Die Juristin und Bestsellerautorin Yvonne Hofstetter gehört zu den profiliertesten Denkerinnen zum Thema Digitalisierung und scheut provokante Thesen nicht. Im Interview warnt sie vor kriminellen Hackern, die im Auftrag ihrer Regierungen Wirtschaft und Weltfrieden gefährden.
43 Milliarden Euro: So hoch war laut einer Bitkom-Studie* der durch Hackerattacken verursachte Schaden für deutsche Industriebetriebe allein in den vergangenen beiden Jahren. Wer steckt hinter den Angriffen?
Hofstetter: Bei dieser Frage klaffen Vorstellung und Realität häufig auseinander. Viele glauben, es seien irgendwelche 18-jährigen Computer-Nerds, die in ihren Schlafzimmern fremde Rechner knacken. Die gibt es. Langsam steigt aber auch das Bewusstsein, dass hinter den Attacken Staaten stecken können, die aus strategischen Überlegungen Unternehmen und Institutionen angreifen. Zum Beispiel bedienen sich der russische Geheimdienst oder der chinesische Staat privater Hackergruppen.
Welche Ziele verfolgen die Hacker?
Es geht um drei große Ziele: Spionage, Sabotage und Subversion. Manche Angreifer verfolgen das Ziel, Informationen zu stehlen, um sich damit einen wirtschaftlichen und politischen Vorteil zu verschaffen. Andere versuchen zu sabotieren, indem sie Schadsoftware in sensiblen oder systemrelevanten Infrastrukturen einnisten, um diese in einem politisch gewollten Moment auszulösen und einen entsprechenden Schaden zu verursachen. Was Subversion bedeuten kann, haben wir bei den US-Präsidentschaftswahlen im Jahr 2016 erlebt: Dort ging es am Ende nicht um Daten, sondern um Köpfe .
Häufig richten sich Hacker-Attacken gegen kritische Infrastrukturen, also gegen Stromnetze oder Wasserversorger. Was können Cyber-Kriminelle dort im schlimmsten Fall anrichten?
Im schlimmsten Fall kann es über einige Stunden zu einem Totalausfall der Infrastrukturen kommen. Damit würde ein Land zwar nicht gleich wieder ins analoge Zeitalter zurückfallen. Die Wirtschaft aber würde holpern, Transaktionen nicht mehr so schnell ablaufen, die Menschen wären verunsichert. Wenn solche Ausfälle öfter passieren, sinkt das Vertrauen der Bevölkerung in die Strukturen, insbesondere in einer offenen und pluralistischen Gesellschaft wie der unseren. Genau das ist auch das Ziel der Hackerattacken: keine unmittelbare Zerstörung, sondern das Schaffen von Unsicherheit.
Die Hackerangriffe werden immer besser, viele sind auch für Experten nur schwer zu erkennen.
Viele sprechen schon von einem möglichen Cyber-Krieg. Inwiefern kann Code als Waffe genutzt werden?
Code selbst hat noch nie jemanden getötet. Eine Schadsoftware kann zwar eine Industrieanlage in eine Quasi-Waffe verwandeln, indem sie etwa eine Gasleitung zum Explodieren bringt. Ein Expertengremium der NATO hat jedoch entschieden, dass ein Cyber-Angriff grundsätzlich keinem bewaffneten Angriff gleichzusetzen ist, weil keine kinetische Energie freigesetzt wird. Wenn Cyber-Angriffe stattfinden, befinden sich diese also regelmäßig unterhalb der Kriegsschwelle. Das hat auch völkerrechtliche Konsequenzen.
Zum Beispiel?
Während nur ein bewaffneter Angriff das Selbstverteidigungsrecht eines Staates gegen den Angreifer auslöst, darf man sich gegen einen Hacking-Angriff nur in rechtlich ganz engen Grenzen verteidigen – dann aber auch mit Panzern oder Kampfjets. Eine Frage muss deshalb jede Regierung, die hacken lässt, für sich selbst beantworten: Kann ein Staat die Eskalation aushalten? Denn eine kleine Eskalation im Cyber-Raum würde reichen, um das auszulösen, was keiner will: einen heißen Krieg außerhalb des Cyber-Raums.
Wie schätzen Sie das Problembewusstsein in der deutschen Wirtschaft ein, was Hackerattacken angeht?
Die Leute ducken sich weg und sagen: Ich bin ein kleiner Mittelständer und deshalb unwichtig für die globalen Angriffe. Das stimmt aber nicht. Erpressungs- und Schadsoftware verbreitet sich heute unglaublich schnell – und unterscheidet dabei nicht, ob sie nur bei strategischen Zielen Zerstörung anrichtet. Der Verschlüsselungstrojaner NotPetya richtete 2017 erst in der Ukraine und dann in Unternehmen in aller Welt Schaden an, weil sich der Trojaner rasend schnell ausgebreitet, spioniert und Schadsoftware installiert hat. Das hat Unternehmen Hunderte Millionen gekostet .
Das heißt, Unternehmen sollten besser auf Prävention setzen statt sich zu ducken?
Mit der Prävention ist das so eine Sache, weil man sich nicht wirklich schützen kann. Die Angriffe werden immer besser, viele sind auch für Experten nur schwer zu erkennen. Häufig erfolgen sie mit Hilfe von Social Engineering: Ein Lieferant wird gekapert, der Kunde erhält eine täuschend echte Mail von ihm mit irgendwelchen Anhängen, die er nichtsahnend öffnet – und plötzlich installiert sich im Hintergrund eine Schadsoftware. Oder der Betrogene klickt auf einen Link und kommt auf eine Fake-Webseite, die persönliche Informationen abgreift.
In vielen Unternehmen läuft kritische Infrastruktur immer noch auf unsicherer Software.
Ob Mitarbeitersensibilisierung, die Zusammenarbeit mit „guten“ Hackern oder der Einsatz von KI: Was können Unternehmen ansonsten tun, um sich vor Angriffen zu schützen?
Ich weiß, dass viele Unternehmen im Sicherheitsbereich bereits mit dem Einsatz von KI werben. Das ist meiner Meinung nach viel Marketing-Sprech. Man ist noch weit davon entfernt, tatsächlich Anomalien mit Hilfe von KI feststellen zu können und auf diese Weise Angreifer von normalen Mitarbeitern zu unterscheiden. Auch das Thema der Sensibilisierung ist schwierig. Vielerorts läuft die IT immer noch über Windows-XP-Software, die nicht mehr gewartet wird. Ab 2020 trifft das auch auf Windows 7 zu. Bei Updates würden nämlich die Zertifizierungen für teure Röntgengeräte oder Waffensysteme verloren gehen, die an das jeweilige Betriebssystem gekoppelt sind. Aus diesem Grund läuft kritische Infrastruktur heute immer noch in vielen Unternehmen auf unsicherer Software. Da hilft auch Mitarbeitersensibilisierung nicht.
Welche Lösung legen Sie Managern und Entscheidern in Unternehmen stattdessen nahe, um sich vor Hacker-Attacken zu schützen?
Eine Lösung wäre: nicht alles zu digitalisieren, was man digitalisieren kann, besonders nicht alles ans offene Internet zu hängen. Passagierflugzeuge etwa waren früher nicht mit dem Internet vernetzt; auch die Systeme der Verteidigung hingen nicht am offenen Internet – trotzdem waren sie vernetzt. Früher gab es getrennte Netze für systemkritische Infrastruktur. Was dazu gehört, hat die Bundesregierung übrigens unter dem Kürzel KRITIS definiert. Die Sektoren reichen von Ernährung über Transport bis hin zur Wasserversorgung.
Ist ein solcher Rückbau in Zeiten von Industrie 4.0 und Cloud-Computing realistisch?
Sie dürfen nicht davon ausgehen, dass Industrie 4.0 bereits ein weit verbreiteter Standard wäre, auch wenn Medien oder IT-Berater anderes behaupten. Ich kenne Unternehmen, die mit der Digitalisierung systemkritischer Infrastrukturen begonnen haben, aber teilweise wieder auf eine analoge Funktionsweise zurückbauen. Sie haben bemerkt, dass die Wartung ihrer digitalisierten Infrastrukturen so aufwändig und so teuer ist, dass sie für die Fehlerbehebung digitalisierter Infrastruktur viel länger brauchen als für die Wartung ihrer alten Systemansätze.
Wer heute noch sagt, dass die neuen Technologien zu mehr Demokratisierung führen, der hat offensichtlich die letzten Jahre verschlafen.
Sie selbst benutzen kein Smartphone. Was tun Sie ansonsten, um Ihre Daten zu schützen?
Ich habe kein Facebook und kein Twitter, weil ich auf diese Art der Werbung verzichten kann. Zwar habe ich immer noch kein Smartphone, neulich musste ich mir allerdings ein iPad kaufen. Damit erledige ich mein Online-Banking, weil mich meine Bank mittlerweile dazu zwingt, mit einer App zu arbeiten. Die Telefonie und meine Datensicherung trenne ich aber weiterhin.
Wie bleiben Sie im beruflichen Kontext als Digitalisierungsexpertin up-to-date, wenn Sie weitestgehend auf Apps und digitale Geräte verzichten?
Auch ich bin online, aber selten mobil. E-Mails dürfen schon einmal zwei, drei Tage warten, bis sie beantwortet werden. Im Büro nutze ich Laptops und Desktops. Wir haben ein rotes und ein schwarzes Netz. Rot hängt nicht am Internet, enthält aber kritische Eigenentwicklungen und Urheberrechte. Schwarz darf ins Netz, aber auf den Maschinen sind keine relevanten Daten gespeichert. Datensparsam sind wir ganz bewusst, öffentliche Clouds nutzen wir nicht, nur private europäische Clouds. Wer unterwegs ist, nutzt MiFi – und surft nur über firmeneigene sichere Netze. Auf amerikanische und chinesische Systeme wird, wenn möglich, verzichtet und eine europäische Alternative eingesetzt.
Behalten Sie bei all diesen Entwicklungen noch ein bisschen Optimismus, dass sich die technischen Möglichkeiten auch für liberale und demokratische Zwecke einsetzen lassen – oder überwiegt die alarmierende Haltung?
Wer heute noch sagt, dass die neuen Technologien zu mehr Demokratisierung führen, der hat offensichtlich die letzten Jahre verschlafen. Wir haben gesehen, dass beispielsweise Facebook, Twitter und ähnliche Plattformen die Demokratie angegriffen haben. Die antidemokratische Haltung ist in deren Geschäftsmodell eingegossen; die Plattformen leben davon, Fakenews, Filterblasen und Echokammern zu erzeugen. Es gibt so viele anti-demokratische Strömungen im Zuge der Digitalisierung, dass ich mir mittlerweile sicher bin, dass es der Digitalisierung ähnlich ergehen wird wie der Kohle. Nach dem Kriegsende wurde sie bejubelt, heute versuchen wir all die Kohlekraftwerke stillzulegen, weil sie die Luft verpesten.
Worauf es laut Yvonne Hofstetter beim Thema Datensicherheit und Angriffsabwehr ankommt:
Durch die zunehmende Vernetzung auf allen Ebenen nimmt die Gefahr für Hackingattacken zu.
Hacker verfolgen drei große Ziele: Spionage, Sabotage und Subversion.
Das Problembewusstsein unter deutschen Industriebetrieben ist beim Thema Datensicherheit und Angriffsabwehr sehr niedrig.
Hackerangriffe können jedes Unternehmen treffen, weil sich Schadsoftware rasend schnell verbreitet.
Wenn möglich, sollten Unternehmen systemkritische Infrastrukturen nicht ans offene Internet hängen.
* Bitkom, 2018: LINK
Beitragsbild: depositphotos/everythingposs