Von Gesche Wüpper, Paris

Erst die Europäische Arzneimittelbehörde und der Europäische Gerichtshof für Menschenrechte, jetzt die Europäische Bankenaufsicht (EBA): Seit Beginn der Covid-19-Pandemie haben Cyberangriffe auf Institutionen und Unternehmen Hochkonjunktur. Kaum eine Woche vergeht, ohne dass eine neue Attacke bekannt wird. Der Hackerangriff auf das E-Mail-Programm Exchange von Microsoft hat besonders eindringlich vor Augen geführt, welch weitreichende Folgen Cyberüberfälle haben können. Denn neben der EBA und Bundesbehörden sind nach Schätzung des Cybersicherheitsexperten Brian Krebs auch mindestens 30000 US-Organisationen von dem Angriff betroffen, für den Microsoft eine chinesische Hackergruppe namens Hafnium verantwortlich macht.

Es gebe keine Hinweise darauf, dass Daten abgeflossen seien, erklärte die in Paris ansässige EBA. Sie hatte nach Bekanntwerden des Angriffs vorsorglich ihr E-Mail-System vom Netz genommen und zusammen mit IT- und Cybersicherheitsexperten sowie anderen betroffenen Einheiten eine Untersuchung eingeleitet. Eine Bankenaufsicht wie die EBA stellt ein besonderes Ziel für Spionage dar, da sie E-Mails auch für Beratungen über neue Bankenregeln nutzt. Ein Datenabfluss könnte deshalb den Austausch des Bankensektors mit ihr offenlegen.

Es ist jedoch nicht der einzige Schaden, den Hacker anrichten können. Der amerikanische Thinktank Center for Strategic & International Studies (CSIS) spricht von versteckten Kosten, die durch Cyberkriminalität entstehen, da die Systeme lahmgelegt und Geschäftsmöglichkeiten verpasst würden und die Moral der Mitarbeiter leide. Ein von ihm Ende 2020 veröffentlichter Bericht schätzt die durch Cyberkriminalität verursachten Verluste auf fast 1 Bill. Dollar. Sie sind in den letzten Jahren stark gestiegen, was das CSIS auch durch einen dramatischen Anstieg von Angriffen auf Organisationen und Institutionen mit Hilfe von Ransomware, also Erpressungstrojanern, und gefälschten E-Mails und Webseiten (Phishing) erklärt, darunter Gesundheitsbehörden und Pharmakonzerne. Von den 1500 befragten Unternehmen hätten nur 4% angegeben, 2019 keinen Cyberzwischenfall erlebt zu haben, heißt es in dem Bericht.

Mit der Globalisierung und stärkeren Nutzung von Onlinediensten seit Ausbruch der Pandemie steigen die Risiken. „Die Abhängigkeit von weltweit genutzten Softwaretools kann zu massiven Risiken im globalen Maßstab führen, die nicht mehr lokal begrenzbar sind“, sagte der Hamburger Datenschutzbeauftragte Johannes Caspar Reuters. Vorfälle wie der Hackerangriff auf das E-Mail-Programm von Microsoft zeigten, wie die Sicherheitsstruktur bei weltweiter Nutzung monolithischer Dienste im globalen Maßstab sehr verletzbar werde.

Angesichts der globalen Bedrohung ist Zusammenarbeit gefragt, zumal europäische Institutionen immer häufiger Ziel von Cyberattacken werden. Die EU-Kommission hat deshalb im Dezember ihre Cybersicherheitsstrategie vorgestellt. Sie sieht vor, gemeinsame Positionen zur Cyberabwehr und vor allem Orientierungshilfen zu erarbeiten, wie Angriffe zurückgeschlagen werden können. Die EU-Kommission hat auch vorgeschlagen, ein Netz von Sicherheitseinsatzzentren mit Hilfe künstlicher Intelligenz aufzubauen, um über ein „Cybersicherheitsschutzschild“ zu verfügen, das Signale für drohende Cyberangriffe erkennen und Abwehrmaßnahmen ermöglichen soll. Ab Juni soll zudem ein Kompetenzzentrum für Cybersicherheit geschaffen werden. Die EU verfügt bereits über eigene Sanktionen gegen Cyberangriffe.

In Deutschland wiederum gibt es das Nationale Cyber-Abwehrzentrum und den Nationalen Cyber-Sicherheitsrat, auf Nato-Ebene das Cooperative Defense Centre of Excellence. Ebenfalls im Dezember wurde im Bundestag das IT-Sicherheitsgesetz 2.0 verabschiedet, das nach Angaben von Bundesinnenminister Horst Seehofer neue Maßstäbe bei der Abwehr von Angriffen im Cyberraum setzen soll. Dennoch kritisierten einige Experten wie der Wissenschaftsjournalist Peter Welchering nach dem Angriff auf die Europäische Arzneimittelbehörde, es gebe in Deutschland keine Strategie, digitale Angriffe zu verhindern. Sie machen dafür zersplitterte Zuständigkeiten und einen mangelnden politischen Willen verantwortlich.

Der scheint bei Deutschlands Partner Frankreich vorhanden. Präsident Emmanuel Macron hat gerade einen Strategieplan für Cybersicherheit präsentiert, nachdem Cyberangriffe auf französische Krankenhäuser für Aufsehen sorgten. Er will bis 2025 insgesamt 1 Mrd. Euro investieren, um die zweitgrößte Volkswirtschaft der Eurozone besser gegen die wachsende Gefahr durch Cyberattacken zu schützen. Deshalb will Macron gezielt Forschung und Entwicklung von entsprechenden Technologien vorantreiben. Dabei helfen soll auch ein Cyber-Campus inklusive Inkubator für Start-ups, der in der zweiten Jahreshälfte in der Bürostadt La Défense bei Paris starten soll.

Macron will vor allem kleine und mittelgroße Organisationen, egal ob staatlich oder privatwirtschaftlich, zu einer besseren Reaktionsfähigkeit verhelfen, wenn sie angegriffen werden. Deshalb soll es künftig verstärkt Fortbildungen zu dem Thema geben. Gleichzeitig will Macron Frankreich unabhängiger von ausländischen Lösungen machen, die derzeit auf einen Marktanteil von circa 30% bis 40% kommen. Den Umsatz der Branche bis 2025 auf 25 Mrd. Euro verdreifachen, lautete deshalb sein Ziel. Zu den Bereichen, die besonders gefördert werden sollen, gehören Sicherheitssensoren, die als Bollwerk gegen Cyberangriffe dienen.

Nach Angaben der französische Agentur für Sicherheit von Informationssysteme ANSSI ist die Zahl von Angriffen durch Ransomware von 2019 bis 2020 von 54 auf 192 gestiegen. Die Cyberangriffe auf Krankenhäuser, Gebietskörperschaften, kleine und mittlere Unternehmen sowie Privatpersonen hätten sich vervierfacht, so der für Digitalisierung zuständige Staatssekretär Cédric O. Seit Beginn des Jahres gebe es jede Woche einen Hackerangriff auf Krankenhäuser.