Das Protokoll einer Panne, die seit Tagen ganz Deutschland bewegt und von besorgten Internetnutzern über das Topmanagement der Deutschen Telekom bis hinauf zum Bundesamt für Sicherheit in der Informationstechnik (BSI) immer weitere Kreise zieht, beginnt schon Anfang November. Da veröffentlicht ein unbekannter IT-Sicherheitsspezialist unter dem Pseudonym „Kenzo2017“ eine nur für technische Experten verständliche Warnung in einem Blog. Hackern sei es möglich, bestimmte Router des irischen Internetanbieters EIR mithilfe übers Internet verschickter Steuerbefehle aus der Ferne umzuprogrammieren. Auf diese Weise könnten die Angreifer die Geräte, mit deren Hilfe Privatleute und Unternehmen online gehen, fernsteuern. Wie eine Art digitale Zombies könnten die Router für groß angelegte Attacken auf andere benutzt werden, warnt Kenzo2017.
Kurz darauf veröffentlicht der Routerhersteller, das Unternehmen Zyxel aus Taiwan, ein Update, um die Lücke zu stopfen. Und dann passiert erst einmal – nichts.
Bis kurz nach halb vier am vergangenen Sonntag auf dem Handy von Thomas Tschersich, seit 2014 Sicherheitschef der Telekom, die erste E-Mail eingeht, dass sich im Netz Ungewöhnliches tut. Binnen kurzer Zeit streiken bei Telekom-Kunden deren Telefon-, Internet- und Multimediaanschlüsse ganz oder teilweise, liest Tschersich da. Am Ende werden es 900.000 sein. Eine halbe Stunde später hat er die Kollegen aus Bonn persönlich am Apparat.
Als die Experten technische Fehler im Netz ausschließen können, muss Tschersichs Cybercrime-Truppe ran. Sie schneiden den Datenverkehr an den Testroutern mit, die die Telekom selbst betreibt, protokollieren die Aufrufe aus dem Netz, analysieren den Code, den Zigtausende Computer aus dem ganzen Internet im Minutentakt an die Netzwerkgeräte senden – und haben kurz nach 18 Uhr Klarheit: „Das ist der Angriff eines Botnetzes, wir stehen mitten im Dauerfeuer.“ Die Angreifer versuchen, genau die von Kenzo2017 bekannt gemachte Lücke auszunutzen.
Anders als bei den irischen Routern aber gelingt es den Angreifern zu Tschersichs Erleichterung nicht, auf den Telekom-Geräten Schadprogramme auszuführen. Trotzdem fallen die vom taiwanischen Zulieferer Arcadyan für die Telekom produzierten Speedport-Router reihenweise aus.
Wie kann es sein, fragen sich Kunden und Sicherheitsexperten, dass Router des größten Telekomanbieters Europas trotz Vorwarnung so reagieren? Und überhaupt, gibt es nicht eine seltsame Häufung an Hackerangriffen: Diskutiert die Welt nicht gerade auch, dass russische Cyberpiraten den US-Wahlkampf durcheinanderbrachten? Und waren nicht erst vor Kurzem massenweise Onlinekameras in heimischen Wohnzimmern gekapert worden?
Willkommen im Cyberkriegsjahr 2016, in dem Internetattacken nicht mehr die Ausnahme, sondern zur täglichen Realität geworden sind. Verbraucher wie Unternehmen und Staaten geben Milliarden Euro für die Sicherheit im Netz aus, aber das Netz ist weit davon entfernt, zu einem sicheren Ort zu werden.
Angriffsziele von aufsehenerregenden Cyberangriffen
Im Dezember 2015 fiel für mehr als 80.000 Menschen in der Ukraine der Strom aus. Zwei große Stromversorger erklärten, die Ursache sein ein Hacker-Angriff gewesen. Es wäre der erste bestätigte erfolgreiche Cyberangriff auf das Energienetz. Ukrainische Behörden und internationale Sicherheitsexperten vermuten eine Attacke aus Russland.
Im Februar 2016 legt ein Erpressungstrojaner die IT-Systeme des Lukaskrankenhauses in Neuss lahm. Es ist die gleiche Software, die oft auch Verbraucher trifft: Sie verschlüsselt den Inhalt eines Rechners und vom Nutzer wird eine Zahlung für die Entschlüsselung verlangt. Auch andere Krankenhäuser sollen betroffen gewesen sein, hätten dies aber geheim gehalten.
Ähnliche Erpressungstrojaner trafen im Februar auch die Verwaltungen der westfälischen Stadt Rheine und der bayerischen Kommune Dettelbach. Experten erklären, Behörden gerieten bei den breiten Angriffen eher zufällig ins Visier.
In San Francisco konnte man am vergangenen Wochenende kostenlos mit öffentlichen Verkehrsmitteln fahren, weil die rund 2000 Ticket-Automaten von Erpressungs-Software befallen wurden. Laut einem Medienbericht verlangten die Angreifer 73 000 Dollar für die Entsperrung.
Im Mai 2015 fallen verdächtige Aktivitäten im Computernetz des Parlaments auf. Die Angreifer konnten sich so weitreichenden Zugang verschaffen, das die Bundestags-IT ausgetauscht werden. Als Urheber wird die Hacker-Gruppe APT28 vermutet, der Verbindungen zu russischen Geheimdiensten nachgesagt werden.
Die selbe Hacker-Gruppe soll nach Angaben amerikanischer Experten auch den Parteivorstand der Demokraten in den USA und die E-Mails von Hillary Clintons Wahlkampf-Stabschef John Podesta gehackt haben. Nach der Attacke im März wurden die E-Mails wirksam in der Schlussphase des Präsidentschaftswahlkampfs im Oktober 2016 veröffentlicht.
APT28 könnte auch hinter dem Hack der Weltdopingagentur WADA stecken. Die Angreifer veröffentlichen im September 2016 Unterlagen zu Ausnahmegenehmigungen zur Einnahme von Medikamenten, mit einem Fokus auf US-Sportler.
Ein Angriff, hinter dem Hacker aus Nordkorea vermutet wurden, legte im November für Wochen das gesamte Computernetz des Filmstudios lahm. Zudem wurden E-Mails aus mehreren Jahren erbeutet. Es war das erste Mal, dass ein Unternehmen durch eine Hackerattacke zu Papier und Fax zurückgeworfen wurde. Die Veröffentlichung vertraulicher Nachrichten sorgte für unangenehme Momente für mehrere Hollywood-Player.
Bei dem bisher größten bekanntgewordenen Datendiebstahl verschaffen sich Angreifer Zugang zu Informationen von mindestens einer Milliarde Nutzer des Internet-Konzerns. Es gehe um Namen, E-Mail-Adressen, Telefonnummern, Geburtsdaten und verschlüsselte Passwörter. Der Angriff aus dem Jahr 2014 wurde erst im vergangenen September bekannt.
Ein Hack der Kassensysteme des US-Supermarkt-Betreibers Target macht Kreditkarten-Daten von 110 Millionen Kunden zur Beute. Die Angreifer konnten sich einige Zeit unbemerkt im Netz bewegen. Die Verkäufe von Target sackten nach der Bekanntgabe des Zwischenfalls im Dezember 2013 ab, weil Kunden die Läden mieden.
Eine Hacker-Gruppe stahl im Juli 2015 Daten von rund 37 Millionen Kunden des Dating-Portals. Da Ashley Madison den Nutzern besondere Vertraulichkeit beim Fremdgehen versprach, erschütterten die Enthüllungen das Leben vieler Kunden.
Im Frühjahr 2016 haben Hacker den Industriekonzern Thyssenkrupp angegriffen. Sie hatten in den IT-Systemen versteckte Zugänge platziert, um wertvolles Know-how auszuspähen. In einer sechsmonatigen Abwehrschlacht haben die IT-Experten des Konzerns den Angriff abgewehrt – ohne, dass einer der 150.000 Mitarbeiter des Konzerns es mitbekommen hat. Die WirtschaftsWoche hatte die Abwehr begleitet und einen exklusiven Report erstellt.
Im Mai 2017 ging die Ransomware-Attacke "WannaCry" um die Welt – mehr als 200.000 Geräte in 150 Ländern waren betroffen. Eine bislang unbekannte Hackergruppe hatte die Kontrolle über die befallenen Computer übernommen und Lösegeld gefordert – nach der Zahlung sollten die verschlüsselten Daten wieder freigegeben werden. In Großbritannien und Frankreich waren viele Einrichtungen betroffen, unter anderem Krankenhäuser. In Deutschland betraf es vor allem die Deutsche Bahn.
Um zu verstehen, wie das alles zusammenhängt, muss man weit zurück in die Geschichte des Netzes gehen. Man stößt dabei auf eine Historie der verpassten Gelegenheiten, widersprüchlicher politischer Interessen und Unternehmen, die immer wieder viel zu lax mit ihrer Verantwortung umgehen. Klar wird: Unser ständig vernetztes Leben ist auch eines im permanenten Zustand der Verwundbarkeit.
Ein Netz voller Unzulänglichkeiten
Der Sündenfall passiert, wenn man so will, schon in der Urgeschichte des Netzes. Einst wurde es als militärisches Forschungsprojekt erfunden, damit Daten frei verschickt werden konnten, von Computer zu Computer. 1969 war das noch eine Revolution. Am Grundprinzip, dem möglichst freien, unkomplizierten und raschen Datenverkehr, hat sich bis heute nichts geändert.
Dabei wurde das Netz als „dumme“ Leitung konzipiert und sollte nur dem Datentransport dienen. Dafür sollten seine Außenposten „intelligent“ gesteuert werden, also die daran angeschlossenen Computer. Nur: In der Welt seiner Erfinder kam nicht vor, dass eines Tages User andere User angreifen würden. Genau das passiert heute aber massenweise. Im Fall der Attacken auf die Telekom-Router wurden die Geräte im Minutentakt von Hackern attackiert.
Experten gehen davon aus, dass die Attacke nicht nur in Deutschland stattfand, sondern weltweit Hunderttausende Router betraf und meist erfolgreich infizieren konnte – bis nach Brasilien oder der Türkei. Das Fazit von Lion Nagenrauft, Cybersecurity-Analyst beim deutschen IT-Sicherheitsdienstleister iT-Cube: „Hätte sie nicht ab Sonntag zum flächendeckenden Ausfall der Telekom-Geräte geführt, wäre die neue globale Angriffswelle womöglich weitgehend unbemerkt geblieben.“
Denn der Angriff erfolgte über ein Mirai genanntes Netzwerk aus gekaperten Computern. Als die Telekom den Hackercode entziffert hat und in ihrem Netz den Zugriff auf die Server blockt, von denen aus das Mirai-Botnetz seine Angriffssoftware auf die Router laden will, weichen die Hacker auf andere Server aus, über die sie ihre Software verbreiten. Erst als Tschersich den Datenverkehr mit den Routern radikal beschneidet und im Zusammenspiel mit dem Fernwartungsmodul nur noch Verbindungen zu den Geräten zulässt, die aus dem Netz der Telekom stammen, beginnt sich die Lage zu stabilisieren. Mittwochnachmittag haben der Sicherheitschef und seine Spezialisten endlich die Lage im Griff.
Lieber schnell als sicher
Sicherheit im Netz ist teuer. Und im Widerstreit zwischen Sicherheit und Schnelligkeit entscheiden sich viele Unternehmen seit Jahren eher für Letzteres. Das Ergebnis: Selbst ein Konzern wie die Telekom, der sich als Sicherheitsvorreiter in Europa positioniert, braucht drei Tage, um eine solche Lücke weitgehend zu schließen. Und am Mittwoch gibt es noch immer ein paar Zehntausend Kunden, in deren Wohnzimmer die Router machen, was sie wollen.
Dabei böte die Netzgeschichte Telekom und Co. anschaulichen Lehrstoff. Es war ein Nerd namens Marc Andreessen aus der amerikanischen Provinz, der 1993 den Webbrowser Mosaic auf den Markt brachte. Wenige Zeit später wird er als Netscape Navigator als erster massentauglicher Browser in die Techgeschichte eingehen. Von da an steigt das Netz vom Experimentierfeld für Militär und Wissenschaftler zum wichtigsten Kulturgut der Neuzeit auf.
Und 1995 will auch ein gewisser Bill Gates, Microsoft-Chef, den Trend nicht länger verpassen. In einem Memo 1995 warnt er seine Führungstruppe, das Internet sei ein Tsunami, den es mitzureiten gelte. Microsoft müsse „über Bord mit Internetfeatures gehen“. Sicherheit kommt in dem Memo auch vor, aber eher als Randaspekt.
Der Konzern überschwemmt die User fortan mit neuen Features, und alle anderen Anbieter machen es ihm nach. Gibt es ein Problem mit Sicherheitslücken, gilt in der Branche die Devise: „patch and pray“ – verarzten und beten. Erste Hackergruppen wie Lopht kritisieren schon damals, die Konzerne würden für das schnelle Geschäft die Sicherheit der Nutzer opfern. Nur keiner hört zu.
Diese Branchen sind am häufigsten von Computerkriminalität betroffen
Der Branchenverband Bitkom hat Anfang 2015 in 1074 Unternehmen ab 10 Mitarbeitern danach gefragt, ob das jeweilige Unternehmen innerhalb der letzten zwei Jahre von Datendiebstahl, Wirtschaftsspionage oder Sabotage betroffen war. Gut die Hälfte der befragten Unternehmen gaben an, tatsächlich Opfer von IT-gestützter Wirtschaftskriminalität geworden zu sein.
Quelle: Bitkom/Statista
Stand: 2015
Im Handel wurden 52 Prozent der befragten Unternehmen in den vergangenen zwei Jahren Opfer von Cyber-Kriminalität.
58 Prozent der befragten Unternehmen in der Medien- und Kulturbranche gaben an, in den letzten zwei Jahren Computerkriminalität erlebt zu haben. Ebenso viele Unternehmen aus der Gesundheitsbranche klagten über IT-Kriminalität.
Das Finanz- und Versicherungswesen ist ein lohnendes Ziel für Hacker, Wirtschaftsspione und Datendiebe: 60 Prozent der befragten Unternehmen konnten von Datendiebstahl oder ähnlichem während der vergangenen zwei Jahre berichten.
Fast zwei Drittel der Unternehmen der Chemie- und Pharmabranche hatten in den vergangenen zwei Jahren mit Datendiebstahl, Wirtschaftsspionage oder Sabotage zu kämpfen.
Auf Platz 1: Der Automobilbau. 68 Prozent der Autobauer klagten über Wirtschaftskriminalität in Form von Datendiebstahl, Wirtschaftsspionage oder Sabotage.
Erst als Microsoft aufgrund der immer beharrlicher werdenden Computer-Würmer und Spam-Mails sein Geschäftsmodell gefährdet sieht, bringt der Konzern 2010 eine Windows-Version auf den Markt, die als einigermaßen sicher gilt. Zehn Jahre lang hatten Cyberkriminelle freie Fahrt.
Diese uralte Software-Ingenieurs-Denke, wonach man bei der Sicherheit ja nachträglich nachbessern kann, bedroht noch heute unseren Routeranschluss. Und sie stellt unsere Zukunft im Netz infrage, in der wir Autos und Elektrizitätswerke übers Netz laufen lassen wollen und eines Tages sogar Wahlen online abhalten wollen.
Denn heute sind es die Zahnbürsten, Kameras, Fernseher und Kühlschränke, die sich wie einst Windows rasant über die Erde in jeden Haushalt hinein verbreiten und dabei ständig online sind. Prognosen des Netzwerkausrüsters Ericsson zufolge werden bis 2022 bis zu 29 Milliarden solcher ans Netz angeschlossene neue Internetaußenposten existieren. Doch diese werden nicht immer intelligenter, sondern dümmer: Im Oktober, beim großen Mirai-Angriff, der Amazon, Netflix oder Twitter lahmlegte, wurde der Öffentlichkeit erklärt: Viele der Internetgeräte sind nur mit einem Standard-Sicherheitsschlüssel versehen, der sich nicht manuell ändern lässt. Sicherheitsupdates sind bei vielen erst gar nicht möglich. Selbst bei Windows, dem für lange Zeit anfälligsten Betriebssystem des Planeten, sind regelmäßige Updates heute Standard.
Juristisches Vakuum
Bei analogen Gütern wie etwa Autos und Flugzeugen schaffen längst strenge Haftungsregeln für den Schadensfall bei den Herstellern einen Anreiz, in Sicherheit zu investieren. Für Internettechnik ist dagegen ein Rechtsvakuum entstanden, das Bundeswirtschaftsminister Sigmar Gabriel in seiner „Digitalen Agenda 2025“ nun endlich schließen will: Er fordert „weitere gesetzliche Regelungen wie Produkthaftungsregeln für IT-Sicherheitsmängel und Sicherheitsvorgaben für Hard- und Softwarehersteller“. Nach der Attacke auf die Telekom-Router ruft nun selbst der politische Gegner dazu auf, etwa Thomas Jarzombek, netzpolitischer Sprecher der Unionsfraktion, die Unternehmen müssten stärker „in die Pflicht“ genommen werden.
Die Wahrheit aber ist auch: Die Politik hat seit jeher ein gespaltenes Verhältnis zum Internet. Als Anfang der Siebzigerjahre immer mehr Hochschulen ans Netz gingen, musste ein neues Steuerungsprotokoll her, damit alle Computer, egal, mit welcher Hard- und Software ausgestattet, miteinander kommunizieren konnten: Das TCP/IP-Protokoll entstand. Schon damals überlegten seine Erfinder, darin Verschlüsselungstechniken einzubauen, um die Sicherheit zu erhöhen. Doch das war kompliziert und teuer. Vor allem aber brachte die US-Sicherheitsbehörde NSA Einwände ein, recherchierte im vergangenen Jahr die „Washington Post“. Und das Internet wurde zu dem offenen Kommunikationssystem, das es bis heute geblieben ist: für ehrliche Nutzer und Cyberkriminelle, die sich so anonym bewegen können.
„Viele Eigenschaften der Internetstruktur sind nicht mehr zeitgemäß. Einige Komponenten wurden ohne sonderliches Augenmerk auf Sicherheit entwickelt und haben sich bis heute gehalten. Das würde man heute vermutlich anders machen“, sagt Thomas Krauß, Sicherheitsexperte, der Konzernen beim Auffinden von Sicherheitslücken hilft. Und auch bei der Bundesregierung ist bis heute die Lage komplizierter, als es nach außen erscheinen mag: IT-Sicherheit ist uns ein Anliegen, heißt es.
Das Zehn-Punkte-Programm der Telekom zur Cyber-Sicherheit
Die Erkenntnisse, die Edward Snowden zur Verfügung gestellt hat, müssen vollständig offengelegt und zugänglich gemacht werden. Nur so können mögliche Schwachstellen im Netz identifiziert und unverzüglich geschlossen werden.
Innerhalb der EU sollten die Mitgliedsländer auf gegenseitiges Ausspionieren des Telekommunikations- und Internetverkehrs verzichten. Auch mit den USA sollte weiterhin ein Abkommen über einen Spionage-Verzicht angestrebt werden.
Sicherheitsbehörden sollten transparent machen, welche Informationen sie über Telekommunikations- und Internetnutzer abfragen. Dazu gehören Anzahl und Art der erfolgten Anfragen und Auskünfte sowie der überwachten Anschlüsse.
Unternehmen müssen Transparenz über Sicherheitsstandards und erfolgte Angriffe schaffen. Nur durch gegenseitige Ergänzung wird ein möglichst umfassender Schutz vor Cyberangriffen erreicht. Die Telekom hat ihre technischen Sicherheitsstandards unter www.telekom.com/sicherheit veröffentlicht und macht Cyberangriffe unter www.sicherheitstacho.eu transparent.
Forschung und Bildung zu Cybersicherheitsthemen müssen verstärkt werden. Die Telekom richtet einen Lehrstuhl für Datenschutz und Datensicherheit an der Hochschule für Telekommunikation in Leipzig ein. Mit der Plattform Teachtoday.de stellt die Telekom zudem Unterrichtsmaterialien für Schulen zum Themenkomplex Sicherheit und Datenschutz bereit.
Analytik und Forensik zur Netzsicherheit müssen verstärkt werden. Dafür sollten die Cyber Emergency Response Teams (CERT) in den Unternehmen ausgebaut und enger verzahnt werden. Neben der Verstärkung ihres Teams fördert die Telekom die Ausbildung von Spezialisten: Gemeinsam mit der IHK Köln wurde 2014 ein neues Qualifikationsprogramm „Cyber Security Professional“ geschaffen. Die Telekom wird in den nächsten Jahren mehrere hundert Mitarbeiter zu IT-Sicherheitsexperten weiterqualifizieren.
Perspektivisch sollten die Inhalte auf dem Übertragungsweg Ende zu Ende verschlüsselt werden. Hier sind Hersteller, Netzbetreiber und Diensteanbieter gleichermaßen gefordert, einfache Lösungen für Kunden zu entwickeln. Die Telekom setzt sich bei den Standardisierungsgremien für einheitliche Verschlüsselungstechniken ein.
Netzbetreiber dürfen sich nicht von einzelnen Herstellern kritischer Infrastrukturkomponenten abhängig machen. Die Telekom führt für diese Elemente eine so genannte georedundante Dual-Vendor-Strategie ein. Bei kritischen Komponenten setzt die Telekom Produkte von mindestens zwei Herstellern aus unterschiedlichen geographischen Regionen ein.
Hersteller von Hard- und Software müssen genauso wie Netz- und Diensteanbieter bekannte Schwachstellen unverzüglich beseitigen. Die Telekom wird ihre Zulieferer dazu verpflichten. Bei besonders kritischen Komponenten sollte die Sicherheit der Produkte durch eine unabhängige Prüfstelle nachgewiesen werden. Das IT-Sicherheitsgesetz sowie die entsprechende Richtlinie der EU sollten das aufgreifen.
Daten dürfen beim Transport durch das Internet keine Umwege durch andere Rechtsräume nehmen. Im Telekom-Netz ist das Internet der kurzen Wege bereits realisiert. Diesen Ansatz will die Telekom mit einer Selbstverpflichtung aller Internetprovider weiter vorantreiben. Damit würde ein unberechtigter Zugriff auf die in Europa transportierten Daten von außerhalb deutlich erschwert.
Andererseits nutzen auch deutsche Nachrichtendienste die Sicherheitslücken, um ihre Arbeit zu machen. Wenn die Türen zugemacht würden, dann auch für Geheimdienste. In der Hackerszene ist das längst bekannt. „Die Nachrichtendienste wägen dann ab: Wie viele Menschen sind durch die Sicherheitslücke gefährdet? Und wie wahrscheinlich ist es, dass auch andere Hacker sie gefunden haben?“, sagt Sicherheitsexperte Krauß.
Ist Berlin nicht sensibilisiert genug? Erst die NSA-Abhöraffäre und Spionage auf Servern des Bundestags im vergangenen Jahr, wofür deutsche Sicherheitsexperten den russischen Militärgeheimdienst GRU verantwortlich machen, haben Berlin aufgeschreckt: Das Auswärtige Amt hat inzwischen einen Cyberbeauftragten. Auch das Innenministerium als federführendes Amt baut seine Expertise aus. Und das lange von Industrieverbänden bekämpfte IT-Sicherheitsgesetz verpflichtet die Unternehmen nun, jede größere Attacke an das BSI zu melden.
Angela Merkel wurde 2013 verhöhnt, als sie sagte, das Internet sei „für uns alle Neuland“.
Der Satz klingt so naiv – und trifft doch zu. Kenzo2017, Sicherheitshüter Thomas Tschersich und 900.000 Telekom-Kunden haben das gerade erst wieder erlebt.