilt. Nach der Infektion war der Code zunächst einige Zeit lang untätig, bevor vertrauliche Informationen wie beispielsweise Anmeldedaten über ein unverdächtiges Protokoll verschleiert exfiltriert wurden.“

„Ein wichtiger Punkt ist dabei: SolarWinds hat IT-Sicherheit nur unzureichend beachtet. So wurden Warnungen vor potenziellen Problemen ignoriert und nur schwache Passwörter auf sicherheitskritischen Systemen genutzt. Dies verdeutlicht den hohen Stellenwert von IT-Sicherheit in unserer komplexen Welt: Angreifer suchen nach dem schwächsten Glied in der Kette und greifen es an. Insbesondere solche Angriffe auf die Software-Lieferkette (‚Software Supply Chain Attack‘) führen zu weitreichenden Folgen, wie man anhand der hohen Zahl an potenziellen Opfern erkennen kann.“

2. Was kann man gegen solche Hacks und zur Verbesserung der IT-Sicherheit auf verschiedenen Ebenen tun? Wie kann man Software in kritischen Bereichen besser überprüfen?


Prof. Dr. Tibor Jager

„Das ist ein schwieriges und sehr vielschichtiges Problem. Um komplexe Systeme perfekt abzusichern, müsste man eigentlich jeden möglichen Angriff ausschließen. Einem bösartigen Hacker hingegen kann schon eine einzige Lücke genügen.“

„Ein Musterbeispiel, wie man genau solche Angriffe geradezu heraufbeschwört und leider sogar noch wahrscheinlicher macht, ist die kürzlich diskutierte EU-Resolution zu Backdoors bei Ende-zu-Ende Verschlüsselung. Die Mehrheit aller IT-Sicherheitsexperten warnt davor seit langem; den offenen Brief der ‚Scientists 4 Crypto‘ [1] haben hunderte internationale Wissenschaftler unterzeichnet, davon über 120 Experten aus Deutschland.“

„Die Art von Backdoors, die hier von EU-Innenministern gefordert wird, ignoriert meiner Ansicht nach die gegebenen technischen Rahmenbedingungen einfach. Ich gehe fest davon aus, dass so etwas dann leider zwangsläufig zu mehr solchen Vorfällen führen würde.“

Prof. Dr. Hannes Federrath

„Übliche Sicherheitsmechanismen wie regelmäßiges Einspielen von Updates und digital signierte Software helfen in diesem Fall als Schutz nicht, denn die Schadprogramme haben sich auf dem regulären Weg über den Softwareanbieter verbreitet, natürlich ohne dessen Wissen und Zustimmung. Die Ausbreitung und Schadwirkung von Malware lässt sich ansonsten gut durch das Prinzip der geringstmöglichen Privilegierung (Programmen aus Sicherheitsgründen nur so viele Rechte geben, wie sie für ihre Ausführung benötigen; Anm. d. Red.) eindämmen, das jedoch insbesondere bei Transitiven Trojanischen Pferden wirkungslos bleibt. Daher bleibt als Schutzmöglichkeit bei Software, die bereits im Vertrauensbereich des Softwareanbieters manipuliert wurde, als letzte Möglichkeit die Quellcode-Inspektion einer jeden Softwareversion und auch jeder Veränderung, denn mit jedem Update könnte ansonsten der Schadcode unbemerkt eingeschleust werden. In der Praxis ist dies leider keine befriedigende Lösung, sodass den Kunden nur das Vertrauen in gute Prozesse und strenge Sicherheitsvorkehrungen beim Softwareanbieter bleibt.“

Prof. Dr. Christian Rossow

„Im konkreten Fall war die Lieferkette der Software nicht vertrauenswürdig. Ein schadhaftes Update fand einen ungebremsten Weg in die Verbreitung. Hier muss man vorwiegend die Software-Hersteller in die Pflicht nehmen, um deren Schutzmaßnahmen für die Erstellung, Prüfung und Verteilung der Updates zu optimieren. Empfohlen wird ebenfalls die Erkennung schadhafter, anomaler Systemverhalten. Sie sind allerdings leider unwirksam, wenn wie im vorliegenden Fall ein solches Überwachungssystem selbst Opfer des Angriffs wird. Die allgemeine Empfehlung ist ohnehin, dass unbekannte Software vor ihrer Ausführung erst auf Schadverhalten geprüft werden sollte. Dies ist beispielsweise in einer sogenannten Schadsoftware-Sandbox möglich, in der man – ähnlich zu einem biologischen Virenlabor – absichtlich einen virtuellen Computer mit potenziell schadhafter Software ‚infiziert‘. So kann man das Verhalten der Software beobachten und bewerten. Der SolarWinds-Fall legt nahe, dass man diese Prüfung nicht nur für potenziell schadhafte E-Mail-Anhänge und USB-Stick-Inhalte durchführen sollte, sondern prinzipiell auch für Software-Updates.“

Prof. Dr. Dominik Herrmann

„In vielen Organisationen ist die IT-Infrastruktur inzwischen so komplex, dass niemand mehr den vollständigen Überblick hat. Viele Organisationen versuchen, die Komplexität dadurch zu beherrschen, dass sie spezielle Management-Lösungen anschaffen. Solche Systeme erzeugen aber auch wieder zusätzliche Komplexität und neue Einfallstore für Angriffe.“

„Der Schutz vor Supply-Chain-Angriffen ist aufwendig. Man müsste sämtliche Produkte, die man von anderen Anbietern bezieht – und alle Updates – vorab manuell untersuchen. Das ist angesichts der vielen Systeme nicht zu leisten. Wir müssen also damit leben, dass mit jedem Update möglicherweise Schadsoftware eingeschleppt wird. Da man als Anwender auf die Eintrittswahrscheinlichkeit dieses Risikos keinen Einfluss hat, sollte man sich auf die Begrenzung möglicher Schäden konzentrieren. Dazu hat es sich bewährt, Zugriffsrechte möglichst engmaschig festzulegen. Noch besser wäre es, von vornherein die Komplexität gering zu halten.“

Prof. Dr. Thorsten Holz

„Aufgrund der enormen Komplexität moderner IT-Systeme und der vergleichsweise geringen Kosten für die Durchführung solcher Angriffe ist zu erwarten, dass der Bedrohungsvektor von Angriffen auf die Software-Lieferkette in den nächsten Jahren an Bedeutung gewinnen wird. Traditionelle Sicherheitsmechanismen, wie digitale Signaturen von Code, Mechanismen zur sicheren Bereitstellung von Updates oder Mechanismen zur Transportsicherheit wie TLS/SSL (Verschlüsselungsprotokolle; Anm. d. Red.) wurden entwickelt, um Schadsoftware von ‚außen‘ abzuwehren. Leider haben solche Methoden nur wenig Einfluss auf diese Art von Angriffen, wie der SolarWinds-Hack eindrucksvoll gezeigt hat. Tiefergehende Analysetechniken, neuartige Technologien und verfeinerte Richtlinien zur Erkennung von potenziell bösartigen Änderungen im Code sowie gründlicheres Testen sind notwendig, um solche Angriffe zukünftig verhindern beziehungsweise wenigstens frühzeitig entdecken zu können.“

„Dabei spielt ein anderer Punkt eine wichtige Rolle: Seit langer Zeit folgen wir im Bereich der IT-Sicherheit einem Ansatz der Sicherheit durch Hinzufügen von Komponenten. Wir installieren Antiviren-Programme und andere Sicherheitstools auf Endgeräten, nutzen Intrusion Detection Systeme, IT-Monitoring-Software im Netzwerk und weitere Tools, um unser Gesamtsystem ‚sicherer‘ zu machen. Jedes dieser Tools kann zwar einzelne Bedrohungsvektoren abdecken, allerdings führen Schwachstellen in diesen Tools zu neuen möglichen Angriffsvektoren. In der Vergangenheit konnten solche Schwachstellen häufig entdeckt werden.“

„Eine Rückbesinnung auf die Reduzierung der Größe und Komplexität unserer Systeme – insbesondere in kritischen Bereichen – ist sinnvoll und sollte mehr im Vordergrund stehen.“

3. Wie ist der momentane Status in Deutschland? Wie gut ist die IT-Sicherheit in wichtigen Bereichen und bei kritischen Infrastrukturen (Krankenhäuser, Energienetz, Behörden) und welche Bereiche sind besonders gefährdet?


Prof. Dr. Tibor Jager

„Da so etwas wie der SolarWinds-Hack zuerst einmal – aber nicht nur – ein technisches Problem ist und in vielen Bereichen die gleichen technischen Systeme eingesetzt werden, kann man eigentlich nicht sagen, dass ein bestimmter Bereich mehr gefährdet ist als ein anderer. Es ist vielmehr ein grundsätzliches Problem.“

„Aber es ist nicht nur ein rein technisches Problem. Es gibt in der IT-Sicherheit genau das gleiche Präventionsparadox, das wir auch aus der Corona-Pandemie schon kennen: Solange nichts passiert kostet IT-Sicherheit nur Geld und man sieht den Nutzen nicht direkt. Das ist natürlich genau in den Bereichen ein Problem, in denen das Geld sowieso schon knapp ist oder in denen extrem gespart werden muss. Ich denke, deswegen ist es kein Wunder, dass man hier zuerst auch an Krankenhäuser und Behörden denkt.“

Prof. Dr. Hannes Federrath

„Die Vielzahl von eingesetzten Softwareprodukten bedeutet eine große Angriffsfläche für Hacker. Glücklicherweise sind insbesondere Angriffe mit Transitiven Trojanischen Pferden noch recht selten. Neben der sorgfältigen Auswahl von Software sollten die Betreiber Kritischer Infrastrukturen auch bei der Auswahl der Hardware darauf achten, dass keine ‚Implantate‘ enthalten sind. Diese können dort sowohl in Software als auch in Hardware nachträglich und unauffällig in Geräte integriert worden sein. Bei Software-Implantaten genügt etwa schon ein bösartiges Firmware-Update.“

Prof. Dr. Christian Rossow

„Einen 100-prozentigen Schutz vor Cyberangriffen gibt es nicht und wird es nie geben. Es gibt zu viele absolut notwendige Funktionen, die als Einfallstor missbraucht werden können – zum Beispiel der (oft schnelllebige) Datenaustausch, die Kommunikation oder die physikalische Benutzbarkeit (Bedienung) eines IT-Systems. Hier gilt es ganz unabhängig vom Sektor die Funktionen auf ein absolutes Minimum zu reduzieren, Personal gezielt und kontinuierlich in Belangen der IT-Sicherheit zu schulen und ergänzende sinnvolle Schutzmaßnahmen zur Dienste- und Netzwerküberwachung einzusetzen. Dass es beispielsweise in Krankenhäusern, in denen ein schneller Informationsaustausch lebensnotwendig ist, deshalb häufig zu Vorfällen kommt, ist also sehr leicht nachvollziehbar. Aktuelle Tendenzen zur Heimarbeit gehen darüber hinaus mit dem Kontrollverlust über die Vertrauenswürdigkeit von IT-Systemen einher. Die Umstrukturierung von IT-Netzwerken hilft dabei, den Schaden zu minimieren, den einzelne Systeme einer gesamten Organisation zufügen können.“

Prof. Dr. Dominik Herrmann

„An vielen Stellen wird die Digitalisierung von Prozessen und Systemen hastig vorangetrieben. Es ist zu befürchten, dass dabei viel unnötige Komplexität aufgebaut wird, die schwer beherrschbar ist. Sinnvoller wären vielerorts Minimalismus und Zurückhaltung, um den Überblick bewahren zu können.“

„Es gibt momentan auch eine große Bereitschaft in IT-Sicherheitslösungen zu investieren – häufig ist deren Nutzen aber gar nicht eindeutig erwiesen. Im Gegenteil: IT-Sicherheitslösungen können zusätzliche Einfallstore schaffen. Der Grundsatz ‚viel hilft viel‘, gilt dabei nicht zwingend.“

Prof. Dr. Thorsten Holz

„IT-Sicherheit hat in den letzten Jahren deutlich an Bedeutung gewonnen. Die Awareness ist gestiegen und IT-Sicherheit spielt eine deutlich größere Rolle als noch vor einigen Jahren. Allerdings hat auch die Komplexität von Angriffen deutlich zugenommen und die Art der Bedrohung hat sich während der letzten Jahre drastisch verändert. Viele der heutigen IT-Angriffe werden von mächtigen Angreifern, insbesondere von staatlichen Organisationen, ausgeführt. Staatliche Widersacher sind besonders besorgniserregend, da sie langfristig agieren und über erhebliche technische Fähigkeiten und Ressourcen verfügen. Nahezu wöchentlich werden Vorfälle bekannt, aus denen ersichtlich wird, dass heutige Sicherheitslösungen gegen solche Angreifer in hohem Maße unzureichend sind. Dabei sind insbesondere Angriffe auf kritische Infrastrukturen von Bedeutung – solche Systeme sind in der Praxis leider oft unzureichend gesichert. Erfolgreiche Angriffe auf Krankenhäuser durch Ransomware und ausgefeilte Angriffe auf diverse Behörden verdeutlichen diesen Zustand. In der Zukunft sind also weitere Attacken auf solche Systeme zu befürchten und wir müssen solche Systeme effektiver absichern, um mögliche Schäden zu minimieren.“

4. Was sollten Journalistinnen und Journalisten bei der Berichterstattung über dieses Thema beachten? Wie sicher kann man sich zum Beispiel bei der Attribution der Angriffe sein? Zu welchem Zeitpunkt können Einschätzungen von unabhängigen Expertinnen und Experten einen Mehrwert liefern?


Prof. Dr. Tibor Jager

„Die Attribution der Angriffe ist tatsächlich schwierig, daher sollten man hier immer besonders vorsichtig sein.“

„Die Einordnung solcher Angriffe in einen Gesamtkontext, wie zum Beispiel die aktuelle Diskussion um Schwächung von Verschlüsselung oder den Sparzwang in vielen kritischen Bereichen, ist aber vielleicht sogar eine noch viel wichtigere Aufgabe von Journalistinnen und Journalisten, als nur zu sagen, aus welchem Land die Hacker nun kamen.“

„Das betrifft übrigens nicht nur einzelne Hackerangriffe, wie den SolarWinds-Angriff, sondern zum Beispiel auch die Diskussion um Datenschutz und die Wirksamkeit der Corona-Warn-App oder die Online-Lehre in Schulen. Hier werden leider oft unbegründete oder auch einfach falsche Aussagen unreflektiert in der Presse zitiert, ohne dass sie dabei kritisch hinterfragt und eingeordnet werden.“

„Wie wichtig eine kritische Presse und freier Journalismus ist, sehen wir dieser Tage leider an vielen Stellen. Auch bei Themen der IT-Sicherheit ist kritische Reflektion und sorgfältige Einordnung hilfreich, um den Kern des Problems zu verstehen und zu vermitteln.“

„Wie bei vielen anderen Dingen sind auch in der IT-Sicherheit schnelle Schuldzuweisungen nicht immer richtig und beruhen mehr auf Vermutungen als auf Tatsachen. Daher sollten Journalisten bei derartigen Aussagen immer auch hinterfragen, auf welcher Grundlage eine Attribution beruht.“

„Ein gutes Beispiel ist wieder der Juniper-Vorfall von Ende 2015. Hier gab es lange Zeit nur Vermutungen, erst im Herbst 2020 verdichteten sich Informationen darüber, welcher konkrete staatliche Geheimdienst beteiligt war [2].“

Prof. Dr. Hannes Federrath

„Auch Expertinnen und Experten können sehr häufig konkrete Aussagen zu einem Angriff nur aus der aktuellen Berichterstattung entnehmen. Auch beim SolarWinds-Hack dürfte dies überwiegend der Fall sein. Wir sind jedoch meist gut in der Lage, die Plausibilität und teilweise auch die Seriosität von Aussagen aus der aktuellen Berichterstattung zu bewerten und einzuordnen und mit Hintergrundwissen anzureichern. Insbesondere können wir etwa im konkreten Falls sagen, dass transitive Fehlerausbreitung schon seit mehr als 30 Jahren in der Informatikausbildung gelehrt wird und somit der konkrete Angriffspfad keineswegs ein neues Risiko darstellt.“

Prof. Dr. Christian Rossow

„Mir persönlich ist wichtig, dass bei der Berichterstattung über Cyberangriffe differenziert wird. Hier geht es mir gar nicht mal darum, dass die sehr vielfältigen Cyberangriffe oft etwas unsauber als ‚Hack‘ verallgemeinert werden. Vielmehr ist den Leser*innen damit geholfen, über die Auswirkungen des Angriffs aufgeklärt zu werden. Wurden Daten abgegriffen? Wenn ja, wessen Daten und über welchen Zeitraum? Oder wurde lediglich die Verfügbarkeit eines IT-Dienstes temporär unterbrochen, ohne jedoch sensitive Daten zu erlangen? Zudem ist elementar, dass Journalist*innen mehrere Meinungen einholen und die Belastbarkeit der Aussagen kritisch hinterfragen. Die Berichterstattung kann unter Umständen eklatante Auswirkungen auf die Meinungsbildung in der Zivilgesellschaft und Politik haben, darf also nur auf fundierten Fakten basieren. Die Angriffsrückverfolgung – selbst Steckenpferd meiner Forschung – ist in den meisten Fällen hochkomplex, erfordert den Zusammenschluss von Technologie- und Politikexperten, und lässt leider selten garantiert korrekte Rückschlüsse zu. Gleichzeitig sehe ich natürlich den großen Nutzen darin, Angriffe politisch bewerten zu können.“

Prof. Dr. Dominik Herrmann

„Identität und Motiv von Angreifern sind wichtig, um das Ausmaß des Schadens richtig einzuschätzen. Im ersten Moment ist es allerdings wichtiger, der Öffentlichkeit zu erklären, wie man überprüfen kann, ob man selbst betroffen ist – und welche Maßnahmen eingeleitet werden sollten, um sich kurzfristig zu schützen oder den Schaden zu begrenzen.“

„Die Fokussierung auf Täter und Motiv ist durchaus problematisch, da sie dazu missbraucht werden kann, den öffentlichen Diskurs zu steuern, die Öffentlichkeit von einem anderen Thema abzulenken oder ein bestimmtes politisches Narrativ zu untermauern. Eine Attribution von Angriffen, die sich auf Spekulationen oder Hörensagen stützt, ist dabei nicht hilfreich.“

„Zurückhaltung ist sogar dann noch geboten, wenn sich herausstellt, dass die Vorgehensweise eines Angriffs mit der von bekannten staatlichen Hackergruppen übereinstimmt. Die Angreifer könnten schließlich eine sogenannte False-Flag-Operation durchgeführt haben, bei der sie gezielt eine falsche Fährte gelegt haben.“

Prof. Dr. Thorsten Holz

„Die präzise Attribution von Angriffen auf IT-Systeme ist ein schwieriges Problem, vor allem, weil Angreifer ihre Spuren relativ einfach verschleiern oder sogar verfälschen können. Im Falle von SolarWinds deuten viele Hinweise auf einen Ursprung in Russland hin, verschiedene Stellen kamen unabhängig voneinander zu dieser Einschätzung. Leider sind bei solchen Angriffen häufig nur wenige Informationen öffentlich verfügbar, eine Untersuchung durch externe Expertinnen und Experten wird deshalb erschwert. Eine unabhängige Meinung kann dennoch oft einen Mehrwert liefern, insbesondere, um eine zusätzliche Einschätzung zum Ausmaß und den potenziellen Implikationen eines Angriffs zu erhalten. Journalistinnen und Journalisten sollten deshalb versuchen, unabhängige Einschätzung zu erhalten und diese bei der Berichterstattung berücksichtigen. Oft werden Einzelheiten eines Angriffs und der entstandene Schaden erst nach einigen Tagen oder Wochen bekannt, eventuell ist dann auch eine Überarbeitung der Einschätzung nötig.“

Angaben zu möglichen Interessenkonflikten

Prof. Dr. Hannes Federrath: „Es gibt bei mir keine Interessenskonflikte.“

Prof. Dr. Christian Rossow: „Die Frage nach Interessenskonflikten kann ich verneinen.“

Alle anderen: Keine Angaben erhalten.

Literaturstellen, die von den Experten angegeben wurden

[1] Scientists4Crypto (2020): Academic letter to the European Commission, Council to the European Union, and European Parliament; responding to the Council's draft resolution on "Encryption — Security through encryption and security despite encryption". Open Letter.

[2] Holland M (29.10.2020): Juniper-Skandal: China übernahm angeblich Hintertür in Netzhardware. Heise online.

Literaturstellen, die vom SMC zitiert wurden

[I] Deutscher Bundestag (08.01.2021): Schriftliche Fragen mit den in der Woche vom 4. Januar 2021 eingegangenen Antworten der Bundesregierung. S. 4f.

[II] Deutscher Bundestag, Parlamentsnachrichten (2021): Auswirkungen von Hackerangriff auf SolarWinds.

[III] Grüner S (20.01.2021): Solarwinds-Hack trifft vermehrt Unternehmen ohne Solarwinds. Golem.de.

Weitere Recherchequellen

Bundesamt für Sicherheit in der Informationstechnik (2020): Die Lage der IT-Sicherheit in Deutschland 2020.

Deutscher Bundestag, Ausschuss Digitale Agenda (14.01.2021): Auswirkungen von Hackerangriff auf SolarWinds.