Die USA haben angedroht, ihre Verteidigungsengagements in Europa weitgehend einzustellen. Was würde das zukünftig für unsere Sicherheit in staatlichen Einrichtungen und wirtschaftlichen Bereichen bedeuten? Über diese Fragen sprach Dierk Himstedt mit dem deutschen IT-Sicherheitsexperten Sandro Gaycken.

Was kostet es, ein Handy, eine Cloud oder ein Unternehmens-Netzwerk zu hacken?

Da muss man tatsächlich unterscheiden. Für ein iPhone würde das bis zu fünf, sechs Millionen Euro kosten. Wenn man das Geld hat, kann man eine Person natürlich ausspionieren – und das sogar auf beliebig viele Handy-Nutzer ausweiten. Ein Hackerangriff auf das System einer Firma oder Bank ist bedeutend günstiger, weil die viel weniger geschützt sind als die Systeme der großen Tech-Firmen im Silicon Valley.

Das klingt jetzt erstmal überraschend? Warum ist das so?

Für die Konzerne, die Handy- oder Cloud-Software verkaufen, wäre ein massiver Hack ein sehr großer Image-Schaden. Diese Unternehmen investieren deswegen sehr, sehr viel Geld in ihre Sicherheit. Wir sprechen hier von einem dreistelligen Millionenbetrag pro Jahr. Also die großen Tech-Firmen im Silicon Valley wie Apple, Microsoft, Amazon und so weiter haben die besten Sicherheitsstandards und auch die besten Leute.

Bei Angriffen auf Firmen oder Banken haben die Angreifer den Vorteil, dass die Opfer es entweder nicht merken oder sehr oft geheim halten, um Imageschäden abzuwenden. In diesen Fällen erfährt die Öffentlichkeit also gar nichts von den Daten-Lecks.

Die Opfer merken nichts? Wie kann das sein?

Wenn es sich beispielsweise um Angriffe russischer Geheimdienste handelt, sind die Sicherheitssysteme in den allermeisten deutschen Firmen und Banken nicht gut genug aufgestellt, damit diese Hacks bemerkt werden. Dabei ist es egal, ob es sich um Datenklaus oder Implementierungen von sogenannten Schläfer-Viren handelt, die jederzeit aktiviert werden können, um Systeme lahmzulegen. Wenn es jedoch Cyberangriffe von kriminellen Organisationen sind, melden die sich von allein – aus monetärem Interesse, um Geld zu erpressen. Und leider haben sie damit auch in den meisten Fällen Erfolg. Die Mehrheit zahlt, um den Erpresser loszuwerden, der das digitale System beziehungsweise das Geschäft bedroht.

Wie geht man vor, um in Digitalsysteme reinzukommen?

Es kommt mal wieder darauf an: Die Angriffe, die mit Erpressungen verbunden werden, funktionieren auch ohne Hacks. Hier werden bestehende Schwachstellen ausgenutzt, die man von außen scannen kann, über die sie dann ihre Schad-Software in die Systeme einpflanzen können. Einfaches Beispiel sind die Klicks auf Anhänge einer gefakten Mail. Beim Programmieren dieser illegalen Software hilft auch die KI wie ChatGPT, das ist heute kein großes Problem mehr.

Staaten gehen mit ihren Cyber-Abteilungen natürlich ganz anders und mit viel größeren finanziellen Möglichkeiten vor. Die Großmächte wie China oder Russland hacken sich ein – in der Regel, ohne dass das von irgendjemand bemerkt wird –, und platzieren ihre Spionage- oder Schad-Software, die sie jederzeit aktivieren können. Man sagt so über den Daumen, dass 200 bis 600 Tage vergehen, bis diese Angriffe in Rechnersystemen aufgespürt werden. Man kann sich vorstellen, welchen Schaden die Angreifer in dieser Zeit anrichten können. Oft ist es zudem extrem mühsam und langwierig, die Eindringlinge wieder gänzlich loszuwerden.

Wie ist dann die Bedrohungslage aktuell in Deutschland?

Wir haben bisher gut unter einem digitalen Abschreckungsschirm der USA gelebt. Der funktionierte wie folgt: Wenn ihr Russen uns wehtut, dann tun wir euch auch weh, weil wir es können! Die Lage ist so, dass wir davon ausgehen müssen, dass ein Land wie Russland einen massiven Angriff auf unsere kritische Infrastruktur bereits installiert hat.

Und wenn uns die Amerikaner mit ihrer Gegenangriffsdrohung vor den Russen nicht mehr schützen, was US-Präsident Trump ja schon angekündigt hat, dann haben wir ein großes Problem. Denn wir können diese Drohungen gegenüber der Gegenseite nicht glaubhaft vermitteln. Europa und vor allem auch Deutschland sind erstens zu vorsichtig, zu ängstlich und haben auch nicht die Ausstattung für digitale Hackerangriffe amerikanischer Art.

Was bedeutet das für uns?

Das heißt für uns, wir sind den Russen und Chinesen aktuell ziemlich ausgeliefert. Die können sehr sicher ohne Probleme Häfen wie in Rotterdam oder Hamburg lahmlegen, zum Beispiel, indem sie Hebebrücken hochfahren lassen, dass keine Lkw mehr an die Container rankommen und damit die Lieferketten komplett unterbrochen werden. Man kann Stromversorgungen unterbrechen, Eisenbahnen oder Krankenhäuser lahmlegen. Ich kann mir gut vorstellen, dass wir in Zukunft häufiger erleben werden, dass Russen oder Chinesen ausprobieren, wie weit sie gehen können, ohne einen Gegenangriff zu riskieren.

Was ist Ihre Hauptkritik in Richtung der deutschen und europäischen Sicherheitsbehörden?

Es werden zu wenig wichtige Entscheidungen im Bereich der Verteidigung und digitalen Sicherheit getroffen, weil große Angst herrscht vor den ganzen Hightech-Bereichen und sich bei den Entscheidern offensichtlich keiner genug auskennt. Es wird häufig von Zeitenwende geredet, aber im Grunde viel zu wenig danach gehandelt. Und zudem werden frustrierenderweise Jahr für Jahr zig Milliarden versenkt in den bürokratischen Strukturen der Ministerien, bei der Rüstungsbeschaffung sowie versandenden Entscheidungsprozessen. EU-typische, halbherzige Projekte, in denen jedes Land der EU ein paar Dutzend Millionen gleich verteilt bekommt, helfen hier nicht weiter. Denn damit kann dann keines der Länder etwas Gleichwertiges zu dem auf die Beine stellen, was die USA uns bisher für unsere Sicherheit zur Verfügung gestellt hat.

Was braucht Deutschland und die EU dann? Was muss sich ändern?

Da die Amerikaner ausfallen könnten, müssen wir all das, was von den USA erledigt wurde, zukünftig selbst machen. Gut wäre, wenn wir eigene Social Media-Angebote auf den Markt bringen würden, zudem eigene Betriebssysteme aufbauen, eigene Clouds haben und all die Varianten von Software und Apps für PCs und die mobilen Geräte programmieren. Im militärischen Bereich müssten wir viel offensivere Cybertruppen aufbauen, die eine ausreichende Abschreckung gegenüber Russland und China gewährleisten würden.

Leider kann das aktuell in Europa niemand leisten. Alle können ein bisschen. Wenn man aber enger zusammenarbeiten würde, könnten wir aus den vorhandenen Möglichkeiten viel mehr rausholen. Technisch könnten wir all das, was die USA leistet, auch machen. Doch es uns fehlt an der nötigen Mentalität – sowohl bei den Geldgebern, vor allem aber in den Ministerien.

Nehmen wir an, Europa geht das an. Was würde uns eine solche Anstrengung kosten?

Die USA gibt im Jahr ganz sicher eine höhere zweistellige Milliardensumme für Cyberabwehr und -abschreckung aus. Auf eine genaue Zahl will ich mich an dieser Stelle aber nicht festlegen. Aber die Größe der Dimension ist klar.

Eine Frage muss noch gestellt werden: Warum sind nicht die besten Hacker und Informatiker beim Bundesnachrichtendienst?

Einige gute Hacker arbeiten dort. Aber letztlich ist das auch in dieser Branche eine Frage des Geldes. Der Dienst und das Auswärtige Amt müssen für sich beantworten: Will ich einem solchen Mitarbeiter eine oder zwei Millionen Euro im Jahr bezahlen? Das bekommen die nämlich im Silicon Valley bei den großen Tech-Unternehmen, verbunden mit sehr angenehmen Arbeitsbedingungen. Und diese Bedingungen bekommen sie dann halt meist nicht in einem Behördenjob in Deutschland, wo sie von 9 bis 17 Uhr mit Neonlicht, grauen Linoleumböden und 20 Jahre alten Schreibtischen arbeiten. Ich übertreibe hier bewusst ein bisschen.