Carsten Roemheld: Wer angegriffen wird, will sich verteidigen, das ist ja klar! Digitale Gegenschläge aber sind äußerst gefährlich, warnt Manuel Atug. Er ist Experte für Cybersicherheit und heute im Podcast mein Gast. Staaten, sagt Atug, könnten Gegenschläge nämlich als kriegerischen Akt werten und wiederum mit neuen Angriffen reagieren. Davon abgesehen ist bei einem sogenannten Hackback, also einem Zurückschlagen nach einem Cyberangriff, das Risiko von Kollateralschäden extrem groß. Statt Angriff wäre also Abwehr angesagt, sagt der profilierte Experte.
Etwa, indem die Bundesregierung keine kritische Infrastruktur mehr ans Ausland verkauft, indem sie US-amerikanische Cloud-Systeme meidet oder Seekabel in ihren Besitz bringt. Der Bund sollte nach Meinung von Manuel Ertug auch weniger Schwachstellen-Management betreiben, sondern mehr verbindliche Regeln schaffen und Unternehmen wie Institutionen zwingen, Lücken in IT-Systemen zu melden. Über diese und weitere Themen rund um unsere Sicherheit spreche ich mit Manuel Atug im zweiten Teil unseres Kapitalmarkt-Podcasts.
Herr Atug, klären Sie uns zum Start bitte mal auf: Im September detonierten die deutsch-russischen Nord-Stream-Pipelines in der Ostsee. Kurz darauf wurden Glasfaserkabel der deutschen Bahn gekappt, wodurch wesentliche Teile des Flugverkehrs zum Erliegen kamen. Vermuten Sie bestimmte Drahtzieher hinter diesen Anschlägen? Und ist es für Sie überhaupt relevant, wer dahintersteckt? Oder kommt es vielmehr darauf an, kritische Infrastruktur gegen alle möglichen Attacken zu schützen?
Manuel Atug: Also, dass jemand im Meer Unterwasserpipelines sprengt, das deutet schon sehr auf nachrichtendienstliche oder staatliche Akteure hin. Dass man es nicht sauber attribuieren kann auf die Russen, deutet ja auch darauf hin, dass es eben noch nicht ermittelt ist und gesicherte Erkenntnis ist. Vermuten kann man viel. Gerade in der aktuellen Zeit würden natürlich auch andere staatliche Akteure sagen: „Wenn wir da jetzt agieren, ist es ja offensichtlich, dass es die Russen sein würden. Ein super Deckmantel, unter dem kann ich alles tun!“ Genauso wie ja die prorussische Killnet-Truppe oder eben auch die proukrainische Anonymous als Kollektiv natürlich ein hervorragendes Gewässer [sind], in dem Nachrichtendienst oder eben staatliche Akteure sagen können: „Wir tun so, als wären wir jetzt Killnet oder Anonymus und machen was und versuchen, das denen zuzuordnen, und da können wir natürlich wunderbar agieren. Das ist eine wunderbare Tarnfunktionalität.“
Wenn man sich den wahren Angriff der Trassentrennung, dieser Kabeltrennung, dieser Glasfasertrennung, anschaut: Also für die Bahn ist das kein Neuland, die haben tagtäglich mit Kabeltrennungen zu tun. Das passiert aus vielerlei Gründen. Es gibt schon seit vielen, vielen Jahrzehnten Sabotage gegen diese Bereiche, weil, beispielsweise wenn es politische Saboteure sind, aus dem linken oder rechten Spektrum, dann wird oftmals, wenn demonstriert oder radikaler vorgegangen wird, gegen den deutschen Staat, in der Vergangenheit sehr oft gegen die Bahn, vorgegangen, weil die Bahn sozusagen die Repräsentanz des deutschen Staates ist und die Verletzlichkeit zeigt. Das heißt, auch bei den Castor-Transporten oder bei sonstigen Maßnahmen, irgendwelchen Gipfeln in Deutschland oder so gab‘s immer auch Angriffe gegen die Bahn und gegen ihre Infrastruktur, um eben den Staat anzugreifen.
Das heißt, politische Akteure können das sein aus dem linken, rechten Spektrum. Es können genauso sein: Querdenker und andere verwirrte Spinner; weil dieses Querdenkertum halt echt eine schwachsinnige faktenfreie Radikalisierung von Menschen mit sich bringt. Wir haben ja teilweise Leute, die meinen, wir werden von Mini-Chips per 5G-Funknetz kontrolliert, die in unseren Blutbahnen sind, und gehen dann hin und zünden Mobilfunkmasten an oder trennen dort die Kabel durch. Ironischerweise in den letzten Jahren sehr oft an den Stellen, wo noch nicht 5G auf dem Mobilfunkmast montiert wurde. Also das ist wirklich faktenfrei und sinnlos, was da passiert.
Und diese Menschen können natürlich auch einen solchen Angriff machen. Nachrichtendienstlich oder staatlich kann das auch jeder mögliche Staat sein, der ein Interesse hat, da Unsicherheiten in Europa, in Deutschland oder wo auch immer einzubringen. Und die Bahn hat zum Beispiel auch ganz banal am allermeisten mit Kabeldurchtrennungen zu tun durch den sogenannten Baggerbiss. Das ist in der Versicherungsbranche bekannt: Ein Bagger hat ein Kabel durchtrennt bei Baggeraushubarbeiten, Tiefbauarbeiten. Das passiert tagtäglich dutzendfach in ganz Deutschland: bei Strom, bei Wasser, bei Telekommunikationskabeln, bei Bahnen. Insofern ist das auch nichts Neues.
Und die Bahn hat ja auch gezeigt, dass sie bei diesen zwei großen Durchtrennungen, es waren ja viele Glasfasern, die da durchtrennt waren, und jedes einzelne muss man spleißen, so nennt man das, also zwei Glasfaserecken sauber abschneiden und aufeinanderkleben, sodass das Licht, was da durchgeht, nicht gebrochen wird in ein Prisma oder so, sondern wirklich eins zu eins durchgeht. Dafür braucht man Schweißgerät und ausgebildete MitarbeiterInnen, die das bedienen können. Die Bahn hatte ja offensichtlich einige zur Hand, die innerhalb von, ich weiß gar nicht mehr, drei, vier Stunden dafür gesorgt haben, dass das alles wieder repariert war.
Das heißt, im Notfallmanagement hat die Bahn Endstörtrupps parat, die damit tagtäglich agieren und gesagt haben: „Ja gut, das ist jetzt eine größere Trennung, und zwar an zwei relevanten Stellen. Das ist schon ein bisschen fieser, aber da können wir uns drum kümmern und haben es auch gemacht.“ Hätten wir jetzt mehr Endstörtrupps an mehr Stellen in Deutschland, die 24/7 verfügbar sind und Material haben, dann wäre es sogar noch schneller gefixt gewesen. Und so wie ich eingangs erklärt habe, wäre dann eben dieses Ereignis nur eine kleine Störung und nicht eine kleinere Krise.
Was hat unsere Innenministerin als Gegenmaßnahme vorgeschlagen? Wir stellen tausend Bundespolizeibeamte ein. – Die stellen sich dann bei mehreren 100 Kilometern Kabeltrassen dahin und bewachen die dann … oder so?! Ich meine, ich suche mir dann halt eine andere Ecke. Oder wenn die mich in flagranti erwischen: Ja, sollen die mich erschießen, oder was?! Also keine Ahnung, was da die Logik ist. Ich hätte eher gesagt: Na ja, 1000 Endstörtrupp-MitarbeiterInnen würden ja Sinn machen … gut, 1000 vielleicht nicht, aber [in die Richtung], ne. Also das ist populistisch und sinnfrei, aber wirkt natürlich schön für die Bevölkerung zur Beruhigung, hat aber überhaupt keinen Schutzmehrwert. Aber es wurde klar gesagt: Das hilft dann gegen Sabotage. – Nein, hilfts nicht! Also wirklich null.
Die andere Maßnahme war: Wir bauen dann überall an diesen Trassen Kameraüberwachung auf und dann verhindern wir die Angriffe, weil wir es filmen. – Ja gut, also da trennt jemand ein Kabel durch. Dann wissen wir, die Bahn kann nicht mehr fahren, weil die Kommunikation unterbrochen ist. Es steht alles. Wir sagen: „Okay, wir brauchen den Abschnitt so und so zu dem Zeitpunkt und gucken da rein und sehen tatsächlich ein bis drei maskierte TäterInnen, die irgendwie ein Kabel durchtrennen, und zwar mit einer, weiß ich nicht, Seitenzange, wo die Schnittkante genauso aussieht. Eine bahnbrechende Erkenntnis! Aber auch: Hat nicht die Sabotage verhindert, gewöhnt aber die Leute an die Überwachung und ist wieder populistisch.
Also das sieht man, dass der Schutz gegen sabotagekritische Infrastrukturen nicht eine Diskussion über Täter ist, sondern über: Wie kann ein Ereignis möglichst störungsfrei ablaufen? Und da sind wir bei den Sicherheitsbehörden [bei] null und nada.
Carsten Roemheld: Es scheint, dass die politischen Akteure manchmal ein bisschen sehr weit weg sind vom Alltag und sollten sich ein bisschen besser beraten lassen wahrscheinlich bei dem, was man für Maßnahmen dann am Schluss ergreift – vielleicht von Leuten wie Ihnen zum Beispiel!
Manuel Atug: Ja, wir waren ja beispielsweise als AG KRITIS in der Anhörung im Bundestag für das IT-Sicherheitsgesetz 2.0, wo ja der Schutz kritischer Infrastrukturen im Vordergrund stand. Und wir sind ja wie fünf andere Sachverständige, also ich persönlich, wir waren ja präsent und haben sehr viele Anregungen in unseren Stellungnahmen eingebracht, wie man das Gesetz verbessern kann, was Maßnahmen sind, die wirklich die Sicherheit erhöhen. Und die GroKo, also im Wesentlichen die CDU/CSU, die das ja geleitet hat, hat halt gesagt: „Danke fürs Gespräch, wir ignorieren eure Expertenmeinungen und lassen das Gesetz so, wie es ist. Danke fürs Gespräch. Die Anhörung war ja dekorativ. Wir machen halt weiter wie bisher.“
Und deswegen ist das Gesetz, na ja, so schlecht, wie es ist, und wurde nicht verbessert, obwohl ExpertInnen eingeladen wurden. Jetzt am 25., und zwar noch mal im Bundestag, da bin ich als Sachverständiger für die AG Kritis geladen für die Cybersicherheit. Das wird wieder ein buntes Potpourri. Die Ampel hört schon eher zu, aber wie gesagt: Vieles davon macht das Innenministerium. Und Frau Faeser und das Innenministerium scheinen noch sehr auf dem Digital-Kompetenzniveau eines Faxgeräts zu agieren.
Carsten Roemheld: Das passt ja! [lacht]
Manuel Atug: Und das ist halt schwierig, solchen Menschen dann noch zu erklären, was hat Digitalisierung für einen Impact; was bedeutet denn Schutz kritischer Infrastrukturen oder der Wirtschaft und der Bevölkerung; wie kann man Maßnahmen ergreifen, die auch wirklich wirken; und was ist beispielsweise Security by Design, Privacy by Design, nämlich am Ende: Menschenschutz. Und da sind die noch lange nicht. Leider!
Carsten Roemheld: Können wir noch mal ganz kurz benennen, was denn genau die kritische Infrastruktur ist?! Wir haben ja schon ein paar Dinge genannt: Wir haben vor allem Telekommunikationsnetze genannt, sicherlich auch Strom- und Gasnetze. Was gehört alles dazu?
Manuel Atug: Also dazu muss man sagen, es gibt eine amerikanische Definition, es gibt eine EU-weite Definition, es gibt eine Bundesdefinition, dann gibt‘s eine nach BSI-Gesetz, wo bestimmte Sektoren tatsächlich Maßnahmen ergreifen müssen, und es gibt landesspezifische Definitionen; und noch mal eine vom Bundesamt für Bevölkerungsschutz und Katastrophenhilfe, die auch eine andere Sicht hat.
Aber nehmen wir mal die zehn Sektoren und Branchen kritischer Infrastrukturen, die in Deutschland definiert sind: Das ist also Transport und Verkehr, Wasser, Energie, Ernährung, Finanz- und Versicherungswesen, Gesundheit, Informationstechnik und Telekommunikation, es ist Siedlungsabfallentsorgung (seit letztem Jahr neu dazugekommen), Medien und Kultur und Staat und Verwaltung.
Wobei Medien und Kultur landeshoheitlich ist und damit nicht über diese BSI-Gesetzgebung tatsächlich Anforderungen hat und PrüferInnen, die das prüfen, und Staat und Verwaltung ist auf Bundesebene. Das BSI ist ja nicht unabhängig und untersteht dem BMI und damit kann es natürlich dem Staat nicht vorgeben, einem demokratischen Rechtsstaat, was er zu tun hat. Demzufolge ist Staat und Verwaltung genauso wie Medien und Kultur unreguliert. Es gibt zwar eine Definition, was ist Staat und Verwaltung, aber die haben keine Sicherheitsanforderungen und auch keine externen Prüfer, die da unabhängig draufgucken. Insofern passiert da eben nichts.
Carsten Roemheld: Jetzt hatten wir ja schon gesprochen auch von einer möglicherweise erhöhten Bedrohungslage jetzt dieses Jahr, insbesondere nach dem Ausbruch des Ukrainekrieges letztes Jahr. Haben Sie denn den Eindruck, dass sich die Bedrohungslage verschärft hat für unsere kritische Infrastruktur in Deutschland durch dieses Kriegsereignis? Oder sehen Sie da keine gesteigerten Risiken?
Manuel Atug: Nicht wesentlich – und so sieht es beispielsweise auch das Bundesamt für Sicherheit in der Informationstechnik, das BSI in Deutschland, denn die haben in den letzten 31 Jahren, die sie existieren, dreimal eine rote Warnmeldung veröffentlicht. Vor vielen Jahren mal eine und die letzten zwei waren vor zwei Jahren. Das war einmal die Hafnium-Sicherheitslücke in Microsoft-Exchange-E-Mail-Servern, wo eben auch wirklich tausende von Systemen kompromittiert und verschlüsselt und kaputt gemacht wurden, wo eben auch in Deutschland sehr, sehr viele, also mehrere 10.000, ich glaube, es waren zu Beginn über 70.000 Systeme, ungepatcht, die also ungeschützt im Netz standen und angegriffen wurden. Von kleinen KMU- bis DAX-30-Konzernen [war] alles mit dabei. Und das BSI hat die alle gewarnt bis zum Gehtnichtmehr und gesagt: „Ey, das wird hier gerade missbraucht. Ihr könnt davon ausgehen, dass euer System jetzt kompromittiert ist. Ihr müsst dringend eine Sicherheitsuntersuchung veranlassen und diese Patches installieren.“ Und ganz, ganz viele haben Monate gebraucht, bis sie überhaupt reagiert haben.
Das war Warnstufe rot und das zweite war ‚Log4j‘. Das ist eine Softwarebibliothek für das Logging von Information in einer Anwendung. Das ist eine kleine Bibliothek, aber die wird eben fast überall als freie Software genutzt und die hatte eben eine Sicherheitslücke, mit der man sehr banal auch diese Systeme, in der das zur Anwendung kommt, übernehmen und angreifen kann. Und das wurde eben dann auch zuhauf vorgenommen, sodass auch eine rote Warnmeldung entstehen musste.
Der Ukrainekrieg hat es nur bis zu einer orangen Warnmeldung gebracht. Denn am Ende gibt es natürlich durch einen Kriegsgeschehen in der Nähe in Europa eine höhere Bedrohungslage, aber tatsächlich sind die hochangepriesenen Cyberwar-Angriffe der alten weißen Männer auf bunten Powerpointfolien eben im Wesentlichen ausgeblieben. Das, was so passiert, ist so ein Angriff von tausend kleinen Nadelstichen. Das kann von ukrainischer Seite, von russischer Seite, pro Russen, pro Ukrainer oder wem auch immer sein. Das können auch, ich nenne sie mal: ‚Cyber-Hooligans‘, sein, die einfach Randale im Netz machen wollen und sagen: „Joa, da ist ein schöner Vorwand.“ Das können die Kollektive sein wie Killnet oder Anonymus, aber auch die Nachrichtendienste und Geheimdienste sind definitiv mit dabei, aber auch das Militär.
Es gibt einen Angriff, der tatsächlich von den Europäern an Russland attribuiert wurde und klar öffentlich kommuniziert wurde. Also Europa hat gesagt: „Das waren die Russen, das ist nachweisbar.“ Das war der Viasat-Angriff. Die Russen haben über eine Fernwartung [zugegriffen], also ein User-Passwort, um in das sichere Netz der Bodenstation einzudringen. Auch da: Stand der Technik ist eine Zwei-Faktor-Authentifizierung und nicht ein User-Passwort. Aber man kann natürlich auch kritische Infrastruktur im Stand des Desolaten betreiben und das machen eben auch viele.
Fernwartung ist wirklich ein gruseliges Thema. Ich habe auf meinem YouTube-Channel so einen Sieben-Minuten-Auszug: Ich habe mal so einen Vortrag gehalten ‚Erlebnisse eines KRITIS-Prüfers‘, der schon für sich gruselig ist. Bei diesen sieben, acht Minuten, da habe ich mal über Fernwartung erklärt, wie gruselig die so ist aktuell und dass man eben weit weg von irgendwelchem Stand der Sicherheit [ist]. Und ich habe auch eine Berufsgattung neu eingeführt dafür: Fernwartungsarchäologie; weil das halt wirklich sehr interessant ist, was da teilweise betrieben wird. Aber auf dem Niveau agiert man und das haben die Russen sich dann zu eigen gemacht, um Satellitenmodems zu stören, um eben auch die Ukrainer da zu stören, also das Militär und die Sicherheitsbehörden. Man hat insgesamt 30.000 Modems fehlkonfiguriert, dass sie keine Verbindung mehr aufnehmen konnten, und unter anderem waren davon 5200 oder 5800 in Windkraftanlagen in Deutschland verbaut, die dann eben auch nicht mehr ferngewartet werden konnten. Man musste also zu jedem einzelnen hinfahren, hochkraxeln, das Modem austauschen, um die wieder an den Betrieb anzuschließen.
Und diese Kollateralschäden sind eben das, was eine Gefährdung eines Krieges im Cyberraum darstellen, also weniger dieser Cyberwar an sich, sondern die Kollateralschäden, die entstehen durch komplexe Supply Chains, durch Dienstleister und vernetzte Systeme, wo man nicht mehr durchblickt, wenn hier was umkippt, was da noch passiert. Und das ist genau dasselbe Problem, was wir eben auch haben bei so was wie Hackback und offensiven Maßnahmen im Netz. Man weiß eben nicht, was kann noch alles passieren. Und das ist immer so ein – haha, Wortwitz: Russisch-Roulette-Spiel.
Carsten Roemheld: ‚Russisch Roulette‘ ist gut, ja! Wir kommen gleich noch mal ganz kurz zu den Hackbacks. Ein, zwei kurze Fragen noch zum Thema ‚kritische Infrastruktur‘. Eine Frage zum Thema ‚Hochwasserkatastrophe im Ahrtal‘: Da hatten wir ja kein gut funktionierendes Frühwarnsystem. Sind wir da jetzt schon mit diesem Cell-Broadcast-Frühwarnsystem auf dem Stand, den wir haben sollten? Frage eins. Und Frage zwei noch zum Thema ‚COSCO-Beteiligung des chinesischen Staatskonzerns am Hamburger Hafen‘: Sehen Sie da Risiken, Gefahren, dass wir Teile unserer kritischen Infrastruktur sozusagen verkaufen? Oder sehen Sie das nicht so?
Manuel Atug: Also zum Frühwarnsystem und Ahrtal: Wir haben im Ahrtal gesehen, dass der Warnmittelmix, den das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) immer wieder sagt, absolut nicht ausreichend war. Es gab keine Frühwarnung und wenn doch, waren die kryptisch und unzureichend. Selbst, als die ersten Kommunen überflutet wurden ganz massiv, hatten die anderen ja noch eine Reaktionszeit von ein bis mehreren Stunden und es erfolgte keine Warnung in geeigneter Form an die, weil: Das Problem ist nicht, ob wir Cell Broadcast brauchen als weiteren Warnmittelmix, sondern was für eine Art von Meldung wird eingestellt; wie erreiche ich die Bevölkerung; was sind die Handlungsmaßnahmen und nimmt man diese Warnungen dann auch ernst.
Und jetzt haben wir zwar Cell Broadcast, einen Teil schon, Ende Februar soll es ja vollständig adressiert werden, dass auch alte Telefone funktionieren. Da haben wir unter anderem das BBK als AG KRITIS und auch die Bundesnetzagentur an der technischen Richtlinie unterstützt und gesagt: „Diese und jene Funktion müsste man so und so adaptiv noch ändern und ergänzen, damit das auch flächendeckend funktioniert.“ Und das hat man dann auch mit uns besprochen und gesagt: „Oh ja, da habt ihr einen guten Punkt, den bauen wir in das Update der technischen Richtlinie 1.1 ein und es wird jetzt ausgerollt.“ Also wir konnten da wirklich zivilgesellschaftlich guten Input leisten, da haben wir uns auch sehr drüber gefreut.
Der Punkt ist aber: Diese Warnmeldungen, die da teilweise im Ahrtal erfolgt sind, waren … In Ahrweiler beispielsweise hat man gar keine Warnmeldungen genutzt. Also die NINA-Warn-App und dieses mobile Warnsystem des BBK, weil Ahrweiler … Also: Es ist so, dass jede Kommune und jeder Landkreis für sich entscheidet, wer und was meldet. Das macht nicht das BBK, das stellt nur die Plattform bereit. Und in Ahrweiler hat man halt eher so die Meinung gehabt, diese Plattform ist doof, NINA finden wir auch doof und wir nutzen diese Meldeumgebung nicht. Und dann hat man eben auch nicht gewarnt, bis es halt wirklich zur Katastrophe kam. Und dann hat man doch entschieden so: „Na ja, vielleicht nutzen wir das doch ein bisschen, weil der Vorwurf könnte ja laut werden, dass wir es nicht genutzt haben.“
Aber naja, teilweise sind die Warnmeldungen, die da kommuniziert wurden, beispielsweise so; Originalzitat: „Es wurden Pegelstände an den Wasserstellen gemessen.“ Das habe ich dann gelesen und gedacht: „‚Es wurden Pegelstände gemessen‘ … Also wenn der Fluss irgendwie Wasser tragen soll, dann muss er einen Pegel haben, sonst wäre er ausgetrocknet.“ – Das hilft mir nicht und es steht auch nicht eine Handlungsanweisung, was soll ich jetzt tun. Insofern: Selbst, wenn Leute diese Meldung bekommen haben, so wie ich auch: Was soll man daraus schließen?! Das ist unklar.
Also all diese vielen Meldenden können das melden, was sie wollen, wie sie wollen und tun das auch. Es wird jetzt über Cell Broadcast dann auch verteilt, aber dann steht halt wie so eine SMS auf dem Display vergleichbar eine Warnmeldung, wo steht: „Es sind Pegelstände gemessen worden. Hochwassergefahr!“ Also daraus leiten immer noch Leute nicht ab: Ist das jetzt lebensgefährlich oder ist das wieder mal nur ein Regen?! Insofern haben wir da immer noch ein Defizit in dieser organisatorischen Kommunikationsstruktur und das ist nicht angefasst worden vom Bundesinnenministerium. Demzufolge würde ein weiteres Ahrtal-Szenario zu einer genau gleichen Katastrophe kommen, auch mit Cell Broadcast voll funktional.
Zweite Frage ‚COSCO im Hamburger Hafen als Beteiligung‘. Kann ich nur sagen: Politisch können wir nicht nachvollziehen, warum wir uns abhängig machen und ausverkaufen. Wir haben ja mit der Abhängigkeit von Gas von Russland gesehen, wie brutal das enden kann, wenn man jahrelang günstig, billig sich ausverkauft. Das ist auf Pump und auf Kredit der kommenden Generationen. Und dann haben wir eben solche Szenarien wie aktuell, die halt unheimlich schmerzen. Eine Resilienz, also eine Widerstandsfähigkeit unserer kritischen Infrastruktur und der Versorgung, bekommen wir ja nicht hin, indem wir von einem Land über eine Doppelpipeline abhängig sind. Das leuchtet, glaube ich, jedem ein; nur nicht den politisch Verantwortlichen über die letzten Jahrzehnte.
Wir haben ja auch mit der CDU gesehen, dass die über die Aserbaidschan-Connection da viele, viele Millionen mit fast einem Dutzend oder mehr Politikerinnen irgendwie Machenschaften und Seilschaften pflegen, die ja hochgradig ungesund für ein gemeinsames Miteinander waren. Wenn wir bei den Chinesen irgendwie sagen: „Joa, die kaufen sich halt überall ein.“ – Wir können ja gerne mal fragen, wo COSCO sich schon eingekauft hat: Ich glaub, Malaysia war‘s oder so. Die haben nichts mehr zu melden und COSCO steuert, ob und wo die Warenflüsse herlaufen und priorisieren sich selbst. Was machen die eben auch? Die kaufen sich systematisch auch in europäische Häfen gerade ein. Und wenn wir das eben ausverkaufen und beteiligen, dann müssen wir uns eben auch nicht wundern, wenn so was dann irgendwie missbraucht wird sozusagen im politisch-wirtschaftlichen Konstrukt.
Das haben wir in der Vergangenheit bei AEG erlebt, das haben wir bei Putzmeister, die so spezielle Hochleistungspumpen entwickeln, die sind verkauft worden, Kuka, die Industrieroboter machen, sind verkauft worden an Chinesen und an Ausländer. Wir haben ja fast nur noch amerikanische Clouds in Deutschland, weil wir nicht phasen, europäische oder deutsche Clouds in Betrieb zu nehmen; obwohl das illegal ist, Stand aktuelle Rechtsprechung der DSGVO. Aber wir haben eben keine Rechtsdurchsetzung und dann ist das halt okay, wenn der Datenschutz nicht funktioniert und wir amerikanische Clouds nutzen.
Also Seekabel gehören ja auch kaum deutschen Unternehmen oder europäischen Unternehmen oder der Verwaltung oder dem Staat. Google besitzt etliche. Die Chinesen bauen gerade eine 1400-km-Trasse, die PEACE heißt – Ironie! –, aber die wollen eben die volle Überwachung und Kontrolle. Und wir geben das alles aus den Händen. Keine gesunde Entwicklung!
Carsten Roemheld: Da hat Europa tatsächlich noch einiges an Nachholbedarf, in der Tat! Lassen Sie uns noch mal über Hackbacks sprechen. Das Thema ist ja mehr und mehr in die Diskussion gekommen. Die Bundesregierung lehnt es laut dem Koalitionsvertrag ja ab, aber der entlassene Chef des Bundesamtes für Sicherheit in der Informationstechnik, Arne Schönbohm, hatte sich für die Einsetzung von Hackbacks ausgesprochen. Auch die Innenministerin Nancy Faeser ist Verfechterin des Ansatzes. Wie schätzen Sie die Situation ein? Wird es vielleicht kommen, die Hackbacks als notwendige Maßnahme? Welcher Meinung sind Sie? Sie haben vorhin aus völkerrechtlicher Sicht gesprochen, dass es illegal ist, weil es eben eine Vergeltungsmaßnahme beschreibt. Aber wie ist Ihre Ansicht, welchen Fortgang dieses Themas wir hier in Deutschland sehen werden?
Manuel Atug: Also das Bundesinnenministerium will ja seit Jahren einen Hackback haben, einen Angriff auf fremde IT-Systeme und ein Einwirken auf diese Systeme. Dazu hat auch Innenministerin Faeser eben laut und deutlich kommuniziert, sie will es haben, obwohl es im Koalitionsvertrag steht, dass es nicht kommen soll. Also ihre eigene Arbeitsagenda ignoriert sie und sagt: „Ich mache das Gegenteil.“ Ich weiß auch nicht, warum die Koalition dann irgendwie stillschweigend zuguckt und sagt: „Ja, ja, die kann mal das Gegenteil von dem machen, was wir uns eigentlich als Aufgabe gegeben haben.“ Aber das zeigt ja auch, wie willkürlich das Innenministerium da handeln kann und wie frei Nase die irgendwie Freigeister sind und unkontrolliert agieren.
Auch zu ‚Hackback‘ habe ich ein kurzes Video, ich glaube, auch so sechs Minuten, auf meinem YouTube-Channel mal veröffentlicht und mal erklärt und hergeleitet, warum das eine ganz schlechte Idee ist. Es ist eben so, dass ich, wenn ich einen solchen Angriff auf fremde IT-Systeme mache, nicht weiß, was die Implikationen sind, die daraus abgeleitet werden. Und wenn ich jetzt ein Angreifer bin, der kritische Infrastruktur in Deutschland angreifen möchte, dann mache ich das ja nicht von meinem eigenen System aus. Dann gehe ich über irgendwelche Systeme in irgendwelchen Ländern, die ich kompromittierte und von da aus den Angriff habe. Oder noch besser: Ich greife Systeme in Deutschland an, die kritische Infrastruktur sind, Krankenhaus oder eine Cloud oder was auch immer, und von da aus fahre ich den echten Angriff.
Und wenn dann das Innenministerium meint, dass man solche Systeme zurückhackt und kaputt macht und wegcybert, ja, dann cybert man eben eine kritische Infrastruktur in Deutschland weg – und dann habe ich mir selber einen Kollateralschaden verpasst. Also ich würde als Angreifer so agieren und sagen: Na ja, dann hüpfe ich zum nächsten angegriffenen Server, den ich übernommen habe (Das gibt es ja zuhauf im Netz, die machen ja alle kaum Sicherheit!) und dann habe ich halt 300 Maschinen im Netz stehen und greif von der ersten an. Dann cybern die das weg, dann nehme ich halt die zweite und mach weiter und dann nehm ich die dritte und dann nehm ich die vierte. Ich mein, als Angreifer kann ich das Spiel ewig spielen und die machen dann alles kaputt und hinterlassen eine Wüste von kaputten Umgebungen – entweder in Deutschland oder vielleicht sogar bei Bündnispartnern. Wenn ich jetzt von Amerika aus in Deutschland angreife oder von Frankreich aus, wird das bestimmt nicht tiefenentspannt in der diplomatischen Beziehung untereinander.
Insofern: Wenn ich auch zum Beispiel aus einer Cloud-Infrastruktur angreife und man jetzt diese Cloud-Infrastruktur zurückangreift, das hat ja noch viele andere skalierende Faktoren. Was geht da noch alles kaputt? Also welche Unternehmen und welche Privatmenschen können dann nicht mehr auf ihre Cloud-Infrastruktur zugreifen, wenn da irgendwas kaputtgeht bei diesem Zurückhacken? Um so was überhaupt tun zu können, einen Hackback, muss ich ja Sicherheitslücken oder Schwachstellen vorhalten und offensive Maßnahmen erarbeiten. Das heißt, ein Hackback funktioniert nur, indem ich Schwachstellen in kritischen Infrastrukturen und in der Umgebung kenne, und zwar möglichst in allen und vielen, die hochbrisant sind und wirklich Schmerzen verursachen und Systeme zerstören können. Und die muss ich alle vorhalten.
Und wenn so eine Lücke dann zufällig gepatcht wird, weil der Hersteller das rausgefunden hat oder jemand anders, dann ist meine Lücke verbrannt und ich muss also demzufolge viele andere Sicherheitslücken vorhalten. Das versucht das Bundesinnenministerium zu verkaufen als: „Wir brauchen ein Schwachstellen-Management.“ Und da sagen wir als AG KRITIS: „Wir brauchen kein Schwachstellen-Management. Denn wir wollen nicht Schwachstellen managen, wir wollen sie beheben!“
Wir wollen, dass alle Behörden und Institutionen in Deutschland verpflichtet sind und gezwungen sind, Schwachstellen, von denen sie Kenntnis erlangen, an zum Beispiel ein unabhängiges BSI zu melden, und das BSI muss verpflichtet sein, mit dem Hersteller die Kommunikation und den Austausch in einem sogenannten ‚Responsible Disclosure‘ vorzunehmen. Also dem Hersteller zu erklären: „Das ist eine Schwachstelle, die du hast. Du musst das jetzt beheben und wir werden, wenn das alles behoben ist und die Kunden das installiert haben, dann auch öffentlich machen, dass es diese Lücke gab. Damit das eben auch transparent ist.“
Und das ist das, was wir wirklich brauchen. Wir brauchen kein Schwachstellen-Management und wir brauchen auch keine offensiven Maßnahmen. Davon ist kein einziges System gesichert und keine Sabotage wird verhindert, sondern wir bauen kaputte Infrastrukturen oder wir sorgen dafür, dass sie kaputt bleiben und angreifbar bleiben. Und es ist ja nicht so, dass nur der BND oder wer auch immer dann beim Innenministerium definiert wird als ‚Ihr seid ihr zuständig für diese Angriffe, das BKA‘. Dann kann ja nicht nur das BKA diese Schwachstellen missbrauchen und zurückhacken, sondern Ransomware-Banden. Für die ist das ein gefundenes Fressen. Die sagen: „Ja super, die haben ja für uns die Vorarbeit gemacht, das greifen wir uns kurz ab und darüber dringen wir in die Unternehmen ein und erpressen die und holen Kohle raus.“ Staatliche Akteure aus China, Russland, USA, wo auch immer, werden sagen: „Ach super, da gibt‘s eine Hintertür und eine Lücke, ja die können wir ja wunderbar auch für uns nutzen.“
Also es ist ja nicht so, als würde so eine Tür nicht von anderen Akteuren auch genutzt werden. Es ist eben digital im Cyberraum und wenn ich die Fähigkeiten habe, kann ich an der Tastatur sitzen und eingreifen. Und das tun alle Akteure im Cyberraum eben auch. Das ist nicht wie eine physische Tür. Da muss ich hinfahren und es ist nur eine Tür, und da können nicht Hunderte gleichzeitig durchgehen. Und wenn da jemand durchgeht und jemand ist drin, merkt der ja, dass jemand kommt. Im Cyberraum funktioniert das halt anders. Das ist oftmals unbemerkt und deswegen, durch diese Kollateralschäden, durch dieses ‚Ich kann gar nichts vorhersehen‘, ‚Ich muss strukturiert Schwachstellen und Lücken in der Infrastruktur lassen‘, insbesondere auch in Infrastruktur, die unsere Wirtschaft betreibt. Also ich habe auch nicht verstanden, warum die Privatwirtschaft dagegen nicht völlig gegen die Barrikaden geht.
Denn eigentlich sagt der Staat: „Wir versuchen, eure Umgebung unsicher und kaputt zu halten, damit Ransomware-Banden, staatliche Akteure aus dem Ausland, aber auch wir jederzeit dort eindringen können und Dinge abschalten, kaputt machen oder abgreifen für die staatliche Sicherheit der Nation.“ Und dass da niemand sagt, das finden wir gruselig, sondern teilweise Wirtschaftsverbände sogar sagen: „Joa, dann ist das so. Wie viel Geld kriegen wir denn, wenn wir das unterstützen sollen? Ist es bezahlt? Ja, dann macht doch!“ – Völliges Unverständnis!
Carsten Roemheld: Ja, kann man wirklich nicht nachvollziehen! Letzte Frage: Auf EU-Ebene entsteht ja auch was, ein Koordinationszentrum für Cyberverteidigung. Welchen Umfang soll das denn haben? Und sind diese Brüsseler Pläne in irgendeiner Weise konträr zu denen der Bundesregierung aktuell damit?
Manuel Atug: Nee, weil die nennen das Cyberverteidigung, aber wollen damit eine Verteidigung durch offensive Maßnahmen und Angriffe in großen Teilen. Insofern versuchen die also auch eine offensive EU-was-auch-immer-Funktionalität umzusetzen. Und Deutschland? Das Innenministerium freut sich natürlich, weil es sagt: „Wir konnten auf EU-Ebene einbringen, dass man so was braucht, dann kommen wir zwar in Deutschland nicht vorwärts, aber über die EU müssen wir jetzt ‚leider‘ offensive Dinge tun.“ Dieses EU-Spiel hat man schon öfter getrieben und auf der EU-Ebene reden halt auch, na ja, diese alten weißen Männer untereinander in offensiver Maßnahme und sagen: „Boar, wir müssen uns verteidigen durch Angriff!“
Es hat ja auch schon von den Amerikanern die Aussage gegeben: „Wer uns im Cyberraum angreift, da antworten wir vielleicht mit kinetischen Mitteln, also mit Bomben und Raketen zurück.“ Die Israelis haben ja ein Hamas-Headquarter, ein Cyber-Headquarter, weggebombt. Also die haben wirklich ein Gebäude, wo die Hamas das als Cyber-Headquarter genutzt hat, [weggebombt]. Das konnte man wohl analysieren dadurch, dass da sehr viele Glasfasern zusammenkommen, dass Angriffe offensichtlich oft diesen Ursprung hatten etc. Üblicherweise, das ist aber nicht bestätigt, machen die Israelis das so, dass sie in dem Bereich eine SMS versenden an alle, die in dem Bereich sind, und sagen: „Dieses Gebäude wird in fünf Minuten gesprengt. Sie können jetzt noch rausgehen oder bleiben Sie halt da.“ Und es ist halt weggebombt und zersprengt worden und es wurde auch kommuniziert öffentlich. Die Russen haben sich auch vorbehalten, zu sagen: „Wenn uns jemand angreift, greifen wir zurück an.“
Das heißt, diese Aggressionslevel und dieses ‚Wenn jemand irgendwelche Cyberangriffe tut, könnte ein anderer daraus interpretieren, dass das ein offensiver Angriff war und damit einen Krieg auslösen‘, das steigert sich durch solche Maßnahmen wie eben ein EU-Cyberverteidigungszentrum, was auch Angriffe fahren will. Und irgendwann könnte dadurch ein solches Geschehnis passieren. – Keine gesunde Entwicklung!
Carsten Roemheld: Also eine Eskalationsspirale könnte dadurch ausgelöst werden. Ich habe Sie richtig verstanden, Herr Atug, und das nehme ich jetzt wirklich aus dem Gespräch mit: Wenn alle ihre Hausaufgaben machen würden und alle Sicherheitslücken so schnell wie möglich gestopft würden, dann würden wir diese Probleme gar nicht haben und diese Diskussion gar nicht haben. Ich glaube, dann wäre allen mehr gedient, als wenn wir uns darin versuchen, wer wem möglichst mehr schaden kann und dafür eben solche Sicherheitslücken sozusagen vorzuhalten. Das ist wirklich eine relativ, ja, kindische Diskussion!
Also vielen Dank, dass Sie uns diese Einblicke gegeben haben, Herr Atug. Ich habe heute viel gelernt. Vielen Dank, dass Sie Ihre Analysen und Erkenntnisse mit uns geteilt haben.
Und Ihnen, liebe Zuhörer, vielen Dank für Ihre Teilnahme. Ich hoffe, Sie konnten heute wieder das eine oder andere mitnehmen, so wie ich auch. Wir sehen und hören uns sicher bald wieder. Bis dahin viele Grüße!
Ihr Carsten Roemheld
Manuel Atug: Dankeschön und tschüss!
Übersicht
