Sorge vor Hackerangriffen auf den Hamburger Hafen

Torsten Voß (CDU) leitet seit 2014 das Hamburger Landesamt für Verfassungsschutz. © picture alliance

Hamburg. Falschinformationen werden gezielt im Netz gestreut, um die Menschen zu verunsichern, so der Verfassungsschutz.

Ausländische Nachrichtendienste nutzen Fake News mit dem Ziel der Verunsicherung und Destabilisierung, sagt Torsten Voß, seit rund sieben Jahren Chef des Hamburger Verfassungsschutzes. Er warnt: dieses Jahr schon 101 staatlich gesteuerte Cyberattacken.

Hamburger Abendblatt: Im September wählt Deutschland einen neuen Bundestag. Sehen Sie die Gefahr, dass die Bundestagswahl digital manipuliert werden könnte?

Torsten Voß: Berichte über angebliche Sicherheitslücken oder technische Mängel, zum Beispiel aus den USA, gibt es immer wieder. In Deutschland sind die Wahlbehörden sehr gut aufgestellt. Wir als Verfassungsschutzbehörden sind vorbereitet, aber es gibt keine aktuellen Hinweise darauf.

Durch die Digitalisierung unseres Lebens ist eine Gefahr entstanden, deren Dimension vor ein paar Jahren noch undenkbar erschien: die massenhafte Manipulation von Menschen mittels Fake News. Was solche Manipulationen anrichten, haben wir unter anderem beim Sturm auf das Capitol in Washington erlebt nach einer einmaligen Hass- und Lügenkampagne des damaligen US-Präsidenten Donald Trump. Hat der Verfassungsschutz weniger Sorge vor einer gehackten Bundestagswahl als vor einer Manipulations- und Desinformationskampagne im Wahlkampf?

Voß: Genau das sind die Herausforderungen. Staatliche Akteure, das heißt: ausländische Nachrichtendienste, nutzen Fake News mit dem Ziel der Verunsicherung und Destabilisierung. Desinformation hat neben der klassischen Spionage deutlich zugenommen. Zum Beispiel in Zusammenhang mit Corona oder der Wirkung von Impfstoffen. Der letztendliche Urheber solcher Meldungen ist im digitalen Kosmos schwer zu finden. Aber wir wissen, dass mutmaßlich durch bestimmte staatliche Akteure anderer Länder eine Vielzahl Falschinformationen zur Corona-Pandemie gestreut wurden. Je größer die Verunsicherung ist, je mehr Leute auf die Straße gehen, desto stärker haben die staatlichen Akteure ihr Ziel erreicht. Das Ziel solcher Kampagnen vor einer Wahl wie im September ist, Deutschland das Regieren schwerer zu machen.

Werden die Desinformationskampagnen zunehmen, je näher die Bundestagswahl rückt?

Voß: Wir müssen damit rechnen und befürchten eine Zunahme von Fake News.

Sie sprechen von „staatlichen Akteuren“. Von welchen ausländischen Staaten oder Diensten geht diese Gefahr aus?

Voß: Bei Cyberkampagnen gibt es häufig starke Indizien, aber der letzte Beleg fehlt. Daher bitte ich um Verständnis, dass ich keine Namen nenne. Aber generell haben wir Länder wie China oder Russland im Blick, die im Übrigen Wirtschaftsspionage als staatlichen Auftrag in ihren Gesetzen festgeschrieben haben. Auch der Iran, Nordkorea, Syrien oder die Türkei sind im Fokus. Und natürlich haben wir als Verfassungsschutz den 360-Grad-Blick und stellen auch Aktivitäten westlicher Nachrichtendienste fest.

Wann war denn der letzte Angriff, mit dem Sie zu tun hatten?

Der letzte öffentlich gewordene Angriff ist der auf ein Mitglied der Hamburgischen Bürgerschaft und eine Vielzahl weiterer Mitglieder von Parteien. Deren E-Mail-Accounts wurden kompromittiert. Hinter dem Angriff steckte mit großer Wahrscheinlichkeit ein staatlicher Akteur.

• Ende März war der Angriff auf sieben Bundestags- und 31 Landtagsabgeordnete öffentlich geworden, hinter dem der russische Geheimdienst GRU vermutet wird. Bei der Cyberattacke der Hackergruppe „Ghostwriter“ gingen sogenannte Phishing-Mails an die privaten Mailadressen der Abgeordneten und auch an Hamburger Politiker, die keinem Parlament angehören.
• Das vermeintliche Ziel: persönliche Daten abzugreifen, um diese beim nächsten Angriff oder in sozialen Netzwerken als falsche Identitäten nutzen zu können. Die Mails erweckten den Eindruck, sie seien eine offizielle Warnung der Provider. „In den Sicherheitsbehörden ist die Sorge groß, dass russische Geheimdienste versuchen könnten, gerade im Superwahljahr 2021 die politischen Prozesse in Deutschland zu beeinflussen oder massiv zu stören“, schreibt tagesschau.de dazu.

Wie laufen solche Angriffe ab?

Voß: Da gibt es viele Methoden. Zum Beispiel: Man bekommt eine Mail mit dem Hinweis, das Kennwort und die Zugangsdaten müssten erneut bestätigt werden. Begründet wird das damit, dass es einen Angriff auf dieses Postfach gegeben habe. Sobald man die Zugangscodes bestätigt, hat dieser ausländische staatliche Akteur Zugriff auf das Postfach. Wir haben es mit einer Vielzahl von Angriffen auf Politik, Wirtschaft und auch auf Privatpersonen zu tun. Die Accounts dieser Privatpersonen werden dann benutzt, um kompromittierende oder andere Mails zum Beispiel an andere Politiker zu schicken. So werden Vertrauen und Vertraulichkeit vorgetäuscht.

Kriminellen Hackern geht es bei Angriffen häufig darum, den Onlinebanking-Zugang zu knacken oder aber den Account neu zu verschlüsseln und den Gehackten damit zu erpressen. Welchen Schaden richten staatlichen Akteure, wie Sie sie nennen, mit dem Zugang zu privaten Postfächern an?

Voß: Wir sprechen vom „Staubsaugerprinzip“. Alle Informationen werden aufgesaugt, um zu schauen, was man mit denen anfangen kann. Wir wissen von einem Fall, in dem private Fotos genutzt wurden, um einen anderen Politiker zu kompromittieren, der nichts damit zu tun hatte. Es wird kompromittiert, es wird verunsichert. Es geht also nicht nur um klassische Spionage, es wird nicht nur technisches Know-how aus der Wirtschaft oder der Politik abgezogen, sondern es wird auch versucht, Verunsicherung zu produzieren.

Im Fall vom März wurde der private E-Mail-Account einer SPD-Bürgerschaftsabgeordneten gehackt. Wurden Daten für kompromittierende Mails abgezogen und genutzt?

Voß: Das ist beim Abfluss von Daten immer schwer zu detektieren. Wir haben frühzeitig gewarnt, und bisher liegen uns keine anderen Informationen vor.

Ihre Informationen über Hackerangriffe oder Spionageattacken erhalten Sie in erster Linie vom Bundesamt für Verfassungsschutz oder dem Bundesamt für Sicherheit in der Informationstechnik, kurz BSI …

Voß: … und über das Bundesamt als Zentralstelle auch von befreundeten ausländischen Nachrichtendiensten, die uns auf Angriffe anderer Staaten hinweisen. Darüber hinaus natürlich über Hinweise von Betroffenen – diese sind für uns sehr wichtig – und aus eigenen Erkenntnissen. Im konkreten Fall scheint es so, dass wir noch rechtzeitig die Betroffenen warnen konnten, sodass sie nicht auf die entsprechenden Mails reagiert haben.

Nach eigenen Angaben haben Sie im vergangenen Jahr 60-mal Firmen nach mutmaßlichen Cyberattacken ausländischer Stellen beraten. Was heißt „beraten“?

Voß: Wir führen generell zahlreiche Präventionsgespräche, informieren Firmen, wie sie sich vor Angriffen schützen können. Wir sind aber auch reaktiv tätig. In der jüngsten Zeit sind wir verstärkt auf Firmen zugegangen und haben sie gewarnt, dass sie Opfer eines Angriffs geworden sein könnten. Diese Angriffe werden immer besser. Das Dunkelfeld ist groß, viele Opfer bemerken den Angriff gar nicht. Die Zahl der Fälle nimmt stark zu. 2020 hatten wir 60 Einsätze mit Cyberbezug. Allein bis Mai dieses Jahres sind wir schon bei 101 staatlich gesteuerten nachrichtendienstlichen Cyberattacken tätig geworden, die wir 16 verschiedenen Kampagnen zuordnen können.

In Ihrem vor Kurzem vorgestellten Verfassungsschutzbericht warnen Sie ausdrücklich, dass die Aufgaben der Spionageabwehr und des Wirtschaftsschutzes durch die fortschreitende Digitalisierung immer wichtiger werden. Hafenwirtschaft und Schifffahrt nutzen vermehrt vernetzte maritime Navigationssysteme und Smart-Port-Strukturen. Welche Gefahren drohen?

Voß: Wir haben den Hinweis, dass ausländische Geheimdienste immer stärker auch Navigationssysteme in den Blick nehmen. Ein mögliches Szenario: Hacker könnten über manipulierte Navigationssysteme beispielsweise die angebliche Fahrrinne der Elbe verlegen, sodass ein Schiff auf Grund läuft.

Hacker könnten Schiffe durch Datenmanipulation für eine Blockade des Hafens nutzen, haben Sie gewarnt. Wie das?

Voß: Sie könnten im schlimmsten Fall den gesamten sogenannten Smart Port über digitale Manipulationen stilllegen. Ein Szenario ist: Wenn Sie am Terminal ein Containerschiff beladen, müssen Sie die Balance von leichten und schweren Containern beachten. Wenn diese nicht stimmt und das Schiff falsch beladen wird – nach einer bewussten digitalen Fehlsteuerung –, könnte es theoretisch im Hafenbecken umkippen und den Hafen blockieren.

Wie realistisch ist dieses Beispiel?

Voß: Das ist ein Szenario. Ein Angriff könnte auch über Schadsoftware bei Updates passieren. Die dargestellten Gefahren betreffen alle Betreiber kritischer Infrastrukturen im Transport und Verkehr – darunter die gesamte Seefahrt, die solche Navigationssysteme nutzt. Ein Ausfall der Häfen oder eine Sabotage des internationalen Seeverkehrs hätte schwerwiegende Folgen, beispielsweise für den internationalen Warenverkehr. Denken Sie an den blockierten Suezkanal und die Konsequenzen, wobei die Ursachen für die Havarie hier sehr wahrscheinlich andere sind. Oder die jüngst attackierte Pipeline in den USA. Cyberangriffe sind nicht auf die leichte Schulter zu nehmen – sie sind digitale Attentate.

Gab es die zuletzt auch in Hamburg?

Voß: Wir hatten vergangenes Jahr die Erkenntnisse, dass es durch ausländische staatliche Akteure zur Manipulation von Navigationssystemen kommen könnte. Daraufhin nahmen wir Kontakt zur Hafenbehörde HPA auf und haben in einer Veranstaltung mit Sicherheitsexperten aus Seeschifffahrt und Hafenwirtschaft vor der Bedrohung gewarnt und sensibilisiert, ihre Systeme durch die eigenen Techniker überprüfen zu lassen.

Von wem stammen solche Erkenntnisse und Hinweise auf Manipulationen. Auch aus betroffenen Unternehmen selbst?

Voß: Auch, aber die werden seltener, da die Schadsoftware immer „besser“ wird, also immer schwieriger zu detektieren. Die Hinweise aus dem Bundesamt für Verfassungsschutz und aus dem BSI nehmen hingegen zu. Und wir haben natürlich auch eigene Erkenntnisse. Hamburg steht im Übrigen durch den Hafen mehr im Fokus ausländischer Dienste als andere deutsche Städte.

Neben der beschriebenen Manipulation der Software gibt es die klassische Wirtschaftsspionage. Welche Rolle spielt die heute?

Voß: Nach wie vor eine massive. Nochmals das Stichwort „Staubsaugerprinzip“ – wenn Hacker bestimmter ausländischer Nachrichtendienste ein System erobert haben, saugen sie alle Daten ab, die sie finden. Ziel solcher staatlichen Akteure ist dann, einen Wettbewerbsvorteil für das eigene Land zu generieren. Wir beobachten aber auch, dass technisches Know-how erlangt werden soll, indem Firmen, die darüber verfügen, einfach übernommen werden. Motto: Warum soll ich als Weltmacht spionieren, wenn ich das Unternehmen mit der gesamten Technologie auch kaufen kann.

Pharmaunternehmen wie Biontech oder Astrazeneca stehen nicht zum Verkauf, dürften aber „lohnende Ziele“ für Spionage sein. Impfstoff-Daten sind derzeit weltweit mit das wertvollste Gut. Zumindest die Europäische Arzneimittelbehörde EMA ist ja schon Opfer eines Hackerangriffs geworden.

Voß: Wir haben die Gefahr sehr früh erkannt, nämlich in der Phase, als der Impfstoff entwickelt wurden. Unternehmen, die daran gearbeitet haben, sind in den Fokus ausländischer Geheimdienste geraten. Das Ziel war und ist, Informationen abzuschöpfen. Das wird sicherlich auch noch so bleiben, weil die Impfstoffe weiterentwickelt werden müssen. Generell werden bei dem Versuch, Wissen abzuschöpfen, nicht nur Cyberangriffe eingesetzt, sondern auch die Methoden der klassischen Spionage. Man versucht, einen Spion in ein Unternehmen einzuschleusen oder einen vorhandenen Mitarbeiter mit viel Geld anzuwerben. Eine weitere Möglichkeit ist, einen Mitarbeiter zu kompromittieren und über Erpressung ein Einfallstor ins Unternehmen zu öffnen. Der Kontakt kann auch über soziale Netzwerke, zum Beispiele Karrierenetzwerke, erfolgen – oder ganz klassisch und zunächst völlig harmlos bei Veranstaltungen. Auch ein unzureichend abgesicherter Homeoffice-Arbeitsplatz bietet Angriffsmöglichkeiten.

Halten Sie den Schutz der Unternehmen auch in Hamburg für ausreichend?

Voß: Ich meine nein. Wir sprechen jetzt nicht über Großunternehmen, unsere Zielrichtung sind mittelständische Unternehmen, die manchmal am falschen Ende sparen. In den Präventionsgesprächen stellen wir dann und wann eine gewisse Blauäugigkeit fest. Es fehlt dann eine digitale Souveränität, ein Gefahrenbewusstsein. Ein Beispiel: Ein Unternehmen schützt sich und seine Anlagen hier ausreichend, vergibt aber bestimmte Gewerke ins Ausland, weil die Produktion dort günstiger ist. Die Teile kommen dann ungeprüft auf Schadsoftware nach Deutschland zurück und werden hier eingebaut. Manch traditionelle Unternehmen werden von der Digitalisierung auch überrollt. Das Problem ist das Dunkelfeld. Bei einem physischen Überfall ist das Geld weg. Bei einem digitalen Überfall ist scheinbar noch alles in Ordnung. Man bemerkt den Abfluss der Daten unter Umständen gar nicht.

Das war jetzt kein fiktives Beispiel?

Voß: Nein. Es gab konkrete Fälle, der Verfassungsschutz sichert den Betroffenen aber Vertraulichkeit zu, daher bitte ich um Verständnis, dass ich hier nicht konkreter werde.

Lässt sich der wirtschaftliche Schaden durch Spionage und Cyberattacken für Hamburger Unternehmen beziffern?

Voß: Das ist schwierig. Zum einen gibt es die Angriffe, die gar nicht bemerkt werden. Dann gibt es die Angriffe, die stattfinden, bemerkt werden, aber von denen wir als Verfassungsschutz nichts erfahren, weil die Unternehmen den Vorgang geheim halten wollen – aus Angst, dass, wenn der Anschlag bekannt wird, Kunden wegbrechen. Wir können nur an die betroffenen Firmen appellieren, sich bei uns zu melden. Digitale Angriffe sind Anschläge, die wir grundsätzlich vertraulich behandeln. Wir haben im Unterschied zu Polizei und Staatsanwaltschaft kein Legalitätsprinzip und müssen daher nicht jede Tat den Strafverfolgungsbehörden melden. Daher haben wir zu vielen Hamburger Unternehmen seit Jahren einen vertrauensvollen Draht.