Angriff aus dem Cyberspace – wie verwundbar sind wir?
Angriff aus dem Cyberspace – wie verwundbar sind wir?
Regierungen, Unternehmen, kritische Infrastruktur – keiner ist mehr vor Cyberangriffen sicher. Und der jüngste Leak der geheimen Vulkan Files beweist: Auch Staaten sind unter den Hackern. Wo sind unsere Schwachstellen? Und wie können wir uns schützen?
Befinden wir uns bereits in einem Cyberkrieg? Und wenn ja, wie können wir uns schützen? Warum ist es so schwer, ein IT-System cybersicher zu machen? Und wie werden neue Technologien wie die Künstliche Intelligenz den ewigen Wettlauf zwischen Hackern und Verteidigern verändern? Harald Lesch begibt sich selbst in den Cyberspace und verfolgt die Spur der Hacker.
Im Dezember 2018 veröffentlicht ein Twitter-Account namens „G0d“ als Adventskalender sensible Daten von Prominenten wie Jan Böhmermann, Sido und Til Schweiger. Auch Politiker:innen wie Angela Merkel, Journalist:innen und Musiker:innen sind Opfer. Adressen, Bankverbindungen, Handynummern, Scans von Ausweisen – alles gelangt an die Öffentlichkeit. Wer war in so viele Systeme eingedrungen? Und wie? Die Systeme der Prominenten wurden vermutlich schon lange Zeit davor infiziert, um Passwörter zu erbeuten. Die Daten werden danach im Netz zum Kauf angeboten. In bestimmten Foren sind Listen mit Schwachstellen und Sicherheitslücken im Angebot. Sogar fertige Schadprogramme. Kaum zu glauben: Hacken ist ein Geschäftsmodell wie jedes andere auch. Wer die Zugangsdaten nun erwirbt, kann mit ihnen buchstäblich durch die Haustür hineinspazieren. E-Mail-Postfächer, Social Media: Der Käufer oder die Käuferin kann sich kinderleicht in die Onlineprofile ihrer Opfer einloggen. Nur Spuren sollte man dabei nicht hinterlassen. Denn jede könnte die Identität des Täters oder der Täterin enthüllen. Es braucht geschulte IT-Forensiker:innen, um aus den Spuren Informationen abzuleiten. Die Ermittler:innen brauchten Monate, bis sie in diesem Fall unter den Verdächtigen den Täter dingfest machen konnten. Entscheidend war der Hinweis eines Zeugen. Der Hacker ist ein Schüler aus Hessen – gerade mal 19 Jahre alt. Er kaufte die Passwörter von zwölf Milliarden Onlinekonten – im Abo für zwei Euro pro Tag. Ein junger Mann, der ohne große IT-Kenntnisse einen immensen Schaden angerichtet hat. Der Fall landet unter anderem wegen Ausspähen von Daten, Datenhehlerei und Datenfälschung vor Gericht. Das Urteil: neun Monate auf Bewährung.
Waschmaschinen, Saugroboter, Kaffeemaschinen, Thermostate oder fernsteuerbare Glühlampen – Smart Home-Geräte sind kleine Computer und nicht selten die Kompliz:innen der Cyberkriminellen. Weder die Hersteller:innen noch die Benutzer:innen achten auf deren IT-Sicherheit. Viele ändern zum Beispiel nie das Standardpasswort. Wenn die Hacker:innen sie infizieren, koppeln sie die Rechenleistung der Geräte miteinander. Die Kaffeemaschine kocht jetzt nicht nur Kaffee, parallel attackiert sie auf Befehl unseriöser Systemspezialist:innen große Ziele – mit ungeahnten Folgen. Fast alles ist mittlerweile digital. Der Handel, Banken, die öffentliche Sicherheit, Krisenmanagement, Rettungsdienste oder auch die Energieversorgung. Alles wird digital gesteuert. Hacker:innen haben viele Angriffspunkte. Wie zahlreich ihre Attacken sind, wird bei einem großen Telekommunikationsanbieter in Bonn überprüft. Die IT-Expert:innen stellen absichtlich schlecht gesicherte Geräte als Fallen auf und zählen, wie viele Hacker:innen hineintappen. Zwischen 30.000 und 70.000 Angriffe gelten als normal – pro Minute! Expert:innen schätzen, dass jeden Tag mehrere Tausend davon erfolgreich sind. Im Vergleich zu den Angriffszahlen muss man fast sagen: „Nur.“ Kein System ist zu 100 Prozent sicher. Und viele von uns handeln viel zu leichtsinnig und lassen ihre Haustür zudem noch sperrangelweit offenstehen. Laut dem Jahresbericht 2022 des Bundesamtes für die Sicherheit in der Informationstechnik spitzte sich im Berichtszeitraum die bereits zuvor angespannte Lage weiter zu.
Bildquelle: obs
Am 11. Mai 2015 wird der Verfassungsschutz von einer IT-Sicherheitsfirma informiert: Sie beobachtet eine Cyberattacke auf den Deutschen Bundestag. Doch bereits zwölf Tage zuvor hatten Hacker Abgeordneten eine E-Mail mit dem Absender „un.org“, angeblich von den Vereinten Nationen, geschickt. Der Link wurde angeklickt und so unbemerkt eine Schadsoftware ins Netzwerk des Bundestags eingeschleust. Die Angreifer:innen stehlen Dokumente, bevor die IT-Expert:innen die Eindringlinge stoppen können. Der materielle Schaden ist groß, der Vertrauensverlust immens: Irgendjemand hat Deutschland erfolgreich gehackt. Nur wer? Die wenigen Spuren führen zu einer Gruppe namens Fancy Bear. Sie sitzt in Russland. Könnte Russland selbst dahinterstecken? Anfang 2023 haben die Ermittler:innen eine Spur nach Moskau: Hier sitzt eine russischen IT-Firma namens NTC Vulkan. Geleakte Geheimdokumente enthüllen: NTC Vulkan arbeitet im Auftrag des russischen Geheimdienstes. Für ihn entwickelt sie ein Programm, das weltweit nach Schwachstellen sucht. Anschließend werden sie in einer Datenbank katalogisiert. Sobald jemand den Befehl gibt, ließen sich nun andere Staaten angreifen. Und das ist kein Einzelfall! Viele Staaten haben Hackergruppen. Sie sind häufig als Advanced-Persistent-Threat-Gruppen bekannt, kurz APTs. Ihre Attacken stechen aus der Masse heraus: Ihr Ziel ist nicht Geld, sondern Information und Sabotage. Sie arbeiten mit großem technischem Know-how – das sie unter anderem nutzen, um Staaten zu sabotieren. Wie die Hackergruppe, die den Deutschen Bundestag gehackt hat: Fancy Bear. Die Deutschen Ermittler:innen können inzwischen beweisen, dass ein Staat hinter der Attacke stand. Es werden Sanktionen gegen beteiligte Organisationen verhängt. Verhaftet werden können die Hacker:innen jedoch nicht.
Mikrochips sind überall: beispielsweise in Ampeln, Autos, Laptops, Beatmungsgeräten, Tablets, Smart-Watches, EC-Karten. Sie sind ein Grundbaustein unserer digitalen Zivilisation. Doch sie könnten Hilfsmittel in einem Mega-Hack sein. Die Sorge: Elektronikhersteller:innen bauen im Auftrag von Staaten noch vor der Auslieferung bewusst geheime Schwachstellen ein, die dann, ohne aufzufallen, zur Spionage und Manipulation genutzt werden können. Verdachtsfälle gibt es bei unterschiedlichen Geräten an unterschiedlichen Bauteilen. Doch wirklich nachweisen konnte man bisher nichts. Denn auch die Wissenschaft hierzu tappte bisher im Dunkeln. Auch wenn man manipulierte Chips aufdecken kann, wie soll man alle Chips in allen Geräten ständig kontrollieren? Unter anderem deswegen entwickelt die Europäische Union einen Plan: Mikrochips made in Europe. Denn heutzutage kommen die meisten Mikrochips aus China und Taiwan. Wir haben keine Kenntnis über deren Herstellung. Das eröffnet den Angreifer:innen viele Chancen. Daher hat die EU nun beschlossen, dass eine eigene Herstellung aufgebaut werden soll. So können wir zumindest versuchen, teilweise die Kontrolle über sensible Bauteile wie Mikrochips zu bewahren.
Künstliche Intelligenz könnte den ewigen Wettlauf zwischen Angreifer:innen und Verteidiger:innen verändern: Das Team einer Kölner Sicherheitsfirma erstellt ein Fake-Profil von einem IT-Manager. Die KI soll diesen Mann dazu bringen, einen Link zu klicken. Dafür schreiben sie ein Programm und setzen es auf ihr Opfer an. Automatisiert sammelt die KI alle Daten über den fiktiven IT-Manager, die es in einem Berufsportal findet. Daraus designt sie jetzt eine E-Mail. Täuschend echt, präzise und fehlerfrei formuliert. Die KI schickt dem IT-Manager eine Initiativbewerbung im Bereich Computerprogrammierung. Das passt gut, denn der IT-Manager hat gerade offene Stellen im Bereich Cyber Security zu besetzen. Weil alles täuschend echt aussieht, wird nicht lange überlegt. Es folgt der Klick auf den Link. Der führt auf die Anmeldeseite des Berufsportals, so weit nichts Auffälliges. Nur die Adresse lässt erkennen, dass alles ein Fake ist. In dem Moment, in dem er sich anmeldet, haben die Hacker das Passwort. Die KI war erfolgreich. Echte Cyberkriminelle würden das Passwort als Nächstes zusammen mit der E-Mail-Adresse des Opfers hochladen. Andere Hacker könnten es nun kaufen und sich damit überall dort einloggen, wo der IT-Manager das gleiche Passwort verwendet. Wer ein Passwort nicht zweimal benutzt, kann zumindest den Schaden begrenzen und die Hacker in ihre Schranken weisen. Wir sind nicht machtlos. Aber wir sollten vorsichtiger sein – denn im Cyberspace lauern jede Menge Gefahren.
Die Digitalisierung ist die drastischste Form der Ökonomisierung und des Machtgewinns. Dessen sollten wir uns endlich einmal klar werden, sagt Harald Lesch.
Videolänge
1 min · Wissen
Zur Merkliste hinzugefügt
Merken beendet
Bewertet!
Bewertung entfernt
Zur Merkliste hinzugefügt
Merken beendet
Embed-Code kopieren
HTML-Code zum Einbetten des Videos in der Zwischenablage gespeichert. Bitte beachten Sie die Nutzungsbedingungen des ZDF.
Wenn du bereits ein ARD-Konto angelegt hast, kannst du dich damit hier einloggen.
Mein ZDF – Neues Konto anlegen
Passwort vergessen?
Hinweis: Bitte trage hier die E-Mail-Adresse ein, mit der du dich für dein ZDF-Konto registriert hast.
Passwort vergessen?
Falls wir die angegebene Email-Adresse kennen, erhältst du in Kürze eine E-Mail von uns mit Infos, wie du dein Passwort zurücksetzen kannst.
Neues Passwort vergeben
Mit * markierte Felder sind Pflichtfelder
Du kannst jetzt dein neues Passwort festlegen.
Passwort geändert
Dein Passwort wurde erfolgreich geändert. Du kannst dich ab sofort mit dem neuen Passwort anmelden.
Deine Registrierung war erfolgreich
Willkommen bei "Mein ZDF"! Falls wir die angegebene Email-Adresse kennen, erhältst du von uns in Kürze eine E-Mail. Bitte bestätige den Link in dieser E-Mail innerhalb von 24 Stunden, um deine Registrierung abzuschließen.
Registrierung wird geprüft
Wir bitten um einen Moment Geduld, bis die Aktivierung abgeschlossen ist.
Deine Registrierung war erfolgreich
Schön, dass du hier bist. Du kannst nun "Mein ZDF" in vollem Umfang nutzen.
Uups, die Registrierung ist fehlgeschlagen
Die Aktivierung deines Accounts hat leider nicht geklappt. Möglicherweise ist der Aktivierungslink bereits abgelaufen oder es gibt gerade technische Probleme.
Sie haben sich von einem anderen Gerät aus ausgeloggt, Sie werden automatisch ausgeloggt.
Ihr Account wurde gelöscht, Sie werden automatisch ausgeloggt.
Altersprüfung durchführen?
Um Sendungen mit einer Altersbeschränkung zu jeder Tageszeit anzuschauen, kannst du jetzt eine Altersprüfung durchführen. Dafür benötigst du dein Ausweisdokument.
Du bist dabei, den Kinderbereich zu verlassen. Möchtest du das wirklich?
Wenn du den Kinderbereich verlässt, bewegst du dich mit dem Profil deiner Eltern in der ZDFmediathek.
Hinweis!
Du wechselst in den Kinderbereich und bewegst dich mit deinem Kinderprofil weiter.
Datenschutzeinstellungen
An dieser Stelle würden wir dir gerne die Datenschutzeinstellungen anzeigen. Entweder hast du einen Ad-Blocker oder ähnliches in deinem Browser aktiviert, welcher dies verhindert, oder deine Internetverbindung ist derzeit gestört. Falls du die Datenschutzeinstellungen sehen und bearbeiten möchtest, prüfe, ob ein Ad-Blocker oder ähnliches in deinem Browser aktiv ist und schalte es aus. So lange werden die standardmäßigen Einstellungen bei der Nutzung der ZDFmediathek verwendet. Dies bedeutet, das die Kategorien "Erforderlich" und "Erforderliche Erfolgsmessung" zugelassen sind. Weitere Details erfährst du in unserer Datenschutzerklärung.
Datenschutzeinstellungen
An dieser Stelle würden wir dir gerne die Datenschutzeinstellungen anzeigen. Möglicherweise hast du einen Ad/Script/CSS/Cookiebanner-Blocker oder ähnliches in deinem Browser aktiviert, welcher dies verhindert. Falls du die Webseite ohne Einschränkungen nutzen möchtest, prüfe, ob ein Plugin oder ähnliches in deinem Browser aktiv ist und schalte es aus.