Wenn ein US-Amerikaner von einem "perfect storm" spricht, meint er damit üblicherweise kein unangenehmes Wetterphänomen, sondern die maximal anzunehmende Katastrophe – und in der befindet sich die Welt aktuell, sagt der Cybersicherheitsexperte und White-Hat-Hacker Ralph Echemendia bei einem Besuch in Wien. Bei einem Treffen mit Digitalisierungsstaatssekretär Florian Tursky gab Echemendia vor Medienvertretern seine Einschätzung der Sicherheitslage, die er Tage davor bei der EDEN-Konferenz von Europol in Den Haag geteilt hat.

Die giftige Cocktail, was Datensicherheit betrifft, lässt sich laut dem Hacker auf zwei Faktoren herunterdestillieren: Pandemie und Krieg. Die Pandemie habe einerseits dafür gesorgt, dass Massen von Arbeitnehmern plötzlich im Homeoffice mit sensiblen Firmendaten hantierten – ein potenzielles Einfallstor für Cyberkriminelle. Gleichzeitig habe der Krieg in der Ukraine zu einer deutlichen Professionalisierung der Cyberangriffe geführt – eine Entwicklung, die sich seit 2014 mit der Annexion der Krim durch Russland beobachten lässt. Früher hätten Hacker aus Russland Kreditkartendaten gestohlen oder einzelne Websites lahmgelegt, heute ist daraus ein kriminelles Milliardengeschäft der Datenerpressung geworden.

"Hätten Sie mir vor 15 Jahren gesagt, dass Russland einmal professionelle Hacker beschäftigt, ich hätte es nicht geglaubt", sagt der US-Amerikaner mit kubanischen Wurzeln. Dazu kommt, dass Hacker mit Kryptowährungen plötzlich Zugriff auf große Geldsummen haben, obwohl hier die Behörden langsam aufholen. Denn in der eigentlich transparenten Blockchain können Cyberkriminelle den Lauf des Geldes mit "Pool Hopping" – also dem raschen Wechsel zwischen verschiedenen Währungen – nur den Versuch unternehmen, die Spur des Geldes zu verschleiern.

1,05 Billionen Dollar Schaden im Jahr

Der Schaden durch diese kriminellen Netzwerke beträgt mittlerweile rund 1,05 Billionen US-Dollar im Jahr. Stark ins Visier der Cyberkriminellen geraten nun kleine und mittlere Unternehmen, da diese meist wenig Erfahrung im Umgang mit Attacken aus dem Netz haben – und bei digitalen Erpressungsversuchen, sogenannten Ransomware-Angriffen, gerne zahlen, nur um ihre Daten wiederzuerlangen. Das liege laut Echemendia vor allem daran, dass die Hacker die Lösegelder individuell auf ihre Opfer zuschneiden und diese sich im noch leistbaren Rahmen bewegen. Viele Unternehmen würden auch den Gang zur Polizei scheuen, so Staatssekretär Florian Tursky, nämlich in der falschen Annahme, man könne ohnehin nichts machen. "Doch, kann man, wenn Ihnen auf der Straße die Geldbörse gestohlen wird, gehen Sie auch zur Polizei. Cyberangriffe sind wie ganz gewöhnlicher Raub", erklärt Tursky.

Die Branche hinkt hinterher

Das Problem liegt laut dem Cybersicherheitsexperten oft an der Struktur der Unternehmen und den mangelnden Budgets. "Nur sechs bis acht Prozent der IT-Budgets werden tatsächlich für Sicherheit verwendet", erklärt Echemendia, auch wenn langsam ein Umdenken stattfinde. Denn von dem Gedanken, Angreifer "auszusperren" und Attacken zu 100 Prozent zu verhindern, kommt man immer weiter ab. "Viel wichtiger ist die Resilienz des Unternehmens oder der Organisation", sagt Echemendia. Jedes Unternehmen und jede Organisation sei gut beraten, einen Plan parat zu haben, was zu tun ist, wenn ihre Daten im Netz landen. Denn nur Lösegeld zu zahlen führe nur manchmal dazu, dass die Angreifer die Daten nicht weiter veröffentlichen.

"Früher haben Hacker aus Neugierde Sachen ausprobiert, weil sie wissen wollten, was passiert, später kam Rache dazu, und jemand hat die Ex-Freundin gehackt, heute dreht sich alles nur noch ums Geld. Als ich angefangen habe, war das alles in den Kinderschuhen, heute ist die Branche in ihren frühen 20ern, während die Cybersicherheitsbranche erst im Teenageralter steckt", so Echemendia bei seinem Vortrag im Finanzministerium.

Vorbild Estland

Doch wie können sich Organisationen und ganze Staaten schützen? Als Estland 2007 unter massive Denial-of-Service-Attacken durch staatlich finanzierte Cyberkriminelle geriet, war die Antwort nicht weniger, sondern mehr Digitalisierung. Echemendia war damals in einer beratenden Funktion tätig. Er sieht den baltischen Staat durch den digitalen Staat viel besser auf Aggressionen durch Russland vorbereitet: "Selbst wenn die russische Armee mit Panzern das Land erobert, haben sie keinen Zugriff auf die staatliche digitale Infrastruktur, weil sie sich dezentral auf Servern in der ganzen Welt befindet", erklärt Echemendia. Gleichzeitig sei es in Estland üblich, dass jedes Schulkind zumindest die Grundkenntnisse des Programmierens erlernt. Es geht dabei nicht darum, jede Estin und jeden Estin zum Coder zu machen, aber jeder Volksschüler habe dadurch zumindest ein grobes Verständnis der Logik, wie digitale Systeme aufgebaut sind. Generell sieht der "Ethical Hacker", so Echemendias Eigendefinition, Europa besser vorbereitet als seine Landsleute in den USA. Hierzulande sei das Bewusstsein über Privacy-Fragen deutlich ausgeprägter und der Wille, die Datensammelwut von Konzernen einzudämmen, vorhanden.

Dass ein Land wie Österreich zu klein sei, um für professionelle Hacker interessant zu sein, sei ein Irrglaube. "Niemand ist zu klein. Das Netz kennt keine Staatsgrenzen", sagt Echemendia. (pez, 28.9.2022)