Das Rundum-Sorglos-Paket für Computer gibt es nicht mehr
Darum geht es: Eine Hackergruppe hat sich in eines der besonders gesicherten Netzwerke der Bundesregierung gehackt. Dort haben die Eindringlinge offenbar schon über ein Jahr mindestens mitgelesen. Ein Kommentar von Isabel Christian.
IT-Spezialisten dürften die Nachricht der vergangenen Tage mit hochgezogenen Augenbrauen aufgenommen haben. Zum zweiten Mal innerhalb von nur drei Jahren ist die digitale Infrastruktur der Bundespolitik von Hackern empfindlich angegriffen worden. 2015 hatten Hacker rund 16 Gigabyte Daten aus dem Parlamentsnetzwerk „Parlacom“ gestohlen. Was mit den Daten passiert ist, ist bis heute unklar. Auch hinter dem jüngsten Hackerangriff, dieses Mal auf das Intranet der Bundesregierung „IVBB“ genannt, vermutet man dieselbe Hackergruppe wie damals: ein russisches Kollektiv namens APT 28 oder auch Fancy Bear. Ob auch dieses Mal Daten gestohlen wurden, ist noch nicht bekannt. Doch es ist davon auszugehen, dass Dateien und Korrespondenzen mindestens mitgelesen wurden. Und das seit sicherlich einem Jahr. Nun ist IVBB wesentlich stärker gesichert als das Parlamentsnetzwerk. Und damit ist der Hackerangriff auch als Botschaft zu verstehen: Kein Computersystem ist wirklich sicher. Deshalb müssen Behörden und Unternehmen dringend ihre digitale Sicherheitsstrategie überdenken.
Daten lagern nicht mehr auf Festplatten
Noch vor einigen Jahren galt das Virenschutzprogramm als Allheilmittel. Hatte man eins, wähnte man seine Daten nahezu unantastbar. Hatte man keins, nun ja, dann hat man eben selbst schuld. Heute ist das nicht mehr so einfach. Virenschutzprogramme und Firewalls gehören zwar noch immer zu den Grundmauern einer digitalen Sicherheitsarchitektur, doch die Daten lagern längst nicht mehr nur auf der Computerfestplatte. Sie werden auf USB-Sticks hin- und hergereicht, auf externen Festplatten – den modernen Aktenarchiven – ausgelagert, und in die von irgendeinem Server irgendwo auf der Welt bereitgestellte Cloud hochgeladen, damit sie überall und von jedem Gerät mit Zugangsdaten abgerufen werden können.
Regierungen beschäftigen Abteilungen von Hackern
Für Hacker bedeutet diese Entwicklung ein Schlaraffenland der Angriffsmöglichkeiten. Für die, die mit der Sicherheit von Daten ihr Geld verdienen, ist das ein Alptraum. Vor allem deshalb, weil der Hacker von heute in der Regel kein pubertärer Teenager mehr ist, der aus Spaß mal gucken will, was sich hinter der Firewall befindet. Diverse Regierungen beschäftigen ganze Abteilungen von IT-Experten, die von 9 bis 5 Uhr in fremde Computersysteme einbrechen, Daten stehlen und dann gemütlich ins Wochenende starten. Dazu kommen noch die Gruppen, die mit dem Hacken ideologische Ziele verfolgen oder einfach Geld verdienen wollen. Sie haben drei Dinge gemeinsam: Sie haben ein Ziel, sie haben die technische und finanzielle Ausrüstung, und sie haben das Wissen, wie sie ihr Ziel erreichen. Und wenn sie dafür den Schreibtisch verlassen und persönlich die virtuelle Zugangstür im realen Zielcomputer öffnen müssen, dann werden sie das tun.
Hackerangriff ist jederzeit möglich
Für Behörden und Unternehmen bedeutet das, dass sie sich von dem Gedanken des Rundum-Sorglos-Pakets verabschieden müssen. Es ist schlicht nicht mehr möglich, mit einer Handvoll Programme alle Datenströme und Lagerstätten zu sichern. Stattdessen müssen Behörden und Unternehmen akzeptieren, dass sie jederzeit gehackt werden können, und einen Notfallplan entwickeln. Darüber hinaus müssen sie sich überlegen, welche Daten so sensibel sind, dass sie nie in falsche Hände geraden dürfen. „Definieren Sie die Daten, die niemals gehackt werden dürfen, weil sonst die Firma pleitegeht, jemand ins Gefängnis kommt oder sogar stirbt“, riet der niedersächsische Verfassungsschützer Jörg Peine-Paulsen kürzlich in einem Vortrag vor Unternehmern. Er weiß, wovon er spricht, denn der ehemalige Spion hat in seiner Zeit als Berater im Referat für Wirtschaftsschutz schon so manches Drama miterlebt.
Mitarbeiter sind leichtsinnig
Ein anderer Schutzmechanismus wird viel zu oft vernachlässigt. Und wird dadurch zur Gefahr. Es ist die menschliche Aufmerksamkeit. Gerade in Firmen- und Behördennetzwerken bewegen sich Mitarbeiter viel zu leichtsinnig. Es gibt ja schließlich eine IT-Abteilung, die kriegen schon mit, wenn was nicht so ist, wie es sein sollte. Das ist ein Irrtum. Sensibilisiert man allerdings die Mitarbeiter, informiert sie regelmäßig und verständlich über Gefahrenquellen, und investiert großzügig in IT-Experten, werden die Menschen zu Schutzschilden in der virtuellen Welt. Denn wer weiß, wie sein virtueller Schreibtisch aussehen soll, bemerkt auch schneller, wenn da etwas ist, was da nicht hingehört.
