Hamburg. Informatikprofessor Hannes Federrath erläutert, wie Cyberkriminelle vorgehen – und warum sie es oft leichter haben als früher.

Internetkriminelle attackierten zuletzt etwa die Website des Hamburger Flughafens und die digitale Infrastruktur der Hochschule für Angewandte Wissenschaften Hamburg (HAW). Nicht einmal vor IT-Systemen der Hamburger Friedhöfe machten Hacker halt.

Über die Hintergründe solcher Angriffe sprach das Abendblatt mit dem Informatik-Professor Hannes Federrath. Er leitet die Arbeitsgruppe Sicherheit in verteilten Systemen an der Universität Hamburg. Federrath war von 2018 bis 2020 Präsident der Gesellschaft für Informatik.

Hamburger Professor warnt: Hackerangriffe werden häufiger

Die Zahl der gemeldeten Cyber-Attacken in Hamburg ist zuletzt kontinuierlich gestiegen: von 74 Fällen im Jahr 2019 auf 227 im Jahr 2022. Muss sich die Hansestadt auf eine weitere Zunahme von Hackerangriffen einstellen?

Hannes Federrath: Wir alle müssen uns auf eine weitere Zunahme von erfolgreichen Hackerangriffen einstellen. Schon jetzt liegt die Zahl der tatsächlichen Angriffe um viele Größenordnungen über dem, was aus offiziellen Meldungen bekannt ist. Das betrifft nicht nur automatisierte Cyberattacken, sondern auch zielgerichtete Angriffe.

Wie ist diese Zunahme zu erklären?

Für Hacker, die Lösegeld fordern, damit sie gekaperte IT-Systeme und verschlüsselte Daten wieder freigeben, sind Attacken lohnender geworden durch das Aufkommen von digitalen Zahlungssystemen wie Bitcoin und anderen Kryptowährungen. Dabei ist nämlich die Rückverfolgung der Zahlung zu den Tätern schwierig. Kriminelle setzen solche digitalen Zahlungssysteme auch beim Kauf von Drogen und Waffen in versteckten Teilen des Internet ein.

Zu der Attacke auf die HAW Hamburg soll sich die Hackergruppe „Vice Society“ bekannt haben; die Rede war von Erpressung.

Dazu habe ich keine Informationen. Aber es geht heutzutage bei solchen Online-Angriffen fast immer um Geld. Dieses „Geschäftsfeld“ nutzen Hacker inzwischen exzessiv. Bei ihren Attacken haben sie es oft leichter als früher – ein weiterer Grund für die Zunahme von Cyber-Angriffen.

Inwiefern?

Viele Firmen, aber auch Behörden, können offenbar die zunehmende Komplexität von IT nur noch schwer beherrschen. Deswegen gibt es den Trend, dass sich IT-Abteilungen auf wenige, vermeintlich ausgereifte Software und digitale Plattformen konzentrieren, über die sie einen Großteil ihrer Bedarfe abwickeln – von der Personalverwaltung über die Kommunikation bis zum bis externen Service für Nutzer und Kunden. Früher wurden dafür viele verschiedene Computerprogramme eingesetzt; es gab eine Heterogenität der In­frastruktur – das machte zielgerichtete Cyber-Attacken schwieriger.

Heute hingegen ...

... bietet sich Hackern eine ungleich größere Angriffsfläche, da immer wieder Lücken in Systemen auftauchen, die von vielen Einrichtungen standardmäßig für mehrere Anwendungen genutzt werden. Ein Hacker, der in fünf Systemen nach Sicherheitslücken suchen muss, hat viel mehr Arbeit, als wenn er auf ein System stößt, von dem er relativ sicher sein kann, dass es eine Lücke enthält.

In Hamburg haben Cyber-Attacken seit Anfang 2022 nicht nur Unternehmen getroffen, etwa die Entsorgungsfirma Otto Dörner, den Tanklagerbetreiber Oiltankin und die Kupferhütte Aurubis, sondern u. a. auch die IT der Friedhöfe und der HAW Hamburg. Es sei „auffällig“, dass es zuletzt sehr weitreichende Angriffe auch auf öffentliche Stellen gegeben habe, sagte Hamburgs Datenschutzbeauftragter Thomas Fuchs. Was steckt dahinter?

Zumindest große Unternehmen haben inzwischen reichlich Vorsorgemaßnahmen ergriffen. Das schließt Hacker-Attacken nicht aus, kann aber abschreckend wirken. Wenn es Türsteher gibt und Angreifer wissen, dass sie unter Beobachtung stehen, dann werden sie sich eher nicht dieses Angriffsziel aussuchen. Dagegen haben sich viele öffentliche Einrichtungen bisher in Sicherheit gewogen und weniger zu ihrem Schutz unternommen. Die problematische Homogenisierung der genutzten IT-Systeme ist inzwischen auch in Hochschulen, Verwaltungen und Behörden gang und gäbe.

Wie gehen die Angreifer vor?

Sie analysieren zunächst, welche Standardprodukte typischerweise von einem Unternehmen oder einer öffentlichen Einrichtung eingesetzt werden und welche Sicherheitslücken diese Systeme haben. Die Vorbereitung kann sich über Monate erstrecken. Häufig gelingt es den Hackern, viele Informationen allein schon aus öffentlichen Quellen zu beschaffen, etwa von Internetseiten der Rechenzentren verschiedener Einrichtungen. Einige spezialisierte Hackergruppen verkaufen Infos über Schwachstellen auf dem Schwarzmarkt, andere nutzen sie für eigene Attacken. Ein weiteres Einfallstor für Hacker ergibt sich durch das zunehmende Homeoffice.

Warum?

Viele Unternehmen haben ihre digitale Infrastruktur geöffnet, damit diese von außen für Mitarbeitende erreichbar ist. Über ein sogenanntes Probing, eine spezielle Art der Kontaktaufnahme mit Rechnern, die eine Organisation betreibt und die übers Internet erreichbar sind, können Hacker einiges herausfinden über genutzte Softwareprodukte. Man kann sich das so ähnlich vorstellen wie mit Autos, die auf dem Parkplatz stehen: Jemand geht diese Autos ab und rüttelt an der Tür. Einige Autobesitzer haben vielleicht vergessen, abzuschließen.

Und wenn der Zugang gut gesichert ist?

Dann gibt es für Hacker weitere Möglichkeiten, etwa das Phishing, also der Versuch, über gefälschte Kurznachrichten, E-Mails und Webseiten an vertrauliche Informationen zu kommen. Es kommt etwa eine E-Mail, die vermeintlich von einem Mitarbeiter des eigenen Unternehmens oder der eigenen Organisation stammt. Klickt man wie gefordert auf einen angegebenen Link, installiert sich womöglich schon eine Schadsoftware. Die Angreifer greifen dann auf sensible Daten zu, machen typischerweise Kopien davon, verschlüsseln sie – und erpressen die Betroffenen: Daten gegen Lösegeld.

Wie können sich Firmen und öffentliche Einrichtungen schützen?

Sie sollten weg von der Homogenität bei ihrer Software und wieder auf eine Vielfalt an Systemen setzen, die immer aktuell sein müssen. Auch wichtig ist eine durchgehende Verschlüsselung und Signatur von E-Mails, weil es damit leicht möglich ist, die Echtheit eines Absenders zu erkennen. Zudem braucht es Notfallpläne und regelmäßige Übungen, mit denen der Ernstfall simuliert wird. Beschäftigte müssen gut geschult werden, damit sie erkennen, wo Risiken lauern, schnell reagieren können und interne Ansprechpartner kennen. Lieber einmal mehr warnen als zu wenig. Denn es genügt ja manchmal ein einziger Mitarbeiter, der falsch handelt.

An der HAW Hamburg waren zuletzt acht Stellen in der IT-Abteilung unbesetzt. Es gab auch Überlastungsanzeigen. Ist es auch eine Frage der personellen Ausstattung, wie gut der Schutz vor Cyber-Attacken ist?

Ja. Aber die Größe einer IT-Abteilung ist in der Regel nicht entscheidend. Eine größere Rolle spielen die schon genannten anderen Gründe. Wenn man allerdings über Personal redet, muss man auch über Outsourcing sprechen, also den Umstand, dass viele IT-Abteilungen einen Teil ihrer Aufgaben ausgelagert haben oder auslagern mussten. So verliert man Kompetenz im eigenen Haus und ist im Notfall darauf angewiesen, dass andere helfen – was dauern kann, wenn der Dienstleister alle Hände voll zu tun hat. Wer sich als Firma oder öffentliche Einrichtung gut aufstellen will, sollte ein IT-Team haben, das schnell handlungsfähig ist. Diese Anforderung ist, so meine ich, in den vergangenen Jahren in vielen Einrichtungen nicht gesehen worden.