CAPITAL: Das Bundeskriminalamt (BKA) und die hessische Generalstaatsanwaltschaft haben in der „Operation Endgame“ nach eigenen Angaben gleich mehrere kriminelle Botnetze ausgeschaltet. Die Rede ist vom „bisher größten Schlag“ gegen die weltweite Cyber-Kriminalität. Wie ordnen Sie diese Operation ein?
THORSTEN ROSENDAHL: Zunächst einmal ist es gut und richtig, dass solche Aktionen stattfinden. Es sind mehr als 100 Server beschlagnahmt oder abgeschaltet worden, und es gab eine große internationale Abstimmung in dieser Frage. Das zu koordinieren, ist schon schwierig. Aber auch, wenn diese Aktion groß und umfangreich war, darf man nicht über einen kompletten Takedown sprechen.
Was das BKA allerdings tut…
Explizit erwähnt wird ein Takedown von Servern. Aber wenn ich das Wort Takedown höre, dann gehe ich von einem absoluten Ende aus. Und davon kann man leider nicht sprechen. Die Geschichte lehrt uns, dass diese Gruppen wiederkommen.
Heißt das, so eine Aktion ist im Grunde nutzlos?
Nein, auf gar keinen Fall. Die Gruppen hinter den Cyber-Angriffen sind mit Sicherheit geschwächt. Aber es haben ja nur vier Festnahmen stattgefunden und nicht 500. Das heißt, die Personen mit dem Knowhow und dem technischen Einblick sind immer noch irgendwo unterwegs. Deswegen gehen wir davon aus, dass die wiederkommen, vielleicht sogar mit der gleichen Software.
Gegen welche Art von Cyberkriminalität sind die Behörden mit dieser Art vorgegangen? Wie lässt sich das beschreiben?
Dazu muss man sich kurz klar machen, wie ein solcher Cyber-Angriff abläuft. Da laufen viele, viele Schritte hintereinander ab, bis es zu dem eigentlichen Schaden kommt. Relativ am Anfang stehen die sogenannten Dropper, mit denen ein System infiltriert wird und die einen Zugang ermöglichen. Die sind für sich genommen meistens gar nicht schädlich, erlauben es aber, Erpressungs-Software nachzuladen, Informationen abzugreifen und vieles mehr. Und genau gegen diese Dropper wurde jetzt vorgegangen.
Die vielen Schritte, von denen Sie sprechen, zeigen ja auch, dass Cyber-Angriffe inzwischen arbeitsteilig ablaufen, mit vielen Spezialisten für die einzelnen Stufen. Wie kann man denn dagegen überhaupt vorgehen?
Das ist richtig. Das sind viele spezialisierte Gruppen, die miteinander kooperieren, die einen kümmern sich um den initialen Zugriff, die anderen um die Ransomware, wieder andere liefern die Accountdaten. Diese Gruppen bieten ihre Dienstleistungen an wie in der klassischen IT-Welt. Das ist, wie wenn man neue Software und Features in Office 365 einkauft. Genau so machen es die Akteure auf der dunklen Seite der Macht auch. Das zeigt aber auch, wie schwierig es ist, so etwas zu zerschlagen. Mit drei oder vier Festnahmen kann man denen sicher schaden. Aber dann sind immer noch 200 weitere unterwegs, die Geld verdienen wollen. Und die sind geographisch auf verschiedenste Orte verteilt.
Während der Pandemie war die Rede davon, dass die Zahl der Ransomware-Angriffe, bei denen die Opfer mit blockierten Daten erpresst wurden, zugenommen hat. Wie hat sich die Lage seitdem entwickelt?
In der Tendenz nehmen die Angriffe immer noch zu, nicht nur die mit Ransomware. Was sich allerdings verändert hat, ist, dass die staatlichen Akteure stark aufrüsten. Wir sehen immer mehr Angriffe aus China, Iran oder Nordkorea.
Auch auf Unternehmen?
Ja, auch auf Unternehmen. Da geht es weniger um Geldgeschäfte als um den Diebstahl von geistigem Eigentum. Um Baupläne oder Konstruktionspläne für Bauteile. Vor ein paar Jahren ließen sich die Cyberkriminellen von den staatlichen Akteuren noch trennen. Mittlerweile sehen wir, dass diese Grenzen verschwimmen. Das bedeutet auch, dass die Qualität der Angriffe zunimmt.
Wie sieht es denn auf der Gegenseite aus? Haben die Unternehmen größere Fähigkeiten entwickelt, sich zur Wehr zu setzen?
Bei den großen Konzernen aus dem Bereich Fortune 500, Dax oder MDax kann man sagen, dass die inzwischen sehr gut aufgestellt sind. Die haben eigene Security Operations Center. Vor allem in den Bereichen Finanzen und pharmazeutische Industrie, also überall da, wo es ohnehin ein historisches Verständnis für Sicherheit und Werksschutz gibt. Bei kleinen und mittleren Unternehmen aber wird es gerade in Deutschland schwierig. Da gibt es Firmen, bei denen die IT-Abteilung aus einem Studenten besteht, der halbtags kommt und kein Security-Spezialist ist.
Woran liegt das?
Es gibt einen generellen Personalmangel, die Gehälter werden höher. Und Security-Spezialisten sind eben nicht gerade preiswert.
Gibt es Branchen, die besonders stark betroffen sind?
Wir sehen in unseren Statistiken bei Cisco Talos, dass bei den erfolgreichen Angriffen vier Gruppen regelmäßig ganz oben stehen: das verarbeitende Gewerbe, Bildungseinrichtungen wie Universitäten, der Gesundheitsbereich und die öffentliche Verwaltung.
Bei denen scheitert es vor allem am Geldmangel?
Zunächst einmal fehlt das Grundverständnis für Sicherheit. Aber wenn man sich zum Beispiel kleinere deutsche Autozulieferer anschaut, dann müssen die oft sehr knapp kalkulieren. Da geht es um den Bruchteil eines Cents bei jedem Bauteil, das da produziert wird. Für die ist schwierig, für Security extra etwas auszugeben, die können diese Stellschraube nicht so stark anziehen. Und so werden sie zu einem leichten Ziel.
