"Ohne Cyber-Sicherheit wird es bald wirklich ungemütlich"

Unternehmen weltweit leiden unter dem Hackerangriff Petya. Europols Cybercrime-Chef erklärt, warum Konzerne offen damit umgehen müssen, wenn sie betroffen sind. Und warum ihm beim Gedanken an Industrie 4.0 mulmig wird.


WirtschaftsWoche: Herr Wilson, am Dienstag haben Hacker erneut die IT-Infrastruktur von Unternehmen weltweit angegriffen. Ist das Ausmaß dieser Attacke vergleichbar mit dem WannaCry-Angriff im Mai, der weltweit Computer verschlüsselte?
Steven Wilson: Das können wir zu diesem Zeitpunkt noch nicht sagen. Unser Team prüft die Angriffe, aber wir haben noch keinen Überblick, wie viele Unternehmen und Länder betroffen sind.

Zwei massive Angriffe in so kurzer Zeit – müssen sich Verbraucher und Unternehmen darauf einstellen, dass wir häufiger Attacken in solch internationalem Ausmaß sehen?
In der letzten Zeit konnten wir beobachten, dass die Ransomware, also Erpresser-Attacken, deutlich professioneller und komplexer werden. Diese organisierten Angriffe können natürlich immer zu einem größeren Schaden führen.

Mit Maersk, Beiersdorf, Mondelez und Merck sind globale Konzerne betroffen, die jährlich Milliarden Euro umsetzen. Tun sie genug, um ihre IT-Systeme zu schützen?
Es wäre nicht fair, dass ich die Strategien dieser Konzerne beurteile, ohne zu wissen, was sie konkret unternehmen. Aber ich glaube, dass Unternehmen dieser Größe erkannt haben, wie gefährlich solche Angriffe für sie werden können.



Was ist der beste Schutz gegen die Erpresser-Attacken?
Alle Daten regelmäßig mit einem Backup zu sichern. Dann können Sie Ihre Systeme nach einem Angriff ohne Schaden sofort neu aufsetzen.

Haben auch kleinere Unternehmen, etwa im Mittelstand, die Gefahr solcher Angriffe erkannt?
Natürlich, aber dort ist es schlicht nicht möglich, genügend Experten in den IT-Abteilungen einzustellen, um diese Gefahr angemessen zu bekämpfen. Deshalb sind kleine und mittlere Unternehmen oft anfälliger für Attacken. Wir haben Fälle gesehen, in denen sie den Zugriff auf ihre gesamte Kundendatenbank verloren haben. Dann kann ein Angriff dazu führen, dass die Geschäftsgrundlage zerstört wird und das Unternehmen schließen muss.



In der Finanzindustrie sehen wir gerade viele Start-ups, die umfangreiche und bequeme Dienste für die Onlinekunden anbieten. Sind diese für Angreifer ein beliebtes Ziel, oder immer noch die klassischen Großbanken?
Die Großbanken wurden in den vergangenen Jahren immer wieder angegriffen. Oft gehen Schäden dann in die Millionen und Banken müssen schmerzhaft lernen, wie wichtig Cybersicherheit ist. Sie haben investiert und Abteilungen aufgebaut, die Abwehrtaktiken entwickeln. Fintechs waren bislang nicht von Attacken in diesem Ausmaß betroffen. Obwohl bei ihnen Sicherheit zunächst nicht zum Kern ihrer neuen Technologien gehört. Aber sie sind sehr agil und können schnell die innovativsten Sicherheitsfeatures in ihre Produkte einbauen. Ich glaube, dass auch sie verstanden haben, dass ein Angriff und Datenverlust ihr Geschäft sofort zunichtemachen können.

Wird Cybersecurity zum Wettbewerbsvorteil für Unternehmen?
Absolut. Im Moment sind wir noch an dem Punkt, dass Sicherheit kein expliziter Wettbewerbsnachteil sein darf. Aber wenn Sie mich persönlich fragen: Wenn ich als Unternehmer überlege, mit anderen Konzernen Geschäfte zu machen, prüfe ich doch als erstes, ob meine Daten dort sicher sind. Diese Entwicklung sehen wir schon bei vielen börsennotierten Unternehmen. Sie wählen Geschäftspartner oder Banken auch nach deren Sicherheitslevel aus.


Was sie nicht kontrollieren können, ist das Verhalten der Kunden. Gerade in der Finanzbranche sind Kunden eine Schwachstelle, über die viele Angriffe erst möglich werden, etwa wenn sie in gefälschten E-Mails Zugangsdaten des Bankkontos eingeben.
Aber auch Konsumenten beginnen zu begreifen, wie wichtig das Thema Sicherheit ist. Allerdings noch nicht in dem Ausmaß, wie ich es gerne sehen würde.

Vielen ist das Thema schlicht zu kompliziert.
Um einen sicheren Anbieter zu finden, reicht schon ein Blick auf die Historie: Wer wurde bislang noch nicht angegriffen. Und darüber hinaus gibt es immer bessere Wege sich zu informieren. Wir bemühen uns mit Europol etwa bei Angriffen über Twitter zu warnen. Und mittlerweile bekommen sie Informationen zu Cybersicherheit nicht mehr nur in Fachzeitungen. So etwas müssen Kunden dann aber auch wahrnehmen. Viele Leute schalten leider ab, wenn sie mit technischen Dingen konfrontiert werden.



„Es ist immer Aufgabe der Unternehmen, für Sicherheit zu sorgen“

Bekommen Kunden von den Banken denn wirklich alle Informationen, die sie benötigen?
Wir haben in der Vergangenheit leider erlebt, dass Unternehmen versucht haben, Angriffe geheim zu halten. Aber ich denke, dass auch Vorstandschefs erkannt haben, dass Vertuschungsversuche nur auf sie persönlich zurückfallen und sie den Job kosten können. Die internationalen Großbanken, mit denen ich arbeite, haben angefangen eine Kultur zu entwickeln, die offen mit solchen Angriffen umgeht. Diese Transparenz, sowohl gegenüber Kunden, Wettbewerbern und den Ermittlungsbehörden, ist der Schlüssel, um die Angriffe angemessen bekämpfen zu können.

Ist die Finanzindustrie hier weiter als andere?
Der Bankensektor ist einen Schritt voraus was Zusammenarbeit angeht, ja. Schauen sie sich in Deutschland etwa G4C an, einen Zusammenschluss von Großbanken, die eng mit dem Bundeskriminalamt an Sicherheitsthemen arbeiten. Aber es waren wohl auch die großen Schäden durch Cyberangriffe, die die Banken in diese Position gebracht haben.

Gerade wenn einzelne Kundenkonten angegriffen wurden, haben Banken die Schäden bislang meist auch aus Kulanz übernommen. Nun wendet sich das Blatt langsam: Wenn Kunden grob fahrlässig mit Zugangsdaten umgehen, sollen sie den Schaden selbst tragen.
Zunächst ist es immer Aufgabe der Unternehmen, für Sicherheit zu sorgen: Also alle nötigen Sicherheitsfeatures einzubauen, und den Kunden aufzuklären wie und warum sie diese nutzen müssen. Dann ist es aber ganz klar auch die Verantwortung der Kunden, diese Sicherheitsmaßnahmen anzunehmen und auszuführen. Wer keine sicheren Passwörter und Antiviren-Programme nutzt und keine regelmäßigen Updates ausführt, der macht nichts anderes, als die Türen und Fenster seiner Wohnung offen stehen zu lassen. Dann muss sich niemand wundern, dass eingebrochen wird. Da kann ich es verstehen, dass Banken nicht mehr in jedem Fall aufkommen wollen.


Wie bei der Erpresser-Attacke WannaCry fordert nun auch Petya nach der Verschlüsselung der betroffenen Computer ein Lösegeld, das in Form von Bitcoins gezahlt werden soll. Ist diese Zahlungsform für Sie bei der Strafverfolgung ein Vorteil oder Nachteil?
Noch vor vier oder fünf Jahren hätte ich gesagt, dass Bitcoin und andere Kryptowährungen das Ende unserer Ermittlungen im Finanzbereich bedeuten. Diese dezentralen Zahlungssysteme arbeiten schließlich radikal um die bisherigen Zahlungssysteme herum, in denen wir Geldströme verfolgen konnten. Heute kann ich sagen, dass wir gemeinsam mit der Finanzindustrie Wege gefunden haben, auch bei Bitcoin und Co das Geld zu verfolgen.

Dabei sind doch gerade in den digitalen Registern, wie etwa der Bitcoin-Blockchain, weltweit für alle einsehbar, welches Konto welchen Betrag von wem überwiesen bekommt. Auch bei Petya gibt es ein solches Konto, dessen Geldströme sie verfolgen können.
Die Verfolgung ist nicht so simpel wie im konventionellen Banksystem. Denn wir bekommen zwar ein Konto und die Ein- und Ausgänge. Aber letztlich müssen wir dieses digitale Konto ja mit einer Person verknüpfen. Was in dieser Hinsicht hilft, ist dass viele Länder nun die digitalen Währungen regulieren. Ein wichtiger Punkt der Regulierung: Dass Nutzer sich auch in den dezentralen Systemen identifizieren müssen, wie beim regulären Bankkonto. Das hilft uns natürlich enorm, die Personen zu verfolgen, die hinter den Attacken stehen.


Nach der WannaCry-Attacke im Mai haben viele Unternehmen das Lösegeld bezahlt, um wieder an ihre Daten zu kommen. Das Geld landete auf bestimmten Bitcoin-Geldbörsen. Wurde es von den Angreifern schon abgehoben?
Nein, das Geld liegt noch immer in den Geldbörsen. Und wenn sich das Geld nicht bewegt, haben wir auch keine Möglichkeit, es nachzuverfolgen.

Und sobald es sich bewegt?
Das kann ich Ihnen nicht verraten. Sonst wissen die bösen Jungs hinterher, welche Asse wir im Ärmel haben.



„Industrie 4.0 und das Internet der Dinge stellen eine große Gefahr dar“

Wie müssen wir uns die bösen Jungs vorstellen, sind das Hacker im Kapuzenpulli, die in irgendeiner Mietwohnung den ganzen Tag vorm PC hocken?
Cybercrime ist mittlerweile zum globalen Geschäft geworden, das es fast jedem ermöglicht, einzusteigen und mitzumischen. Vor ein paar Jahren waren noch etliche Spezialisten nötig, um einen Erpresserangriff wie Wannacry oder Petya vorzubereiten. Heute können sie alles outsourcen.

Was heißt das?
Im Internet können sie sich alle Experten zusammensuchen, die am Ende den Angriff für sie ausführen, von der Programmierung bis hin zum Abheben des erpressten Geldes am Automaten. Kriminelle brauchen kein technisches Verständnis mehr, es reicht aus, Sub-Unternehmer anzustellen, um richtig Geld zu machen. Diese Entwicklung hat das Geschäft maßgeblich verändert.

Kommen Sie dieser Professionalisierung noch hinterher?
Wie gesagt, es ist essenziell, dass jeder Beteiligte seine Informationen teilt. Unternehmen und Behörden müssen von lokaler bis zur internationalen Ebene alle Schnipsel teilen, die sie gesammelt haben. Dann können wir gemeinsam das Puzzle lösen, mit dem wir am Ende auch die Hintermänner bekommen. Ein Beispiel, wie wir solche Netzwerke ausheben können, ist die Operation Avalanche. Ende des letzten Jahres konnten wir die Betreiber einer kriminellen Infrastruktur festnehmen, die allein von deutschen Bankkonten sechs Millionen Euro gestohlen haben.  Hier hat die Staatsanwaltschaft Verden mit der Polizei Lüneburg, dem FBI und uns bei Europol zusammengearbeitet. Insgesamt waren 30 Länder beteiligt.


Solche kriminellen Netze kapern oft Geräte, die ungesichert mit dem Internet verbunden sind, um darüber unerkannt arbeiten zu können. Bald sollen im Internet der Dinge nicht nur Maschinen in den Fabriken sondern auch Straßenlaternen miteinander vernetzt werden. Macht Ihnen das Angst?
Industrie 4.0 und das Internet der Dinge stellen eine große Gefahr dar, und diese Gefahr wächst. Ein Beispiel: Im vergangenen Jahr war Liberia für mehr als 20 Stunden komplett offline, weil 600.000 Überwachungskameras gekapert werden konnten. Wenn wir solche Geräte vernetzen, die wenig gesichert oder manchmal gar nicht gesichert werden, dann bieten wir den Kriminellen natürlich Chancen, die sie nie bekommen sollten.

Müssen wir uns von der Idee smarter Geräte verabschieden, ist Industrie 4.0 tot?
Wir haben jetzt die einmalige Gelegenheit, die neue Infrastruktur so aufzubauen, dass sie wirklich sicher ist. Das Internet ist über Jahre gewachsen, aber Sicherheit war nie ein notwendiger Teil des Internets. Daraus müssen wir lernen und das Internet der Dinge anders aufbauen.



Wie könnte das funktionieren?
Es fängt mit Ausschreibungen an. Wenn Regierungen oder Städte Großprojekte vergeben, muss der Sicherheitsaspekt ein wichtiger Teil dieser Ausschreibungen sein. Kosten dürfen nicht im Vordergrund stehen. Ein Beispiel: Schon wenn bisherige Straßenlaternen mit smarten LED-Leuchten ersetzt werden sollen, müssen diese ausreichend gesichert sein. Natürlich, wenn eine Stadt Millionen Euro für hunderttausende Geräte ausgeben muss, dann machen schon drei bis vier Cent Preisunterschied für sicherere Laternen einen enormen Unterschied. Aber nur so können wir ein System aufbauen, das von Grund auf sicher ist und ein Vertrauen in die Technologie schafft.

Und wenn Städte oder Unternehmen nicht bereit sind, diese Zusatzkosten zu tragen?
Wenn wir es nicht schaffen, Sicherheit als neuen Standard zu etablieren, wird es in ein paar Jahren wirklich ungemütlich.

KONTEXT

Zur Person

Steven Wilson

Steven Wilson leitet seit Anfang 2016 die Cybercrime-Einheit EC3 von Europol. Zuvor arbeitete er über 30 Jahre lang bei der schottischen Polizei, unter anderem in führender Position als Kriminalkommissar der Cybercrime-Abteilung.