Die USA und Großbritannien werfen Russland vor, einen globalen Cyberangriff zu führen. Nicht das erste Mal, dass Moskau im Verdacht steht, Computersysteme gezielt anzugreifen. Das Land besitze von allen das größte Know-how, sagt Burkhard Körner, Präsident des Bayerischen Landesamts für Verfassungsschutz, im Exklusiv-Interview.
Herr Körner, was sind die größten Gefahren, die von Cyber-Spionageausgehen?
Burkhard Körner: Es gibt unterschiedliche Ziele: Zum einen geht es darum, politisches, militärisches und wirtschaftliches Know-how auszuspionieren. Darüber hinaus wird zunehmend versucht, im Netz zu manipulieren. Wir haben festgestellt, dass im Vorfeld von Wahlen wie in Frankreich Kampagnen im Internet gefahren werden, um eher europafeindlich gestimmten Parteien einen Vorteil zu verschaffen.
Wissen Sie, wer konkret dahintersteckt?
Besonders die Kampagne der Hackergruppe APT28 ist hier zu nennen. Sie hat auch den deutschen Bundestag betroffen. Außerdem gibt es chinesische Player wie "Gothic Panda" oder iranische wie "OILRIG/ CLEAVER". Kampagnen kommen auch aus Nordkorea und Pakistan, die hier nachrichtendienstlich im Bereich der Proliferation (Anm. d. Red: die unerlaubte Weiterverbreitung atomarer, biologischer und chemischer Waffen bzw. die zu ihrer Herstellung benötigten Produkte) tätig sind.
Wie gesichert sind die Erkenntnisse über die Herkunft der Angriffe?
Ist der Angriff entsprechend professionell erfolgt, wird man immer den letzten Beweis schuldig bleiben. Allerdings spricht etwa bei der Kampagne von APT28 alles dafür, dass sie russischen Ursprungs ist und von offizieller Seite mitgetragen wird. Klare Hinweise ergeben sich aus den Angriffszielen und -mitteln.
Warum betrifft das Thema Cyber-Spionage uns alle?
Zum einen ist Deutschland auf innovative Technologie und deren Verkauf angewiesen. Im Bereich der Wirtschaftsspionage haben wir massive Schäden in Höhe von zirka 50 Milliarden Euro jährlich. Zum anderen betrifft die Cyber-Spionageunsere Sicherheit. Denken Sie nur an das Thema Proliferation – also wenn spezielle Waffensysteme in Hände von Staaten kommen, wo sie nichts zu suchen haben.
Aber auch da wo politische Strategien zum Beispiel die NATO betreffend oder Wirtschaftsentscheidungen durch ausländische Staaten abgegriffen werden, wirkt sich dies unmittelbar auf politische Entscheidungen und die Sicherheit aus. Und schließlich können Wähler durch entsprechende Kampagnen manipuliert werden. Das kann die Demokratie gefährden.
Zu solchen Kampagnen gehört auch das Verbreiten von Fake News. Welche Erkenntnisse gibt es diesbezüglich?
Wir konnten feststellen, dass etwa im Falle der Missbrauchs-Meldung über ein russischstämmiges Mädchen, diese Vergewaltigung nie stattgefunden hat. In russischen Medien allerdings verbreitete sich diese Falschmeldung auch über offizielle TV-Sender wie Russia Today. Damit wurde in Deutschland gegen Ausländer Stimmung gemacht. Das Ziel war offenbar, europakritischen Parteien bessere Chancen für Wahlkämpfe einzuräumen.
Ist das mittlerweile gang und gäbe?
So etwas stellen wir immer wieder fest: Zwischen russischen Stellen und rechtspopulistischen, europakritischen Parteien gibt es Kontakte etwa auf bestimmten Plattformen. Und es finden zur Kontaktpflege entsprechender Gruppierungen Reisen nach Russland statt. Auch hier ist der Beweis der Zusammenarbeit schwer zu führen. Allerdings zeigen die unterstützten Gruppierungen und auch die Art der Kampagne deutlich in Richtung Russlands.
Das heißt, Russland setzt gezielt auf solche Kampagnen und Angriffe?
Russland sieht im Rahmen seiner Verteidigungsdoktrin Cyber-Spionage und -sabotage als wesentlichen Gesichtspunkt. Russland geht im Rahmen seiner Verteidigungsdoktrin davon aus, dass die Mittel, die im Cyberbereich eingesetzt werden, in etwa die zehnfache Wirkung im Vergleich zu konventionellen Waffen haben. Das ist Teil des russischen Szenarios.
Ist dieses Szenario für Deutschland denkbar?
Seitens Deutschlands wurde darauf reagiert. Mit dem BSI (Bundesamt für Sicherheit in der Informationstechnik) gibt es eine Behörde, die sich speziell mit der Sicherheit kritischer Infrastrukturen auseinandersetzt. Sie sensibilisiert deren Betreiber entsprechend und die Netze werden dahingehend technisch gerüstet.
Wie gut ist Russland im Vergleich zu anderen Ländern im Bereich Cyberangriff aufgestellt?
Die russischen Angriffskampagnen sind ausgesprochen professionell. Ich denke, dass Russland tatsächlich zu den Ländern gehört, die hier über das beste Know-how verfügen.
Wie gut ist Bayern vor hochprofessionelle Hackerattacken geschützt?
Vor solchen Kampagnen sind wir nicht gefeit. Der Schwerpunkt der APT28-Kampagne war vor allem der Bundestag. Wir haben allerdings auch entsprechende Angriffe gegen Behördenstrukturen in Bayern festgestellt. Bayern ist in der Agenda Russlands zwar nicht ganz oben, aber es gab in der Vergangenheit Versuche, auch in Bayern Abgeordnete anzugreifen.
Die entsprechenden Personen wissen Bescheid?
Wir sensibilisieren diesbezüglich – sowohl bei der CSU-Landesgruppe im Bundestag als auch bei den Fraktionen im Bayerischen Landtag. Wir organisieren Veranstaltungen und haben Schreiben verfasst, in denen wir die typischen Vorgehensweisen beschreiben. Es ist jedoch eine Illusion, zu glauben, dass ein Abgeordneter ohne Handy zurechtkommt oder seinen Computer nur im Offline-Modus nutzt. Wichtig ist herauszuarbeiten, welche politischen Themen besonders schützenswert sind. Diese sollten in der Kommunikation nicht verbrannt, also nicht über Telefon oder Internet kommuniziert werden.
Gibt es diesbezüglich konkrete Vorgaben?
Es gibt Empfehlungen. Sofern allerdings Themen als geheim eingestuft sind, gibt es gesetzliche Vorschriften – die sogenannte VSA (Verschlusssachen-Anweisung). Darin ist genau geregelt, wie mit geheimhaltungsbedürftigem Material umzugehen ist.
Die Regierung will einem Bericht zufolge auch westliche Tätergruppen erforschen. Wie bewerten Sie die 360-Grad-Strategie? Welchen konkreten Anlass gibt es für diesen Blick in Richtung amerikanischer Cyberspionage?
Wir haben in Bayern bisher keine entsprechenden Angriffe amerikanischer Behörden feststellen können. Das bedeutet nicht, dass wir westliche Staaten völlig freizeichnen. Im Rahmen der Wirtschaftspolitik betreiben auch westliche Staaten Spionage. Deswegen hat man sich im Verfassungsschutzbund für den sogenannten 360-Grad-Blick entschieden. Er soll ermöglichen, unabhängig vom Angreifer – den man in der Anfangsphase in der Regel nicht kennt – den Angriff bis zum Ende zu analysieren. Das heißt, wir schauen zunächst nicht, woher der Angriff kommt. Wenn wir im Rahmen der Analyse feststellen, woher die Attacke kommt, gibt es kein Tabu hinsichtlich der Ermittlungen. Wir machen also nicht Schluss, wenn wir annehmen, dass der Angriff von westlichen Staaten erfolgt.
In den Diskussionen steht immer wieder der sogenannte Hack Back. Welche Gründe gibt es, nicht einfach "zurückzuschießen", den Angreifer selbst anzugreifen?
Diese Diskussion wird momentan im Bund geführt. Dabei geht es darum, ob Offensivmaßnahmen im Rahmen der Spionageabwehr zulässig sein sollen und dürfen. Viele rechtliche Fragen sind allerdings zu klären. Insbesondere weil mit einem Hack Back auch Systeme inkriminiert werden würden, die mit einem Angriff nichts zu tun haben. Im Falle eines Hack Backs könnten diese Systeme beschädigt werden. Es ist jedoch rechtlich problematisch, auf andere informationstechnische Systeme Einfluss zu nehmen und Daten zu verändern.
Dann ist letztendlich alles auf die Spionageabwehr gerichtet?
Im Mittelpunkt muss der Mitarbeiter stehen. Awareness-Kampagnen zur Sensibilisierung der Verantwortlichen und der Mitarbeiter sind aus meiner Sicht am effektivsten. Außerdem brauchen wir neue Erkennungssysteme für entsprechende Angriffe. Wir müssen uns intensiv über neue Erkenntnisse austauschen, Sicherheitslücken sehr schnell schließen und die Wirtschaft über Gefahren informieren. Wir müssen sehr viel mehr in die Härtung von IT-Systemen investieren, damit diese nicht angegriffen werden können. Eventuell sollten wir überlegen, ob für bestimmte sensible Wirtschafts- und Infrastrukturbereiche noch mehr staatliche Anforderungen an die Sicherheit der IT Systeme eingebracht werden müssen.
Wir müssen vor allem international noch sehr viel intensiver zusammenarbeiten – auch mit Blick auf kriminelle Aktivitäten. Hier ist eine internationale Zusammenarbeit sehr gut vorstellbar.
Das klingt alles sehr reaktiv. Sie haben zuvor gesagt, dass zum Beispiel Russland sehr professionell vorgeht. Hinkt der Verfassungsschutz da nicht hinterher?
Nein, man kann Systeme so härten, dass Angriffe von außen nicht möglich sind. Aber die Realität etwa in der Wirtschaft ist anders. Bei den Energieversorgern beispielsweise findet die Kommunikation über dieselben Versorgungsleitungen statt, über die letztlich auch der Strom transportiert wird. Das sind immer mögliche Angriffsziele. Und in einer Gesellschaft, wo das Internet dazugehört, wird es immer sensible Punkte geben, die man nicht vollständig abdecken und härten kann.
Die Firmen und auch die Politik müssen deshalb die Bereiche definieren, die besondere Risiken darstellen. Und dort muss sich die Kommunikation ändern – etwa indem nicht übers Internet oder das Handy kommuniziert wird. Es gibt geschlossene Netze, die keine Verbindung in das Internet oder in ein Handynetz zulassen. Sie können aber auch mit Verschlüsselungssoftware arbeiten.
Inwiefern braucht eine starke Demokratie einen starken Verfassungsschutz?
Eine Demokratie benötigt als Korrektiv eine Institution, die den Bürger informiert und politisch sensibilisiert. Diese Aufgabe kommt – gerade für der Bereich extremistischer Gruppierungen – uns zu. Es ist wichtig, dass es eine Behörde gibt, die das Gefahrenpotential dieser Gruppierungen einschätzen kann.
Die Idee dahinter ist also eine wehrhafte Demokratie, die vom mündigen Bürger ausgeht, ein großes politisches Spektrum zulässt und in der Verbote das letzte aller Mittel sind. Im Gegensatz dazu würde ein autoritärer Staat, alles was außerhalb seiner Vorstellungen liegt, verbieten. Und die Idee ist: zulassen, aber sensibilisieren. Wir müssen erfassen, wann eine Gruppe, eine Partei diesen demokratischen Konsens verlässt und dann informieren.
In Zeiten von Fake News ist das allerdings nicht immer so einfach. Die Medien sind oft mit Anschuldigungen konfrontiert, falsch zu berichten.
Es passiert, was immer dann passiert, wenn wir es mit neuen Medien zu tun haben: Die Menschen müssen erst lernen, mit ihnen umzugehen. Technisch sind vor allem junge Menschen sehr versiert im Umgang mit ihnen. Die Menschen müssen aber erst lernen, Wahrheit und Fake News zu unterscheiden. Und ich glaube, da sind wir im Moment in einer Phase, wo diese Medienkompetenz zwar technisch, aber noch nicht inhaltlich gegeben ist.
"So arbeitet die Redaktion" informiert Sie, wann und worüber wir berichten, wie wir mit Fehlern umgehen und woher unsere Inhalte stammen. Bei der Berichterstattung halten wir uns an die Richtlinien der Journalism Trust Initiative.