Cyber-Attacken: Was wir aus den Angriffen in der Vergangenheit lernen können

10. Juli 2019

Weltweite Datenübertragungsnetze setzen die bisherigen nationalen Grenzen des Handels, der Kommunikation und der Dienstleistungen außer Kraft. So ist es seit Anfang der 90er Jahre möglich, Produkte und Dienstleistungen weltweit online zu vertreiben, auch wenn diese gegen die jeweiligen nationalen Gesetze verstoßen. Hier entstand ein neues Klima für grenzüberschreitende Cyber-Angriffe. Ein Blick in die Geschichte zeigt: Die Cyber-Kriminellen passen sich dem Zeitgeist an und suchen immer wieder neue Schlupflöcher und weltweit nach Angriffsmöglichkeiten.

Die Anfänge

Die ersten Geschädigten grenzüberschreitender Cyber- Kriminalität waren überwiegend in Nordamerika. So traf es seit Ende der 90er Jahre vor allem die Zahlungsdienstleister in den USA. Wurden am Anfang vor allem technisch ungenügend gesicherte multinationale Handelsketten angegriffen, so verlagerten sich die Schwerpunkte der Cyber-Attacken später auf einzelne private Kreditkartennutzer. Doch erst der massenhafte Diebstahl von Kreditkarten-Informationen beim Möbelunternehmen TJX Retail und beim Discounter Target Corporation einige Jahre später sensibilisierte die Öffentlichkeit über das Ausmaß der Schäden durch Cyber-Angriffe.

Allein bei TJX Retail entwendeten die Angreifer in dem Zeitraum von Dezember 2006 bis März 2007 Kreditkarteninformationen von rund 45,7 Millionen Kunden des Unternehmens, kopierten sie anschließend und verwendeten sie widerrechtlich als Zahlungsmittel. Der wirtschaftliche Gesamtschaden für TJX Retail ist schwer zu beziffern, dürfte aber bis zu einer Milliarde USD betragen haben, wenn man den Reputationsschaden für das Unternehmen und die Folgekosten mitberücksichtigt. Nachdem derartige Angriffe zunahmen, wurden technisch verbesserte Übertragungswege von Kreditkarteninformationen eingeführt und für alle Zahlungsdienstleister verbindlich vorgeschrieben.

Die Weiterentwicklung

Die Cyber-Kriminellen verlagerten ihre Aktivitäten auf weniger geschützte Ziele, zum Beispiel die Cyber-Erpressung von Unternehmen oder die Entwendung personenbezogener Daten für den Handel im Darknet als eine mögliche neue Erwerbsquelle. Laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) waren in Deutschland in den Jahren 2016 bis 2018 neben Privatpersonen vermehrt Krankenhäuser, Gesundheitseinrichtungen und Hotels von Cyber-Erpressungen betroffen. Eine technische Neuentwicklung befeuerte den kriminellen Erwerbszweig zusätzlich: Kryptowährungen. Dieses Zahlungsmittel ermöglichte weltweit anonymisierte elektronische Zahlungsvorgänge per Mausklick und gestattete es den Angreifern weitestgehend gefahrlos, sich die Gewinne aus den grenzüberschreitenden Straftaten anzueignen.

Mit der Zunahme der weltpolitischen Spannungen seit Anfang 2010 wuchs auch die Anzahl von Cyber-Angriffen ohne eine direkte finanzielle Motivation der Angreifer. Derartig politisch motivierte Cyber-Manipulationen richteten sich bewusst, unterhalb der kriegerischen Schwelle, gegen strategische Projekte der vermeintlichen Gegner. Das Prinzip: Mit relativ geringem technischen Aufwand exterritorial ausgeführt, können empfindliche Störungen des öffentlichen Lebens hervorgerufen werden, ohne dass sich der jeweilige Verursacher zweifelsfrei feststellen lässt. So ist zum Beispiel die Störung der iranischen Atomforschung durch Cyber-Angriffe allgemein bekannt.

Die Forderungen für die Zukunft

In letzter Zeit rücken verstärkt die Energie- und Telekommunikations-Versorger in den Focus von Cyber- Angreifern. Die direkten Folgen von erfolgreichen Cyber-Attacken sind vielfach untersucht worden und wissenschaftlich belegbar. Bereits nach wenigen Tagen Stromausfall wäre das gesamte öffentliche Leben eines Landes lahmgelegt. Durch den Ausfall der Kommunikation, des Handels, des Verkehrs und des Gesundheitswesens würden sich bereits nach drei bis vier Tagen Komplettausfall bürgerkriegsartige Unruhen einstellen. Das Vertrauen der Bürger in den Staat wäre nach einem derartigen Vorfall empfindlich gestört.

Die Privat- und Versicherungswirtschaft bietet Unternehmen und Bürgern diesbezüglich vielfältige Lösungen an. Dazu zählt ebenfalls die technische Unterstützung im Schadenfall durch sofortige und qualifizierte Hilfe von Service Providern an 24 Stunden an sieben Tagen in der Woche. Das Szenario eines mehrtägigen Stromausfalles geht jedoch weit über das mögliche Leistungsspektrum der weltweiten privaten Versicherungswirtschaft hinaus. Es sollte daher die hoheitliche Aufgabe eines Staates sein, dieses „Worst-Case-Szenario“ eines flächendeckenden Stromausfalles erst gar nicht zuzulassen.

Die Energiewende in Deutschland ist ein zentrales Vorhaben der Bundesregierung. Hier gilt es, rechtzeitig die Weichen für eine gesicherte energetische Zukunft zu stellen. So bedarf es weiterer Forschungen in Bezug auf den geplanten massenhaften Einsatz von „Smart Metern“. Diese intelligenten Messsysteme speichern den Stromverbrauch und versenden die erhobenen Daten automatisch per Kommunikationsschnittstelle.

Das ermöglicht es, den Nutzern ihren Verbrauch komfortabler etwa per App zu erfassen und soll sie zum Energiesparen animieren. Doch auch wenn das BSI hohe Sicherheitsstandards gewährt, bleibt jedes Online-System prinzipiell angreifbar. Hier gilt es, mögliche Manipulationen durch Cyber-Angreifer weitestgehend auszuschließen, um die Energiesicherheit der Bundesrepublik Deutschland nicht zu gefährden.

Der Ausbau der Elektromobilität ist ein weiteres Prestigeprojekt. Die Umstellung des privaten Verkehrs auf Elektroantrieb birgt neben den Vorteilen nicht zu unterschätzende Risiken im Cyber-Bereich. Ein zeitlich abgestimmter flächendeckender Angriff auf die Ladestationen von Elektroautos ist denkbar. Gezielte Cyber-Attacken auf die Steuerung der Ladezyklen von E-Autos würden die Stabilität der Stromversorgung massiv negativ beeinflussen. Dies sind nur einige Beispiele möglicher Cyber-Risiken der Zukunft, welche eine abgestimmte Lösung erfordern.

All diese Gefahren sind bekannt und daher auch technisch beherrschbar. Es gilt vor der flächendeckenden Einführung dieser Technologien, geeignete Rahmenbedingungen für eine reibungslose Funktion dieser Vorhaben zu schaffen. Aus diesem Grund wäre es notwendig, alle Erkenntnisse aus Forschung und Entwicklung, aus der Privatwirtschaft und der staatlichen Schutzorgane vor Einführung neuer Technologien zusammenfließen zu lassen und die notwendigen Rückschlüsse für eine störungsfreie Umsetzung zu ziehen.

© MunichRe

André Grochowy ist Senior Cyber Underwriter der Munich Re und Fellow of the Chartered Insurance Institute in London. In seiner jetzigen Funktion erstellt er die Rahmenbedingungen für das Cyber Underwriting der Munich Re Gesellschaften und unterstützt die weltweite Geschäftsentwicklung der Cyberversicherung mit seiner fachlichen Expertise. Darüber hinaus war Herr Grochowy Leader des „Cyber Expert Teams“ der Munich Re. Seine langjährigen Erfahrung mit komplexen Cyber- Risiken sammelte er als Senior Underwriter globaler Zedenten in den USA, Bermuda und in London. Herr Grochowy war aktiv an der Ausgabe – acatech HORIZONTE Cyber Security beteiligt.

Die Beiträge im HORIZONTE logbuch geben die Meinungen und Experteneinschätzungen der Autorinnen und Autoren wieder und nicht Positionen von acatech – Deutsche Akademie der Technikwissenschaften.

← Zur HORIZONTE logbuch Hauptseite

Schlagwörter

acatech HORIZONTE | Cyber Security | Digital & Selbstlernend | Sicherheit

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert