Schwäbische Zeitung (Alb-Donau)
Ein fataler Mut zur Lücke
Warum Cyberkriminelle bei ihren Angriffen leichtes Spiel haben
BERLIN - Das Kommando „Alarmstufe rot!“signalisiert in vielen Filmen den kurz bevorstehenden Katastrophenfall. Meist knallt es dann irgendwo und es geht unmittelbar um Leben und Tod. So anschaulich ist die jüngste Warnung des Bundesamts für Sicherheit in der Informationstechnik (BSI) nicht. Aus den technischen Spezifikationen in der Brandmeldung der Behörde kann kein Laie die Gefahren herauslesen. Nichts ist explodiert. Die Gefahr bleibt im Hintergrund, verbirgt sich in Programmierzeilen. Das macht sie so schwer verständlich.
Nachvollziehbar werden die Sorgen der Experten mit Blick auf die möglichen Folgeschäden, sollten Kriminelle das Einfallstor, die sogenannte Log4j-Sicherheitslücke für Angriffe auf Unternehmen, Behörden oder Privatleute nutzen. Der Verband der Internetwirtschaft spricht nicht umsonst von einem „neuen, erschreckenden Level“der Bedrohung. Üblich waren bisher vor allem Angriffe auf Endgeräte wie dem PC zu Hause oder auf Firmensysteme. Über SpamMails werden dabei oft Schadprogramme in das jeweilige System geschmuggelt. Anschließend wird es beispielsweise lahmgelegt und erst gegen Zahlung eines Lösegeldes wieder freigegeben.
In diesem Fall geht es um die Möglichkeit für Kriminelle, Zugriff auf ganze Server zu bekommen. Im Extremfall, der hoffentlich nicht eintreten wird, könnten sie etwa die Kontrolle über Smartphone-Hersteller übernehmen und die einzelnen Smartphones darüber mit dem nächsten Update der Software manipulieren. Es ist nur eines von vielen denkbaren Szenarien, wenn die Cyberabwehr nicht schleunigst ins Rollen kommt. Und es erklärt die Alarmstimmung der Fachwelt.
Die Sicherheitslücke in dieser einen Anwendung deckt eine viel größere auf. Wirtschaft und Verwaltungen schützen sich nicht ausreichend gegen Cyberkriminalität. Das hat mehrere Ursachen, die teils schwer zu beseitigen sind. So kommt die wesentliche Software aus anderen Ländern, vor allem den USA. Auf deren Arbeit kann niemand hier Einfluss nehmen. Und es gibt keine perfekten Programme. Einfallstore für Cyberkriminelle sind praktisch nicht zu vermeiden. Das Betriebssystem von Microsoft umfasst rund 50 Millionen Programmzeilen. Ein paar fehlerhafte reichen als Angriffsfläche aus. Andere Gründe für Lücken im Sicherheitsnetz
sind aber durchaus zu schließen. So sind sogenannte Open Source Programme beliebt, weil sie kostengünstig sind und die Abhängigkeit von den Tech-Riesen verringern. In die Programmierung dieser offenen Software kann jeder hineinschauen. Damit könnten auch Schwachstellen rasch auffallen und beseitigt werden. Doch die systematische Suche danach kostet Geld und Zeit. Es gibt keine Institution, die diesen Sicherheitsjob im gesellschaftlichen Auftrag übernimmt. Jeder wurschtelt vor sich hin, statt eine konzentrierte Gegenmacht zur Cyberkriminalität aufzubauen. Vielleicht ist jetzt ein guter Zeitpunkt dafür, dies zu ändern. Denn angesichts der wachsenden volkswirtschaftlichen Bedeutung der Digitalisierung kommt dem Schutz der Systeme bald eine existenzielle Bedeutung zu.