Hinweis zu Affiliate-Links: Alle Produkte werden von der Redaktion unabhängig ausgewählt. Im Falle eines Kaufs des Produkts nach Klick auf den Link erhalten wir ggf. eine Provision.

„Die Schuldfrage im Fall Kaspersky ist zweitranging"

von Max Biederbeck
Half Kaspersky russischen Spionen oder ist das Antivirus-Unternehmen unschuldig? Bei einer der neuesten Affären rund um Hacker, Spione und gegenseitiges Bespitzeln lässt sich kaum ein Überblick behalten. Was sollte Deutschland tun, um in dieser IT-Unsicherheit nicht auf der Strecke zu bleiben?

Allein die Kurzversion folgender Geschichte klingt verwirrend: Vor rund zwei Jahren nimmt in den USA ein Vertragspartner des Geheimdienstes NSA kritische Daten mit nach Hause. Während er auf seinem Privatrechner mit ihnen arbeitet, stehlen russische Hacker die Informationen heimlich von ihm. Die Russen haben aber ebenfalls einen Beobachter, den israelischen Geheimdienst. Dessen Agenten sehen zu, wie die Angreifer über das Anti-Viren-Programm Kaspersky Zugang zum PC des NSA-Mitarbeiters bekommen und die Daten stehlen – das wiederum melden die Israelis ihren US-Kollegen.

Was da gerade in der Welt der IT-Spionage abläuft, ist wahrlich kaum zu überblicken. Während vor allem US-Politiker dem russischen Unternehmen Kaspersky Lab vorwerfen, es würde mit den Geheimdiensten des Kreml zusammenarbeiten, müht sich der Konzern selbst um Klarstellung und will der US-Regierung jetzt sogar seine Quellcodes zur Verfügung stellen. Gleichzeitig fragen sich Staaten weltweit, wie sie auf die ewigen Angriffe von allen Seiten überhaupt noch reagieren können.

WIRED hat mit dem Sicherheitsexperten Sven Herpig über die aktuellen Verwicklungen in der Welt der IT-Spionage gesprochen. Herpig leitet beim Berliner Think Tank Stiftung Neue Verantwortung das Transatlantische Cyber Forum und bringt dort Experten aus der Innen-, Sicherheits- und Verteidigungspolitik im IT-Raum zusammen. Im Gespräch ging es natürlich um Kaspersky, aber auch um die IT-Sicherheit in Deutschland und wie der Staat selbst sie untergräbt.

WIRED: Experten, Politiker und Journalisten fragen sich gerade, ob russische Geheimdienste sich Kaspersky bedient haben, um US-Daten abzugreifen. Deine Meinung?
Sven Herpig: Die Frage ist doch eher: Hat Kaspersky freiwillig geholfen oder haben sich russische Geheimdienste, wie offensichtlich auch die israelischen, in deren Systeme gehackt, um dort nach sensiblen Daten zu suchen. In der Vergangenheit hat sich immer wieder gezeigt, dass Antivirenprogramme auch selbst viele Schwachstellen aufweisen. Warum sollte es diesmal anders sein? Nur weil der Angreifer und die Firma aus dem gleichen Land kommen und aus der westlichen Sicht zu einem gemeinsamen Feindbild Russland passen. Ich glaube wir machen es uns hier zu einfach.

WIRED: CEO Eugene Kaspersky steht allerdings schon länger im Verdacht, mit dem russischen Geheimdienst FSB zusammenzuarbeiten.
Sven Herpig: Diese Annahme hält sich seit langem. Kaspersky hat in der Vergangenheit einige ausführliche Reports über russische Operationen geliefert, die dann von anderen großen Herstellern bestätigt wurden. Wenn wir uns im Gegensatz die USA anschauen, gibt es kaum US-Operation, die von amerikanischen Sicherheitsunternehmen aufgedeckt wurden. Selbiges gilt für Israel.

WIRED: Unschuldig also, bis die Unschuld bewiesen wurde?
Herpig: Auch wenn das ein wenig naiv klingen mag - ja, warum nicht? Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine unaufgeregte Pressemitteilung darüber rausgegeben, dass ihm nichts bekannt ist und darüber hinaus diese Produkte nicht in der Bundesverwaltung eingesetzt werden. Das ist das richtige Vorgehen: Die Schuldfrage ist zweitrangig. Wichtig ist, dass wir uns um unsere Cyber-Sicherheit kümmern - egal wer der Angreifer ist.

WIRED: Trotzdem, Russen hacken Amerikaner, Israelis hacken Russen und so weiter. Da hat sich doch endgültig ein gar nicht mal so kalter IT-Krieg entwickelt?
Herpig: Diese Vorfälle passen in die geopolitische Lage – und darüber hinaus in die traditionelle Spionagewelt. Wie auch die NSA-Dokumente belegen, die Edward Snowden öffentlich gemacht hat: Jeder spioniert jeden aus - und eben auch im Cyber-Raum. Wichtig ist, dass wir aus den einzelnen Aspekten dieser Operationen lernen.

WIRED: Einzelne Aspekte?
Herpig: Erstens haben wir hier scheinbar wieder einen Fall, bei dem der Mitarbeiter eines staatlichen Vertragspartners mit geheimen Dokumenten nach Hause gelaufen ist und diese auf dem Privatrechner angeschaut hat. Dieser Rechner war nie dafür ausgelegt, geheime Dokumente zu verarbeiten - und ja, dort lief Kasperskys Antivirus Software. Folgt man der Geschichte, hat der russische Geheimdienst sie genutzt, um an die Dokumente zu gelangen. Da müssen wir überlegen, wie sehr können die amerikanischen Geheimdienste – und wir reden hier von den besten Geheimdiensten der Welt – nicht nur ihre Dokumente, sondern vor allem auch ihre Hacker-Werkzeuge und ihre Schwachstellen wirklich sichern.

WIRED: Schließlich gab es schon öfter Datenleaks bei US-Geheimdiensten…
Herpig: Absolut, die bei der WannaCry und NotPetya ausgenutzte Schwachstelle, hat auch ihren Weg aus dem geschützten Bereich der amerikanischen Geheimdienste in die Hände anderer gefunden. Und wir wissen, wie das ausgegangen ist. Die diesjährige Gründung der Zentralen Stelle für Informationstechnik im Sicherheitsbereich (ZITiS) wird vermutlich der Lackmustest dafür werden, ob wir in Deutschland unsere Hackertools und Schwachstellen ausreichend sichern können.

WIRED: Außerdem tragen solche Tools doch im Zweifel nur zur Eskalation bei, oder?
Herpig: Sobald ein neuer Daten-Leak oder ein Hack an die Öffentlichkeit kommt, denken wir über Reaktionen nach. Allen voran stehen da die Fragen „Wer war das?“ und „Welche Gegenmaßnahmen oder Sanktionen können wir verhängen?“. Das ist ein nachvollziehbarer Gedanke. Warum aber sagt kaum jemand als Reaktion auf solche Vorfälle: Okay, wir erhöhen unsere Resilienz und Cyber-Sicherheit und versuchen damit die Angriffe abzuwehren. Wenn das die Standardreaktion wäre, anstatt den großen Gegenschlag und Hack-Back zu fordern, dann wären wir vielleicht etwas weiter. Aus politisch durchaus nachvollziehbaren Gründen wird aber erst einmal mit einer Gegenreaktion gedroht - denn die lässt uns stark erscheinen.

In den vergangenen zwei Jahren haben wir gesehen, dass sie in Berlin immer mehr mit dieser offensiven Thematik spielen

WIRED: Ich kann mich an Gespräche im Bundesverteidigungsministerium erinnern, wo vor knapp zwei Jahren genau diese Resilienz gefordert wurde. Es scheint wenig passiert zu sein seitdem…
Herpig: Im militärischen Bereich passiert einiges, und tatsächlich bisher vor allem in der Defensive. Gucken wir uns mal das neue Cyber-Kommando an, da haben wir zum Ende der Konsolidierung etwa 14.000 Mitarbeiter, von denen vermutlich weniger als 100 an offensiven Operationen beteiligt sein werden. Problematisch wird es in Deutschland, wenn wir den zivilen Sektor betrachten.

WIRED: Also zurück zu ZITiS. Das Innenministerium besteht auf der Möglichkeit, Computer mit Hilfe von Malware durchsuchen zu können.
Herpig: Gefühlt wollen jetzt alle dieses staatliche Hacken, die einen zur Verfolgung von Kriminellen, die anderen als Option für einen „Gegenschlag“. Wir haben in Deutschland Fachkräftemangel in der IT, mehr noch in der IT-Sicherheit und noch problematischer in der IT-Sicherheit der öffentlichen Verwaltung. Trotzdem werden immer mehr Mittel in die „Offensive“ investiert und gefühlt Parallelstrukturen aufgebaut. Wie so oft will jeder ein Stück vom Kuchen haben, wenn ein Thema wie gerade „Cyber“ oben auf der Agenda ist. Und offensiv cybern und zurück-cybern ist sexier.

WIRED: Sexier?
Herpig: Es kommt immer gut an, wenn der Staat sich stark zeigen kann. Und man ist scheinbar dann ein starker Staat, wenn man offensiv gegen seine Gegner vorgehen kann. Und eben nicht sagt: Okay, wir ziehen unsere Mauern jetzt mal höher. In den vergangenen zwei Jahren haben wir gesehen, dass sie in Berlin immer mehr mit dieser offensiven Thematik spielen. Das ergibt aber keinen Sinn, wenn man nicht genug Ressourcen und Personal hat.

WIRED: Und was ergibt Sinn?
Herpig: Unsere Priorität muss weiterhin lauten, Hacks zu verhindern – und nicht zurückzuschlagen, wenn es schon zu spät ist. Deutschland sollte mehr patchen und weniger hacken. Bei koordinierten Botnet-Takedowns mag das anders aussehen, aber die Idee, die offensichtlich gerade im Bundessicherheitsrat diskutiert wird, dass man gestohlene Daten zurückstehlen will, die ist schon etwas abstrus.

WIRED: Dann bist du auch kein großer Freund der vorhin angesprochenen Behörde ZITiS, die Schwachstellen für die Polizei finden, kaufen und ausnutzen soll, oder?
Herpig: In Anbetracht der deutschen Rahmenbedingungen ergibt ZITiS politisch betrachtet Sinn als zentralisierte „Code-Breaking“-Behörde für die Bundesbehörden und möglicherweise später auch für die Länder. Mal davon abgesehen, dass wir keinerlei empirische Grundlage dafür haben, dass staatliches Hacken überhaupt sinnvoll ist, habe ich aber Bauchschmerzen damit, dass wir dabei wieder in die Offensive investieren. Gleichzeitig ist eine zentralisierte Code-Breaking-Behörde natürlich auch immer ein gutes Angriffsziel, wie wir bei den US-Geheimdiensten gesehen haben. Um überhaupt einen Mehrwert bieten zu können, braucht diese Behörde auch erst einmal ausreichend Personal und einen guten Schwachstellen-Management-Prozess. Beides scheint es derzeit noch nicht zu geben. Auch die Erosion der langjährigen Abgrenzung von „Code-Maker“ und „Code-Breaker“ finde ich problematisch.

WIRED: Inwiefern?
Herpig: ZITiS als Code-Breaker untersteht genau wie das BSI als „Code-Maker“ dem Bundesministerium des Innern. Schaut man sich das Organigramm an, sieht man, dass dies nicht erst auf Staatssekretärsebene geschieht sondern schon früher. Wir haben bei einem früheren Anlauf des Bundestrojaners gesehen, dass da das BSI scheinbar den Code-Breakern, damals noch dem BKA, aushelfen musste. Hier wird fahrlässig mit der Reputation des BSI bei Wirtschaft und Gesellschaft umgegangen. Das kann im Endeffekt dazu führen, dass unsere Cyber-Sicherheitsarchitektur mehr geschwächt als gestärkt wird und ich glaube kaum, dass das das Ziel unserer Bundesregierung sein kann..

WIRED: Wäre Transparenz eine Lösung?
Herpig: Es wäre auf jeden Fall ein wichtiger Aspekt. ZITiS wird gerade aufgebaut. Vielleicht sind viele Prozesse noch gar nicht etabliert. Wir versuchen bei der Stiftung Neue Verantwortung gerade herauszufinden, welche Rahmenbedingungen staatliches Hacken haben muss, damit es IT-Sicherheit, Privatsphäre und Menschenrechte in ausreichendem Maß berücksichtigt. Dazu gehören unter anderem Transparenzanforderungen. Dazu müsste ZITiS Ende des Jahres zum Beispiel aufzeigen wie viele Schwachstellen erworben wurden. Interessant wäre aber natürlich auch: Wie viele der unbekannten Schwachstellen, so genannter Zero Days, die zurückgehalten wurden, finden sich in Systemen der Bundesverwaltung, unseren kritischen Infrastrukturen und in Verbraucherprodukten wieder. Denn: Umso mehr wir zurückhalten, umso weniger Systeme können wir dagegen absichern.

GQ Empfiehlt
Cheat Sheet / Das Problem Spähsoftware

Cheat Sheet / Das Problem Spähsoftware

von Max Biederbeck