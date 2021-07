Was haben die Pandemiebekämpfung und die Abwehr von Cyberangriffen gemein? In beiden Fällen hängt der Erfolg davon ab, wie sich die Akteure an der jeweils schwächsten Stelle einer Sicherheitskette verhalten. Beim Thema IT-Sicherheit können cyber-orientierungslose Führungskräfte massive Sicherheitslücken herbeiführen: etwa durch aufgeschobene Software-Aktualisierungen und weggesparte Sicherheitsvorkehrungen für einen Angriff.

Bisweilen öffnen Softwarefehler bei Sicherheitsfirmen die Tür für Angreifer. Manchmal sind es jedoch auch nur einzelne Mitarbeiter, die sich dazu verleiten lassen, unaufgefordert zugesandte Katzenfotos zu öffnen und damit ganze Systeme mit Schadsoftware infizieren.

Im Landkreis Anhalt-Bitterfeld ist nun ein Cyberangriff bekannt geworden, der die gesamte IT-Infrastruktur der Verwaltung außer Gefecht gesetzt hat. Nach MDR-Informationen soll es sich um einen Ransomware-Angriff (vulgo: Erpressungs-Attacke) handeln, es liege auch bereits eine Lösegeldforderung für die verschlüsselten Daten vor. Am Wochenende wurde deswegen erstmals ein „Cyber-Katastrophenfall“ ausgerufen. Womöglich ist nun ein guter Zeitpunkt, dass wir uns als Gesellschaft dieser Herausforderung stellen.

Schutz ist niemals hundertprozentig

Die Wahrheit ist: Es gibt keinen hundertprozentigen Schutz vor Cyberangriffen. Sie geschehen dort, wo sich die Möglichkeit bietet. Und kein Mensch ist frei von Fehlern. Aber jeder einzelne Akteur im System, egal ob Computernutzer, Führungskraft oder Kanzlerin, kann einen Beitrag dazu leisten, dass es schwieriger und riskanter wird, IT-Systeme in Deutschland zu attackieren. Wir müssen uns jedoch endlich bewusst werden, wie solche Angriffe entstehen und welche Bedingungen sie fördern.

Nehmen wir Computernutzer in Unternehmen: Es reicht nicht zu postulieren, dass das Anklicken von unaufgefordert zugesandten Katzenbildern ein Tabu ist. Man muss den Menschen verständlich machen, dass solche Bilder von Angreifern dazu ausgenützt werden, Emotionen zu manipulieren.

Schadmails gibt es nicht nur mit Katzenbildern, sondern auch mit gefälschten Lob-Nachrichten von der Chefin (hier wird die eigene Eitelkeit befriedigt) oder täuschend echt aussehenden Anschlussmails an vorangegangene Kommunikationen (hier wird das Vertrauen missbraucht). Ein weit verbreitetes Grundwissen über IT-Sicherheit sowie die Social-Engineering-Bemühungen von Cyberkriminellen macht es Angreifern schwerer.

Unternehmen und Verwaltungen sollten Vorkehrungen für den Fall eines Angriffs treffen. Denn nicht jede Cyberattacke versetzt die Betroffenen in einen Zustand der Hilflosigkeit. Wenn die eigenen Daten zum Beispiel regelmäßig mit Updates gesichert wurden, muss man womöglich gar nicht auf die Lösegeldforderung einer Ransomware-Erpresserin eingehen. In manchen Bereichen sollten solche Vorsorgemaßnahmen gesetzlich verpflichtend werden.

Wann kommt das Cyber-Völkerrecht?

Und dann ist da noch die staatliche Ebene. Vielen Deutschen ist nicht bewusst, dass bereits seit Jahren an einem Cyber-Völkerrecht gearbeitet wird. Ein zentraler Punkt dabei ist das „Due-Diligence-Prinzip“: Jeder Staat hat nach „bestem Gewissen“ darauf zu achten, dass von seinem Gebiet keine Cyberattacken gegen andere Länder ausgehen. Auch Russland trat 2018 vor der UN noch für dieses Prinzip ein.

Nun gingen in den vergangenen Monaten immer wieder Ransomware-Angriffe von kriminellen Gruppen aus, die vermutlich in Russland beheimatet sind. Wenn dies klar nachweisbar ist, muss das Folgen haben, etwa in Form von Sanktionen. Die USA haben bereits vorgelegt: Präsident Joe Biden kündigte am Freitag an, dass er auf Basis des Due-Diligence-Prinzips „Konsequenzen“ aus den jüngsten Angriffen ziehen werde. Von der deutschen Bundesregierung vernimmt man zu diesem Thema derzeit – nichts. Das ist auf Dauer zu wenig.