WirtschaftsWoche: Herr Wilson, am Dienstag haben Hacker erneut die IT-Infrastruktur von Unternehmen weltweit angegriffen. Ist das Ausmaß dieser Attacke vergleichbar mit dem WannaCry-Angriff im Mai, der weltweit Computer verschlüsselte?
Steven Wilson: Das können wir zu diesem Zeitpunkt noch nicht sagen. Unser Team prüft die Angriffe, aber wir haben noch keinen Überblick, wie viele Unternehmen und Länder betroffen sind.
Zwei massive Angriffe in so kurzer Zeit – müssen sich Verbraucher und Unternehmen darauf einstellen, dass wir häufiger Attacken in solch internationalem Ausmaß sehen?
In der letzten Zeit konnten wir beobachten, dass die Ransomware, also Erpresser-Attacken, deutlich professioneller und komplexer werden. Diese organisierten Angriffe können natürlich immer zu einem größeren Schaden führen.
Mit Maersk, Beiersdorf, Mondelez und Merck sind globale Konzerne betroffen, die jährlich Milliarden Euro umsetzen. Tun sie genug, um ihre IT-Systeme zu schützen?
Es wäre nicht fair, dass ich die Strategien dieser Konzerne beurteile, ohne zu wissen, was sie konkret unternehmen. Aber ich glaube, dass Unternehmen dieser Größe erkannt haben, wie gefährlich solche Angriffe für sie werden können.
Zur Person
Steven Wilson leitet seit Anfang 2016 die Cybercrime-Einheit EC3 von Europol. Zuvor arbeitete er über 30 Jahre lang bei der schottischen Polizei, unter anderem in führender Position als Kriminalkommissar der Cybercrime-Abteilung.
Was ist der beste Schutz gegen die Erpresser-Attacken?
Alle Daten regelmäßig mit einem Backup zu sichern. Dann können Sie Ihre Systeme nach einem Angriff ohne Schaden sofort neu aufsetzen.
Haben auch kleinere Unternehmen, etwa im Mittelstand, die Gefahr solcher Angriffe erkannt?
Natürlich, aber dort ist es schlicht nicht möglich, genügend Experten in den IT-Abteilungen einzustellen, um diese Gefahr angemessen zu bekämpfen. Deshalb sind kleine und mittlere Unternehmen oft anfälliger für Attacken. Wir haben Fälle gesehen, in denen sie den Zugriff auf ihre gesamte Kundendatenbank verloren haben. Dann kann ein Angriff dazu führen, dass die Geschäftsgrundlage zerstört wird und das Unternehmen schließen muss.
In der Finanzindustrie sehen wir gerade viele Start-ups, die umfangreiche und bequeme Dienste für die Onlinekunden anbieten. Sind diese für Angreifer ein beliebtes Ziel, oder immer noch die klassischen Großbanken?
Die Großbanken wurden in den vergangenen Jahren immer wieder angegriffen. Oft gehen Schäden dann in die Millionen und Banken müssen schmerzhaft lernen, wie wichtig Cybersicherheit ist. Sie haben investiert und Abteilungen aufgebaut, die Abwehrtaktiken entwickeln. Fintechs waren bislang nicht von Attacken in diesem Ausmaß betroffen. Obwohl bei ihnen Sicherheit zunächst nicht zum Kern ihrer neuen Technologien gehört. Aber sie sind sehr agil und können schnell die innovativsten Sicherheitsfeatures in ihre Produkte einbauen. Ich glaube, dass auch sie verstanden haben, dass ein Angriff und Datenverlust ihr Geschäft sofort zunichtemachen können.
Wird Cybersecurity zum Wettbewerbsvorteil für Unternehmen?
Absolut. Im Moment sind wir noch an dem Punkt, dass Sicherheit kein expliziter Wettbewerbsnachteil sein darf. Aber wenn Sie mich persönlich fragen: Wenn ich als Unternehmer überlege, mit anderen Konzernen Geschäfte zu machen, prüfe ich doch als erstes, ob meine Daten dort sicher sind. Diese Entwicklung sehen wir schon bei vielen börsennotierten Unternehmen. Sie wählen Geschäftspartner oder Banken auch nach deren Sicherheitslevel aus.
Was sie nicht kontrollieren können, ist das Verhalten der Kunden. Gerade in der Finanzbranche sind Kunden eine Schwachstelle, über die viele Angriffe erst möglich werden, etwa wenn sie in gefälschten E-Mails Zugangsdaten des Bankkontos eingeben.
Aber auch Konsumenten beginnen zu begreifen, wie wichtig das Thema Sicherheit ist. Allerdings noch nicht in dem Ausmaß, wie ich es gerne sehen würde.
Vielen ist das Thema schlicht zu kompliziert.
Um einen sicheren Anbieter zu finden, reicht schon ein Blick auf die Historie: Wer wurde bislang noch nicht angegriffen. Und darüber hinaus gibt es immer bessere Wege sich zu informieren. Wir bemühen uns mit Europol etwa bei Angriffen über Twitter zu warnen. Und mittlerweile bekommen sie Informationen zu Cybersicherheit nicht mehr nur in Fachzeitungen. So etwas müssen Kunden dann aber auch wahrnehmen. Viele Leute schalten leider ab, wenn sie mit technischen Dingen konfrontiert werden.
„Es ist immer Aufgabe der Unternehmen, für Sicherheit zu sorgen“
Bekommen Kunden von den Banken denn wirklich alle Informationen, die sie benötigen?
Wir haben in der Vergangenheit leider erlebt, dass Unternehmen versucht haben, Angriffe geheim zu halten. Aber ich denke, dass auch Vorstandschefs erkannt haben, dass Vertuschungsversuche nur auf sie persönlich zurückfallen und sie den Job kosten können. Die internationalen Großbanken, mit denen ich arbeite, haben angefangen eine Kultur zu entwickeln, die offen mit solchen Angriffen umgeht. Diese Transparenz, sowohl gegenüber Kunden, Wettbewerbern und den Ermittlungsbehörden, ist der Schlüssel, um die Angriffe angemessen bekämpfen zu können.
Ist die Finanzindustrie hier weiter als andere?
Der Bankensektor ist einen Schritt voraus was Zusammenarbeit angeht, ja. Schauen sie sich in Deutschland etwa G4C an, einen Zusammenschluss von Großbanken, die eng mit dem Bundeskriminalamt an Sicherheitsthemen arbeiten. Aber es waren wohl auch die großen Schäden durch Cyberangriffe, die die Banken in diese Position gebracht haben.
Gerade wenn einzelne Kundenkonten angegriffen wurden, haben Banken die Schäden bislang meist auch aus Kulanz übernommen. Nun wendet sich das Blatt langsam: Wenn Kunden grob fahrlässig mit Zugangsdaten umgehen, sollen sie den Schaden selbst tragen.
Zunächst ist es immer Aufgabe der Unternehmen, für Sicherheit zu sorgen: Also alle nötigen Sicherheitsfeatures einzubauen, und den Kunden aufzuklären wie und warum sie diese nutzen müssen. Dann ist es aber ganz klar auch die Verantwortung der Kunden, diese Sicherheitsmaßnahmen anzunehmen und auszuführen. Wer keine sicheren Passwörter und Antiviren-Programme nutzt und keine regelmäßigen Updates ausführt, der macht nichts anderes, als die Türen und Fenster seiner Wohnung offen stehen zu lassen. Dann muss sich niemand wundern, dass eingebrochen wird. Da kann ich es verstehen, dass Banken nicht mehr in jedem Fall aufkommen wollen.
Wie bei der Erpresser-Attacke WannaCry fordert nun auch Petya nach der Verschlüsselung der betroffenen Computer ein Lösegeld, das in Form von Bitcoins gezahlt werden soll. Ist diese Zahlungsform für Sie bei der Strafverfolgung ein Vorteil oder Nachteil?
Noch vor vier oder fünf Jahren hätte ich gesagt, dass Bitcoin und andere Kryptowährungen das Ende unserer Ermittlungen im Finanzbereich bedeuten. Diese dezentralen Zahlungssysteme arbeiten schließlich radikal um die bisherigen Zahlungssysteme herum, in denen wir Geldströme verfolgen konnten. Heute kann ich sagen, dass wir gemeinsam mit der Finanzindustrie Wege gefunden haben, auch bei Bitcoin und Co das Geld zu verfolgen.
Dabei sind doch gerade in den digitalen Registern, wie etwa der Bitcoin-Blockchain, weltweit für alle einsehbar, welches Konto welchen Betrag von wem überwiesen bekommt. Auch bei Petya gibt es ein solches Konto, dessen Geldströme sie verfolgen können.
Die Verfolgung ist nicht so simpel wie im konventionellen Banksystem. Denn wir bekommen zwar ein Konto und die Ein- und Ausgänge. Aber letztlich müssen wir dieses digitale Konto ja mit einer Person verknüpfen. Was in dieser Hinsicht hilft, ist dass viele Länder nun die digitalen Währungen regulieren. Ein wichtiger Punkt der Regulierung: Dass Nutzer sich auch in den dezentralen Systemen identifizieren müssen, wie beim regulären Bankkonto. Das hilft uns natürlich enorm, die Personen zu verfolgen, die hinter den Attacken stehen.
Nach der WannaCry-Attacke im Mai haben viele Unternehmen das Lösegeld bezahlt, um wieder an ihre Daten zu kommen. Das Geld landete auf bestimmten Bitcoin-Geldbörsen. Wurde es von den Angreifern schon abgehoben?
Nein, das Geld liegt noch immer in den Geldbörsen. Und wenn sich das Geld nicht bewegt, haben wir auch keine Möglichkeit, es nachzuverfolgen.
Und sobald es sich bewegt?
Das kann ich Ihnen nicht verraten. Sonst wissen die bösen Jungs hinterher, welche Asse wir im Ärmel haben.
„Industrie 4.0 und das Internet der Dinge stellen eine große Gefahr dar“
Wie müssen wir uns die bösen Jungs vorstellen, sind das Hacker im Kapuzenpulli, die in irgendeiner Mietwohnung den ganzen Tag vorm PC hocken?
Cybercrime ist mittlerweile zum globalen Geschäft geworden, das es fast jedem ermöglicht, einzusteigen und mitzumischen. Vor ein paar Jahren waren noch etliche Spezialisten nötig, um einen Erpresserangriff wie Wannacry oder Petya vorzubereiten. Heute können sie alles outsourcen.
Was heißt das?
Im Internet können sie sich alle Experten zusammensuchen, die am Ende den Angriff für sie ausführen, von der Programmierung bis hin zum Abheben des erpressten Geldes am Automaten. Kriminelle brauchen kein technisches Verständnis mehr, es reicht aus, Sub-Unternehmer anzustellen, um richtig Geld zu machen. Diese Entwicklung hat das Geschäft maßgeblich verändert.
Kommen Sie dieser Professionalisierung noch hinterher?
Wie gesagt, es ist essenziell, dass jeder Beteiligte seine Informationen teilt. Unternehmen und Behörden müssen von lokaler bis zur internationalen Ebene alle Schnipsel teilen, die sie gesammelt haben. Dann können wir gemeinsam das Puzzle lösen, mit dem wir am Ende auch die Hintermänner bekommen. Ein Beispiel, wie wir solche Netzwerke ausheben können, ist die Operation Avalanche. Ende des letzten Jahres konnten wir die Betreiber einer kriminellen Infrastruktur festnehmen, die allein von deutschen Bankkonten sechs Millionen Euro gestohlen haben. Hier hat die Staatsanwaltschaft Verden mit der Polizei Lüneburg, dem FBI und uns bei Europol zusammengearbeitet. Insgesamt waren 30 Länder beteiligt.
Angriffsziele von aufsehenerregenden Cyberangriffen
Im Dezember 2015 fiel für mehr als 80.000 Menschen in der Ukraine der Strom aus. Zwei große Stromversorger erklärten, die Ursache sein ein Hacker-Angriff gewesen. Es wäre der erste bestätigte erfolgreiche Cyberangriff auf das Energienetz. Ukrainische Behörden und internationale Sicherheitsexperten vermuten eine Attacke aus Russland.
Im Februar 2016 legt ein Erpressungstrojaner die IT-Systeme des Lukaskrankenhauses in Neuss lahm. Es ist die gleiche Software, die oft auch Verbraucher trifft: Sie verschlüsselt den Inhalt eines Rechners und vom Nutzer wird eine Zahlung für die Entschlüsselung verlangt. Auch andere Krankenhäuser sollen betroffen gewesen sein, hätten dies aber geheim gehalten.
Ähnliche Erpressungstrojaner trafen im Februar auch die Verwaltungen der westfälischen Stadt Rheine und der bayerischen Kommune Dettelbach. Experten erklären, Behörden gerieten bei den breiten Angriffen eher zufällig ins Visier.
In San Francisco konnte man am vergangenen Wochenende kostenlos mit öffentlichen Verkehrsmitteln fahren, weil die rund 2000 Ticket-Automaten von Erpressungs-Software befallen wurden. Laut einem Medienbericht verlangten die Angreifer 73 000 Dollar für die Entsperrung.
Im Mai 2015 fallen verdächtige Aktivitäten im Computernetz des Parlaments auf. Die Angreifer konnten sich so weitreichenden Zugang verschaffen, das die Bundestags-IT ausgetauscht werden. Als Urheber wird die Hacker-Gruppe APT28 vermutet, der Verbindungen zu russischen Geheimdiensten nachgesagt werden.
Die selbe Hacker-Gruppe soll nach Angaben amerikanischer Experten auch den Parteivorstand der Demokraten in den USA und die E-Mails von Hillary Clintons Wahlkampf-Stabschef John Podesta gehackt haben. Nach der Attacke im März wurden die E-Mails wirksam in der Schlussphase des Präsidentschaftswahlkampfs im Oktober 2016 veröffentlicht.
APT28 könnte auch hinter dem Hack der Weltdopingagentur WADA stecken. Die Angreifer veröffentlichen im September 2016 Unterlagen zu Ausnahmegenehmigungen zur Einnahme von Medikamenten, mit einem Fokus auf US-Sportler.
Ein Angriff, hinter dem Hacker aus Nordkorea vermutet wurden, legte im November für Wochen das gesamte Computernetz des Filmstudios lahm. Zudem wurden E-Mails aus mehreren Jahren erbeutet. Es war das erste Mal, dass ein Unternehmen durch eine Hackerattacke zu Papier und Fax zurückgeworfen wurde. Die Veröffentlichung vertraulicher Nachrichten sorgte für unangenehme Momente für mehrere Hollywood-Player.
Bei dem bisher größten bekanntgewordenen Datendiebstahl verschaffen sich Angreifer Zugang zu Informationen von mindestens einer Milliarde Nutzer des Internet-Konzerns. Es gehe um Namen, E-Mail-Adressen, Telefonnummern, Geburtsdaten und verschlüsselte Passwörter. Der Angriff aus dem Jahr 2014 wurde erst im vergangenen September bekannt.
Ein Hack der Kassensysteme des US-Supermarkt-Betreibers Target macht Kreditkarten-Daten von 110 Millionen Kunden zur Beute. Die Angreifer konnten sich einige Zeit unbemerkt im Netz bewegen. Die Verkäufe von Target sackten nach der Bekanntgabe des Zwischenfalls im Dezember 2013 ab, weil Kunden die Läden mieden.
Eine Hacker-Gruppe stahl im Juli 2015 Daten von rund 37 Millionen Kunden des Dating-Portals. Da Ashley Madison den Nutzern besondere Vertraulichkeit beim Fremdgehen versprach, erschütterten die Enthüllungen das Leben vieler Kunden.
Im Frühjahr 2016 haben Hacker den Industriekonzern Thyssenkrupp angegriffen. Sie hatten in den IT-Systemen versteckte Zugänge platziert, um wertvolles Know-how auszuspähen. In einer sechsmonatigen Abwehrschlacht haben die IT-Experten des Konzerns den Angriff abgewehrt – ohne, dass einer der 150.000 Mitarbeiter des Konzerns es mitbekommen hat. Die WirtschaftsWoche hatte die Abwehr begleitet und einen exklusiven Report erstellt.
Im Mai 2017 ging die Ransomware-Attacke "WannaCry" um die Welt – mehr als 200.000 Geräte in 150 Ländern waren betroffen. Eine bislang unbekannte Hackergruppe hatte die Kontrolle über die befallenen Computer übernommen und Lösegeld gefordert – nach der Zahlung sollten die verschlüsselten Daten wieder freigegeben werden. In Großbritannien und Frankreich waren viele Einrichtungen betroffen, unter anderem Krankenhäuser. In Deutschland betraf es vor allem die Deutsche Bahn.
Solche kriminellen Netze kapern oft Geräte, die ungesichert mit dem Internet verbunden sind, um darüber unerkannt arbeiten zu können. Bald sollen im Internet der Dinge nicht nur Maschinen in den Fabriken sondern auch Straßenlaternen miteinander vernetzt werden. Macht Ihnen das Angst?
Industrie 4.0 und das Internet der Dinge stellen eine große Gefahr dar, und diese Gefahr wächst. Ein Beispiel: Im vergangenen Jahr war Liberia für mehr als 20 Stunden komplett offline, weil 600.000 Überwachungskameras gekapert werden konnten. Wenn wir solche Geräte vernetzen, die wenig gesichert oder manchmal gar nicht gesichert werden, dann bieten wir den Kriminellen natürlich Chancen, die sie nie bekommen sollten.
Müssen wir uns von der Idee smarter Geräte verabschieden, ist Industrie 4.0 tot?
Wir haben jetzt die einmalige Gelegenheit, die neue Infrastruktur so aufzubauen, dass sie wirklich sicher ist. Das Internet ist über Jahre gewachsen, aber Sicherheit war nie ein notwendiger Teil des Internets. Daraus müssen wir lernen und das Internet der Dinge anders aufbauen.
Wie könnte das funktionieren?
Es fängt mit Ausschreibungen an. Wenn Regierungen oder Städte Großprojekte vergeben, muss der Sicherheitsaspekt ein wichtiger Teil dieser Ausschreibungen sein. Kosten dürfen nicht im Vordergrund stehen. Ein Beispiel: Schon wenn bisherige Straßenlaternen mit smarten LED-Leuchten ersetzt werden sollen, müssen diese ausreichend gesichert sein. Natürlich, wenn eine Stadt Millionen Euro für hunderttausende Geräte ausgeben muss, dann machen schon drei bis vier Cent Preisunterschied für sicherere Laternen einen enormen Unterschied. Aber nur so können wir ein System aufbauen, das von Grund auf sicher ist und ein Vertrauen in die Technologie schafft.
Und wenn Städte oder Unternehmen nicht bereit sind, diese Zusatzkosten zu tragen?
Wenn wir es nicht schaffen, Sicherheit als neuen Standard zu etablieren, wird es in ein paar Jahren wirklich ungemütlich.