Gaycken: Es gibt keine IT-Sicherheit
11. Juni 2015Deutsche Welle: Die Rede ist von der "schwersten Computer-Spionageattacke" der Geschichte des Bundestages. Die Trojaner sind im Bundestagsnetzwerk "Parlakom" immer noch aktiv. Was ist denn da genau passiert?
Sandro Gaycken: Da hat wohl ein Nachrichtendienst zugeschlagen und hat sich Zugang verschafft auf die internen Systeme des Parlaments. Gelingen konnte dies entweder über einen Kollaborateur, einen internen Mithelfer, oder per Internet, indem ein infiziertes Dokument per E-Mail verschickt wurde. Von dort konnte sich der Virus weiterverbreiten indem er sich weitere Zugänge auf verschiedenen Rechner gelegt hat. Im letzten Schritt wurde ein Außenkanal gelegt. Über diesen ist es nun möglich, Informationen nach außen "abzusaugen".
Müssen die Abgeordneten damit rechnen, dass auch ihre privaten E- Mails betroffen sind?
Die Abgeordneten müssen damit rechnen, dass alles weg ist: Sämtliche Kommunikation, alle Verbindungen, Kontakte, Organisationsstrukturen. Dies bezieht sich auch auf alle Dokumente, die sie erstellt haben. Ob das dann aber veröffentlicht wird, ist eine andere Frage. Normalerweise behält ein Nachrichtendienst so ein Wissen für sich und hat kein Interesse, dies an die Öffentlichkeit zu lancieren. Es sei denn, es nützt ihnen politisch.
Hinter dem Hackerangriff auf den französischen Sender TV5 Monde standen wohl russische Spione. Wer könnte denn in diesem Fall dahinter stecken?
Man hat ein paar digitale Indikatoren, aber die können leider immer zu einhundert Prozent gefälscht sein. Von daher ist es sehr schwierig herauszufinden, wer hinter den Angriffen steckt. Es sei denn, man hat irgendwelche Insider bei den Angreifern, die einem das verraten könnten. Letztlich wird es nur mit Hilfe von Nachrichtendiensten, die Kontakte ins Ausland haben, möglich sein festzustellen, wer dahinter steckt.
Zum eigentlichen Vorfall ist es schon im Mai gekommen. Warum dauert es so lange herauszufinden, was genau vorgefallen ist?
In der Schwere und in der Qualität ist das immer sehr schwierig aufzuklären. Man sieht ja nur, dass da jemand in diesem System ist, aber nicht, wer das ist, was da genau abgeflossen ist. Das ist eine unglaublich schwierige forensische Arbeit, die sich teilweise monatelang hinziehen kann.
Wie konnte es denn so weit kommen, dass das deutsche Parlament nicht ausreichend gegen solche Angriffe geschützt ist?
So traurig es ist: Es gibt prinzipiell keine ausreichenden Sicherheitssysteme am Markt. Auch diese ganzen Sicherheitskonzepte, die man dazukaufen kann, funktionieren alle nicht. Zumindest nicht gegen nachrichtendienstliche Angreifer.
Das klingt ernüchternd. Ihr Fazit: Schade, dass es passiert ist. Wir können nichts tun?
Man kann eine Menge tun. Das sind aber alles langfristige, strategische Dinge. Diese "wir machen jetzt mal schnell alles sicher" - Geschichten funktionieren seit Jahren nicht. Wenn ein Angriff dieser Größenordnung geschieht, muss man alle Systeme austauschen. Möglichst komplett. Der nächste Schritt wäre, harte Isolierungskonzepte einzubauen. Langfristig muss man sehen, dass man eine IT baut, die in dieser Qualität Sicherheit bietet.
Wie könnte eine solche IT aussehen?
Ich bin großer Verfechter von Hochsicherheits-IT. In der Forschung gibt es dazu schon unterschiedliche Ansätze. Letzten Endes sind das Computer, die nicht "hackbar" sind. Da braucht man gar nicht wirklich IT-Sicherheit draufzuschrauben. Das heißt, es müsste jetzt Unternehmen geben, die bereit sind, ein paar Hundert Millionen in die Hand zu nehmen, diese Sachen zu bauen und auf den Markt zu bringen. In der Vergangenheit hat man viel zu sehr auf kommerzielle, einfache IT gesetzt.
Bedeutet das, dass die Sicherheitskonzepte dem eigentlichen Kenntnisstand hinterherrennen?
Absolut. Und zwar um Jahre. Das ist kein Katz und Maus Spiel wie die IT-Sicherheitsindustrie immer behauptet. Die Wahrheit ist: Die IT-Sicherheit hängt dem Kenntnisstand der Angreifer um Jahre in der Entwicklung und von den finanziellen Ressourcen um mehrere Milliarden Dollar hinterher.
Dr. Sandro Gaycken ist Senior Researcher für Cybersicherheit an der European School of Management and Technology in Berlin.
Das Gespräch führte Daniel Heinrich.