SRF News: Ist es ein plausibler Verdacht, dass Russland hinter dem Hacker-Angriff stecken soll?
Guido Berger: Das ist plausibel. Man muss allerdings auch sagen, dass Russland und China die üblichen Verdächtigen sind, auf die man zuerst kommt. Es kann sein, dass ein Staat dahintersteckt, weil es bei dieser Art von Angriffen jeweils ein Team braucht, das viel Know-how und vor allem Geduld hat. Ein solcher Angriff ist teuer, das heisst aber umgekehrt nicht zwingend, dass es ein Staat gewesen sein muss.
Wenn kein Staat dahinter steckt, könnte es auch eine Spezialistengruppe sein, die ihre Informationen dann teuer verkauft – also quasi organisierte Kriminalität?
Auch das ist denkbar, dass so ein Team privat auf eigene Rechnung arbeitet und diese Informationen auf dem Schwarzmarkt verkauft. Es könnte durchaus eine Mischform sein, eine private Organisation, die spioniert und der Käufer ist dann ein Staat. Es gibt in dieser Branche auch Zwischenhandel, also jemand stiehlt etwas, verkauft es, dann wird es noch mit weiteren Informationen angereichert, gebündelt und weiterverkauft. Es ist bei solchen Angriffen immer sehr schwierig, überhaupt den direkten Auftraggeber ausfindig zu machen.
Grundsätzlich gefragt, wie läuft ein solcher Cyber-Angriff auf ein grosses Industrieunternehmen ab?
Das beginnt mit einer Erkundungsmission. Man versucht, möglichst viel über das Unternehmen herauszufinden: Wer arbeitet wo, wer ist wie nahe an den Informationen dran, die man stehlen will. Man klärt ab, wie das Unternehmen organisiert ist, was es für Sicherheitsvorkehrungen gibt, um dann gezielt technische wie auch menschliche Schwachpunkte zu identifizieren. Solche Angriffe sind in der Regel eine Kombination aus technischen Angriffen, bei denen Lücken im System ausgenutzt werden und dem sogenannten Social Engineering, wo man gezielt auf einzelne Personen losgeht und versucht, ihr Vertrauen zu gewinnen und sie dann hereinzulegen. Das braucht sehr viel Geduld und dauert lange. Da reden wir nicht von Tagen oder Wochen, sondern eher von Monaten.
Wer ist denn am stärksten gefährdet? Eher Grossunternehmen oder kleine Firmen?
Grundsätzlich sind alle gefährdet, die spezialisiertes, wertvolles Know-how haben und das nicht ausreichend schützen. Die Grösse des Unternehmens spielt da weniger eine Rolle.
Und wie können sich Unternehmen schützen?
Es ist wichtig, dass Unternehmen ihre Mitarbeiter schulen, dass es eine Sicherheitskultur im Unternehmen gibt. Aber selbst wenn man das macht, kann es sein, dass die Angreifer geschickt genug sind und genug Geduld haben und es ihnen trotzdem gelingt, jemanden hereinzulegen. Dann braucht es eben noch andere Sicherheitsmassnahmen, um zu verhindern, dass wenn es an einer Stelle bricht, nicht alles offenliegt. Unternehmen müssen sich nicht nur nach aussen schützen, sondern auch nach innen, sozusagen gegen sich selbst. Sicherheit ist kein Zustand, sondern ein Prozess. Man muss konstant beobachten und nachbessern und erst dann ist man sicher.