Das Problem ist noch viel größer, als den meisten bewusst ist. Phishing-Mails oder Ransomware-Attacken gehören mittlerweile zum Alltag, auch ein entsprechendes Verständnis für solche Cyberangriffe nimmt in der Bevölkerung immer weiter zu. Doch dahinter stecken Kriminelle, die bewusst Schaden verursachen wollen.

Große Sicherheitslücken gibt es nämlich auch dort, wo sich – wenn man so will – alles "legal" abspielt: bei sogenannten digitalen Schwachstellen. In Österreich gibt es in zwei Millionen öffentlichen IP-Adressen und Domains 1,2 Millionen potenzielle Schwachstellen. So lautete im Herbst das ernüchternde Ergebnis der Schweizer Cybersecurityfirma Dreamlab, die Österreich auf Schwachstellen getestet hat. "Eigentlich eine Katastrophe", fasst Marc Peter von Dreamlab die Situation im STANDARD-Gespräch zusammen. Das Problem laut Peter: "Diese Schwachstellen sind alle bekannt und dokumentiert. Die entsprechenden Tools, um sich ins System zu hacken, gibt es oft gratis zum Download im Internet."

Im Jahr 2021 hat eine Sicherheitslücke in der Open-Source-Software Log4jfür große Besorgnis bei IT-Sicherheitsspezialisten auf der ganzen Welt gesorgt.
Getty Images/iStockphoto

Softwarefehler oder Passwörter

Doch was hat es mit besagten digitalen Schwachstellen auf sich? Grob heruntergebrochen könnte man sagen, eine digitale Schwachstelle ist wie ein Loch in einer Kette, das es Angreifern ermöglicht, in ein System einzudringen. Solche "Löcher" bestehen oft jahrelang oder sogar jahrzehntelang.

Sie zeigen die Verletzlichkeit der digitalen Infrastruktur. Dass es solche Schwachstellen gibt, hat grundsätzlich nichts mit Malware-Angriffen oder Social Engineering zu tun. Sie entstehen durch Fehler beim Programmieren der Software, unzureichend gesicherte oder veraltete Betriebssysteme und – wer hätte das gedacht – schwache und wiederholte Passwörter. Wolfgang Rosenkranz ist einer, der sich tagtäglich mit solchen digitalen Schwachstellen beschäftigt. Er ist Teamleiter von CERT.at, sozusagen einem nationalen Internet-Notfallteam. CERT.at ist eine Cyberwarnzentrale für Sicherheitsvorfälle, die Unternehmen über Probleme informiert, bevor etwas passiert bzw. sobald sich etwas abzeichnet.

"Wir erklären nicht, dass es Dinge wie den Love-Scam gibt, das macht etwa unser Partner, die Watchlist Internet. Wir erzeugen ein Lagebild, wie stark Unternehmen oder öffentliche Einrichtungen bedroht sind, und informieren Betroffene", sagt Rosenkranz.

2,5 Millionen Euro für Apple

Wenig überraschend lassen sich digitale Schwachstellen recht ertragreich monetarisieren. "Dafür haben sich nicht nur illegale, sondern auch legale Marktplätze gebildet", erklärt Rosenkranz. Die US-amerikanische Firma Zerodium etwa betreibt einen solchen Marktplatz, da geht es um immense Summen.

Unternehmen wie Zerodium kaufen digitale Schwachstellen, um sie auf einem Marktplatz zu veräußern. Wer 2,5 Millionen Euro für eine Schwachstelle zahlt, muss sich viel davon erhoffen.
Screenshot Zerodium

"Am teuersten sind sogenannte Zero-Click-Exploits. Man bekommt eine Mail, und das System ist automatisch verseucht, da kann man nichts dagegen machen", sagt Rosenkranz. Das sei der Klassiker, wenn Nachrichtendienste etwas am Handy installieren wollen, der Besitzer merke davon nichts. Zerodium gibt auch öffentlich bekannt, wie viel sie bereit sind, für diese Exploits zu zahlen. "Für Windows-‚Zugänge‘ zahlen sie bis zu einer Million Euro, für Android oder Apple bis zu 2,5 Millionen Euro."

Großer Käuferkreis

Was Verteidigern die Lage zusätzlich erschwert, ist der enorm gewachsene Käuferkreis. Früher konnten sich fast ausschließlich Staaten solche teuren "Zugänge" leisten und nutzten diese dann zu Spionagezwecken. Weil Kriminelle mit Ransomware-Attacken und Erpressungen viel Geld verdienen, haben mittlerweile auch sie die dafür notwendigen Mittel, die sie auf illegalen Marktplätzen für noch bessere Exploits einsetzen. Für manche Staaten haben sich solche Marktplätze sogar zu einem Wirtschaftsfaktor entwickelt, schließlich zahlen die Firmen Steuern im Land, meint Rosenkranz. Selbstredend fließt auch abseits der Öffentlichkeit und im Illegalen viel Geld, Details dazu nennt er keine.

Auch Dreamlab hat sich damit beschäftigt, welches Interesse andere Staaten oder Organisationen an Österreich haben könnten. Die Schweizer kritisieren vor allem, dass man hierzulande zu viel Kontrollinfrastruktur aus der Hand gegeben habe. Sie stellten beispielsweise fest, dass nur 20 Prozent der Mail-Server in Österreich stehen. 80 Prozent der E-Mails an Behörden oder Unternehmen könnten demnach im Ausland mitgelesen werden, wenn sie nicht verschlüsselt werden.

Heißbegehrt sind digitale Schwachstellen bei Apple oder Android.
IMAGO/ZUMA Wire

Zu den Schwachstellen gehören laut Dreamlab auch exponierte Infrastrukturkontrollsysteme wie Heizungen, die übers Internet ungeschützt zugänglich sind, oder Web-Cams, die etwa Wasserkraftwerke, Staudämme, Wasserversorgung beobachten. Bei 430 analysierten Regierungsdomains (.gv.at) wurden 1300 Schwachstellen gefunden, 230 davon kritische. Das ist ein Mitgrund, dass der Rechnungshof vergangenes Jahr bessere Abstimmung im Fall eines Cyber-Angriffs auf staatliche Einrichtungen einforderte.

FBI und Bundeskriminalamt

Koordination hat auch bei CERT.at Priorität. "Wir sind ständig im Austausch mit anderen Organisationen, unter anderem mit dem FBI oder Bundeskriminalamt. Die Datenflut über Schwachstellen und Angriffe wird immer mehr", sagt Rosenkranz. Mittlerweile gibt es sogar Suchmaschinen, mit denen man verwundbare Systeme finden kann. CERT.aterhält beispielsweise Daten von Shodan, einem Suchmaschinenbetreiber für aus dem Internet erreichbare Server, der dabei auch immer wieder fehlerhafte Systeme aufspürt.

Digitale Bedrohungen lassen sich also oft benennen, und alle sind sich einig, dass die Kommunikation besser werden muss. (Andreas Danzer, 3.1.2024)