WiWo App 1 Monat für nur 0,99 €
Anzeigen

Hackerangriff auf Merkel-Webseite Attacke war ein wichtiges Warnsignal

Warum der jüngste Angriff auf die Internetseiten von Kanzlerin Angela Merkel, Bundesregierung und Bundestag völlig ungefährlich war - und dennoch ein überfälliges Warnsignal.

  • Artikel teilen per:
  • Artikel teilen per:
Die Internetseiten von Bundeskanzlerin Angela Merkel und vom Deutschen Bundestag wurden am Mittwoch von Hackern lahmgelegt. Quelle: dpa

Im allgemeinen Schock über den Anschlag auf das Pariser Satiremagazin "Charlie Hebdo" ist die zeitgleiche Cyber-Attacke auf die offiziellen Internetseiten von Bundeskanzlerin Angela Merkel, der Bundesregierung und des Bundestages weitgehend untergegangen. Und das zurecht.

Nicht bloß, weil ein paar Stunden digitaler Absenz von Regierung und Parlament ein Klacks sind gegen ein blutiges Attentat mit zwölf Toten. Der Fokus auf Paris verhinderte auch den sonst üblichen Aufregungsautomatismus, der sich entspinnt, wenn im Umfeld der deutschen Politik wieder einmal irgendwo ein Hacker zuschlägt. Da eskaliert dann schnell die Wortwahl, ist von Cyberwar und digitalem Krieg die Rede. Selbst wenn – wie jetzt vermutlich durch die ukrainische Hackergruppe CyberBerkut praktiziert – bloß ein paar Web-Server unter der Last zigtausender digitaler Seitenaufrufe die Grätsche machen.

Lästig aber nicht gefährlich

Um es klar zu sagen: Das ist bestenfalls lästig. Unüblich ist es nicht. Solche „Distributed Denial of Service“ – kurz DDoS – genannten Attacken passieren ständig. Sie treffen private Webseiten, Unternehmen und nun hat es die Server des externen Dienstleisters erwischt, der die Online-Auftritte von Kanzlerin, Regierung und Parlament hostet.

Top-Jobs des Tages

Jetzt die besten Jobs finden und
per E-Mail benachrichtigt werden.

Standort erkennen
    Die größten Hacker-Angriffe aller Zeiten
    Telekom-Router gehackt Quelle: REUTERS
    Yahoos Hackerangriff Quelle: dpa
    Ashley Madison Quelle: AP
    Ebay Quelle: AP
    Mega-Hackerangriff auf JPMorganDie US-Großbank JPMorgan meldete im Oktober 2014, sie sei Opfer eines massiven Hackerangriffs geworden. Rund 76 Millionen Haushalte und sieben Millionen Unternehmen seien betroffen, teilte das Geldhaus mit. Demnach wurden Kundendaten wie Namen, Adressen, Telefonnummern und Email-Adressen von den Servern des Kreditinstituts entwendet. Doch gebe es keine Hinweise auf einen Diebstahl von Kontonummern, Geburtsdaten, Passwörtern oder Sozialversicherungsnummern. Zudem liege im Zusammenhang mit dem Leck kein ungewöhnlicher Kundenbetrug vor. In Zusammenarbeit mit der Polizei gehe die Bank dem Fall nach. Ins Visier wurden laut dem Finanzinstitut nur Nutzer der Webseiten Chase.com und JPMorganOnline sowie der Anwendungen ChaseMobile und JPMorgan Mobile genommen. Entdeckt wurde die Cyberattacke Mitte August, sagte die Sprecherin von JPMorgan, Patricia Wexler. Dabei stellte sich heraus, dass die Sicherheitslücken schon seit Juni bestünden. Inzwischen seien die Zugriffswege jedoch identifiziert und geschlossen worden. Gefährdete Konten seien zudem deaktiviert und die Passwörter aller IT-Techniker geändert worden, versicherte Wexler. Ob JPMorgan weiß, wer hinter dem Hackerangriff steckt, wollte sie nicht sagen. Quelle: REUTERS
    Angriff auf Apple und Facebook Quelle: dapd
     Twitter Quelle: dpa

    Ein Risiko für Deutschland und seine Bürgerinnen und Bürger war und ist das nicht. Denn weder gelang mit den Angriffen der Zugriff auf sicherheitsrelevante oder staatstragende Informationen. Noch haben die gestörten Seiten irgendetwas mit den tatsächlich angriffsgefährdeten sogenannten „kritischen“ Infrastrukturen zu tun, ohne deren Funktionieren unser Staatswesen und unsere Gesellschaft tatsächlich erschreckend schnell aus den Fugen gerieten: Strom- und Telefonnetze, Wasserwerke oder Pipelines, Bank-Systemen und Kassenterminals im Handel.

    Stillstand droht schon nach wenigen Stunden

    Experten geben diesen Systemen nur wenige Stunden, maximal ein paar Tage, bis ihr Ausfall nach einem Hackerangriff gravierende Schäden verursacht und Deutschland wirklich lahmlegt. Gemessen daran sind ein paar stockende Bits auf www.Bundeskanzlerin.de nichts. Und selbst ein wirklich erfolgreicher Cyberangriff wie etwa kürzlich erst auf die E-Mail-Systeme und Geschäftsdaten von Sony-Pictures ist dagegen – trotz all seiner folgenden (politischen und wirtschaftlichen) Verwerfungen – eine Petitesse.

    Das Problem liegt an ganz anderer Stelle: Im Fall der lahmgelegten deutschen Regierungs- und Parlamentsseiten haben alle wichtigen Schutzprozesse funktioniert. Alle relevanten Stellen waren, so versichern involvierte IT-Schützer aus dem Umfeld der Regierung glaubhaft, kurzfristig informiert. Die Abwehr der Attacke lief an und binnen weniger Stunden waren die – wahrlich nicht gesellschaftsrelevanten – Online-Angebote wieder verfügbar.

    Nur, hätte das auch für einen ernsthaften digitalen Angriff auf Deutschland gegolten? Was, wenn das Ziel tatsächlich die Steuerungssysteme kritischer Infrastrukturen gewesen wäre? Was, wenn es den Hackern wirklich darum gegangen wäre, Staat, Wirtschaft und Gesellschaft nachhaltig zu treffen? So, wie er etwa den EU-Staat Estland schon vor Jahren getroffen hat und der dort tagelang de facto zum Wirtschaftsstillstand führte.

    Niemand ist wirklich verantwortlich

    Die ehrliche Antwort lautet: Vermutlich nicht. Denn der Blick auf die Strukturen der deutschen Cyber-Abwehr enthüllt noch immer Besorgniserregendes. Denn da wird offenbar, dass in unserem Land ein kaum durchschaubares Nebeneinander von potenziell zuständigen Institutionen existiert, die allesamt irgendwie aber eben auch in keinem Fall umfassend dafür zuständig sind. Deutschland und seine Bevölkerung gegen digitale Angriffe gesellschaftsgefährdenden Ausmaßes zu schützen.

    Wo Netzwerke es Hackern leicht machen
    GoPro CamDie Action-Kamera Go Pro Hero 3 lässt sich am Helm, der Kleidung oder am Surfbrett befestigen. So entstehen spektakuläre Sport-Aufnahmen. Diese lassen sich mit ein paar wenige Knopfdrücken auf Facebook oder anderen sozialen Netzwerken teilen. Dafür ist die Kamera internettauglich. Und genau hier liegt die Schwäche der Kamera. Hacker haben herausgefunden, dass sich die Kamera knacken lässt. Danach kann man sie ganz einfach mit einer Fernbedienung steuern. Besonders gefährlich ist das, weil die Kamera auch vom Militär und Sicherheitskräften genutzt wird. Quelle: dapd
    Empfindliche HerzschrittmacherÜber 75.000 Menschen in Deutschland haben einen elektronischen Herzschrittmacher implementiert. Diese Geräte lassen sich heutzutage drahtlos nachstellen sowie die darauf erfassten Daten herunterladen. Über die kabellose Schnittstelle wird das Gerät aber auch anfällig. Der Hacker Barnaby Jack hat gezeigt, dass sich der Herzschrittmacher aus bis zu neun Metern Entfernung manipulieren lässt. Quelle: AP
    Hacker wissen, so Sie sindJe 60 Euro kosten die Sensoren, die der Hacker Brendan O'Conner zu Testzwecken in der Nachbarschaft verteilt hat. Diese sammeln Signale von Tablets oder Smartphones ein, die dann wiederum in einer Karte angezeigt werden können. Daraus lassen sich komplette Bewegungsprofile der jeweiligen Geräte erstellen. Dass das technisch möglich ist, zeigte auch schon eine Visualisierung von Handy-Daten des Grünen-Politikers Malte Spitz. Er stellte schon vor Jahren seine Smartphone-Daten zur Verfügung, die genau zeigen, wo er sich zu welchem Zeitpunkt aufgehalten hat. Quelle: REUTERS
    Anfällige KraftwerkeEin Team von drei Hackern hat eine Sicherheitslücke in einem Funksystem gefunden, das oft auch in Kraftwerken eingesetzt wird. Dadurch könnten Angreifer in einem Umkreis von 65 Kilometern, Daten auslesen. Sogar die Abschaltung des Kraftwerks wäre auf diesem Weg möglich. Quelle: dpa
    Mobilfunkverbindungen ausspionierenBesonders anfällig für Hackerangriffe sind die sogenannten Femtozellen. Damit lassen sich Mobilfunknetze verstärken, zum Beispiel um den Empfang in Häusern zu verbessern. Sobald sich Smartphone, Handy, Tablet und Co mit der Zelle verbinden, laufen alle Daten, Informationen und Gespräche darüber. Wurde eine GSM- oder CDMA-Femtozelle gehackt, lassen sich also zum Beispiel Telefonate abhören. Nutzer haben kaum eine Möglichkeit sich dagegen zu wehren. Vor allem, da sich viele mobile Endgeräte automatisch und ohne Rückfrage mit einer Zelle verbinden. Quelle: dpa
    Smart-TV Die Geräte im Haushalt werden immer stärker mit einander vernetzt. Smart-TV, ferngesteuerte Heizungsanlagen oder Waschmaschinen bieten Hackern so ganz neue Angriffsflächen. Erst kürzlich ist es gelungen, die Funktionen eines Internet-Fernsehers auszunutzen und die Person vor dem Fernseher per Webcam und Mikrofon auszuspionieren. Auch die Heizung lässt sich ungefragt hochstellen oder Lampen anstellen und Türen öffnen. Im August ist es Hackern in Japan gelungen, hochautomatisierte Luxustoiletten zu manipulieren. Quelle: dpa
    Auto-CockpitDie Armarturen in Autos werden immer mehr zu regelrechten Cockpits. Die elektronischen Hilfen im Fahrzeug werden von Jahr zu Jahr mehr. Doch auch zentrale Funktionen wie die Bremsen oder der Motor werden über einen regelrechten Bordcomputer gesteuert. Der Hacker Chris Valasek hat gezeigt, wie sich diese Technik austricksen lässt, um zum Beispiel das Lenkrad wild rotieren zu lassen oder einen vollen Tank vorzugaukeln. Quelle: dpa

    Wer etwa dachte, die Bundeswehr – traditionell der Landesverteidiger der Republik – sei auch für den digitalen Schutz des Landes zuständig, der irrt. Auf der Bonner Hardthöhe und im Berliner Bendler-Block verweisen die Befragten in Sachen Cyber-Gefahren aufs Innenministerium. Sich selber, die eigenen Rechnersysteme und Kommunikationsnetze, ja, die schütze man, heißt es im Verteidigungsministerium. Und – etwas leiser – ja, man befasse sich auch mit der digitalen Kriegsführung, schließlich müsse man ja wissen, was einem drohen könne. Doch wenn es um den Schütz von Bürgern und Unternehmen gehe, dann sei das eine Sache der inneren Sicherheit.

    Wo eigentlich beginnt der Cyber-Krieg?

    Was Wunder, dass sich die Generäle bedeckt halten. Schließlich ist ja nicht einmal eindeutig definiert, was eigentlich ein kriegerischer Cyber-Akt sein könnte. Zwar hat die Nato inzwischen entschieden, dass der Verteidigungsfall (und mithin die Beistandspflicht der Mitglieder) auch bei Cyber-Angriffen eintreten könne. Nur, was genau ist die relevante Schwelle? In alten, analogen Kalten-Kriegs-Zeiten war das ziemlich eindeutig: Hätten Panzer oder Soldaten den Eisernen Vorhang überschritten, wären Marschflugkörper aufgestiegen, wäre die Sache klar gewesen.

    Doch im Internet-Zeitalter lösen sich die Grenzen auf. Heute lassen sich digitale Marschflugkörper durchs Netz schicken, ohne dass noch erkennbar wäre, wer sie abgefeuert hat. Gegen wen also sollte sich eine Abschreckungsstrategie richten? Wer sollte sich vor ihr fürchten?

    Top-Jobs des Tages

    Jetzt die besten Jobs finden und
    per E-Mail benachrichtigt werden.

    Standort erkennen

      Und nicht nur das ist unklar. Genau so offen ist, wo eigentlich die oberste Verantwortung für den digitalen Schutz liegt? Wer ihn koordiniert? Und, wer ihn schlussendlich bezahlt?

      Etikettenschwindel bei der Cyber-Abwehr

      Das macht ausgerechnet ein Blick auf eine Institution deutlich, deren Name eigentlich genau das versprechen sollte: Das im Frühjahr 2011 eingerichtete „Nationale Cyber-Abwehrzentrum“.

      Denn im Grunde wehrt diese beim Bonner Bundesamt für Sicherheit in der Informationstechnik (BSI) angesiedelte Einrichtung überhaupt nichts ab. Statt dessen dienen die regelmäßigen Lagebesprechungen nur als Informations-Drehscheibe, über die sich die beteiligten – und in irgendeiner Weise mit Cyber-Gefahren befassten – Behörden über ihre jeweiligen Erkenntnisse unterrichten und in der Bewertung von IT-Sicherheitsvorfällen abstimmen. „Operativ tätig ist da keiner“, sagt ein Kenner der Einrichtung, „und so gesehen ist der politisch gewählte Begriff ‚Abwehrzentrum‘ eigentlich ein Etikettenschwindel.“

      Schlapphüte, Zöllner, Katastrophenschützer

      Zumal die aus gut einem Dutzend IT-Spezialisten bestehende Bonner Cyber-Runde auch keinerlei Weisungsbefugnisse hat. Wie auch? Sitzen doch Behörden miteinander am Tisch, die ganz unterschiedlichen Ministerien zugeordnet sind und im Grunde strikt getrennt voneinander agieren müssen: das Bundesamt für Verfassungsschutz, das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe, das Bundeskriminalamt, die Bundespolizei, das Zollkriminalamt, der Bundesnachrichtendienst und der Militärgeheimdienst MAD der Bundeswehr. Die Vielzahl der daneben auch noch existierenden Landeskriminalämter ist gar nicht erst eingebunden.

      00000000 für den Start von Atomraketen
      Das Passwort für den Abschuss der US-Minuteman-Atomraketen war denkbar schlecht: Wie das Online-Portal " heise.de" berichtet, bestand die Kombination für fast zwei Jahrzehnte aus acht Nullen. Demnach entschied das Strategic Air Command (SAC) wohl, dass die Militärentscheider in der heißen Phase des Kalten Krieges die Raketen möglichst schnell starten können sollten. Darüber hinaus soll das Passwort auch noch auf den Start-Checklisten ausgedruckt worden sein. So hätten sogar zivile Arbeiter Zugang zu den vernichtenden Waffen gehabt. Quelle: AP
      Joseph Bonneau von der Universität Cambridge hat 70 Millionen Passwörter analysiert. Dafür musste er allerdings nicht in Rechner einbrechen - er analysierte die sogenannten Hash-Werte der Passwörter. Das ist eine Art Fingerabdruck des Passworts mit dessen Hilfe Computer herausfinden können, ob ein Passwort richtig ist, ohne es im Klartext zu speichern. Die Hash-Werte lassen aber Rückschlüsse auf das Passwort zu. Quelle: dapd
      In der Wirtschaft sieht es dagegen schlecht aus: Das weltweit beliebteste Passwort in der internationalen Wirtschaftswelt laut Studie ist das sehr unkreative „password1“, gefolgt von „welcome“, „password01“ und „password2“ - da wird das Passwort zur Einladung für Hacker. Quelle: dpa
      Davon abgesehen spiegeln sich aber auch kulturelle Unterschiede in den Passwortgewohnheiten wieder. Die Vorliebe der Chinesen für Zahlen beispielsweise, zeigt sich auch bei den verwendeten Passwörtern. Damit landen die Chinesen im Gesamt-Ranking auf einem guten mittleren Platz weit vor den Briten. Beide müssen sich allerdings den Deutschen geschlagen geben - und unter diesen interessanterweise besonders den über 55-Jährigen. Ihre Passwörter sind besonders sicher. Die Passwörter der unter 25-jährigen seien dagegen nur halb so sicher. Allerdings könnte hier den Deutschen auch eine Eigenart ihrer Sprache helfen: Das Deutsche enthält ungewöhnlich viele lange Worte. Quelle: Reuters
      Der Computerwissenschaftler fand Unterschiede und Gemeinsamkeiten zwischen den Kulturen heraus. Eine große interkulturelle Gemeinsamkeit: die Faulheit der Nutzer. Die Mehrzahl der Passwörter besteht aus gerade einmal sechs Zeichen - egal ob in Peking oder New York. Selbst ein sogenanntes „Skriptkiddie“, das nicht mehr beherrscht als bekannte Hacker-Tools einzusetzen, kann so ein Passwort innerhalb von rund zehn Minuten knacken - zumindest wenn der Computer einen Brute-Force-Angriff nicht durch technische Maßnahmen verhindert. Ein solcher Brute-Force-Angriff probiert automatisch Passwort-Kombinationen nach dem Zufallsprinzip aus - durch die große Anzahl der Versuche wird irgendwann die richtige Kombination dabei sein. Quelle: dpa
      Doch wie kommen Nutzer nun zum einfachen und dennoch sicheren Passwort? Die wichtigste Regel zuerst: Wörter, die so im Lexikon stehen, sind absolut tabu. Weil viele Anmeldesysteme nur eine begrenzte Anzahl von Versuchen erlauben, sind Angreifer von der sogenannten Bruteforce-Methode abgekommen. Dabei werden einfach automatisiert sämtliche möglichen Buchstaben- und Nummerkombinationen durchprobiert. Stattdessen werden Listen mit Standard-Passwörtern abgearbeitet, die meist einfach aus Wörtern aus Lexika stammen. Foto: ap
      Sonderzeichen nutzenUm sich das eigene Passwort trotzdem merken zu können, kann ein Wort mit Sonderzeichen, eigenwilliger Groß/kleinschreibung oder zusätzlichen Zahlen geschrieben werden. Beispiel: HaUspf@ndbr1ef23. Das "U" wird mitten im Satz groß geschrieben, das "A" wird durch ein "@" ersetzt, das "I" durch eine eins und am Ende des Wortes wird noch eine Nummer angehängt. Noch besser ist allerdings, wenn Sie einzelne Buchstaben mit weniger einfachen Regeln durch Zahlen ersetzen. Beispiel: Jedes "E" durch eine "11" ersetzen. Mögliche Eselsbrücke: Die Elf teilt mit dem "E" den selben Anfangsbuchstaben. Foto: ap

      Und natürlich führen auch die IT-Sicherheitsstäbe der Bundesministerien ein Eigenleben, ebenso wie die Sicherheitsabteilung etwa des Bundestages. „Sie glauben doch nicht, dass sich die Cyber-Schützer der Legislative, der verfassungsrechtlich ersten Gewalt, von Institutionen der Exekutive irgendwelche Vorgaben machen lassen“, verweist ein hochrangiger IT-Experte auf zusätzliche verfassungsrechtliche Klippen in einer koordinierten Abwehr von digitalen Angriffen.

      Verwirrendes Nebeneinander

      Daneben fördern, finanzieren und erforschen neben den involvierten noch diverse nicht eingebundene staatliche Stellen Schutzkonzepte, Abwehrtechniken und Wirkungsszenarien für den Umgang mit Cyber-Angriffen – in aller Regel nebeneinander her und nicht abgestimmt.

      Insofern trifft die im vergangenen Sommer unter anderem von der "Süddeutschen Zeitung" publik gemachte Kritik des Bundesrechnungshofes an Konstruktion und Wirksamkeit des Cyber-Abwehrzentrums („Es sei ‚fraglich‘, welchen Nutzen die Einrichtung überhaupt entwickeln könne“) sicher zu. Angesichts des existierenden Rechtsrahmens scheint die Bonner Cyber-Runde aber trotzdem zumindest ein Schritt in die richtige Richtung zu sein. Einer, der Fahnder und Schlapphüte zumindest mal „unter strikter Wahrung ihrer jeweiligen gesetzlichen Aufgaben und Befugnisse“ zur kooperativen Zusammenarbeit nötigt.

      Top-Jobs des Tages

      Jetzt die besten Jobs finden und
      per E-Mail benachrichtigt werden.

      Standort erkennen

        Digitale Welt



        Politik muss endlich handeln

        Auf dem Weg zu einer stringenten deutschen Cyber-Abwehrstrategie, die ihren Namen auch verdient, die klare Zuständigkeiten und Budgetverantwortung schafft (egal, ob beides dann bei der Bundes-Verteidigungsministerin oder dem ‑Innenminister liegt), sind das Abwehrzentrum und das darin organisierte Chaos trotzdem bestenfalls ein Schrittchen.

        Und in dem Sinne könnte die jüngste DDoS-Attacke zumindest als Warnsignal dienen: Dass es beim nächsten Mal viel dicker kommen kann. Und, dass politisches Handeln höchst überfällig ist.

        © Handelsblatt GmbH – Alle Rechte vorbehalten. Nutzungsrechte erwerben?
        Zur Startseite
        -0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%