Die Welt befindet sich in einem Cyberkrieg mit vielen internationalen Akteuren, wechselnden Allianzen und einem unklaren Frontenverlauf. Voraussetzung für einen erfolgreichen Cyberangriff ist eine genaue Kenntnis der gegnerischen Systeme. Nur wenn der Angreifer und seine Motive bekannt sind, lässt sich entscheiden, ob und wie gegen ihn vorgegangen werden kann, sagt Constanze Kurz. Die promovierte Informatikerin arbeitet in der Redaktion von netzpolitik.org und schreibt in der FAZ regelmäßig die Kolumne „Aus dem Maschinenraum“. Gemeinsam mit dem Computer-Sicherheitsexperten Frank Rieger, Sprecher des Chaos Computer Clubs und Mitgründer erfolgreicher deutscher Startup-Unternehmen in den Bereichen Datensicherheit, Navigationsdienste und E-Reading, schrieb sie das Buch „Cyberwar“.

Um verständlich zu machen, warum unsere Software und Hardware so verwundbar sind, erklären sie, welche Schwachstellen digitale Angreifer typischerweise ausnutzen und wie sie beim Bau ihrer Cyberwaffen vorgehen: „Nur wenn man weiß, wie Cyberangriffe funktionieren, kann man lernen, mit der Gefahr aus dem Netz sinnvoll umzugehen, und herausfinden, welche politischen Entscheidungen jetzt gefällt werden müssen.“ Standards einzuführen, um die Sicherheit gegen technisches Versagen zu verbessern, ist nach Ansicht der Experten prinzipiell einfacher, als technische Systeme gegen Angriffe durch Menschen zu schützen.

Die Autoren machen Staaten wie die USA und ihre engsten Verbündeten, Russland, China, Israel sowie Kriminelle und „aktivistische Hacker“ als aktivste Teilnehmer des sich ständig ausweitenden „Cyberkriegs“ aus. Es gebe keinen wirksamen Schutz gegen die Attacken: „Möglich ist ein Angriff praktisch in jeden Fall.“ Es sei nur die Frage des zeitlichen Aufwands und der Kosten. Deshalb müsse Deutschland viel mehr in die Verteidigung gegen die digitalen Angriffe investieren. Offensive Cyberabwehr lehnen die Experten allerdings ab, denn Deutschland hat eine Verteidigungsarmee – deshalb sei es nicht möglich, ohne Beschluss des Parlaments zurück zu hacken. Um Cyberkonflikte einzudämmen, seien internationale Konventionen notwendig. Sie fordern bessere Verschlüsselungstechniken zum Schutz gegen virtuelle Spionage und mehr Verantwortung von Herstellern von Hard- und Software, die für die Sicherheitsstandards ihrer Produkte stärker in Haftung genommen werden sollten.

Die IT-Branche folgt den Regeln des Marktes, der auch mit den Geldern von Kriminellen, Geheimdiensten oder Militärs geflutet wird. Gängige Ware sind hier offene Sicherheitslücken („Exploits“), gestohlene Daten über fremde Netzarchitekturen und komplexe Cyberwaffen. Nach dem Baukastenprinzip werden in den westlichen Geheimdienstzentralen Computer-Codes zusammengesetzt, die fremde Systeme infiltrieren, ihnen die Zugangsrechte auf den wichtigsten Software-Ebenen verschaffen und dann die betroffenen Rechner ausspähen, manipulieren oder unbrauchbar machen. Dabei kaufen die Geheimdienste die Exploits von spezialisierten Zulieferern und hacken Server von Unbeteiligten, um sie später heimlich als „Sprungbretter“ für ihre Angriffe zu benutzen.

Um ihre Erfolgsquote zu erhöhen, betreiben die „Cyber-Waffenschmiede“ einen enormen Ressourcenaufwand, um die Schwachstellen im Netz auszukundschaften und Hintertüren in PC-Komponenten sowie Software einzubauen. Dabei zwingen sie zuweilen auch die Hersteller, mit ihnen zu kooperieren: „So wurde der Wannacry-Angriff von 2017 offenbar nur möglich, weil der US-Geheimdienst NSA eine Windows-Lücke entdeckt und eine spezielle Software gebaut hatte, die Zugriff auf die Rechner mit dem ‚löchrigen‘ Betriebssystem ermöglichte. Einige Hacker sollen dann aber NSA-Dateien erbeutet und ins Netz gestellt haben – wonach vermutlich Kriminelle den passenden Trojaner entwickelten und für ihre Zwecke einsetzten.“

Datendiebstahl, Spionage und Sabotage sind für Unternehmen ein großes Problem, denn eine umfassende Prozessautomatisierung und das Agieren in Ökosystemen mit Partnern, Lieferanten und Kunden gehen mit einer Vernetzung von IT und IP-basierten Geräten Hand in Hand. Auch bieten Cloud-Computing, Internet der Dinge (IoT), Virtualisierung, offene Schnittstellen (API) und IT-Systeme Angriffspunkte, die intelligent abgesichert werden müssen. Besonders gefährdet sind „kritische Infrastrukturen“ wie Verkehrsnetze, Telekommunikation, Energiekonzerne, Wasserwerke, Krankenhäuser und Banken. Laut Digitalverband Bitkom entsteht der deutschen Wirtschaft durch Cyberkriminalität ein jährlicher Schaden von 55 Milliarden Euro.

Bei vernetzten Maschinen haben Kriminelle über das Internet nicht mehr nur bessere Möglichkeiten, auf einen Computer im Unternehmen zuzugreifen, sondern können in Einzelfällen auch sogar den gesamten Maschinenpark attackieren. Das betrifft auch Daten, die die Basis von Geschäftsmodellen sind. Vor diesem Hintergrund sind Unternehmen, die Sicherheitsprodukte und -dienstleistungen verkaufen, in den letzten Jahren zu einem immer wichtigeren Faktor in Cyber-Auseinandersetzungen geworden. Die größten Firmen geben im Schnitt über vierzig Prozent ihres Umsatzes für Marketing aus. Kaspersky in Russland, Symantec und Fireeye in den Vereinigten Staaten, die NCC Group in Großbritannien, Trend Micro in Japan, F-Secure in Finnland, G Data und Avira in Deutschland, Bitdefender in Rumänien, ESET in der Slowakei, Amnpardaz Padvish in Iran, Avast und TrustPort in Tschechien, Check Point in Israel, Panda in Spanien, Qihoo 360 in China. Alle pflegen enge Beziehungen zu den Behörden ihres jeweiligen Herkunftslands. „Um die zentrale Rolle dieser Sicherheitsfirmen zu verstehen, muss man sich vor Augen halten, dass Software, die Computer sichern soll, besonders weitgehende Zugriffsrechte hat. Sie muss – oft unter Umgehung von Sicherheitsmaßnahmen des Betriebssystems – alle Dateien lesen und Vorgänge auf dem System beobachten können, um eine Chance zu haben, Schadsoftware zu erkennen.“

Unabdingbare Voraussetzung für die nachhaltige Verbesserung der Softwaresicherheit ist es nach Ansicht der Autoren, dass sichere Programmiertechniken und konzeptionelle Sicherheit in der Breite Eingang in die Informatikausbildung finden. In einem ersten Schritt sollte gelehrt werden, wie ein Angreifer denkt, denn: „Wer weiß, wie unsichere Software ausgenutzt werden kann, und danach lernt, wie man solche Programmierfehler vermeidet, ist weitaus besser in der Lage, später in seinem eigenen Code weniger Sicherheitslücken zu hinterlassen.“ Ebenso lassen sich die Grundsätze, wie sich sichere Systemarchitekturen konzipieren lassen, praxisnah lehren. Unbedingt sollte es in der Ausbildung darum gehen, Sicherheit von Beginn an mitzudenken, denn später Lücken zu stopfen ist alles andere als nachhaltig. Dieses Handwerk braucht absolute Sorgfalt, ist erlernbar und trainierbar. Es geht um defensive nachhaltige Cyberstrategien, „die den Stand der Sicherheit digitaler Systeme verbessert statt Flickschusterei zu betreiben.“

Dieser Text ist zuvor als Insider-Artikel auf Xing veröffentlicht worden.