interview
Der Cyberangriff auf IT-Systeme der Deutschen Bahn gehört zu einer ganzen Reihe von Attacken auf NATO-Staaten, sagt IT-Sicherheitsexperte Jan Lemnitzer bei tagesschau24. Für ihn ist klar: Dahinter steckt Russland.
tagesschau24: Der Angriff auf die Bahn war wohl ein gezielter Cyberangriff, zum Beispiel um die Buchungssysteme zu überlasten und dadurch lahmzulegen. Was lässt sich aus Ihrer Sicht daraus ableiten?
Jan Lemnitzer: Zuerst ist wichtig zu verstehen, dass der Angriff Teil einer groß angelegten Kampagne gegen mehrere NATO-Staaten gleichzeitig ist. Das National Center for Cyber Security in Großbritannien hat im späten Januar davor gewarnt. In Dänemark etwa sind Ministerien, Gemeinden und interessanterweise auch eine App, über die man Bahntickets kauft, angegriffen worden, genauso wie führende Cybersicherheitsunternehmen.
Der Hafen von Rotterdam ist mit einer ähnlichen Attacke angegriffen worden. Das ist eine russische Kampagne, die mit der Ukraine zu tun hat. Hier will man Unsicherheit verbreiten bei den Unterstützern der Ukraine.
Zur Person
Jan Lemnitzer ist Assistenzprofessor am Institut für Digitalisierung der Copenhagen Business School. Sein Forschungsschwerpunkt liegt auf Cyber-Aspekten internationaler Konflikte, Cybersicherheit in Unternehmen, Cyberversicherungen und Cybersicherheitsvorschriften.
Alte Taktik mit neuer Technik
tagesschau24: Sie benennen das so klar, also das halten Sie für gesichert?
Lemnitzer: Ich würde sogar noch weitergehen und sagen, was wir hier sehen ist eine technische Neuerung in dem DDoSia-Werkzeug, das die russische Hackergruppe „NoName05716“ benutzt. Ich habe mit Experten des größten dänischen Cybersicherheitsunternehmens Dubex gesprochen und gefragt, warum diese Attacke bei ihnen durchkam, obwohl DDoS-Angriffe für sie nichts Neues sind. Und sie haben gesagt, dass es in dem Angriff eine technische Neuerung gab, der ihre bisherige Verteidigungsinfrastruktur umgangen hat.
Sie mussten erst diesen Angriff abwehren und jetzt bessere Verteidigungen – teurere Verteidigungen – neu aufbauen. Und mein Verdacht ist, dass der Deutschen Bahn genau dasselbe passiert ist.
Was ist eine DDoS-Atacke?
Die Abkürzung DDoS steht für „Distributed Denial-of-Service“ (auf Deutsch: „verteilte Dienstverweigerung“). Bei einer DDoS-Attacke schicken Tausende Geräte gleichzeitig so viele Anfragen an eine Website, dass diese überlastet ist und schlimmstenfalls abstürzt.
Für die Nutzer sieht das dann so aus, als sei die Seite offline, obwohl sie technisch nicht zerstört wurde. Ziel solcher Angriffe ist es meist, Unternehmen oder Behörden zu erpressen, zu sabotieren oder politisch unter Druck zu setzen.
Eine Frage der Priorisierung
tagesschau24: Zeigt sich da das Muster, das wir schon häufiger erlebt haben, dass man den Hackern und ihren neuen Entwicklungen immer hinterherhinkt?
Lemnitzer: Nicht immer und es ist ja nicht so, dass man nichts machen kann. Aber das sind teure Maßnahmen, dafür brauchen Sie Experten und man muss sich immer fragen: Wie viel von einem Budget will man eigentlich investieren, um sich gegen so etwas wie DDoS-Attacken, die eigentlich recht altertümlich sind, zu verteidigen? Oder ob man das Budget nicht lieber in die Sicherheit der neuen KI-Werkzeuge steckt. Das sind beides mögliche Angriffsvektoren.
Ursprüngliche Idee kam aus der Ukraine
tagesschau24: Welche Rolle spielt dabei die Unberechenbarkeit dieser Angriffe? Sie sagen ja, es ist ungewöhnlich, dass man jetzt mit so einer älteren Methode um die Ecke kommt.
Lemnitzer: Das ist eine Neuerung, die aus dem Ukraine-Krieg kommt. Damit haben eigentlich die Ukrainer angefangen, die auf die Idee kamen, über Telegram Freiwillige aus ganz Europa zu koordinieren, die dann ihre Rechenpower von zu Hause beitragen und damit Infrastruktur in Russland mit DDoS-Attacken angegriffen haben.
Denn DDoS-Attacken galten zwar als sehr altmodisch, aber sie sind eben auch sehr einfach. Das hat die Ukraine genutzt, um den Krieg auch für die russische Zivilbevölkerung fühlbar zu machen. Aber russische Hacker haben die Idee kopiert und jetzt greifen sie uns an.
Neue Dimension der Angriffe
tagesschau24: Sie haben es beschrieben, es ist offenbar eine konzertierte Aktion, betrifft mehrere NATO-Staaten. Also welche Dimensionen haben diese aktuellen Cyberangriffe gerade auf die kritische Infrastruktur?
Lemnitzer: Die Angreifer haben offensichtlich ihre Kapazitäten aufgestockt. Sie machen das ja schon seit 2022, wir haben 2024 eine Eskalation gesehen. Und jetzt konzentrieren sie sich nicht mehr auf ein Land.
Wenn das in Dänemark passierte, dann war das normalerweise in Dänemark in den Medien, aber in Deutschland bekam davon niemand etwas mit. Jetzt haben wir nach meiner Zählung fünf, sechs Länder gleichzeitig, die angegriffen werden. Also da sind mehr Kapazitäten verfügbar und sie sind auch in der Lage, Standardverteidigungen gegen DDoS-Angriffe zu überwinden. Das ist es, was neu ist.
Sorge vor Angriffen auf Energieinfrastruktur
tagesschau24: Und an welchen Stellen muss man jetzt – gerade hier bei uns in Deutschland – vielleicht noch mit Angriffen rechnen? Und welche Folgen könnte das haben?
Lemnitzer: Gemeinden, Gemeindeverwaltungen sind normalerweise sehr schwach verteidigt, aber da merkt das der Bürger, wenn die Gemeindeservices nicht mehr funktionieren. Auch Ministerien sind ein gern genommenes Ziel, alle Arten von kritischer Infrastruktur.
Aber was mir mehr Sorgen macht, sind die jüngsten Angriffe auf Energieinfrastruktur. Gerade der Angriff auf Polen vor ein paar Wochen, wo zum ersten Mal auch sehr, sehr aggressive, zerstörerische Malware von russischen Angreifern eingesetzt wurde, die wir bisher nur auf Kraftwerke in der Ukraine gesehen haben.
Das würde mir am meisten Sorgen machen, wenn wir diese Art von Angriffen jetzt auch auf deutsche Energieinfrastruktur sehen würden. Die DDoS-Attacken sind zwar nervig, wenn man jetzt ein Bahnticket kaufen möchte, aber das ist beherrschbar.
Ende der Attacke nicht vorhersehbar
tagesschau24: Kommen wir nochmal auf eben diesen für Kundinnen und Kunden nervigen Cyberangriff auf die Deutsche Bahn, der offenbar in Wellen läuft. Wie gut lässt sich das einfangen und ist absehbar, wie lange sich das Ganze noch hinzieht?
Lemnitzer: Das kann sich jetzt noch eine Weile hinziehen, je nachdem, wie konzentriert sich die Angreifer mit immer neuen, größeren Attacken auf die Deutsche Bahn einschießen. Vielleicht stehen sie auch morgen auf und sagen, wir greifen lieber England an. Das ist nicht seriös vorherzusagen.
Was man vorhersagen kann, ist, dass die IT-Sicherheitsabteilung der Deutschen Bahn gerade dabei ist, verbesserte DDoS-Abwehrinstrumente zu installieren, sodass genau diese Art von Attacke, mit der sie jetzt zu tun haben, in der Form nicht mehr erfolgreich sein wird.
Das Gespräch führte Kathrin Schlass, tagesschau24.
Source: tagesschau.de