Wie Luxemburg auf die große Cyberattacke reagiert hat
Auch am Freitag gingen die Angriffe auf Webseiten des Staates weiter. Doch wie steht es um den Schutz der kritischen Infrastruktur?
Es war ein Szenario, das IT-Experten in Alarmstimmung versetzt: Am Donnerstag legten großangelegte Hackerangriffe zahlreiche Homepages des Staates lahm. Zum großen Chaos kam es jedoch nicht: Zwar waren die Seiten teils über Stunden von außen nicht erreichbar, doch kam es nach bisherigen Erkenntnissen nicht zu schwereren Vorfällen wie dem Klau oder der Löschung von sensiblen Daten.
Eine der betroffenen Webseiten war Santé.lu, die allgemeine Informationen anbietet – eine Verbindung mit internen Seiten und kritischen Daten der Sozialversicherung oder der Versicherten besteht nicht. „Das ist strikt getrennt“, erklärt Ilona Biwer, Sprecherin des Sozialministeriums, auf Anfrage. „Wir bekommen die Seite vom Staat zur Verfügung gestellt und füttern sie mit Inhalten, vor allem Informationen für die Versicherten. Um die Informatik kümmert sich das CTIE, das die Webseite technisch verwaltet. Wir selbst haben keine Informatiker.“Die Santé-Webseite funktioniert mittlerweile wieder normal, Schäden gab es keine.
Bislang seien keine Datenverluste angezeigt worden, nur die Webseiten waren nicht mehr zugänglich, ist auch von der Nationalen Datenschutzkommission zu erfahren. „Nach einer solchen Attacke müssen die Ministerien, Verwaltungen und Betriebe analysieren, ob Daten von Personen betroffen sind und ob dadurch ein Risiko für diese Personen entstanden ist“, erklärt Datenschutzkommissar Alain Herrmann von der CNPD (Commission Nationale pour la Protection des Données). Die Kommission ist zuständig für die Umsetzung der Datenschutzverordnung.
Zu früh für abschließende Bilanz
Wenn ein Risiko in puncto Datenschutz besteht, muss die Datenschutzkommission innerhalb von 72 Stunden, also drei Tagen, nach der Attacke informiert werden. Die CNPD unterstützt die Betroffenen dann darin, den Schaden möglichst gering zu halten. Gegenwärtig sei es aber noch zu früh, eine abschließende Bilanz zu ziehen.
Das sagt am Freitag auch Monique Pütz, Sprecherin des Hohen Kommissars für nationale Sicherheit, die zudem Sprecherin der am Donnerstag eingerichteten Krisenzelle ist: „Die Attacken gehen derzeit noch wellenartig weiter. Es ist noch zu früh für Schlussfolgerungen, wie sie nach jedem Einsetzen einer Krisenzelle gezogen werden.“Allgemein sei man in der operationellen Zelle bislang ganz zufrieden mit den Abwehrmaßnahmen und wie das Monitoring verlief.
Man erteile zudem betroffenen Verwaltungen und Betrieben Empfehlungen, wie sie sich schützen können. Anlass zur Sorge bestehe nicht. Die Attacken hatten auch keinen Impakt auf kritische Strukturen. „Die Angriffe sind breit gefächert, zielen aber vor allem auf Webseiten ab und auf möglichst hohe Aufmerksamkeit.“Die Krisenzelle ist zudem im ständigen Kontakt mit dem europäischen Netzwerk zur Cyber-Sicherheit.
Am Freitagnachmittag äußerte sich Luc Frieden am Rande des EU-Gipfels gegenüber der Presse: „Die Situation ist noch nicht vorbei, aber derzeit nicht alarmierend. Die Behörden haben die Lage im Griff.“Der Regierungschef fand es noch immer nicht opportun, zu verraten, wer hinter dem Angriff stand.
Die einfachste Form der Attacke
Doch wie sind die Attacken, die ja zur Einberufung des Krisenstabs führten und für große Aufregung sorgten, letztlich einzuordnen? Bei den DDoS-Angriffen handelt es sich nach übereinstimmender Meinung aller Experten um eine recht banale Form der Attacke. Sven Clement geht noch einen Schritt weiter: „Das war keine Cyberattacke, das war Cyber-Vandalismus“, sagt der Abgeordnete für die Piraten auf „Wort“-Anfrage.
Auch der Sprecher des Chaos Computer Club Lëtzebuerg, Sam Grüneisen, zeigt sich wenig beeindruckt von den mutmaßlich russischen oder prorussischen „Hacktivisten“. Er zweifelt sogar diese Wortwahl an: „Ganz ehrlich: Da kann man nicht wirklich von Hackern sprechen.“Grüneisen erklärt: „Seit es das Internet gibt, gibt es solche Attacken. Das war für mich nichts Professionelles. Das sind eher Spielereien, wo Leute sich wichtigmachen wollen. Da kann man nicht von einer gezielten Attacke sprechen, das war eher Kinderkram.“
Aus Sicht von Grüneisen waren die IT-Experten der Behörden auf solcherlei Attacken vorbereitet und haben angemessen reagiert: „Natürlich waren verschiedene Internetseiten zeitweise nicht zu erreichen, aber sie waren bald wieder erreichbar, weshalb die Maßnahmen ausgereicht haben.“
: Die Attacken gehen derzeit noch wellenartig weiter. Monique Pütz, Sprecherin des Hohen Kommissars für nationale Sicherheit
Vertrauen in IT-Experten
Sven Clement sieht diesen Punkt kritischer. Schon 2018 sei den Abgeordneten versichert worden, dass der Staat auf solche Angriffe vorbereitet sei. Dennoch hätten die Gegenmaßnahmen sechs Stunden gebraucht, um zu greifen. „Und das beunruhigt mich – weil, was haben wir die letzten sechs Jahre gemacht, außer Geld auszugeben?“
Nach den Vorfällen vom Donnerstag stellt sich die Frage, womit Luxemburg bei heftigeren Angriffen rechnen muss, wenn schon eine solche, technisch wenig anspruchsvolle Cyber-Attacke zahlreiche Homepages lahmlegt. Ist die kritische Infrastruktur auf gezielte Angriffe vorbereitet?
Sven Clement bleibt in dieser Frage gelassen. Schon nach 30 bis 40 Minuten habe etwa
der Emailserver der Chamber wieder funktioniert. „Das gibt mir doch ein gewisses Vertrauen zumindest in die Informatik der Chamber“, sagt Clement und muss lachen. Doch dann wird er wieder ernst und betont: „Ich denke, man muss unterscheiden zwischen Sicherheit und Verfügbarkeit.“
Nachhaken im Parlament
Am Donnerstag seien lediglich Internetseiten zeitweilig nicht verfügbar gewesen. Die kritische Infrastruktur – dazu zählen etwa Einrichtungen aus den Bereichen Energie, Verkehr, Wasser, Finanz- und Versicherungswesen, Ernährung, Verwaltung, Gesundheit, Informationstechnik, Telekommunikation, Medien und Kultur – sei aber nicht in Gefahr gewesen.
Dennoch bleiben nach dem Vorfall Fragen offen: „Wir werden da mit parlamentarischen Anfragen im Detail nachhaken, wo wir die Summen in den vergangenen Jahren investiert haben und ob sie so sinnvoll angekommen sind“, kündigt Clement an.
Ist mit weiteren Attacken in den nächsten Tagen zu rechnen? Da bleibt Premier Luc Frieden kryptisch: „Wir sind gut vorbereitet, aber es ist nie von einem Moment zum anderen vorbei.“IT-Experte Grüneisen sagt, dass man weitere Angriffe einkalkulieren müsse: „Ganz ausgeschlossen ist es nicht, dass andere Gruppierungen oder von Staaten gesponserte Attacken kommen. Ich denke, das ist die Idee der neuen Kriegsführung.“
Spezieller Schutz für bestimmte Einrichtungen
Angesichts der neuen Frontstellung zwischen Russland und dem Westen müsse man auch in Luxemburg damit rechnen, dass Attacken auf die kritische Infrastruktur vorkommen. Zumal das verhältnismäßig günstig sei: „Da muss man keine Bomben herstellen und irgendwo herabfallen lassen, sondern das kann man schön bequem von Zuhause aus machen“, so Grüneisen. In der Ukraine seien gezielt Wasser- und Stromwerke angegriffen worden.
Doch wie gut ist die kritische Infrastruktur in Luxemburg aus Sicht des unabhängigen Experten gegen Hackerangriffe geschützt? „Das ist schwer zu sagen, weil da Vieles nicht öffentlich ist“, ordnet Grüneisen ein. Es sei sogar gut, „dass man da nicht genau weiß, wie der Staat aufgestellt ist.“Er könne jedoch bestätigen, dass beim Staat kompetente Mitarbeiter im Einsatz seien. „Die kritische Infrastruktur ist schon geschützt“, so das Fazit des Computerspezialisten.
Von dem Cyberangriff waren jedoch nicht nur staatliche Onlineauftritte betroffen; auch die Homepage des „Tageblatt“war zeitweise unter Beschuss. Grüneisen sieht Handlungsbedarf: „Hier ist der Staat aus unserer Sicht gefordert, solche Attacken auf nationalem Niveau abzuwehren, weil es sich hier um einen Grundpfeiler der Demokratie handelt.“Man müsse Medienhäuser dabei unterstützen, solche Attacken möglichst schnell zu blockieren.
Ob auch bei Privatfirmen in Luxemburg akuter Handlungsbedarf besteht, sei schwieriger zu beurteilen. Die kritische Infrastruktur brauche jedenfalls einen besseren Schutz als nicht lebenswichtige Betriebe. „Wenn etwa bei einem Dachdecker die Webseite 24 Stunden nicht zu erreichen ist, ist das nicht so gravierend, wie wenn es das Wort, RTL, Spitäler oder die CNS betrifft. Das sind ganz andere Dimensionen.“
: Ganz ehrlich: Da kann man nicht wirklich von Hackern sprechen. Sam Grüneisen, Chaos Computer Club Lëtzebuerg