Freddy Dezeure, der Leiter des europäischen IT-Notfallteams (CERT-EU), erklärt, wie sich die EU gegen Cyberangriffe rüstet – und wie Terroristen Sicherheitslücken nutzen können.
Die Presse: Was wäre das schlimmste Szenario, das nach einem Cyber-Angriff auf eine EU-Institution eintreten könnte?
Freddy Dezeure: Es könnten Informationen gestohlen werden, mit denen jemand Schaden anrichten könnte. Oder es könnten Organisationen wie die EZB blockiert werden, sodass sie nicht mehr funktionieren.
Was würde dann passieren? Würden das die Leute, die zum Beispiel hier in Alpbach sitzen, überhaupt mitbekommen?
Der Markt würde es mitbekommen. Es hätte einen größeren Einfluss, wenn die Attacken die kritische Infrastruktur eines Staats treffen, etwa die Strom- oder Wasserversorgung.
Die wiederum ist in der Hand der Betreiber. Hat CERT-EU da einen Einfluss?
Nein. Das einzige, was wir tun können: Wenn wir Schwächen oder Bedrohungen der EU-Institutionen sehen, beraten wir sie dahingehend. Wenn es wichtig ist, machen wir das auch öffentlich auf unserer Webseite, und wir senden es an die nationalen CERTs.
Eine neue EU-Richtlinie wird bestimmte Unternehmen verpflichten, Cyber-Angriffe zu melden. Wird sie helfen, Attacken auf kritische Infrastruktur vorzubeugen?
Das wird sie. Die Richtlinie sieht u. a. vor, dass nationale Organisationen aufgesetzt werden. An sie müssen die Betreiber kritischer Infrastruktur wesentliche Vorfälle melden. Wir können die Prävention verbessern, indem wir von diesen Beispielen lernen: Wer wurde attackiert, wie und wann? Wie wurde die Organisation geschützt, was hat gefehlt?
Welche Türen nehmen Angreifer üblicherweise?
Am allerhäufigsten passiert es per E-Mail: Ich finde heraus, wer Sie sind, wo Sie arbeiten, was Ihre Interessen sind, dann sende ich Ihnen ein E-Mail. Wenn Sie es öffnen und auf den Anhang klicken, wird Ihr Computer infiziert. Das ist der Fuß in der Tür. Sobald die Angreifer drinnen sind, versuchen sie, sich einen Weg durch die Organisation zu bahnen. Die zweithäufigste Methode ist, eine Webseite zu infizieren, von der die Angreifer wissen, dass Sie sie häufig aufrufen.
Spielen soziale Netzwerke für Angreifer eine Rolle?
In der Vorbereitung ja. Sie sehen sich Ihre Spuren in den sozialen Netzwerken an, um einen relevanteren Inhalt zu erstellen für das E-Mail, das sie Ihnen dann senden. Damit steigt die Chance, dass Sie es auch öffnen. Die Methoden, die Angreifer auf einzelne Personen und auf große Organisationen anwenden, sind übrigens die gleichen. Sie können Sie angreifen, um 100 Euro von Ihrem Bankkonto zu stehlen. Sie können eine Bank angreifen, um 100 Millionen zu stehlen.
Sichere Programme ohne Hintertüren schützen vor Angriffen und Spionage. Gleichzeitig fordern Nachrichtendienste Einlass, um etwa Terroristen ausfindig zu machen. Wie gehen Sie damit um?
Das ist eine sehr schwierige Frage. Sie muss in Parlamenten debattiert werden, die Bevölkerung muss verstehen, was das bedeutet.
Was ist Ihre Meinung dazu?
Die möchte ich nicht teilen. Beide Pfade, jener der offenen und jener der geschlossenen Tür, haben Vor- und Nachteile. Die Staaten haben sehr unterschiedliche Ansichten dazu, die öffentliche Meinung ändert sich, wenn es etwa Anschläge gibt. Die Menschen haben Angst. Die Metro-Station, die in Brüssel bombardiert wurde, ist unsere, meine Metro-Station! Das verändert die Wahrnehmung. Auch, was den Bereich der Cyber-Sicherheit angeht: Hätte man nicht herausfinden können, dass die zwei Angreifer miteinander telefoniert haben, fragen sich die Leute. Solche Hintertüren bergen aber auch viele Risiken.
Ist auch Cyber-Terrorismus ein Thema?
Kein großes. Im Moment sind es vor allem zwei Dinge, die Terroristen im Cyberspace machen: Zum einen Propaganda. Zum anderen – und das ist in Europa bisher kaum passiert, in den USA aber schon – könnten sie Ministerien, die Polizei, Verteidigungsinstitutionen attackieren, um private Informationen über Mitarbeiter zu stehlen. Wo leben sie, haben sie Kinder, wo gehen diese zur Schule? Diese Informationen veröffentlichen sie im Web und sagen: Hier sind die Namen, tut ihnen etwas an.
