«Wir haben nach wie vor eine schlechte Cyberhygiene»

Frau Dunn Cavelty, Cyberkriminalität ist unter Verbrechern anscheinend populär. Könnte da jeder einsteigen?

Das kann theoretisch jeder, auch wenn ich es Ihnen nicht empfehlen würde. Es gibt da einen Haufen Online-Anleitungen. Sie müssen es aber nicht einmal selber machen: Im Darknet können Sie ganze Teams mit präzisen Aufträgen anheuern – kommt darauf an, wie viel Geld Sie haben. Der Markt der Cyberkriminalität hat sich in den letzten zehn Jahren stark professionalisiert.

Haben die Angriffe zugenommen?
Das kann man sagen – um wie viel sie zugenommen hat, wissen wir aber nicht. Eine Datenanalyse ist schwierig, denn lange nicht alle Angriffe werden bemerkt geschweige denn gemeldet.

Myriam Dunn Cavelty

Myriam Dunn Cavelty ist stellvertretende Leiterin am Center for Security Studies der ETH Zürich. Die Politologin ist auf die Dynamiken und Risiken von Cyber-Security und Cyber-War spezialisiert und als Beraterin für Regierungen und internationale Institutionen tätig.

Merke ich, wenn ich Ziel eines Angriffs war?
Gewöhnlichen Kriminellen geht es um den Profit. Die fordern Lösegeld oder klauen die Kreditkartennummer – Sie bemerken sie also irgendwann. Anders im High-End-Bereich, wo es um Spionage geht: Hier ist das Ziel, dass der Angriff nicht entdeckt wird. Dahinter stecken meist politische Akteure, die hochprofessionell vorgehen.

Hinterlässt jeder Angreifer Spuren?
Grundsätzlich schon, aber es gibt sehr gute Angreifer, die ihre Spuren verwischen. Auch Hacker von politischen Akteuren wissen oft nicht genau, wonach sie suchen und wo die Information liegen. Zuerst übernehmen sie die Kontrolle über ein System und schauen sich dann um. Die Angreifer steuern den Angriff also und entwickeln ihn weiter. Manchmal sieht man auch erst über die Daten, die abgesogen wurden, was die Angreifer wollten und wer sie sein könnten.

Wie hacken sich Cyberkriminelle eigentlich in die Systeme?
Es gibt in einem Unternehmen ja eine diverse IT-Infrastruktur. Software, Hardware und Protokolle, welche die Abläufe regeln. Das sind Tausende Zeilen Programmiercode, da hat es Tausende Sicherheitslücken drin, sogenannte Exploits. Diese werden ausgenützt, um den Computer auszutricksen, einen gefälschten Befehl zu machen. Die wertvollsten Lücken sind jene, die nur wenige kennen, sogenannte Zero-Day-Exploits. Für diese Exploits haben die Firmen noch keine Patches, Pflästerli, gemacht. Die können auf dem Schwarzmarkt gekauft werden. Sie kosten aber sehr viel Geld: 300 000 bis eine Million Dollar, sagen Schätzungen.

Lohnt sich ein solcher Deal für Cyberkriminelle überhaupt?
Für die meisten Kriminellen sind solche Angriffe nicht rentabel. Erst nach Snowden hat man begriffen: Es sind grosse Geheimdienste, die auf den Schwarzmarkt gehen, um sich solche Exploits zu kaufen. Das sind gross angelegte Projekte von staatlichen Akteuren. Es dauert dann häufig ein bis zwei Jahre, bis so ein Angriff zum Ziel kommt und er ist mit hohen Risiken und Kosten verbunden. Denn der Auftraggeber weiss nicht, ob er wirklich bekommt, was er will.

Kann man sich eigentlich gegen alle Arten von Angriffen schützen?
Der Schutz wird immer besser, richtig guter Schutz ist aber sehr teuer. Er ist nicht immer für alle erschwinglich und nötig. Es gibt mittlerweile auch einen Markt von sogenannten Threat-Intel-Companies, die Schutz aufbauen und Angriffen nachgehen. Man muss aber nicht immer die virtuelle DNA des Täters aufspüren. Oft reicht es, die Methoden zu analysieren, um den Urheber des Angriffs zu lokalisieren.

Sind die Schweizer gewappnet?
Wir haben nach wie vor eine schlechte Cyberhygiene. Für die meisten kleinen und mittleren Unternehmen ist Cyber-Security nebensächlich. Oder sie kommen bei einer Risikoanalyse zum Schluss, dass sich ein raffinierter Schutz nicht lohnt. Auch gibt es zu wenige Spezialisten auf dem Markt. Bei grossen Firmen, speziell in der Finanzbranche, sieht das anders aus. Die UBS zum Beispiel ist hochspezialisiert in Cybersecurity, denn sie ist Hauptangriffsziel. Die Banken geben dafür sehr viel aus und sind in vielen Bereichen stärker als der Staat.

Apropos Staat: Steckt die Welt in einem Cyber-Krieg?
Das hängt von der Definition ab, aber ich würde sagen nein, denn dafür müssten Armeen involviert sein und es müsste zu Zerstörung kommen. Aber: es herrscht sehr viel Unfrieden im Netz. Die meisten staatlichen Cyber-Attacken finden bewusst unter der Kriegsschwelle statt. Man macht nichts kaputt, aber man zeigt sehr aktiv, was man kann. Man tritt dem anderen also ans Bein. Das betrifft vor allem die Grossmächte USA, Russland, China, Nordkorea, Iran. Auch sind die Geheimdienste hier federführend, nicht das Militär. Denn: Das Militär muss sich ans Völkerrecht halten, an Abmachungen halten. Bei den Geheimdiensten gibt es solche Regeln nicht, da gibt es nur Gentlemen’s-Agreements: also eigentlich wissen einfach alle, dass sich alle gegenseitig ausspionieren.

Ein digitales Scharmützel also ohne Regeln.
Genau. Die Akteure gehen weit: Die Russen, die sich bei den amerikanischen Wahlen einmischen. Die Amerikaner, die sich ins russische Stromnetz einhacken. So verwischt der Raum zwischen Krieg und Frieden. Das Problem ist: Es ist jetzt nicht eine Armee, die getroffen wird, sondern das sind «unsere Netzwerke», die jeder Weltbürger benutzen will. Die Geheimdienste operieren also auf zivilen Netzwerken.